View a markdown version of this page

Agentes de investigación de IA - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de
Descripción generalFuncionamientoRequisitos previosUso del agente de investigación

Agentes de investigación de IA

Descripción general

El agente de investigación impulsado por IA trabaja junto con los clientes y los ingenieros de Respuesta frente a incidencias de seguridad de AWS para agilizar las investigaciones de seguridad. Cuando un cliente crea un caso con asistencia de AWS, el agente se activa automáticamente en paralelo con la intervención de los ingenieros de Respuesta ante incidentes de seguridad, lo que reduce el tiempo de resolución de días a horas.

Cuando un cliente eleva una situación, los casos de Respuesta ante incidentes de seguridad pueden ser creados por la organización o de forma proactiva por Respuesta frente a incidencias de seguridad de AWS. Cuando se crea un nuevo caso con asistencia de AWS, el agente de investigación se activa automáticamente. Todos los casos se pueden administrar a través de la consola, la API o las integraciones con Amazon EventBridge.

Ventajas principales

  • Investigación en paralelo: el agente trabaja simultáneamente con los responsables de la respuesta, proporcionando tanto automatización impulsada por IA como experticia humana.

  • Recopilación automática de pruebas: elimina el análisis manual de registros mediante consultas automáticas de AWS CloudTrail, IAM, Amazon EC2 y el Explorador de costos.

  • Interfaz en lenguaje natural: describa sus preocupaciones en materia de seguridad en un lenguaje sencillo sin necesidad de tener conocimiento experto en los formatos de registro de AWS.

  • Respuestas más rápidas: los resúmenes de las investigaciones están disponibles en cuestión de minutos en la pestaña “Investigación”.

  • Auditabilidad total: todas las acciones de los agentes se registran en AWS CloudTrail con el rol AWSServiceRoleForSupport.

importante

Esta característica solo está disponible para los casos con asistencia de AWS. Los casos autoadministrados no incluyen capacidades de investigación de IA.

Funcionamiento

El agente de investigación con IA sigue un flujo de trabajo estructurado al analizar casos de seguridad con asistencia de AWS:

Flujo de trabajo de investigación

  1. Creación del caso: el cliente crea un caso con asistencia de AWS en la consola de Respuesta ante incidentes de seguridad, en el que describe la situación de seguridad.

  2. Activación paralela

    • Los ingenieros de Respuesta ante incidentes de seguridad intervienen en el caso.

    • Simultáneamente, el agente de IA comienza su flujo de trabajo de investigación.

  3. Preguntas contextuales (opcionales): el agente puede hacer preguntas aclaratorias para recopilar detalles específicos:

    • ID de las cuentas de AWS afectadas

    • Entidades principales de IAM involucradas (usuarios, roles, claves de acceso)

    • Identificadores de recursos específicos (buckets de S3, instancias de EC2, ARN)

    • Cronología de la actividad sospechosa

  4. Recopilación de pruebas: el agente consulta automáticamente los orígenes de datos de AWS:

    • AWS CloudTrail – llamadas a la API y actividades asociadas al incidente

    • IAM: permisos de usuario y rol, cambios en las políticas y creación de nuevas identidades

    • API de instancias de Amazon EC2: información sobre los recursos de computación, si están involucrados

    • Explorador de costos: métricas de costo y uso para un consumo de recursos inusual

  5. Análisis y correlación: el agente correlaciona las pruebas entre los servicios, identifica los patrones y crea una cronología de los eventos.

  6. Generación de resúmenes: en cuestión de minutos, el agente presenta un resumen completo de la investigación en la pestaña “Investigación”.

nota

Todos los campos son opcionales. Si no se responde en un plazo de 10 minutos, la investigación se inicia automáticamente. En algunos casos, si ya hay suficiente información disponible, el agente puede omitir por completo las preguntas opcionales.

Acceso a los resultados de la investigación

Siga estos pasos para ver el análisis de la IA:

  1. Acceda a su caso en la consola de Respuesta a incidentes de segurdad.

  2. Seleccione la pestaña Investigación.

  3. Revise el resumen de la investigación con los resultados, la cronología y el contexto.

El resumen del agente de investigación con IA se publica automáticamente como un comentario en la sección Comunicación del caso, lo que facilita su revisión junto con otras actualizaciones del caso.

Acceso a datos y permisos

El agente de investigación de IA utiliza el rol vinculado al servicio AWSServiceRoleForSupport para acceder a los recursos de AWS. Este rol proporciona los permisos de solo lectura necesarios para recopilar pruebas.

Todas las acciones que realiza el agente se registran en AWS CloudTrail, lo que permite que los clientes auditen exactamente los datos a los que se accedió durante la investigación. En los registros de AWS CloudTrail, estas acciones se atribuyen a AWSServiceRoleForSupport.

Requisitos previos

Antes de usar capacidades de investigación basadas en IA, asegúrese de lo siguiente:

Configuración necesaria

  • Respuesta frente a incidencias de seguridad de AWS habilitado: el servicio se debe habilitar a través de la cuenta de administración de AWS Organizations.

  • Tipo de caso con asistencia de AWS: la investigación con IA solo está disponible para casos con asistencia de AWS (no para casos autogestionados).

  • AWSServiceRoleForSupport: este rol vinculado al servicio se crea automáticamente y proporciona los permisos necesarios al agente de investigación.

Permisos necesarios

Para crear casos con asistencia de AWS y acceder a los resultados de la investigación, la entidad principal de IAM debe contar con los siguientes permisos: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "security-ir:CreateCase",
                "security-ir:GetCase",
                "security-ir:ListCases",
                "security-ir:UpdateCase"
            ],
            "Resource": "*"
        }
    ]
}

Uso del agente de investigación

El agente de investigación de IA se activa automáticamente al crear un caso con asistencia de AWS.

Supervisión del progreso de la investigación de IA

  1. Abra el caso en la consola de Respuesta frente a incidencias de seguridad de AWS.

  2. Seleccione la pestaña Investigación.

  3. Vea el estado de la investigación (en curso o completada).

  4. Una vez finalizada, revise el resumen completo de la investigación con los resultados, la cronología y las recomendaciones.

Divulgación de IA responsable

Los resúmenes de las investigaciones se generan mediante capacidades de IA generativa de AWS. Usted es responsable de evaluar las recomendaciones generadas con IA en su contexto específico, implementar los mecanismos de supervisión adecuados, verificar los resultados de forma independiente y mantener la supervisión humana de todas las decisiones de seguridad.

Uso de datos del cliente

El Agente de Investigación con IA no utiliza datos del cliente para el entrenamiento del modelo ni comparte datos del cliente con terceros.