SEC 4: ¿Cómo detecta e investiga eventos de seguridad?

Capture y analice los eventos a partir de registros y métricas para obtener visibilidad. Tome medidas con respecto a los eventos de seguridad y las amenazas potenciales a fin de ayudar a asegurar su carga de trabajo.

Recursos

Threat management in the cloud: Amazon GuardDuty and AWS Security Hub
Remediating Amazon GuardDuty and AWS Security Hub Findings
Centrally Monitoring Resource Configuration and Compliance
Setting up Amazon GuardDuty
AWS Security Hub
Amazon CloudWatch
Getting started: Amazon CloudWatch Logs
Amazon EventBridge
AWS Config
AWS Answers: Centralized Logging
Security Partner Solutions: Logging and Monitoring

Prácticas recomendadas:

• Configure el registro de servicios y aplicaciones: Configure el registro en toda la carga de trabajo, incluidos los registros de aplicaciones, recursos y servicios de AWS. Por ejemplo, asegúrese de que AWS CloudTrail, Amazon CloudWatch Logs, Amazon GuardDuty y AWS Security Hub estén habilitados para todas las cuentas de su organización.

• Analice los registros, hallazgos y métricas de forma centralizada: Todos los registros, métricas y telemetrías deben recopilarse de forma centralizada y analizarse automáticamente para detectar anomalías e indicadores de actividad no autorizada. Un panel de gestión puede proporcionarle una visión de fácil acceso del estado en tiempo real. Por ejemplo, asegúrese de que los registros de Amazon GuardDuty y Security Hub se envíen a una ubicación central para alertar y analizar.

• Automatice respuestas a eventos: El uso de la automatización para investigar y remediar los eventos reduce el esfuerzo y el error humano y permite escalar las capacidades de investigación. Las revisiones periódicas lo ayudarán a ajustar las herramientas de automatización y a iterar de forma continua. Por ejemplo, automatice las respuestas a los eventos de Amazon GuardDuty mediante la automatización del primer paso de investigación y luego itere para eliminar gradualmente el esfuerzo humano.

• Implemente eventos de seguridad que se puedan accionar: Cree alertas que su equipo pueda recibir y accionar. Asegúrese de que las alertas incluyan información relevante que le sirva al equipo para tomar medidas. Por ejemplo, asegúrese de que las alertas de Amazon GuardDuty y AWS Security Hub se envíen al equipo para que actúe o se envíen a las herramientas de automatización de respuesta, con el equipo aún informado por medio de mensajes del marco de automatización.

Plan de mejora

Configure el registro de servicios y aplicaciones

Habilite el registro de los servicios de AWS: Habilite el registro de los servicios de AWS para cumplir con los requisitos. Las capacidades de registro incluyen: registros de flujo de VPC, registros de ELB, registros de buckets de S3, registros de acceso a CloudFront, registros de consulta de Route 53 y registros de Amazon RDS.
AWS Answers: native AWS security-logging capabilities

Evalúe y habilite el registro de sistemas operativos y aplicaciones específicas: Evalúe y habilite el registro de sistemas operativos y los registros específicos de las aplicaciones para detectar comportamientos sospechosos.
Getting started with CloudWatch Logs
Developer Tools/Log Analysis

Aplique controles adecuados a los registros: Los registros pueden contener información sensible y solo los usuarios autorizados deben tener acceso. Considere la posibilidad de restringir los permisos a los buckets de S3 y a los grupos de registro de CloudWatch Logs.
Authentication and Access Control for Amazon CloudWatch
Identity and access management in Amazon S3

Configure Amazon GuardDuty: Amazon GuardDuty es un servicio de detección de amenazas que busca continuamente la actividad maliciosa y el comportamiento no autorizado a fin de proteger las cuentas y las cargas de trabajo de AWS. Habilite GuardDuty y configure alertas automatizadas de correo electrónico mediante el laboratorio.
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

Configure el seguimiento personalizado en CloudTrail: La configuración de un seguimiento le permite almacenar los registros durante más tiempo que el periodo predeterminado y analizarlos más tarde.
Creating a trail in CloudTrail
Lab: Automated Deployment of Detective Controls

Habilite AWS Config: AWS Config proporciona una vista detallada de la configuración de los recursos de AWS en su cuenta. Esta vista incluye la forma en que los recursos se relacionan entre sí y cómo se configuraron previamente, de modo que se puede ver la manera en que las configuraciones y relaciones cambian con el tiempo.
AWS Config
Lab: Automated Deployment of Detective Controls

Habilite AWS Security Hub: AWS Security Hub le proporciona una vista completa del estado de la seguridad en AWS y lo ayuda a comprobar el cumplimiento de los estándares y las prácticas recomendadas de la industria de la seguridad. Security Hub recopila datos de seguridad de todas las cuentas y servicios de AWS y de los productos compatibles de terceros asociados. También lo ayuda a analizar sus tendencias de seguridad y a identificar los problemas de mayor prioridad.
AWS Security Hub

Analice los registros, hallazgos y métricas de forma centralizada

Evalúe las capacidades de procesamiento de los registros: Evalúe las opciones disponibles para el procesamiento de los registros
Use Amazon OpenSearch Service to log and monitor (almost) everything
Find a partner that specializes in logging and monitoring solutions

Como una forma de empezar a analizar los registros de CloudTrail, pruebe Amazon Athena
Configuring Athena to analyze CloudTrail logs

Implemente el registro centralizado en AWS: Solución de ejemplo de AWS para centralizar el registro de diversas fuentes.
Centralize logging solution

Implemente el registro centralizado con un socio: Los socios de APN disponen de soluciones para ayudarlo a analizar registros de forma centralizada.
Logging and Monitoring

Automatice respuestas a eventos

Implemente alertas automatizadas con Amazon GuardDuty: Amazon GuardDuty es un servicio de detección de amenazas que monitorea continuamente la actividad maliciosa y el comportamiento no autorizado a fin de proteger las cuentas y las cargas de trabajo de AWS. Habilite GuardDuty y configure alertas automatizadas.
Lab: Automated Deployment of Detective Controls

Automatice los procesos de investigación: Desarrolle procesos automatizados que investiguen un evento e informen de los hallazgos a un administrador para ahorrar tiempo.
Lab: Amazon GuardDuty hands on

Implemente eventos de seguridad que se puedan accionar

Descubra las métricas disponibles para los servicios de AWS: Descubra las métricas que están disponibles a través de CloudWatch para los servicios que utiliza.
AWS service documentation
Using Amazon CloudWatch Metrics

Configure las alarmas de Amazon CloudWatch: .
Using Amazon CloudWatch Alarms