GuardDuty fuentes de datos fundamentales - Amazon GuardDuty
AWS CloudTrail eventos de gestiónRegistros de flujo de VPCRegistros de consultas de Route53 Resolver DNS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

GuardDuty fuentes de datos fundamentales

GuardDuty utiliza las fuentes de datos fundamentales para detectar la comunicación con dominios y direcciones IP maliciosos conocidos e identificar posibles comportamientos anómalos y actividades no autorizadas. Todos los datos de registro se cifran cuando GuardDuty se transfieren de estas fuentes a otras. GuardDuty extrae varios campos de estas fuentes de registros para crear perfiles y detectar anomalías y, a continuación, descarta estos registros.

Cuando se activa GuardDuty por primera vez en una región, se ofrece una prueba gratuita de 30 días que incluye la detección de amenazas para todas las fuentes de datos fundamentales. Durante esta prueba gratuita, puede supervisar un uso mensual estimado desglosado por cada fuente de datos básica. Como cuenta de GuardDuty administrador delegado, puede ver el costo de uso mensual estimado desglosado por cada cuenta de miembro que pertenezca a su organización y que tenga habilitada. GuardDuty Una vez finalizada la prueba de 30 días, puede utilizarla AWS Billing para obtener información sobre el coste de uso.

El GuardDuty acceso a los eventos y registros desde estas fuentes de datos fundamentales no conlleva ningún coste adicional.

Una vez que lo GuardDuty habilites Cuenta de AWS, comenzará a monitorear automáticamente las fuentes de registro que se explican en las siguientes secciones. No necesita activar ninguna otra opción para empezar GuardDuty a analizar y procesar estas fuentes de datos y generar las correspondientes conclusiones de seguridad.

AWS CloudTrail eventos de gestión

AWS CloudTrail le proporciona un historial de las AWS API llamadas de su cuenta, incluidas las API AWS Management Console llamadas realizadas con las AWS SDKs herramientas de línea de comandos y determinados AWS servicios. CloudTrail también te ayuda a identificar qué usuarios y cuentas invocaron AWS APIs los servicios compatibles CloudTrail, la dirección IP de origen desde la que se invocaron las llamadas y la hora a la que se invocaron las llamadas. Para obtener más información, consulte What is AWS CloudTrail en la Guía del usuario de AWS CloudTrail .

GuardDuty supervisa los eventos CloudTrail de administración, también conocidos como eventos del plano de control. Estos eventos proporcionan información sobre las operaciones de gestión que se llevan a cabo con los recursos de su empresa Cuenta de AWS.

Los siguientes son ejemplos de eventos de CloudTrail administración que se GuardDuty supervisan:

  • Configuración de la seguridad (IAMAttachRolePolicyAPIoperaciones)

  • Configuración de reglas para el enrutamiento de datos (EC2CreateSubnetAPIoperaciones de Amazon)

  • Configuración del registro (AWS CloudTrail CreateTrailAPIoperaciones)

Cuando se habilita GuardDuty, comienza a consumir los eventos de CloudTrail administración directamente CloudTrail a través de un flujo de eventos independiente y duplicado y analiza los registros de CloudTrail eventos.

GuardDuty no gestiona sus CloudTrail eventos ni afecta a sus CloudTrail configuraciones existentes. Del mismo modo, sus CloudTrail configuraciones no afectan a la forma en GuardDuty que consume y procesa los registros de eventos. Para gestionar el acceso y la retención de sus CloudTrail eventos, utilice la consola CloudTrail de servicio oAPI. Para obtener más información, consulte Visualización de eventos con el historial de CloudTrail eventos en la Guía AWS CloudTrail del usuario.

¿Cómo GuardDuty gestiona los eventos AWS CloudTrail globales

En la mayoría de AWS los servicios, los CloudTrail eventos se registran en el Región de AWS lugar donde se crearon. En el caso de servicios globales como AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), Amazon y CloudFront Amazon Route 53 (Route 53), los eventos solo se generan en la región en la que se producen, pero tienen una importancia mundial.

Cuando GuardDuty consume eventos de servicio CloudTrail global con valor de seguridad, como configuraciones de red o permisos de usuario, replica esos eventos y los procesa en cada región en la que los haya activado GuardDuty. Este comportamiento ayuda a GuardDuty mantener los perfiles de usuario y rol en cada región, lo cual es vital para detectar eventos anómalos.

Le recomendamos encarecidamente que active todos GuardDuty los Regiones de AWS que estén habilitados para usted Cuenta de AWS. Esto ayuda GuardDuty a detectar actividades no autorizadas o inusuales, incluso en las regiones que quizás no utilices activamente.

Registros de flujo de VPC

La función VPC Flow Logs de Amazon VPC captura información sobre el tráfico IP que entra y sale de las interfaces de red conectadas a las instancias de Amazon Elastic Compute Cloud (AmazonEC2) de su AWS entorno.

Cuando lo habilitas GuardDuty, comienza a analizar inmediatamente los registros de VPC flujo de EC2 las instancias de Amazon de tu cuenta. Consume los eventos del registro de VPC flujo directamente desde la función de registros de VPC flujo a través de un flujo de registros de flujo independiente y duplicado. Este proceso no afecta a ninguna configuración de los registros de flujo existentes.

Protección de Lambda

Lambda Protection es una mejora opcional de Amazon. GuardDuty Actualmente, Lambda Network Activity Monitoring incluye los registros de VPC flujo de Amazon de todas las funciones de Lambda de su cuenta, incluso los registros que no utilizan redes. VPC Para proteger su función Lambda de posibles amenazas de seguridad, tendrá que configurar Lambda Protection en su cuenta. GuardDuty Para obtener más información, consulte Protección de Lambda.

GuardDuty Supervisión del tiempo de ejecución

Cuando gestione el agente de seguridad (de forma manual o a través de él GuardDuty) en EKS Runtime Monitoring o Runtime Monitoring para EC2 instancias, y GuardDuty esté actualmente desplegado en una EC2 instancia de Amazon y reciba el Tipos de eventos de tiempo de ejecución recopilados de esta instancia, no GuardDuty le cobrará Cuenta de AWS por el análisis de los registros de VPC flujo de esta EC2 instancia de Amazon. Esto ayuda a GuardDuty evitar el doble de los gastos de uso de la cuenta.

GuardDuty no administra tus registros de flujo ni los hace accesibles en tu cuenta. Para gestionar el acceso a tus registros de flujo y su conservación, debes configurar la función de registros de VPC flujo.

Registros de consultas de Route53 Resolver DNS

Si utilizas AWS DNS resolutores para tus EC2 instancias de Amazon (la configuración predeterminada), GuardDuty podrás acceder y procesar tus registros de DNS consultas de Route53 Resolver de solicitudes y respuestas a través de los resolutores internos. AWS DNS Si utilizas otro DNS solucionador, como Open DNS o GoogleDNS, o si configuras tus propios DNS solucionadores, no podrás acceder a los datos de esta fuente de datos GuardDuty ni procesarlos.

Al activarla GuardDuty, comienza inmediatamente a analizar los registros de DNS consultas del Route53 Resolver a partir de un flujo de datos independiente. Este flujo de datos es independiente de los datos proporcionados a través de la característica Registro de consultas del solucionador de Route 53. La configuración de esta función no afecta al GuardDuty análisis.

nota

GuardDuty no admite DNS los registros de supervisión de EC2 las instancias de Amazon que se lanzan AWS Outposts porque la función de registro de Amazon Route 53 Resolver consultas no está disponible en ese entorno.