

# Detección
<a name="a-detective-controls"></a>

**Topics**
+ [SEC 4 ¿Cómo detecta e investiga los eventos de seguridad?](w2aac19b7b9b5.md)

# SEC 4 ¿Cómo detecta e investiga los eventos de seguridad?
<a name="w2aac19b7b9b5"></a>

Capte y analice eventos de registros y métricas para obtener visibilidad. Tome medidas sobre eventos de seguridad y posibles amenazas para ayudar a proteger su carga de trabajo.

**Topics**
+ [SEC04-BP01 Configurar el registro de servicios y aplicaciones](sec_detect_investigate_events_app_service_logging.md)
+ [SEC04-BP02 Análisis centralizados de registros, hallazgos y métricas](sec_detect_investigate_events_analyze_all.md)
+ [SEC04-BP03 Automatizar la respuesta a eventos](sec_detect_investigate_events_auto_response.md)
+ [SEC04-BP04 Implementar eventos de seguridad procesables](sec_detect_investigate_events_actionable_events.md)

# SEC04-BP01 Configurar el registro de servicios y aplicaciones
<a name="sec_detect_investigate_events_app_service_logging"></a>

 Configure la creación de registros a lo largo de la carga de trabajo, que incluye los registros de aplicaciones, los registros de recursos y los registros de servicios de AWS. Por ejemplo, asegúrese de que AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty y AWS Security Hub CSPM estén activados para todas las cuentas de su organización. 

Una práctica fundamental consiste en establecer un conjunto de mecanismos de detección en el nivel de cuenta. Este conjunto base de mecanismos está pensado para registrar y detectar una amplia gama de acciones en todos los recursos de su cuenta. Le permiten conformar una capacidad de detección completa con opciones que incluyen la corrección automática e integraciones con socios para incorporar funcionalidades.

Entre los servicios de AWS que pueden implementar este conjunto básico se incluyen:
+ [AWS CloudTrail](http://aws.amazon.com/cloudtrail) proporciona un historial de eventos de su actividad de cuenta de AWS, incluidas las acciones emprendidas mediante la Consola de administración de AWS, los SDK de AWS, las herramientas de línea de comandos y otros servicios de AWS.
+ [AWS Config](http://aws.amazon.com/config) supervisa y registra las configuraciones de sus recursos de AWS y le permite automatizar la evaluación y la corrección con respecto a las configuraciones deseadas.
+ [Amazon GuardDuty](http://aws.amazon.com/guardduty) es un servicio de detección de amenazas que supervisa sin descanso cualquier actividad malintencionada o comportamiento no autorizado para proteger sus cargas de trabajo y sus cuentas de AWS.
+ [AWS Security Hub CSPM](http://aws.amazon.com/security-hub) proporciona un único lugar en el que se incorporan, organizan y priorizan las alertas de seguridad, o los hallazgos, desde varios servicios de AWS y productos de terceros opcionales para ofrecerle una vista completa de las alertas de seguridad y los estados de conformidad.

Partiendo de la base en el nivel de cuenta, muchos servicios principales de AWS, como [Amazon Virtual Private Cloud Console (Amazon VPC)](http://aws.amazon.com/vpc), ofrecen características de registro en el nivel de servicio. [Los registros de flujo de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) le permiten captar información sobre el tráfico de IP que proviene y llega a las interfaces de red que ofrecen información valiosa sobre el historial de conectividad y desencadenan acciones automatizadas sobre la base de comportamientos anómalos.

En el caso de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y el registro basado en aplicaciones que no se origina en servicios de AWS, los registros se pueden almacenar y analizar con [Amazon CloudWatch Logs](http://aws.amazon.com/cloudwatch). Una [agente](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html) recopila los registros del sistema operativo y las aplicaciones que están en ejecución y los almacena automáticamente. Una vez que los registros están disponibles en CloudWatch Logs, puede [procesarlos en tiempo real](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Subscriptions.html)o profundizar en su análisis con [CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html).

Poder extraer información significativa de grandes volúmenes de datos de eventos y registros generados por arquitecturas complejas es igual de importante que recopilar y agregar registros. Consulte las *Supervisión* del [documento técnico Pilar de fiabilidad](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/monitor-workload-resources.html) para obtener más detalles. Los registros en sí pueden contener datos considerados confidenciales, ya sea cuando llegan por error datos de aplicación a los archivos de registro que está capturando el agente de CloudWatch Logs o cuando está configurado el registro entre regiones para agregar registros y existen cuestiones legislativas sobre el traslado transfronterizo de ciertos tipos de información.

Un enfoque consiste en usar las funciones de AWS Lambda, desencadenadas en eventos en los que se entregan los registros, para filtrar y ocultar datos de los registros antes de enviarlos a una ubicación de registros central, como un bucket de Amazon Simple Storage Service (Amazon S3). Los registros íntegros pueden conservarse en un bucket local hasta que haya transcurrido un tiempo razonable (según lo determine la legislación y su equipo jurídico), en cuyo momento una regla de ciclo de vida de Amazon S3 podrá eliminarlos automáticamente. Los registros pueden protegerse aún más en Amazon S3 utilizando [Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html), donde puede almacenar objetos utilizando el modelo «escribe una vez, lee muchas veces» (WORM).

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Active el registro de servicios de AWS: active el registro de servicios de AWS para cumplir sus requisitos. Entre las capacidades de registro se incluyen las siguientes: registros de flujo de Amazon VPC, registros de Elastic Load Balancing (ELB), registros de buckets de Amazon S3, registros de acceso de CloudFront, registros de consultas de Amazon Route 53 y registros de Amazon Relational Database Service (Amazon RDS). 
  +  [AWS Answers: capacidades de creación de registros de seguridad de AWS nativas ](https://aws.amazon.com/answers/logging/aws-native-security-logging-capabilities/)
+  Evalúe y habilite la creación de registros específicos de aplicaciones y sistemas operativos para detectar comportamientos sospechosos. 
  + [ Introducción a CloudWatch Logs ](http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
  + [ Herramientas para desarrolladores y análisis de registros ](https://aws.amazon.com/marketplace/search/results?category=4988009011)
+  Aplique controles apropiados a los registros: los registros pueden contener información confidencial y solo los usuarios autorizados deben tener acceso a ellos. Considere la posibilidad de restringir los permisos de los buckets de Amazon S3 y los grupos de registros de CloudWatch Logs. 
  + [ Autenticación y control de accesos para Amazon CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)
  +  [Administración de identidades y accesos en Amazon S3 ](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
+  Configure [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): Cuentas de AWS es un servicio de detección de amenazas que busca continuamente cualquier actividad malintencionada o comportamiento no autorizado para proteger sus GuardDuty y sus cargas de trabajo. Active GuardDuty y configure alertas automatizadas para enviar por correo electrónico en el laboratorio. 
+  [Configure un registro de seguimiento personalizado en CloudTrail](http://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html): configurar un registro de seguimiento le permite almacenar registros durante un periodo de tiempo superior al predeterminado y analizarlos más tarde. 
+  Habilite [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html): AWS Config ofrece una vista detallada de la configuración de los recursos de AWS en su Cuenta de AWS. Esta vista incluye la manera en la que los recursos se relacionan entre sí y cuál era su configuración anterior, para que pueda ver los cambios en las configuraciones y relaciones con el transcurso del tiempo. 
+  Habilite [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html): Security Hub CSPM le proporciona una vista completa de su estado de seguridad en AWS y le ayuda a comprobar su cumplimiento de los estándares sectoriales y prácticas recomendadas en cuanto a seguridad. Security Hub CSPM recopila sus datos de seguridad de varias Cuentas de AWS, servicios y productos de terceros asociados compatibles y le ayuda a analizar sus tendencias de seguridad y a identificar los problemas de seguridad de máxima prioridad. 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Introducción: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Soluciones de socios de seguridad: registro y monitorización](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Vídeos relacionados:** 
+ [ Supervisión centralizada de la configuración de recursos y el cumplimiento ](https://youtu.be/kErRv4YB_T4)
+  [Corrección de los hallazgos de Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Administración de amenazas en la nube: Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)

 **Ejemplos relacionados:** 
+ [ Laboratorio: despliegue automatizado de controles de detección ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)

# SEC04-BP02 Análisis centralizados de registros, hallazgos y métricas
<a name="sec_detect_investigate_events_analyze_all"></a>

 Los equipos de operaciones de seguridad confían en la recopilación de registros y el uso de herramientas de búsqueda para descubrir posibles eventos de interés, que podrían indicar una actividad no autorizada o un cambio no intencionado. Sin embargo, solo con analizar los datos recopilados y procesar manualmente la información no basta para satisfacer el volumen de información procedente de arquitecturas complejas. Solo con los análisis y los informes no se facilita la asignación de los recursos adecuados para trabajar en un evento a tiempo. 

Una práctica recomendada para crear un equipo de operaciones de seguridad eficaz es integrar en profundidad el flujo de hallazgos y eventos de seguridad en un sistema de flujo de trabajo y notificación, como un sistema de emisión de tiques, un sistema de errores o problemas u otro sistema de administración de eventos e información de seguridad (SIEM, por sus siglas en inglés). De esta forma, se saca el flujo de trabajo de informes estáticos y de correo electrónico, y le permite enrutar, escalar y administrar eventos o hallazgos. Numerosas organizaciones ya integran también alertas de seguridad en sus plataformas de productividad de desarrolladores, de colaboración o de chats. Para las organizaciones que estén comenzando a incorporar la automatización, un sistema de tickets de baja latencia basado en API ofrece una flexibilidad considerable al planificar qué automatizar primero.

Esta práctica recomendada no se aplica solo a los eventos de seguridad generados a partir de mensajes de registro que muestran eventos de red o actividad del usuario, sino también a partir de cambios detectados en la propia infraestructura. La capacidad de detectar cambios, determinar su conveniencia y luego enrutar esa información al flujo de trabajo de corrección adecuado resulta esencial para mantener y validar una arquitectura segura en el contexto de los cambios en los que la naturaleza de su indeseabilidad es lo suficientemente sutil como para que su ejecución no pueda evitarse actualmente con una combinación de configuraciones de AWS Identity and Access Management (IAM) y AWS Organizations.

Amazon GuardDuty y AWS Security Hub CSPM ofrecen mecanismos de agregación, desduplicación y análisis para los registros que también están disponibles mediante otros servicios de AWS. GuardDuty ingiere, agrega y analiza información de fuentes como eventos de administración y datos de AWS CloudTrail, registros DNS de VPC y registros de flujo de VPC. Security Hub CSPM puede ingerir, agregar y analizar los resultados de GuardDuty, AWS Config, Amazon Inspector, Amazon Macie y AWS Firewall Manager, y un número significativo de productos de seguridad de terceros disponibles en AWS Marketplace y, si está convenientemente compilado, su propio código. Tanto GuardDuty como Security Hub CSPM tienen un modelo de administrador-miembro que puede combinar los hallazgos y los conocimientos de varias cuentas, los clientes con un SIEM local suelen utilizar Security Hub CSPM como registro del lado de AWS y un preprocesador y agregador de alertas a partir del que pueden ingerir Amazon EventBridge mediante un procesador y reenviador basado en AWS Lambda.

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Alto 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Evaluar las capacidades de procesamiento de registros: evalúe de las opciones disponibles para procesar registros. 
  +  [Usar Amazon OpenSearch Service para registrar y supervisar (casi) todo ](https://d1.awsstatic.com/whitepapers/whitepaper-use-amazon-elasticsearch-to-log-and-monitor-almost-everything.pdf)
  +  [Búsqueda de un socio especializado en soluciones de registro y monitoreo ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)
+  Como punto de partida para el análisis de registros de CloudTrail, pruebe con Amazon Athena. 
  + [ Configuración de Athena para analizar registros de CloudTrail ](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html)
+  Implementar el registro centralizado en AWS: consulte la siguiente solución de ejemplo de AWS para centralizar el registro procedente de varias fuentes. 
  +  [Solución de centralización de registros ](https://aws.amazon.com/solutions/centralized-logging/https://aws.amazon.com/solutions/centralized-logging/)
+  Implementar el registro centralizado con un socio: los socios de APN tienen soluciones que le ayudarán a analizar los registros de forma centralizada. 
  + [ Registro y supervisión ](https://aws.amazon.com/security/partner-solutions/#Logging_and_Monitoring)

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [ Soluciones de AWS: registro centralizado ](https://aws.amazon.com/answers/logging/centralized-logging/)
+  [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Introducción: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Soluciones de socios de seguridad: registro y monitorización](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Vídeos relacionados:** 
+ [ Supervisión centralizada de la configuración de recursos y el cumplimiento ](https://youtu.be/kErRv4YB_T4)
+  [Corrección de los hallazgos de Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Administración de amenazas en la nube: Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)

# SEC04-BP03 Automatizar la respuesta a eventos
<a name="sec_detect_investigate_events_auto_response"></a>

 El uso de la automatización para investigar y corregir eventos reduce el esfuerzo y los posibles errores humanos, y le permite escalar sus capacidades de investigación. Las revisiones frecuentes le ayudarán a ajustar sus herramientas de automatización y a aplicar iteraciones continuas. 

En AWS, la investigación de eventos de interés y la información sobre cambios potencialmente inesperados en un flujo de trabajo automatizado se pueden lograr con Amazon EventBridge. Este servicio ofrece un motor de reglas escalable diseñado para gestionar tanto formatos de eventos nativos de AWS (p. ej., eventos de AWS CloudTrail) como eventos personalizados que puede generar a partir de su aplicación. Amazon GuardDuty también le permite enrutar eventos a un sistema de flujo de trabajo para esos sistemas de respuesta a incidentes de creación (AWS Step Functions) o a una cuenta de seguridad centralizada, o a un bucket para seguir analizándolos.

La detección de cambios y el enrutamiento de esta información al flujo de trabajo correcto también se puede llevar a cabo utilizando Reglas de AWS Config y [paquetes de conformidad](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). AWS Config detecta cambios en los servicios del ámbito (aunque con una mayor latencia que EventBridge) y genera eventos que se pueden analizar con Reglas de AWS Config para restaurar, aplicar la política de conformidad y reenviar información a sistemas, como plataformas de administración de cambios y sistemas de emisión de tiques operativos. Además de escribir sus propias funciones de Lambda para responder a eventos de AWS Config, puede utilizar el [kit de desarrollo de Reglas de AWS Config](https://github.com/awslabs/aws-config-rdk)y una [biblioteca de código abierto](https://github.com/awslabs/aws-config-rules) Reglas de AWS Config. Los paquetes de conformidad son una colección de Reglas de AWS Config y acciones de corrección que se despliegan como una entidad única elaborada como una plantilla YAML. A [plantilla de paquete de conformidad de ejemplo](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) está disponible para el pilar de seguridad del modelo Well-Architected.

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Mediana 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Implementar alertas automatizadas con GuardDuty: GuardDuty es un servicio de detección de amenazas que supervisa sin descanso cualquier actividad malintencionada o comportamiento no autorizado para proteger sus cargas de trabajo y sus Cuentas de AWS. Active GuardDuty y configure alertas automatizadas. 
+  Automatizar los procesos de investigación: desarrolle procesos automatizados que investiguen un evento y envíen la información a un administrador para ganar tiempo. 
  + [ Laboratorio: experiencia práctica con Amazon GuardDuty ](https://hands-on-guardduty.awssecworkshops.com/)

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [ Soluciones de AWS: registro centralizado ](https://aws.amazon.com/answers/logging/centralized-logging/)
+  [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+ [ Introducción: Amazon CloudWatch Logs ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_GettingStarted.html)
+  [Soluciones de socios de seguridad: registro y monitorización](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 
+ [ Configuración de Amazon GuardDuty ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html)

 **Vídeos relacionados:** 
+ [ Supervisión centralizada de la configuración de recursos y el cumplimiento ](https://youtu.be/kErRv4YB_T4)
+  [Corrección de los hallazgos de Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/nyh4imv8zuk)
+ [ Administración de amenazas en la nube: Amazon GuardDuty y AWS Security Hub CSPM](https://youtu.be/vhYsm5gq9jE)

 **Ejemplos relacionados:** 
+  [Laboratorio: Despliegue automatizado de controles de detección ](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_Detective_Controls/README.html)

# SEC04-BP04 Implementar eventos de seguridad procesables
<a name="sec_detect_investigate_events_actionable_events"></a>

 Cree alertas que se envíen a su equipo y que este pueda actuar sobre ellas. Asegúrese de que las alertas incluyen información relevante para que el equipo pueda actuar. Para cada mecanismo de detección que tenga, también debería tener un proceso, en forma de [runbook](https://wa.aws.amazon.com/wat.concept.runbook.en.html) o bien [manual](https://wa.aws.amazon.com/wat.concept.playbook.en.html), para realizar la investigación. Por ejemplo, cuando se activa [Amazon GuardDuty](http://aws.amazon.com/guardduty), se generan diferentes [resultados](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html). Debe tener una entrada de runbook para cada tipo de resultado, por ejemplo, si se detecta un [troyano](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_trojan.html) , su runbook tiene instrucciones simples que indican a alguien que debe investigarlo y solucionarlo. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** Bajo 

## Guía para la implementación
<a name="implementation-guidance"></a>
+  Descubra las métricas disponibles para los servicios de AWS: descubra las métricas disponibles a través de Amazon CloudWatch para los servicios que está utilizando. 
  +  [Documentación de servicio de AWS](https://aws.amazon.com/documentation/) 
  +  [Uso de métricas de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) 
+  Configure las alarmas de Amazon CloudWatch. 
  +  [Uso de alarmas de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) 

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+ [ Amazon CloudWatch ](https://aws.amazon.com/cloudwatch/)
+  [Amazon EventBridge ](https://aws.amazon.com/eventbridge)
+  [Soluciones de socios de seguridad: registro y monitorización](https://aws.amazon.com/security/partner-solutions/#logging-monitoring) 

 **Vídeos relacionados:** 
+ [ Centrally Monitoring Resource Configuration and Compliance (Supervisión centralizada de la configuración de recursos y el cumplimiento) ](https://youtu.be/kErRv4YB_T4)
+  [Remediating Amazon GuardDuty and AWS Security Hub CSPM Findings (Corrección de los resultados de Amazon GuardDuty y AWS Security Hub CSPM) ](https://youtu.be/nyh4imv8zuk)
+ [ Threat management in the cloud: Amazon GuardDuty and AWS Security Hub CSPM (Administración de amenazas en la nube: Amazon GuardDuty y AWS Security Hub CSPM) ](https://youtu.be/vhYsm5gq9jE)