View a markdown version of this page

Configuración de flujos de trabajo de respuesta proactiva y clasificación de alertas - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de

Configuración de flujos de trabajo de respuesta proactiva y clasificación de alertas

Respuesta frente a incidencias de seguridad de AWS supervisa e investiga las alertas de amenazas generadas a partir de las integraciones con Amazon GuardDuty y Security Hub CSPM. Para utilizar esta característica, Amazon GuardDuty debe estar habilitado. Respuesta frente a incidencias de seguridad de AWS clasifica las alertas de baja prioridad con la automatización del servicio para que su equipo pueda concentrarse en los problemas más críticos. Para obtener información adicional sobre cómo funciona Respuesta frente a incidencias de seguridad de AWS con Amazon GuardDuty y AWS Security Hub CSPM, consulte la sección Detección y análisis de la guía del usuario.

Si experimenta algún problema durante la incorporación, cree un caso de AWS Support para obtener más asistencia. Asegúrese de incluir detalles como el ID de la Cuenta de AWS y cualquier error que haya podido observar durante el proceso de configuración.

nota

Si tiene preguntas sobre las reglas de supresión de Amazon GuardDuty, las configuraciones de clasificación de alertas o los flujos de trabajo de respuesta proactiva, puede crear un caso con asistencia de AWS de tipo Investigaciones y consultas para consultar con el equipo de Respuesta ante incidentes de seguridad de AWS. Para obtener más información, consulte Creación de un caso compatible con AWS.

Esta característica permite que Respuesta frente a incidencias de seguridad de AWS supervise e investigue los resultados en todas las cuentas cubiertas y en las regiones de AWS compatibles activas de la organización. Para facilitar esta funcionalidad, Respuesta frente a incidencias de seguridad de AWS crea automáticamente un rol vinculado a servicios en todas las cuentas de miembros cubiertas de su organización de AWS Organizations. Sin embargo, para la cuenta de administración, debe crear manualmente el rol vinculado a servicios para habilitar la supervisión.

El servicio no puede crear el rol vinculado a servicios en la cuenta de administración. Debe crear este rol manualmente en la cuenta de administración usando conjuntos de pilas de AWS CloudFormation.

Contención: en caso de un incidente de seguridad, Respuesta frente a incidencias de seguridad de AWS puede ejecutar acciones de contención para mitigar rápidamente el impacto, como aislar los hosts comprometidos o rotar las credenciales. Respuesta ante incidentes de seguridad no habilita las capacidades de contención de forma predeterminada. Para ejecutar estas acciones de contención, primero debe conceder los permisos necesarios al servicio. Para ello, se puede implementar un StackSet de AWS CloudFormation, que crea los roles necesarios.