# Configuración de flujos de trabajo de respuesta proactiva y clasificación de alertas
<a name="setup-monitoring-and-investigation-workflows"></a>

Respuesta frente a incidencias de seguridad de AWS supervisa e investiga las alertas de amenazas generadas a partir de las integraciones con Amazon GuardDuty y Security Hub CSPM. Para utilizar esta característica, [Amazon GuardDuty debe estar habilitado](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html). Respuesta frente a incidencias de seguridad de AWS clasifica las alertas de baja prioridad con la automatización del servicio para que su equipo pueda concentrarse en los problemas más críticos. Para obtener información adicional sobre cómo funciona Respuesta frente a incidencias de seguridad de AWS con Amazon GuardDuty y AWS Security Hub CSPM, consulte la sección [Detección y análisis](https://docs.aws.amazon.com/security-ir/latest/userguide/detect-and-analyze.html) de la guía del usuario.

Si experimenta algún problema durante la incorporación, [cree un caso de AWS Support](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html#creating-a-support-case) para obtener más asistencia. Asegúrese de incluir detalles como el ID de la Cuenta de AWS y cualquier error que haya podido observar durante el proceso de configuración. 

**nota**  
 Si tiene preguntas sobre las reglas de supresión de Amazon GuardDuty, las configuraciones de clasificación de alertas o los flujos de trabajo de respuesta proactiva, puede crear un caso con asistencia de AWS de tipo **Investigaciones y consultas** para consultar con el equipo de Respuesta ante incidentes de seguridad de AWS. Para obtener más información, consulte [Creación de un caso compatible con AWS](create-an-aws-supported-case.md). 

Esta característica permite que Respuesta frente a incidencias de seguridad de AWS supervise e investigue los resultados en todas las cuentas cubiertas y en las regiones de AWS compatibles activas de la organización. Para facilitar esta funcionalidad, Respuesta frente a incidencias de seguridad de AWS crea automáticamente un rol vinculado a servicios en todas las cuentas de miembros cubiertas de su organización de AWS Organizations. Sin embargo, para la cuenta de administración, debe crear manualmente el rol vinculado a servicios para habilitar la supervisión.

*El servicio no puede crear el rol vinculado a servicios en la cuenta de administración. Debe crear este rol manualmente en la cuenta de administración [usando conjuntos de pilas de AWS CloudFormation](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html).*

# Explicación sobre el archivado automático con la respuesta proactiva
<a name="understanding-automatic-archiving"></a>

Cuando se habilitan la respuesta proactiva y la clasificación de alertas, Respuesta frente a incidencias de seguridad de AWS supervisa y clasifica automáticamente los resultados de seguridad provenientes de Amazon GuardDuty y el CSPM de Security Hub. Como parte de este flujo de trabajo de clasificación automática, los resultados se archivan automáticamente según los siguientes criterios:

**Comportamiento de archivado automático:**
+ **Resultados benignos:** cuando el proceso de clasificación automática determina que un resultado es benigno (no representa una amenaza real para la seguridad), Respuesta frente a incidencias de seguridad de AWS archiva automáticamente el resultado en Amazon GuardDuty y crea reglas de supresión para evitar que resultados similares generen alertas en el futuro.
+ **Reglas de supresión:** el servicio crea reglas de supresión y de archivado automático tanto en Amazon GuardDuty como en Security Hub CSPM para los resultados que coinciden con los patrones conocidos como válidos en el entorno, como direcciones IP esperadas, entidades de IAM y comportamientos operativos habituales.
+ **Reducción del volumen de alertas:** las organizaciones que utilizan tecnología de SIEM observan una disminución significativa en el volumen de resultados de Amazon GuardDuty con el tiempo, a medida que el servicio aprende las características del entorno y archiva automáticamente los resultados benignos. Esto mejora la eficiencia tanto del servicio Respuesta frente a incidencias de seguridad de AWS como del SIEM.

**Visualización de resultados archivados:**

Puede revisar los resultados archivados automáticamente y las reglas de supresión creadas por Respuesta frente a incidencias de seguridad de AWS:

1. Diríjase a la consola de Amazon GuardDuty

1. Elija **Resultados**

1. Seleccione **Archivados** en el filtro de resultados

1. Revise las reglas de supresión. Para ello, seleccione la flecha desplegable junto a cada regla

**Consideraciones importantes:**
+ Los resultados archivados se retienen en Amazon GuardDuty durante 90 días y se pueden consultar en cualquier momento durante ese periodo
+ Puede modificar o eliminar las reglas de supresión en cualquier momento desde la consola de Amazon GuardDuty
+ El proceso de clasificación automática se adapta continuamente al entorno, mejora la precisión con el tiempo y reduce los falsos positivos

**Contención:** en caso de un incidente de seguridad, Respuesta frente a incidencias de seguridad de AWS puede ejecutar acciones de contención para mitigar rápidamente el impacto, como aislar los hosts comprometidos o rotar las credenciales. Respuesta ante incidentes de seguridad no habilita las capacidades de contención de forma predeterminada. Para ejecutar estas acciones de contención, primero debe conceder los permisos necesarios al servicio. Para ello, se puede implementar un [StackSet de AWS CloudFormation](https://docs.aws.amazon.com/security-ir/latest/userguide/working-with-stacksets.html), que crea los roles necesarios.