En clientes con infraestructura híbrida, frecuentemente se utiliza un sistema SIEM para centralizar los eventos de múltiples infraestructuras (on-prem / multi-cloud), para tener un punto central donde se analicen los eventos y se configuren reglas para detectar incidentes en base a los distintos casos de uso requeridos para alcanzar los objetivos de negocio.
Los principales proveedores de soluciones de SIEM del mercado cuentan con la capacidad de colectar los datos desde AWS (AWS CloudTrail, hallazgos de AWS Security Hub, etc.)
Splunk cuenta con la capacidad de integrar logs de la nube, como se puede apreciar en la siguiente imagen de la documentación:
https://splunkbase.splunk.com/app/1876/
[Link a la documentación del add-on ]
QuickStart para el despliegue rápido de Splunk en AWS https://aws.amazon.com/quickstart/architecture/splunk-enterprise/
Splunk está disponible en el AWS Marketplace https://aws.amazon.com/marketplace/pp/B00PUXWXNE
QRadar cuenta con la capacidad de integrar logs de la nube, como se puede apreciar en la siguiente imagen de la documentación:
QRadar está disponible en el marketplace en modalidad “Bring Your Own License” (BYOL): https://aws.amazon.com/marketplace/pp/IBM-Security-IBM-QRadar-Security-Intelligence-Plat/B07M5B2YJ2
De un modo similar a los SIEM, en clientes con infraestructura híbrida, frecuentemente se utiliza un sistema SOAR para coordinar la respuesta automatizada ante incidentes.
Las principales soluciones de SOAR cuentan con integración con AWS Security Hub, y con AWS en general para tomar acciones.