Detección y análisis - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de

Detección y análisis

Notificación de un evento

Puede notificar un evento de seguridad a través del portal de Respuesta frente a incidencias de seguridad de AWS. Es importante no esperar durante un evento de seguridad. Respuesta frente a incidencias de seguridad de AWS utiliza técnicas automatizadas y manuales para investigar los eventos de seguridad, analizar los registros y buscar patrones anómalos. Su colaboración y comprensión del entorno aceleran este análisis.

Habilitación de orígenes de detección compatibles

nota

Los costos del servicio Respuesta frente a incidencias de seguridad de AWS no incluyen el uso ni otros costos y tarifas asociados con los orígenes de detección compatibles o el uso de otros servicios de AWS. Consulte las páginas de las características o los servicios individuales para obtener detalles sobre los costos.

Amazon GuardDuty

Para habilitar GuardDuty en toda su organización, consulte la sección Setting up GuardDuty de la Guía del usuario de Amazon GuardDuty.

Se recomienda encarecidamente que habilite GuardDuty en todas las Regiones de AWS compatibles. Esto permite a GuardDuty generar resultados sobre la actividad no autorizada o inusual incluso en las regiones que no utiliza de forma activa. Para obtener más información, consulte Amazon GuardDuty Regions and endpoints

La habilitación de GuardDuty proporciona a Respuesta frente a incidencias de seguridad de AWS acceso a datos críticos de detección de amenazas, lo que mejora su capacidad de identificación y respuesta ante posibles problemas de seguridad en su entorno de AWS.

AWS Security Hub CSPM

Security Hub CSPM puede ingerir los resultados de seguridad de varios servicios de AWS y soluciones de seguridad de terceros que sean compatibles. Estas integraciones pueden ayudar a Respuesta frente a incidencias de seguridad de AWS a supervisar e investigar los resultados procedentes de otras herramientas de detección.

Para habilitar la integración de Security Hub CSPM con Organizations, consulte la Guía del usuario de AWS Security Hub CSPM.

Hay varias formas de habilitar las integraciones en Security Hub CSPM. Para las integraciones de productos de terceros, es posible que tenga que comprar la integración en AWS Marketplace y, a continuación, configurar la integración. La información de integración proporciona enlaces para completar estas tareas. Obtenga más información sobre cómo habilitar las integraciones de AWS Security Hub CSPM.

Respuesta frente a incidencias de seguridad de AWS puede supervisar e investigar los resultados de las siguientes herramientas cuando están integradas con AWS Security Hub CSPM:

Al habilitar estas integraciones, puede mejorar significativamente el alcance y la eficacia de las capacidades de supervisión e investigación de Respuesta frente a incidencias de seguridad de AWS.

Detección

Si la “Respuesta proactiva” está habilitada https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html, Respuesta frente a incidencias de seguridad de AWS ingiere resultados de Amazon GuardDuty y de AWS Security Hub CSPM mediante reglas de Amazon EventBridge que se implementan en las cuentas durante el proceso de incorporación.

Respuesta frente a incidencias de seguridad de AWS archiva automáticamente los resultados de Amazon GuardDuty que, durante la clasificación automatizada, se determinan como benignos o asociados con actividad esperada. Puede consultar los resultados archivados en la consola de Amazon GuardDuty. Para ello, seleccione Archivados en el filtro Estado de los resultados. Para obtener más información, consulte Visualización de los resultados generados en la consola de GuardDuty en la Guía del usuario de Amazon GuardDuty.

Respuesta frente a incidencias de seguridad de AWS archiva automáticamente los resultados de Amazon GuardDuty que, durante la clasificación automatizada, se determinan como benignos o asociados con actividad esperada. Este archivado se aplica únicamente a los resultados que han sido clasificados y cuya determinación ha sido “archivar”. Los resultados bajo investigación activa permanecen visibles en la consola de Amazon GuardDuty incluso después de que la investigación haya concluido. Puede consultar los resultados archivados en la consola de Amazon GuardDuty. Para ello, seleccione Archivados en el filtro de resultados. Para obtener más información sobre cómo trabajar con resultados archivados, consulte Cómo trabajar con resultados en la Guía del usuario de Amazon GuardDuty.

Cuando AWS Security Hub CSPM ingiere resultados de seguridad, el sistema actualiza cada resultado con una nota que indica que ha comenzado la clasificación automatizada. El estado del flujo de trabajo cambia de NUEVO a NOTIFICADO, lo que elimina el resultado de la vista predeterminada de resultados en AWS Security Hub CSPM. Si la clasificación determina que un resultado es benigno o está asociado con actividad esperada, el sistema agrega una nota al resultado y actualiza el estado del flujo de trabajo a SUPRIMIDO.

Análisis: clasificación automatizada

Respuesta frente a incidencias de seguridad de AWS clasifica automáticamente los resultados de seguridad. El proceso de clasificación determina si la actividad detectada corresponde a un comportamiento esperado mediante el análisis de datos provenientes de múltiples orígenes, incluidos el contenido del resultado, los metadatos de los servicios de AWS, los datos de registro y supervisión de AWS (como AWS CloudTrail y los registros de flujo de VPC), la inteligencia de amenazas de AWS y el contexto que se le invita a proporcionar sobre los entornos de AWS y en las instalaciones.

Si la clasificación automatizada determina que la actividad detectada es esperada, el sistema no realiza ninguna acción de investigación adicional.

Análisis: investigación de seguridad de respuesta ante incidentes

El equipo de Ingeniería de Respuesta frente a incidencias de seguridad de AWS es un equipo global, disponible en todo momento, compuesto por profesionales de seguridad con experticia en AWS y en respuesta ante incidentes de seguridad. Si la clasificación automatizada no puede determinar que la actividad es esperada, se activa al equipo de Ingeniería de Respuesta frente a incidencias de seguridad de AWS para realizar una investigación de seguridad. Si el evento se ingirió desde Security Hub, se publica una nota en el resultado relacionado en la que se indica que la investigación del equipo de Ingeniería de Respuesta frente a incidencias de seguridad de AWS está en curso.

El equipo de Ingeniería de Respuesta frente a incidencias de seguridad de AWS lleva a cabo una investigación de seguridad práctica mediante el análisis de metadatos adicionales de los servicios y de inteligencia de amenazas, la revisión de información obtenida de resultados e investigaciones anteriores en el entorno y la aplicación de su experticia en respuesta ante incidentes. Según las preferencias de contención (consulte Contener), el equipo de Ingeniería de Respuesta ante incidentes de seguridad de AWS puede ponerse en contacto con el equipo de respuesta ante incidentes de la organización mediante un caso de Respuesta ante incidentes de seguridad en la consola de Respuesta frente a incidencias de seguridad de AWS para verificar si la actividad detectada es esperada y está autorizada, en el contexto de la respuesta a un caso generado por AWS.

Comunicación

Respuesta ante incidentes de seguridad de AWS mantiene informada a la organización durante las investigaciones de seguridad al interactuar con su equipo de respuesta ante incidentes mediante un caso de Respuesta ante incidentes de seguridad. Varios integrantes del equipo de Ingeniería de Respuesta frente a incidencias de seguridad de AWS pueden participar en una investigación. La comunicación puede incluir: la confirmación o notificación de la creación de una investigación de seguridad; el establecimiento de un puente de llamada; el análisis de artefactos como archivos de registro; solicitudes de confirmación de actividad esperada; y el intercambio de los resultados de la investigación.

Cuando el equipo de Respuesta frente a incidencias de seguridad de AWS interactúa de forma proactiva con su equipo de respuesta ante incidentes, se crea un caso en la cuenta de membresía de Respuesta frente a incidencias de seguridad de AWS, lo que centraliza la comunicación de todas las cuentas de la organización en un único lugar. Estos casos incluyen el prefijo “[Caso proactivo]” en el título, lo que los identifica como iniciados por Respuesta frente a incidencias de seguridad de AWS. Al interactuar activamente y proporcionar respuestas oportunas a estas comunicaciones, su equipo de respuesta ante incidentes puede ayudar a Respuesta frente a incidencias de seguridad de AWS a realizar lo siguiente:

  • Garantizar una respuesta rápida ante los incidentes de seguridad auténticos.

  • Comprender el entorno y los comportamientos esperados.

  • Reducir las detecciones de falsos positivos con el tiempo.

Mejorar la eficacia de Respuesta frente a incidencias de seguridad de AWS mediante la colaboración, lo que da lugar a un entorno de AWS más eficazmente supervisado y seguro.

Actualización de los resultados

Respuesta frente a incidencias de seguridad de AWS administra los resultados de forma diferente según su origen y la determinación de la clasificación.

Ajuste del servicio

Cuando las cuotas de servicio de la cuenta lo permiten, Respuesta frente a incidencias de seguridad de AWS intenta implementar una regla de supresión de Amazon GuardDuty o una regla de automatización de AWS Security Hub CSPM. Estas reglas suprimen futuros resultados que coincidan con el tipo y el origen de actividad conocida y autorizada (por ejemplo, dirección IP de origen, ASN, entidad principal de identidad o recurso). Las reglas de AWS Security Hub CSPM se implementan con prioridad 10, lo que permite anular estas automatizaciones con reglas definidas por el usuario si es necesario.

De este modo, Respuesta frente a incidencias de seguridad de AWS ajusta los orígenes de detección en función del comportamiento esperado en el entorno de AWS. Su equipo de respuesta ante incidentes recibe notificaciones sobre las modificaciones a estos conjuntos de reglas, y los cambios se revierten a solicitud.