Cambios en la API de GuardDuty en marzo de 2023 - Amazon GuardDuty
Características en comparación con los orígenes de datosComprender cómo funcionan las API con característicasIncorporar cambios de características en las APICaracterística de asignaciones de GuardDuty

Cambios en la API de GuardDuty en marzo de 2023

Las API de GuardDuty configuran características de protección que no pertenecen a la lista de Orígenes de datos fundamentales de GuardDuty. Un objeto de característica contiene detalles de la característica, como el nombre y el estado de la característica, y puede contener configuración adicional para algunos de los planes de protección. Esta migración afecta a las siguientes API de la Referencia de la API de Amazon GuardDuty:

Características en comparación con los orígenes de datos

Históricamente, todas las características de GuardDuty se pasaban a través de un objeto dataSources de la API. A partir de marzo de 2023, GuardDuty prefiere el objeto features en lugar del objeto dataSources en la API. Todos los orígenes de datos anteriores tienen las características correspondientes, pero es posible que las características más recientes no tengan los orígenes de datos correspondientes.

En la siguiente lista se muestra la comparación entre los objetos dataSources y features cuando se pasan a través de una API:

  • El objeto dataSources contiene objetos para cada tipo de protección y su estado. El objeto features es una lista de características disponibles que corresponden a cada tipo de protección de GuardDuty.

    A partir de marzo de 2023, la activación de características será la única forma de configurar las nuevas características de GuardDuty en su entorno de AWS.

  • El esquema dataSources de la solicitud o respuesta de la API es el mismo en todas las Región de AWS en las que GuardDuty está disponible. Sin embargo, es posible que no todas las características estén disponibles en todas las regiones. Por lo tanto, los nombres de las características disponibles pueden variar según la región.

Comprender cómo funcionan las API con características

Las API de GuardDuty seguirán devolviendo un objeto dataSources según proceda y también devolverán un objeto features con la misma información en un formato diferente. Las características de GuardDuty lanzadas antes de marzo de 2023 estarán disponibles a través de los objetos dataSources y features. Las características de GuardDuty lanzadas desde de marzo de 2023 solo estarán disponibles a través del objeto features. No puede crear ni actualizar un detector, ni describir su organización de AWS Organizations con la notación de los objetos dataSources y features en la misma solicitud de la API. Para habilitar los tipos de protecciones de GuardDuty, tendrá que migrar los orígenes de datos existentes al objeto features con las mismas API que ahora también incluyen el objeto features.

nota

GuardDuty no agregará un nuevo origen de datos después de esta modificación.

GuardDuty ha dejado obsoleto el uso de orígenes de datos asociados a los planes de protección. Sin embargo, sigue admitiendo los Orígenes de datos fundamentales de GuardDuty. Las prácticas recomendadas de GuardDuty sugieren el uso de características para habilitar o editar la configuración de cualquier plan de protección en la cuenta.

Incorporar cambios de características en las API

  • Si administra las configuraciones de GuardDuty a través de API, SDK o plantillas de AWS CloudFormation y desea habilitar posibles características nuevas de GuardDuty, tendrá que modificar el código y la plantilla, respectivamente. Para obtener más información, consulte las API actualizadas en la Referencia de la API de Amazon GuardDuty.

  • En el caso de las características de GuardDuty configuradas antes de esta actualización, puede seguir utilizando las API, los SDK o la plantilla de AWS CloudFormation. Sin embargo, le recomendamos que cambie para usar el objeto feature.

    Todos los orígenes de datos tienen un objeto de característica equivalente. Para obtener más información, consulte Asignación de dataSources a features.

  • Actualmente, additionalConfiguration en el objeto features solo está disponible para ciertos tipos de protecciones.

    • Para estos tipos de protecciones, si el valor de status de AdditionalConfiguration de la característica está establecido en ENABLED, pero el valor de status de la configuración de la característica no está establecido en ENABLED, GuardDuty no llevará a cabo ninguna acción en este caso.

    • Esto afecta a las siguientes API:

Asignación de dataSources a features

En la siguiente tabla se muestra la asignación de los tipos de protecciones, dataSources y features.

Tipo de protección de GuardDuty Nombre del origen de datos* Nombre de la característica

Logs de flujo de VPC

flowLogs (solo lectura; no se puede modificar)

FLOW_LOGS (solo lectura; no se puede modificar)

Registros de consultas de DNS de Route53 Resolver

dnsLogs (solo lectura; no se puede modificar)

DNS_LOGS (solo lectura; no se puede modificar)

CloudTrail events

cloudTrail (solo lectura; no se puede modificar)

CLOUD_TRAIL (solo lectura; no se puede modificar)

S3

s3Logs

S3_DATA_EVENTS

Protección de EKS

kubernetes.auditlogs

EKS_AUDIT_LOGS

Protección contra malware para EC2

malwareProtection.scanEc2InstanceWithFindings.ebsVolumes

EBS_MALWARE_PROTECTION

Eventos de inicio de sesión de RDS

GuardDuty solo admite la activación de características para estos tipos de protecciones.

RDS_LOGIN_EVENTS

Supervisión en tiempo de ejecución de EKS

EKS_RUNTIME_MONITORING

Supervisión en tiempo de ejecución

RUNTIME_MONITORING

Agente de seguridad GuardDuty para clústeres de Amazon EKS

EKS_RUNTIME_MONITORING.additionalConfiguration.EKS_ADDON_MANAGEMENT

RUNTIME_MONITORING.additionalConfiguration.EKS_ADDON_MANAGEMENT

Agente de seguridad GuardDuty para clústeres de Amazon ECS-Fargate

RUNTIME_MONITORING.additionalConfiguration.ECS_FARGATE_AGENT_MANAGEMENT

Agente de seguridad de GuardDuty para instancias de Amazon EC2

RUNTIME_MONITORING.additionalConfiguration.EC2_AGENT_MANAGEMENT

Protección de Lambda

LAMBDA_NETWORK_LOGS

* GetUsageStatistics usa sus propios nombres de dataSource. Para obtener más información, consulte Estimar el costo de uso de GuardDuty o GetUsageStatistics.