# Introducción
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/NSyUlhDc_d0?si=PguieeTI3HrUbTDs)
**Topics**
+ [
# Guía de incorporación
](onboarding-guide.md)
+ [
# Matriz RACI
](raci-matrix.md)
+ [
# Selección de una cuenta de membresía
](select-a-membership-account.md)
+ [
# Configuración de los detalles de la membresía
](setup-membership-details.md)
+ [
# Asociación de cuentas con AWS Organizations
](associate-accounts-with-aws-organizations.md)
+ [
# Configuración de flujos de trabajo de respuesta proactiva y clasificación de alertas
](setup-monitoring-and-investigation-workflows.md)
# Guía de incorporación
En la guía de incorporación se explican los requisitos previos y las acciones de incorporación y contención de Respuesta frente a incidencias de seguridad de AWS.
**importante**
Requisitos previos
El único requisito previo de implementación es habilitar [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
Aunque no es algo obligatorio, recomendamos habilitar [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) y [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html) en todas las cuentas y Regiones de AWS activas para maximizar los beneficios de Respuesta ante incidentes de seguridad.
Revise la respuesta a los incidentes de seguridad y GuardDuty
Consulte la [guía de prácticas recomendadas de GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)
AWS Security Hub CSPM ingiere los resultados de proveedores externos de detección y respuesta de puntos de conexión (EDR), como CrowdStrike, Fortinet CNAPP (Lacework) y Trend Micro, entre otros. Si estos resultados se incorporan a la CSPM de Security Hub, la respuesta a incidentes de seguridad los clasifica automáticamente para poder crear casos de forma proactiva. Para configurar un EDR de terceros con la CSPM de Security Hub, consulte [Detectar y analizar](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html).
Para configurar un EDR de terceros con la CSPM de Security Hub:
1. Navegue a la página de integraciones de la CSPM de Security Hub para validar que existe la integración de terceros
1. Desde la consola, vaya a la página del servicio Security Hub CSPM.
1. Elija **integraciones** (usando Wiz.io como ejemplo):
![\[Página de integraciones de CSPM de Security Hub que muestra las integraciones de terceros que hay disponibles.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Security_Hub_CSPM.png)
1. Busque al proveedor que quiera integrar
![\[Interfaz de búsqueda para encontrar y seleccionar integraciones de proveedores externos.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Integrations.png)
**nota**
Cuando se le solicite, proporcione la información de su cuenta o suscripción. Tras proporcionar esta información, Respuesta ante incidentes de seguridad ingiere los resultados de terceros. Para revisar los precios de la ingesta de resultados de terceros, consulte la página **Integraciones** en Security Hub CSPM.
# Implementación y configuración de Respuesta ante incidentes de seguridad
1. Elija **Registrarse**
![\[Página de registro de Respuesta frente a incidencias de seguridad de AWS con el botón de registro.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)
1. Seleccione una cuenta de **herramientas de seguridad** como administrador delegado en la cuenta de administración.
+ [Arquitectura de referencia de seguridad](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
+ [Documentación de administrador delegado](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)
![\[Configure la página central de cuentas de membresía para seleccionar una cuenta de administrador delegado.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)
1. Inicie sesión en la cuenta de administrado delegado
1. Introduzca los detalles de la suscripción y las cuentas asociadas
![\[Introduzca los detalles de la suscripción y las cuentas asociadas.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Define_Membership_Details.png)
# Autorización de acciones de Respuesta ante incidentes de seguridad
En esta página se describe cómo autorizar a Respuesta ante incidentes de seguridad para realizar acciones automatizadas de supervisión y contención en el entorno de AWS. Puede habilitar dos características de autorización distintas: la supervisión de respuesta proactiva y las preferencias de acciones de contención. Estas características son independientes y se pueden habilitar por separado según los requisitos de seguridad.
# Habilitación de la respuesta proactiva
La respuesta proactiva permite que Respuesta ante incidentes de seguridad supervise e investigue las alertas generadas a partir de las integraciones con Amazon GuardDuty y AWS Security Hub CSPM en la organización. Cuando está habilitada, Respuesta ante incidentes de seguridad clasifica las alertas de baja prioridad mediante automatización del servicio, lo que permite que su equipo se concentre en los problemas más críticos.
Para habilitar la respuesta proactiva durante la incorporación:
1. En la consola de Respuesta ante incidentes de seguridad, diríjase al flujo de trabajo de incorporación.
1. Revise los permisos del servicio que autorizan a Respuesta ante incidentes de seguridad a supervisar los resultados en todas las cuentas cubiertas y en las Regiones de AWS compatibles activas de la organización.
1. Seleccione **Registrarse** para habilitar la característica.
![\[Revise la pantalla de permisos del servicio, donde se muestran los permisos que Respuesta ante incidentes de seguridad requiere para supervisar los resultados.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Review_Service_Permissions.png)
![\[Pantalla de confirmación de registro para habilitar la supervisión de respuesta proactiva.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Review_and_Sign_Up.png)
Esta característica crea automáticamente un rol vinculado al servicio en todas las cuentas de miembro cubiertas dentro de la organización de AWS Organizations. Sin embargo, debe crear manualmente el rol vinculado al servicio en la cuenta de administración mediante conjuntos de pilas de AWS CloudFormation.
**Pasos siguientes:** para obtener más información sobre cómo Respuesta ante incidentes de seguridad funciona con Amazon GuardDuty y AWS Security Hub CSPM, consulte *Detección y análisis* en la *Guía del usuario de Respuesta frente a incidencias de seguridad de AWS*.
# Definición de las preferencias de acciones de contención
Las acciones de contención permiten a Respuesta frente a incidencias de seguridad de AWS ejecutar medidas de respuesta rápida durante un incidente de seguridad activo. Estas acciones ayudan a mitigar rápidamente el impacto de los incidentes de seguridad en el entorno.
**importante**
Respuesta ante incidentes de seguridad no habilita las capacidades de contención de forma predeterminada. Debe autorizar explícitamente las acciones de contención mediante las preferencias de contención.
Para autorizar que los ingenieros de Respuesta frente a incidencias de seguridad de AWS realicen acciones de contención en su nombre, además de implementar un [AWS CloudFormationStackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html) que cree las funciones de IAM requeridas, se debeb definir las preferencias de contención a nivel de cuenta o organización. Las preferencias a nivel de cuenta prevalecen sobre las preferencias a nivel de organización.
**Requisitos previos:** debe tener permisos para crear casos de AWS Support.
**Opciones de contención:**
+ **Aprobación requerida** (valor predeterminado): no lleve a cabo la contención proactiva de ningún recurso sin autorización explícita caso por caso.
+ **Contener recurso confirmado**: lleve a cabo la contención proactiva de un recurso confirmado como comprometido.
+ **Contener recurso sospechoso**: lleve a cabo la contención proactiva de un recurso con alta probabilidad de haberse comprometido, según el análisis del equipo de ingeniería de Respuesta frente a incidencias de seguridad de AWS.
Para definir las preferencias de contención:
1. [Cree un caso de AWS Support](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html) para solicitar la configuración de las preferencias de acciones de contención de Respuesta ante incidentes de seguridad.
1. En el caso de soporte, especifique:
+ Su ID de AWS Organizations o los ID de cuenta específicos donde se deben autorizar las acciones de contención
+ Su opción de contención preferida (Se requiere aprobación, Contiene información confirmada o Contiene información sospechosa).
+ Los tipos de acciones de contención que desea autorizar (como el aislamiento de instancias de EC2, la rotación de credenciales o las modificaciones de grupos de seguridad)
1. AWS Support colabora con usted en la configuración de las preferencias de contención. Debe implementar el StackSet de AWS CloudFormation necesario para crear los roles de IAM requeridos. AWS Support puede proporcionar ayuda, si es necesario.
Después de la configuración, Respuesta frente a incidencias de seguridad de AWS ejecuta las acciones de contención autorizadas durante incidentes de seguridad activos para ayudar a proteger el entorno.
**Pasos siguientes**: después de configurar las preferencias de contención, puede supervisar las acciones de contención realizadas durante los incidentes en la consola de Respuesta ante incidentes de seguridad.
# Después de la implementación de Respuesta ante incidentes de seguridad
AWS se integra con el marco de respuesta ante incidentes existente en lugar de reemplazarlo.
1. Revise nuestras capacidades de integración operativa para mejorar sus prácticas actuales.
1. Vea nuestra demostración de compatibilidad para miembros a nivel de OU, el uso de EventBridge y la integración de Jira-ITSM para que las operaciones de seguridad sean más eficientes.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)
# Actualice el equipo de respuesta a incidentes
1. Asegúrese de haberse suscrito y de haber completado los pasos de incorporación descritos en esta *guía de incorporación*.
1. Seleccione Equipo de respuesta ante incidentes en el panel de navegación izquierdo.
1. Seleccione los compañeros que quiera agregar a su equipo.
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Teamates.png)
**nota**
El equipo puede incluir la dirección de la organización, asesores legales, socios de MDR, ingenieros en la nube y otros posibles miembros. Puede agregar hasta 10 miembros adicionales. Incluye solo el nombre, el cargo y la dirección de correo electrónico de cada miembro.
# Caso con asistencia de AWS
Respuesta frente a incidencias de seguridad de AWS facilita un portal de administración de casos por suscripción en el que su organización interactúa de forma directa con nuestros ingenieros de Respuesta ante incidentes de seguridad. Ayudamos con las investigaciones de seguridad y los incidentes activos con un SLO de 15 minutos, sin límite de casos reactivos. Consulte nuestra documentación sobre cómo crear un caso compatible AWS.
**Amplíe el equipo de investigación**
A través del portal de administración de casos, puede dar visibilidad a los casos a terceros agregando políticas de IAM y observadores. Utilice estas opciones para socios, equipos legales o expertos en la materia.
**Para añadir monitores a un caso:**
1. Abra cualquier caso desde el portal de casos de Respuesta ante incidentes de seguridad
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Cases.png)
1. Elija la pestaña Permisos
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Overview.png)
1. Seleccione Añadir
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Watchers.png)
**nota**
Cada caso incluye una política de IAM rellenada previamente que tan solo permite el acceso a dicho caso específico, manteniendo los privilegios mínimos. Copie y pegue esta política directamente en los usuarios o roles de IAM, ya sean socios externos de MDR o equipos de investigación específicos, para poder permitir su contribución.
# Resultados y reglas de supresión de GuardDuty
Respuesta frente a incidencias de seguridad de AWS ingiere y clasifica de forma proactiva todos los resultados de Amazon GuardDuty y los resultados de AWS Security Hub CSPM de CrowdStrike, Fortinet CNAPP (Lacework) y Trend Micro y, además, responde a ellos. Nuestra tecnología de clasificación automática elimina los requisitos de análisis interno. El servicio crea reglas de supresión y archivado automático en GuardDuty y Security Hub CSPM en caso de que se produzcan resultados benignos. Consulte o modifique estas reglas en la sección “Resultados” de la consola Amazon GuardDuty.
Complete los siguientes pasos para revisar las reglas de supresión de GuardDuty habilitadas:
1. Abra la consola de Amazon GuardDuty.
1. Elija **Resultados**.
1. En el panel de navegación, elija **Reglas de supresión**. La página de **reglas de supresión** muestra una lista de todas las reglas de supresión de su cuenta.
1. Para revisar o cambiar la configuración de una regla, selecciónela y, a continuación, elija **Actualizar regla de supresión** en el menú **Acciones**.
**nota**
Con el tiempo, las organizaciones que hacen uso de la tecnología de SIEM vieron reducidos las cantidades de resultados de GuardDuty de forma considerable, lo que mejora tanto el servicio Respuesta ante incidentes de seguridad como la eficiencia de SIEM.
# Amazon EventBridge
Amazon EventBridge ofrece una arquitectura que se fundamenta en eventos para la respuesta a incidentes de seguridad, para que la actividad de los casos active servicios posteriores (SNS, Lambda, SQS, Step-Functions) o herramientas externas (Jira, ServiceNow, Teams, Slack, PagerDuty).
**Para configurar las reglas de EventBridge:**
1. Acceda a Amazon EventBridge
1. Seleccione **Reglas** en el menú desplegable **Buses**.
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)
1. Elija **Create Rule**.
1. Ingrese los detalles de la regla.
1. Elija **Siguiente**.
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Define_Rule.png)
1. Desplácese hasta **Servicio de AWS** y, a continuación, seleccione **Respuesta frente a incidencias de seguridad de AWS** en el menú desplegable.
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Event_Pattern_Security.png)
1. En el desplegable **Tipo de evento**, seleccione el evento o la llamada a la API para los que quiera crear un patrón.
1. Puede editar el patrón de forma manual para incluir más de un evento.
1. Elija **Siguiente**.
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Event_Pattern.png)
**nota**
Seleccione uno o más destinos (Amazon Simple Notification Service, AWS Lambda, documento de SSM, Step Functions) para sus eventos. Configure los destinos entre cuentas si es necesario.
Podrá comprobar los patrones de integración de socios en Orígenes de eventos para socios, en el menú de integración de EventBridge. Entre los socios disponibles se incluyen Atlassian (Jira), DataDog, New Relic, PagerDuty, Symantec y Zendesk, entre muchos otros.
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)
# Flujo de trabajo de herramientas externas e integraciones
**AWS Soluciones de para integrar JIRA o ServiceNow con Respuesta ante incidentes de seguridad**
Implemente nuestras soluciones completamente desarrolladas para la integración bidireccional con Jira y ServiceNow. Estas integraciones hacen posible una comunicación bidireccional entre casos de Respuesta frente a incidencias de seguridad de AWS y su plataforma de ITSM, y las actualizaciones de los casos se reflejan de forma automática en las tareas correspondientes de Jira.
**Ventajas de la integración**
La integración de Respuesta frente a incidencias de seguridad de AWS con la plataforma de ITSM existente optimiza las operaciones de seguridad al centralizar el seguimiento de incidentes y los flujos de trabajo de respuesta. Estas soluciones predefinidas eliminan la necesidad de desarrollo personalizado, lo que permite a los equipos de seguridad mantener visibilidad tanto en los sistemas de administración de incidentes nativos de AWS como en los de nivel empresarial. Al aprovechar Amazon EventBridge para la automatización basada en eventos, las actualizaciones se sincronizan en tiempo real entre las plataformas, lo que ayuda a garantizar un seguimiento coherente de los incidentes de seguridad, independientemente de su origen. Este enfoque unificado reduce la necesidad de alternar entre contextos para los analistas de seguridad, mejora los tiempos de respuesta y ofrece un registro de auditoría completo a lo largo de todo el ciclo de vida de la respuesta ante incidentes.
Para configurar las reglas de EventBridge:
1. Acceda a Amazon EventBridge.
1. Seleccione **Reglas** en el menú desplegable **Buses**.
# Flujo de trabajo de herramientas externas
La respuesta a los incidentes de seguridad se integra con las herramientas y socios externos de varias maneras:
+ *Integración con SIEM:* los ingenieros de Respuesta ante incidentes de seguridad ayudan a analizar e investigar esos resultados en paralelo con su equipo cuando se envían casos con asistencia de AWS. Identificamos las correlaciones entre los entornos híbridos y multinube, para determinar los movimientos de los actores de amenazas entre los proveedores.
+ *Mejora sus actuales operaciones de seguridad:* sustituimos los tradicionales flujos de trabajo de respuesta de GuardDuty por un modelo de respuesta en paralelo más eficiente. Actualmente, muchas organizaciones recurren a la tecnología de SIEM para los flujos de trabajo de detección mediante la administración de casos. Este servicio facilita una alternativa simplificada específica para los resultados de GuardDuty (y determinados resultados de Security Hub CSPM). La solución aprovecha tecnología avanzada de clasificación automática con supervisión humana para crear casos proactivos en el portal, al tiempo que alerta al equipo de respuesta y activa a los ingenieros de Respuesta ante incidentes de seguridad para coordinar las acciones de remediación.
+ *Equipos de investigación de terceros*: los ingenieros de Respuesta ante incidentes de seguridad colaboran directamente con sus socios y proveedores de MDR.
# Apéndice A: Puntos de contacto
Proporcionar sus metadatos por adelantado a los ingenieros de Respuesta ante incidentes de seguridad puede acelerar el tiempo de creación del perfil y aumentar la confianza en nuestra tecnología de clasificación desde el inicio. Esto ayuda a reducir el número de falsos positivos detectados por anticipado cuando empezamos a ingerir los resultados de amenazas y a crear su “mundo bueno conocido”.
**Información de contacto del personal de IR y SOC**
| Entrada | Personal de IR \$1 SOC: rol, nombre, correo electrónico | Contactos principales y secundarios de derivación | Rangos de CIDR internos conocidos | Rangos de CIDR externos conocidos | Proveedores de servicios en la nube adicionales | Regiones de AWS funcionales | IP de servidores de DNS (si no coinciden con Amazon Route 53 Resolver) | VPN \$1 Soluciones de acceso remoto e IP | Nombres de aplicaciones críticas \$1 Números de cuenta | Puertos poco comunes que se utilizan con frecuencia | EDR \$1 AV \$1 Herramientas de administración de vulnerabilidades utilizadas | IDP \$1 Ubicaciones |
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- |
| 1 | Comandante del SOC, John Smith, jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azure) | Azure | us-east-1, us-east-2 | N/A | Direct Connect, VIF público 116.32.8.7 | Servidor web Nginx (ejemplo crítico) \$1 1234567890 | 8080 | CrowdStrike Falcon | Entra, Azure |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
| | | | | | | | | | | | | |
Para enviar información de metadatos para su entorno, cree un [caso de AWS Support](https://repost.aws/knowledge-center/get-aws-technical-support).
**Para enviar los metadatos**
1. Complete la tabla de metadatos con la información de su entorno.
1. Cree un caso de AWS Support con los siguientes detalles.
+ **Tipo de caso:** técnico
+ **Servicio:** servicio de respuesta a incidentes de seguridad
+ **Categoría:** otros
1. Adjunte la tabla de metadatos completa al caso.
# Matriz RACI
La siguiente matriz RACI define los roles y las responsabilidades a lo largo del proceso de implementación de Respuesta ante incidentes de seguridad. RACI significa Responsable (R), Con rendición de cuentas (A), Consultado (C) e Informado (I).
| Actividad | Cliente | Equipos de cuenta de AWS | Equipo de Respuesta ante incidentes de seguridad |
| --- | --- | --- | --- |
| Antes de la incorporación |
| Identificación de las partes interesadas clave | R | | I |
| Validación de los orígenes de los resultados | R | C | I |
| [Integración con EDR de terceros] CSPM de Security Hub | R | C | I |
| Validación de GuardDuty/comprobación de estado | C | R | I |
| Determinación del alcance de las cuentas | R | | |
| Definición de los protocolos de remisión a instancias superiores | R | I | C |
| Habilitación de AWS Organizations | R | C | |
| Asociación de cuentas con AWS Organizations | R | I | |
| Selección del administrador delegado o la cuenta de herramientas de seguridad | R | I | |
| Incorporación |
| Configuración de los detalles de la membresía | R | I | |
| Guía paso a paso (Configuración de flujos de trabajo de respuesta proactiva y clasificación de alertas; Implementación del rol vinculado al servicio en la cuenta de administración; Autorización de las acciones de contención) | R | C | I |
| Configuración posterior a la implementación |
| Revisión de las capacidades de integración operativa | R | C | I |
| Envío de casos reactivos a Respuesta ante incidentes de seguridad | R | | |
| Configuración de las integraciones con Amazon EventBridge | R | C | C |
| Conección de herramientas de terceros (Jira, ServiceNow, PagerDuty, Teams, etc.). | R | I | C |
| Análisis detallado del servicio y demostración | A | R | C |
**Definiciones de RACI:**
+ **Responsable (R)**: la parte que ejecuta el trabajo para completar la tarea
+ **Con rendición de cuentas (A)**: la parte que asume la responsabilidad final por la correcta ejecución de la tarea
+ **Consultado (C)**: la parte cuya opinión se solicita y con la que existe comunicación bidireccional
+ **Informado (I)**: la parte que se mantiene al tanto del progreso y con la que existe comunicación unidireccional
# Selección de una cuenta de membresía
Una cuenta de membresía es la cuenta de AWS que se usa para configurar los detalles de la cuenta y agregar y eliminar detalles de su equipo de respuesta ante incidentes y es el lugar donde se pueden crear y administrar todos los eventos de seguridad activos e históricos. Se recomienda que ajuste su cuenta de membresía de Respuesta frente a incidencias de seguridad de AWS a la misma cuenta que ha habilitado para servicios como Amazon GuardDuty y AWS Security Hub CSPM.
Tiene dos opciones para seleccionar su cuenta de membresía de Respuesta frente a incidencias de seguridad de AWS mediante AWS Organizations. Puede crear una membresía en la cuenta de administración de Organizations o en una cuenta de administrador delegado de Organizations.
**Uso de la cuenta de administrador delegado:** las tareas administrativas y la administración de casos de Respuesta frente a incidencias de seguridad de AWS se encuentran en la cuenta de administrador delegado. Se recomienda usar el mismo administrador delegado que haya configurado para otros servicios de seguridad y cumplimiento de AWS. Proporcione el ID de la cuenta de administrador delegado de 12 dígitos y, a continuación, inicie sesión en esa cuenta para continuar.
**importante**
Cuando utiliza una cuenta de administrador delegado como parte de la configuración, Respuesta frente a incidencias de seguridad de AWS no puede crear automáticamente el rol vinculado al servicio de clasificación requerido en su cuenta de administración de AWS Organizations.
Puede usar IAM para crear este rol en su cuenta de administración de AWS Organizations.
Inicie sesión en la cuenta de administración de AWS Organizations.
Acceda a la ventana [AWS CloudShell](https://console.aws.amazon.com/cloudshell/home) o a la cuenta mediante la CLI con el método que prefiera.
Utilice el comando de la CLI . `aws iam create-service-linked-role --aws-service-name "triage.security-ir.amazonaws.com" --no-cli-pager`
(Opcional) Para comprobar que el comando ha funcionado, puede ejecutar el comando `aws iam get-role --role-name AWSServiceRoleForSecurityIncidentResponse_Triage`.
**Uso de la cuenta que tiene la sesión iniciada actualmente**: al seleccionar esta cuenta, la cuenta actual se designará como cuenta de membresía central para su membresía de Respuesta frente a incidencias de seguridad de AWS. Las personas de su organización deberán acceder al servicio a través de esta cuenta para acceder a los casos activos y resueltos, crearlos y administrarlos.
Asegúrese de tener los permisos suficientes para administrar Respuesta frente a incidencias de seguridad de AWS.
Consulte en [Adición y eliminación de permisos de identidad de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) los pasos específicos para agregar permisos.
Consulte [Respuesta frente a incidencias de seguridad de AWS managed policies](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html).
Para verificar los permisos de IAM, puede seguir estos pasos:
+ *Comprobación de la política de IAM:* revise la política de IAM adjunta a su usuario, grupo o rol para asegurarse de que concede los permisos necesarios. Para ello, vaya a [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), seleccione la opción `Users`, elija el usuario específico y, a continuación, en la página de resumen, vaya a la pestaña `Permissions` donde aparece una lista de todas las políticas adjuntas; puede expandir la fila de cada política para ver sus detalles.
+ *Prueba de los permisos:* intente llevar a cabo la acción necesaria para verificar los permisos. Por ejemplo, si necesita acceder a un caso, pruebe `ListCases`. Si no tiene los permisos necesarios, recibirá un mensaje de error.
+ *Uso de la AWS CLI o el SDK:* puede usar la AWS Command Line Interface o un AWS SDK en el lenguaje de programación que prefiera para probar los permisos. Por ejemplo, con la AWS Command Line Interface, puede ejecutar el comando `aws sts get-caller-identity` para verificar sus permisos de usuario actuales.
+ *Comprobación de los registros de AWS CloudTrail:*[ revise los registros de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html) para comprobar si se están registrando las acciones que intenta llevar a cabo. Esto puede ayudarlo a identificar cualquier problema con los permisos.
+ *Uso del simulador de política de IAM:*[ el simulador de política de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) es una herramienta que le permite probar las políticas de IAM y ver el efecto que tienen en sus permisos.
**nota**
Los pasos específicos pueden variar según el servicio de AWS y las acciones que intente llevar a cabo.
# Configuración de los detalles de la membresía
+ Seleccione una Región de AWS en la que se almacenarán su membresía y sus casos.
**aviso**
No puede cambiar la Región de AWS predeterminada después del registro inicial de la membresía.
+ Seleccione si desea ofrecer una cobertura de membresía completa en toda la organización de AWS Organizations o en parte de la organización de AWS Organizations a través de unidades organizativas (UO).
+ Si lo desea, puede seleccionar un nombre para esta membresía.
+ Se debe proporcionar un contacto principal y uno secundario como parte del flujo de trabajo de creación de membresías. Estos contactos se incluyen automáticamente como parte de su equipo de respuesta ante incidentes. Debe haber al menos dos contactos para una sola membresía, lo que también garantiza la inclusión de un mínimo de dos contactos en el equipo de respuesta ante incidentes.
+ Defina etiquetas opcionales para su membresía. Las etiquetas lo ayudan a hacer un seguimiento de los costos de AWS y a buscar recursos.
# Asociación de cuentas con AWS Organizations
Si eligió asociar toda su organización de AWS Organizations durante la configuración, su membresía le da derecho a la cobertura de todas las cuentas de miembros de la organización. Las cuentas asociadas se actualizarán automáticamente a medida que se agreguen o eliminen cuentas de su organización.
Si eligió asociar una parte de su organización de AWS Organizations durante la configuración y restringió su membresía a unidades organizativas (UO) específicas, su membresía le da derecho a la cobertura de todas las cuentas de las UO seleccionadas. Esto incluye las cuentas de las subunidades organizativas de las unidades organizativas seleccionadas. Las cuentas asociadas se actualizan automáticamente a medida que se agregan o eliminan cuentas de esas UO.
Para obtener más información sobre las prácticas recomendadas relacionadas con las unidades organizativas, consulte [Organizing Your AWS environment Using multiple accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html).
# Configuración de flujos de trabajo de respuesta proactiva y clasificación de alertas
Respuesta frente a incidencias de seguridad de AWS supervisa e investiga las alertas de amenazas generadas a partir de las integraciones con Amazon GuardDuty y Security Hub CSPM. Para utilizar esta característica, [Amazon GuardDuty debe estar habilitado](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). Respuesta frente a incidencias de seguridad de AWS clasifica las alertas de baja prioridad con la automatización del servicio para que su equipo pueda concentrarse en los problemas más críticos. Para obtener información adicional sobre cómo funciona Respuesta frente a incidencias de seguridad de AWS con Amazon GuardDuty y AWS Security Hub CSPM, consulte la sección [Detección y análisis](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) de la guía del usuario.
Si experimenta algún problema durante la incorporación, [cree un caso de AWS Support](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) para obtener más asistencia. Asegúrese de incluir detalles como el ID de la Cuenta de AWS y cualquier error que haya podido observar durante el proceso de configuración.
**nota**
Si tiene preguntas sobre las reglas de supresión de Amazon GuardDuty, las configuraciones de clasificación de alertas o los flujos de trabajo de respuesta proactiva, puede crear un caso con asistencia de AWS de tipo **Investigaciones y consultas** para consultar con el equipo de Respuesta ante incidentes de seguridad de AWS. Para obtener más información, consulte [Creación de un caso compatible con AWS](create-an-aws-supported-case.md).
Esta característica permite que Respuesta frente a incidencias de seguridad de AWS supervise e investigue los resultados en todas las cuentas cubiertas y en las regiones de AWS compatibles activas de la organización. Para facilitar esta funcionalidad, Respuesta frente a incidencias de seguridad de AWS crea automáticamente un rol vinculado a servicios en todas las cuentas de miembros cubiertas de su organización de AWS Organizations. Sin embargo, para la cuenta de administración, debe crear manualmente el rol vinculado a servicios para habilitar la supervisión.
*El servicio no puede crear el rol vinculado a servicios en la cuenta de administración. Debe crear este rol manualmente en la cuenta de administración [usando conjuntos de pilas de AWS CloudFormation](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html).*
# Explicación sobre el archivado automático con la respuesta proactiva
Cuando se habilitan la respuesta proactiva y la clasificación de alertas, Respuesta frente a incidencias de seguridad de AWS supervisa y clasifica automáticamente los resultados de seguridad provenientes de Amazon GuardDuty y el CSPM de Security Hub. Como parte de este flujo de trabajo de clasificación automática, los resultados se archivan automáticamente según los siguientes criterios:
**Comportamiento de archivado automático:**
+ **Resultados benignos:** cuando el proceso de clasificación automática determina que un resultado es benigno (no representa una amenaza real para la seguridad), Respuesta frente a incidencias de seguridad de AWS archiva automáticamente el resultado en Amazon GuardDuty y crea reglas de supresión para evitar que resultados similares generen alertas en el futuro.
+ **Reglas de supresión:** el servicio crea reglas de supresión y de archivado automático tanto en Amazon GuardDuty como en Security Hub CSPM para los resultados que coinciden con los patrones conocidos como válidos en el entorno, como direcciones IP esperadas, entidades de IAM y comportamientos operativos habituales.
+ **Reducción del volumen de alertas:** las organizaciones que utilizan tecnología de SIEM observan una disminución significativa en el volumen de resultados de Amazon GuardDuty con el tiempo, a medida que el servicio aprende las características del entorno y archiva automáticamente los resultados benignos. Esto mejora la eficiencia tanto del servicio Respuesta frente a incidencias de seguridad de AWS como del SIEM.
**Visualización de resultados archivados:**
Puede revisar los resultados archivados automáticamente y las reglas de supresión creadas por Respuesta frente a incidencias de seguridad de AWS:
1. Diríjase a la consola de Amazon GuardDuty
1. Elija **Resultados**
1. Seleccione **Archivados** en el filtro de resultados
1. Revise las reglas de supresión. Para ello, seleccione la flecha desplegable junto a cada regla
**Consideraciones importantes:**
+ Los resultados archivados se retienen en Amazon GuardDuty durante 90 días y se pueden consultar en cualquier momento durante ese periodo
+ Puede modificar o eliminar las reglas de supresión en cualquier momento desde la consola de Amazon GuardDuty
+ El proceso de clasificación automática se adapta continuamente al entorno, mejora la precisión con el tiempo y reduce los falsos positivos
**Contención:** en caso de un incidente de seguridad, Respuesta frente a incidencias de seguridad de AWS puede ejecutar acciones de contención para mitigar rápidamente el impacto, como aislar los hosts comprometidos o rotar las credenciales. Respuesta ante incidentes de seguridad no habilita las capacidades de contención de forma predeterminada. Para ejecutar estas acciones de contención, primero debe conceder los permisos necesarios al servicio. Para ello, se puede implementar un [StackSet de AWS CloudFormation](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html), que crea los roles necesarios.