Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Aborde automáticamente las amenazas de seguridad con acciones de respuesta y corrección predefinidas en AWS Security Hub
Esta guía de implementación proporciona información general sobre la solución Automated Security Response on AWS, su arquitectura y componentes de referencia, las consideraciones para planificar la implementación y los pasos de configuración para implementar la solución Automated Security Response on AWS en la nube de Amazon Web Services (AWS).
Utilice esta tabla de navegación para encontrar rápidamente las respuestas a estas preguntas:
| Si quiere… | Lea… |
| --- | --- |
| Conozca el costo de ejecutar esta solución | [Costo](cost.md) |
| Comprenda las consideraciones de seguridad de esta solución | [Seguridad](security.md) |
| Sepa cómo planificar las cuotas de esta solución | [Cuotas](quotas.md) |
| Conozca qué regiones de AWS son compatibles con esta solución | [Regiones de AWS admitidas](plan-your-deployment.md#supported-aws-regions) |
| Consulte o descargue la CloudFormation plantilla de AWS incluida en esta solución para implementar automáticamente los recursos de infraestructura (la «pila») de esta solución | [ CloudFormation Plantillas de AWS](aws-cloudformation-template.md) |
| Acceder al código fuente y, opcionalmente, utilizar AWS Cloud Development Kit (AWS CDK) para implementar la solución. | [GitHub repositorio](https://github.com/aws-solutions/automated-security-response-on-aws) |
La continua evolución de la seguridad requiere medidas proactivas para proteger los datos, lo que puede hacer que la reacción de los equipos de seguridad sea difícil, costosa y lenta. La solución Automated Security Response en AWS le ayuda a reaccionar rápidamente para abordar los problemas de seguridad al proporcionar respuestas predefinidas y acciones correctivas basadas en las mejores prácticas y los estándares de conformidad del sector.
[Automated Security Response en AWS es una solución de AWS que funciona con [AWS Security Hub](https://aws.amazon.com/security-hub/) para mejorar su seguridad y ayudar a alinear sus cargas de trabajo con las prácticas recomendadas del pilar de la seguridad de Well-Architected (0). SEC1](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-10.html) Esta solución facilita a los clientes de AWS Security Hub la resolución de problemas de seguridad habituales y mejora su postura de seguridad en AWS.
Puede seleccionar guías específicas para implementarlas en su cuenta principal de Security Hub. Cada manual contiene las acciones personalizadas necesarias, las funciones de [Identity and Access Management](https://aws.amazon.com/iam/) (IAM), [ EventBridge las reglas de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html), los documentos de automatización de [AWS Systems Manager](https://aws.amazon.com/systems-manager/), las funciones de [AWS Lambda](https://aws.amazon.com/lambda/) y las [AWS Step Functions](https://aws.amazon.com/step-functions/) necesarias para iniciar un flujo de trabajo de remediación en una sola cuenta de AWS o en varias cuentas. Las correcciones funcionan desde el menú Acciones de AWS Security Hub y permiten a los usuarios autorizados corregir un hallazgo en todas sus cuentas administradas por AWS Security Hub con una sola acción. Por ejemplo, puede aplicar las recomendaciones del Centro para la Seguridad de Internet (CIS) AWS Foundations Benchmark, un estándar de conformidad para proteger los recursos de AWS, a fin de garantizar que las contraseñas caduquen en un plazo de 90 días y aplicar el cifrado de los registros de eventos almacenados en AWS.
**nota**
La remediación está destinada a situaciones emergentes que requieren una acción inmediata. Esta solución solo realiza cambios para corregir los hallazgos cuando usted los inicia a través de la consola de administración de AWS Security Hub o cuando se ha habilitado la corrección automática mediante la tabla DynamoDB de configuración de remediación. Para revertir estos cambios, debe volver a colocar los recursos en su estado original de forma manual.
Al corregir los recursos de AWS implementados como parte de la CloudFormation pila, tenga en cuenta que esto podría provocar una desviación. Siempre que sea posible, corrija los recursos de la pila modificando el código que define los recursos de la pila y actualizando la pila. Para obtener más información, consulta [¿Qué es la deriva?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift) en la *Guía del CloudFormation usuario de AWS*.
La respuesta de seguridad automatizada en AWS incluye el manual de correcciones para los estándares de seguridad definidos como parte de lo siguiente:
+ [Centro de Seguridad de Internet (CIS) AWS Foundations Benchmark v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard)
+ [Índice de referencia sobre bases de AWS de CIS, versión 1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)
+ [Índice de referencia sobre bases de AWS de CIS, versión 3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard)
+ [Prácticas recomendadas de seguridad fundamentales (FSBP) de AWS v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html)
+ [Estándar de seguridad de datos del sector de tarjetas de pago (PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html)
+ [Instituto Nacional de Estándares y Tecnología (NIST) SP 800-53 Rev. 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)
La solución también incluye un manual de estrategias de controles de seguridad (SC) para la [función de hallazgos de control consolidados](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) de AWS Security Hub. Para obtener más información, consulte los manuales de [estrategias](playbooks.md). Recomendamos usar el manual de estrategias de SC junto con los hallazgos de control consolidados en Security Hub.
Esta guía de implementación analiza las consideraciones arquitectónicas y los pasos de configuración para implementar la solución Automated Security Response on AWS en la nube de AWS. Incluye enlaces a CloudFormation plantillas de [AWS](https://aws.amazon.com/cloudformation/) que lanzan, configuran y ejecutan los servicios de cómputo, red, almacenamiento y otros servicios de AWS necesarios para implementar esta solución en AWS, utilizando las prácticas recomendadas de AWS en materia de seguridad y disponibilidad.
La guía está destinada a arquitectos, administradores y DevOps profesionales de infraestructuras de TI con experiencia práctica en la arquitectura en la nube de AWS.
# Características y ventajas
La respuesta de seguridad automatizada de AWS ofrece las siguientes funciones:
**Corrija automáticamente los hallazgos relacionados con controles específicos**
Configure la solución para corregir automáticamente los hallazgos de controles específicos modificando la tabla de DynamoDB de configuración de remediación implementada en la cuenta de administrador.
**Gestione las correcciones en varias cuentas y regiones desde una sola ubicación**
Desde una cuenta de administrador de AWS Security Hub que esté configurada como destino de agregación para las cuentas y regiones de su organización, inicie una reparación en caso de que se encuentre en cualquier cuenta o región en la que se haya implementado la solución.
**Reciba notificaciones sobre las medidas correctivas y los resultados**
Suscríbase al tema Amazon SNS implementado por la solución para recibir notificaciones cuando se inicien las correcciones y si la remediación se realizó correctamente o no.
**Utilice la interfaz de usuario web para iniciar, ver y gestionar las correcciones**
Tendrá la opción de habilitar la interfaz de usuario web de la solución al implementar la pila de administración, lo que le proporcionará una vista completa y fácil de usar para ejecutar las correcciones y ver todas las correcciones anteriores realizadas por la solución.
**Intégrelo con sistemas de tickets como Jira o ServiceNow**
Para ayudar a su organización a reaccionar ante las medidas correctivas (por ejemplo, actualizar el código de infraestructura), esta solución puede transferir los tickets a su sistema de emisión de tickets externo.
**Utilice AWSConfig remediaciones en las particiones GovCloud y China**
Algunas de las correcciones incluidas en la solución son repaquetes de documentos de AWSConfig remediación propiedad de AWS que están disponibles en la partición comercial, pero no en China. GovCloud Implemente esta solución para utilizar estos documentos en esas particiones.
**Amplíe la solución con soluciones personalizadas e implementaciones de Playbook**
La solución está diseñada para ser ampliable y personalizable. Para especificar una implementación de remediación alternativa, implemente documentos de automatización de AWS Systems Manager personalizados y funciones de IAM de AWS. Para admitir un conjunto de controles completamente nuevo que la solución no implementa, implemente un manual personalizado.
# Casos de uso
**Haga cumplir una norma en todas las cuentas y regiones de su organización**
Implemente el manual de un estándar (por ejemplo, AWS Foundational Security Best Practices) para poder utilizar las soluciones proporcionadas. Inicie de forma automática o manual las correcciones de los recursos de cualquier cuenta o región en la que se implemente la solución para corregir los recursos que no cumplan con las normas.
**Implemente soluciones personalizadas o manuales de estrategia para satisfacer las necesidades de cumplimiento de su organización**
Usa los componentes de Orchestrator proporcionados como marco. Cree soluciones personalizadas para abordar out-of-compliance los recursos de acuerdo con las necesidades específicas de su organización.
# Conceptos y definiciones
En esta sección se describen los conceptos clave y se define la terminología específica de esta solución:
**remediación, manual de remediación**
Implementación de un conjunto de pasos que resuelve un hallazgo. Por ejemplo, una solución para el control Security Control (SC) Lambda.1 «Las políticas de funciones Lambda deberían prohibir el acceso público» modificaría la política de la función Lambda de AWS correspondiente para eliminar las declaraciones que permiten el acceso público.
**manual de control**
Forma parte de un conjunto de documentos de automatización de AWS Systems Manager (SSM) que el orquestador utiliza para dirigir una corrección iniciada para un control específico al manual de ejecución de correcciones correcto. Por ejemplo, las correcciones de SC Lambda.1 y AWS Foundational Security Best Practices (FSBP) Lambda.1 se implementan con el mismo manual de correcciones. El Orchestrator invoca el manual de control de cada control, que se denominan ASR-AFSBP\$1Lambda.1 y ASR-SC\$12.0.0\$1Lambda.1, respectivamente. Cada manual de control invoca el mismo manual de correcciones, que en este caso sería ASR-. RemoveLambdaPublicAccess
**orquestador**
Las Step Functions implementadas por la solución, que toman como entrada un objeto de búsqueda de AWS Security Hub e invocan el manual de control correcto en la cuenta y la región de destino. El orquestador también notifica al tema de SNS de la solución cuando se inicia la remediación y si la remediación se realiza correctamente o no.
**estándar**
Un grupo de controles definido por una organización como parte de un marco de cumplimiento. Por ejemplo, uno de los estándares compatibles con AWS Security Hub y esta solución es AWS FSBP.
**control**
Una descripción de las propiedades que un recurso debe o no debe tener para cumplir con las normas. Por ejemplo, el control AWS FSBP Lambda.1 establece que AWS Lambda Functions debe prohibir el acceso público. Una función que permita el acceso público no superaría este control.
**resultados de control consolidados, control de seguridad, vista de controles de seguridad**
Una función de AWS Security Hub que, cuando se activa, muestra los hallazgos con su control consolidado IDs en lugar de IDs que correspondan a un estándar en particular. Por ejemplo, los controles AWS FSBP S3.2, CIS v1.2.0 2.3, CIS v1.4.0 2.1.5.2 y PCI-DSS v3.2.1 S3.1 se asignan al control consolidado (SC) S3.2 «Los buckets S3 deben prohibir el acceso de lectura público». Cuando esta función está activada, se utilizan los manuales de instrucciones de SC.
**[Interfaz de usuario web de la solución] administrador delegado**
En el contexto de la interfaz de usuario web de la solución, un administrador delegado es un usuario que ha sido invitado por el administrador y que tiene acceso total para ejecutar las correcciones y ver el historial de las mismas. Este usuario también puede ver y administrar otros usuarios del operador de la cuenta.
**[Solution Web UI] operador de cuentas**
En el contexto de la interfaz de usuario web de la solución, un operador de cuenta es un usuario invitado por un administrador o un administrador delegado para acceder a la interfaz de usuario web de la solución. Este usuario está asociado a una lista de identificadores de cuentas de AWS incluidos en su invitación; solo puede ejecutar las correcciones y ver el historial de correcciones en lo que respecta a los recursos de estas cuentas.
Para obtener una referencia general de los términos de AWS, consulte el [glosario de AWS](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html).