Contención

Respuesta frente a incidencias de seguridad de AWS colabora con usted para contener los eventos. Puede configurar un rol de servicio para Respuesta frente a incidencias de seguridad de AWS para que lleve a cabo acciones automatizadas y manuales en su cuenta en respuesta a las alertas. También puede llevar a cabo la contención usted mismo o en colaboración con sus relaciones con terceros mediante documentos de SSM.

Una parte esencial de la contención es la toma de decisiones, por ejemplo, si se debe apagar un sistema, aislar un recurso de la red, desactivar el acceso o finalizar las sesiones. Estas decisiones son más fáciles cuando existen estrategias y procedimientos predeterminados para contener el evento. Respuesta frente a incidencias de seguridad de AWS proporciona la estrategia de contención, lo informa sobre el posible impacto y lo guía para implementar la solución solo después de haber considerado y aceptado los riesgos involucrados.

Respuesta frente a incidencias de seguridad de AWS ejecuta acciones de contención admitidas en su nombre para acelerar la respuesta y reducir el tiempo del que dispone un agente de amenazas para causar posibles daños en su entorno. Esta capacidad permite mitigar las amenazas identificadas con mayor rapidez, minimizar el impacto potencial y mejorar su posición general de seguridad. Hay diferentes opciones de contención en función de los recursos que se analicen. Las acciones de contención admitidas son las siguientes:

Contención de EC2: la automatización de la contención de AWSSupport-ContainEC2Instance lleva a cabo una contención reversible de red de una instancia de EC2 y deja la instancia intacta y en ejecución, pero la aísla de cualquier actividad de red nueva e impide que se comunique con los recursos dentro y fuera de su VPC.

importante
Es importante tener en cuenta que las conexiones rastreadas existentes no se cerrarán como resultado del cambio de los grupos de seguridad; el nuevo grupo de seguridad y este documento de SSM solo bloquearán de forma efectiva el tráfico futuro. Encontrará más información en la sección Source containment de la guía técnica del servicio.
Contención de IAM: la automatización de la contención de AWSSupport-ContainIAMPrincipal lleva a cabo una contención reversible de red de un usuario o rol de IAM y deja al usuario o rol en IAM, pero lo aísla de la comunicación con los recursos de su cuenta.
Contención de S3: la automatización de la contención de AWSSupport-ContainS3Resource lleva a cabo una contención reversible de un bucket de S3, deja los objetos en el bucket y aísla al bucket u objeto de Amazon S3 mediante la modificación de sus políticas de acceso.

importante

Respuesta frente a incidencias de seguridad de AWS no habilita las capacidades de contención de forma predeterminada; para ejecutar estas acciones de contención, primero debe conceder los permisos necesarios al servicio mediante roles. Puede crear estos roles individualmente por cuenta o en toda la organización usando conjuntos de pilas de AWS CloudFormation, que crean los roles necesarios.

Respuesta frente a incidencias de seguridad de AWS le anima a considerar estrategias de contención para cada tipo de evento importante que se ajusten a su tolerancia al riesgo. Documente criterios claros que lo ayuden a tomar decisiones durante un evento. Entre los criterios que se deben considerar se incluyen los siguientes:

Posibles daños a los recursos
Preservación de pruebas y requisitos normativos
Falta de disponibilidad del servicio (por ejemplo, conectividad de red, servicios prestados a terceros)
Tiempo y recursos necesarios para implementar la estrategia
Eficacia de la estrategia (por ejemplo, contención parcial o total)
Permanencia de la solución (por ejemplo, reversible o irreversible)
Duración de la solución (por ejemplo, solución alternativa de emergencia, solución temporal, solución permanente). Aplique controles de seguridad que puedan reducir el riesgo y permitan disponer de tiempo para definir e implementar una estrategia de contención más eficaz.

Respuesta frente a incidencias de seguridad de AWS recomienda un enfoque gradual para lograr una contención eficiente y eficaz, que incluya estrategias a corto y largo plazo basadas en el tipo de recurso.

Estrategia de contención
- ¿Puede Respuesta frente a incidencias de seguridad de AWS identificar el alcance del evento de seguridad?
  - En caso afirmativo, identifique todos los recursos (usuarios, sistemas, recursos).
  - En caso contrario, investigue en paralelo mientras ejecuta el siguiente paso en los recursos identificados.
- ¿Se puede aislar el recurso?
  - En caso afirmativo, proceda a aislar los recursos afectados.
  - En caso contrario, colabore con los propietarios y administradores del sistema para determinar las medidas adicionales necesarias para contener el problema.
- ¿Están todos los recursos afectados aislados de los no afectados?
  - En caso afirmativo, continúe con el siguiente paso.
  - En caso contrario, continúe aislando los recursos afectados para completar la contención a corto plazo y evitar que el evento se escale aún más.
Copia de seguridad del sistema
- ¿Se crearon copias de seguridad de los sistemas afectados para su posterior análisis?
- ¿Están las copias forenses cifradas y almacenadas en una ubicación segura?
  - En caso afirmativo, continúe con el siguiente paso.
  - En caso contrario, cifre las imágenes forenses y almacénelas en una ubicación segura para evitar el uso accidental, los daños y las manipulaciones.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Detección y análisis

Erradicación