Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
GuardDuty encontrar agregación
GuardDuty actualiza los hallazgos generados de forma dinámica. Si GuardDuty detecta una nueva actividad relacionada con el mismo problema de seguridad, en lugar de crear un nuevo hallazgo, GuardDuty actualizará el hallazgo original con los detalles más recientes. Este comportamiento le permite identificar cualquier problema persistente, sin necesidad de revisar varios informes similares, y reduce el volumen total de hallazgos relacionados con problemas de seguridad conocidos.
Por ejemplo, para UnauthorizedAccess:EC2/SSHBruteForce Al detectar, los intentos de acceso múltiples contra su instancia se agregarán al mismo ID de búsqueda, lo que aumentará el número de recuento en los detalles de la búsqueda. Esto se debe a que ese resultado representa un único problema de seguridad con la instancia que indica que el puerto SSH de la instancia no está protegido adecuadamente contra este tipo de actividad. Sin embargo, si GuardDuty detecta actividad de acceso SSH dirigida a una nueva instancia en su entorno, creará un nuevo resultado con un ID de resultado único para alertarle sobre el hecho de que hay un problema de seguridad asociado con el nuevo recurso.
Cuando se agrega un hallazgo, se actualiza con la información de la última vez que se produjo esa actividad. Esto significa que, en el ejemplo anterior, si su instancia es el objetivo de un intento de fuerza bruta de un nuevo actor, los detalles del resultado se actualizarán para reflejar la IP remota del origen más reciente y se sustituirá la información más antigua. La información completa sobre los intentos de actividad individuales seguirá estando disponible en sus CloudTrail registros o en los registros de flujo de VPC.
Los criterios que permiten GuardDuty generar un nuevo hallazgo en lugar de agregar uno existente dependen del tipo de hallazgo. Nuestros ingenieros de seguridad determinan los criterios de agregación para cada tipo de hallazgo a fin de ofrecer una visión general de los distintos problemas de seguridad de tu cuenta.
Cuando GuardDuty genere un tipo de búsqueda de secuencia de ataque en su cuenta, el resultado solo se agregará cuando GuardDuty identifique señales similares en la misma secuencia en su cuenta. De lo contrario, GuardDuty generará otra secuencia de ataque.
