Definición de las preferencias de acciones de contención - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de

Definición de las preferencias de acciones de contención

Las acciones de contención permiten que Respuesta ante incidentes de seguridad ejecute medidas de respuesta rápida durante un incidente de seguridad activo, como aislar hosts comprometidos o rotar credenciales. Estas acciones ayudan a mitigar rápidamente el impacto de los incidentes de seguridad en el entorno.

importante

Respuesta ante incidentes de seguridad no habilita las capacidades de contención de forma predeterminada. Debe autorizar explícitamente las acciones de contención mediante las preferencias de contención.

Para autorizar a los ingenieros de Respuesta ante incidentes de seguridad a realizar acciones de contención en su nombre, debe definir las preferencias de contención a nivel de organización o de cuenta. Las preferencias a nivel de cuenta prevalecen sobre las preferencias a nivel de organización.

Requisitos previos: debe tener permisos para crear casos de AWS Support.

Opciones de contención:

  • Sin acciones de contención (valor predeterminado): los ingenieros de Respuesta ante incidentes de seguridad no realizarán ninguna acción de contención en su nombre.

  • Contención con aprobación: los ingenieros de Respuesta ante incidentes de seguridad solicitarán su aprobación antes de ejecutar acciones de contención.

  • Contención automática: los ingenieros de Respuesta ante incidentes de seguridad pueden ejecutar acciones de contención de inmediato, sin aprobación previa, durante incidentes activos.

Para definir las preferencias de contención:

  1. Cree un caso de soporte de AWS para solicitar la configuración de las preferencias de acciones de contención de Respuesta ante incidentes de seguridad.

  2. En el caso de soporte, especifique:

    • Su ID de organización de AWS o los ID de cuenta específicos donde se deben autorizar las acciones de contención

    • La opción de contención preferida (sin acciones de contención, contención con aprobación o contención automática)

    • Los tipos de acciones de contención que desea autorizar (como el aislamiento de instancias de EC2, la rotación de credenciales o las modificaciones de grupos de seguridad)

  3. AWS Support colaborará en la configuración de las preferencias de contención. Será necesario implementar el conjunto de pilas de AWS CloudFormation correspondiente, que crea los roles de IAM requeridos. AWS El equipo de Support puede proporcionar asistencia si es necesario.

Una vez configurado, Respuesta ante incidentes de seguridad puede ejecutar las acciones de contención autorizadas durante incidentes de seguridad activos para ayudar a proteger el entorno.

Pasos siguientes: después de configurar las preferencias de contención, puede supervisar las acciones de contención realizadas durante los incidentes en la consola de Respuesta ante incidentes de seguridad.