GuardDuty Detección de amenazas extendida - Amazon GuardDuty
Habilite los planes de protección relacionadosRecursos adicionales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

GuardDuty Detección de amenazas extendida

GuardDuty La detección extendida de amenazas detecta automáticamente los ataques en varias etapas que abarcan fuentes de datos, varios tipos de AWS recursos y tiempo, en un Cuenta de AWS instante. Con esta capacidad, GuardDuty se centra en la secuencia de varios eventos que observa mediante la supervisión de diferentes tipos de fuentes de datos. La detección extendida de amenazas correlaciona estos eventos para identificar los escenarios que se presentan como una amenaza potencial para su AWS entorno y, a continuación, genera una búsqueda de la secuencia de ataque.

Un único hallazgo puede abarcar una secuencia de ataque completa. Por ejemplo, podría detectar un escenario como el siguiente:

  1. Un actor de amenazas que obtiene acceso no autorizado a una carga de trabajo informática.

  2. Luego, el actor realiza una serie de acciones, como aumentar los privilegios y establecer la persistencia.

  3. Por último, el actor que extrae datos de un recurso de Amazon S3.

La detección extendida de amenazas cubre los escenarios de amenazas que implican un compromiso relacionado con el uso indebido de AWS las credenciales y los intentos de comprometer sus datos. Cuentas de AWS Para obtener más información, consulte Tipos de búsqueda de secuencias de ataque.

Debido a la naturaleza de estos escenarios de amenaza, GuardDuty considera críticos todos los tipos de búsqueda de secuencias de ataques.

La siguiente lista proporciona información clave sobre la detección extendida de amenazas.

Habilitada de forma predeterminada

Cuando habilitas Amazon GuardDuty en tu cuenta en una cuenta específica Región de AWS, la detección extendida de amenazas también está habilitada de forma predeterminada. El uso de la Detección Ampliada de Amenazas no conlleva ningún coste adicional. De forma predeterminada, correlaciona los eventos en todos Orígenes de datos fundamentales ellos. Sin embargo, si habilita más planes de GuardDuty protección, como S3 Protection, se abrirán nuevos tipos de detecciones de secuencias de ataques al ampliar la gama de fuentes de eventos. Esto podría ayudar a realizar un análisis de amenazas más exhaustivo y a detectar mejor las secuencias de ataque. Para obtener más información, consulte Habilite los planes de protección relacionados.

¿Cómo funciona la detección extendida de amenazas?

GuardDuty correlaciona varios eventos, incluidas API las actividades y GuardDuty los hallazgos. Estos eventos se denominan señales. A veces, es posible que se produzcan eventos en su entorno que, por sí solos, no se presenten como una amenaza potencial clara. GuardDuty los califica de señales débiles. Con la detección ampliada de amenazas, GuardDuty identifica cuándo una secuencia de varias acciones se corresponde con una actividad potencialmente sospechosa y genera una secuencia de ataque detectada en tu cuenta. Estas múltiples acciones pueden incluir señales débiles y GuardDuty hallazgos ya identificados en tu cuenta.

GuardDuty también está diseñado para identificar posibles comportamientos de ataque recientes o en curso (en un plazo de 24 horas) en tu cuenta. Por ejemplo, un ataque podría iniciarse cuando un actor accediera involuntariamente a una carga de trabajo de cómputo. Luego, el actor realizaría una serie de pasos, como la enumeración, el aumento de privilegios y la exfiltración de credenciales. AWS Estas credenciales podrían utilizarse para comprometer aún más los datos o acceder de forma malintencionada a ellos.

Página ampliada de detección de amenazas en la GuardDuty consola

De forma predeterminada, la página de detección extendida de amenazas de la GuardDuty consola muestra el estado activado. Siga los pasos siguientes para acceder a la página de detección extendida de amenazas de GuardDuty la consola:

  1. Puede abrir la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación izquierdo, seleccione Detección de amenazas extendida.

    Esta página proporciona detalles sobre los escenarios de amenazas que cubre la detección extendida de amenazas.

Comprender y gestionar los hallazgos de la secuencia de ataque

Los hallazgos de la secuencia de ataque son iguales a GuardDuty los demás hallazgos de su cuenta. Puede verlos en la página de resultados de la GuardDuty consola. Para obtener información sobre la visualización de los resultados, consultePágina de hallazgos en la GuardDuty consola.

Al igual que otros GuardDuty hallazgos, los hallazgos de la secuencia de ataque también se envían automáticamente a Amazon EventBridge. Según su configuración, los resultados de la secuencia de ataques también se exportan a un destino de publicación (bucket de Amazon S3). Para establecer un nuevo destino de publicación o actualizar uno existente, consulteExportar los resultados generados a Amazon S3.

En el siguiente vídeo se muestra cómo utilizar la detección extendida de amenazas.

Para cualquier GuardDuty cuenta de una región, la función de detección ampliada de amenazas se habilita automáticamente. De forma predeterminada, esta capacidad tiene en cuenta los múltiples eventos de todas ellasOrígenes de datos fundamentales. Para aprovechar esta capacidad, no es necesario activar todos los planes de GuardDuty protección centrados en los casos de uso.

La detección ampliada de amenazas se ha diseñado de tal forma que, si se habilitan más planes de protección, se ampliará el alcance de las señales de seguridad, lo que permitirá analizar las amenazas de forma exhaustiva y cubrir las secuencias de ataque. GuardDutyrecomienda habilitar GuardDuty S3 Protection en su cuenta por los siguientes motivos:

Ventaja de habilitar S3 Protection con detección de amenazas ampliada

GuardDuty Para detectar una secuencia de ataque que pueda comprometer datos en sus buckets de Amazon Simple Storage Service (Amazon S3), debe habilitar S3 Protection en su cuenta. Esto ayuda a GuardDuty correlacionar señales más diversas en varias fuentes de datos. GuardDuty utiliza un plan de protección S3 específico para identificar los hallazgos que podrían ser una de las múltiples etapas de una secuencia de ataque. Por ejemplo, solo con la detección de amenazas GuardDuty fundamental, GuardDuty puede identificar una secuencia de ataque potencial a partir de una actividad de descubrimiento de IAM privilegios en Amazon S3 APIs y detectar las alteraciones posteriores en el plano de control de S3, como los cambios que hacen que la política de recursos de bucket sea más permisiva. Al activar S3 Protection, GuardDuty amplía su alcance de detección de amenazas. También adquiere la capacidad de detectar posibles actividades de exfiltración de datos que pueden producirse una vez que el acceso al bucket de S3 se vuelva más permisivo.

Si la protección S3 no está habilitada, no GuardDuty podrá generar datos individuales. Tipos de resultados de la protección de S3 Por lo tanto, no GuardDuty podrá detectar secuencias de ataques en varias etapas que impliquen hallazgos asociados. Por lo tanto, no GuardDuty podrá generar secuencias de ataque asociadas a la puesta en peligro de los datos.

Recursos adicionales

Consulte las siguientes secciones para comprender mejor las secuencias de ataque: