Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS
Recopila los artefactos relevantes - Respuesta frente a incidencias de seguridad de AWS Guía del usuario

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Recopila los artefactos relevantes

PDF

Teniendo en cuenta estas características, y en función de las alertas pertinentes y de la evaluación del impacto y el alcance, tendrás que recopilar los datos que sean pertinentes para seguir investigando y analizando. Varios tipos y fuentes de datos que pueden ser relevantes para la investigación, incluidos los registros del plano de servicio/control (eventos de datos de Amazon S3CloudTrail, registros de flujo de VPC), datos (metadatos y objetos de Amazon S3) y recursos (bases de datos, instancias de Amazon). EC2

Los registros del plano de servicio/control se pueden recopilar para su análisis local o, idealmente, se pueden consultar directamente mediante servicios nativos AWS (cuando proceda). Los datos (incluidos los metadatos) se pueden consultar directamente para obtener información relevante o adquirir los objetos de origen; por ejemplo, utilícelos AWS CLI para adquirir metadatos de objetos y buckets de Amazon S3 y adquirir directamente los objetos de origen. Los recursos deben recopilarse de manera coherente con el tipo de recurso y el método de análisis previsto. Por ejemplo, las bases de datos se pueden recopilar creando una base copy/snapshot of the system running the database, creating a copy/snapshot de datos completa o consultando y extrayendo ciertos datos y registros de la base de datos relevantes para la investigación.

Para EC2 las instancias de Amazon, hay un conjunto específico de datos que deben recopilarse y un orden específico de recopilación que debe realizarse para adquirir y conservar la mayor cantidad de datos para su análisis e investigación.

En concreto, el orden de respuesta para adquirir y conservar la mayor cantidad de datos de una EC2 instancia de Amazon es el siguiente:

  1. Adquiera metadatos de la instancia: adquiera los metadatos de la instancia relevantes para la investigación y las consultas de datos (ID de instancia, tipo, dirección IP, ID de VPC/subred, región, ID de Amazon Machine Image (AMI), grupos de seguridad adjuntos, hora de lanzamiento).

  2. Habilitar las protecciones y etiquetas de las instancias: habilite las protecciones de las instancias, como la protección de terminación, configure el comportamiento de apagado para que se detenga (si está configurado para terminar), deshabilite los atributos Delete on Termination para los volúmenes de EBS adjuntos y aplique las etiquetas adecuadas tanto para la denotación visual como para su uso en posibles automatizaciones de respuesta (por ejemplo, al aplicar una etiqueta con el nombre Status y el valor deQuarantine, realizar una adquisición forense de datos y aislar la instancia).

  3. Adquirir disco (instantáneas de EBS): Adquiera una instantánea de EBS de los volúmenes de EBS adjuntos. Cada instantánea contiene la información necesaria para restaurar los datos (desde el momento en que se tomó la instantánea) en un nuevo volumen de EBS. Consulte el paso para realizar una recopilación de artefactos o respuestas en tiempo real si utiliza volúmenes de almacenes de instancias.

  4. Adquirir memoria: dado que las instantáneas de EBS solo capturan los datos que se han escrito en su volumen de Amazon EBS, lo que podría excluir los datos que sus aplicaciones o su sistema operativo almacenan o almacenan en caché en la memoria, es imprescindible adquirir una imagen de memoria del sistema mediante una herramienta comercial o de código abierto de terceros adecuada para adquirir los datos disponibles del sistema.

  5. (Opcional) Realice una recopilación de artefactos o respuestas en vivo: realice una recopilación de datos específica (disk/memory/logs) mediante una respuesta en vivo en el sistema solo si no se puede adquirir el disco o la memoria de otra manera, o si existe un motivo comercial u operativo válido. De este modo, se modificarán datos y artefactos valiosos del sistema.

  6. Retirar la instancia: separe la instancia de los grupos de Auto Scaling, anule el registro de la instancia de los balanceadores de carga y ajuste o aplique un perfil de instancia prediseñado con permisos minimizados o sin permisos.

  7. Aísle o contenga la instancia: compruebe que la instancia esté aislada de manera efectiva de otros sistemas y recursos del entorno. Para ello, finalice e impida las conexiones actuales y futuras hacia y desde la instancia. Consulte la Contención sección de este documento para obtener más información.

  8. Elección del personal de respuesta: en función de la situación y los objetivos, seleccione una de las siguientes opciones:

    • Retirar y apagar el sistema (recomendado).

      Cierre el sistema una vez que se hayan adquirido las pruebas disponibles para verificar la mitigación más efectiva contra un posible futuro impacto en el medio ambiente por parte de la instancia.

    • Continúe ejecutando la instancia en un entorno aislado equipado para la supervisión.

      Si bien no se recomienda como enfoque estándar, si una situación amerita una observación continua de la instancia (por ejemplo, cuando se necesitan datos o indicadores adicionales para realizar una investigación y un análisis exhaustivos de la instancia), podría considerar cerrar la instancia, crear una AMI de la instancia y volver a lanzar la instancia en su cuenta forense dedicada dentro de un entorno aislado que esté completamente aislado y configurado con instrumentación que facilite la supervisión casi continua del instancia (para por ejemplo, registros de flujo de VPC o duplicación de tráfico de VPC).

nota

Es esencial capturar la memoria antes de las actividades de respuesta en directo o de aislar o apagar el sistema para capturar los datos volátiles (y valiosos) disponibles.

Tema siguiente:

Desarrolla narrativas

¿Necesita ayuda?

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.