Skip to content

Latest commit

 

History

History
49 lines (36 loc) · 11.8 KB

es.Playbook_Development_Guide.md

File metadata and controls

49 lines (36 loc) · 11.8 KB

Guía de desarrollo de libros de jugadas

Este documento se proporciona únicamente con fines informativos. Representa las ofertas y prácticas de productos actuales de Amazon Web Services (AWS) a partir de la fecha de emisión de este documento, que están sujetos a cambios sin previo aviso. Los clientes son responsables de realizar su propia evaluación independiente de la información contenida en este documento y de cualquier uso de los productos o servicios de AWS, cada uno de los cuales se proporciona «tal cual» sin garantía de ningún tipo, ya sea expresa o implícita. Este documento no crea garantías, declaraciones, compromisos contractuales, condiciones o garantías de AWS, sus filiales, proveedores o licenciantes. Las responsabilidades y responsabilidades de AWS ante sus clientes están controladas por acuerdos de AWS y este documento no forma parte ni modifica ningún acuerdo entre AWS y sus clientes.

© 2024 Amazon Web Services, Inc. o sus filiales. Reservados todos los derechos. Este trabajo está licenciado bajo una licencia internacional Creative Commons Attribution 4.0.

Este contenido de AWS se proporciona sujeto a los términos del Acuerdo de cliente de AWS disponibles en http://aws.amazon.com/agreement u otro acuerdo escrito entre el cliente y Amazon Web Services, Inc. o Amazon Web Services EMEA SARL o ambos.

Libro de jugadas como código:

  • Los libros de jugadas deben almacenarse en formato de descuento en un repositorio git.
  • Crea una versión independiente para imprimir de cada libro de jugadas para compartirla con aquellos que no tienen acceso al repositorio de git.
  • Se recomienda que los miembros del equipo de respuesta a incidentes puedan ramificar el proyecto git y clonar en su entorno local, como PC, VDI o portátil.
  • Cuando se realicen mejoras en la sucursal, envíelas a revisadas, aprobadas y fusionadas en el maestro.
  • El proyecto git alojará documentación y código.
  • Considere utilizar la canalización de CD/CI para facilitar el gobierno y la implementación de los libros de jugadas.

Estructura del libro de jugadas:

  1. Amenaza: describe la amenaza a la que se ha abordado el libro de jugadas
  2. Endgame: describe los resultados deseados para el libro de jugadas basándose en la perspectiva de seguridad del _ [*AWS Cloud Adoption Framework (CAF) *] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)_ y patrones de seguridad aceptados por el sector, como evaluación de vulnerabilidades y análisis de impacto.
  3. Pasos de respuesta: Proporciona un procedimiento paso a paso en orden cronológico para responder al evento basándose en * [NIST 800-61r2 - Guía de respuesta a incidentes de seguridad informática] (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) *. Consulte la figura A.
  4. Simulación [CODE]: Proporciona un procedimiento paso a paso para generar los indicadores necesarios para activar la alerta iniciando la respuesta.
  5. Clasificación, manejo y detección de incidentes: clasifica el libro de jugadas según [MITRE ATT&CK tácticas empresariales] (https://attack.mitre.org/tactics/enterprise/), enumera las herramientas necesarias para ejecutar el libro de jugadas, enumerar los indicadores (también conocidos como hallazgos) utilizados para la detección, generar la alerta, el registro fuentes necesarias para generar indicadores y facilitar el análisis, así como los equipos involucrados.
  6. Proceso de manejo de incidentes: Guía prescriptiva a seguir para cada disciplina de la respuesta. Estos no están en orden cronológico de ejecución, son como referencia mientras pasan por 3. Pasos de respuesta. A lo largo del proceso de respuesta, es importante documentar todas las acciones realizadas y centralizar todas las pruebas recopiladas en un repositorio conocido con los derechos adecuados basados en el equipo de respuesta a incidentes RACI. También es esencial contar con canales de comunicación adecuados durante la respuesta con capacidades de orquestación centralizadas, que permitan a los miembros del equipo de respuesta a incidentes centrarse en sus tareas dentro de sus especialidades. La función de orquestación centralizada mantendrá el flujo adecuado de las comunicaciones y se asegurará de que todas las actividades necesarias se lleven a cabo con el conocimiento y la aprobación del negocio.
  7. Análisis: validación de alertas: El contenido de la notificación de la alerta debe verificarse directamente con los indicadores generadores de fuentes (es decir, «verdad de tierra «). Esto es necesario por al menos dos motivos. En primer lugar, en general, los indicadores originales se transforman a medida que fluyen a través de diferentes sistemas hasta que llegan al equipo de respuesta a incidentes, lo que podría provocar una modificación involuntaria de los datos de incidentes críticos. En segundo lugar, la notificación podría haberse generado debido a un error de configuración de máquina o humano.
  8. Análisis - clasificación de alertas: En función de los indicadores presentados por la alerta, busque los registros que se utilizaron para generarlos contexto de creación y facilitar el análisis.
  9. Análisis - alcanzo: Busca pruebas en las fuentes de registro disponibles y relacionadas con alertas para determinar la actividad que el actor ha realizado durante el ciclo de vida del evento.
  10. Análisis: impacto: Determine qué cargas de trabajo y componentes se han visto afectados por la actividad del actor y su extensión. Formular hipótesis para discutir con el mayor equipo de respuesta a incidentes para determinar el impacto en el negocio y priorizar los próximos pasos.
  11. **Contención: ** Determine la estrategia de contención del incidente durante el progreso o el final de la fase de análisis. La estrategia adecuada depende del alcance y del impacto y la aprobación de los propietarios de cargas de trabajo. Las actividades de contención deben estar alineadas con el modelado de amenazas y el contexto real de la carga de trabajo afectada durante la respuesta a incidentes. Deben estar disponibles algunas opciones de contención diferentes o complementarias para minimizar los posibles efectos colaterales, como el tiempo de inactividad, la destrucción de datos, como resultado de acciones de contención. Durante esta fase, debe seguirse la debida atención durante la recopilación de pruebas. Aunque la agregación de datos forenses comenzó durante el análisis, por ejemplo, registros de CloudTrail, registros de flujo de VPC y registros de GuardDuty, este es el momento más adecuado para las instantáneas y las copias de seguridad, ya que los servicios se reconfiguran para evitar más actividad, por ejemplo, instantáneas de instancias de EC2, copias de seguridad de bases de datos RDS y disparador Lambda eliminación.
  12. Erradicación y recuperación: Los recursos aprovisionados por el adversario se deshabilitan o eliminan por completo, y se identifican las vulnerabilidades y los problemas de configuración de todos los recursos afectados. Tras la aprobación del propietario de la carga de trabajo, todos los recursos se reconfiguran correctamente y se aplican actualizaciones de seguridad para reducir la probabilidad de éxito de los mismos exploits o similares. Se ha completado la reevaluación de la postura de seguridad de la carga de trabajo. Una vez aplicados los cambios de configuración y las actualizaciones de seguridad, si la postura de seguridad de la carga de trabajo sigue planteando un nivel de riesgo inaceptable para la empresa, los equipos responsables y responsables deben redactar recomendaciones para cambios arquitectónicos a medio y largo plazo y presentarlas para su evaluación.
  13. Actividad posterior al incidente: Una vez completadas todas las fases anteriores, se realiza un análisis exhaustivo del incidente en forma de sesiones de «lecciones aprendidas». El cronograma de respuesta a incidentes se publica y discute centrándose en los cambios que deben realizarse para mejorar la preparación para el próximo incidente de seguridad. Durante esta fase, el equipo de respuesta a incidentes se centra en mejorar los controles directivos, preventivos, de detección y respuesta (consulte la figura B) no solo para la carga de trabajo afectada, sino también para todas las cargas de trabajo propiedad de la empresa.

! [Imagen] (/images/nist_life_cycle.png)

Figura A: ciclo de vida de respuesta a incidente

! [Imagen] (/images/image-caf-sec.png)

**Figura B: Perspectiva de seguridad del marco de adopción de la nube de AWS **

Proceso de desarrollo:

  1. Seleccione la amenaza que abordará el libro de jugadas y descríbala en el 1. Sección de amenaza. Proporcione tantas referencias como sea necesario que ayuden al lector de libros de jugadas a entenderlo.
  2. Revise la sección de plantillas de libro de jugadas 2. Sección de final de juego y haga cambios o manténgalo tal cual. Se basan en patrones de seguridad y sector de AWS, como la [Perspectiva de seguridad del CAF] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html), [Pilar de seguridad del marco de arquitectura adecuada de AWS] (https://d1.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pdf), [Amazon Servicios web: descripción general de los procesos de seguridad] (https://d0.awsstatic.com/whitepapers/aws-security-whitepaper.pdf), [AWS Security Incident Response Guide] (https://d1.awsstatic.com/whitepapers/aws_security_incident_response.pdf) y [NIST Special Publication 800-61r2 Computer Security Incident Handling Guide] ( https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf).
  3. Rellene la sección 5. Clasificación, manejo y detección de incidentes con la información adecuada. Puedes volver a esta sección más adelante, si durante el transcurso de la creación de otras secciones del libro de jugadas acabas descubriendo nuevos indicadores, otras herramientas que quizás quieras usar, etc.
  4. Defina los pasos para activar los indicadores de la amenaza. Documente el proceso, los recursos de AWS, el principio de IAM, las políticas y el código necesarios, como comandos de la CLI de AWS, código basado en AWS SDK, preferiblemente empaquetado en un script de shell o un programa de código de idioma compatible. Agregue capturas de pantalla que ilustren los diversos registros generados por la actividad de simulación mediante una herramienta analítica como CloudWatch Insights o Athena.
  5. Elaborar pasos de respuesta en la sección 3. Sección de pasos de respuesta que resalta la fase del ciclo de vida de NIST IR a la que pertenece cada paso. Los pasos deben enumerarse en el orden cronológico alineado con el modelo de amenazas de la carga de trabajo afectada. Deje claro en el libro de jugadas que el orden cronológico no es inmutable y puede cambiarse según el contexto del evento. Se recomienda que cualquier desviación de la orden de ejecución establecida tenga que pasar por un proceso de verificación previamente aprobado para minimizar el riesgo de acciones que podrían dañar aún más la carga de trabajo afectada.
  6. Cree comandos de AWS CLI y consultas de Athena que admitan cada fase del ciclo de vida de IR de NIST en la sección 6. Proceso de manejo de incidentes. La serie de consultas y comandos debe cumplir los requisitos de cada fase desde una perspectiva general y su salida documentada en forma de capturas de pantalla. Los comandos se ejecutan contra la cuenta afectada utilizando un rol similar o igual a las autorizaciones del respondedor de incidentes. Las consultas se ejecutan en los repositorios de registros relacionados con Athena, como mínimo, los registros de CloudTrail y VPC Flow. Si los registros que deben analizarse no están disponibles a través de Athena, utilice la herramienta analítica disponible, como una solución SIEM o big data.