SEC10-BP06: Implementar previamente herramientas

Asegúrese de que se hayan implementado previamente las herramientas correctas en AWS para que el personal de seguridad pueda reducir el tiempo de investigación hasta la recuperación.

Con el fin de automatizar las funciones de operaciones e ingeniería de seguridad, puede utilizar un conjunto completo de API y herramientas de AWS. Puede automatizar totalmente las capacidades de administración de identidades, seguridad de red, protección de datos y supervisión, y ofrecerlas con métodos de desarrollo de software populares que ya tenga establecidos. Al crear procesos de automatización de seguridad, su sistema podrá supervisar, revisar e iniciar una respuesta en lugar de tener a empleados supervisando el nivel de seguridad y reaccionando manualmente ante eventos. Una forma eficaz de proporcionar automáticamente datos de registros que se pueden buscar y relevantes en los servicios de AWS a los equipos de intervención de incidentes es habilitar Amazon Detective.

Si los equipos de intervención de incidentes siguen respondiendo a alertas de la misma forma, corren el riesgo de sufrir fatiga causada por un número excesivo de alertas. Con el paso del tiempo, el equipo puede llegar a no reaccionar ante las alertas y puede incluso cometer errores durante la gestión de situaciones habituales o pasar por alto alertas inusuales. La automatización ayuda a evitar este problema mediante el uso de funciones que procesan alertas repetitivas y habituales, dejando a las personas que gestionen incidentes únicos y delicados. La integración de sistemas de detección de anomalías, como, por ejemplo, Amazon GuardDuty, AWS CloudTrail Insights y Amazon CloudWatch Anomaly Detection, puede reducir la carga de alertas comunes basadas en umbrales.

Puede mejorar los procesos manuales mediante la automatización en forma programática de los pasos del proceso. Después de definir el patrón de solución de un evento, puede descomponer dicho patrón en lógica procesable y escribir el código para llevar a cabo dicha lógica. A continuación, los equipos de intervención pueden ejecutar dicho código para solucionar el problema. Con el paso del tiempo, puede automatizar cada vez más pasos y, en última instancia, gestionar automáticamente todas las clases de incidentes comunes.

En el caso de las herramientas que se ejecutan en el sistema operativo de la instancia de Amazon Elastic Compute Cloud (Amazon EC2), debe realizar una evaluación con Run Command de AWS Systems Manager, lo que le permite administrar de forma remota y segura instancias con un agente que instale en el sistema operativo de la instancia de Amazon EC2. Requiere el uso de Systems Manager Agent (SSM Agent), que está instalado de forma predeterminada en numerosas imágenes de máquina de Amazon (AMI). No obstante, tenga en cuenta que una vez que una instancia se haya visto afectada, no se deben considerar fiables las respuestas de las herramientas o de los agentes que se ejecuten en ella.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: Bajo

Guía para la implementación

Implementar previamente las herramientas: asegúrese de que se hayan implementado previamente las herramientas correctas en AWS para que el personal de seguridad pueda dar una respuesta adecuada a un incidente.
Implementar el etiquetado de recursos: etiquete recursos con información, como un código para el recurso que se encuentra en proceso de investigación, para que pueda identificar recursos durante un incidente.
- Estrategias de etiquetado de AWS

Recursos

Documentos relacionados:

Guía de respuesta ante incidentes de AWS

Vídeos relacionados:

Guía autogestionada para runbooks, informes de incidentes y repuesta ante incidentes

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC10-BP05: Aprovisionamiento previo del acceso

SEC10-BP07 Ejecutar los días de juego