Comparación de nubes

Cadena de herramientas de respuesta a incidentes de AWS - Plataforma de investigación integrada desde CloudTrail hasta Security Hub

Explicamos la cadena de herramientas de respuesta a incidentes de AWS que combina CloudTrail, Config, Detective y Security Hub, comparando las diferencias en el enfoque de investigación con Azure Sentinel.

約 5 分で読めます

Requisitos de una cadena de herramientas para respuesta a incidentes

Cuando ocurre un incidente de seguridad, lo que se requiere del equipo de respuesta es identificar rápidamente qué ocurrió, cuándo ocurrió, quién estuvo involucrado y cuál es el alcance del impacto. Para responder a estas 4 preguntas, se necesitan registros de llamadas API, historial de cambios de configuración de recursos, análisis de tráfico de red y visualización de relaciones entre entidades. AWS aborda estos requisitos con una división de roles donde CloudTrail registra las llamadas API, Config rastrea los cambios de configuración de recursos, VPC Flow Logs registra el tráfico de red y Detective integra estos datos para visualizar las relaciones entre entidades.

CloudTrail - Registro de todas las llamadas API

CloudTrail es un servicio que registra todas las llamadas API ejecutadas dentro de una cuenta de AWS y es la fuente de datos más fundamental para la respuesta a incidentes. Los eventos de gestión (operaciones del plano de control) se retienen por defecto durante 90 días, permitiendo investigar operaciones pasadas sin configuración adicional. Los eventos de datos (acceso a objetos S3, invocaciones de Lambda, etc.) requieren habilitación explícita, pero una vez habilitados registran completamente las operaciones del plano de datos. CloudTrail Lake, introducido en 2022, permite consultar eventos de CloudTrail directamente con SQL, eliminando la necesidad de configurar Athena sobre S3.

Seguimiento de cambios de configuración de recursos con Config

AWS Config es un servicio que registra continuamente los cambios de configuración de los recursos en la cuenta y proporciona una línea temporal de configuración. El rol que Config cumple en la respuesta a incidentes es comprender con precisión cómo cambió la configuración de los recursos antes y después del incidente. Por ejemplo, si se sospecha una fuga de datos de un bucket S3, revisando la línea temporal de Config se puede identificar cuándo se modificó la política del bucket y cuándo se deshabilitó el bloqueo de acceso público. Con Config Rules se pueden detectar en tiempo real los cambios de configuración que violan los estándares de seguridad.

Investigación integrada con Detective y Security Hub

Amazon Detective ingiere automáticamente logs de CloudTrail, VPC Flow Logs, hallazgos de GuardDuty y logs de auditoría de EKS, acumulándolos en una base de datos de grafos. Visualiza las relaciones entre entidades (usuarios IAM, roles, direcciones IP, instancias EC2, etc.) como un grafo, permitiendo comprender intuitivamente la imagen completa del incidente. Cuando GuardDuty genera una alerta de llamada API sospechosa, se puede iniciar la investigación desde esa alerta en Detective. Security Hub agrega los hallazgos de seguridad de múltiples servicios de AWS en formato ASFF (AWS Security Finding Format), proporcionando una vista unificada del estado de seguridad.

Comparación del enfoque de investigación con Azure Sentinel

Azure Sentinel (ahora Microsoft Sentinel) es un SIEM/SOAR nativo de la nube con un enfoque fundamentalmente diferente al de AWS para la respuesta a incidentes. Sentinel adopta un enfoque centralizado que agrega todos los logs en un workspace de Log Analytics y los analiza transversalmente con KQL (Kusto Query Language). Esto contrasta con el enfoque distribuido de AWS donde cada servicio se encarga de su área especializada y se coordinan mediante ASFF. La fortaleza de Sentinel es el soporte multi-fuente que puede ingerir logs no solo de Azure sino también de AWS, GCP y on-premises, junto con la integración con el ecosistema de Microsoft.

Resumen

La cadena de herramientas de respuesta a incidentes de AWS se compone del registro completo de llamadas API con CloudTrail, el seguimiento de cambios de configuración con Config, la visualización de relaciones entre entidades con Detective y la agregación centralizada de hallazgos con Security Hub. La arquitectura distribuida donde cada servicio se especializa en su área y se coordina mediante ASFF permite cubrir desde la detección hasta la investigación y contención de incidentes sin necesidad de un SIEM de terceros. Azure Sentinel tiene fortalezas en soporte multi-fuente e integración con el ecosistema Microsoft, pero requiere gestión de costos de ingesta de logs.

Artículos relacionados

El poder de integración de los servicios de seguridad de AWS - Detección nativa de amenazas sin SIEM, de GuardDuty a DetectiveExplicamos el mecanismo de detección nativa de amenazas mediante la integración de GuardDuty, Security Hub, Detective y Macie, comparando la diferencia de filosofía de diseño con Azure Sentinel.Respuesta ante fallos y transparencia de AWS - La estructura de confianza que construye Correction of ErrorsComparamos la cultura de AWS de publicar informes de análisis post-incidente de fallos a gran escala y el mecanismo de mejora continua mediante el proceso Correction of Errors (COE) con la respuesta ante fallos de Azure y GCP.La cobertura de más de 143 certificaciones de cumplimiento de AWS - Desde ISMAP hasta PCI DSS, superando a la competenciaExplicamos las más de 143 certificaciones de cumplimiento obtenidas por AWS centrándonos en ISMAP, SOC, PCI DSS y HIPAA, y comparamos la cobertura de certificaciones con Azure y GCP.

Más sobre este tema

Amazon.com es el mayor cliente de AWS - El secreto de la calidad del servicio nacido del dogfooding internoA partir del hecho de que el sitio de comercio electrónico de Amazon.com, Prime Video y Alexa funcionan sobre AWS, explicamos cómo el dogfooding interno mejora la calidad del servicio y cómo la carga del Prime Day ha fortalecido el diseño de AWS.La estructura por capas de los servicios AI/ML de AWS - La flexibilidad que ofrecen las 3 capas de SageMaker, Bedrock y servicios tipo APIOrganizamos los servicios AI/ML de AWS en 3 capas: SageMaker (control total), Bedrock (IA generativa gestionada) y Rekognition, etc. (tipo API). A través de la comparación con GCP Vertex AI y Azure OpenAI Service, explicamos la flexibilidad de AWS incluyendo la integración con silicio personalizado.Análisis de datos y Data Lake en AWS - El ecosistema integrado de Athena, Glue, Lake Formation y RedshiftExplicamos el stack integrado de análisis de datos de AWS con Athena, Glue, Lake Formation, Redshift y QuickSight, comparándolo con Azure Synapse Analytics y GCP BigQuery, destacando la ventaja de AWS en el grado de integración del ecosistema completo.Compatibilidad retroactiva y estabilidad de las API de AWS - La confianza que genera la política de no deprecar APIs publicadasExplicamos el historial de AWS de mantener su política de no deprecar APIs una vez publicadas, comparándolo con los cambios de marca de Azure y los casos de discontinuación de servicios de GCP, y por qué la estabilidad de las API es importante para las empresas.El diseño de Availability Zones de AWS - La diferencia en confiabilidad que genera la separación física y el aislamiento de fallosExplicamos la filosofía de diseño de las AZ de AWS como grupos de centros de datos físicamente independientes, comparándolas con las zonas de disponibilidad de Azure y GCP, y analizamos la diferencia en madurez del aislamiento de fallos a partir de incidentes reales.El valor de mercado de las habilidades AWS y la prima salarial de las certificacionesAnalizamos el número de ofertas de empleo que requieren habilidades AWS, la prima salarial de los titulares de certificaciones y el impacto en la trayectoria profesional, comparándolo con Azure y GCP, para evaluar el retorno de inversión de obtener certificaciones AWS.La comunidad técnica y los recursos de aprendizaje de AWS - Desde re:Invent hasta JAWS-UGComparamos las comunidades técnicas como re:Invent, AWS Summit y JAWS-UG, y la riqueza de documentación y formación en japonés con Azure y GCP, explicando la ventaja del entorno de aprendizaje de AWS.La cobertura de más de 143 certificaciones de cumplimiento de AWS - Desde ISMAP hasta PCI DSS, superando a la competenciaExplicamos las más de 143 certificaciones de cumplimiento obtenidas por AWS centrándonos en ISMAP, SOC, PCI DSS y HIPAA, y comparamos la cobertura de certificaciones con Azure y GCP.

Artículos y servicios similares

El poder de integración de los servicios de seguridad de AWS - Detección nativa de amenazas sin SIEM, de GuardDuty a DetectiveExplicamos el mecanismo de detección nativa de amenazas mediante la integración de GuardDuty, Security Hub, Detective y Macie, comparando la diferencia de filosofía de diseño con Azure Sentinel.Investigación de seguridad y análisis de amenazas - Eficiencia en la respuesta a incidentes con Amazon DetectiveExplicamos las técnicas de investigación de incidentes de seguridad y análisis de amenazas utilizando Amazon Detective. Presentamos el flujo de trabajo desde la detección hasta la investigación mediante la integración con GuardDuty y el método de identificación de causas raíz mediante análisis basado en grafos.Investigación de incidentes de seguridad con Amazon Detective - Identificación de causas raíz mediante análisis de grafosExplicamos la investigación de hallazgos de GuardDuty con Detective, perfiles de entidades y el uso de grafos de comportamiento.Amazon DetectiveServicio que recopila y analiza automáticamente VPC Flow Logs, CloudTrail y hallazgos de GuardDuty para agilizar la investigación de la causa raíz de incidentes de seguridadAmazon DetectiveUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raíz