GuardDuty fuentes de datos fundamentales - Amazon GuardDuty
AWS CloudTrail eventos de gestiónLogs de flujo de VPCRegistros de consultas de DNS de Route53 Resolver

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

GuardDuty fuentes de datos fundamentales

GuardDuty utiliza las fuentes de datos fundamentales para detectar la comunicación con dominios y direcciones IP maliciosos conocidos e identificar posibles comportamientos anómalos y actividades no autorizadas. Todos los datos de registro se cifran cuando GuardDuty se transfieren de estas fuentes a otras. GuardDuty extrae varios campos de estas fuentes de registros para crear perfiles y detectar anomalías y, a continuación, descarta estos registros.

Cuando se activa GuardDuty por primera vez en una región, se ofrece una versión de prueba gratuita de 30 días que incluye la detección de amenazas para todas las fuentes de datos fundamentales. Durante esta prueba gratuita, podrá supervisar un uso mensual estimado desglosado por cada origen de datos fundamental. Como cuenta de GuardDuty administrador delegado, puede ver el coste de uso mensual estimado desglosado por cada cuenta de miembro que pertenezca a su organización y que tenga habilitada. GuardDuty Una vez finalizada la prueba de 30 días, puede utilizarla AWS Billing para obtener información sobre el coste de uso.

El GuardDuty acceso a los eventos y registros desde estas fuentes de datos fundamentales no conlleva ningún coste adicional.

Una vez que lo GuardDuty habilites Cuenta de AWS, comenzará a monitorear automáticamente las fuentes de registro que se explican en las siguientes secciones. No necesita activar ninguna otra opción para empezar GuardDuty a analizar y procesar estas fuentes de datos y generar las correspondientes conclusiones de seguridad.

AWS CloudTrail eventos de gestión

AWS CloudTrail le proporciona un historial de las llamadas a la AWS API de su cuenta, incluidas las llamadas a la AWS Management Console API realizadas con las herramientas de línea de comandos y determinados AWS servicios. AWS SDKs CloudTrail también te ayuda a identificar qué usuarios y cuentas invocaron AWS APIs los servicios compatibles CloudTrail, la dirección IP de origen desde la que se invocaron las llamadas y el momento en que se invocaron las llamadas. Para obtener más información, consulte What is AWS CloudTrail en la Guía del usuario de AWS CloudTrail .

GuardDuty supervisa los eventos CloudTrail de administración, también conocidos como eventos del plano de control. Estos eventos proporcionan información sobre las operaciones de gestión que se llevan a cabo con los recursos de su empresa Cuenta de AWS.

A continuación se muestran ejemplos de eventos de CloudTrail administración que se GuardDuty supervisan:

  • Configuración de la seguridad (operaciones de la API AttachRolePolicy de IAM)

  • Configuración de reglas para el enrutamiento de datos (operaciones de la EC2 CreateSubnet API de Amazon)

  • Configuración del registro (operaciones AWS CloudTrail CreateTrail de API)

Cuando lo habilitas GuardDuty, comienza a consumir los eventos de CloudTrail administración directamente CloudTrail a través de un flujo de eventos independiente y duplicado y analiza tus registros de CloudTrail eventos.

GuardDuty no gestiona sus CloudTrail eventos ni afecta a sus CloudTrail configuraciones existentes. Del mismo modo, sus CloudTrail configuraciones no afectan a la forma en GuardDuty que consume y procesa los registros de eventos. Para gestionar el acceso y la retención de tus CloudTrail eventos, usa la consola CloudTrail de servicio o la API. Para obtener más información, consulte Visualización de eventos con el historial de CloudTrail eventos en la Guía AWS CloudTrail del usuario.

¿Cómo GuardDuty gestiona los eventos AWS CloudTrail globales

En la mayoría de AWS los servicios, los CloudTrail eventos se registran en el Región de AWS lugar donde se crearon. En el caso de servicios globales como AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), Amazon y CloudFront Amazon Route 53 (Route 53), los eventos solo se generan en la región en la que se producen, pero tienen una importancia mundial.

Cuando GuardDuty consume eventos de servicio CloudTrail global con valor de seguridad, como configuraciones de red o permisos de usuario, replica esos eventos y los procesa en cada región en la que los haya activado. GuardDuty Este comportamiento ayuda a GuardDuty mantener los perfiles de usuario y rol en cada región, lo cual es vital para detectar eventos anómalos.

Le recomendamos encarecidamente que active todos GuardDuty los Regiones de AWS que estén habilitados para usted Cuenta de AWS. Esto ayuda GuardDuty a detectar actividades no autorizadas o inusuales, incluso en las regiones que quizás no utilices activamente.

Logs de flujo de VPC

La función VPC Flow Logs de Amazon VPC captura información sobre el tráfico IP que entra y sale de las interfaces de red conectadas a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) de su entorno. AWS

Cuando lo habilitas GuardDuty, comienza a analizar inmediatamente los registros de flujo de VPC de las EC2 instancias de Amazon de tu cuenta. Consume eventos de registro de flujo de VPC directamente desde la característica Registros de flujo de VPC a través de una secuencia independiente y duplicada de registros de flujo. Este proceso no afecta a ninguna configuración de los registros de flujo existentes.

Protección de Lambda

Lambda Protection es una mejora opcional de Amazon. GuardDuty En la actualidad, la supervisión de la actividad de la red de Lambda en GuardDuty incluye los registros de flujo de Amazon VPC de todas las funciones de Lambda de su cuenta, incluso los registros que no utilizan redes de VPC. Para proteger su función Lambda de posibles amenazas de seguridad, tendrá que configurar Lambda Protection en su cuenta. GuardDuty Para obtener más información, consulte Protección de Lambda.

GuardDuty Supervisión del tiempo de ejecución

Cuando gestione el agente de seguridad (de forma manual o a través de él GuardDuty) en EKS Runtime Monitoring o Runtime Monitoring para EC2 instancias, y GuardDuty esté actualmente implementado en una EC2 instancia de Amazon y reciba el Tipos de eventos de tiempo de ejecución recopilados de esta instancia, no GuardDuty le cobrará Cuenta de AWS por el análisis de los registros de flujo de VPC de esta instancia de Amazon EC2 . Esto ayuda a GuardDuty evitar el doble de los gastos de uso de la cuenta.

GuardDuty no administra tus registros de flujo ni los hace accesibles en tu cuenta. Para administrar el acceso y la retención de los registros de flujo, debe configurar la característica Registros de flujo de VPC.

Registros de consultas de DNS de Route53 Resolver

Si utilizas resolutores de AWS DNS para tus EC2 instancias de Amazon (la configuración predeterminada), GuardDuty podrás acceder a los registros de consultas de DNS de Route53 Resolver y procesarlos a través de los resolutores de DNS internos AWS . Si utilizas otro solucionador de DNS, como OpenDNS o GoogleDNS, o si configuras tus propios solucionadores de DNS, no podrás acceder a los datos de esta fuente de datos ni GuardDuty procesarlos.

Cuando la habilitas GuardDuty, comienza inmediatamente a analizar los registros de consultas de DNS de tu Route53 Resolver a partir de un flujo de datos independiente. Este flujo de datos es independiente de los datos proporcionados a través de la característica Registro de consultas del solucionador de Route 53. La configuración de esta función no afecta al GuardDuty análisis.

nota

GuardDuty no admite la supervisión de los registros de DNS de EC2 las instancias de Amazon que se lanzan AWS Outposts porque la función de registro de Amazon Route 53 Resolver consultas no está disponible en ese entorno.