Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
SEC04-BP03 Correlaciona y enriquece las alertas de seguridad
La actividad inesperada puede generar múltiples alertas de seguridad de diferentes fuentes, lo que requiere una mayor correlación y enriquecimiento para comprender el contexto completo. Implemente la correlación y el enriquecimiento automatizados de las alertas de seguridad para ayudar a lograr una identificación y una respuesta a los incidentes más precisas.
Resultado deseado: los mecanismos automatizados correlacionan los datos y enriquecen dichos datos con información adicional a medida que la actividad genere diferentes alertas en sus cargas de trabajo y entornos. Este preprocesamiento ofrece una comprensión más detallada del evento, lo que ayuda a los investigadores a determinar la gravedad del evento y si constituye un incidente que requiere una respuesta formal. Este proceso reduce la carga para los equipos de supervisión e investigación.
Patrones comunes de uso no recomendados:
-
Existen grupos de personas distintos que investigan los resultados y alertas generados por los diferentes sistemas, a menos que los requisitos de separación de funciones exijan lo contrario.
-
Canalizar en la organización todos los datos de alertas y resultados de seguridad a ubicaciones estándar, pero con la necesidad de que los investigadores lleven a cabo una correlación y un enriquecimiento manuales.
-
Confiar únicamente en la inteligencia de los sistemas de detección de amenazas para informar sobre los resultados y establecer el nivel de gravedad.
Beneficios de establecer esta práctica recomendada: la correlación y el enriquecimiento automatizados de las alertas ayudan a reducir la carga cognitiva general y la preparación manual de los datos que requieren los investigadores. Esta práctica puede reducir el tiempo necesario para determinar si el evento representa un incidente e iniciar una respuesta formal. El contexto adicional también ayuda a evaluar con precisión la verdadera gravedad de un evento, ya que puede ser mayor o menor de lo que sugiere una alerta.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: bajo
Guía para la implementación
Las alertas de seguridad pueden provenir de muchas fuentes diferentes, entre las que se incluyen: AWS
-
Servicios como Amazon GuardDuty AWS Security Hub
, Amazon Macie , Amazon Inspector y Network AWS Identity and Access Management Access AnalyzerAccess Analyzer AWS Config -
Alertas procedentes del análisis automatizado de los registros de AWS servicios, infraestructuras y aplicaciones, como las de Security Analytics for Amazon OpenSearch Service.
-
Alarmas en respuesta a cambios en tu actividad de facturación procedentes de fuentes como Amazon CloudWatch EventBridge
, Amazon o AWS Budgets . -
Fuentes de terceros, como fuentes de inteligencia sobre amenazas y Security Partner Solutions
del AWS Partner Network -
Contacto de AWS Trust & Safety
o de otras fuentes, como clientes o empleados internos.
En su forma más básica, las alertas contienen información sobre quién (la entidad principal o la identidad) está haciendo qué (la acción efectuada) a qué (los recursos afectados). Para cada uno de estos orígenes, identifique si hay formas de crear asignaciones entre identificadores para estas identidades, acciones y recursos como base para llevar a cabo la correlación. Esto puede consistir en integrar las fuentes de alertas con una herramienta de gestión de eventos e información de seguridad (SIEM) para realizar una correlación automática, crear sus propios procesos de procesamiento y canalización de datos, o una combinación de ambos.
Un ejemplo de servicio que puede efectuar la correlación es Amazon Detective
Si bien el nivel de gravedad inicial de una alerta ayuda a establecer prioridades, el contexto en el que se haya producido la alerta determina su verdadero nivel de gravedad. Por ejemplo, Amazon GuardDuty puede avisar de que una EC2 instancia de Amazon de tu carga de trabajo está consultando un nombre de dominio inesperado. GuardDuty podría asignar una criticidad baja a esta alerta por sí sola. Sin embargo, la correlación automática con otras actividades en el momento de la alerta podría revelar que se han desplegado varios cientos de EC2 instancias con la misma identidad, lo que aumenta los costes operativos generales. En este caso, GuardDuty podría publicar el contexto del evento correlacionado como una nueva alerta de seguridad y ajustar la criticidad a un nivel alto, lo que agilizaría la adopción de nuevas medidas.
Pasos para la implementación
-
Identifique los orígenes de la información de alertas de seguridad. Comprenda en qué medida las alertas de estos sistemas representan la identidad, la acción y los recursos para determinar dónde se puede establecer una correlación.
-
Establezca un mecanismo para capturar las alertas de diferentes orígenes. Considere servicios como Security Hub EventBridge, y CloudWatch para este propósito.
-
Identifique los orígenes para la correlación y el enriquecimiento de los datos. Entre las fuentes de ejemplo se incluyen CloudTrail VPC Flow Logs, Amazon Security Lake y registros de infraestructura y aplicaciones.
-
Integre sus alertas con sus fuentes de correlación y enriquecimiento de datos para crear contextos de eventos de seguridad más detallados y establecer el nivel de gravedad.
-
Amazon Detective, SIEM las herramientas u otras soluciones de terceros pueden realizar un cierto nivel de ingesta, correlación y enriquecimiento de forma automática.
-
También puede utilizar los AWS servicios para crear los suyos propios. Por ejemplo, puede invocar una AWS Lambda función para ejecutar una consulta AWS CloudTrail de Amazon Athena en Amazon Security Lake y publicar los resultados en. EventBridge
-
Recursos
Prácticas recomendadas relacionadas:
Documentos relacionados:
Ejemplos relacionados:
Herramientas relacionadas:
