# 9. Implemente una estrategia de seguridad para registrar, probar y responder a eventos de seguridad
**¿Tiene un plan de seguridad estratégico respaldado por la metodología correcta de registro, prueba y respuesta documentada?** Tener un plan de seguridad estratégico ayuda a dar forma a las tareas proactivas y reactivas que se deben realizar para garantizar que todos los desafíos de seguridad se cumplan con éxito. Los procesos de registro, detección y protección adicional para ayudar a identificar y solucionar los incidentes de seguridad en cargas de trabajo de SAP on AWS son idénticos a los que se detallan en el pilar de seguridad de Well-Architected Framework. Revise las prácticas recomendadas que se encuentran en el pilar de seguridad que abarcan la detección de incidentes y las respuestas ante ellos y complemente con la guía que se presenta en esta sección.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/design-principle-9.html)
+ Well-Architected Framework [seguridad]: [Detección](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
+ Well-Architected Framework [seguridad]: [Respuesta a incidentes](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html)
# Práctica recomendada 9.1: comprenda su estrategia de análisis de los registros de seguridad de la base de datos y de las aplicaciones SAP
Si los registros de seguridad no se mantienen en los niveles adecuados de granularidad, se pueden perder los datos vitales necesarios para la respuesta ante incidentes, el análisis de seguridad forense y el moldeado de amenazas. El personal de seguridad de SAP debe poder evaluar los posibles incidentes de seguridad que afectan a los sistemas SAP que cumplen con los requisitos de seguridad de su empresa. En el caso de las cargas de trabajo de SAP que se ejecutan en AWS, los servicios de AWS descritos en el pilar de seguridad de Well-Architected Framework son un punto de inicio útil junto con las siguientes sugerencias.
+ Well-Architected Framework [seguridad]: [Detección: configuración](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/configure.html)
**Sugerencia 9.1.1: determine qué registros se requieren para detectar eventos de seguridad**
En el caso de software individuales de SAP y bases de datos compatibles, consulte SAP NetWeaver Guide Finder y la guía de seguridad de SAP NetWeaver para descubrir qué registros pueden ser aplicables (por ejemplo, [registros de acceso de lectura](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/631dfbf00a604784b69fc30570bfb69d.html) ). Le recomendamos también revisar la guía de SAP [sobre registros de seguridad](https://help.sap.com/viewer/1a93b7a44ac146b5ad9b6fd95c1223cc/LATEST/en-US/182e167819f6405792686e94c177b9eb.html) y los temas relacionados con las prácticas recomendadas para sus actividades de desarrollo.
+ Documentación de SAP: [SAP NetWeaver Guide Finder](https://help.sap.com/viewer/nwguidefinder)
+ Documentación de SAP: [ABAP Platform Security Guide](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4aaf6fd65e233893e10000000a42189c.html)
+ Documentación de SAP: [Security Logging (Registro de seguridad)](https://help.sap.com/viewer/1a93b7a44ac146b5ad9b6fd95c1223cc/LATEST/en-US/182e167819f6405792686e94c177b9eb.html)
**Sugerencia 9.1.2: desarrolle mecanismos para almacenar y analizar registros**
Es necesario tener datos relevantes sobre posibles eventos de seguridad para cualquier instalación segura de SAP, pero es igualmente importante almacenar esos datos de forma segura y tener las herramientas necesarias para buscar y analizar los datos de manera eficiente y oportuna. Una posible opción dentro de AWS es utilizar [CloudWatch Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/monitoring-cloudwatch-agent.html) para almacenar registros de instancias y de aplicaciones SAP con contenido pertinente para la seguridad en un [grupo de registro de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) . Dichos registros también podrían [exportarse a Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) para llevar a cabo un análisis integral de registros y para integrarlos con [soluciones de análisis de registros de terceros](https://aws.amazon.com/marketplace/solutions/control-tower/siem) .
Consulte los siguientes materiales si necesita asistencia para ensamblar, combinar y analizar sus registros de seguridad de SAP on AWS:
+ SAP Lens [seguridad]: [Sugerencia 7.4.4: consolide los eventos de usuarios y de autorización en un sistema de SIEM para su análisis](best-practice-7-4.md)
+ Blog de SAP on AWS: [SAP HANA monitoring: A serverless approach using Amazon CloudWatch (Supervisión de SAP HANA: un enfoque sin servidor que utiliza Amazon CloudWatch)](https://aws.amazon.com/blogs/awsforsap/sap-hana-monitoring-a-serverless-approach-using-amazon-cloudwatch/)
+ Blog de SAP on AWS: [SAP Monitoring: A serverless approach using Amazon CloudWatch (Supervisión de SAP: un enfoque sin servidor que utiliza Amazon CloudWatch)](https://aws.amazon.com/blogs/awsforsap/sap-monitoring-a-serverless-approach-using-amazon-cloudwatch/)
# Práctica recomendada 9.2: realice pruebas periódicas para detectar errores de seguridad
Tal como se describe en las secciones de respuesta a incidentes del pilar de seguridad de Well-Architected Framework sobre simulaciones, confección de manuales de procedimientos y organización de simulaciones de fallos, se recomienda realizar todas estas acciones con todas las cargas de trabajo, incluidas las de SAP on AWS. Este tipo de pruebas periódicas puede identificar nuevos vectores de ataque y vulnerabilidades, así como preparar sus recursos de seguridad de SAP para una respuesta rápida y efectiva en caso de que se produzca un incidente de seguridad.
Well-Architected Framework [seguridad]: [Respuesta ante incidentes: simulación](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/simulate.html)
**Sugerencia 9.2.1: incluya aplicaciones SAP dentro de sus blancos y realice pruebas estándar de seguridad y penetración**
Las pruebas de seguridad son una parte importante del mantenimiento de un entorno seguro. Además de realizar pruebas de penetración estándar en AWS, asegúrese de incluir a su solución de SAP dentro de los posibles blancos de una actividad maliciosa. Tenga en cuenta las soluciones de software específicas de SAP que a menudo se exponen públicamente en su arquitectura, como SAProuter, Web Dispatcher, Cloud Connector y SAP Fiori.
+ Documentación de AWS: [Pruebas de penetración](https://aws.amazon.com/security/penetration-testing/)
# Práctica recomendada 9.3: tenga un plan documentado para responder ante eventos de seguridad
Sin un plan documentado para tratar un evento de seguridad que involucre sus aplicaciones SAP, la respuesta del equipo de seguridad puede demorarse o ser menos integral y efectiva tanto para mitigar el evento como para comprender su causa. Documente detalladamente los patrones de respuesta de seguridad para sus aplicaciones SAP.
**Sugerencia 9.3.1: prepárese para los eventos de seguridad con la ayuda de un plan de supervisión de incidentes consignado por escrito**
Esto está directamente relacionado con la guía del pilar de seguridad de AWS Well-Architected Framework sobre la preparación de respuesta a incidentes. Consulte esta documentación y asegúrese de incluir sus aplicaciones SAP:
+ Well-Architected Framework [seguridad]: [Respuesta ante incidentes: preparación](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/prepare.html)