Reglas de supresión en GuardDuty - Amazon GuardDuty

Reglas de supresión en GuardDuty

Una regla de supresión es un conjunto de criterios, que consta de un atributo de filtro emparejado con un valor, utilizado para filtrar resultados mediante el archivado automático de resultados nuevos que coinciden con los criterios especificados. Las reglas de supresión se pueden utilizar para filtrar los resultados de bajo valor, los resultados positivos falsos o las amenazas sobre las que no se pretende actuar, a fin de facilitar el reconocimiento de las amenazas de seguridad que tienen el mayor impacto en su entorno.

Después de crear una regla de supresión, los nuevos resultados que coincidan con los criterios definidos en la regla se archivan automáticamente siempre que la regla de supresión esté en su lugar. Puede utilizar un filtro existente para crear una regla de supresión o crear una regla de supresión a partir de una nuevo filtro que defina. Puede configurar reglas de supresión para suprimir tipos de hallazgos completos o definir criterios de filtro más detallados para suprimir sólo instancias específicas de un tipo de hallazgo determinado. Puede editar las reglas de supresión en cualquier momento.

Los resultados suprimidos no se envían a AWS Security Hub, Amazon Simple Storage Service, Amazon Detective o Amazon EventBridge, lo que reduce el nivel de ruido de resultado si consume los resultados de GuardDuty a través de Security Hub o un SIEM de terceros, así como aplicaciones de alerta y tickets. Si ha activado Protección contra malware para EC2, los resultados suprimidos de GuardDuty no iniciarán un análisis de malware.

GuardDuty continúa generando resultados incluso cuando coinciden con las reglas de supresión; sin embargo, esos resultados se marcan automáticamente como archivados. Los resultados archivados se almacenan en GuardDuty durante 90 días y se pueden consultar en cualquier momento durante ese periodo. Para consultar los resultados suprimidos en la consola de GuardDuty, seleccione Archivado en la tabla de resultados o a través de la API de GuardDuty mediante la API ListFindings con un criterio findingCriteria de service.archived igual a “true”.

nota

En un entorno con varias cuentas, solo el administrador de GuardDuty puede crear reglas de supresión.

Casos de uso comunes para reglas de supresión y ejemplos

Los siguientes tipos de resultados tienen casos de uso comunes para la aplicación de reglas de supresión. Seleccione el nombre del resultado para obtener más información sobre el mismo. Revise la descripción del caso de uso para decidir si desea crear una regla de supresión para ese tipo de resultado.

importante

GuardDuty recomienda crear reglas de supresión de forma reactiva y únicamente para resultados para los cuales se han identificado repetidamente falsos positivos en el entorno.

  • UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS: utilice una regla de supresión para archivar automáticamente resultados generados cuando se configuran las redes de la VPC para dirigir el tráfico de Internet a fin de que salga desde una puerta de enlace en las instalaciones en lugar de una puerta de enlace de Internet de VPC.

    Este resultado se genera cuando la red está configurada para dirigir el tráfico de Internet de tal forma que salga por una puerta de enlace en las instalaciones y no por una puerta de enlace de Internet (IGW) de la VPC. Las configuraciones comunes, como el uso de AWS Outposts o de conexiones de VPN de la VPC, pueden generar tráfico dirigido de esta manera. Si el comportamiento es el previsto, se recomienda utilizar reglas de supresión y crear una regla que conste de dos criterios de filtrado. El primer criterio es Tipo de resultado, que debería ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. El segundo criterio de filtro es la Dirección IPv4 de la persona que llama a la API con el rango de direcciones IP o CIDR de su puerta de enlace de Internet en las instalaciones. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de la dirección IP de la persona que llama a la API.

    Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
    nota

    Para incluir varias IP de personas que llaman a la API, puede agregar un nuevo filtro de direcciones IPv4 de las personas que llaman a la API para cada una de ellas.

  • Recon:EC2/Portscan: utilice una regla de supresión para archivar automáticamente los resultados cuando utilice una aplicación de evaluación de vulnerabilidades.

    La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/Portscan. El segundo criterio de filtro debe coincidir con la instancia o instancias que alojan estas herramientas de evaluación de vulnerabilidades. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con una determinada AMI.

    Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
  • UnauthorizedAccess:EC2/SSHBruteForce: utilice una regla de supresión para archivar automáticamente los resultados cuando tengan como objetivo las instancias de bastión.

    Si el objetivo del intento de fuerza bruta es un host bastión, esto podría representar el comportamiento esperado para su entorno de AWS. Si este es el caso, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de UnauthorizedAccess:EC2/SSHBruteForce. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de la instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con un determinado valor de etiqueta de instancia.

    Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
  • Recon:EC2/PortProbeUnprotectedPort: utilice una regla de supresión para archivar automáticamente los resultados cuando tengan como objetivo las instancias que se hayan visto expuestas de manera intencional.

    Puede haber casos en los que las instancias se exponen de forma intencionada, por ejemplo, si están alojando servidores web. Si este es el caso en su entorno de AWS, le recomendamos que configure una regla de supresión para este resultado. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/PortProbeUnprotectedPort. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host de bastión. Puede utilizar el atributo ID de imagen de instancia o el atributo de valor Etiqueta en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con una determinada clave de etiqueta de instancia en la consola.

    Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

Reglas de supresión recomendadas para los resultados de la Supervisión en tiempo de ejecución

  • PrivilegeEscalation:Runtime/DockerSocketAccessed se genera cuando un proceso dentro de un contenedor se comunica con el socket de Docker. Es posible que haya contenedores de su entorno que necesiten acceso al socket de Docker por motivos legítimos. El acceso desde dichos contenedores generará resultados PrivilegeEscalation:Runtime/DockerSocketAccessed. Si este es el caso de su entorno de AWS, se recomienda que configure una regla de supresión para este tipo de resultado. Los primeros criterios deben utilizar el campo Tipo de resultado con un valor equivalente a PrivilegeEscalation:Runtime/DockerSocketAccessed. El segundo criterio de filtro es el campo Ruta ejecutable con un valor igual al executablePath del proceso en el resultado generado. De manera alternativa, el segundo criterio de filtro puede utilizar el campo SHA-256 ejecutable con un valor igual al executableSha256 del proceso en el resultado generado.

  • Los clústeres de Kubernetes ejecutan sus propios servidores DNS como pods; por ejemplo, coredns. Por lo tanto, para cada búsqueda de DNS desde un pod, GuardDuty captura dos eventos de DNS: uno del pod y otro del pod del servidor. Esto puede generar duplicados para los siguientes resultados de DNS:

    Los resultados duplicados incluirán los detalles del pod, el contenedor y el proceso que corresponden al pod de su servidor DNS. Puede configurar una regla de supresión para suprimir estos resultados duplicados utilizando estos campos. El primer criterio de filtro debe utilizar el campo Tipo de resultado con un valor igual a un tipo de resultado de DNS de la lista de resultados proporcionada anteriormente en esta sección. El segundo criterio de filtro puede ser Ruta ejecutable con un valor igual al executablePath del servidor DNS o SHA-256 ejecutable con un valor igual al executableSHA256 del servidor DNS en el resultado generado. Como tercer criterio de filtro opcional, puede utilizar el campo Imagen del contenedor de Kubernetes con un valor igual al de la imagen del contenedor del pod del servidor DNS en el resultado generado.