View a markdown version of this page

Configuración de flujos de trabajo de respuesta proactiva y clasificación de alertas - Respuesta frente a incidencias de seguridad de AWSGuía del usuario de

Configuración de flujos de trabajo de respuesta proactiva y clasificación de alertas

Respuesta frente a incidencias de seguridad de AWS supervisa e investiga las alertas de amenazas generadas a partir de Amazon GuardDuty y las herramientas de detección de amenazas de terceros mediante integraciones con Security Hub CSPM. Respuesta frente a incidencias de seguridad de AWS clasifica automáticamente todas las alertas compatibles para que su equipo se concentre en los problemas más críticos.

importante

Respuesta frente a incidencias de seguridad de AWS no requiere que habilite Amazon GuardDuty. Sin embargo, la función de respuesta proactiva se basa en recibir los hallazgos de amenazas de los servicios de detección. Si no tiene Amazon GuardDuty o Security Hub CSPM configurados para ingerir los resultados, Respuesta frente a incidencias de seguridad de AWS no dispondrá de alertas que supervisar e investigar, lo que limita el valor de esta función.

Respuesta frente a incidencias de seguridad de AWS supervisa e investiga los resultados en todas las cuentas cubiertas y compatibles activas Regiones de AWS en su organización. Para facilitar esta funcionalidad, Respuesta frente a incidencias de seguridad de AWS crea automáticamente un rol vinculado a servicios en todas las cuentas de miembros cubiertas de su organización de AWS Organizations. Sin embargo, para la cuenta de administración, debe crear manualmente el rol vinculado a servicios para habilitar la supervisión.

Si realiza la incorporación a Respuesta frente a incidencias de seguridad de AWS en la Consola de administración de AWS, la respuesta a incidentes de seguridad crea automáticamente el rol AWSServiceRoleForSecurityIncidentResponse_Triage vinculado al servicio en su cuenta de administración AWS Organizations y en todas las cuentas incluidas en el ámbito de aplicación. Si realiza la incorporación mediante la API/CLI, debe crear el rol manualmente. Para obtener más información, consulte Habilite la respuesta a incidentes de seguridad y configure su equipo de respuesta a incidentes mediante la API/CLI.

Si tiene problemas de incorporación o necesita ayuda para activar Amazon GuardDuty o Security Hub CSPM, cree un caso AWS Support de asistencia.

nota

Si tiene preguntas sobre las reglas de supresión de Amazon GuardDuty, las configuraciones de clasificación de alertas o los flujos de trabajo de respuesta proactiva, puede crear un caso con asistencia de AWS con el tipo de caso Investigaciones y consultas para consultar con el equipo de Respuesta frente a incidencias de seguridad de AWS. Para obtener más información, consulte Creación de un caso compatible con AWS.

Contención: en caso de un incidente de seguridad, Respuesta frente a incidencias de seguridad de AWS puede ejecutar acciones de contención para mitigar rápidamente el impacto, como aislar los hosts comprometidos o rotar las credenciales. Respuesta ante incidentes de seguridad no habilita las capacidades de contención de forma predeterminada. Para ejecutar estas acciones de contención, primero debe conceder los permisos necesarios al servicio. Para ello, se puede implementar un StackSet de AWS CloudFormation, que crea los roles necesarios.