Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
GuardDuty encontrar agregación
GuardDuty actualiza los hallazgos generados de forma dinámica. Si GuardDuty detecta una nueva actividad relacionada con el mismo problema de seguridad, en lugar de crear un nuevo hallazgo, GuardDuty actualizará el hallazgo original con los detalles más recientes. Este comportamiento le permite identificar cualquier problema persistente, sin necesidad de revisar varios informes similares, y reduce el volumen total de hallazgos relacionados con problemas de seguridad conocidos.
Por ejemplo, para UnauthorizedAccess:EC2/SSHBruteForce Al detectar, los intentos de acceso múltiples contra su instancia se agregarán al mismo ID de búsqueda, lo que aumentará el número de recuento en los detalles de la búsqueda. Esto se debe a que ese hallazgo representa un único problema de seguridad, ya que la instancia indica que el SSH puerto de la instancia no está debidamente protegido contra este tipo de actividad. Sin embargo, si GuardDuty detecta una actividad de SSH acceso dirigida a una nueva instancia de su entorno, creará un nuevo hallazgo con un identificador de búsqueda único para avisarle de que hay un problema de seguridad asociado al nuevo recurso.
Cuando se agrega un hallazgo, se actualiza con la información de la última vez que se produjo esa actividad. Esto significa que, en el ejemplo anterior, si su instancia es el objetivo de un intento de fuerza bruta de un nuevo actor, los detalles del resultado se actualizarán para reflejar la IP remota del origen más reciente y se sustituirá la información más antigua. La información completa sobre los intentos de actividad individuales seguirá estando disponible en sus CloudTrail registros o registros de VPC flujo.
Los criterios que permiten GuardDuty generar un nuevo hallazgo en lugar de agregar uno existente dependen del tipo de hallazgo. Nuestros ingenieros de seguridad determinan los criterios de agregación para cada tipo de hallazgo a fin de ofrecer una visión general de los distintos problemas de seguridad de tu cuenta.
Cuando GuardDuty genere un tipo de búsqueda de secuencia de ataque en su cuenta, el resultado solo se agregará cuando GuardDuty identifique las señales similares en la misma secuencia en su cuenta. De lo contrario, GuardDuty generará otra secuencia de ataque.
