Detección y análisis
Respuesta frente a incidencias de seguridad de AWS supervisa, clasifica e investiga los resultados de seguridad de Amazon GuardDuty y las integraciones mediante AWS Security Hub. Entre las acciones adicionales que pueden mejorar considerablemente el alcance y la eficacia de las capacidades de supervisión e investigación de Respuesta frente a incidencias de seguridad de AWS se incluyen las siguientes:
Habilitación de orígenes de detección compatibles
nota
Los costos del servicio Respuesta frente a incidencias de seguridad de AWS no incluyen el uso ni otros costos y tarifas asociados con los orígenes de detección compatibles o el uso de otros servicios de AWS. Consulte las páginas de las características o los servicios individuales para obtener detalles sobre los costos.
Amazon GuardDuty
GuardDuty es un servicio de detección de amenazas que supervisa, analiza y procesa continuamente los orígenes de datos y los registros del entorno de AWS. No es necesario habilitar GuardDuty para usar Respuesta frente a incidencias de seguridad de AWS; sin embargo, para usar la característica de respuesta proactiva y clasificación de alertas, Amazon GuardDuty debe habilitarse.
Para habilitar GuardDuty en toda su organización, consulte la sección Setting up GuardDuty de la Guía del usuario de Amazon GuardDuty.
Se recomienda encarecidamente que habilite GuardDuty en todas las Regiones de AWS compatibles. Esto permite a GuardDuty generar resultados sobre la actividad no autorizada o inusual incluso en las regiones que no utiliza de forma activa. Para obtener más información, consulte Amazon GuardDuty Regions and endpoints
La habilitación de GuardDuty proporciona a Respuesta frente a incidencias de seguridad de AWS acceso a datos críticos de detección de amenazas, lo que mejora su capacidad de identificación y respuesta ante posibles problemas de seguridad en su entorno de AWS.
AWS Security Hub
Security Hub puede ingerir los resultados de seguridad de varios servicios de AWS y soluciones de seguridad de terceros que sean compatibles. Estas integraciones pueden ayudar a Respuesta frente a incidencias de seguridad de AWS a supervisar e investigar los resultados procedentes de otras herramientas de detección.
Para habilitar la integración de Security Hub con Organizations, consulte la Guía del usuario de AWS Security Hub.
Hay varias formas de habilitar las integraciones en Security Hub. Para las integraciones de productos de terceros, es posible que tenga que comprar la integración en AWS Marketplace y, a continuación, configurar la integración. La información de integración proporciona enlaces para completar estas tareas. Obtenga más información sobre cómo habilitar las integraciones de AWS Security Hub.
Respuesta frente a incidencias de seguridad de AWS puede supervisar e investigar los resultados de las siguientes herramientas cuando están integradas con AWS Security Hub:
Al habilitar estas integraciones, puede mejorar significativamente el alcance y la eficacia de las capacidades de supervisión e investigación de Respuesta frente a incidencias de seguridad de AWS.
Análisis de resultados
Las automatizaciones de Respuesta frente a incidencias de seguridad de AWS y el equipo del servicio de CIRT de AWS analizará todos los resultados de las herramientas compatibles. Para empezar a obtener información sobre su entorno, nos comunicaremos con usted mediante casos de AWS Support. Por ejemplo, cuando necesitemos saber si un resultado es un comportamiento esperado o si debe convertirse en un incidente. A medida que obtengamos más información de su entorno, personalizaremos el servicio y reduciremos el número de comunicaciones.
Notificación de un evento
Puede plantear un evento de seguridad a través del portal del servicio Respuesta frente a incidencias de seguridad de AWS. Es importante no esperar durante un evento de seguridad. Respuesta frente a incidencias de seguridad de AWS utiliza técnicas automatizadas y manuales para investigar los eventos de seguridad, analizar los registros y buscar patrones anómalos. Su colaboración y comprensión del entorno aceleran este análisis.
Comunicación
Respuesta frente a incidencias de seguridad de AWS lo mantiene informado durante la investigación al interactuar con sus contactos de seguridad a lo largo de todo el proceso. Es posible que varios compañeros del equipo atiendan su evento y todos ellos podrán utilizar el ticket del evento para ver el contenido proporcionado por el cliente y las actualizaciones de AWS.
La comunicación puede incluir notificaciones automatizadas cuando se genera una alerta de seguridad, la comunicación durante el análisis del evento, el establecimiento de puentes de llamadas, el análisis continuo de artefactos (como archivos de registro) y la obtención de los resultados de las investigaciones durante el evento de seguridad.
El servicio creará casos de Respuesta frente a incidencias de seguridad de AWS para comunicarse con sus equipos. Crearemos casos en su cuenta de membresía. Este enfoque centraliza la comunicación de todas sus cuentas en un solo lugar. El prefijo “[Proactive case]” ayuda a identificar los casos iniciados por Respuesta frente a incidencias de seguridad de AWS.
Al participar de forma activa en estas comunicaciones y proporcionar respuestas puntuales, puede ayudar al servicio Respuesta frente a incidencias de seguridad de AWS a lo siguiente:
Comprender mejor su entorno y los comportamientos esperados.
Reducir los falsos positivos a lo largo del tiempo.
Mejorar la precisión y la relevancia de las alertas.
Garantizar una respuesta rápida ante los incidentes de seguridad auténticos.
Recuerde que la eficacia del servicio Respuesta frente a incidencias de seguridad de AWS mejora con su colaboración, lo que se traduce en un entorno de AWS más seguro y supervisado de forma eficiente.
