# Contención Respuesta ante incidentes de seguridad de AWS colabora para contener los eventos. Puede configurar el servicio para que adopte acciones de contención proactivas en la cuenta en respuesta a resultados de seguridad. También es posible realizar acciones de contención directamente o en colaboración con terceros mediante el uso de los [documentos de SSM](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-runbook-reference.html) descritos en [Acciones de contención admitidas](https://docs.aws.amazon.com/security-ir/latest/userguide/supported-containment-actions.html). **importante** Respuesta ante incidentes de seguridad de AWS no habilita las capacidades de contención de forma predeterminada. Se requieren dos pasos para habilitar las capacidades de contención proactiva: **Otorgar los permisos necesarios** al servicio mediante roles de IAM. Estos roles se pueden crear de forma individual por cuenta o en toda la organización mediante conjuntos de pilas de AWS CloudFormation, que generan los roles requeridos. **Definir las preferencias de contención** por cuenta o a nivel de organización para autorizar acciones de contención proactivas. Las preferencias a nivel de cuenta prevalecen sobre las preferencias a nivel de organización. Esto se puede realizar mediante la creación de un caso de AWS Support (Técnico: Respuesta ante incidentes de seguridad/Otro). Las preferencias de contención disponibles son: **Aprobación requerida (valor predeterminado)**: no realizar contención proactiva de ningún recurso sin autorización explícita caso por caso. **Contener recurso confirmado como comprometido**: realizar contención proactiva de un recurso confirmado como comprometido. **Contener recurso con compromiso presunto**: realizar contención proactiva de un recurso con alta probabilidad de haber sido comprometido, según el análisis realizado por el equipo de Ingeniería de Respuesta ante incidentes de seguridad de AWS.