Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ganar visibilidad con mecanismos de observabilidad
La capacidad de ver los eventos de seguridad que se han producido es tan importante como establecer los controles de seguridad adecuados. En el pilar de seguridad del AWS Well-Architected Framework, las mejores prácticas de detección incluyen configurar el registro de servicios y aplicaciones y capturar registros, hallazgos y métricas en ubicaciones estandarizadas. Para implementar estas prácticas recomendadas, debe registrar la información que le ayude a identificar los eventos y, a continuación, procesarla en un formato que pueda ser consumido por las personas, idealmente en una ubicación centralizada.
En esta guía se recomienda utilizar Amazon Simple Storage Service (Amazon S3) para centralizar los datos de registro. Amazon S3 admite el almacenamiento de registros tanto AWS Network Firewall para Amazon Route 53 Resolver DNS Firewall como para DNS. Luego, usa AWS Security HubAmazon Security Lake para centralizar los hallazgos de Amazon y otros GuardDuty hallazgos de seguridad en una sola ubicación.
Registrar el tráfico de red
En la sección Automatización de los controles de seguridad preventivos y de detección de esta guía se describe el uso AWS Network Firewall de un firewall de Amazon Route 53 Resolver DNS para automatizar las respuestas a la inteligencia sobre ciberamenazas (CTI). Se recomienda configurar el registro para ambos servicios. Puede crear controles de detección que supervisen los datos de registro y le avisen si un dominio o una dirección IP restringidos intenta enviar tráfico a través del firewall.
Al configurar estos recursos, tenga en cuenta sus requisitos de registro individuales. Por ejemplo, el registro de Network Firewall solo está disponible para el tráfico que se reenvía al motor de reglas con estado. Se recomienda seguir un modelo de confianza cero y reenviar todo el tráfico al motor de reglas con estado. Sin embargo, si desea reducir los costes, puede excluir el tráfico en el que su organización confíe.
Tanto Network Firewall como DNS Firewall admiten el registro en Amazon S3. Para obtener más información sobre la configuración del registro para estos servicios, consulte Registrar el tráfico de red procedente del firewall de DNS AWS Network Firewall y configurar el registro para dicho firewall. Para ambos servicios, puede configurar el registro en un bucket de Amazon S3 a través del AWS Management Console.
Centralizar los hallazgos de seguridad en AWS
AWS Security Hubproporciona una visión integral del estado de su seguridad AWS y le ayuda a evaluar su AWS entorno en función de los estándares y las mejores prácticas del sector de la seguridad. Security Hub puede generar hallazgos asociados a sus controles de seguridad. También puede recibir hallazgos de otros Servicios de AWS, como Amazon GuardDuty. Puede usar Security Hub para centralizar las conclusiones y los datos de sus Cuentas de AWS productos y de otros productos compatibles. Servicios de AWS Para obtener más información sobre las integraciones, consulte Descripción de las integraciones en Security Hub en la documentación de Security Hub.
Security Hub también incluye funciones de automatización que le ayudan a clasificar y solucionar los problemas de seguridad. Por ejemplo, puede usar reglas de automatización para actualizar automáticamente resultados críticos cuando un control de seguridad falla. También puedes usar la integración con Amazon EventBridge para iniciar respuestas automáticas a hallazgos específicos. Para obtener más información, consulte Modificar automáticamente los hallazgos del Security Hub y actuar en función de ellos en la documentación de Security Hub.
Si utilizas Amazon GuardDuty, te recomendamos que lo configures GuardDuty para enviar sus resultados a Security Hub. Security Hub puede incluir esos resultados en su análisis de la posición de seguridad. Para obtener más información, consulte Integración con AWS Security Hub en la GuardDuty documentación.
Tanto para Network Firewall como para Route 53 Resolver DNS Firewall, puede crear hallazgos personalizados a partir del tráfico de red que está registrando. Amazon Athena es un servicio de consultas interactivo que facilita el análisis de datos en Amazon S3 con SQL estándar. Puede crear consultas en Athena que escaneen los registros de Amazon S3 y extraigan los datos relevantes. Para obtener instrucciones, consulte Introducción en la documentación de Athena. A continuación, puede usar una AWS Lambda función para convertir los datos de registro relevantes al formato de búsqueda de AWS seguridad (ASFF) y enviar el hallazgo a Security Hub. A continuación se muestra un ejemplo de función Lambda que convierte los datos de registro de Network Firewall en un hallazgo de Security Hub:
Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub"; Export const handler = async(event) => { const date = new Date().toISOString(); const config = { Region: REGION }; const input = { Findings: [ { SchemaVersion: '2018-10-08', Id: ALERTLOGS3BUCKETID, ProductArn: FIREWALLMANAGERARN, GeneratorId: 'alertlogs-to-findings', AwsAccountId: ACCOUNTID, Types: 'Unusual Behaviours/Network Flow/Alert', CreatedAt: date, UpdatedAt: date, Severity: { Normalized: 80, Product: 8 }, Confidence: 100, Title: 'Alert Log to Findings', Description: 'Network Firewall Alert Log into Finding – add top level dynamic detail', Resources: [ { /*these are custom resources. Contain deeper details of your event here*/ firewallName: 'Example Name', event: 'Example details here' } ] } ] }; const client = new SecurityHubClient(config); const command = new BatchImportFindingsCommand(input); const response = await client.send(command); return { statusCode: 200, response }; };
El patrón que siga para extraer y enviar información a Security Hub depende de sus necesidades empresariales individuales. Si necesita que los datos se envíen de forma regular, puede utilizarlos EventBridge para iniciar el proceso. Si desea recibir una alerta cuando se añada la información, puede utilizar Amazon Simple Notification Service (Amazon SNS). Hay muchas maneras de abordar esta arquitectura, por lo que es importante planificar adecuadamente para satisfacer las necesidades de su empresa.
Integrar los datos de AWS seguridad con otros datos empresariales
Amazon Security Lake puede automatizar la recopilación de datos de registros y eventos relacionados con la seguridad de servicios integrados Servicios de AWS y de terceros. También le ayuda a gestionar el ciclo de vida de los datos con configuraciones de retención y replicación personalizables. Security Lake convierte los datos ingeridos al formato Apache Parquet y a un esquema estándar de código abierto denominado Open Cybersecurity Schema Framework (OCSF). Gracias a la compatibilidad con OCSF, Security Lake normaliza y combina los datos de seguridad procedentes de AWS una amplia gama de fuentes de datos de seguridad empresariales. Otros Servicios de AWS y servicios de terceros pueden suscribirse a los datos almacenados en Security Lake para responder a los incidentes y analizar los datos de seguridad.
Puede configurar Security Lake para recibir las conclusiones de Security Hub. Para activar esta integración, debe habilitar ambos servicios y añadir Security Hub como fuente en Security Lake. Cuando complete estos pasos, Security Hub empezará a enviar todos los resultados a Security Lake. Security Lake normaliza automáticamente las conclusiones del Security Hub y las convierte en OCSF. En Security Lake, puede añadir uno o más suscriptores para consumir resultados de Security Hub. Para obtener más información, consulte Integración con AWS Security Hub en la documentación de Security Lake.
En el siguiente vídeo, AWS
Re:inForce 2024: Cyber Threat Intelligence Sharing on AWS
