Orígenes de alertas - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Orígenes de alertas

Debería considerar la posibilidad de utilizar los siguientes orígenes para definir las alertas:

  • Resultados: los servicios de AWS como Amazon GuardDuty, AWS Security Hub, Amazon Macie, Amazon Inspector, AWS Config, el Analizador de acceso de IAM y el Analizador de acceso a la red generan resultados que se pueden utilizar para elaborar alertas.

  • Registros: los registros de servicios, infraestructura y aplicaciones de AWS almacenados en buckets de Amazon S3 y grupos de registro de CloudWatch se pueden analizar y correlacionar para generar alertas.

  • Actividad de facturación: un cambio repentino en la actividad de facturación puede indicar un evento de seguridad. Siga la documentación de Crear una alarma de facturación para supervisar los cargos estimados de AWS para monitorearlo.

  • Inteligencia de ciberamenazas: si se suscribe a un origen de inteligencia de ciberamenazas de terceros, puede correlacionar esa información con otras herramientas de registro y monitoreo para identificar posibles indicadores de eventos.

  • Herramientas de socios: los socios de la AWS Partner Network (APN) ofrecen productos de primer nivel que pueden ayudarlo a cumplir sus objetivos de seguridad. Para la respuesta ante incidentes, los productos de socios con detección y respuesta de puntos de conexión (EDR) o SIEM pueden ayudarlo a cumplir sus objetivos de respuesta ante incidentes. Para obtener más información, consulte Soluciones de socios de seguridad y Soluciones de seguridad en AWS Marketplace.

  • Confianza y seguridad de AWS: Soporte podría contactar a los clientes si identificamos actividad abusiva o malintencionada.

  • Contacto único: dado que pueden ser sus clientes, desarrolladores u otros miembros del personal de su organización quienes adviertan algo inusual, es importante contar con un método conocido y bien publicitado para ponerse en contacto con su equipo de seguridad. Entre las opciones más populares se incluyen los sistemas de tickets, las direcciones de correo electrónico de contacto y los formularios web. Si su organización trabaja con el público en general, es posible que también necesite un mecanismo de contacto de seguridad orientado al público.

Para obtener más información sobre las capacidades en la nube que puede utilizar durante sus investigaciones, consulte Apéndice A: Definiciones de capacidades en la nube en este documento.