View a markdown version of this page

Paso 1: Habilite Respuesta frente a incidencias de seguridad de AWS - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de

Paso 1: Habilite Respuesta frente a incidencias de seguridad de AWS

El proceso de incorporación tarda aproximadamente de 10 a 15 minutos por organización de AWS. Para ver un tutorial, consulte el video de introducción en la documentación del servicio.

nota

Las instrucciones de esta sección describen cómo habilitar la respuesta a incidentes de seguridad y configurar su equipo mediante la consola Respuesta frente a incidencias de seguridad de AWS (pasos 1 y 2). También puede llevar a cabo estos pasos mediante la API/CLI. Para obtener instrucciones sobre cómo utilizar la API/CLI, consulte Habilite la respuesta a incidentes de seguridad y configure su equipo de respuesta a incidentes mediante la API/CLI.

Habilitar Respuesta frente a incidencias de seguridad de AWS mediante la consola de Respuesta frente a incidencias de seguridad de AWS

  1. Inicie sesión en la consola de administración de AWS mediante su cuenta de administración.

  2. Abra la consola de Respuesta frente a incidencias de seguridad de AWS y elija Registrarse.

    Página de registro de Respuesta frente a incidencias de seguridad de AWS con el botón de registro.

  3. Configuración de la cuenta de suscripción central. Para obtener más información, consulte Arquitectura de referencia de seguridad en la Guía prescriptiva AWS y Recomendaciones y consideraciones sobre cómo funciona una cuenta delegada de administrador de respuesta a incidentes de seguridad.

    Configure la página central de cuentas de membresía para seleccionar una cuenta de administrador delegado.

  4. Inicie sesión en la cuenta de administrador delegado.

  5. Introduzca los detalles de la membresía y asocie las cuentas pertinentes.

  6. En cuanto al Alcance de la cuenta, opte por habilitar la Respuesta frente a incidencias de seguridad de AWS en toda la organización de AWS o en UO específicas. Puede seleccionar la cobertura a nivel de la UO, pero no a nivel de una cuenta individual.

  7. La respuesta proactiva está activada de forma predeterminada y crea un rol vinculado al servicio que permite que la ingeniería de respuesta ante incidentes de seguridad asimile los resultados de GuardDuty y abra casos de investigación proactivos cuando se detectan amenazas. Para obtener más información, consulte la respuesta proactiva.

    Respuesta frente a incidencias de seguridad de AWS crea automáticamente el rol AWSServiceRoleForSecurityIncidentResponse_Triage vinculado al servicio en su cuenta de administración AWS Organizations y en todas las cuentas incluidas en el ámbito de aplicación.

  8. (Opcional) Elija preautorizar la ingeniería de respuesta ante incidentes de seguridad para que lleve a cabo acciones de contención en su nombre durante los incidentes activos. Entre las acciones de contención admitidas se incluyen manuales de procedimientos para los buckets de S3, las instancias de EC2 y los componentes principales de IAM comprometidos. Si omite este paso, la ingeniería de respuesta ante incidentes de seguridad le proporcionará orientación manual durante las investigaciones. Para obtener más información, consulte las Acciones de contención.

  9. Revise los permisos del servicio y la configuración de la incorporación y, a continuación, elija Registrarse.

    Revise la pantalla de permisos del servicio, donde se muestran los permisos que requiere Respuesta frente a incidencias de seguridad de AWS para supervisar los resultados.
    Pantalla de confirmación de registro para habilitar la supervisión de respuesta proactiva.