Cambio del estado de un caso
Un caso se encontrará en uno de los siguientes estados:
-
Enviado: este es el estado inicial de un caso. Un solicitante ha enviado los casos que tienen este estado, pero aún no se está trabajando en ellos.
-
Detection and Analysis: este estado indica que el equipo de respuesta ante incidentes ha empezado a trabajar en el caso. Esta fase incluye la recopilación de datos, la clasificación del evento y la realización de análisis para sacar conclusiones basadas en los datos.
-
Containment, Eradication and Recovery: en este estado, el personal de respuesta ante incidentes ha identificado una actividad sospechosa que requiere un esfuerzo adicional para eliminarla. El personal de respuesta ante incidentes le proporcionará recomendaciones para el análisis de riesgos empresariales y medidas adicionales. Si ha habilitado las características opcionales del servicio, un miembro del equipo de respuesta ante incidentes de AWS solicitará su consentimiento para llevar a cabo acciones de contención con los documentos de SSM en las cuentas afectadas.
-
Actividades posteriores al incidente: en este estado, se ha contenido el evento de seguridad principal. El objetivo ahora es recuperar las operaciones comerciales y volver a la normalidad. Se proporciona un resumen y un análisis de la causa raíz si el personal de respuesta del caso es compatible con AWS.
-
Cerrado: este es el estado final del flujo de trabajo. Los casos en estado cerrado indican que el trabajo se ha completado. Los casos cerrados no se pueden reabrir, así que debe asegurarse de que todas las acciones se hayan completado antes de pasar a este estado.
Elija Acción/Actualizar estado para cambiar el estado del caso en los casos autoadministrados. En los casos con asistencia de AWS, el estado lo establecen los ingenieros de Respuesta ante incidentes de seguridad de AWS.
