

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Ganar visibilidad con mecanismos de observabilidad
<a name="architecture-gain-visibility"></a>

La capacidad de ver los eventos de seguridad que se han producido es tan importante como establecer los controles de seguridad adecuados. En el pilar de seguridad del AWS Well-Architected Framework, las mejores prácticas de detección incluyen [configurar el registro de servicios y aplicaciones](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html) y [capturar los registros, los hallazgos y las métricas en ubicaciones estandarizadas](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html). Para implementar estas prácticas recomendadas, debe registrar la información que le ayude a identificar los eventos y, a continuación, procesarla en un formato que pueda ser consumido por las personas, idealmente en una ubicación centralizada.

En esta guía se recomienda utilizar [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) para centralizar los datos de registro. Amazon S3 admite el almacenamiento de registros tanto AWS Network Firewall para Amazon Route 53 Resolver DNS Firewall como para DNS. Luego, usa [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)[Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) para centralizar los hallazgos de Amazon y otros GuardDuty hallazgos de seguridad en una sola ubicación.

## Registrar el tráfico de la red
<a name="architecture-gain-visibility-logging"></a>

En la sección [Automatización de los controles de seguridad preventivos y](architecture-automate-controls.md) de detección de esta guía se describe el uso AWS Network Firewall de un firewall de Amazon Route 53 Resolver DNS para automatizar las respuestas a la inteligencia sobre ciberamenazas (CTI). Se recomienda configurar el registro para ambos servicios. Puede crear controles de detección que supervisen los datos de registro y le avisen si un dominio o una dirección IP restringidos intenta enviar tráfico a través del firewall.

Al configurar estos recursos, tenga en cuenta sus requisitos de registro individuales. Por ejemplo, el registro de Network Firewall solo está disponible para el tráfico que se reenvía al motor de reglas con estado. Se recomienda seguir un modelo de confianza cero y reenviar todo el tráfico al motor de reglas con estado. Sin embargo, si desea reducir los costes, puede excluir el tráfico en el que su organización confíe.

Tanto Network Firewall como DNS Firewall admiten el registro en Amazon S3. Para obtener más información sobre la configuración del registro para estos servicios, consulte [Registrar el tráfico de red procedente del](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) firewall de [DNS AWS Network Firewall y configurar el registro para dicho firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/firewall-resolver-query-logs-configuring.html). Para ambos servicios, puede configurar el registro en un bucket de Amazon S3 a través del Consola de administración de AWS.

## Centralizar los hallazgos de seguridad en AWS
<a name="architecture-gain-visibility-security-hub"></a>

[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)proporciona una visión integral del estado de su seguridad AWS y le ayuda a evaluar su AWS entorno en función de los estándares y las mejores prácticas del sector de la seguridad. Security Hub CSPM puede generar hallazgos asociados a sus controles de seguridad. También puede recibir hallazgos de otros Servicios de AWS, como Amazon GuardDuty. Puede usar Security Hub CSPM para centralizar las conclusiones y los datos de sus productos y de Cuentas de AWS otros Servicios de AWS productos compatibles. Para obtener más información sobre las integraciones, consulte [Descripción de las integraciones en Security Hub CSPM en la documentación de Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html).

Security Hub CSPM también incluye funciones de automatización que le ayudan a clasificar y solucionar los problemas de seguridad. Por ejemplo, puede usar reglas de automatización para actualizar automáticamente resultados críticos cuando un control de seguridad falla. También puedes usar la integración con Amazon EventBridge para iniciar respuestas automáticas a hallazgos específicos. Para obtener más información, consulte [Modificación automática de los hallazgos del CSPM del Security Hub y actuar en función de ellos en la documentación del Security Hub sobre el CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/automations.html).

Si utilizas Amazon GuardDuty, te recomendamos que lo configures GuardDuty para enviar sus resultados a Security Hub (CSPM). Luego, Security Hub CSPM puede incluir esos hallazgos en su análisis de su postura de seguridad. Para obtener más información, consulte [Integración con AWS Security Hub CSPM](https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html) en la GuardDuty documentación.

Tanto para Network Firewall como para Route 53 Resolver DNS Firewall, puede crear hallazgos personalizados a partir del tráfico de red que está registrando. [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) es un servicio de consultas interactivo que facilita el análisis de datos en Amazon S3 con SQL estándar. Puede crear consultas en Athena que escaneen los registros de Amazon S3 y extraigan los datos relevantes. Para obtener instrucciones, consulte [Primeros pasos](https://docs.aws.amazon.com/athena/latest/ug/getting-started.html) en la documentación de Athena. A continuación, puede usar una AWS Lambda función para convertir los datos de registro relevantes al [formato de búsqueda de AWS seguridad (ASFF)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html) y enviar el hallazgo a Security Hub CSPM. A continuación se muestra un ejemplo de función Lambda que convierte los datos de registro de Network Firewall en un hallazgo de CSPM de Security Hub:

```
Import { SecurityHubClient, BatchImportFindingsCommand, GetFindingsCommand } from "@aws-sdk/client-securityhub";

Export const handler = async(event) => {
   const date = new Date().toISOString();
   
   const config = {
      Region: REGION
   };

   const input = {
      Findings: [
         {
            SchemaVersion: '2018-10-08',
            Id: ALERTLOGS3BUCKETID,
            ProductArn: FIREWALLMANAGERARN,
            GeneratorId: 'alertlogs-to-findings',
            AwsAccountId: ACCOUNTID,
            Types: 'Unusual Behaviours/Network Flow/Alert',
            CreatedAt: date,
            UpdatedAt: date,
            Severity: {
               Normalized: 80,
               Product: 8
            },
            Confidence: 100,
            Title: 'Alert Log to Findings',
            Description: 'Network Firewall Alert Log into Finding – add
               top level dynamic detail',
            Resources: [
               {
                  /*these are custom resources. Contain deeper details of your event here*/
                  firewallName: 'Example Name',
                  event: 'Example details here'
               }
            ]
         }
      ]
   };

   const client = new SecurityHubClient(config);
   const command = new BatchImportFindingsCommand(input);
   const response = await client.send(command);
   return { statusCode: 200, response };
};
```

El patrón que siga para extraer y enviar información a Security Hub CSPM depende de sus necesidades empresariales individuales. Si necesita que los datos se envíen de forma regular, puede utilizarlos EventBridge para iniciar el proceso. Si desea recibir una alerta cuando se añada la información, puede utilizar [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)). Hay muchas maneras de abordar esta arquitectura, por lo que es importante planificar adecuadamente para satisfacer las necesidades de su empresa.

## Integración AWS datos de seguridad con otros datos empresariales
<a name="architecture-gain-visibility-enterprise-data"></a>

[Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) puede automatizar la recopilación de datos de registros y eventos relacionados con la seguridad de servicios integrados Servicios de AWS y de terceros. También le ayuda a gestionar el ciclo de vida de los datos con configuraciones de retención y replicación personalizables. Security Lake convierte los datos ingeridos al formato Apache Parquet y a un esquema estándar de código abierto denominado Open Cybersecurity Schema Framework (OCSF). Gracias a la compatibilidad con OCSF, Security Lake normaliza y combina los datos de seguridad procedentes de AWS una amplia gama de fuentes de datos de seguridad empresariales. Otros Servicios de AWS y servicios de terceros pueden suscribirse a los datos almacenados en Security Lake para responder a los incidentes y analizar los datos de seguridad.

Puede configurar Security Lake para recibir las conclusiones del Security Hub CSPM. Para activar esta integración, debe habilitar ambos servicios y añadir Security Hub CSPM como fuente en Security Lake. Una vez que complete estos pasos, el CSPM de Security Hub empieza a enviar todos los resultados a Security Lake. Security Lake normaliza automáticamente las conclusiones del CSPM de Security Hub y las convierte en OCSF. En Security Lake, puede agregar uno o más suscriptores para consumir los resultados del CSPM de Security Hub. Para obtener más información, consulte [Integración con AWS Security Hub CSPM](https://docs.aws.amazon.com/security-lake/latest/userguide/aws-integrations.html#securityhub-integration) en la documentación de Security Lake.

En el siguiente vídeo, [AWS Re:inForce 2024: Cyber Threat Intelligence Sharing on AWS](https://www.youtube.com/watch?v=ufNNHBPPjQU), se explica cómo utilizar las integraciones de Security Hub CSPM y Security Lake para compartir CTI.


