Plan de respuesta a incidentes Guías y manuales de estrategias Automatización basada en eventos Soporte proceso Alertas de eventos de seguridad

Recomendaciones de seguridad para responder a los incidentes

Cuando se produce un incidente de seguridad en su organización, los usuarios deben estar preparados para responder al problema. Todos los usuarios deben tener un conocimiento básico de los procesos de respuesta de seguridad de su organización. La planificación, la formación y la experiencia son fundamentales para el éxito de un programa de respuesta a incidentes. Lo ideal es que prepare a su organización antes de que se produzca un posible incidente de seguridad. El AWS Well-Architected Framework identifica tres bases que se requieren para un programa exitoso de respuesta a incidentes en la nube: preparación, operaciones y actividad posterior al incidente. Para obtener más información, consulte Aspectos de la respuesta a AWS incidentes en AWS Well-Architected Framework.

Con la excepción de los controles de seguridad que le notifican los eventos o responden automáticamente a ellos, hay controles limitados que puede establecer para responder a los incidentes. Una postura sólida de respuesta a los incidentes se establece principalmente a través de los planes, procesos, manuales, manuales y programas de formación que utilice en su organización. Puede utilizar los controles y las recomendaciones de esta sección para implementar las mejores prácticas en su programa de respuesta a incidentes. Para obtener más información sobre las prácticas recomendadas para la respuesta a incidentes y la guía de implementación, consulte Respuesta a incidentes en el AWS Well-Architected Framework.

Recomendaciones de esta sección:

Defina un plan de respuesta a incidentes
Cree y mantenga manuales y manuales de respuesta a incidentes
Implemente la automatización de la seguridad basada en eventos
Documente cómo deben interactuar los equipos operativos con Soporte
Configure alertas para eventos de seguridad

Defina un plan de respuesta a incidentes

Establezca un plan de respuesta a incidentes (IRP) bien definido. El plan de respuesta a incidentes está diseñado para ser la base de su programa de respuesta a incidentes. Este plan debe personalizarse para abordar las necesidades de cada organización.

Para obtener más información, consulte los siguientes recursos:

Desarrolle y pruebe un plan de respuesta a incidentes en la Guía de respuesta a incidentes de AWS seguridad
Desarrolle planes de gestión de incidentes en el AWS Well-Architected Framework
Identifique el personal clave y los recursos externos en el AWS Well-Architected Framework

Cree y mantenga manuales y manuales de respuesta a incidentes

Una parte clave de la preparación de los procesos de respuesta a un incidente es la elaboración de manuales. Los manuales de respuesta a incidentes proporcionan una serie de pasos recomendados que los usuarios deben seguir cuando se produce un incidente de seguridad. Tener una estructura y unos pasos claros simplifica la respuesta y reduce la probabilidad de que se produzca un error humano.

Para obtener más información, consulte los siguientes recursos:

Para qué se pueden crear manuales de estrategias en la Guía de respuesta a incidentes AWS de seguridad
AWS ejemplos de manuales de respuesta a incidentes sobre GitHub
Desarrolle y pruebe manuales de respuesta a incidentes de seguridad en el AWS Well-Architected Framework

Implemente la automatización de la seguridad basada en eventos

La automatización de la respuesta de seguridad es una acción predefinida y programada que está diseñada para responder automáticamente a un evento de seguridad o remediarlo. Estas automatizaciones sirven como controles de seguridad preventivos o adaptables que le ayudan a implementar las mejores prácticas AWS de seguridad. Algunos ejemplos de acciones de respuesta automatizadas incluyen la modificación de un grupo de seguridad de VPC, la aplicación de parches a una EC2 instancia de Amazon o la rotación de credenciales.

Muchas Servicios de AWS admiten respuestas automatizadas. Por ejemplo, puedes configurar una CloudWatch alarma de Amazon para métricas específicas y la alarma puede iniciar una acción cuando la alarma cambia de estado. A través de Amazon EventBridge, también puedes configurar la respuesta automática y la corrección de los hallazgos en AWS Security Hub Amazon Inspector.

Para obtener más información, consulta los siguientes recursos:

Corrija automáticamente los hallazgos de seguridad de Amazon Inspector en el blog AWS de seguridad
Comience con la automatización de las respuestas de seguridad AWS en el blog de AWS seguridad
La respuesta de seguridad automatizada está AWS disponible en la biblioteca de AWS soluciones
Uso de CloudWatch las alarmas de Amazon en la CloudWatch documentación
Respuesta y corrección automatizadas en la documentación de Security Hub
Creación de respuestas personalizadas a las conclusiones de Amazon Inspector con Amazon EventBridge en la documentación de Amazon Inspector

Documente cómo deben interactuar los equipos operativos con Soporte

Para usted Cuenta de AWS, puede definir un contacto principal y tres contactos alternativos. Le recomendamos que proporcione un contacto de seguridad para cada uno de ellos Cuenta de AWS o para su organización.

AWS Support ofrece una gama de planes que proporcionan acceso a herramientas y conocimientos que pueden respaldar el éxito y el buen estado operativo de AWS las soluciones. Además, considere si su organización se beneficiaría si utilizara un Soporte plan AWS Managed Services en lugar de uno. AWS Managed Services (AMS) lo ayuda a operar de manera más eficiente y segura al proporcionar una administración continua de su AWS infraestructura, que incluye monitoreo, administración de incidentes, orientación de seguridad, soporte de parches y respaldo para AWS las cargas de trabajo. El modelo de soporte de AMS puede ser más adecuado para las organizaciones que tienen recursos limitados en sus equipos de operaciones en la nube. Le recomendamos que compare estos modelos y planes para elegir el que mejor se adapte al caso de uso de su organización y al nivel de madurez de la nube.

Para obtener más información, consulte los siguientes recursos:

Conozca los equipos de AWS respuesta y el soporte en la Guía de respuesta a incidentes de AWS seguridad
Actualice sus contactos alternativos Cuenta de AWS en la Guía de administración de AWS cuentas
Compare Soporte los planes en el AWS sitio web
La estrategia que se puede utilizar AWS Managed Services para lograr los resultados comerciales objetivo en la AWS guía prescriptiva

Configure alertas para eventos de seguridad

La detección de una anomalía es tan importante como las medidas implementadas para controlarla. Una alerta es el componente principal de la fase de detección. Genera una notificación para iniciar el proceso de respuesta al incidente en función de Cuenta de AWS la actividad de interés. Asegúrese de que las alertas incluyan información relevante para que el equipo tome medidas.

Para obtener más información, consulte los siguientes recursos:

La detección en la guía de respuesta a incidentes de AWS seguridad
Prepare las capacidades forenses en el marco de AWS Well-Architected
Implemente eventos de seguridad procesables en el AWS Well-Architected Framework

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Controles de datos

Pasos a seguir a continuación