# Tareas de usuario
**Topics**
+ [Panel de control](dashboard.md)
+ [Administración de mi equipo de respuesta ante incidentes](managing-my-incident-response-team.md)
# Panel de control
En la consola de Respuesta frente a incidencias de seguridad de AWS, el panel le ofrece una visión general de su equipo de respuesta ante incidentes, su estado de respuesta proactiva y un recuento continuo de los casos durante cuatro semanas.
Seleccione **Ver equipo de respuesta ante incidentes** para acceder a los detalles de los integrantes del equipo de respuesta ante incidentes.
En la sección *Mis casos* del panel se muestra el número de casos admitidos de AWS abiertos y cerrados, además de los casos autoadministrados que se le han asignado en un periodo definido. También se muestra el tiempo medio que se tardó en resolver los casos cerrados en horas.
# Administración de mi equipo de respuesta ante incidentes
Sus equipos de respuesta ante incidentes incluyen a las partes interesadas en el proceso de respuesta ante incidentes. Puede configurar hasta diez partes interesadas como parte de su membresía.
Algunos ejemplos de partes interesadas internas son los miembros de su equipo de respuesta ante incidentes, los analistas de seguridad, los propietarios de las aplicaciones y su equipo de liderazgo de seguridad.
Algunos ejemplos de partes interesadas externas son los proveedores de software independientes (ISV) y proveedores de servicios administrados (MSP) que desee incluir en un proceso de respuesta ante incidentes.
**nota**
La configuración de su equipo de respuesta ante incidentes no otorga automáticamente a los compañeros de equipo acceso a los recursos del servicio, como la membresía y los casos. Puede usar políticas administradas por AWS para Respuesta frente a incidencias de seguridad de AWS para conceder acceso de lectura y escritura a los recursos. [ Haga clic aquí para obtener más información.](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)
Sus compañeros del equipo de respuesta ante incidentes especificados en el nivel de una membresía se agregarán automáticamente a cualquier caso. Puede agregar o eliminar compañeros de equipo individuales en cualquier momento después de crear un caso.
El equipo de respuesta ante incidentes recibirá una notificación por correo electrónico sobre los eventos incluidos en las [preferencias de comunicación](https://docs.aws.amazon.com/security-ir/latest/APIReference/API_IncidentResponder.html#securityir-Type-IncidentResponder-communicationPreferences).
# Preferencias de comunicación
Configure sus preferencias de comunicación para controlar la forma en que recibirá las notificaciones e interactuará con el sistema de respuesta a incidentes durante los incidentes de seguridad.
Puede configurar las preferencias de comunicación de las personas de su equipo de respuesta ante incidentes desde la página del panel de control.
Sigue estos pasos para administrar la configuración de comunicación de los miembros del equipo:
1. Acceda a la página del equipo de respuesta a incidentes desde su panel de control
1. Realice una de las siguientes acciones:
+ Para actualizar un integrante existente del equipo: seleccione al integrante cuyas preferencias de comunicación desea modificar y, a continuación, elija **Editar**
+ Para agregar un nuevo integrante del equipo: elija **Agregar**
1. En la parte inferior del formulario, verá “Comunicaciones”.
1. Seleccione las casillas de verificación de las comunicaciones que quiera recibir
1. Deseleccione las casillas de verificación de las comunicaciones que no quiera recibir
![\[alt text not found\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/CommPref.png)
1. Guarde los cambios
![\[alt text not found\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/CommPreferencesDashboard.png)
De forma predeterminada, los integrantes del equipo de respuesta ante incidentes tendrán todas las comunicaciones habilitadas. Podrá modificar esta configuración en cualquier momento siguiendo los pasos anteriores.
Sus preferencias de comunicación controlan cómo interactúa con el sistema de respuesta a incidentes y cómo se le envían las notificaciones en los incidentes de seguridad.
**nota**
Estas preferencias se aplican a todas las futuras comunicaciones en el sistema de respuesta a incidentes de seguridad. Podrá modificar esta configuración en cualquier momento repitiendo los pasos anteriores.
# Asociación de una cuenta a AWS Organizations
Cuando habilite Respuesta frente a incidencias de seguridad de AWS, tendrá la opción de seleccionar toda la organización o unidades organizativas (UO) específicas. Si se seleccionan UO específicas, su membresía solo cubrirá las cuentas incluidas en esas UO seleccionadas. Si selecciona toda la organización, su membresía cubrirá todas las cuentas de su organización.
Para obtener más información, consulte [Administración de cuentas de Respuesta frente a incidencias de seguridad de AWS con AWS Organizations](https://docs.aws.amazon.com/security-ir/latest/userguide/security-ir-organizations.html).
# Administración de la cobertura de la membresía
Puede cambiar la opción de cobertura de la membresía en cualquier momento, incluido el cambio de una cobertura para toda la organización a unidades organizativas (OU) específicas.
# Actualización de las asociaciones de UO
Para administrar la cobertura de la membresía:
1. Diríjase a la página de configuración de asociación de cuentas.
1. Seleccione **Agregar UO** para elegir las UO que desea asociar con la membresía
1. Seleccione las UO que desea asociar a la membresía
1. Haga clic en **Actualizar asociación** para guardar la asociación de UO en la membresía
Después de actualizar las asociaciones, puede volver a la misma página y eliminar cualquier UO que desee desasociar de la membresía. Esta flexibilidad se aplica incluso si inicialmente se seleccionó toda la organización: posteriormente puede actualizar la membresía para cubrir únicamente UO específicas, sin necesidad de cancelar y volver a habilitar el servicio.
Para obtener más información, consulte [Administración de la membresía con unidades organizativas (UO)](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html).
# Consideraciones importantes
**Cuentas directamente bajo la raíz**: al seleccionar UO específicas para la membresía, las cuentas que se encuentran directamente bajo la raíz de la organización (es decir, que no forman parte de ninguna UO) no se asociarán a la membresía. Para incluir estas cuentas en la cobertura de la membresía, primero deben agregarse a una UO y luego asociar esa UO a la membresía.
**nota**
Se trabaja de forma continua en la mejora de la experiencia de asociación de UO para que el proceso sea más intuitivo y claro.
# Supervisión e investigación
Respuesta ante incidentes de seguridad de AWS revisa y clasifica las alertas de seguridad provenientes de Amazon GuardDuty y AWS Security Hub CSPM, y luego configura reglas de supresión según el entorno para evitar alertas innecesarias. El equipo de Ingeniería de Respuesta frente a incidencias de seguridad de AWS (SIRE) investiga los resultados y, de forma ágil, los remite a instancias superiores cuando es necesario, además de orientar al equipo para contener rápidamente posibles problemas. Si lo desea, puede conceder a Respuesta frente a incidencias de seguridad de AWS permiso para implementar acciones de contención en su nombre.
Respuesta frente a incidencias de seguridad de AWS se ajusta a la publicación 800-61r2 [https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) de NIST en relación con la respuesta ante incidentes de seguridad. Al ajustarse a este estándar del sector, Respuesta frente a incidencias de seguridad de AWS proporciona un enfoque coherente para la administración de eventos de seguridad y sigue las prácticas recomendadas de protección y respuesta ante los eventos de seguridad en su entorno de AWS.
Cuando Respuesta frente a incidencias de seguridad de AWS identifica una alerta de seguridad o se solicita asistencia en materia de seguridad, AWS SIRE realiza la investigación correspondiente. El equipo recopila los eventos de registro y los datos de servicio, como las alertas de GuardDuty, clasifica y analiza esos datos, lleva a cabo actividades de corrección y contención y proporciona informes posteriores al incidente.
**Topics**
+ [Prepare](prepare.md)
+ [Detección y análisis](detect-and-analyze.md)
+ [Agentes de investigación de IA](ai-investigative-agent.md)
+ [Contención](contain.md)
+ [Erradicación](eradicate.md)
+ [Recuperar](recover.md)
+ [Informe posterior al incidente](post-incident-report.md)
# Prepare
El equipo de Respuesta frente a incidencias de seguridad de AWS investiga y colabora con usted durante todo el ciclo de vida de respuesta ante los eventos de seguridad. Se recomienda estructurar este equipo y asignar los permisos necesarios antes de que se produzca un evento de seguridad.
# Detección y análisis
**Notificación de un evento**
Puede notificar un evento de seguridad a través del portal de Respuesta frente a incidencias de seguridad de AWS. Es importante no esperar durante un evento de seguridad. Respuesta frente a incidencias de seguridad de AWS utiliza técnicas automatizadas y manuales para investigar los eventos de seguridad, analizar los registros y buscar patrones anómalos. Su colaboración y comprensión del entorno aceleran este análisis.
**Habilitación de orígenes de detección compatibles**
**nota**
Los costos del servicio Respuesta frente a incidencias de seguridad de AWS no incluyen el uso ni otros costos y tarifas asociados con los orígenes de detección compatibles o el uso de otros servicios de AWS. Consulte las páginas de las características o los servicios individuales para obtener detalles sobre los costos.
*Amazon GuardDuty*
Para habilitar GuardDuty en toda su organización, consulte la sección `Setting up GuardDuty` de la [Guía del usuario de Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html#guardduty_enable-gd).
Se recomienda encarecidamente que habilite GuardDuty en todas las Regiones de AWS compatibles. Esto permite a GuardDuty generar resultados sobre la actividad no autorizada o inusual incluso en las regiones que no utiliza de forma activa. Para obtener más información, consulte [Amazon GuardDuty Regions and endpoints](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html)
La habilitación de GuardDuty proporciona a Respuesta frente a incidencias de seguridad de AWS acceso a datos críticos de detección de amenazas, lo que mejora su capacidad de identificación y respuesta ante posibles problemas de seguridad en su entorno de AWS.
*AWS Security Hub CSPM*
Security Hub CSPM puede ingerir los resultados de seguridad de varios servicios de AWS y soluciones de seguridad de terceros que sean compatibles. Estas integraciones pueden ayudar a Respuesta frente a incidencias de seguridad de AWS a supervisar e investigar los resultados procedentes de otras herramientas de detección.
Para habilitar la integración de Security Hub CSPM con Organizations, consulte la [Guía del usuario de AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html#securityhub-orgs-setup-overviews).
Hay varias formas de habilitar las integraciones en Security Hub CSPM. Para las integraciones de productos de terceros, es posible que tenga que comprar la integración en AWS Marketplace y, a continuación, configurar la integración. La información de integración proporciona enlaces para completar estas tareas. Obtenga más información sobre [cómo habilitar las integraciones de AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integration-enable.html).
Respuesta frente a incidencias de seguridad de AWS puede supervisar e investigar los resultados de las siguientes herramientas cuando están integradas con AWS Security Hub CSPM:
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-crowdstrike-falcon)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-lacework)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html#integration-trend-micro)
Al habilitar estas integraciones, puede mejorar significativamente el alcance y la eficacia de las capacidades de supervisión e investigación de Respuesta frente a incidencias de seguridad de AWS.
**Detección**
Si la “Respuesta proactiva” está habilitada [https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html](https://docs.aws.amazon.com/security-ir/latest/userguide/setup-monitoring-and-investigation-workflows.html), Respuesta frente a incidencias de seguridad de AWS ingiere resultados de Amazon GuardDuty y de AWS Security Hub CSPM mediante reglas de Amazon EventBridge que se implementan en las cuentas durante el proceso de incorporación.
Respuesta frente a incidencias de seguridad de AWS archiva automáticamente los resultados de Amazon GuardDuty que, durante la clasificación automatizada, se determinan como benignos o asociados con actividad esperada. Puede consultar los resultados archivados en la consola de Amazon GuardDuty. Para ello, seleccione Archivados en el filtro Estado de los resultados. Para obtener más información, consulte [Visualización de los resultados generados en la consola de GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_working-with-findings.html) en la *Guía del usuario de Amazon GuardDuty*.
Respuesta frente a incidencias de seguridad de AWS archiva automáticamente los resultados de Amazon GuardDuty que, durante la clasificación automatizada, se determinan como benignos o asociados con actividad esperada. Este archivado se aplica únicamente a los resultados que han sido clasificados y cuya determinación ha sido “archivar”. Los resultados bajo investigación activa permanecen visibles en la consola de Amazon GuardDuty incluso después de que la investigación haya concluido. Puede consultar los resultados archivados en la consola de Amazon GuardDuty. Para ello, seleccione **Archivados** en el filtro de resultados. Para obtener más información sobre cómo trabajar con resultados archivados, consulte [Cómo trabajar con resultados](https://docs.aws.amazon.com/guardduty/latest/ug/findings_managing.html) en la *Guía del usuario de Amazon GuardDuty*.
Cuando AWS Security Hub CSPM ingiere resultados de seguridad, el sistema actualiza cada resultado con una nota que indica que ha comenzado la clasificación automatizada. El estado del flujo de trabajo cambia de NUEVO a NOTIFICADO, lo que elimina el resultado de la vista predeterminada de resultados en AWS Security Hub CSPM. Si la clasificación determina que un resultado es benigno o está asociado con actividad esperada, el sistema agrega una nota al resultado y actualiza el estado del flujo de trabajo a SUPRIMIDO.
**Análisis: clasificación automatizada**
Respuesta frente a incidencias de seguridad de AWS clasifica automáticamente los resultados de seguridad. El proceso de clasificación determina si la actividad detectada corresponde a un comportamiento esperado mediante el análisis de datos provenientes de múltiples orígenes, incluidos el contenido del resultado, los metadatos de los servicios de AWS, los datos de registro y supervisión de AWS (como AWS CloudTrail y los registros de flujo de VPC), la inteligencia de amenazas de AWS y el contexto que se le invita a proporcionar sobre los entornos de AWS y en las instalaciones.
Si la clasificación automatizada determina que la actividad detectada es esperada, el sistema no realiza ninguna acción de investigación adicional.
**Análisis: investigación de seguridad de respuesta ante incidentes**
El equipo de Ingeniería de Respuesta frente a incidencias de seguridad de AWS es un equipo global, disponible en todo momento, compuesto por profesionales de seguridad con experticia en AWS y en respuesta ante incidentes de seguridad. Si la clasificación automatizada no puede determinar que la actividad es esperada, se activa al equipo de Ingeniería de Respuesta frente a incidencias de seguridad de AWS para realizar una investigación de seguridad. Si el evento se ingirió desde Security Hub, se publica una nota en el resultado relacionado en la que se indica que la investigación del equipo de Ingeniería de Respuesta frente a incidencias de seguridad de AWS está en curso.
El equipo de Ingeniería de Respuesta frente a incidencias de seguridad de AWS lleva a cabo una investigación de seguridad práctica mediante el análisis de metadatos adicionales de los servicios y de inteligencia de amenazas, la revisión de información obtenida de resultados e investigaciones anteriores en el entorno y la aplicación de su experticia en respuesta ante incidentes. Según las preferencias de contención (consulte Contener), el equipo de Ingeniería de Respuesta ante incidentes de seguridad de AWS puede ponerse en contacto con el equipo de respuesta ante incidentes de la organización mediante un caso de Respuesta ante incidentes de seguridad en la consola de Respuesta frente a incidencias de seguridad de AWS para verificar si la actividad detectada es esperada y está autorizada, en el contexto de la [respuesta a un caso generado por AWS](https://docs.aws.amazon.com/security-ir/latest/userguide/responding-to-an-aws-generated-case.html).
**Comunicación**
Respuesta ante incidentes de seguridad de AWS mantiene informada a la organización durante las investigaciones de seguridad al interactuar con su equipo de respuesta ante incidentes mediante un caso de Respuesta ante incidentes de seguridad. Varios integrantes del equipo de Ingeniería de Respuesta frente a incidencias de seguridad de AWS pueden participar en una investigación. La comunicación puede incluir: la confirmación o notificación de la creación de una investigación de seguridad; el establecimiento de un puente de llamada; el análisis de artefactos como archivos de registro; solicitudes de confirmación de actividad esperada; y el intercambio de los resultados de la investigación.
Cuando el equipo de Respuesta frente a incidencias de seguridad de AWS interactúa de forma proactiva con su equipo de respuesta ante incidentes, se crea un caso en la cuenta de membresía de Respuesta frente a incidencias de seguridad de AWS, lo que centraliza la comunicación de todas las cuentas de la organización en un único lugar. Estos casos incluyen el prefijo “[Caso proactivo]” en el título, lo que los identifica como iniciados por Respuesta frente a incidencias de seguridad de AWS. Al interactuar activamente y proporcionar respuestas oportunas a estas comunicaciones, su equipo de respuesta ante incidentes puede ayudar a Respuesta frente a incidencias de seguridad de AWS a realizar lo siguiente:
+ Garantizar una respuesta rápida ante los incidentes de seguridad auténticos.
+ Comprender el entorno y los comportamientos esperados.
+ Reducir las detecciones de falsos positivos con el tiempo.
Mejorar la eficacia de Respuesta frente a incidencias de seguridad de AWS mediante la colaboración, lo que da lugar a un entorno de AWS más eficazmente supervisado y seguro.
**Actualización de los resultados**
Respuesta frente a incidencias de seguridad de AWS administra los resultados de forma diferente según su origen y la determinación de la clasificación.
**Ajuste del servicio**
Cuando las cuotas de servicio de la cuenta lo permiten, Respuesta frente a incidencias de seguridad de AWS intenta implementar una [regla de supresión de Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html) o una [regla de automatización de AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/automation-rules.html). Estas reglas suprimen futuros resultados que coincidan con el tipo y el origen de actividad conocida y autorizada (por ejemplo, dirección IP de origen, ASN, entidad principal de identidad o recurso). Las reglas de AWS Security Hub CSPM se implementan con prioridad 10, lo que permite anular estas automatizaciones con reglas definidas por el usuario si es necesario.
De este modo, Respuesta frente a incidencias de seguridad de AWS ajusta los orígenes de detección en función del comportamiento esperado en el entorno de AWS. Su equipo de respuesta ante incidentes recibe notificaciones sobre las modificaciones a estos conjuntos de reglas, y los cambios se revierten a solicitud.
# Agentes de investigación de IA
## Descripción general
El agente de investigación impulsado por IA trabaja junto con los clientes y los ingenieros de Respuesta frente a incidencias de seguridad de AWS para agilizar las investigaciones de seguridad. Cuando un cliente crea un caso con asistencia de AWS, el agente se activa automáticamente en paralelo con la intervención de los ingenieros de Respuesta ante incidentes de seguridad, lo que reduce el tiempo de resolución de días a horas.
Cuando un cliente eleva una situación, los casos de Respuesta ante incidentes de seguridad pueden ser creados por la organización o de forma proactiva por Respuesta frente a incidencias de seguridad de AWS. Cuando se crea un nuevo caso con asistencia de AWS, el agente de investigación se activa automáticamente. Todos los casos se pueden administrar a través de la consola, la API o las integraciones con Amazon EventBridge.
**Ventajas principales**
+ **Investigación en paralelo**: el agente trabaja simultáneamente con los responsables de la respuesta, proporcionando tanto automatización impulsada por IA como experticia humana.
+ **Recopilación automática de pruebas**: elimina el análisis manual de registros mediante consultas automáticas de AWS CloudTrail, IAM, Amazon EC2 y el Explorador de costos.
+ **Interfaz en lenguaje natural**: describa sus preocupaciones en materia de seguridad en un lenguaje sencillo sin necesidad de tener conocimiento experto en los formatos de registro de AWS.
+ **Respuestas más rápidas**: los resúmenes de las investigaciones están disponibles en cuestión de minutos en la pestaña “Investigación”.
+ **Auditabilidad total**: todas las acciones de los agentes se registran en AWS CloudTrail con el rol `AWSServiceRoleForSupport`.
**importante**
Esta característica solo está disponible para los casos con asistencia de AWS. Los casos autoadministrados no incluyen capacidades de investigación de IA.
## Funcionamiento
El agente de investigación con IA sigue un flujo de trabajo estructurado al analizar casos de seguridad con asistencia de AWS:
**Flujo de trabajo de investigación**
1. **Creación del caso**: el cliente crea un caso con asistencia de AWS en la consola de Respuesta ante incidentes de seguridad, en el que describe la situación de seguridad.
1. **Activación paralela**
+ Los ingenieros de Respuesta ante incidentes de seguridad intervienen en el caso.
+ Simultáneamente, el agente de IA comienza su flujo de trabajo de investigación.
1. **Preguntas contextuales (opcionales)**: el agente puede hacer preguntas aclaratorias para recopilar detalles específicos:
+ ID de las cuentas de AWS afectadas
+ Entidades principales de IAM involucradas (usuarios, roles, claves de acceso)
+ Identificadores de recursos específicos (buckets de S3, instancias de EC2, ARN)
+ Cronología de la actividad sospechosa
1. **Recopilación de pruebas**: el agente consulta automáticamente los orígenes de datos de AWS:
+ *AWS CloudTrail* – llamadas a la API y actividades asociadas al incidente
+ *IAM*: permisos de usuario y rol, cambios en las políticas y creación de nuevas identidades
+ *API de instancias de Amazon EC2*: información sobre los recursos de computación, si están involucrados
+ *Explorador de costos*: métricas de costo y uso para un consumo de recursos inusual
1. **Análisis y correlación**: el agente correlaciona las pruebas entre los servicios, identifica los patrones y crea una cronología de los eventos.
1. **Generación de resúmenes**: en cuestión de minutos, el agente presenta un resumen completo de la investigación en la pestaña “Investigación”.
**nota**
Todos los campos son opcionales. Si no se responde en un plazo de 10 minutos, la investigación se inicia automáticamente. En algunos casos, si ya hay suficiente información disponible, el agente puede omitir por completo las preguntas opcionales.
**Acceso a los resultados de la investigación**
Siga estos pasos para ver el análisis de la IA:
1. Acceda a su caso en la consola de Respuesta a incidentes de segurdad.
1. Seleccione la pestaña **Investigación**.
1. Revise el resumen de la investigación con los resultados, la cronología y el contexto.
El resumen del agente de investigación con IA se publica automáticamente como un comentario en la sección **Comunicación** del caso, lo que facilita su revisión junto con otras actualizaciones del caso.
**Acceso a datos y permisos**
El agente de investigación de IA utiliza el rol vinculado al servicio `AWSServiceRoleForSupport` para acceder a los recursos de AWS. Este rol proporciona los permisos de solo lectura necesarios para recopilar pruebas.
Todas las acciones que realiza el agente se registran en AWS CloudTrail, lo que permite que los clientes auditen exactamente los datos a los que se accedió durante la investigación. En los registros de AWS CloudTrail, estas acciones se atribuyen a `AWSServiceRoleForSupport`.
## Requisitos previos
Antes de usar capacidades de investigación basadas en IA, asegúrese de lo siguiente:
**Configuración necesaria**
+ **Respuesta frente a incidencias de seguridad de AWS habilitado**: el servicio se debe habilitar a través de la cuenta de administración de AWS Organizations.
+ **Tipo de caso con asistencia de AWS**: la investigación con IA solo está disponible para casos con asistencia de AWS (no para casos autogestionados).
+ **AWSServiceRoleForSupport**: este rol vinculado al servicio se crea automáticamente y proporciona los permisos necesarios al agente de investigación.
**Permisos necesarios**
Para crear casos con asistencia de AWS y acceder a los resultados de la investigación, la entidad principal de IAM debe contar con los siguientes permisos:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"security-ir:CreateCase",
"security-ir:GetCase",
"security-ir:ListCases",
"security-ir:UpdateCase"
],
"Resource": "*"
}
]
}
```
## Uso del agente de investigación
El agente de investigación de IA se activa automáticamente al crear un caso con asistencia de AWS.
**Supervisión del progreso de la investigación de IA**
1. Abra el caso en la consola de Respuesta frente a incidencias de seguridad de AWS.
1. Seleccione la pestaña **Investigación**.
1. Vea el estado de la investigación (*en curso* o *completada*).
1. Una vez finalizada, revise el resumen completo de la investigación con los resultados, la cronología y las recomendaciones.
**Divulgación de IA responsable**
Los resúmenes de las investigaciones se generan mediante capacidades de IA generativa de AWS. Usted es responsable de evaluar las recomendaciones generadas con IA en su contexto específico, implementar los mecanismos de supervisión adecuados, verificar los resultados de forma independiente y mantener la supervisión humana de todas las decisiones de seguridad.
**Uso de datos del cliente**
El Agente de Investigación con IA no utiliza datos del cliente para el entrenamiento del modelo ni comparte datos del cliente con terceros.
# Contención
Respuesta ante incidentes de seguridad de AWS colabora para contener los eventos. Puede configurar el servicio para que adopte acciones de contención proactivas en la cuenta en respuesta a resultados de seguridad. También es posible realizar acciones de contención directamente o en colaboración con terceros mediante el uso de los [documentos de SSM](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html) descritos en [Acciones de contención admitidas](https://docs.aws.amazon.com/security-ir/latest/userguide/supported-containment-actions.html).
**importante**
Respuesta ante incidentes de seguridad de AWS no habilita las capacidades de contención de forma predeterminada.
Se requieren dos pasos para habilitar las capacidades de contención proactiva:
**Otorgar los permisos necesarios** al servicio mediante roles de IAM. Estos roles se pueden crear de forma individual por cuenta o en toda la organización mediante conjuntos de pilas de AWS CloudFormation, que generan los roles requeridos.
**Definir las preferencias de contención** por cuenta o a nivel de organización para autorizar acciones de contención proactivas. Las preferencias a nivel de cuenta prevalecen sobre las preferencias a nivel de organización. Esto se puede realizar mediante la creación de un caso de AWS Support (Técnico: Respuesta ante incidentes de seguridad/Otro). Las preferencias de contención disponibles son:
**Aprobación requerida (valor predeterminado)**: no realizar contención proactiva de ningún recurso sin autorización explícita caso por caso.
**Contener recurso confirmado como comprometido**: realizar contención proactiva de un recurso confirmado como comprometido.
**Contener recurso con compromiso presunto**: realizar contención proactiva de un recurso con alta probabilidad de haber sido comprometido, según el análisis realizado por el equipo de Ingeniería de Respuesta ante incidentes de seguridad de AWS.
# Toma de decisiones de contención
Una parte esencial de la contención es la toma de decisiones, como determinar si se debe apagar un sistema, aislar un recurso de la red, desactivar el acceso o finalizar sesiones. Estas decisiones resultan más sencillas cuando existen estrategias y procedimientos predefinidos para contener el evento. AWS Respuesta ante incidentes de seguridad proporciona la estrategia de contención, informa sobre el posible impacto y orienta en la implementación de la solución únicamente después de que se hayan considerado y aceptado los riesgos involucrados.
# Acciones de contención admitidas
Respuesta frente a incidencias de seguridad de AWS ejecuta acciones de contención admitidas en su nombre para acelerar la respuesta y reducir el tiempo del que dispone un agente de amenazas para causar posibles daños en su entorno. Esta capacidad permite mitigar las amenazas identificadas con mayor rapidez, minimizar el impacto potencial y mejorar su posición general de seguridad. Existen distintas opciones de contención según los recursos que se encuentran en análisis. Las acciones de contención admitidas se describen en las subsecciones siguientes.
# Contención de EC2
La automatización de contención de `AWSSupport-ContainEC2Instance` realiza una contención de red reversible de una instancia de EC2, mantiene la instancia intacta y en ejecución, pero la aísla de cualquier nueva actividad de red e impide que se comunique con recursos dentro y fuera de la VPC.
**importante**
Es importante tener en cuenta que las conexiones existentes que estén bajo seguimiento no se cerrarán como resultado del cambio de grupos de seguridad; únicamente el tráfico futuro quedará bloqueado por el nuevo grupo de seguridad y este documento de SSM. Encontrará más información en la sección [Source containment](https://docs.aws.amazon.com/security-ir/latest/userguide/source-containment.html) de la guía técnica del servicio.
# Contención de IAM
La automatización de contención de `AWSSupport-ContainIAMPrincipal` realiza una contención reversible de un usuario o rol de IAM; mantiene el usuario o rol en IAM, pero lo aísla para que no pueda comunicarse con recursos dentro de la cuenta.
# Contención de S3
La automatización de contención de `AWSSupport-ContainS3Resource` realiza una contención reversible de un bucket de S3; mantiene los objetos del bucket y aísla el bucket de Amazon S3 o el objeto mediante la modificación de sus políticas de acceso.
# Desarrollo de estrategias de contención
Respuesta frente a incidencias de seguridad de AWS le anima a considerar estrategias de contención para cada tipo de evento importante que se ajusten a su tolerancia al riesgo. Documente criterios claros que lo ayuden a tomar decisiones durante un evento. Entre los criterios que se deben considerar se incluyen los siguientes:
+ Posibles daños a los recursos
+ Preservación de pruebas y requisitos normativos
+ Falta de disponibilidad del servicio (por ejemplo, conectividad de red, servicios prestados a terceros)
+ Tiempo y recursos necesarios para implementar la estrategia
+ Eficacia de la estrategia (por ejemplo, contención parcial o total)
+ Permanencia de la solución (por ejemplo, reversible o irreversible)
+ Duración de la solución (por ejemplo, solución de emergencia, solución temporal o solución permanente)
Aplique controles de seguridad que reduzcan el riesgo y permitan disponer de tiempo para definir e implementar una estrategia de contención más eficaz.
# Enfoque de contención por fases
Respuesta frente a incidencias de seguridad de AWS recomienda un enfoque gradual para lograr una contención eficiente y eficaz, que incluya estrategias a corto y largo plazo basadas en el tipo de recurso.
# Estrategia de contención
**Puede Respuesta frente a incidencias de seguridad de AWS identificar el alcance del evento de seguridad?**
+ En caso afirmativo, identifique todos los recursos (usuarios, sistemas, recursos).
+ En caso contrario, investigue en paralelo mientras ejecuta el siguiente paso en los recursos identificados.
**Se puede aislar el recurso?**
+ En caso afirmativo, proceda a aislar los recursos afectados.
+ En caso contrario, colabore con los propietarios y administradores del sistema para determinar las medidas adicionales necesarias para contener el problema.
**Están todos los recursos afectados aislados de los no afectados?**
+ En caso afirmativo, continúe con el siguiente paso.
+ En caso contrario, continúe aislando los recursos afectados para completar la contención a corto plazo y evitar que el evento se escale aún más.
# Backup del sistema
**Se crearon copias de seguridad de los sistemas afectados para su posterior análisis?**
**Están las copias forenses cifradas y almacenadas en una ubicación segura?**
+ En caso afirmativo, continúe con el siguiente paso.
+ En caso contrario, cifre las imágenes forenses y almacénelas en una ubicación segura para evitar el uso accidental, los daños y las manipulaciones.
# Enviar las preferencias de contención
Para configurar las preferencias de contención de su cuenta u organización, cree un [caso de AWS Support](https://repost.aws/knowledge-center/get-aws-technical-support).
En el caso de soporte, especifique la siguiente información:
+ Su ID de AWS Organizations o los ID de cuenta específicos donde se deben autorizar las acciones de contención
+ Su opción de contención preferida.
Después de la configuración, Respuesta frente a incidencias de seguridad de AWS ejecuta las acciones de contención autorizadas durante incidentes de seguridad activos para ayudar a proteger el entorno.
**nota**
Respuesta frente a incidencias de seguridad de AWS ejecuta acciones de contención solo cuando se configura con las preferencias adecuadas y después de implementar el StackSet de AWS CloudFormation requerido para conceder los permisos necesarios.
# Erradicación
Durante la fase de erradicación, es importante identificar y abordar todas las cuentas, recursos e instancias afectados (por ejemplo, eliminando el malware, eliminando las cuentas de usuario comprometidas y mitigando cualquier vulnerabilidad descubierta) para aplicar una corrección uniforme en todo el entorno.
Es una práctica recomendada utilizar un enfoque gradual para la erradicación y la recuperación, y priorizar los pasos de corrección. El objetivo de las primeras fases es aumentar la seguridad general rápidamente (en días o semanas) con cambios de gran valor para evitar futuros eventos. Las fases posteriores pueden centrarse en los cambios a largo plazo (por ejemplo, cambios en la infraestructura) y en el trabajo continuo para mantener la empresa lo más segura posible. Cada caso es único y los ingenieros de Respuesta ante incidentes de seguridad de AWS trabajarán para evaluar las acciones necesarias.
Considere lo siguiente:
+ ¿Puede volver a crear la imagen del sistema y reforzarla con revisiones u otras contramedidas para prevenir o reducir el riesgo de ataques?
+ ¿Puede sustituir el sistema infectado por una nueva instancia o recurso que permita disponer de una línea de base limpia y, al mismo tiempo, terminar el elemento infectado?
+ ¿Ha eliminado todo el malware y otros artefactos que el uso no autorizado ha dejado atrás y ha reforzado los sistemas afectados contra nuevos ataques?
+ ¿Es necesario hacer análisis forenses de los recursos afectados?
# Recuperar
Respuesta frente a incidencias de seguridad de AWS le proporciona orientación para ayudar a restaurar los sistemas a su funcionamiento normal, confirmar que funcionan correctamente y corregir cualquier vulnerabilidad para evitar eventos similares en el futuro. Respuesta frente a incidencias de seguridad de AWS no ayuda directamente a la recuperación de los sistemas. Las principales consideraciones incluyen las siguientes:
+ ¿Cuentan los sistemas afectados con las revisiones necesarias y están protegidos contra el ataque reciente?
+ ¿Cuál es el plazo factible para restablecer los sistemas a producción?
+ ¿Qué herramientas utilizará para probar, supervisar y verificar los sistemas restaurados?
# Informe posterior al incidente
Respuesta frente a incidencias de seguridad de AWS proporciona un resumen del evento tras la conclusión de las actividades de seguridad entre su equipo y el nuestro.
Al final de cada mes, el servicio Respuesta frente a incidencias de seguridad de AWS enviará informes mensuales por correo electrónico al punto de contacto principal de cada cliente. Los informes se entregarán en formato PDF utilizando las métricas que se describen a continuación. Los clientes recibirán un informe por organización de AWS Organizations.
# Métricas de casos
+ Casos creados
+ Nombre de la dimensión: tipo
+ Valores de la dimensión: compatibles con AWS, soporte propio
+ Unidad: recuento
+ Descripción: número de casos creados.
+ Casos cerrados
+ Nombre de la dimensión: tipo
+ Valores de la dimensión: compatibles con AWS, autoadministrados
+ Unidad: recuento
+ Descripción: medida del número total de casos cerrados.
+ Casos abiertos
+ Nombre de la dimensión: tipo
+ Valores de la dimensión: compatibles con AWS, soporte propio
+ Unidad: recuento
+ Descripción: número de casos abiertos.
# Métricas de clasificación
+ Resultados recibidos
+ Unidad: recuento
+ Descripción: número de resultados enviados para su clasificación.
+ Resultados archivados
+ Unidad: recuento
+ Descripción: número de resultados archivados tras procesarse sin investigación manual.
+ Resultados investigados manualmente
+ Unidad: recuento
+ Descripción: número de resultados con investigación manual llevada a cabo.
+ Investigaciones archivadas
+ Unidad: recuento
+ Descripción: número de investigaciones manuales que dieron lugar a un falso positivo y se enviaron para su archivado.
+ Investigaciones escaladas
+ Unidad: recuento
+ Descripción: número de investigaciones manuales que dieron lugar a un incidente de seguridad.
# Casos
Respuesta frente a incidencias de seguridad de AWS permite crear dos tipos de casos: casos compatibles con AWS o casos autoadministrados.
# Creación de un caso compatible con AWS
Puede crear un caso con asistencia de AWS para Respuesta frente a incidencias de seguridad de AWS a través de la consola, la API o la AWS Command Line Interface; estos casos con asistencia de AWS ponen a disposición el apoyo de los ingenieros de Respuesta ante incidentes de seguridad.
**importante**
Los casos de demostración o simulación se cierran después de un período de 90 días.
**nota**
Los ingenieros de Respuesta ante incidentes de seguridad de AWS responderán al caso en un plazo de 15 minutos. El tiempo de respuesta corresponde a la primera respuesta de los ingenieros de Respuesta ante incidentes de seguridad de AWS. Haremos todo lo posible por responder a la solicitud inicial en este plazo. Este tiempo de respuesta no se aplica a las respuestas posteriores.
**nota**
Puede crear casos con asistencia de AWS no solo para incidentes de seguridad activos e investigaciones, sino también para consultas sobre las capacidades de Respuesta ante incidentes de seguridad de AWS. Esto incluye preguntas sobre las reglas de supresión de GuardDuty, las configuraciones de clasificación de alertas, los flujos de trabajo de respuesta proactiva y orientación general sobre la postura de seguridad. Seleccione el tipo de caso **Investigaciones y consultas** para estos fines.
# Cuándo contactar Respuesta frente a incidencias de seguridad de AWS
Es posible ponerse en contacto con Respuesta ante incidentes de seguridad de AWS para distintos fines según las necesidades. La siguiente tabla describe los distintos escenarios y el método de contacto adecuado para cada uno.
| Escenario | Cuándo se debe usar | Tiempo de respuesta | Tipo de caso |
| --- | --- | --- | --- |
| **Incidente de seguridad activo** | Se experimenta un incidente de seguridad urgente que requiere apoyo y servicios inmediatos de respuesta ante incidentes | 15 minutos (primera respuesta) | [Incidente de seguridad activo](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Investigación** | Se ha identificado un incidente de seguridad y se requiere apoyo para el análisis de registros y una confirmación secundaria de la investigación de respuesta ante incidentes | 15 minutos (primera respuesta) | [Investigaciones y consultas](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Consultas y orientación** | Existen preguntas sobre los resultados de Amazon GuardDuty, las reglas de supresión, las configuraciones de clasificación de alertas, los flujos de trabajo de respuesta proactiva o la postura general de seguridad en relación con las capacidades de Respuesta frente a incidencias de seguridad de AWS | 15 minutos (primera respuesta) | [Investigaciones y consultas](https://docs.aws.amazon.com/security-ir/latest/userguide/create-an-aws-supported-case.html) |
| **Problemas de incorporación** | Se experimentan problemas técnicos durante el proceso de incorporación de Respuesta ante incidentes de seguridad de AWS | Varía según el plan de soporte | [AWS Support Caso de](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) |
Para todos los casos con asistencia de AWS (Incidente de seguridad activo e Investigaciones y consultas), los ingenieros de Respuesta ante incidentes de seguridad de AWS responderán en un plazo de 15 minutos para la primera respuesta. Este tiempo de respuesta se aplica únicamente al contacto inicial y no a las respuestas posteriores.
En el siguiente ejemplo se abarca el uso de la consola.
1. Inicie sesión en Respuesta frente a incidencias de seguridad de AWS a través de la Consola de administración de AWS.
1. Elija **Crear caso**.
1. Elija **Resolver el caso con AWS**.
1. Seleccione el tipo de solicitud:
1. **Incidente de seguridad activo**: este tipo es para apoyo y servicios urgentes de respuesta ante incidentes.
1. **Investigaciones y consultas**: utilice este tipo para incidentes de seguridad detectados en los que los ingenieros de Respuesta ante incidentes de seguridad de AWS puedan brindar apoyo en el análisis de registros y la confirmación secundaria de la investigación de respuesta ante incidentes. También puede utilizar este tipo para consultas sobre los resultados de GuardDuty, las reglas de supresión, las configuraciones de clasificación de alertas, los flujos de trabajo de respuesta proactiva y cuestiones generales sobre la postura de seguridad relacionadas con las capacidades de Respuesta ante incidentes de seguridad de AWS.
1. Establezca la fecha estimada de inicio como la fecha del primer indicador del incidente. Por ejemplo, cuando experimentó un comportamiento anómalo por primera vez o cuando recibió la primera alerta de seguridad relacionada.
1. Defina un título para el caso.
1. Proporcione una descripción detallada del caso. Tenga en cuenta los siguientes aspectos que pueden ayudar al personal de respuesta ante incidentes a resolver el caso:
1. ¿Qué ha pasado?
1. ¿Quién descubrió y notificó el incidente?
1. ¿A quién afecta el caso?
1. ¿Cuál es el impacto conocido?
1. ¿Cuál es la urgencia de este caso?
1. Agregue uno o varios ID de Cuenta de AWS que estén dentro del alcance del caso.
1. Agregue detalles opcionales del caso:
1. Seleccione los servicios principales que se ven afectados en la lista desplegable.
1. Seleccione las regiones principales que se ven afectadas en la lista desplegable.
1. Agregue una o varias direcciones IP de agente de amenazas que haya identificado como parte de este caso.
1. Agregue al caso personal adicional y opcional de respuesta ante incidentes que recibirá las notificaciones. Para agregar a una persona, haga lo siguiente:
1. Agregue una dirección de correo electrónico.
1. Agregue un nombre y apellidos opcionales.
1. Elija **Agregar nuevo** para agregar a otra persona.
1. Para eliminar a una persona, elija la opción **Eliminar** para una persona.
1. Elija **Agregar** para agregar al caso a todas las personas indicadas.
1. Puede seleccionar varias personas y elegir **Eliminar** para eliminarlas de la lista.
1. Agregue etiquetas opcionales al caso.
1. Para añadir una etiqueta, haga lo siguiente:
1. Elija **Añadir nueva etiqueta**.
1. En **Clave**, escriba el nombre de la etiqueta.
1. En **Valor**, escriba el valor de la etiqueta.
1. Para eliminar una etiqueta, elija la opción **Eliminar** de la etiqueta correspondiente.
Una vez creado un caso compatible con AWS, los ingenieros de Respuesta ante incidentes de seguridad de AWS y su equipo de respuesta ante incidentes reciben una notificación inmediata.
**Creación de un caso con asistencia de AWS mediante una investigación basada en IA**
1. Abra la consola de Respuesta frente a incidencias de seguridad de AWS en [console.aws.amazon.com/](https://console.aws.amazon.com/).
1. Seleccione **Casos** en el panel de navegación.
1. Seleccione **Crear caso**.
1. En **Tipo de caso**, seleccione **Caso con asistencia de AWS**.
1. Proporcione los detalles del caso, como el título, la fecha de inicio del incidente y el ID de cuenta de AWS afectado.
1. En la sección **Describa el incidente de seguridad**, proporcione una descripción detallada del incidente.
1. Proporcione información adicional sobre los servicios y regiones de AWS afectados y otros detalles pertinentes.
1. Seleccione **Crear caso**.
Tras la creación del caso, los ingenieros de Respuesta ante incidentes de seguridad y el agente de IA comienzan a trabajar de forma simultánea.
**Respuesta a las preguntas aclaratorias de la IA (opcional)**
1. Acceda a la pestaña **Investigación** de su caso.
1. Revise cualquier pregunta aclaratoria que formule el agente de IA.
1. Responda a las preguntas o seleccione **Omitir** si prefiere no responder.
1. Seleccione **Enviar** para continuar. Todos los campos son opcionales.
**Divulgación de IA responsable**
Los resúmenes de las investigaciones se generan mediante capacidades de IA generativa de AWS. Usted es responsable de evaluar las recomendaciones generadas con IA en su contexto específico, implementar los mecanismos de supervisión adecuados, verificar los resultados de forma independiente y mantener la supervisión humana de todas las decisiones de seguridad.
# Creación de un caso autoadministrado
Puede crear un formulario autoadministrado para Respuesta frente a incidencias de seguridad de AWS mediante la consola, la API o la AWS Command Line Interface. Este tipo de caso *NO* activa a los ingenieros de Respuesta ante incidentes de seguridad de AWS. En el siguiente ejemplo se abarca el uso de la consola.
1. Inicie sesión en Respuesta frente a incidencias de seguridad de AWS a través de Consola de administración de AWS en [https://console.aws.amazon.com/security-ir/](https://console.aws.amazon.com/).
1. Elija **Create Case (Crear caso)**.
1. Elija **Resolve case with my own incident response team**.
1. Establezca la fecha estimada de inicio como la fecha del primer indicador del incidente. Por ejemplo, cuando experimentó un comportamiento anómalo por primera vez o cuando recibió la primera alerta de seguridad relacionada.
1. Defina un título para el caso. Se recomienda incluir los datos en el título del caso, tal como se sugiere al seleccionar la opción **Generar título**.
1. Ingrese los ID de Cuenta de AWS que forman parte del caso. Para agregar un ID de cuenta, haga lo siguiente:
1. Ingrese el ID de 12 dígitos de la cuenta y elija **Agregar cuenta**.
1. Para eliminar una cuenta, elija **Eliminar** junto a la cuenta que quiera eliminar del caso.
1. Proporcione una descripción detallada del caso.
1. Tenga en cuenta los siguientes aspectos que pueden ayudar al personal de respuesta ante incidentes a resolver el caso:
1. ¿Qué ha pasado?
1. ¿Quién descubrió y notificó el incidente?
1. ¿A quién afecta el caso?
1. ¿Cuál es el impacto conocido?
1. ¿Cuál es la urgencia de este caso?
1. Agregue detalles opcionales del caso:
1. Seleccione los servicios principales que se ven afectados en la lista desplegable.
1. Seleccione las regiones principales que se ven afectadas en la lista desplegable.
1. Agregue una o varias direcciones IP de agente de amenazas que haya identificado como parte de este caso.
1. Agregue al caso personal adicional y opcional de respuesta ante incidentes que recibirá las notificaciones. Para agregar a una persona, haga lo siguiente:
1. Agregue una dirección de correo electrónico.
1. Agregue un nombre y apellidos opcionales.
1. Elija **Agregar nuevo** para agregar a otra persona.
1. Para eliminar a una persona, elija la opción **Eliminar** para una persona.
1. Elija **Agregar** para agregar al caso a todas las personas indicadas. Puede seleccionar varias personas y elegir **Eliminar** para eliminarlas de la lista.
1. Agregue etiquetas opcionales al caso. Para añadir una etiqueta, haga lo siguiente:
1. Elija **Añadir nueva etiqueta**.
1. En **Clave**, escriba el nombre de la etiqueta.
1. En **Valor**, escriba el valor de la etiqueta.
1. Para eliminar una etiqueta, elija la opción **Eliminar** de la etiqueta correspondiente.
El equipo de respuesta ante incidentes recibirá una notificación por correo electrónico una vez creado el caso.
# Colaboración con los ingenieros de Respuesta ante incidentes de seguridad de AWS
Después de abrir un caso de incidente de seguridad, los ingenieros de Respuesta ante incidentes de seguridad de AWS comienzan a trabajar en el incidente. Esta sección explica qué esperar durante la investigación y cómo colaborar eficazmente con el equipo.
# Qué esperar de los ingenieros de Respuesta ante incidentes de seguridad de AWS
Cuando se abre un caso con asistencia de AWS, se asigna un ingeniero de Respuesta ante incidentes de seguridad al incidente. El personal de respuesta asignado hará lo siguiente:
+ Revisa la información inicial proporcionada en el caso
+ Analiza los registros de servicio de AWS relevantes y los resultados de seguridad
+ Identifica el alcance y el impacto del incidente de seguridad
+ Desarrolla un plan de investigación y respuesta adaptado a la situación
**Plazos de respuesta**: el objetivo de nivel de servicio (SLO) para la confirmación de nuevos casos por parte de los ingenieros de Respuesta frente a incidencias de seguridad de AWS es de 15 minutos. Los plazos de la evaluación inicial pueden variar en función de la gravedad y la complejidad del caso. Si los ingenieros de Respuesta frente a incidencias de seguridad de AWS no reciben ninguna respuesta ni información crítica de su parte en un plazo de 5 días laborables, el caso queda cerrado.
# Flujo de trabajo de investigación
Los ingenieros de Respuesta ante incidentes de seguridad de AWS siguen un proceso estructurado de respuesta ante incidentes alineado con el marco NIST 800-61r2. Durante la investigación, el proceso suele incluir las siguientes fases:
1. **Clasificación inicial**: los ingenieros de Respuesta ante incidentes de seguridad revisan los detalles del caso y confirman el alcance del incidente
1. **Investigación**: los ingenieros de Respuesta ante incidentes de seguridad analizan los registros, identifican indicadores de compromiso y determinan la causa raíz
1. **Contención**: los ingenieros de Respuesta ante incidentes de seguridad recomiendan acciones para limitar el impacto del incidente
1. **Erradicación y recuperación**: los ingenieros de Respuesta ante incidentes de seguridad ayudan a eliminar las amenazas y a restablecer el funcionamiento normal
1. **Revisión posterior al incidente**: los ingenieros de Respuesta ante incidentes de seguridad proporcionan resultados y recomendaciones para prevenir incidentes futuros
A lo largo de estas fases, el ingeniero de Respuesta ante incidentes de seguridad mantiene informada a la organización mediante actualizaciones del caso y puede solicitar información o acciones adicionales.
# Información que pueden solicitar los ingenieros de Respuesta ante incidentes de seguridad
Para investigar el incidente de forma eficaz, los ingenieros de Respuesta ante incidentes de seguridad de AWS pueden solicitar lo siguiente:
+ **Detalles de la cronología**: cuándo se detectó inicialmente el incidente y cualquier evento relevante previo
+ **Recursos afectados**: ID de cuentas de AWS específicas, servicios, regiones y ARN de los recursos involucrados
+ **Información de acceso**: detalles sobre quién tiene acceso a los recursos afectados y cualquier cambio reciente en los accesos
+ **Contexto empresarial**: cómo se utilizan los recursos afectados y cuál es el posible impacto para el negocio
+ **Registros y evidencias**: registros adicionales, capturas de pantalla o artefactos que puedan apoyar la investigación
+ **Autorización**: aprobación para realizar acciones específicas de contención o remediación en su nombre
El ingeniero de Respuesta ante incidentes de seguridad explicará por qué se necesita cada elemento de información y cómo contribuye a la investigación.
# Prácticas recomendadas de comunicación
Una comunicación eficaz acelera la resolución del incidente. Siga estas prácticas al trabajar con los ingenieros de Respuesta ante incidentes de seguridad de AWS:
+ **Responda con prontitud** a las solicitudes de información del ingeniero de Respuesta ante incidentes de seguridad
+ **Proporcione información completa**, incluso si existe duda sobre su relevancia
+ **Formule preguntas** si no comprende una recomendación o requiere aclaración
+ **Actualice el caso** con cualquier novedad o cambio relacionado con el incidente
+ **Designe un contacto principal** del equipo para coordinar con los ingenieros de Respuesta ante incidentes de seguridad
**importante**
Si los ingenieros de Respuesta frente a incidencias de seguridad de AWS no reciben ninguna respuesta a solicitudes de información crítica en un plazo de 5 días laborables, procederemos al cierre del caso. Es posible reabrir un caso si se dispone de nueva información.
# Su función durante la investigación
Aunque los ingenieros de Respuesta frente a incidencias de seguridad de AWS lideran la investigación, su participación es esencial. Usted es responsable de las siguientes acciones:
+ Proporcionar respuestas oportunas a las solicitudes de información
+ Implementar las acciones de contención y remediación recomendadas en el entorno de AWS
+ Autorizar a los ingenieros de Respuesta ante incidentes de seguridad a actuar en su nombre (si habilitó la respuesta proactiva)
+ Coordinar con los equipos internos (seguridad, jurídico, cumplimiento) cuando sea necesario
+ Tomar decisiones empresariales sobre las prioridades y los compromisos asociados a la respuesta ante incidentes
Los ingenieros de Respuesta frente a incidencias de seguridad de AWS proporcionan experiencia y recomendaciones, pero no perderá el control sobre los recursos de AWS y la toma las decisiones finales respecto de las acciones de respuesta.
# Cierre del caso
Los ingenieros de Respuesta frente a incidencias de seguridad de AWS cierran un caso cuando:
+ El incidente ha sido contenido y remediado
+ Se le han compartido todos los resultados de la investigación
+ No se requiere asistencia adicional de los ingenieros de Respuesta ante incidentes de seguridad de
+ Solicita el cierre del caso
Antes de cerrar el caso, el ingeniero de Respuesta ante incidentes de seguridad proporciona un resumen de los resultados, las acciones realizadas y las recomendaciones para mejorar la postura de seguridad.
Si necesita asistencia adicional después del cierre del caso, puede abrir un nuevo caso o contactar con AWS Support.
# Respuesta a un caso generado por AWS
Respuesta frente a incidencias de seguridad de AWS puede crear un caso o una notificación saliente cuando necesite tomar medidas o tener conocimiento de algo que pueda afectar a su cuenta o sus recursos. Esto solo ocurre si habilitó los flujos de trabajo de respuesta proactiva y clasificación de alertas como parte de su suscripción.
Estas notificaciones aparecen como casos de Respuesta ante incidentes de seguridad con el prefijo “[Proactive case]” en la consola de Respuesta frente a incidencias de seguridad de AWS. Para consultar y administrar estos casos, siga los pasos que se describen a continuación:
+ Abra la consola de Respuesta ante incidentes de seguridad en https://console.aws.amazon.com/security-ir/.
+ Seleccione **Casos**.
+ Ve todos los casos, incluidos los que tienen el prefijo “[Proactive case]”.
Puede actualizar, resolver y reabrir estos casos según sea necesario. Puede comunicarse directamente con el equipo de Respuesta frente a incidencias de seguridad de AWS mediante estos casos, lo que garantiza una gestión eficiente de los posibles problemas de seguridad.
# Administración de casos
**Topics**
+ [Cambio del estado de un caso](changing-the-case-status.md)
+ [Cambio de herramienta de solución](changing-the-resolver.md)
+ [Elementos de acción](action-items.md)
+ [Edición de un caso](edit-a-case.md)
+ [Comunicación](communications.md)
+ [Permisos](sir-permissions.md)
+ [Archivos adjuntos](attachments.md)
+ [Etiquetas](tags.md)
+ [Actividades de un caso](case-activities.md)
+ [Cierre de un caso](closing-a-case.md)
# Cambio del estado de un caso
Un caso se encuentra en uno de los siguientes estados:
+ Enviado: este es el estado inicial de un caso. Un solicitante ha enviado los casos que tienen este estado, pero aún no se está trabajando en ellos.
+ Detection and Analysis: este estado indica que el equipo de respuesta ante incidentes ha empezado a trabajar en el caso. Esta fase incluye la recopilación de datos, la clasificación del evento y la realización de análisis para sacar conclusiones basadas en los datos.
+ Containment, Eradication and Recovery: en este estado, el personal de respuesta ante incidentes ha identificado una actividad sospechosa que requiere un esfuerzo adicional para eliminarla. El personal de respuesta ante incidentes le proporcionará recomendaciones para el análisis de riesgos empresariales y medidas adicionales. Si ha habilitado las características opcionales del servicio, un miembro del equipo de respuesta ante incidentes de AWS solicitará su consentimiento para llevar a cabo acciones de contención con los documentos de SSM en las cuentas afectadas.
+ Actividades posteriores al incidente: en este estado, se ha contenido el evento de seguridad principal. El objetivo ahora es recuperar las operaciones comerciales y volver a la normalidad. Se proporciona un resumen y un análisis de la causa raíz si el personal de respuesta del caso es compatible con AWS.
+ Cerrado: este es el estado final del flujo de trabajo. Los casos en estado cerrado indican que el trabajo se ha completado. Los casos cerrados no se pueden reabrir, así que debe asegurarse de que todas las acciones se hayan completado antes de pasar a este estado.
Elija **Acción/Actualizar estado** para cambiar el estado del caso en los casos autoadministrados. En los casos con asistencia de AWS, el estado lo establecen los ingenieros de Respuesta ante incidentes de seguridad de AWS.
# Cambio de herramienta de solución
Para los casos autoadministrados, su equipo de respuesta ante incidentes puede solicitar ayuda a AWS. Elija **Obtenga ayuda de AWS** para cambiar la herramienta de solución de este caso a AWS. Una vez que el caso se haya actualizado a compatible con AWS, el estado cambiará a **Enviado**. El historial del caso permanecerá disponible para los ingenieros de Respuesta ante incidentes de seguridad de AWS. Una vez que haya solicitado ayuda de AWS, no podrá volver a cambiarlo a autoadministrado.
# Elementos de acción
Un ingeniero de Respuesta ante incidentes de seguridad de AWS que trabaje en el caso puede solicitar acciones a su equipo interno.
Entre los elementos de acción que aparecen después de crear un caso se incluyen los siguientes:
+ Solicitud para conceder permisos a un miembro del equipo de respuesta ante incidentes para acceder a un caso.
+ Solicitud para proporcionar más información sobre el caso.
Elementos de acción cuando un caso está listo para cerrarse:
+ Solicitud para revisar el informe del caso.
+ Solicitud para cerrar el caso.
# Edición de un caso
Elija **Editar** para cambiar los detalles de un caso.
**Para casos compatibles con AWS y autoadministrados:**
Puede cambiar los siguientes detalles del caso después de crearlo:
+ Título
+ Descripción
**Solo para casos compatibles con AWS:**
Puede cambiar los campos adicionales:
+ **Tipo de solicitud:**
+ **Incidente de seguridad activo**: este tipo es para asistencia y servicios de respuesta ante incidentes urgentes.
+ **Investigaciones**: este tipo permite recibir apoyo ante incidentes de seguridad percibidos, en los que los ingenieros de Respuesta ante incidentes de seguridad de AWS pueden ayudar con el análisis detallado de registros y la confirmación secundaria del evento de seguridad.
+ **Fecha de inicio estimada**: cambie este campo si ha recibido indicadores para este caso anteriores a la fecha de inicio proporcionada inicialmente. Considere la posibilidad de proporcionar detalles adicionales sobre el indicador detectado recientemente en el campo de descripción o agregar un comentario en la pestaña de comunicaciones.
# Comunicación
Los ingenieros de Respuesta ante incidentes de seguridad de AWS pueden agregar comentarios para documentar las actividades que realizan mientras trabajan en el caso. Varios ingenieros de Respuesta ante incidentes de seguridad de AWS pueden trabajar en un mismo caso de forma simultánea. Se representan como **AWS Responder** en el registro de comunicaciones.
# Permisos
En la pestaña de permisos se muestra una lista de todas las personas a las que se les notificará cualquier cambio en el caso. Puede agregar y eliminar personas de la lista hasta que se cierre el caso.
**nota**
Los casos individuales le permiten incluir hasta 30 partes interesadas en total. Se requiere una configuración de permisos adicional para conceder acceso de nivel de caso a estas partes interesadas.
**Concesión de acceso a un caso en la consola**
Para proporcionar acceso al caso en la Consola de administración de AWS, puede copiar la plantilla de política de permisos de IAM y agregar este permiso a un usuario o rol.
Cómo agregar la política de IAM a un usuario o rol:
1. Copie la política de permisos de IAM.
1. Abra IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **Usuario** o **Roles**.
1. Seleccione un usuario o un rol para abrir la página de detalles.
1. En la pestaña de permisos, elija **Agregar permisos**.
1. Elija **Asociar política**.
1. Seleccione la [política administrada por Respuesta frente a incidencias de seguridad de AWS](https://docs.aws.amazon.com/security-ir/latest/userguide/aws-managed-policies.html) adecuada.
1. Elija **Add Policy (Agregar política)**.
# Archivos adjuntos
Los miembros del equipo de respuesta ante incidentes pueden agregar archivos adjuntos a un caso para ayudar a otros miembros en su investigación de casos autoadministrados.
**nota**
Si elige un caso compatible con AWS, AWS no podrá ver los archivos adjuntos. Todos los detalles de los casos compatibles con AWS deben compartirse a través de los comentarios del caso o mediante una pantalla compartida utilizando la tecnología de comunicación que prefiera.
Elija **Cargar** para seleccionar un archivo de su equipo y agregarlo al caso.
**nota**
Todos los archivos adjuntos cargados se eliminan cuando el caso lleva siete días en estado `Closed`.
# Etiquetas
Una etiqueta es una marca opcional que puede asignar a sus casos para almacenar metadatos sobre ese recurso. Cada etiqueta es una marca que consta de una clave y un valor opcional. Puede utilizar etiquetas para buscar, asignar costos y autenticar los permisos del recurso.
Para añadir una etiqueta, haga lo siguiente:
1. Elija **Añadir nueva etiqueta**.
1. En **Clave**, escriba el nombre de la etiqueta.
1. En **Valor**, escriba el valor de la etiqueta.
Para eliminar una etiqueta, elija la opción **Eliminar** de la etiqueta correspondiente.
# Actividades de un caso
Los registros de auditoría proporcionan registros cronológicos detallados de todas las actividades de los casos. Proporcionan información importante en las actividades posteriores al evento y ayudan a identificar posibles mejoras. La hora, el usuario, la acción y los detalles de cualquier cambio en el caso se registran en el registro de auditoría del caso.
# Cierre de un caso
Para los casos compatibles con AWS, seleccione **Cerrar caso** en la página de detalles del caso para cerrarlo permanentemente en cualquier estado. Un caso normalmente alcanza el estado **Listo para cerrar** antes de cerrarse permanentemente. Si cierra un caso de manera anticipada con un estado distinto de **Listo para ser cerrado**, solicita que los ingenieros de Respuesta ante incidentes de seguridad de AWS dejen de trabajar en ese caso con asistencia de AWS.
Si su equipo de respuesta ante incidentes es el encargado de responder, seleccione **Acción/Cerrar caso** en la página de detalles del caso.
**nota**
El estado “Listo para cerrar” significa que un caso se puede cerrar permanentemente y que no hay trabajo adicional por hacer al respecto.
Un caso no se puede reabrir después de haberse cerrado permanentemente. Toda la información estará disponible en modo de solo lectura. Para evitar un cierre accidental, se le pedirá que confirme que desea cerrar el caso.
# Trabajo con CloudFormation StackSets
**importante**
Respuesta frente a incidencias de seguridad de AWS no habilita las capacidades de contención de forma predeterminada. Para ejecutar estas acciones de contención, primero debe conceder los permisos necesarios al servicio mediante los roles de AWS Identity and Access Management. Puede crear estos roles de forma individual por cuenta o en toda la organización mediante la implementación de conjuntos de StackSets de CloudFormation, que crean los roles necesarios.
Para obtener instrucciones específicas sobre cómo crear un StackSet con permisos administrados por el servicio, consulte [Crear StackSets de CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-associate-stackset-with-org.html) con permisos administrados por el servicio en la *Guía del usuario de AWS CloudFormation*.
A continuación, se muestran plantillas para crear los roles *AWSSecurityIncidentResponseContainment* y *AWSSecurityIncidentResponseContainmentExecution*.
```
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Template for production SIR containment roles'
Resources:
AWSSecurityIncidentResponseContainment:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainment
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:AssumeRole',
'Condition': { 'StringEquals': { 'sts:ExternalId': !Sub '${AWS::AccountId}' } },
},
{
'Effect': 'Allow',
'Principal': { 'Service': 'containment.security-ir.amazonaws.com' },
'Action': 'sts:TagSession',
},
],
}
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Effect': 'Allow',
'Action': ['ssm:StartAutomationExecution'],
'Resource':
[
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainEC2Instance:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainS3Resource:$DEFAULT',
!Sub 'arn:${AWS::Partition}:ssm:*:*:automation-definition/AWSSupport-ContainIAMPrincipal:$DEFAULT',
],
},
{
'Effect': 'Allow',
'Action':
['ssm:DescribeInstanceInformation', 'ssm:GetAutomationExecution', 'ssm:ListCommandInvocations'],
'Resource': '*',
},
{
'Effect': 'Allow',
'Action': ['iam:PassRole'],
'Resource': !GetAtt AWSSecurityIncidentResponseContainmentExecution.Arn,
'Condition': { 'StringEquals': { 'iam:PassedToService': 'ssm.amazonaws.com' } },
},
],
}
AWSSecurityIncidentResponseContainmentExecution:
Type: 'AWS::IAM::Role'
Properties:
RoleName: AWSSecurityIncidentResponseContainmentExecution
AssumeRolePolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[{ 'Effect': 'Allow', 'Principal': { 'Service': 'ssm.amazonaws.com' }, 'Action': 'sts:AssumeRole' }],
}
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/SecurityAudit
Policies:
- PolicyName: AWSSecurityIncidentResponseContainmentExecutionPolicy
PolicyDocument:
{
'Version': '2012-10-17',
'Statement':
[
{
'Sid': 'AllowIAMContainment',
'Effect': 'Allow',
'Action':
[
'iam:AttachRolePolicy',
'iam:AttachUserPolicy',
'iam:DeactivateMFADevice',
'iam:DeleteLoginProfile',
'iam:DeleteRolePolicy',
'iam:DeleteUserPolicy',
'iam:GetLoginProfile',
'iam:GetPolicy',
'iam:GetRole',
'iam:GetRolePolicy',
'iam:GetUser',
'iam:GetUserPolicy',
'iam:ListAccessKeys',
'iam:ListAttachedRolePolicies',
'iam:ListAttachedUserPolicies',
'iam:ListMfaDevices',
'iam:ListPolicies',
'iam:ListRolePolicies',
'iam:ListUserPolicies',
'iam:ListVirtualMFADevices',
'iam:PutRolePolicy',
'iam:PutUserPolicy',
'iam:TagMFADevice',
'iam:TagPolicy',
'iam:TagRole',
'iam:TagUser',
'iam:UntagMFADevice',
'iam:UntagPolicy',
'iam:UntagRole',
'iam:UntagUser',
'iam:UpdateAccessKey',
'identitystore:CreateGroupMembership',
'identitystore:DeleteGroupMembership',
'identitystore:IsMemberInGroups',
'identitystore:ListUsers',
'identitystore:ListGroups',
'identitystore:ListGroupMemberships',
],
'Resource': '*',
},
{
'Sid': 'AllowOrgListAccounts',
'Effect': 'Allow',
'Action': 'organizations:ListAccounts',
'Resource': '*',
},
{
'Sid': 'AllowSSOContainment',
'Effect': 'Allow',
'Action':
[
'sso:CreateAccountAssignment',
'sso:DeleteAccountAssignment',
'sso:DeleteInlinePolicyFromPermissionSet',
'sso:GetInlinePolicyForPermissionSet',
'sso:ListAccountAssignments',
'sso:ListInstances',
'sso:ListPermissionSets',
'sso:ListPermissionSetsProvisionedToAccount',
'sso:PutInlinePolicyToPermissionSet',
'sso:TagResource',
'sso:UntagResource',
],
'Resource': '*',
},
{
'Sid': 'AllowSSORead',
'Effect': 'Allow',
'Action': ['sso-directory:SearchUsers', 'sso-directory:DescribeUser'],
'Resource': '*',
},
{
'Sid': 'AllowS3Read',
'Effect': 'Allow',
'Action':
[
's3:GetAccountPublicAccessBlock',
's3:GetBucketAcl',
's3:GetBucketLocation',
's3:GetBucketOwnershipControls',
's3:GetBucketPolicy',
's3:GetBucketPolicyStatus',
's3:GetBucketPublicAccessBlock',
's3:GetBucketTagging',
's3:GetEncryptionConfiguration',
's3:GetObject',
's3:GetObjectAcl',
's3:GetObjectTagging',
's3:GetReplicationConfiguration',
's3:ListBucket',
's3express:GetBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowS3Write',
'Effect': 'Allow',
'Action':
[
's3:CreateBucket',
's3:DeleteBucketPolicy',
's3:DeleteObjectTagging',
's3:PutAccountPublicAccessBlock',
's3:PutBucketACL',
's3:PutBucketOwnershipControls',
's3:PutBucketPolicy',
's3:PutBucketPublicAccessBlock',
's3:PutBucketTagging',
's3:PutBucketVersioning',
's3:PutObject',
's3:PutObjectAcl',
's3express:CreateSession',
's3express:DeleteBucketPolicy',
's3express:PutBucketPolicy',
],
'Resource': '*',
},
{
'Sid': 'AllowAutoScalingWrite',
'Effect': 'Allow',
'Action':
[
'autoscaling:CreateOrUpdateTags',
'autoscaling:DeleteTags',
'autoscaling:DescribeAutoScalingGroups',
'autoscaling:DescribeAutoScalingInstances',
'autoscaling:DescribeTags',
'autoscaling:EnterStandby',
'autoscaling:ExitStandby',
'autoscaling:UpdateAutoScalingGroup',
],
'Resource': '*',
},
{
'Sid': 'AllowEC2Containment',
'Effect': 'Allow',
'Action':
[
'ec2:AuthorizeSecurityGroupEgress',
'ec2:AuthorizeSecurityGroupIngress',
'ec2:CopyImage',
'ec2:CreateImage',
'ec2:CreateSecurityGroup',
'ec2:CreateSnapshot',
'ec2:CreateTags',
'ec2:DeleteSecurityGroup',
'ec2:DeleteTags',
'ec2:DescribeImages',
'ec2:DescribeInstances',
'ec2:DescribeSecurityGroups',
'ec2:DescribeSnapshots',
'ec2:DescribeTags',
'ec2:ModifyNetworkInterfaceAttribute',
'ec2:RevokeSecurityGroupEgress',
],
'Resource': '*',
},
{
'Sid': 'AllowKMSActions',
'Effect': 'Allow',
'Action':
[
'kms:CreateGrant',
'kms:DescribeKey',
'kms:GenerateDataKeyWithoutPlaintext',
'kms:ReEncryptFrom',
'kms:ReEncryptTo',
],
'Resource': '*',
},
{
'Sid': 'AllowSSMActions',
'Effect': 'Allow',
'Action': ['ssm:DescribeAutomationExecutions'],
'Resource': '*',
},
],
}
```
# Cancelación de la membresía
Un rol que tenga el permiso CancelMembership para Respuesta frente a incidencias de seguridad de AWS puede cancelar la membresía desde la consola, la API o la AWS Command Line Interface.
**importante**
Una vez cancelada una membresía, no podrá ver los datos históricos de los casos. Cuando cancela una suscripción, esta se eliminará inmediatamente y no tendrá más acceso a los casos incluidos en la suscripción. Cualquier recurso o investigación cuyo estado sea `Active` o `ready to close` también se terminará tras la cancelación de la suscripción.
Cuando cancela una membresía sucede lo siguiente:
La suscripción se eliminará y no tendrá más acceso a los casos incluidos en la suscripción.
**importante**
Si vuelve a suscribirse al servicio, se creará una nueva membresía y solo podrá acceder a los recursos de casos que estaban en la membresía anterior si los descargó antes de la cancelación.
Una vez cancelada la membresía, todos los miembros del equipo de respuesta ante incidentes de la membresía recibirán una notificación por correo electrónico.
**importante**
Si ha creado una membresía con una cuenta de administrador delegado y utiliza la API de AWS Organizations para eliminar la designación de administrador delegado de la cuenta, la membresía se cancelará inmediatamente.