Características de Respuesta ante incidentes de seguridad en AWS

Respuesta ante incidentes de seguridad supervisa y evalúa los resultados de seguridad de Amazon GuardDuty y de herramientas de terceros, como CrowdStrike Falcon, Trend Micro Cloud One y Fortinet Lacework FortiCNAPP, a través de AWS Security Hub. El servicio utiliza información específica del cliente, como las direcciones IP conocidas y las entidades de AWS Identity and Access Management (IAM), para filtrar los resultados en función del comportamiento esperado, lo que reduce el volumen de alertas y aumenta las que requieren atención inmediata.

Respuesta ante incidentes de seguridad evoluciona con su entorno e incorpora nuevos conocimientos para mejorar el rendimiento con el tiempo. El servicio ajusta las reglas de clasificación automática en función de los patrones de actividad únicos de su organización, lo que facilita la distinción entre las operaciones rutinarias y los riesgos potenciales. A medida que su entorno crece, Respuesta ante incidentes de seguridad saca a la luz eventos críticos con una precisión y eficacia aún mayores.

Reduzca el tiempo necesario para coordinar a las partes interesadas internas mediante la creación de un equipo de respuesta ante incidentes personalizado. Este equipo recibe una notificación inmediata por correo electrónico cada vez que se crea un caso a través del servicio. Otorgue a estos miembros del equipo los permisos necesarios para controlar el acceso a los casos y mantener los privilegios mínimos.

Con la integración de Amazon EventBridge, puede automatizar el enrutamiento de eventos y las notificaciones a plataformas de terceros, como ServiceNow, Jira, Slack y PagerDuty. Por ejemplo, cuando Respuesta ante incidentes de seguridad crea un caso de forma proactiva, la automatización de Amazon EventBridge puede activar sistemas para notificar a las partes interesadas. De esta manera, se agiliza la respuesta durante posibles incidentes de seguridad.

Respuesta ante incidentes de seguridad combina el análisis basado en IA con la supervisión de expertos para examinar los resultados de seguridad, los registros y los patrones anómalos, a fin de determinar si es necesario escalar. Si se confirma un evento de seguridad o se requiere información adicional, el servicio crea un caso y notifica a las partes interesadas que haya designado como parte de su equipo de respuesta ante incidentes. Mediante la participación activa, el servicio aprende sobre su entorno y los comportamientos esperados, lo que mejora la precisión de las alertas y garantiza una respuesta rápida a eventos de seguridad genuinos.

El agente de IA de Respuesta ante incidentes de seguridad ayuda a reducir el tiempo de investigación, ya que automatiza la recopilación de pruebas y minimiza los retrasos en la comunicación, lo que permite una respuesta y recuperación más rápidas. Cuando crea un caso o el servicio lo crea de forma proactiva, el agente investigador pregunta sobre los posibles indicadores, los nombres de los recursos y los plazos, y adapta la investigación a su inquietud específica. Después, el agente recopila y correlaciona de manera automática las pruebas en varios orígenes de datos de AWS, como AWS CloudTrail, AWS IAM, Amazon EC2 y el Explorador de costos de AWS. A continuación, le presenta los resultados en resúmenes claros y prácticos, todo ello bajo la supervisión continua de los expertos en seguridad de AWS, que lo guían durante la investigación y hasta su finalización.

Cuando necesite experiencia especializada, el CIRT de AWS responde a su caso en cuestión de minutos. Al actuar como una extensión del equipo del centro de operaciones de seguridad (SOC), el CIRT de AWS tiene acceso a datos de registro pertinentes, independientemente de la configuración de los registros, para realizar investigaciones durante posibles eventos de seguridad. El CIRT de AWS proporciona a su equipo pasos claros de contención o corrección para los eventos de seguridad confirmados. Si lo desea, puede autorizar al CIRT de AWS a realizarlos en su nombre.

Cuando los resultados de seguridad de herramientas de terceros, como CrowdStrike Falcon, Trend Micro Cloud One y Fortinet Lacework FortiCNAPP, están relacionadas con un caso, el CIRT de AWS trabaja directamente con estos proveedores y combina sus conocimientos para crear una respuesta integral. Este enfoque unificado ayuda a garantizar que se beneficie de los conocimientos especializados de todos los proveedores, mientras que el CIRT de AWS administra la comunicación y la coordinación, y proporciona información clara y práctica en cada paso de la respuesta.

Puede conceder a Respuesta ante incidentes de seguridad los permisos necesarios para realizar las acciones de contención compatibles como respuesta a las alertas en su nombre. Esta capacidad permite una mitigación más rápida de los eventos de seguridad, lo que minimiza el posible impacto en su entorno.