Contención
Respuesta ante incidentes de seguridad de AWS colabora para contener los eventos. Puede configurar el servicio para que adopte acciones de contención proactivas en la cuenta en respuesta a resultados de seguridad. También es posible realizar acciones de contención directamente o en colaboración con terceros mediante el uso de los documentos de SSM descritos en Acciones de contención admitidas.
importante
Respuesta ante incidentes de seguridad de AWS no habilita las capacidades de contención de forma predeterminada.
Se requieren dos pasos para habilitar las capacidades de contención proactiva:
-
Otorgar los permisos necesarios al servicio mediante roles de IAM. Estos roles se pueden crear de forma individual por cuenta o en toda la organización mediante conjuntos de pilas de AWS CloudFormation, que generan los roles requeridos.
-
Definir las preferencias de contención por cuenta o a nivel de organización para autorizar acciones de contención proactivas. Las preferencias a nivel de cuenta prevalecen sobre las preferencias a nivel de organización. Esto se puede realizar mediante la creación de un caso de AWS Support (Técnico: Respuesta ante incidentes de seguridad/Otro). Las preferencias de contención disponibles son:
-
Aprobación requerida (valor predeterminado): no realizar contención proactiva de ningún recurso sin autorización explícita caso por caso.
-
Contener recurso confirmado como comprometido: realizar contención proactiva de un recurso confirmado como comprometido.
-
Contener recurso con compromiso presunto: realizar contención proactiva de un recurso con alta probabilidad de haber sido comprometido, según el análisis realizado por el equipo de Ingeniería de Respuesta ante incidentes de seguridad de AWS.
-
