Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Guías de respuesta a incidentes de seguridad en AMS
<a name="sir-runbooks"></a>

Esta sección contiene dos manuales:
+ [Respuesta a la actividad del usuario root](sir-root-user.md)
+ [Respuesta a eventos de malware](sir-malware.md)

# Respuesta a la actividad del usuario root
<a name="sir-root-user"></a>

El [usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) es el superusuario de su AWS cuenta. Tenga en cuenta que AMS monitorea el uso de root. Se recomienda utilizar el usuario root solo para las pocas tareas que lo requieran, como cambiar la configuración de la cuenta, activar el acceso AWS Identity and Access Management (IAM) a la facturación y la gestión de costes, cambiar la contraseña root y activar la autenticación multifactor (MFA). Para obtener más información, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root).

Para obtener más información sobre cómo informar a AMS del uso raíz planificado, consulte [Cuándo y cómo usar la cuenta raíz en AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/how-when-to-use-root.html).

Cuando se detecta actividad por parte del usuario root (intentos fallidos de iniciar sesión que podrían indicar un ataque de fuerza bruta o actividad en la cuenta tras iniciar sesión correctamente), se genera un evento y se envía un incidente a tus contactos de seguridad definidos.

AWS Managed Services Operations investiga la actividad no planificada de los usuarios raíz, lleva a cabo la recopilación, clasificación y análisis de datos y realiza actividades de contención según sus instrucciones, seguidas de un análisis posterior al evento.

Si tiene el modelo operativo AMS Advanced, recibirá comunicaciones adicionales de los ingenieros de AMS CSDM y AMS Ops en las que se confirmará la actividad no planificada de los usuarios raíz debido a la responsabilidad de AMS de proteger las credenciales de los usuarios raíz. AMS investiga la actividad de los usuarios root hasta que se confirme el camino a seguir.

## Preparación
<a name="sir-prepare-root"></a>

Informe a AMS de cualquier uso planificado del usuario root enviando una solicitud de servicio de AMS con los datos y las horas del evento planificado para evitar actividades innecesarias de respuesta a incidentes.

Póngase en contacto periódicamente GameDays con AMS para validar que los procesos de respuesta a incidentes de los clientes de AMS, las personas y los sistemas estén actualizados, y desarrolle la memoria muscular con las personas responsables para lograr una respuesta más rápida a los incidentes.

## Fase A: Detectar
<a name="sir-detect-root"></a>

AMS supervisa la actividad raíz de las cuentas a través de fuentes de detección, incluida GuardDuty la supervisión de AMS.

Si tiene AMS Accelerate, el modelo operativo responde al incidente y solicita que se investigue la actividad inesperada del usuario root. Cuando esto ocurre, AMS Operations inicia el manual de cuentas comprometidas.

Si dispone de AMS Advanced, el modelo operativo responde al incidente o informa al CSDM de cualquier actividad planificada por parte de un usuario root para poner fin a una investigación en curso sobre una situación comprometida en la cuenta.

## Fase B: analizar
<a name="sir-analyze-root"></a>

AMS lleva a cabo una investigación exhaustiva de los eventos del usuario raíz cuando determina que la actividad no está autorizada. Utilizando tanto las automatizaciones como el equipo de respuesta de seguridad de AMS, los registros y los eventos se analizan para detectar anomalías y comportamientos inesperados en los usuarios root. Se proporcionan registros para ayudar a determinar si la actividad es desconocida, si se trata de un evento de un usuario raíz autorizado o si requiere una investigación más profunda.

Algunos ejemplos de la información proporcionada durante la investigación para respaldar las comprobaciones internas son:
+ Información de la cuenta: ¿En qué cuenta se utilizó la cuenta raíz?
+ Dirección de correo electrónico del usuario raíz: cada usuario raíz está asociado a una dirección de correo electrónico de su organización
+ Detalles de autenticación: ¿desde dónde y cuándo accedió el usuario raíz a su entorno?
+ Registros de actividad: ¿Qué hizo el usuario cuando inició sesión como root? Estos registros se presentan en forma de CloudWatch eventos. Comprender cómo leer estos registros ayuda en la investigación.

Se recomienda estar preparado para recibir la información de análisis y tener un plan sobre cómo llegar a los puntos de contacto autorizados para las cuentas de su organización. Como los usuarios raíz no se nombran como individuos, determinar quién tiene acceso a la dirección de correo electrónico raíz utilizada para la cuenta en su organización ayuda a dirigir rápidamente las preguntas internamente. 

## Fase C: Contener y erradicar
<a name="sir-eradicate-root"></a>

AMS colabora con sus equipos de seguridad para llevar a cabo la contención siguiendo las instrucciones de sus contactos autorizados de Customer Security. Las opciones de contención incluyen: 
+ Rotación de las credenciales y claves apropiadas.
+ Finalizar las sesiones activas de las cuentas y los recursos.
+ Erradicar los recursos creados.

Durante las actividades de contención, AMS trabaja en estrecha colaboración con su equipo de seguridad para garantizar que se minimice cualquier interrupción en sus cargas de trabajo y que las credenciales raíz estén debidamente protegidas.

Una vez completado el plan de contención, trabajará con el equipo de operaciones de AMS para tomar las medidas de recuperación necesarias.

## Informe posterior al incidente
<a name="sir-post-root"></a>

Según sea necesario, AMS inicia el proceso de revisión de la investigación para identificar las lecciones aprendidas. Como parte de completar un COE, AMS comunica cualquier hallazgo relevante a los clientes afectados para ayudarlos a mejorar su proceso de respuesta a los incidentes.

AMS documenta todos los detalles finales de la investigación, recopila las métricas adecuadas y, a continuación, informa del incidente a los equipos internos de AMS que necesiten información, incluidos el CSDM y la CA asignados.

# Respuesta a eventos de malware
<a name="sir-malware"></a>

Las EC2 instancias de Amazon se utilizan para alojar diversas cargas de trabajo, incluido software de terceros y software desarrollado a medida que implementan los equipos de aplicaciones de las organizaciones. AMS le ofrece y le anima a implementar sus cargas de trabajo en imágenes parcheadas y mantenidas de forma continua por AMS.

Durante el funcionamiento de las instancias, AMS monitorea las anomalías en el comportamiento o la actividad a través de una variedad de controles de detección de seguridad, incluidos Amazon GuardDuty, Network Traffic y los feeds internos de Inteligencia de Amenazas de Amazon.

AMS también monitorea los hallazgos de GuardDuty malware. Están disponibles tanto en AMS Advanced como en AMS Accelerate, si están activados. Consulta [Protección contra malware en Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html) para obtener más información.

**nota**  
Si has optado por [Bring Your Own EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html), el proceso de respuesta a los incidentes es diferente al que se describe en esta página. Para obtener más información, consulte la documentación a la que se hace referencia.

Cuando se detecta malware, se crea un incidente y se le notifica del mismo. Esta notificación va seguida de cualquier actividad de reparación que se haya producido. AMS Operations investiga, recopila, clasifica y analiza los datos y, a continuación, lleva a cabo actividades de contención según sus instrucciones, seguidas de un análisis posterior al suceso.

## Fase A: Detectar
<a name="sir-malware-detect"></a>

AMS monitorea los eventos en las instancias con. GuardDuty AMS determina las actividades de enriquecimiento y clasificación adecuadas para ayudarle a tomar decisiones de contención o aceptación de riesgos en función del tipo de hallazgo o alerta.

La recopilación de datos se realiza en función del tipo de hallazgo. La recopilación de datos implica consultar múltiples fuentes de datos, tanto internas como externas, a la cuenta afectada para obtener una idea de la actividad observada o de las configuraciones preocupantes.

AMS correlaciona el hallazgo con cualquier otra alarma y alerta o telemetría de cualquier cuenta afectada o plataforma de inteligencia de amenazas de AMS.

## Fase B: analizar
<a name="sir-malware-analyze"></a>

Una vez recopilados los datos, se analizan para identificar cualquier actividad o indicador preocupante. Durante esta fase de la investigación, AMS colabora con usted para integrar el conocimiento empresarial y el dominio de las instancias y las cargas de trabajo a fin de comprender qué se espera y qué es lo que está fuera de lo común.

Algunos ejemplos de la información proporcionada durante la investigación para respaldar las comprobaciones internas son:
+ Información de la cuenta: ¿En qué cuenta se observó la actividad del malware?
+ Detalles de la instancia: ¿Qué instancias están implicadas en los eventos de malware?
+ Fecha y hora del evento: ¿Cuándo se activó la alerta?
+ Información sobre la carga de trabajo: ¿Qué se está ejecutando en la instancia? 
+ Detalles sobre el malware, si corresponde: familias de malware e información de código abierto sobre el malware.
+ Detalles sobre los usuarios o las funciones: ¿Qué usuarios o funciones se ven afectados por la actividad o participan en ella?
+ Registros de actividad: ¿Qué actividades se registran en la instancia? Se presentan en forma de CloudWatch eventos y eventos del sistema de la instancia. Saber cómo leer estos registros le ayudará en la investigación
+ Actividad de red: ¿Qué puntos finales se conectan a la instancia, a qué se conecta la instancia y cuál es el análisis del tráfico?

Se recomienda estar preparado para recibir información sobre la investigación y tener un plan sobre cómo contactar con los puntos de contacto adecuados para las cuentas, las instancias y las cargas de trabajo de la organización. Comprender la topología de la red y la conexión prevista puede ayudar a acelerar el análisis de impacto. El conocimiento de las pruebas de penetración planificadas en el entorno y de las implementaciones recientes realizadas por los propietarios de las aplicaciones también puede acelerar la investigación.

Si determina que la actividad está planificada y autorizada, el incidente se actualiza y la investigación finaliza. Si se confirma el compromiso, usted y AMS determinarán el plan de contención adecuado.

## Fase C: Contener y erradicar
<a name="sir-malware-eradicate"></a>

AMS colabora con usted para determinar las actividades de contención adecuadas en función de los datos recopilados y la información conocida. Las opciones de contención incluyen, pero no se limitan a:
+ Preservar los datos mediante instantáneas
+ Modificar las reglas de red para limitar el tráfico entrante o saliente de las instancias
+ Modificar las políticas de usuarios y roles de SCP e IAM para limitar el acceso
+ Finalización, suspensión o desactivación de instancias
+ Finalizar cualquier conexión persistente
+ Rotación de las credenciales y claves apropiadas

Si opta por realizar una actividad de erradicación contra la instancia, AMS lo ayudará a lograrlo. Las opciones incluyen, pero no se limitan a:
+ Eliminar cualquier software no deseado
+ Reconstruir la instancia a partir de una imagen limpia y completamente parcheada y volver a implementar las aplicaciones y la configuración
+ Restauración de la instancia a partir de una copia de seguridad anterior
+ Implementar aplicaciones y servicios en otra instancia de su cuenta que pueda ser adecuada para alojar las cargas de trabajo.

Es importante determinar cómo se distribuyó y ejecutó el malware en la instancia antes de restablecer el servicio para asegurarse de que se aplican todos los controles adicionales que impidan que el malware vuelva a aparecer en la instancia. AMS proporciona información o información adicional a sus socios o equipos forenses, según sea necesario, para respaldar la labor forense.

En este punto, trabajará con AMS Operations para las actividades de recuperación. AMS trabaja en estrecha colaboración con usted para minimizar las interrupciones en las cargas de trabajo y proteger las instancias.

## Informe posterior al incidente
<a name="sir-malware-post-event"></a>

Según sea necesario, AMS inicia el proceso de revisión de la investigación para identificar las lecciones aprendidas. Como parte de completar un COE, AMS le comunica los hallazgos relevantes para ayudarlo a mejorar su proceso de respuesta a incidentes.

AMS documenta los detalles finales de la investigación, recopila las métricas adecuadas e informa del incidente a los equipos internos de AMS que requieren información, incluidos el CSDM y el CA asignados.