SEC10-BP03: Preparar capacidades forenses

Es importante que los equipos de intervención de incidentes comprendan cuándo y cómo deben hacer uso de la investigación forense en su plan de respuesta. Su organización debe definir las pruebas que deben recopilarse y las herramientas que deben utilizarse en el proceso. Identifique y prepare las capacidades de investigación forense disponibles, como los especialistas externos, las herramientas y la automatización. Una decisión clave que debe tomar de forma anticipada es si recopilará datos de un sistema activo. Algunos datos, como el contenido de la memoria volátil o las conexiones de red activas, se perderán si el sistema se apaga o se reinicia.

El equipo de respuesta puede combinar herramientas, tales como AWS Systems Manager, Amazon EventBridge y AWS Lambda, para ejecutar automáticamente herramientas forenses en un sistema operativo y en una creación de reflejo de tráfico de VPC para obtener una captura del paquete de red y recopilar pruebas no persistentes. Lleve a cabo otras actividades, como análisis de registros o de imágenes de disco, en una cuenta de seguridad dedicada con herramientas y estaciones de trabajo forenses personalizadas a las que pueden acceder los equipos de intervención.

Envíe periódicamente registros pertinentes a un almacén de datos con alta durabilidad e integridad. Los equipos de intervención deben tener acceso a estos registros. AWS ofrece varias herramientas que pueden facilitar la investigación de registros, como, por ejemplo, Amazon Athena, Amazon OpenSearch Service (OpenSearch Service) y Amazon CloudWatch Logs Insights. Asimismo, conserve las pruebas de forma segura mediante Amazon Simple Storage Service (Amazon S3) Object Lock. Este servicio sigue el modelo WORM (escribir una vez, leer muchas veces) e impide que se eliminen o se sobrescriban objetos durante un periodo definido. Dado que las técnicas de investigación forense requieren formación especializada, puede que tenga que interactuar con especialistas externos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: Medio

Guía para la implementación

Identificar capacidades forenses: investigue las capacidades de investigación forense de su organización, las herramientas disponibles y los especialistas externos.
Automatización de la respuesta ante incidentes y el análisis forense

Recursos

Documentos relacionados:

Cómo automatizar la recopilación de discos forenses en AWS

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC10-BP02: Desarrollar planes de administración de incidentes

SEC10-BP04: Automatización de la capacidad de contención