# Guía de incorporación
<a name="onboarding-guide"></a>

 En la guía de incorporación se explican los requisitos previos y las acciones de incorporación y contención de Respuesta frente a incidencias de seguridad de AWS. 

**importante**  
 Requisitos previos   
El único requisito previo de implementación es habilitar [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
Aunque no es algo obligatorio, recomendamos habilitar [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) y [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html) en todas las cuentas y Regiones de AWS activas para maximizar los beneficios de Respuesta ante incidentes de seguridad.
Revise la respuesta a los incidentes de seguridad y GuardDuty
Consulte la [guía de prácticas recomendadas de GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)

AWS Security Hub CSPM ingiere los resultados de proveedores externos de detección y respuesta de puntos de conexión (EDR), como CrowdStrike, Fortinet CNAPP (Lacework) y Trend Micro, entre otros. Si estos resultados se incorporan a la CSPM de Security Hub, la respuesta a incidentes de seguridad los clasifica automáticamente para poder crear casos de forma proactiva. Para configurar un EDR de terceros con la CSPM de Security Hub, consulte [Detectar y analizar](https://docs.aws.amazon.com//security-ir/latest/userguide/detect-and-analyze.html).

Para configurar un EDR de terceros con la CSPM de Security Hub:

1. Navegue a la página de integraciones de la CSPM de Security Hub para validar que existe la integración de terceros

1. Desde la consola, vaya a la página del servicio Security Hub CSPM.

1. Elija **integraciones** (usando Wiz.io como ejemplo):  
![\[Página de integraciones de CSPM de Security Hub que muestra las integraciones de terceros que hay disponibles.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Security_Hub_CSPM.png)

1. Busque al proveedor que quiera integrar  
![\[Interfaz de búsqueda para encontrar y seleccionar integraciones de proveedores externos.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Integrations.png)

**nota**  
 Cuando se le solicite, proporcione la información de su cuenta o suscripción. Tras proporcionar esta información, Respuesta ante incidentes de seguridad ingiere los resultados de terceros. Para revisar los precios de la ingesta de resultados de terceros, consulte la página **Integraciones** en Security Hub CSPM. 

# Implementación y configuración de Respuesta ante incidentes de seguridad
<a name="deploy-configure"></a>

1. Elija **Registrarse**  
![\[Página de registro de Respuesta frente a incidencias de seguridad de AWS con el botón de registro.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/AWS_Security_incident_Response.png)

1. Seleccione una cuenta de **herramientas de seguridad** como administrador delegado en la cuenta de administración.
   + [Arquitectura de referencia de seguridad](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/introduction.html)
   + [Documentación de administrador delegado](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html)  
![\[Configure la página central de cuentas de membresía para seleccionar una cuenta de administrador delegado.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Set_Up_Central_Membership_Account.png)

1. Inicie sesión en la cuenta de administrado delegado

1. Introduzca los detalles de la suscripción y las cuentas asociadas  
![\[Introduzca los detalles de la suscripción y las cuentas asociadas.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Define_Membership_Details.png)

# Autorización de acciones de Respuesta ante incidentes de seguridad
<a name="authorize-security-incident-response"></a>

 En esta página se describe cómo autorizar a Respuesta ante incidentes de seguridad para realizar acciones automatizadas de supervisión y contención en el entorno de AWS. Puede habilitar dos características de autorización distintas: la supervisión de respuesta proactiva y las preferencias de acciones de contención. Estas características son independientes y se pueden habilitar por separado según los requisitos de seguridad. 

# Habilitación de la respuesta proactiva
<a name="enable-proactive-response"></a>

 La respuesta proactiva permite que Respuesta ante incidentes de seguridad supervise e investigue las alertas generadas a partir de las integraciones con Amazon GuardDuty y AWS Security Hub CSPM en la organización. Cuando está habilitada, Respuesta ante incidentes de seguridad clasifica las alertas de baja prioridad mediante automatización del servicio, lo que permite que su equipo se concentre en los problemas más críticos. 

 Para habilitar la respuesta proactiva durante la incorporación: 

1. En la consola de Respuesta ante incidentes de seguridad, diríjase al flujo de trabajo de incorporación.

1. Revise los permisos del servicio que autorizan a Respuesta ante incidentes de seguridad a supervisar los resultados en todas las cuentas cubiertas y en las Regiones de AWS compatibles activas de la organización.

1. Seleccione **Registrarse** para habilitar la característica.  
![\[Revise la pantalla de permisos del servicio, donde se muestran los permisos que Respuesta ante incidentes de seguridad requiere para supervisar los resultados.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Review_Service_Permissions.png)  
![\[Pantalla de confirmación de registro para habilitar la supervisión de respuesta proactiva.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Review_and_Sign_Up.png)

 Esta característica crea automáticamente un rol vinculado al servicio en todas las cuentas de miembro cubiertas dentro de la organización de AWS Organizations. Sin embargo, debe crear manualmente el rol vinculado al servicio en la cuenta de administración mediante conjuntos de pilas de AWS CloudFormation. 

 **Pasos siguientes:** para obtener más información sobre cómo Respuesta ante incidentes de seguridad funciona con Amazon GuardDuty y AWS Security Hub CSPM, consulte *Detección y análisis* en la *Guía del usuario de Respuesta frente a incidencias de seguridad de AWS*. 

# Definición de las preferencias de acciones de contención
<a name="define-containment-preferences"></a>

 Las acciones de contención permiten a Respuesta frente a incidencias de seguridad de AWS ejecutar medidas de respuesta rápida durante un incidente de seguridad activo. Estas acciones ayudan a mitigar rápidamente el impacto de los incidentes de seguridad en el entorno. 

**importante**  
 Respuesta ante incidentes de seguridad no habilita las capacidades de contención de forma predeterminada. Debe autorizar explícitamente las acciones de contención mediante las preferencias de contención. 

 Para autorizar que los ingenieros de Respuesta frente a incidencias de seguridad de AWS realicen acciones de contención en su nombre, además de implementar un [AWS CloudFormationStackSet](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html) que cree las funciones de IAM requeridas, se debeb definir las preferencias de contención a nivel de cuenta o organización. Las preferencias a nivel de cuenta prevalecen sobre las preferencias a nivel de organización. 

 **Requisitos previos:** debe tener permisos para crear casos de AWS Support. 

 **Opciones de contención:** 
+ **Aprobación requerida** (valor predeterminado): no lleve a cabo la contención proactiva de ningún recurso sin autorización explícita caso por caso.
+ **Contener recurso confirmado**: lleve a cabo la contención proactiva de un recurso confirmado como comprometido.
+ **Contener recurso sospechoso**: lleve a cabo la contención proactiva de un recurso con alta probabilidad de haberse comprometido, según el análisis del equipo de ingeniería de Respuesta frente a incidencias de seguridad de AWS.

 Para definir las preferencias de contención: 

1. [Cree un caso de AWS Support](https://docs.aws.amazon.com/security-ir/latest/userguide/create-support-case.html) para solicitar la configuración de las preferencias de acciones de contención de Respuesta ante incidentes de seguridad.

1. En el caso de soporte, especifique:
   + Su ID de AWS Organizations o los ID de cuenta específicos donde se deben autorizar las acciones de contención
   + Su opción de contención preferida (Se requiere aprobación, Contiene información confirmada o Contiene información sospechosa).
   + Los tipos de acciones de contención que desea autorizar (como el aislamiento de instancias de EC2, la rotación de credenciales o las modificaciones de grupos de seguridad)

1. AWS Support colabora con usted en la configuración de las preferencias de contención. Debe implementar el StackSet de AWS CloudFormation necesario para crear los roles de IAM requeridos. AWS Support puede proporcionar ayuda, si es necesario.

 Después de la configuración, Respuesta frente a incidencias de seguridad de AWS ejecuta las acciones de contención autorizadas durante incidentes de seguridad activos para ayudar a proteger el entorno. 

 **Pasos siguientes**: después de configurar las preferencias de contención, puede supervisar las acciones de contención realizadas durante los incidentes en la consola de Respuesta ante incidentes de seguridad. 

# Después de la implementación de Respuesta ante incidentes de seguridad
<a name="post-deploy"></a>

AWS se integra con el marco de respuesta ante incidentes existente en lugar de reemplazarlo.

1. Revise nuestras capacidades de integración operativa para mejorar sus prácticas actuales.

1. Vea nuestra demostración de compatibilidad para miembros a nivel de OU, el uso de EventBridge y la integración de Jira-ITSM para que las operaciones de seguridad sean más eficientes.  
[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/lVSi5XyMlws/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/lVSi5XyMlws)

# Actualice el equipo de respuesta a incidentes
<a name="update-security-incident-response"></a>

1. Asegúrese de haberse suscrito y de haber completado los pasos de incorporación descritos en esta *guía de incorporación*.

1. Seleccione Equipo de respuesta ante incidentes en el panel de navegación izquierdo.

1. Seleccione los compañeros que quiera agregar a su equipo.  
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Teamates.png)

**nota**  
El equipo puede incluir la dirección de la organización, asesores legales, socios de MDR, ingenieros en la nube y otros posibles miembros. Puede agregar hasta 10 miembros adicionales. Incluye solo el nombre, el cargo y la dirección de correo electrónico de cada miembro.

# Caso con asistencia de AWS
<a name="support-case"></a>

Respuesta frente a incidencias de seguridad de AWS facilita un portal de administración de casos por suscripción en el que su organización interactúa de forma directa con nuestros ingenieros de Respuesta ante incidentes de seguridad. Ayudamos con las investigaciones de seguridad y los incidentes activos con un SLO de 15 minutos, sin límite de casos reactivos. Consulte nuestra documentación sobre cómo crear un caso compatible AWS.

**Amplíe el equipo de investigación**

A través del portal de administración de casos, puede dar visibilidad a los casos a terceros agregando políticas de IAM y observadores. Utilice estas opciones para socios, equipos legales o expertos en la materia.

**Para añadir monitores a un caso:**

1. Abra cualquier caso desde el portal de casos de Respuesta ante incidentes de seguridad  
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Cases.png)

1. Elija la pestaña Permisos  
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Overview.png)

1. Seleccione Añadir  
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Watchers.png)

**nota**  
Cada caso incluye una política de IAM rellenada previamente que tan solo permite el acceso a dicho caso específico, manteniendo los privilegios mínimos. Copie y pegue esta política directamente en los usuarios o roles de IAM, ya sean socios externos de MDR o equipos de investigación específicos, para poder permitir su contribución.

# Resultados y reglas de supresión de GuardDuty
<a name="guard-duty"></a>

Respuesta frente a incidencias de seguridad de AWS ingiere y clasifica de forma proactiva todos los resultados de Amazon GuardDuty y los resultados de AWS Security Hub CSPM de CrowdStrike, Fortinet CNAPP (Lacework) y Trend Micro y, además, responde a ellos. Nuestra tecnología de clasificación automática elimina los requisitos de análisis interno. El servicio crea reglas de supresión y archivado automático en GuardDuty y Security Hub CSPM en caso de que se produzcan resultados benignos. Consulte o modifique estas reglas en la sección “Resultados” de la consola Amazon GuardDuty.

Complete los siguientes pasos para revisar las reglas de supresión de GuardDuty habilitadas:

1. Abra la consola de Amazon GuardDuty.

1. Elija **Resultados**.

1. En el panel de navegación, elija **Reglas de supresión**. La página de **reglas de supresión** muestra una lista de todas las reglas de supresión de su cuenta. 

1. Para revisar o cambiar la configuración de una regla, selecciónela y, a continuación, elija **Actualizar regla de supresión** en el menú **Acciones**.

**nota**  
Con el tiempo, las organizaciones que hacen uso de la tecnología de SIEM vieron reducidos las cantidades de resultados de GuardDuty de forma considerable, lo que mejora tanto el servicio Respuesta ante incidentes de seguridad como la eficiencia de SIEM.

# Amazon EventBridge
<a name="amazon-eventbridge"></a>

Amazon EventBridge ofrece una arquitectura que se fundamenta en eventos para la respuesta a incidentes de seguridad, para que la actividad de los casos active servicios posteriores (SNS, Lambda, SQS, Step-Functions) o herramientas externas (Jira, ServiceNow, Teams, Slack, PagerDuty).

**Para configurar las reglas de EventBridge:**

1. Acceda a Amazon EventBridge

1. Seleccione **Reglas** en el menú desplegable **Buses**.  
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Amazon_EventBridge_rules.png)

1. Elija **Create Rule**.

1. Ingrese los detalles de la regla.

1. Elija **Siguiente**.  
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Define_Rule.png)

1. Desplácese hasta **Servicio de AWS** y, a continuación, seleccione **Respuesta frente a incidencias de seguridad de AWS** en el menú desplegable.  
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Event_Pattern_Security.png)

1. En el desplegable **Tipo de evento**, seleccione el evento o la llamada a la API para los que quiera crear un patrón.

1. Puede editar el patrón de forma manual para incluir más de un evento.

1. Elija **Siguiente**.  
![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Event_Pattern.png)

**nota**  
Seleccione uno o más destinos (Amazon Simple Notification Service, AWS Lambda, documento de SSM, Step Functions) para sus eventos. Configure los destinos entre cuentas si es necesario.

Podrá comprobar los patrones de integración de socios en Orígenes de eventos para socios, en el menú de integración de EventBridge. Entre los socios disponibles se incluyen Atlassian (Jira), DataDog, New Relic, PagerDuty, Symantec y Zendesk, entre muchos otros.

![\[Los servicios de AWS envían eventos al bus de eventos predeterminado de EventBridge. Si un evento coincide con el patrón de eventos de una regla, EventBridge envía el evento a los destinos especificados en la regla.\]](http://docs.aws.amazon.com/es_es/security-ir/latest/userguide/images/Amazon_EventBridge_Partners.png)


# Flujo de trabajo de herramientas externas e integraciones
<a name="integrations-external-tooling"></a>

**AWS Soluciones de para integrar JIRA o ServiceNow con Respuesta ante incidentes de seguridad**

Implemente nuestras soluciones completamente desarrolladas para la integración bidireccional con Jira y ServiceNow. Estas integraciones hacen posible una comunicación bidireccional entre casos de Respuesta frente a incidencias de seguridad de AWS y su plataforma de ITSM, y las actualizaciones de los casos se reflejan de forma automática en las tareas correspondientes de Jira.

**Ventajas de la integración**

La integración de Respuesta frente a incidencias de seguridad de AWS con la plataforma de ITSM existente optimiza las operaciones de seguridad al centralizar el seguimiento de incidentes y los flujos de trabajo de respuesta. Estas soluciones predefinidas eliminan la necesidad de desarrollo personalizado, lo que permite a los equipos de seguridad mantener visibilidad tanto en los sistemas de administración de incidentes nativos de AWS como en los de nivel empresarial. Al aprovechar Amazon EventBridge para la automatización basada en eventos, las actualizaciones se sincronizan en tiempo real entre las plataformas, lo que ayuda a garantizar un seguimiento coherente de los incidentes de seguridad, independientemente de su origen. Este enfoque unificado reduce la necesidad de alternar entre contextos para los analistas de seguridad, mejora los tiempos de respuesta y ofrece un registro de auditoría completo a lo largo de todo el ciclo de vida de la respuesta ante incidentes.

Para configurar las reglas de EventBridge:

1. Acceda a Amazon EventBridge.

1. Seleccione **Reglas** en el menú desplegable **Buses**.

# Flujo de trabajo de herramientas externas
<a name="external-tooling"></a>

La respuesta a los incidentes de seguridad se integra con las herramientas y socios externos de varias maneras:
+ *Integración con SIEM:* los ingenieros de Respuesta ante incidentes de seguridad ayudan a analizar e investigar esos resultados en paralelo con su equipo cuando se envían casos con asistencia de AWS. Identificamos las correlaciones entre los entornos híbridos y multinube, para determinar los movimientos de los actores de amenazas entre los proveedores.
+ *Mejora sus actuales operaciones de seguridad:* sustituimos los tradicionales flujos de trabajo de respuesta de GuardDuty por un modelo de respuesta en paralelo más eficiente. Actualmente, muchas organizaciones recurren a la tecnología de SIEM para los flujos de trabajo de detección mediante la administración de casos. Este servicio facilita una alternativa simplificada específica para los resultados de GuardDuty (y determinados resultados de Security Hub CSPM). La solución aprovecha tecnología avanzada de clasificación automática con supervisión humana para crear casos proactivos en el portal, al tiempo que alerta al equipo de respuesta y activa a los ingenieros de Respuesta ante incidentes de seguridad para coordinar las acciones de remediación.
+ *Equipos de investigación de terceros*: los ingenieros de Respuesta ante incidentes de seguridad colaboran directamente con sus socios y proveedores de MDR.

# Apéndice A: Puntos de contacto
<a name="appendix"></a>

Proporcionar sus metadatos por adelantado a los ingenieros de Respuesta ante incidentes de seguridad puede acelerar el tiempo de creación del perfil y aumentar la confianza en nuestra tecnología de clasificación desde el inicio. Esto ayuda a reducir el número de falsos positivos detectados por anticipado cuando empezamos a ingerir los resultados de amenazas y a crear su “mundo bueno conocido”.


**Información de contacto del personal de IR y SOC**  

| Entrada | Personal de IR \$1 SOC: rol, nombre, correo electrónico | Contactos principales y secundarios de derivación | Rangos de CIDR internos conocidos | Rangos de CIDR externos conocidos | Proveedores de servicios en la nube adicionales | Regiones de AWS funcionales | IP de servidores de DNS (si no coinciden con Amazon Route 53 Resolver) | VPN \$1 Soluciones de acceso remoto e IP | Nombres de aplicaciones críticas \$1 Números de cuenta | Puertos poco comunes que se utilizan con frecuencia | EDR \$1 AV \$1 Herramientas de administración de vulnerabilidades utilizadas | IDP \$1 Ubicaciones | 
| --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | --- | 
| 1 | Comandante del SOC, John Smith, jsmith@example.com | Primary | 10.0.0.0/16 | 5.5.60.0/20 (Azure) | Azure | us-east-1, us-east-2 | N/A | Direct Connect, VIF público 116.32.8.7 | Servidor web Nginx (ejemplo crítico) \$1 1234567890 | 8080 | CrowdStrike Falcon | Entra, Azure | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 
|   |   |   |   |   |   |   |   |   |   |   |   |   | 

Para enviar información de metadatos para su entorno, cree un [caso de AWS Support](https://repost.aws/knowledge-center/get-aws-technical-support).

**Para enviar los metadatos**

1. Complete la tabla de metadatos con la información de su entorno.

1. Cree un caso de AWS Support con los siguientes detalles.
   + **Tipo de caso:** técnico
   + **Servicio:** servicio de respuesta a incidentes de seguridad
   + **Categoría:** otros

1. Adjunte la tabla de metadatos completa al caso.