# Casos
<a name="cases"></a>

 Respuesta frente a incidencias de seguridad de AWS permite crear dos tipos de casos: casos compatibles con AWS o casos autoadministrados. 

# Creación de un caso compatible con AWS
<a name="create-an-aws-supported-case"></a>

 Puede crear un caso con asistencia de AWS para Respuesta frente a incidencias de seguridad de AWS a través de la consola, la API o la AWS Command Line Interface; estos casos con asistencia de AWS ponen a disposición el apoyo de los ingenieros de Respuesta ante incidentes de seguridad. 

**importante**  
 Los casos de demostración o simulación se cierran después de un período de 90 días. 

**nota**  
 Los ingenieros de Respuesta ante incidentes de seguridad de AWS responderán al caso en un plazo de 15 minutos. El tiempo de respuesta corresponde a la primera respuesta de los ingenieros de Respuesta ante incidentes de seguridad de AWS. Haremos todo lo posible por responder a la solicitud inicial en este plazo. Este tiempo de respuesta no se aplica a las respuestas posteriores. 

**nota**  
 Puede crear casos con asistencia de AWS no solo para incidentes de seguridad activos e investigaciones, sino también para consultas sobre las capacidades de Respuesta ante incidentes de seguridad de AWS. Esto incluye preguntas sobre las reglas de supresión de GuardDuty, las configuraciones de clasificación de alertas, los flujos de trabajo de respuesta proactiva y orientación general sobre la postura de seguridad. Seleccione el tipo de caso **Investigaciones y consultas** para estos fines. 

# Cuándo contactar Respuesta frente a incidencias de seguridad de AWS
<a name="when-to-contact-security-ir"></a>

 Es posible ponerse en contacto con Respuesta ante incidentes de seguridad de AWS para distintos fines según las necesidades. La siguiente tabla describe los distintos escenarios y el método de contacto adecuado para cada uno. 


| Escenario | Cuándo se debe usar | Tiempo de respuesta | Tipo de caso | 
| --- | --- | --- | --- | 
| **Incidente de seguridad activo** | Se experimenta un incidente de seguridad urgente que requiere apoyo y servicios inmediatos de respuesta ante incidentes | 15 minutos (primera respuesta) | [Incidente de seguridad activo](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) | 
| **Investigación** | Se ha identificado un incidente de seguridad y se requiere apoyo para el análisis de registros y una confirmación secundaria de la investigación de respuesta ante incidentes | 15 minutos (primera respuesta) | [Investigaciones y consultas](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) | 
| **Consultas y orientación** | Existen preguntas sobre los resultados de Amazon GuardDuty, las reglas de supresión, las configuraciones de clasificación de alertas, los flujos de trabajo de respuesta proactiva o la postura general de seguridad en relación con las capacidades de Respuesta frente a incidencias de seguridad de AWS | 15 minutos (primera respuesta) | [Investigaciones y consultas](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) | 
| **Problemas de incorporación** | Se experimentan problemas técnicos durante el proceso de incorporación de Respuesta ante incidentes de seguridad de AWS | Varía según el plan de soporte | [AWS Support Caso de](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) | 

 Para todos los casos con asistencia de AWS (Incidente de seguridad activo e Investigaciones y consultas), los ingenieros de Respuesta ante incidentes de seguridad de AWS responderán en un plazo de 15 minutos para la primera respuesta. Este tiempo de respuesta se aplica únicamente al contacto inicial y no a las respuestas posteriores. 

 En el siguiente ejemplo se abarca el uso de la consola. 

1.  Inicie sesión en Respuesta frente a incidencias de seguridad de AWS a través de la Consola de administración de AWS. 

1.  Elija **Crear caso**. 

1.  Elija **Resolver el caso con AWS**. 

1.  Seleccione el tipo de solicitud: 

   1.  **Incidente de seguridad activo**: este tipo es para apoyo y servicios urgentes de respuesta ante incidentes. 

   1.  **Investigaciones y consultas**: utilice este tipo para incidentes de seguridad detectados en los que los ingenieros de Respuesta ante incidentes de seguridad de AWS puedan brindar apoyo en el análisis de registros y la confirmación secundaria de la investigación de respuesta ante incidentes. También puede utilizar este tipo para consultas sobre los resultados de GuardDuty, las reglas de supresión, las configuraciones de clasificación de alertas, los flujos de trabajo de respuesta proactiva y cuestiones generales sobre la postura de seguridad relacionadas con las capacidades de Respuesta ante incidentes de seguridad de AWS. 

1.  Establezca la fecha estimada de inicio como la fecha del primer indicador del incidente. Por ejemplo, cuando experimentó un comportamiento anómalo por primera vez o cuando recibió la primera alerta de seguridad relacionada. 

1.  Defina un título para el caso. 

1. Proporcione una descripción detallada del caso.  Tenga en cuenta los siguientes aspectos que pueden ayudar al personal de respuesta ante incidentes a resolver el caso:

   1.  ¿Qué ha pasado? 

   1.  ¿Quién descubrió y notificó el incidente? 

   1.  ¿A quién afecta el caso? 

   1.  ¿Cuál es el impacto conocido? 

   1.  ¿Cuál es la urgencia de este caso? 

   1.  Agregue uno o varios ID de Cuenta de AWS que estén dentro del alcance del caso. 

1.  Agregue detalles opcionales del caso: 

   1.  Seleccione los servicios principales que se ven afectados en la lista desplegable. 

   1.  Seleccione las regiones principales que se ven afectadas en la lista desplegable. 

   1.  Agregue una o varias direcciones IP de agente de amenazas que haya identificado como parte de este caso.  

1.  Agregue al caso personal adicional y opcional de respuesta ante incidentes que recibirá las notificaciones. Para agregar a una persona, haga lo siguiente: 

   1.  Agregue una dirección de correo electrónico. 

   1.  Agregue un nombre y apellidos opcionales. 

   1.  Elija **Agregar nuevo** para agregar a otra persona. 

   1.  Para eliminar a una persona, elija la opción **Eliminar** para una persona. 

   1.  Elija **Agregar** para agregar al caso a todas las personas indicadas. 

      1.  Puede seleccionar varias personas y elegir **Eliminar** para eliminarlas de la lista. 

1.  Agregue etiquetas opcionales al caso. 

   1.  Para añadir una etiqueta, haga lo siguiente: 

   1.  Elija **Añadir nueva etiqueta**. 

   1.  En **Clave**, escriba el nombre de la etiqueta. 

   1.  En **Valor**, escriba el valor de la etiqueta. 

   1.  Para eliminar una etiqueta, elija la opción **Eliminar** de la etiqueta correspondiente. 

 Una vez creado un caso compatible con AWS, los ingenieros de Respuesta ante incidentes de seguridad de AWS y su equipo de respuesta ante incidentes reciben una notificación inmediata. 

**Creación de un caso con asistencia de AWS mediante una investigación basada en IA**

1. Abra la consola de Respuesta frente a incidencias de seguridad de AWS en [console.aws.amazon.com/](https://console.aws.amazon.com/).

1. Seleccione **Casos** en el panel de navegación.

1. Seleccione **Crear caso**.

1. En **Tipo de caso**, seleccione **Caso con asistencia de AWS**.

1. Proporcione los detalles del caso, como el título, la fecha de inicio del incidente y el ID de cuenta de AWS afectado.

1. En la sección **Describa el incidente de seguridad**, proporcione una descripción detallada del incidente.

1. Proporcione información adicional sobre los servicios y regiones de AWS afectados y otros detalles pertinentes.

1. Seleccione **Crear caso**.

 Tras la creación del caso, los ingenieros de Respuesta ante incidentes de seguridad y el agente de IA comienzan a trabajar de forma simultánea. 

**Respuesta a las preguntas aclaratorias de la IA (opcional)**

1. Acceda a la pestaña **Investigación** de su caso.

1. Revise cualquier pregunta aclaratoria que formule el agente de IA.

1. Responda a las preguntas o seleccione **Omitir** si prefiere no responder.

1. Seleccione **Enviar** para continuar. Todos los campos son opcionales.

**Divulgación de IA responsable**

 Los resúmenes de las investigaciones se generan mediante capacidades de IA generativa de AWS. Usted es responsable de evaluar las recomendaciones generadas con IA en su contexto específico, implementar los mecanismos de supervisión adecuados, verificar los resultados de forma independiente y mantener la supervisión humana de todas las decisiones de seguridad. 

# Creación de un caso autoadministrado
<a name="create-a-self-managed-case"></a>

 Puede crear un formulario autoadministrado para Respuesta frente a incidencias de seguridad de AWS mediante la consola, la API o la AWS Command Line Interface. Este tipo de caso *NO* activa a los ingenieros de Respuesta ante incidentes de seguridad de AWS. En el siguiente ejemplo se abarca el uso de la consola. 

1.  Inicie sesión en Respuesta frente a incidencias de seguridad de AWS a través de Consola de administración de AWS en [https://console.aws.amazon.com/security-ir/](https://console.aws.amazon.com/). 

1.  Elija **Create Case (Crear caso)**. 

1.  Elija **Resolve case with my own incident response team**. 

1.  Establezca la fecha estimada de inicio como la fecha del primer indicador del incidente. Por ejemplo, cuando experimentó un comportamiento anómalo por primera vez o cuando recibió la primera alerta de seguridad relacionada. 

1. Defina un título para el caso. Se recomienda incluir los datos en el título del caso, tal como se sugiere al seleccionar la opción **Generar título**.

1.  Ingrese los ID de Cuenta de AWS que forman parte del caso. Para agregar un ID de cuenta, haga lo siguiente: 

   1.  Ingrese el ID de 12 dígitos de la cuenta y elija **Agregar cuenta**. 

   1.  Para eliminar una cuenta, elija **Eliminar** junto a la cuenta que quiera eliminar del caso. 

1.  Proporcione una descripción detallada del caso.  

   1.  Tenga en cuenta los siguientes aspectos que pueden ayudar al personal de respuesta ante incidentes a resolver el caso: 

      1.  ¿Qué ha pasado? 

      1.  ¿Quién descubrió y notificó el incidente? 

      1.  ¿A quién afecta el caso? 

      1.  ¿Cuál es el impacto conocido? 

      1.  ¿Cuál es la urgencia de este caso? 

1.  Agregue detalles opcionales del caso: 

   1.  Seleccione los servicios principales que se ven afectados en la lista desplegable. 

   1.  Seleccione las regiones principales que se ven afectadas en la lista desplegable. 

   1.  Agregue una o varias direcciones IP de agente de amenazas que haya identificado como parte de este caso. 

1.  Agregue al caso personal adicional y opcional de respuesta ante incidentes que recibirá las notificaciones. Para agregar a una persona, haga lo siguiente: 

   1.  Agregue una dirección de correo electrónico. 

   1.  Agregue un nombre y apellidos opcionales. 

   1.  Elija **Agregar nuevo** para agregar a otra persona. 

   1.  Para eliminar a una persona, elija la opción **Eliminar** para una persona. 

   1. Elija **Agregar** para agregar al caso a todas las personas indicadas. Puede seleccionar varias personas y elegir **Eliminar** para eliminarlas de la lista.

1.  Agregue etiquetas opcionales al caso. Para añadir una etiqueta, haga lo siguiente: 

   1.  Elija **Añadir nueva etiqueta**. 

   1.  En **Clave**, escriba el nombre de la etiqueta. 

   1.  En **Valor**, escriba el valor de la etiqueta. 

   1.  Para eliminar una etiqueta, elija la opción **Eliminar** de la etiqueta correspondiente. 

 El equipo de respuesta ante incidentes recibirá una notificación por correo electrónico una vez creado el caso. 

# Colaboración con los ingenieros de Respuesta ante incidentes de seguridad de AWS
<a name="working-with-aws-sir-engineers"></a>

 Después de abrir un caso de incidente de seguridad, los ingenieros de Respuesta ante incidentes de seguridad de AWS comienzan a trabajar en el incidente. Esta sección explica qué esperar durante la investigación y cómo colaborar eficazmente con el equipo. 

# Qué esperar de los ingenieros de Respuesta ante incidentes de seguridad de AWS
<a name="what-to-expect-from-aws-sir-engineers"></a>

 Cuando se abre un caso con asistencia de AWS, se asigna un ingeniero de Respuesta ante incidentes de seguridad al incidente. El personal de respuesta asignado hará lo siguiente: 
+ Revisa la información inicial proporcionada en el caso
+ Analiza los registros de servicio de AWS relevantes y los resultados de seguridad
+ Identifica el alcance y el impacto del incidente de seguridad
+ Desarrolla un plan de investigación y respuesta adaptado a la situación

 **Plazos de respuesta**: el objetivo de nivel de servicio (SLO) para la confirmación de nuevos casos por parte de los ingenieros de Respuesta frente a incidencias de seguridad de AWS es de 15 minutos. Los plazos de la evaluación inicial pueden variar en función de la gravedad y la complejidad del caso. Si los ingenieros de Respuesta frente a incidencias de seguridad de AWS no reciben ninguna respuesta ni información crítica de su parte en un plazo de 5 días laborables, el caso queda cerrado. 

# Flujo de trabajo de investigación
<a name="investigation-workflow"></a>

 Los ingenieros de Respuesta ante incidentes de seguridad de AWS siguen un proceso estructurado de respuesta ante incidentes alineado con el marco NIST 800-61r2. Durante la investigación, el proceso suele incluir las siguientes fases: 

1.  **Clasificación inicial**: los ingenieros de Respuesta ante incidentes de seguridad revisan los detalles del caso y confirman el alcance del incidente 

1.  **Investigación**: los ingenieros de Respuesta ante incidentes de seguridad analizan los registros, identifican indicadores de compromiso y determinan la causa raíz 

1.  **Contención**: los ingenieros de Respuesta ante incidentes de seguridad recomiendan acciones para limitar el impacto del incidente 

1.  **Erradicación y recuperación**: los ingenieros de Respuesta ante incidentes de seguridad ayudan a eliminar las amenazas y a restablecer el funcionamiento normal 

1.  **Revisión posterior al incidente**: los ingenieros de Respuesta ante incidentes de seguridad proporcionan resultados y recomendaciones para prevenir incidentes futuros 

 A lo largo de estas fases, el ingeniero de Respuesta ante incidentes de seguridad mantiene informada a la organización mediante actualizaciones del caso y puede solicitar información o acciones adicionales. 

# Información que pueden solicitar los ingenieros de Respuesta ante incidentes de seguridad
<a name="information-sir-engineers-may-request"></a>

 Para investigar el incidente de forma eficaz, los ingenieros de Respuesta ante incidentes de seguridad de AWS pueden solicitar lo siguiente: 
+  **Detalles de la cronología**: cuándo se detectó inicialmente el incidente y cualquier evento relevante previo 
+  **Recursos afectados**: ID de cuentas de AWS específicas, servicios, regiones y ARN de los recursos involucrados 
+  **Información de acceso**: detalles sobre quién tiene acceso a los recursos afectados y cualquier cambio reciente en los accesos 
+  **Contexto empresarial**: cómo se utilizan los recursos afectados y cuál es el posible impacto para el negocio 
+  **Registros y evidencias**: registros adicionales, capturas de pantalla o artefactos que puedan apoyar la investigación 
+  **Autorización**: aprobación para realizar acciones específicas de contención o remediación en su nombre 

 El ingeniero de Respuesta ante incidentes de seguridad explicará por qué se necesita cada elemento de información y cómo contribuye a la investigación. 

# Prácticas recomendadas de comunicación
<a name="communication-best-practices"></a>

 Una comunicación eficaz acelera la resolución del incidente. Siga estas prácticas al trabajar con los ingenieros de Respuesta ante incidentes de seguridad de AWS: 
+  **Responda con prontitud** a las solicitudes de información del ingeniero de Respuesta ante incidentes de seguridad 
+  **Proporcione información completa**, incluso si existe duda sobre su relevancia 
+  **Formule preguntas** si no comprende una recomendación o requiere aclaración 
+  **Actualice el caso** con cualquier novedad o cambio relacionado con el incidente 
+  **Designe un contacto principal** del equipo para coordinar con los ingenieros de Respuesta ante incidentes de seguridad 

**importante**  
 Si los ingenieros de Respuesta frente a incidencias de seguridad de AWS no reciben ninguna respuesta a solicitudes de información crítica en un plazo de 5 días laborables, procederemos al cierre del caso. Es posible reabrir un caso si se dispone de nueva información. 

# Su función durante la investigación
<a name="your-role-during-investigation"></a>

 Aunque los ingenieros de Respuesta frente a incidencias de seguridad de AWS lideran la investigación, su participación es esencial. Usted es responsable de las siguientes acciones: 
+ Proporcionar respuestas oportunas a las solicitudes de información
+ Implementar las acciones de contención y remediación recomendadas en el entorno de AWS
+ Autorizar a los ingenieros de Respuesta ante incidentes de seguridad a actuar en su nombre (si habilitó la respuesta proactiva)
+ Coordinar con los equipos internos (seguridad, jurídico, cumplimiento) cuando sea necesario
+ Tomar decisiones empresariales sobre las prioridades y los compromisos asociados a la respuesta ante incidentes

 Los ingenieros de Respuesta frente a incidencias de seguridad de AWS proporcionan experiencia y recomendaciones, pero no perderá el control sobre los recursos de AWS y la toma las decisiones finales respecto de las acciones de respuesta. 

# Cierre del caso
<a name="case-closure"></a>

 Los ingenieros de Respuesta frente a incidencias de seguridad de AWS cierran un caso cuando: 
+ El incidente ha sido contenido y remediado
+ Se le han compartido todos los resultados de la investigación
+ No se requiere asistencia adicional de los ingenieros de Respuesta ante incidentes de seguridad de 
+ Solicita el cierre del caso

 Antes de cerrar el caso, el ingeniero de Respuesta ante incidentes de seguridad proporciona un resumen de los resultados, las acciones realizadas y las recomendaciones para mejorar la postura de seguridad. 

 Si necesita asistencia adicional después del cierre del caso, puede abrir un nuevo caso o contactar con AWS Support. 

# Respuesta a un caso generado por AWS
<a name="responding-to-an-aws-generated-case"></a>

 Respuesta frente a incidencias de seguridad de AWS puede crear un caso o una notificación saliente cuando necesite tomar medidas o tener conocimiento de algo que pueda afectar a su cuenta o sus recursos. Esto solo ocurre si habilitó los flujos de trabajo de respuesta proactiva y clasificación de alertas como parte de su suscripción. 

 Estas notificaciones aparecen como casos de Respuesta ante incidentes de seguridad con el prefijo “[Proactive case]” en la consola de Respuesta frente a incidencias de seguridad de AWS. Para consultar y administrar estos casos, siga los pasos que se describen a continuación: 
+ Abra la consola de Respuesta ante incidentes de seguridad en https://console.aws.amazon.com/security-ir/.
+  Seleccione **Casos**. 
+  Ve todos los casos, incluidos los que tienen el prefijo “[Proactive case]”. 

 Puede actualizar, resolver y reabrir estos casos según sea necesario. Puede comunicarse directamente con el equipo de Respuesta frente a incidencias de seguridad de AWS mediante estos casos, lo que garantiza una gestión eficiente de los posibles problemas de seguridad.