Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Orígenes de datos fundamentales de GuardDuty
GuardDuty utiliza los orígenes de datos fundamentales para detectar la comunicación con dominios y direcciones IP maliciosos conocidos, e identificar comportamientos potencialmente anómalos y actividades no autorizadas. Mientras se transfieren de estos orígenes de datos a GuardDuty, todos los datos de registro están cifrados. GuardDuty extrae varios campos de estos orígenes de registro para la generación de perfiles y la detección de anomalías, y, a continuación, descarta los registros.
Al habilitar GuardDuty por primera vez en una región, se ofrece una prueba gratuita de 30 días que incluye la detección de amenazas para todos los orígenes de datos fundamentales. Durante esta prueba gratuita, podrá supervisar un uso mensual estimado desglosado por cada origen de datos fundamental. Como cuenta administradora delegado de GuardDuty, puede ver el costo estimado de uso mensual desglosado por cada cuenta de miembro que pertenece a la organización y que tenga habilitado GuardDuty. Una vez finalizados los 30 días de prueba, podrá utilizar AWS Billing para obtener información sobre el costo de uso.
No hay costo adicional cuando GuardDuty accede a los eventos y registros de estos orígenes de datos fundamentales.
Después de habilitar GuardDuty en la Cuenta de AWS, automáticamente comenzará a supervisar los orígenes de registro que se explican en las siguientes secciones. No necesita habilitar nada más para que GuardDuty comience a analizar y procesar estos orígenes de datos para generar resultados de seguridad asociados.
Temas
Eventos de administración de AWS CloudTrail
AWS CloudTrail le proporciona un historial de las llamadas a la API de AWS de su cuenta, incluidas las llamadas a la API hechas mediante la AWS Management Console, los AWS SDK, las herramientas de línea de comandos y determinados servicios de AWS. CloudTrail también le ayuda a identificar qué usuarios y cuentas invocaron las API de AWS para los servicios compatibles con CloudTrail, la dirección IP de origen desde el que se invocaron las llamadas y el momento en que estas se invocaron. Para obtener más información, consulte What is AWS CloudTrail en la Guía del usuario de AWS CloudTrail.
GuardDuty supervisa los eventos de administración de CloudTrail, también conocidos como eventos del plano de control. Estos eventos proporcionan información sobre las operaciones de administración que se realizan en los recursos en la Cuenta de AWS.
A continuación, se incluyen ejemplos de eventos de administración de CloudTrail que GuardDuty supervisa:
-
Configuración de la seguridad (operaciones de la API
AttachRolePolicyde IAM) -
Configuración de reglas para el direccionamiento de datos (operaciones de la API
CreateSubnetde Amazon EC2) -
Configuración de registros (operaciones de la API
CreateTrailde AWS CloudTrail)
Cuando habilita GuardDuty, comienza a consumir los eventos de administración de CloudTrail directamente desde CloudTrail a través de un flujo de eventos independiente y duplicado, y analiza sus registros de eventos de CloudTrail.
GuardDuty no administra los eventos de CloudTrail ni afecta a las configuraciones de CloudTrail existentes. Del mismo modo, las configuraciones de CloudTrail no afectan a la forma en que GuardDuty consume y procesa los registros de eventos. Para administrar el acceso y la retención de sus eventos de CloudTrail, utilice la API o la consola del servicio de CloudTrail. Para más información, consulte Viewing events with CloudTrail event history en la Guía del usuario de AWS CloudTrail.
Cómo administra GuardDuty los eventos globales de AWS CloudTrail
Para la mayoría de los servicios de AWS, los eventos de CloudTrail se registran en la Región de AWS donde se crearon. En el caso de servicios globales como AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), Amazon CloudFront y Amazon Route 53 (Route 53), los eventos solo se generan en la región en la que se producen, pero tienen una importancia global.
Cuando GuardDuty consume eventos del servicio global de CloudTrail con valor de seguridad como configuraciones de red o permisos de usuario, replica esos eventos y los procesa en cada región en la que haya activado GuardDuty. Este comportamiento ayuda a GuardDuty a mantener los perfiles de usuario y de rol en cada región, lo cual es vital para detectar eventos anómalos.
Se recomienda encarecidamente que habilite GuardDuty en todas las Regiones de AWS que estén habilitadas para su Cuenta de AWS. Esto ayuda a que GuardDuty genere resultados sobre la actividad no autorizada o inusual incluso en las regiones que no se utilizan de forma activa.
Logs de flujo de VPC
La característica de registros de flujo de la VPC de Amazon VPC captura información acerca del tráfico IP entrante y saliente de las interfaces de red asociadas a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) de su entorno de AWS.
Cuando habilita GuardDuty, comienza a analizar inmediatamente los registros de flujo de la VPC de las instancias de Amazon EC2 dentro de su cuenta. Consume eventos de registro de flujo de VPC directamente desde la característica Registros de flujo de VPC a través de una secuencia independiente y duplicada de registros de flujo. Este proceso no afecta a ninguna configuración de los registros de flujo existentes.
- Protección de Lambda
-
La protección de Lambda es una mejora opcional de Amazon GuardDuty. En la actualidad, la supervisión de la actividad de la red de Lambda en GuardDuty incluye los registros de flujo de Amazon VPC de todas las funciones de Lambda de su cuenta, incluso los registros que no utilizan redes de VPC. Para proteger su función de Lambda de posibles amenazas de seguridad, tendrá que configurar la protección de Lambda en su cuenta de GuardDuty. Para obtener más información, consulte Protección de Lambda.
- GuardDuty Supervisión del tiempo de ejecución
Al administrar el agente de seguridad (ya sea manualmente o a través de GuardDuty) en la supervisión en tiempo de ejecución de EKS o en la supervisión en tiempo de ejecución para instancias de EC2, y GuardDuty se encuentre actualmente implementado en una instancia de Amazon EC2 y recibe el Tipos de eventos de tiempo de ejecución recopilados de esta instancia, GuardDuty no cobrará a la Cuenta de AWS por el análisis de los registros de flujo de la VPC procedentes de esta instancia de Amazon EC2. Esto ayuda a GuardDuty a evitar el doble costo de uso en la cuenta.
GuardDuty no administra los registros de flujo ni los hace accesibles en la cuenta. Para administrar el acceso y la retención de los registros de flujo, debe configurar la característica Registros de flujo de VPC.
Registros de consultas de DNS de Route53 Resolver
Si utiliza resolutores de DNS de AWS para las instancias de Amazon EC2 (la configuración predeterminada), GuardDuty podrá acceder y procesar los registros de consultas de DNS de Route53 Resolver de solicitud y respuesta a través de los resolutores de DNS internos de AWS. Si utiliza otro solucionador de DNS, como OpenDNS o GoogleDNS, o si configura sus propios solucionadores de DNS, GuardDuty no puede acceder a datos de este origen de datos ni procesarlos.
Al habilitar GuardDuty, comienza inmediatamente a analizar los registros de consultas de DNS de Route53 Resolver a partir de una secuencia de datos independiente. Este flujo de datos es independiente de los datos proporcionados a través de la característica Registro de consultas del solucionador de Route 53. La configuración de esta característica no afecta al análisis de GuardDuty.
nota
GuardDuty no admite la supervisión de registros de DNS para instancias de Amazon EC2 que se lanzan en AWS Outposts porque la característica de registro de consultas de Amazon Route 53 Resolver no está disponible en ese entorno.
