# Desarrollo de capacidades forenses
<a name="develop-forensics-capabilities"></a>

 Antes de que se produzca un incidente de seguridad, considere la posibilidad de desarrollar capacidades forenses que lo ayuden a investigar los eventos de seguridad. En la guía [Guide to Integrating Forensic Techniques into Incident Response](https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-86.pdf) del NIST se proporciona esa orientación. 

# Análisis forenses en AWS
<a name="forensics"></a>

 Los conceptos de la ciencia forense tradicional que se utiliza en el entorno en las instalaciones también son aplicables a AWS. Las publicación en el blog [Forensic investigation environment strategies in the Nube de AWS](https://aws.amazon.com/blogs/security/forensic-investigation-environment-strategies-in-the-aws-cloud/) le proporciona información clave para empezar a migrar su conocimiento experto forense a AWS. 

 Una vez que haya configurado la estructura del entorno y las cuentas de AWS para el análisis forense, deberá definir las tecnologías necesarias para ejecutar de forma eficaz unas metodologías sólidas desde el punto de vista forense en las cuatro fases: 
+ **Recopilación**: recopile registros de AWS pertinentes, como los registros de AWS CloudTrail, AWS Config, de flujo de VPC y de nivel de host. Recopile instantáneas, copias de seguridad y volcados de memoria de los recursos de AWS afectados. 
+ **Examen**: examine los datos recopilados mediante la extracción y la evaluación de la información importante. 
+ **Análisis**: analice los datos recopilados para comprender el incidente y sacar conclusiones. 
+ **Informes**: presente la información resultante de la fase de análisis. 

# Captura de copias de seguridad e instantáneas
<a name="capture-backups-and-snapshots"></a>

 Crear copias de seguridad de los principales sistemas y bases de datos es fundamental para poder recuperarse de un incidente de seguridad y para fines forenses. Con las copias de seguridad, puede restaurar los sistemas a su estado seguro anterior. En AWS, puede crear instantáneas de diversos recursos. Las instantáneas le proporcionan copias de seguridad puntuales de esos recursos. Hay muchos servicios de AWS que pueden ayudarle con la copia de seguridad y la recuperación. Consulte [Backup and Recovery Prescriptive Guidance](https://docs.aws.amazon.com/prescriptive-guidance/latest/backup-recovery/services.html) para obtener más detalles sobre estos servicios y enfoques de copia de seguridad y recuperación. Para obtener más información, consulte la entrada en el blog [Use backups to recover from security incidents](https://aws.amazon.com/blogs/security/use-backups-to-recover-from-security-incidents/).

 Es esencial que las copias de seguridad estén bien protegidas, especialmente en ciertas situaciones, como el ransomware. Para obtener información sobre cómo proteger las copias de seguridad, consulte [Top 10 security best practices for securing backups in AWS](https://aws.amazon.com/blogs/security/top-10-security-best-practices-for-securing-backups-in-aws/). Además de proteger las copias de seguridad, debe probar periódicamente los procesos de copia de seguridad y restauración para comprobar que la tecnología y los procesos que tiene implementados funcionan según lo previsto. 

# Automatización de los análisis forenses en AWS
<a name="automate-forensics"></a>

 Durante un evento de seguridad, es necesario que el equipo de respuesta ante incidentes pueda recopilar y analizar las pruebas rápidamente y, al mismo tiempo, mantener la precisión durante todo el tiempo que rodee al evento. Para el equipo de respuesta ante incidentes, resulta difícil y lleva mucho tiempo recopilar manualmente las pruebas pertinentes en un entorno en la nube, especialmente en una gran cantidad de instancias y cuentas. Además, la recopilación manual puede ser más propensa a errores humanos. Por estas razones, los clientes deben desarrollar e implementar la automatización de los análisis forenses. 

 AWS ofrece una serie de recursos de automatización para los análisis forenses, que se consolidan en el apéndice de [Recursos de análisis forense](appendix-b-incident-response-resources.md#forensic-resources). Estos recursos son ejemplos de patrones forenses que hemos desarrollado y que los clientes han implementado. Aunque pueden resultar útiles como arquitectura de referencia al empezar, valore la posibilidad de modificarlos o crear nuevos patrones de automatización forense en función del entorno, los requisitos, las herramientas y los procesos forenses.