# SEGURIDAD 4. ¿Cómo detecta e investiga los eventos de seguridad?
<a name="sec-04"></a>

Capte y analice eventos de registros y métricas para obtener visibilidad. Tome medidas sobre eventos de seguridad y posibles amenazas para ayudar a proteger su carga de trabajo.

**Topics**
+ [SEC04-BP01 Configurar el registro de servicios y aplicaciones](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Recopilación de registros, hallazgos y métricas en ubicaciones estandarizadas](sec_detect_investigate_events_logs.md)
+ [SEC04-BP03 Correlación y enriquecimiento de las alertas de seguridad](sec_detect_investigate_events_security_alerts.md)
+ [SEC04-BP04 Inicio de correcciones para recursos no conformes](sec_detect_investigate_events_noncompliant_resources.md)

# SEC04-BP01 Configurar el registro de servicios y aplicaciones
<a name="sec_detect_investigate_events_app_service_logging"></a>

Retenga los registros de eventos de seguridad de servicios y aplicaciones. Se trata de un principio fundamental de seguridad en casos de uso de auditoría, investigación y uso operativo, y un requisito de seguridad común basado en las normas, políticas y procedimientos de gobernanza, riesgo y cumplimiento (GRC).

 **Resultado deseado:** una organización debe ser capaz de recuperar de forma fiable y uniforme los registros de eventos de seguridad de los servicios y aplicaciones de AWS en el momento oportuno cuando sea necesario realizar un proceso o cumplir una obligación interna (por ejemplo, la respuesta a un incidente de seguridad). Considere la posibilidad de centralizar los registros para obtener mejores resultados operativos. 

 **Antipatrones usuales:** 
+  Los registros se almacenan para siempre o se eliminan demasiado pronto. 
+  Todo el mundo puede acceder a los registros. 
+  Depender por completo de procesos manuales para la gobernanza y el uso de los registros. 
+  Almacenar todos y cada uno de los tipos de registros por si fueran necesarios. 
+  Comprobar la integridad de los registros solo cuando es necesario. 

 **Ventajas de esta práctica recomendada:** implementar un mecanismo de análisis de causa raíz (RCA) para los incidentes de seguridad y una fuente de pruebas para sus obligaciones de gobernanza, riesgo y conformidad. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto 

## Guía para la implementación
<a name="implementation-guidance"></a>

 Durante una investigación de seguridad u otros casos de uso basados en sus requisitos, necesita poder revisar los registros correspondientes para registrar y comprender todo el alcance y la cronología del incidente. También necesita los registros para generar alertas que indican que se han producido determinadas acciones de interés. Es fundamental seleccionar, habilitar, almacenar y configurar mecanismos de consulta y recuperación, así como de alerta. 

 **Pasos para la implementación** 
+  **Seleccione y habilite las fuentes de registro.** Antes de una investigación de seguridad, necesita obtener los registros relevantes para reconstruir de forma reatroctiva la actividad que se ha producido en una Cuenta de AWS. Seleccione y habilite las fuentes de registros relevantes para sus cargas de trabajo. 

   Los criterios de selección de las fuentes de registros deben basarse en los casos de uso que requiera su negocio. Establezca un registro de seguimiento para cada Cuenta de AWS mediante AWS CloudTrail o un registro de seguimiento de AWS Organizations y, para ello, configure un bucket de Amazon S3. 

   AWS CloudTrail es un servicio de registro que rastrea las llamadas a la API que se realizan en una Cuenta de AWS y captura la actividad de los servicios de AWS. Está habilitado de manera predeterminada y retiene durante 90 días los eventos de administración que se pueden [recuperar a través del historial de eventos de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) mediante la Consola de administración de AWS, la AWS CLI o un SDK de AWS. Si desea una retención y una visibilidad de los eventos de datos mayores, cree un [registro de seguimiento de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) y asócielo a un bucket de Amazon S3 y, opcionalmente, a un grupo de registros de Amazon CloudWatch. Como alternativa, puede crear un [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html), que retiene los registros de CloudTrail hasta siete años y dispone de una utilidad de consulta basada en SQL. 

   AWS recomienda a los clientes que utilizan una VPC que habiliten los registros del tráfico de red y de DNS mediante los [registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) y los [registros de consultas de solucionador de Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html), respectivamente, y que los transmitan por streaming a un bucket de Amazon S3 o a un grupo de registros de CloudWatch. Puede crear un registro de flujo de VPC para una VPC, una subred o una interfaz de red. En el caso de los registros de flujo de VPC, puede elegir cómo y dónde utilizar los registros de flujo para reducir costes. 

   Los registros de AWS CloudTrail, los registros de flujo de VPC y los registros de consulta del solucionador de Route 53 son las fuentes de registros básicas que facilitan las investigaciones de seguridad en AWS. También puede utilizar [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) para recopilar, normalizar y almacenar estos datos de registros en los formatos Apache Parquet y Open Cybersecurity Schema Framework (OCSF), que están listos para su consulta. Security Lake también admite otros registros de AWS y registros de fuentes de terceros. 

   Los servicios de AWS pueden generar registros que no capturan las fuentes de registros básicas, como los registros de Elastic Load Balancing, los registros de AWS WAF, los registros del registrador de AWS Config, los hallazgos de Amazon GuardDuty, los registros de auditoría de Amazon Elastic Kubernetes Service (Amazon EKS) y los registros del sistema operativo y las aplicaciones de las instancias de Amazon EC2. Para obtener una lista completa de las opciones de registro y supervisión, consulte [Appendix A: Cloud capability definitions – Logging and Events](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/logging-and-events.html) (Apéndice A: Definiciones de las capacidades de la nube - Registro y eventos) de [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) (Guía de respuesta a incidentes de seguridad de AWS). 
+  **Investigue las capacidades de registro de cada servicio y aplicación de AWS:** cada servicio y aplicación de AWS le proporciona opciones para el almacenamiento de registros, cada una de las cuales tiene sus propias capacidades de retención y ciclo de vida. Los dos servicios de almacenamiento de registros más comunes son Amazon Simple Storage Service (Amazon S3) y Amazon CloudWatch. Para periodos de retención largos, se recomienda utilizar Amazon S3 por su rentabilidad y la flexibilidad de sus ciclos de vida. Si la opción de registro principal es Amazon CloudWatch Logs, quizá debería considerar la posibilidad de archivar los registros a los que se accede con menos frecuencia en Amazon S3. 
+  **Seleccione el almacenamiento de registros:** la elección del almacenamiento de registros suele estar relacionada con la herramienta de consulta que utilice, las capacidades de retención, la familiaridad con él y el coste. Las principales opciones para el almacenamiento de registros son un bucket de Amazon S3 o un grupo de CloudWatch Log. 

   Un bucket de Amazon S3 es un almacenamiento rentable y duradero que tiene una política de ciclo de vida opcional. Los registros almacenados en buckets de Amazon S3 pueden consultarse a través de servicios como Amazon Athena. 

   Un grupo de CloudWatch Logs ofrece un almacenamiento duradero y una utilidad de consulta integrada a través de CloudWatch Logs Insights. 
+  **Identifique un periodo de retención de registros adecuado:** cuando utilice un bucket de Amazon S3 o un grupo de CloudWatch Logs para almacenar registros, deberá establecer ciclos de vida adecuados para cada fuente de registros con el fin de optimizar los costes de almacenamiento y recuperación. Por lo general, los clientes tienen entre tres meses y un año de registros disponibles para su consulta, con un periodo de retención de hasta siete años. La elección de la disponibilidad y el periodo de retención debe ajustarse a sus requisitos de seguridad y a una combinación de requisitos legales, reglamentarios y empresariales. 
+  **Habilite el registro para cada servicio y aplicación de AWS con las políticas de retención y ciclo de vida adecuadas:** para cada servicio o aplicación de AWS de su organización, busque la guía de configuración de registro específica: 
  + [ Configuración de registros de seguimiento de AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
  + [ Configuración de registros de flujo de VPC ](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
  + [ Configuración de exportaciones de hallazgos de Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html)
  + [ Configuración de grabaciones de AWS Config](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)
  + [ Configuración del tráfico de ACL web de AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
  + [ Configuración de registros del tráfico de red de AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)
  + [ Configuración de registros de acceso de Elastic Load Balancing ](https://docs.aws.amazon.com/)
  + [ Configuración de registros de consultas del solucionador de Amazon Route 53 ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html)
  + [ Configuración de registros de Amazon RDS ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_LogAccess.html)
  + [ Configuración de registros del plano de control de Amazon EKS ](https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html)
  + [ Configuración del agente de Amazon CloudWatch para instancias de Amazon EC2 y servidores locales ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)
+  **Seleccione e implemente mecanismos de consulta para los registros:** para las consultas de registros, puede utilizar [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) para los datos almacenados en los grupos de CloudWatch Logs y [Amazon Athena](https://aws.amazon.com/athena/) y [Amazon OpenSearch Service](https://aws.amazon.com/opensearch-service/) para los datos almacenados en Amazon S3. También puede utilizar herramientas de consulta de terceros, como un servicio de administración de eventos e información de seguridad (SIEM). 

   En el proceso de selección de una herramienta de consulta de registros, se deben tener en cuenta los aspectos relacionados con las personas, los procesos y la tecnología de sus operaciones de seguridad. Seleccione una herramienta que cumpla los requisitos operativos, empresariales y de seguridad, y que sea accesible y pueda mantenerse a largo plazo. Tenga en cuenta que las herramientas de consulta de registros funcionan de forma óptima cuando el número de registros a analizar se mantiene dentro de los límites de la herramienta. No es raro disponer de varias herramientas de consulta debido a limitaciones técnicas o de costes. 

   Por ejemplo, podría utilizar una herramienta de administración de eventos e información de seguridad (SIEM) de terceros para realizar consultas en los últimos 90 días de datos, pero utilizar Athena para realizar consultas anteriores a esos 90 días debido al coste de la ingestión de registros de un SIEM. Independientemente de cuál sea la implementación, compruebe que su enfoque permite reducir al mínimo el número de herramientas necesarias para maximizar la eficiencia operativa, especialmente durante la investigación de un evento de seguridad. 
+  **Utilice registros para las alertas: ** AWS proporciona alertas a través de varios servicios de seguridad: 
  +  [AWS Config](https://aws.amazon.com/config/) supervisa y registra las configuraciones de sus recursos de AWS y le permite automatizar la evaluación y la corrección con respecto a las configuraciones deseadas. 
  +  [Amazon GuardDuty](https://aws.amazon.com/guardduty/) es un servicio de detección de amenazas que supervisa continuamente la actividad maliciosa y el comportamiento no autorizado para proteger sus Cuentas de AWS y cargas de trabajo. GuardDuty ingiere, agrega y analiza información de fuentes, como eventos de administración y datos de AWS CloudTrail, registros DNS, registros de flujo de VPC y registros de auditoría de Amazon EKS. GuardDuty extrae secuencias de datos independientes directamente de CloudTrail, los registros de flujo de VPC, los registros de consultas de DNS y Amazon EKS. No es necesario que administre las políticas de los buckets de Amazon S3 ni que modifique la forma en que recopila y almacena los registros. Aun así, es recomendable que retenga estos registros para sus propios fines de investigación y conformidad. 
  +  [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/) proporciona un único lugar en el que se agregan, organizan y priorizan las alertas de seguridad, o los hallazgos, desde varios servicios de AWS y productos de terceros opcionales para ofrecerle una vista completa de las alertas de seguridad y los estados de conformidad. 

   También puede utilizar motores de generación de alertas personalizados para alertas de seguridad que no cubran estos servicios o para alertas específicas relevantes para su entorno. Para obtener información sobre la creación de estas alertas y detecciones, consulte [Detection (Detección) en AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) (Guía de respuesta a incidentes de seguridad de AWS). 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [SEC04-BP02 Recopilación de registros, hallazgos y métricas en ubicaciones estandarizadas](sec_detect_investigate_events_logs.md) 
+  [SEC07-BP04 Definición de la administración escalable del ciclo de vida de los datos](sec_data_classification_lifecycle_management.md) 
+  [SEC10-BP06: Desplegar las herramientas con anticipación](sec_incident_response_pre_deploy_tools.md) 

 **Documentos relacionados:** 
+ [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) (Guía de respuesta ante incidentes de seguridad de AWS)
+ [ Cómo comenzar a utilizar Amazon Security Lake ](https://aws.amazon.com/security-lake/getting-started/)
+ [ Introducción a Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Soluciones de socios de seguridad: registro y monitorización](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Vídeos relacionados: ** 
+ [AWS re:Invent 2022 - Introducing Amazon Security Lake ](https://www.youtube.com/watch?v=V7XwbPPjXSY)(re:Invent 2022: Introducción a Amazon Security Lake)

 **Ejemplos relacionados:** 
+ [ Assisted Log Enabler for AWS](https://github.com/awslabs/assisted-log-enabler-for-aws/)(Habilitador de registro asistido para AWS)
+ [AWS Security Hub CSPM Findings Historical Export ](https://github.com/aws-samples/aws-security-hub-findings-historical-export)(Exportación de hallazgos históricos de AWS Security Hub)

 **Herramientas relacionadas:** 
+ [ Snowflake for Cybersecurity ](https://www.snowflake.com/en/data-cloud/workloads/cybersecurity/)

# SEC04-BP02 Recopilación de registros, hallazgos y métricas en ubicaciones estandarizadas
<a name="sec_detect_investigate_events_logs"></a>

 Los equipos de seguridad se basan en los registros y los hallazgos para analizar aquellos eventos que podrían indicar una actividad no autorizada o cambios no intencionados. Para agilizar este análisis, recoja los registros de seguridad y los hallazgos en ubicaciones estandarizadas.  Esto hace que los puntos de datos de interés estén disponibles para su correlación y puede simplificar la integración de herramientas. 

 **Resultado deseado:** contar con un enfoque estandarizado para recopilar, analizar y visualizar los datos de registro, los hallazgos y las métricas. Los equipos de seguridad pueden correlacionar, analizar y visualizar de manera eficiente los datos de seguridad en sistemas dispares para descubrir posibles eventos de seguridad e identificar anomalías. Disponer de sistemas de gestión de información y eventos de seguridad (SIEM) u otros mecanismos integrados para consultar y analizar los datos de registro con el fin de responder, rastrear y escalar los eventos de seguridad sin demora. 

 **Antipatrones usuales:** 
+  Los equipos tienen y administran de forma independiente registros y recopilaciones de métricas que no se ajustan a la estrategia de registro de la organización. 
+  Los equipos no tienen controles de acceso adecuados para restringir la visibilidad y la alteración de los datos recopilados. 
+  Los equipos no gestionan sus registros, hallazgos y métricas de seguridad como parte de su política de clasificación de datos. 
+  Los equipos no tienen en cuenta los requisitos de soberanía y localización de los datos al configurar las recopilaciones de datos. 

 **Beneficios de establecer esta práctica recomendada:** una solución de registro estandarizada para recopilar y consultar los datos y eventos de registro mejora los conocimientos obtenidos a partir de la información que contienen. La configuración de un ciclo de vida automatizado para los datos de registro recopilados puede reducir los costes derivados del almacenamiento de registros. Puede crear un control de acceso detallado para la información de registro recopilada de acuerdo con el nivel de confidencialidad de los datos y los patrones de acceso que necesiten sus equipos. Puede integrar herramientas para correlacionar, visualizar y obtener información a partir de los datos. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** medio 

## Guía para la implementación
<a name="implementation-guidance"></a>

 El aumento del uso de AWS dentro de una organización se traduce en un número cada vez mayor de cargas de trabajo y entornos distribuidos. A medida que cada una de estas cargas de trabajo y entornos genera datos sobre la actividad que contienen, la captura y el almacenamiento de estos datos de forma local supone un desafío para las operaciones de seguridad. Los equipos de seguridad utilizan herramientas como los sistemas de gestión de información y eventos de seguridad (SIEM) para recopilar datos de fuentes distribuidas y llevar a cabo tareas de correlación, análisis y elaboración de flujos de trabajo de respuesta. Esto requiere administrar un conjunto complejo de permisos para acceder a los diversos orígenes de datos y una sobrecarga adicional para operar los procesos de extracción, transformación y carga (ETL). 

 Para superar estos desafíos, podría plantearse la posibilidad de agregar todas las fuentes relevantes de datos de registro de seguridad en una cuenta de [Log Archive](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/log-archive.html), tal como se describe en [«Organizing Your AWS Environment Using Multiple Accounts»](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account). Esto incluye todos los datos relacionados con la seguridad de su carga de trabajo y los registros que generan los servicios de AWS, como [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), [AWS WAF](https://aws.amazon.com/waf/), [Elastic Load Balancing](https://aws.amazon.com/elasticloadbalancing/) y [Amazon Route 53](https://aws.amazon.com/route53/). La recogida de estos datos en ubicaciones estandarizadas de una Cuenta de AWS separada que cuente con los permisos multicuenta adecuados tiene varios beneficios. Esta práctica ayuda a evitar la manipulación de registros en cargas de trabajo y entornos comprometidos, proporciona un punto de integración único para herramientas adicionales y ofrece un modelo más simplificado para configurar el ciclo de vida y la retención de datos.  Evalúe los impactos de la soberanía de los datos, los alcances de cumplimiento y otras normativas para determinar si se requieren varias ubicaciones de almacenamiento y períodos de retención de datos de seguridad. 

 Para facilitar la captura y estandarización de los registros y hallazgos, valore el uso de [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) en su cuenta de Log Archive. Puede configurar Security Lake para que realice una ingesta automática de datos de fuentes comunes como CloudTrail, Route 53, [Amazon EKS](https://aws.amazon.com/eks/) y [Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html). También puede configurar AWS Security Hub CSPM como origen de datos en Security Lake, lo que le permite correlacionar los hallazgos de otros servicios de AWS, como [Amazon GuardDuty](https://aws.amazon.com/guardduty/) y [Amazon Inspector](https://aws.amazon.com/inspector/), con sus datos de registro.  Del mismo modo, puede usar integraciones de orígenes de datos de terceros o configurar orígenes de datos personalizados. Todas las integraciones estandarizan sus datos en el formato [Open Cybersecurity Schema Framework](https://github.com/ocsf) (OCSF) y se almacenan en buckets de [Amazon S3](https://aws.amazon.com/s3/) como archivos Parquet, lo que elimina la necesidad del procesamiento de extracción, transformación y carga (ETL). 

 El almacenamiento de datos de seguridad en ubicaciones estandarizadas proporciona capacidades de análisis avanzadas. AWS recomienda desplegar las herramientas de análisis de seguridad que estén activas en un entorno de AWS en una cuenta de [Security Tooling](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#security-tooling-accounts) independiente de su cuenta de Log Archive.  Este enfoque le permite implementar controles exhaustivos para proteger la integridad y la disponibilidad de los registros y el proceso de administración de registros diferentes de las herramientas que se emplean para acceder a ellos.  Piense en la opción de usar servicios como [Amazon Athena](https://aws.amazon.com/athena/) para ejecutar consultas bajo demanda que correlacionen varios orígenes de datos. También puede integrar herramientas de visualización, como [Quick](https://aws.amazon.com/quicksight/). Cada vez hay más soluciones basadas en inteligencia artificial disponibles y pueden realizar funciones como la traducción de los hallazgos en resúmenes legibles por humanos y la interacción en lenguaje natural.  Estas soluciones suelen integrarse más fácilmente al tener una ubicación de almacenamiento de datos estandarizada para realizar consultas. 

## Pasos para la implementación
<a name="implementation-steps"></a>

1.  **Cree las cuentas de Log Archive y Security Tooling** 

   1.  Utilice AWS Organizations para [crear las cuentas de Log Archive y Security Tooling](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_create.html) en una unidad organizativa de seguridad. Si usa AWS Control Tower para administrar su organización, las cuentas de Log Archive y Security Tooling se crean automáticamente. Configure los cargos y permisos para acceder a estas cuentas y administrarlas según sea necesario. 

1.  **Configure sus ubicaciones de datos de seguridad estandarizadas** 

   1.  Determine su estrategia para crear ubicaciones de datos de seguridad estandarizadas.  Puede hacerlo mediante opciones como enfoques de arquitectura de lagos de datos comunes, productos de datos de terceros o [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html). AWS recomienda que recopile los datos de seguridad de las Regiones de AWS que haya [elegido](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) para sus cuentas, incluso aunque no se estén usando activamente. 

1.  **Configure la publicación de orígenes de datos en sus ubicaciones estandarizadas** 

   1.  Identifique los orígenes de sus datos de seguridad y configúrelos de modo que se publiquen en ubicaciones estandarizadas. Evalúe las opciones para exportar automáticamente los datos en el formato deseado, en lugar de aquellas que requieran desarrollar procesos de ETL. Con Amazon Security Lake, puede [recopilar datos](https://docs.aws.amazon.com/security-lake/latest/userguide/source-management.html) de orígenes compatibles con AWS y de sistemas integrados de terceros. 

1.  **Configure las herramientas para acceder a sus ubicaciones estandarizadas** 

   1.  Configure herramientas como Amazon Athena, Quick o soluciones de terceros para disponer del acceso necesario a sus ubicaciones estandarizadas.  Configure estas herramientas para que funcionen desde la cuenta de Security Tooling con acceso de lectura multicuenta a la cuenta de Log Archive, cuando corresponda. [Cree suscriptores en Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/subscriber-management.html) para proporcionar a estas herramientas acceso a sus datos. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [SEC01-BP01 Separación de las cargas de trabajo utilizando cuentas](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html) 
+  [SEC07-BP04 Definición de la administración escalable del ciclo de vida de los datos](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_lifecycle_management.html) 
+  [SEC08-BP04: Aplicación del control de acceso](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_data_rest_access_control.html) 
+  [OPS08-BP02 Análisis de los registros de la carga de trabajo](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_analyze_workload_logs.html) 

 **Documentos relacionados:** 
+  [AWS Whitepapers: Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 
+  [AWS Prescriptive Guidance: AWS Security Reference Architecture (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 
+  [AWS Prescriptive Guidance: Logging and monitoring guide for application owners](https://docs.aws.amazon.com/prescriptive-guidance/latest/logging-monitoring-for-application-owners/introduction.html) 

 **Ejemplos relacionados:** 
+  [Aggregating, searching, and visualizing log data from distributed sources with Amazon Athena and Quick](https://aws.amazon.com/blogs/security/aggregating-searching-and-visualizing-log-data-from-distributed-sources-with-amazon-athena-and-amazon-quicksight/) 
+  [How to visualize Amazon Security Lake findings with Quick](https://aws.amazon.com/blogs/security/how-to-visualize-amazon-security-lake-findings-with-amazon-quicksight/) 
+  [Generate AI powered insights for Amazon Security Lake using Amazon SageMaker AI Studio and Amazon Bedrock](https://aws.amazon.com/blogs/security/generate-ai-powered-insights-for-amazon-security-lake-using-amazon-sagemaker-studio-and-amazon-bedrock/) 
+  [Identify cybersecurity anomalies in your Amazon Security Lake data using Amazon SageMaker AI](https://aws.amazon.com/blogs/machine-learning/identify-cybersecurity-anomalies-in-your-amazon-security-lake-data-using-amazon-sagemaker/) 
+  [Ingest, transform, and deliver events published by Amazon Security Lake to Amazon OpenSearch Service](https://aws.amazon.com/blogs/big-data/ingest-transform-and-deliver-events-published-by-amazon-security-lake-to-amazon-opensearch-service/) 
+  [How to use AWS Security Hub CSPM and Amazon OpenSearch Service for SIEM](https://aws.amazon.com/blogs/security/how-to-use-aws-security-hub-and-amazon-opensearch-service-for-siem/) 

 **Herramientas relacionadas:** 
+  [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 
+  [Amazon Security Lake Partner Integrations](https://aws.amazon.com/security-lake/partners/) 
+  [Open Cybersecurity Schema Framework (OCSF)](https://github.com/ocsf) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 
+  [Quick](https://aws.amazon.com/quicksight/) 
+  [Amazon Bedrock](https://aws.amazon.com/bedrock/) 

# SEC04-BP03 Correlación y enriquecimiento de las alertas de seguridad
<a name="sec_detect_investigate_events_security_alerts"></a>

 La actividad inesperada puede generar múltiples alertas de seguridad por parte de diferentes fuentes, lo que requiere una mayor correlación y enriquecimiento para comprender el contexto completo. Implemente la correlación y el enriquecimiento automatizados de las alertas de seguridad para ayudar a lograr una identificación y una respuesta a los incidentes más precisas. 

 **Resultado deseado:** lograr que los mecanismos automatizados correlacionen los datos y los enriquezcan con información adicional a medida que la actividad genere diferentes alertas en sus cargas de trabajo y entornos. Este preprocesamiento ofrece una comprensión más detallada del evento, lo que ayuda a los investigadores a determinar la gravedad del evento y si constituye un incidente que requiere una respuesta formal. Este proceso reduce la carga para los equipos de supervisión e investigación. 

 **Antipatrones usuales:** 
+  Existen grupos de personas distintos que investigan los hallazgos y alertas generados por los diferentes sistemas, a menos que los requisitos de separación de funciones exijan lo contrario.   
+  Canalizar en la organización todos los datos de alertas y hallazgos de seguridad a ubicaciones estándares, pero con la necesidad de que los investigadores realicen una correlación y un enriquecimiento manuales. 
+  Confiar únicamente en la inteligencia de los sistemas de detección de amenazas para informar sobre los hallazgos y establecer el nivel de gravedad. 

 **Beneficios de establecer esta práctica recomendada:** la correlación automática y el enriquecimiento de las alertas ayudan a reducir la carga cognitiva general y la preparación manual de datos que requieren los investigadores. Esta práctica puede reducir el tiempo necesario para determinar si el evento representa un incidente e iniciar una respuesta formal. El contexto adicional también ayuda a evaluar con precisión la verdadera gravedad de un evento, ya que puede ser mayor o menor de lo que sugiere una alerta. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** bajo  

## Guía para la implementación
<a name="implementation-guidance"></a>

 Las alertas de seguridad pueden provenir de muchas fuentes diferentes en AWS, entre las que se encuentran: 
+  Servicios como [Amazon GuardDuty](https://aws.amazon.com/guardduty/), [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), [Amazon Macie](https://aws.amazon.com/macie/), [Amazon Inspector](https://aws.amazon.com/inspector/), [AWS Config](https://aws.amazon.com/config/), [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html) y [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html). 
+  Alertas del análisis automatizado de los registros de aplicaciones, infraestructuras y servicios de AWS, como las de [Security Analytics for Amazon OpenSearch Service.](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/security-analytics.html) 
+  Alarmas que responden a cambios en su actividad de facturación procedentes de fuentes como [Amazon CloudWatch](https://aws.amazon.com/pm/cloudwatch), [Amazon EventBridge](https://aws.amazon.com/eventbridge/) o [AWS Budgets](https://aws.amazon.com/aws-cost-management/aws-budgets/). 
+  Fuentes de terceros, como fuentes de inteligencia sobre amenazas y [soluciones de socios de seguridad](https://aws.amazon.com/security/partner-solutions/) de la AWS Partner Network. 
+  [Contactos de AWS Trust & Safety](https://repost.aws/knowledge-center/aws-abuse-report) u otras fuentes, como clientes o empleados internos. 

 En su forma más fundamental, las alertas contienen información sobre quién (la *entidad principal* o la *identidad*) está haciendo qué *(*la *acción* realizada) a qué (los *recursos* afectados). Para cada una de estas fuentes, identifique si hay formas de crear asignaciones entre identificadores para estas identidades, acciones y recursos como base para realizar la correlación. Esto puede consistir en integrar las fuentes de las alertas con una herramienta de administración de eventos e información de seguridad (SIEM) para que realice una correlación automática en su nombre, crear sus propios procesos y canalizaciones de datos, o una combinación de ambas estrategias. 

 Un ejemplo de un servicio que puede realizar una correlación por usted es [Amazon Detective](https://aws.amazon.com/detective). Detective realiza una ingesta continua de alertas de diversas fuentes de AWS y de terceros y utiliza diferentes formas de inteligencia para crear un gráfico visual de sus relaciones con el fin de asistir en las investigaciones. 

 Si bien el nivel de gravedad inicial de una alerta ayuda a establecer prioridades, el contexto en el que se haya producido la alerta determina su verdadero nivel de gravedad. Por ejemplo, Amazon GuardDuty puede avisar de que una instancia de Amazon EC2 de su carga de trabajo está consultando un nombre de dominio inesperado. GuardDuty podría asignar un nivel de gravedad bajo a esta alerta por sí sola. Sin embargo, la correlación automatizada con otras actividades en el momento de la alerta podría revelar que varios cientos de instancias de EC2 se han desplegado con la misma identidad, lo que aumenta los costes operativos generales. En este caso, GuardDuty podría publicar este contexto de eventos correlacionados como una nueva alerta de seguridad y ajustar el nivel de gravedad a alto, lo que aceleraría las acciones futuras. 

### Pasos para la implementación
<a name="implementation-steps"></a>

1.  Identifique las fuentes de la información de alertas de seguridad. Comprenda en qué medida las alertas de estos sistemas representan la identidad, la acción y los recursos para determinar dónde es posible establecer una correlación. 

1.  Establezca un mecanismo para captar las alertas de diferentes fuentes. Plantéese el uso de servicios como Security Hub CSPM, EventBridge y CloudWatch para este propósito. 

1.  Identifique las fuentes para la correlación y el enriquecimiento de los datos. Entre los ejemplos de fuentes se incluyen CloudTrail, los registros de flujo de VPC y los registros de infraestructura y aplicaciones de Amazon Security Lake. 

1.  Integre sus alertas con sus fuentes de correlación y enriquecimiento de datos para crear contextos de eventos de seguridad más detallados y establecer el nivel de gravedad. 

   1.  Amazon Detective, las herramientas de SIEM u otras soluciones de terceros pueden llevar a cabo un cierto nivel de ingesta, correlación y enriquecimiento automáticamente. 

   1.  También puede usar los servicios de AWS para crear sus propias soluciones. Por ejemplo, puede invocar una función de AWS Lambda para ejecutar una consulta de Amazon Athena a AWS CloudTrail o Amazon Security Lake y publicar los resultados en EventBridge. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [SEC10-BP03: Preparación de capacidades forenses](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) 
+  [OPS08-BP04 Creación de alertas procesables](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_workload_observability_create_alerts.html) 
+  [REL06-BP03 Envío de notificaciones (procesamiento y alarmas en tiempo real)](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_monitor_aws_resources_notification_monitor.html) 

 **Documentos relacionados:** 
+  [AWS Security Incident Response Guide](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) 

 **Ejemplos relacionados:** 
+  [How to enrich AWS Security Hub CSPM findings with account metadata](https://aws.amazon.com/blogs/security/how-to-enrich-aws-security-hub-findings-with-account-metadata/) 
+  [How to use AWS Security Hub CSPM and Amazon OpenSearch Service for SIEM](https://aws.amazon.com/blogs/security/how-to-use-aws-security-hub-and-amazon-opensearch-service-for-siem/) 

 **Herramientas relacionadas:** 
+  [Amazon Detective](https://aws.amazon.com/detective/) 
+  [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 
+  [AWS Lambda](https://aws.amazon.com/lambda/) 
+  [Amazon Athena](https://aws.amazon.com/athena/) 

# SEC04-BP04 Inicio de correcciones para recursos no conformes
<a name="sec_detect_investigate_events_noncompliant_resources"></a>

 Sus controles de detección pueden alertarle sobre la presencia de recursos disconformes con sus requisitos de configuración. Puede iniciar soluciones definidas mediante programación, de forma manual o automática, para corregir estos recursos y ayudar a minimizar los posibles impactos. Al definir las correcciones mediante programación, puede tomar medidas rápidas y coherentes. 

 Si bien la automatización puede mejorar las operaciones de seguridad, debe implementarla y administrarla con cuidado.  Establezca mecanismos de supervisión y control adecuados para verificar que las respuestas automatizadas sean eficaces, precisas y estén alineadas con las políticas de la organización y la propensión al riesgo. 

 **Resultado deseado:** definir los estándares de configuración de recursos junto con los pasos para corregir las situaciones en las que se detecte que los recursos no cumplen los requisitos. Cuando sea posible, definir las medidas de corrección mediante programación para que puedan iniciarse de forma manual o automática. Disponer de sistemas de detección para identificar los recursos disconformes y publicar alertas en herramientas centralizadas y supervisadas por su personal de seguridad. Usar estas herramientas para ejecutar las correcciones programáticas, de forma manual o automática. Contar con mecanismos de supervisión y control adecuados en las correcciones automáticas para regular su uso. 

 **Antipatrones usuales:** 
+  Implementar la automatización, pero no verificar ni validar minuciosamente las acciones de corrección. Esto puede tener consecuencias imprevistas, como obstaculizar las operaciones empresariales legítimas o provocar inestabilidad en el sistema. 
+  Mejorar los tiempos de respuesta y los procedimientos mediante la automatización, pero sin contar con la supervisión y los mecanismos adecuados que permitan la intervención y la decisión de un humano en los casos necesarios. 
+  Confiar únicamente en las correcciones, en lugar de incluirlas como parte de un programa más amplio de respuesta y recuperación ante incidentes. 

 **Beneficios de establecer esta práctica recomendada:** las correcciones automáticas pueden reaccionar a los errores de configuración más rápido que los procesos manuales, lo que ayuda a minimizar los posibles impactos empresariales y a reducir la ventana de oportunidad para usos no deseados. Al definir las medidas de corrección mediante programación, se aplican de manera uniforme, lo que reduce el riesgo de errores humanos. La automatización también puede gestionar un mayor volumen de alertas simultáneamente, lo que resulta particularmente importante en entornos que funcionan a gran escala.   

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** medio 

## Guía para la implementación
<a name="implementation-guidance"></a>

 Como se describe en [SEC01-BP03 Identificación y validación de los objetivos de control](sec_securely_operate_control_objectives.md), servicios como [AWS Config](https://aws.amazon.com/config/) pueden ayudarle a supervisar la configuración de los recursos de sus cuentas para garantizar el cumplimiento de sus requisitos.  En caso de que se detecten recursos disconformes, le recomendamos que configure el envío de alertas a una solución de administración de la postura de seguridad en la nube (CSPM), por ejemplo [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), para facilitar la corrección. Estas soluciones proporcionan un punto central en el que los investigadores de seguridad puedan supervisar los problemas y tomar medidas correctivas. 

 Si bien algunas situaciones de recursos disconformes son únicas y requieren de juicio humano para corregirlas, otras situaciones requieren una respuesta estándar que se puede definir mediante programación. Por ejemplo, una respuesta estándar ante un error de configuración de un grupo de seguridad de VPC podría consistir en eliminar las reglas no permitidas y notificárselo al propietario. Las respuestas se pueden definir en funciones de [AWS Lambda](https://aws.amazon.com/pm/lambda), documentos de [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) o en otros entornos de código que prefiera. Asegúrese de que el entorno pueda autenticarse en AWS con un rol de IAM que tenga la cantidad mínima de permisos necesaria para tomar medidas correctivas. 

 Una vez que defina la corrección deseada, puede determinar el medio que prefiera para iniciarla. AWS Config puede [iniciar las correcciones](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) por usted. Si está utilizando Security Hub CSPM, puede hacer esto con [acciones personalizadas](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cwe-custom-actions.html), que publican la información de los resultados en [Amazon EventBridge](https://aws.amazon.com/eventbridge/). A continuación, una regla de EventBridge puede iniciar la corrección. Puede configurar la acción personalizada en Security Hub CSPM para que se ejecute de forma automática o manual.   

 En el caso de la corrección mediante programación, le recomendamos que disponga de registros y auditorías exhaustivos de las medidas adoptadas, así como de sus resultados. Revise y analice estos registros para evaluar la eficacia de los procesos automatizados e identificar las áreas de mejora. Refleje los registros en [Amazon CloudWatch Logs](https://docs.aws.amazon.com/Amazon/latest/logs/WhatIsLogs.html) y los resultados de las correcciones en las [notas de resultados](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) en Security Hub CSPM. 

 Como punto de partida, piense en utilizar la [respuesta de seguridad automatizada en AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/), ya que cuenta con correcciones prediseñadas para resolver errores de configuración de seguridad comunes. 

### Pasos para la implementación
<a name="implementation-steps"></a>

1.  Analice y priorice las alertas. 

   1.  Unifique las alertas de seguridad de varios servicios de AWS en Security Hub CSPM para obtener una visibilidad, priorización y corrección centralizadas. 

1.  Desarrolle medidas de corrección. 

   1.  Utilice servicios como Systems Manager y AWS Lambda para ejecutar correcciones programáticas. 

1.  Configure cómo se inician las correcciones. 

   1.  Con Systems Manager, defina acciones personalizadas para publicar los resultados en EventBridge. Configure estas acciones para que se inicien manual o automáticamente. 

   1.  También puede usar [Amazon Simple Notification Service (SNS)](https://aws.amazon.com/sns/) para enviar notificaciones y alertas a las partes interesadas pertinentes (como el equipo de seguridad o los equipos de respuesta a incidentes) para que intervengan manualmente o escalen el caso si es necesario. 

1.  Revise y analice los registros de corrección para comprobar su eficacia y mejora. 

   1.  Envíe la salida del registro a CloudWatch Logs. Refleje los resultados en las notas de resultados en Security Hub CSPM. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [SEC06-BP03 Reducción de la administración manual y el acceso interactivo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_protect_compute_reduce_manual_management.html) 

 **Documentos relacionados:** 
+  [AWS Security Incident Response Guide - Detection](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/detection.html) 

 **Ejemplos relacionados:** 
+  [Automated Security Response on AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/) 
+  [Monitor EC2 instance key pairs using AWS Config](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/monitor-ec2-instance-key-pairs-using-aws-config.html) 
+  [Create AWS Config custom rules by using AWS CloudFormation Guard policies](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/create-aws-config-custom-rules-by-using-aws-cloudformation-guard-policies.html) 
+  [Automatically remediate unencrypted Amazon RDS DB instances and clusters](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-remediate-unencrypted-amazon-rds-db-instances-and-clusters.html) 

 **Herramientas relacionadas:** 
+  [AWS Systems Manager Automation](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-automation.html) 
+  [Automated Security Response on AWS](https://aws.amazon.com/solutions/implementations/automated-security-response-on-aws/)