# Registro de llamadas a la API de Respuesta ante incidentes de seguridad de AWS mediante AWS CloudTrail
Respuesta a incidentes de seguridad de AWS se integra con AWS CloudTrail, un servicio que proporciona un registro de las acciones que lleva a cabo un usuario, un rol o un servicio de AWS en Respuesta ante incidentes de seguridad. CloudTrail captura todas las llamadas a la API de Respuesta ante incidentes de seguridad como eventos. Las llamadas capturadas incluyen las llamadas desde la consola de Respuesta a incidentes de seguridad y las llamadas desde el código a las operaciones de la API de Respuesta ante incidentes de seguridad. Si crea un registro de seguimiento, puede habilitar la entrega continua de eventos de CloudTrail en un bucket de Amazon S3, incluidos los eventos de Respuesta ante incidentes de seguridad. Si no configura un registro de seguimiento, puede ver los eventos más recientes en la consola de CloudTrail en el **Historial de eventos**. Mediante la información que recopila CloudTrail, puede determinar la solicitud que se hizo a Respuesta ante incidentes de seguridad, la dirección IP desde la que se hizo dicha solicitud, quién la hizo y cuándo, además de información adicional.
Para obtener más información sobre CloudTrail, consulte la [Guía del usuario de AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
# Información de Respuesta ante incidentes de seguridad en CloudTrail
CloudTrail se habilita en su Cuenta de AWS cuando se crea la cuenta. Cuando se produce una actividad en Respuesta ante incidentes de seguridad, dicha actividad se registra en un evento de CloudTrail junto con eventos de otros servicios de AWS en **Historial de eventos**. Puede ver, buscar y descargar eventos recientes en su Cuenta de AWS. Para más información, consulte [Visualización de eventos con el historial de eventos de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para mantener un registro permanente de los eventos en su Cuenta de AWS más allá de los 90 días, cree un registro de seguimiento o un almacén de datos de eventos de [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**Registros de seguimiento de CloudTrail**
Un *registro de seguimiento* permite a CloudTrail enviar archivos de registro a un bucket de Amazon S3. Todos los registros de seguimiento que cree con la Consola de administración de AWS son multirregionales. Puede crear un registro de seguimiento de una sola región o multirregionales mediante la AWS CLI. Se recomienda crear un registro de seguimiento multirregional, ya que registra actividad en todas las Regiones de AWS de su cuenta. Si crea un registro de seguimiento de una sola región, solo podrá ver los eventos registrados en la Región de AWS del registro de seguimiento. Para obtener más información acerca de los registros de seguimiento, consulte [Creación de un registro de seguimiento para su Cuenta de AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) y [Creación de un registro de seguimiento para una organización](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) en la *Guía del usuario de AWS CloudTrail*.
Puede crear un registro de seguimiento para enviar una copia de los eventos de administración en curso en su bucket de Amazon S3 sin costo alguno desde CloudTrail; sin embargo, hay cargos por almacenamiento en Amazon S3. Para obtener más información sobre los precios de CloudTrail, consulte [Precios de AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/). Para obtener información acerca de los precios de Amazon S3, consulte [Precios de Amazon S3](https://aws.amazon.com/s3/pricing/).
**Almacenes de datos de eventos de CloudTrail Lake**
*CloudTrail Lake* le permite ejecutar consultas basadas en SQL sobre los eventos. CloudTrail Lake convierte los eventos existentes en formato JSON basado en filas al formato [ORC de Apache](https://orc.apache.org/). ORC es un formato de almacenamiento en columnas optimizado para una recuperación rápida de datos. Los eventos se agregan en *almacenes de datos de eventos*, que son recopilaciones inmutables de eventos en función de criterios que se seleccionan aplicando [selectores de eventos avanzados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). Los selectores que se aplican a un almacén de datos de eventos controlan los eventos que perduran y están disponibles para la consulta. Para obtener más información acerca de CloudTrail Lake, consulte [Trabajar con AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) en la *Guía del usuario de AWS CloudTrail*.
Los almacenes de datos de eventos de CloudTrail Lake y las consultas generan costos adicionales. Cuando crea un almacén de datos de eventos, debe elegir la [opción de precios](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) que desee utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el período de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información sobre los precios de CloudTrail, consulte [Precios de AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
Todas las acciones de Respuesta ante incidentes de seguridad las registra CloudTrail y se documentan en la [referencia de la API de Respuesta ante incidentes de seguridad de AWS](https://docs.aws.amazon.com/security-ir/latest/APIReference/). Por ejemplo, las llamadas a las acciones `CreateMembership`, `CreateCase` y `UpdateCase` generan entradas en los archivos de registros de CloudTrail.
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con credenciales de usuario de AWS Identity and Access Management (IAM) o credenciales de usuario raíz.
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro servicio de AWS.
Para obtener más información, consulte [Elemento userIdentity de CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
# Descripción de las entradas de los archivos de registro de Respuesta ante incidentes de seguridad
Un registro de seguimiento es una configuración que permite la entrega de eventos como archivos de registros en un bucket de Amazon S3 que especifique. Los archivos de registro de CloudTrail pueden contener una o varias entradas de registro. Un evento representa una solicitud específica realizada desde un origen cualquiera, y contiene información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. Los archivos de registro de CloudTrail no rastrean el orden en la pila de las llamadas públicas a la API, por lo que estas no aparecen en ningún orden específico.
En el siguiente ejemplo, se muestra una entrada de registro de CloudTrail que ilustra la acción CreateCase.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA00000000000000000:user",
"arn": "arn:aws:sts::123412341234:assumed-role/Admin/user",
"accountId": "123412341234",
"accessKeyId": "****",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA00000000000000000",
"arn": "arn:aws:iam::123412341234:role/Admin",
"accountId": "123412341234",
"userName": "Admin"
},
"attributes": {
"creationDate": "2024-10-13T06:32:53Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-10-13T06:40:45Z",
"eventSource": "security-ir.amazonaws.com",
"eventName": "CreateCase",
"awsRegion": "us-east-1",
"sourceIPAddress": "1.2.3.4",
"userAgent": "aws-cli/2.17.23 md/awscrt#0.20.11 ua/2.0 os/macos#23.6.0 md/arch#x86_64 lang/python#3.11.9 md/pyimpl#CPython cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#security-ir.create-case",
"requestParameters": {
"impactedServices": [
"Amazon GuardDuty"
],
"impactedAccounts": [],
"clientToken": "testToken112345679",
"resolverType": "Self",
"description": "***",
"engagementType": "Investigation",
"watchers": [
{
"email": "***",
"name": "***",
"jobTitle": "***"
}
],
"membershipId": "m-r1abcdabcd",
"title": "***",
"impactedAwsRegions": [
{
"region": "ap-southeast-1"
}
],
"reportedIncidentStartDate": 1711553521,
"threatActorIpAddresses": [
{
"ipAddress": "***",
"userAgent": "browser"
}
]
},
"responseElements": {
"caseId": "0000000001"
},
"requestID": "2db4b08d-94a9-457a-9474-5892e6c8191f",
"eventID": "b3fa3990-db82-43be-b120-c81262cc2f19",
"readOnly": false,
"resources": [
{
"accountId": "123412341234",
"type": "AWS::SecurityResponder::Case",
"ARN": "arn:aws:security-ir:us-east-1:123412341234:case/*"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123412341234",
"eventCategory": "Management"
}
```