Creación de un caso compatible con AWS - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de

Creación de un caso compatible con AWS

Puede crear un caso con asistencia de AWS para Respuesta frente a incidencias de seguridad de AWS a través de la consola, la API o la AWS Command Line Interface; estos casos con asistencia de AWS ponen a disposición el apoyo de los ingenieros de Respuesta ante incidentes de seguridad.

importante

Los casos de demostración o simulación se cierran después de un período de 90 días.

nota

Los ingenieros de Respuesta ante incidentes de seguridad de AWS responderán al caso en un plazo de 15 minutos. El tiempo de respuesta corresponde a la primera respuesta de los ingenieros de Respuesta ante incidentes de seguridad de AWS. Haremos todo lo posible por responder a la solicitud inicial en este plazo. Este tiempo de respuesta no se aplica a las respuestas posteriores.

nota

Puede crear casos con asistencia de AWS no solo para incidentes de seguridad activos e investigaciones, sino también para consultas sobre las capacidades de Respuesta ante incidentes de seguridad de AWS. Esto incluye preguntas sobre las reglas de supresión de GuardDuty, las configuraciones de clasificación de alertas, los flujos de trabajo de respuesta proactiva y orientación general sobre la postura de seguridad. Seleccione el tipo de caso Investigaciones y consultas para estos fines.

En el siguiente ejemplo se abarca el uso de la consola.

  1. Inicie sesión en Respuesta frente a incidencias de seguridad de AWS a través de la AWS Management Console.

  2. Elija Crear caso.

  3. Elija Resolver el caso con AWS.

  4. Seleccione el tipo de solicitud:

    1. Incidente de seguridad activo: este tipo es para apoyo y servicios urgentes de respuesta ante incidentes.

    2. Investigaciones y consultas: utilice este tipo para incidentes de seguridad detectados en los que los ingenieros de Respuesta ante incidentes de seguridad de AWS puedan brindar apoyo en el análisis de registros y la confirmación secundaria de la investigación de respuesta ante incidentes. También puede utilizar este tipo para consultas sobre los resultados de GuardDuty, las reglas de supresión, las configuraciones de clasificación de alertas, los flujos de trabajo de respuesta proactiva y cuestiones generales sobre la postura de seguridad relacionadas con las capacidades de Respuesta ante incidentes de seguridad de AWS.

  5. Establezca la fecha estimada de inicio como la fecha del primer indicador del incidente. Por ejemplo, cuando experimentó un comportamiento anómalo por primera vez o cuando recibió la primera alerta de seguridad relacionada.

  6. Defina un título para el caso.

  7. Proporcione una descripción detallada del caso.  Tenga en cuenta los siguientes aspectos que pueden ayudar al personal de respuesta ante incidentes a resolver el caso:

    1. ¿Qué ha pasado?

    2. ¿Quién descubrió y notificó el incidente?

    3. ¿A quién afecta el caso?

    4. ¿Cuál es el impacto conocido?

    5. ¿Cuál es la urgencia de este caso?

    6. Agregue uno o varios ID de Cuenta de AWS que estén dentro del alcance del caso.

  8. Agregue detalles opcionales del caso:

    1. Seleccione los servicios principales que se ven afectados en la lista desplegable.

    2. Seleccione las regiones principales que se ven afectadas en la lista desplegable.

    3. Agregue una o varias direcciones IP de agente de amenazas que haya identificado como parte de este caso. 

  9. Agregue al caso personal adicional y opcional de respuesta ante incidentes que recibirá las notificaciones. Para agregar a una persona, haga lo siguiente:

    1. Agregue una dirección de correo electrónico.

    2. Agregue un nombre y apellidos opcionales.

    3. Elija Agregar nuevo para agregar a otra persona.

    4. Para eliminar a una persona, elija la opción Eliminar para una persona.

    5. Elija Agregar para agregar al caso a todas las personas indicadas.

      1. Puede seleccionar varias personas y elegir Eliminar para eliminarlas de la lista.

  10. Agregue etiquetas opcionales al caso.

    1. Para añadir una etiqueta, haga lo siguiente:

    2. Elija Añadir nueva etiqueta.

    3. En Clave, escriba el nombre de la etiqueta.

    4. En Valor, escriba el valor de la etiqueta.

    5. Para eliminar una etiqueta, elija la opción Eliminar de la etiqueta correspondiente.

Una vez creado un caso compatible con AWS, los ingenieros de Respuesta ante incidentes de seguridad de AWS y su equipo de respuesta ante incidentes reciben una notificación inmediata.

Creación de un caso con asistencia de AWS mediante una investigación basada en IA

  1. Abra la consola de Respuesta frente a incidencias de seguridad de AWS en console.aws.amazon.com/.

  2. Seleccione Casos en el panel de navegación.

  3. Seleccione Crear caso.

  4. En Tipo de caso, seleccione Caso con asistencia de AWS.

  5. Proporcione los detalles del caso, como el título, la fecha de inicio del incidente y el ID de cuenta de AWS afectado.

  6. En la sección Describa el incidente de seguridad, proporcione una descripción detallada del incidente.

  7. Proporcione información adicional sobre los servicios y regiones de AWS afectados y otros detalles pertinentes.

  8. Seleccione Crear caso.

Tras la creación del caso, los ingenieros de Respuesta ante incidentes de seguridad y el agente de IA comienzan a trabajar de forma simultánea.

Respuesta a las preguntas aclaratorias de la IA (opcional)

  1. Acceda a la pestaña Investigación de su caso.

  2. Revise cualquier pregunta aclaratoria que formule el agente de IA.

  3. Responda a las preguntas o seleccione Omitir si prefiere no responder.

  4. Seleccione Enviar para continuar. Todos los campos son opcionales.

Divulgación de IA responsable

Los resúmenes de las investigaciones se generan mediante capacidades de IA generativa de AWS. Usted es responsable de evaluar las recomendaciones generadas con IA en su contexto específico, implementar los mecanismos de supervisión adecuados, verificar los resultados de forma independiente y mantener la supervisión humana de todas las decisiones de seguridad.