Desarrollo de narrativas - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de

Desarrollo de narrativas

Durante el análisis y la investigación, documente las acciones tomadas, los análisis realizados y la información identificada, para utilizarlos en las fases posteriores y, en última instancia, en un informe final. Estas narrativas deben ser breves y precisas y debe asegurarse de que se incluya la información pertinente para verificar la comprensión efectiva del incidente y mantener una cronología precisa. También son útiles cuando interactúa con personas ajenas al equipo principal de respuesta ante incidentes. A continuación se muestra un ejemplo:

El departamento de marketing y ventas recibió una nota de rescate el 15 de marzo de 2022 en la que se exigía el pago en criptomonedas para evitar la divulgación pública de posible información confidencial. El SOC determinó que la base de datos de Amazon RDS perteneciente a marketing y ventas fue de acceso público el 20 de febrero de 2022. El SOC consultó los registros de acceso de RDS y determinó que la dirección IP 198.51.100.23 se utilizó el 20 de febrero de 2022 con las credenciales mm03434, pertenecientes a Major Mary, una de las desarrolladoras web. El SOC consultó los registros de flujo de VPC y determinó que aproximadamente 256 MB de datos salieron hacia la misma dirección IP en la misma fecha (marca de tiempo 2022-02-20T15:50+00Z). El SOC determinó, mediante inteligencia de amenazas de código abierto, que las credenciales están disponibles actualmente en texto plano en el repositorio público https[:]//example[.]com/majormary/rds-utils.