Respuesta basada en eventos
Con un sistema de respuesta basada en eventos, un mecanismo de detección desencadena un mecanismo de respuesta para corregir el evento de forma automática. Puede usar las capacidades de respuesta basada en eventos para reducir el tiempo hasta la obtención de valor entre los mecanismos de detección y los mecanismos de respuesta. Para crear esta arquitectura basada en eventos, puede usar AWS Lambda, que es un servicio de computación sin servidor que ejecuta su código como respuesta a eventos y administra automáticamente los recursos de computación subyacentes.
Por ejemplo, supongamos que tiene una cuenta de AWS con el servicio AWS CloudTrail habilitado. Si AWS CloudTrail se deshabilita alguna vez (mediante la API cloudtrail:StopLogging
), el procedimiento de respuesta consiste en volver a habilitar el servicio e investigar al usuario que ha deshabilitado el registro de AWS CloudTrail. En lugar de realizar estos pasos de forma manual en la AWS Management Console, puede volver a habilitar el registro mediante programación (a través de la API cloudtrail:StartLogging
). Si se implementa con código, el objetivo de la respuesta es llevar a cabo esta tarea lo más rápido posible y notificar al personal de respuesta que esta se ha efectuado.
Puede descomponer la lógica en código simple para ejecutarlo en una función AWS Lambda a fin de realizar estas tareas. Después, puede usar Amazon CloudWatch Events para monitorear el evento cloudtrail:StopLogging
específico e invocar la función si se produce. Cuando Amazon CloudWatch Events invoca esta función AWS Lambda de respuesta, puede pasarle los detalles del evento específico con la información de la entidad principal que deshabilitó AWS CloudTrail, cuándo se deshabilitó, el recurso específico afectado y otra información relevante. Puede usar esta información para complementar los resultados de los registros y, después, generar una notificación o una alerta solo con los valores específicos que un analista de respuesta requeriría.
El objetivo ideal de la respuesta basada en eventos es que la función Lambda de respuesta realice las tareas de respuesta y, después, notifique al personal de respuesta que la anomalía se ha resuelto correctamente, junto con cualquier información contextual pertinente. Corresponde entonces al personal de respuesta decidir cómo determinar por qué ha ocurrido y cómo podrían prevenirse reincidencias futuras. Este bucle de retroalimentación mejora aún más la seguridad en los entornos de nube. Para lograr este objetivo, debe tener una cultura que permita a su equipo de seguridad trabajar más estrechamente con los equipos de desarrollo y operaciones.