Explicación sobre el archivado automático con la respuesta proactiva - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de

Explicación sobre el archivado automático con la respuesta proactiva

Cuando se habilitan la respuesta proactiva y la clasificación de alertas, Respuesta frente a incidencias de seguridad de AWS supervisa y clasifica automáticamente los resultados de seguridad provenientes de Amazon GuardDuty y el CSPM de Security Hub. Como parte de este flujo de trabajo de clasificación automática, los resultados se archivan automáticamente según los siguientes criterios:

Comportamiento de archivado automático:

  • Resultados benignos: cuando el proceso de clasificación automática determina que un resultado es benigno (no representa una amenaza real para la seguridad), Respuesta frente a incidencias de seguridad de AWS archiva automáticamente el resultado en Amazon GuardDuty y crea reglas de supresión para evitar que resultados similares generen alertas en el futuro.

  • Reglas de supresión: el servicio crea reglas de supresión y de archivado automático tanto en Amazon GuardDuty como en el CSPM de Security Hub para los resultados que coinciden con los patrones conocidos como válidos en el entorno, como direcciones IP esperadas, entidades de IAM y comportamientos operativos habituales.

  • Reducción del volumen de alertas: las organizaciones que utilizan tecnología SIEM observarán una disminución significativa en el volumen de resultados de Amazon GuardDuty con el tiempo, a medida que el servicio aprende las características del entorno y archiva automáticamente los resultados benignos. Esto mejora la eficiencia tanto del servicio Respuesta frente a incidencias de seguridad de AWS como del SIEM.

Visualización de resultados archivados:

Puede revisar los resultados archivados automáticamente y las reglas de supresión creadas por Respuesta frente a incidencias de seguridad de AWS:

  1. Diríjase a la consola de Amazon GuardDuty

  2. Elija Resultados

  3. Seleccione Archivados en el filtro de resultados

  4. Revise las reglas de supresión. Para ello, seleccione la flecha desplegable junto a cada regla

Consideraciones importantes:

  • Los resultados archivados se retienen en Amazon GuardDuty durante 90 días y se pueden consultar en cualquier momento durante ese periodo

  • Puede modificar o eliminar las reglas de supresión en cualquier momento desde la consola de Amazon GuardDuty

  • El proceso de clasificación automática se adapta continuamente al entorno, mejora la precisión con el tiempo y reduce los falsos positivos