# Apéndice A: Definiciones de capacidades en la nube
AWS tiene a su disposición más de 200 servicios en la nube y miles de características. Muchos de ellos ofrecen funcionalidades nativas de detección, prevención y respuesta, y se pueden utilizar otros servicios para diseñar soluciones de seguridad personalizadas. En esta sección se incluyen un subconjunto de los servicios que son más pertinentes para la respuesta ante incidentes en la nube.
**Topics**
+ [Registro y eventos](logging-and-events.md)
+ [Visibilidad y alertas](visibility-and-alerting.md)
+ [Automation](automation-1.md)
+ [Almacenamiento seguro](secure-storage.md)
+ [Capacidades de seguridad futuras y personalizadas](custom.md)
# Registro y eventos
[https://aws.amazon.com/cloudtrail/](https://aws.amazon.com/cloudtrail/): servicio de AWS CloudTrail que permite la gobernanza, el cumplimiento, la auditoría operativa y la auditoría de riesgos de las cuentas de AWS. Con CloudTrail, puede registrar, monitorear de forma continua y retener la actividad de las cuentas relacionada con las acciones en todos los servicios de AWS. CloudTrail proporciona un historial de eventos de la actividad de sus cuentas de AWS, como las acciones realizadas a través de la Consola de administración de AWS, los SDK de AWS, las herramientas de la línea de comandos y otros servicios de AWS. Este historial de eventos simplifica el análisis de seguridad, el seguimiento de los cambios en los recursos y la solución de problemas. CloudTrail registra dos tipos diferentes de acciones de las API de AWS:
+ Los **eventos de administración de CloudTrail** (también conocidos como operaciones del plano de control) muestran las operaciones de administración que se realizan en los recursos de su cuenta de AWS. Esto incluye acciones como la creación de un bucket de Amazon S3 y la configuración del registro.
+ En los **eventos de datos de CloudTrail** (también conocidos como operaciones del plano de datos), se muestra información sobre las operaciones de recursos llevadas a cabo en recursos de su cuenta de AWS. Estas operaciones suelen ser actividades de gran volumen. Esto incluye acciones como la actividad de la API a nivel de objeto de Amazon S3 (por ejemplo, las operaciones de la API `GetObject`, `DeleteObject` y `PutObject`) y la actividad de invocación de funciones de Lambda.
[https://aws.amazon.com/config/](https://aws.amazon.com/config/): AWS Config es un servicio que le permite evaluar, auditar y analizar las configuraciones de sus recursos de AWS. AWS Config monitorea y registra continuamente las configuraciones de recursos de AWS y le permite automatizar la comparación de las configuraciones registradas con las configuraciones deseadas. Con AWS Config, los clientes pueden revisar manual o automáticamente los cambios en las configuraciones y las relaciones entre los recursos de AWS, investigar los historiales detallados de configuración de recursos y determinar el cumplimiento general con respecto a las configuraciones especificadas en las pautas de los clientes. Esto puede simplificar las auditorías de cumplimiento, los análisis de seguridad, la administración de cambios y la resolución de problemas operativos.
[https://aws.amazon.com/eventbridge/](https://aws.amazon.com/eventbridge/): Amazon EventBridge proporciona una transmisión de una secuencia de eventos de sistema casi en tiempo real que describen cambios en los recursos de AWS o cuando AWS CloudTrail publica llamadas a la API. Mediante reglas sencillas que puede configurar rápidamente, puede asignar los eventos y dirigirlos a uno o más flujos o funciones de destino. EventBridge toma conocimiento de los cambios operativos a medida que se producen. EventBridge puede responder a estos cambios operativos y tomar medidas de corrección según sea necesario, enviando mensajes para responder al entorno, activando funciones, realizando cambios y captando información de estado. Algunos servicios de seguridad, como Amazon GuardDuty, producen sus resultados en forma de eventos de EventBridge. Muchos servicios de seguridad también ofrecen la opción de enviar sus resultados a Amazon S3.
**Registros de acceso de Amazon S3**: si se almacena información confidencial en un bucket de Amazon S3, los clientes pueden habilitar los registros de acceso de Amazon S3 para registrar cada carga, descarga y modificación de esos datos. Este registro es independiente y se suma a los registros de CloudTrail que registran los cambios en el propio bucket (como los cambios en las políticas de acceso y las políticas del ciclo de vida). Es importante tener en cuenta que las entradas de registro de acceso al servidor se envían según el “mejor esfuerzo”; es decir, en la medida que sea posible. En la mayoría de las solicitudes de registros para un bucket debidamente configurado se envían archivos de registro. No se garantiza que los registros de servidores estén completos ni que lleguen de manera puntual.
[https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html): los clientes pueden utilizar Registros de Amazon CloudWatch para monitorear y almacenar los archivos de registro procedentes de sistemas operativos, aplicaciones y otros orígenes que se ejecutan en instancias de Amazon EC2 con un agente de Registros de CloudWatch, así como acceder a ellos. Registros de CloudWatch puede ser un destino para AWS CloudTrail, consultas de DNS de Route 53, registros de flujo de VPC, funciones de Lambda y otros. Los clientes pueden recuperar los datos de registro asociados de Registros de CloudWatch.
[https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html): los registros de flujo de VPC permiten que los clientes capturen información sobre el tráfico IP entrante y saliente de las interfaces de red de las VPC. Una vez habilitados los registros de flujo, se pueden transmitir a Registros de Amazon CloudWatch y Amazon S3. Los registros de flujo de VPC ayudan a los clientes a realizar una serie de tareas, como solucionar problemas por los que un tráfico específico no llega a una instancia, diagnosticar reglas de grupos de seguridad demasiado restrictivas y utilizarlos como herramienta de seguridad para supervisar el tráfico a las instancias de EC2. Utilice la versión más reciente del registro de flujos de VPC para obtener los campos más completos.
[https://aws.amazon.com/waf/](https://aws.amazon.com/waf/): AWS WAF admite el registro completo de todas las solicitudes web inspeccionadas por el servicio. Los clientes pueden almacenarlos en Amazon S3 para cumplir con los requisitos de cumplimiento y auditoría, así como para la depuración y el análisis forense. Estos registros ayudan a los clientes a determinar la causa raíz de las reglas iniciadas y de las solicitudes web bloqueadas. Los registros se pueden integrar con herramientas de análisis de registros y SIEM de terceros.
[https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html): los registros de consultas de Route 53 Resolver le permiten registrar todas las consultas de DNS realizadas por los recursos dentro de Amazon Virtual Private Cloud (Amazon VPC). Ya sea una instancia de Amazon EC2, una función de AWS Lambda o un contenedor, si reside en su Amazon VPC y realiza una consulta de DNS, esta característica la registrará; de este modo, podrá explorar y comprender mejor el funcionamiento de sus aplicaciones.
**Otros registros de AWS**: AWS publica continuamente características y capacidades del servicio para los clientes con nuevas capacidades de registro y monitoreo. Para obtener información sobre las características disponibles para cada servicio de AWS, consulte nuestra documentación pública.
# Visibilidad y alertas
[https://aws.amazon.com/security-incident-response/](https://aws.amazon.com/security-incident-response/): Respuesta frente a incidencias de seguridad de AWS es un servicio integral que ayuda a las organizaciones a gestionar los eventos de seguridad a lo largo de su ciclo de vida mediante la combinación de capacidades automatizadas con el apoyo humano experto. El servicio aprovecha las características automatizadas de supervisión e investigación para liberar recursos de la organización y, al mismo tiempo, mantener una supervisión de seguridad constante. Cuando se producen incidentes de seguridad, facilita la comunicación y la coordinación aceleradas entre las partes interesadas para lograr tiempos de respuesta rápidos. El servicio admite múltiples casos de uso, como la preparación y simulación de eventos de seguridad, la respuesta ante incidentes activos y la simplificación de los informes y análisis posteriores a los incidentes, lo que garantiza que las organizaciones estén bien equipadas para hacer frente a los desafíos de seguridad en cada etapa.
[https://aws.amazon.com/security-hub/](https://aws.amazon.com/security-hub/): AWS Security Hub CSPM proporciona a los clientes una vista integral de las alertas de seguridad de alta prioridad y los estados de cumplimiento en todas las cuentas de AWS. El CSPM de Security Hub agrega, organiza y prioriza los resultados de amenazas provenientes de servicios de AWS, como Amazon GuardDuty, Amazon Inspector, Amazon Macie y soluciones de AWS Partner. Los resultados se resumen de forma visual en paneles de control integrados con gráficos y tablas procesables. También puede monitorear su entorno de forma continua mediante comprobaciones de cumplimiento automatizadas basadas en las prácticas recomendadas de AWS y los estándares del sector que sigue su organización.
[https://aws.amazon.com/guardduty/](https://aws.amazon.com/guardduty/): Amazon GuardDuty es un servicio administrado de detección de amenazas que monitorea de forma continua posibles comportamientos malintencionados o no autorizados para ayudar a los clientes a proteger sus cargas de trabajo y cuentas de AWS. Monitorea actividades como las llamadas inusuales a la API o las implementaciones potencialmente no autorizadas, lo que indica la posibilidad de que las cuentas o los recursos de las instancias de Amazon EC2 o buckets de Amazon S3 se vean comprometidos o el reconocimiento por parte de personas malintencionadas.
GuardDuty identifica a los presuntos actores maliciosos mediante fuentes de inteligencia de amenazas integradas que utilizan el machine learning para detectar anomalías en la actividad de la cuenta y la carga de trabajo. Cuando se detecta una amenaza potencial, el servicio envía una alerta de seguridad detallada a la consola de GuardDuty y a Eventos de CloudWatch. Esto hace que las alertas sean procesables y fáciles de integrar en los sistemas de administración de eventos y flujos de trabajo existentes.
GuardDuty también ofrece dos complementos para monitorear amenazas con servicios específicos: Amazon GuardDuty para la protección de Amazon S3 y Amazon GuardDuty para la protección de Amazon EKS. La protección de Amazon S3 permite que GuardDuty monitoree las operaciones de la API de nivel de objeto para identificar los posibles riesgos de seguridad para los datos de los buckets de Amazon S3. La protección de Kubernetes permite que GuardDuty detecte actividades sospechosas y posibles riesgos de los clústeres de Kubernetes dentro de Amazon EKS.
[https://aws.amazon.com/macie/](https://aws.amazon.com/macie/): Amazon Macie es un servicio de seguridad basado en inteligencia artificial que ayuda a prevenir la pérdida de datos al detectar, clasificar y proteger automáticamente la información confidencial almacenada en AWS. Macie utiliza machine learning (ML) para reconocer información confidencial, como la información de identificación personal (PII) o la propiedad intelectual, asignar un valor empresarial y proporcionar visibilidad sobre dónde se almacenan esta información y cómo se utiliza en su organización. Amazon Macie monitorea continuamente la actividad de acceso a los datos para detectar anomalías y envía alertas cuando detecta un riesgo de acceso no autorizado o de fugas de datos inadvertidas.
[https://aws.amazon.com/config/](https://aws.amazon.com/config/): una regla de AWS Config representa las configuraciones preferidas para un recurso y se evalúa en función de los cambios de configuración en los recursos pertinentes, según lo registrado por AWS Config. Puede ver los resultados de la evaluación de una regla con respecto a la configuración de un recurso en un panel de control. Con las reglas de AWS Config, puede evaluar su estado general de cumplimiento y riesgo desde la perspectiva de la configuración, ver las tendencias de cumplimiento a lo largo del tiempo y determinar qué cambio de configuración provocó que un recurso no cumpliera con una regla.
[https://aws.amazon.com/premiumsupport/technology/trusted-advisor/](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/): AWS Trusted Advisor es un recurso en línea que lo ayuda a reducir los costos, aumentar el rendimiento y mejorar la seguridad mediante la optimización de su entorno de AWS. Trusted Advisor proporciona orientación en tiempo real para ayudarlo a aprovisionar sus recursos según las prácticas recomendadas de AWS. El conjunto completo de comprobaciones de Trusted Advisor, incluida la integración con Eventos de CloudWatch, está disponible para los clientes de los planes Business y Enterprise Support.
[https://aws.amazon.com/cloudwatch/](https://aws.amazon.com/cloudwatch/): Amazon CloudWatch es un servicio de monitoreo de recursos en Nube de AWS y aplicaciones que ejecuta en AWS. Puede utilizar CloudWatch para recopilar y realizar el seguimiento de métricas, recopilar y monitorear archivos de registro, establecer alarmas y reaccionar automáticamente a los cambios en sus recursos de AWS. CloudWatch puede monitorear recursos de AWS como, por ejemplo, instancias de Amazon EC2, tablas de Amazon DynamoDB e instancias de base de datos de Amazon RDS, así como métricas personalizadas generadas por las aplicaciones y los servicios, y los archivos de registro generados por las aplicaciones. Puede utilizar Amazon CloudWatch para obtener visibilidad de todo el sistema sobre la utilización de recursos, el rendimiento de las aplicaciones y el estado de funcionamiento. Puede usar esta información para iniciar y mantener la ejecución de la aplicación sin problemas según sea necesario.
[https://aws.amazon.com/inspector/](https://aws.amazon.com/inspector/): Amazon Inspector es un servicio automático de valoración de seguridad que ayuda a mejorar la seguridad y el cumplimiento de las aplicaciones implementadas en AWS. Amazon Inspector evalúa automáticamente las aplicaciones en busca de vulnerabilidades o desviaciones respecto a las prácticas recomendadas. Después de la evaluación, Amazon Inspector genera una lista detallada de resultados relacionados con la seguridad priorizados por nivel de gravedad. Estos resultados se pueden revisar directamente o como parte de informes de evaluación detallados que están disponibles a través de la consola o la API de Amazon Inspector.
[https://aws.amazon.com/detective/](https://aws.amazon.com/detective/): Amazon Detective es un servicio de seguridad que recopila automáticamente los datos de registro de los recursos de AWS y utiliza el machine learning, el análisis estadístico y la teoría de gráficos para crear un conjunto de datos enlazados que le permita realizar investigaciones de seguridad más rápidas y eficientes. Detective puede analizar billones de eventos de varios orígenes de datos, como los registros de flujo de VPC, CloudTrail y GuardDuty, y crea automáticamente una vista unificada e interactiva de sus recursos, usuarios y las interacciones entre ellos a lo largo del tiempo. Con esta vista unificada, puede visualizar todos los detalles y el contexto en un solo lugar para identificar las razones subyacentes de los resultados, profundizar en las actividades históricas pertinentes y determinar rápidamente la causa raíz.
# Automation
[https://aws.amazon.com/lambda](https://aws.amazon.com/lambda) – AWS Lambda es un servicio de computación sin servidor que ejecuta código como respuesta a eventos y administra automáticamente los recursos de computación subyacentes por usted. Puede utilizar Lambda para ampliar otros servicios de AWS con lógica personalizada o crear sus propios servicios de backend que operen con el nivel de seguridad, rendimiento y escala de AWS. Lambda ejecuta su código en una infraestructura de computación de alta disponibilidad y administra los recursos de computación por usted. Esto incluye el mantenimiento del servidor y del sistema operativo, el aprovisionamiento de capacidad y el escalado automático, la implementación de parches de código y seguridad y el monitoreo y el registro del código. Solo tiene que proporcionar el código.
[https://aws.amazon.com/step-functions/](https://aws.amazon.com/step-functions/) – AWS Step Functions simplifica la coordinación de los componentes de aplicaciones y microservicios distribuidos con flujos de trabajo visuales. Step Functions proporciona una consola gráfica con la que puede organizar y visualizar los componentes de su aplicación en varios pasos. Esto facilita la creación y ejecución de aplicaciones de varios pasos. Step Functions inicia y monitorea cada paso de manera automática, y realiza reintentos cuando se producen errores, por lo que su aplicación se ejecuta en orden y según lo previsto.
Step Functions registra el estado de cada paso, de manera que, cuando algo sale mal, puede diagnosticar y depurar los problemas con rapidez. Puede cambiar y agregar pasos sin necesidad de escribir código, de forma que pueda desarrollar e innovar su aplicación más rápido. AWS Step Functions forma parte de AWS sin servidor y facilita la orquestación de funciones de AWS Lambda para las aplicaciones sin servidor. También puede utilizar Step Functions para la orquestación de microservicios mediante recursos de computación como Amazon EC2 y Amazon ECS.
[https://aws.amazon.com/systems-manager/](https://aws.amazon.com/systems-manager/): AWS Systems Manager le ofrece visibilidad y control de su infraestructura de AWS. Systems Manager proporciona una interfaz de usuario unificada para que pueda ver los datos operativos de varios servicios de AWS y le permite automatizar tareas operativas en todos sus recursos de AWS. Con Systems Manager, puede agrupar los recursos por aplicación, ver los datos operativos para la supervisión y la resolución de problemas y actuar en función de sus grupos de recursos. Systems Manager puede mantener las instancias en el estado definido, realizar cambios bajo demanda, como actualizar aplicaciones o ejecutar scripts del intérprete de comandos, y realizar otras tareas de automatización y aplicación de parches.
# Almacenamiento seguro
[https://aws.amazon.com/s3/](https://aws.amazon.com/s3/): Amazon S3 es un almacenamiento de objetos creado para almacenar y recuperar cualquier cantidad de datos desde cualquier lugar. Está diseñado para ofrecer una durabilidad del 99,999999999 % y almacena datos para millones de aplicaciones utilizadas por los líderes del mercado en todos los sectores. Amazon S3 ofrece una seguridad integral y está diseñado para ayudarlo a cumplir sus requisitos normativos. Ofrece a los clientes flexibilidad en los métodos que utilizan para administrar los datos con el fin de optimizar los costos, controlar el acceso y cumplir con las normas. Amazon S3 ofrece una funcionalidad de consulta in situ que le permite ejecutar análisis potentes directamente sobre sus datos en reposo en Amazon S3. Amazon S3 es un servicio de almacenamiento en la nube altamente compatible que cuenta con la integración de una de las mayores comunidades de soluciones de terceros, socios integradores de sistemas y otros servicios de AWS.
[https://aws.amazon.com/s3/storage-classes/glacier/](https://aws.amazon.com/s3/storage-classes/glacier/): Amazon Glacier es un servicio de almacenamiento en la nube seguro, duradero y de bajo costo para archivo de datos y copias de seguridad a largo plazo. Está diseñado para ofrecer una durabilidad del 99,999999999 %, proporciona seguridad integral y está diseñado para ayudarlo a satisfacer sus requisitos normativos. Amazon Glacier ofrece una funcionalidad de consulta in situ que le permite ejecutar análisis potentes directamente sobre sus datos en reposo archivados. Para mantener los costos bajos y, al mismo tiempo, adaptarse a las distintas necesidades de recuperación, Amazon Glacier ofrece tres opciones de acceso a los archivos, desde unos minutos hasta varias horas.
# Capacidades de seguridad futuras y personalizadas
Los servicios y características antes mencionados no son una lista exhaustiva. AWS agrega nuevas capacidades continuamente. Para obtener más información, le recomendamos que consulte las páginas [Novedades de AWS](https://aws.amazon.com/new/) y [Seguridad en la nube de AWS](https://aws.amazon.com/security/). Además de los servicios de seguridad que AWS ofrece como servicios nativos en la nube, es posible que le interese desarrollar sus propias capacidades sobre los servicios de AWS.
Aunque recomendamos habilitar un conjunto básico de servicios de seguridad en sus cuentas, como AWS CloudTrail, Amazon GuardDuty y Amazon Macie, es posible que en algún momento desee ampliar estas capacidades para obtener un valor adicional de sus activos de registro. Hay varias herramientas de socios disponibles, como las que se enumeran en nuestro programa de competencias de seguridad de la APN. También puede escribir sus propias consultas para buscar en sus registros. Con la amplia cantidad de servicios administrados que AWS ofrece, es más fácil que nunca. Existen muchos servicios de AWS adicionales que pueden ayudarlo en la investigación y que quedan fuera del ámbito de este documento, como Amazon Athena, Amazon OpenSearch Service, Amazon Quick, Amazon Machine Learning y Amazon EMR.