Configuración de flujos de trabajo de respuesta proactiva y clasificación de alertas - Guía del usuario de Respuesta frente a incidencias de seguridad de AWS

Configuración de flujos de trabajo de respuesta proactiva y clasificación de alertas

El flujo de trabajo de respuesta proactiva y clasificación de alertas es una característica opcional que se puede habilitar en su organización para supervisar los servicios de seguridad habilitados. Seleccione el conmutador situado junto a la característica para habilitarla.

Si experimenta algún problema durante la incorporación, cree un caso de AWS Support para obtener más asistencia. Asegúrese de incluir detalles como el ID de la Cuenta de AWS y cualquier error que haya podido observar durante el proceso de configuración.

Respuesta proactiva y clasificación de alertas: Respuesta frente a incidencias de seguridad de AWS supervisa e investiga las alertas generadas a partir de las integraciones de Amazon GuardDuty y Security Hub. Para utilizar esta característica, Amazon GuardDuty debe estar habilitado. Respuesta frente a incidencias de seguridad de AWS clasifica las alertas de baja prioridad con la automatización del servicio para que su equipo pueda concentrarse en los problemas más críticos. Para obtener información adicional sobre cómo funciona Respuesta frente a incidencias de seguridad de AWS con Amazon GuardDuty y AWS Security Hub, consulte la sección Detección y análisis de la guía del usuario.

Esta característica permite a Respuesta frente a incidencias de seguridad de AWS supervisar e investigar los resultados en todas las cuentas y Regiones de AWS compatibles activas en su organización. Para facilitar esta funcionalidad, Respuesta frente a incidencias de seguridad de AWS crea automáticamente un rol vinculado a servicios en todas las cuentas de miembros de su organización de AWS Organizations. Sin embargo, para la cuenta de administración, debe crear manualmente el rol vinculado a servicios para habilitar la supervisión.

El servicio no puede crear el rol vinculado a servicios en la cuenta de administración. Debe crear este rol manualmente en la cuenta de administración usando conjuntos de pilas de AWS CloudFormation.

Contención: en caso de un incidente de seguridad, Respuesta frente a incidencias de seguridad de AWS puede ejecutar acciones de contención para mitigar rápidamente el impacto, como aislar los hosts comprometidos o rotar las credenciales. Respuesta ante incidentes de seguridad no habilita las capacidades de contención de forma predeterminada. Para ejecutar estas acciones de contención, primero debe conceder los permisos necesarios al servicio. Para ello, se puede implementar un StackSet de AWS CloudFormation, que crea los roles necesarios.