Detalles de los resultados - Amazon GuardDuty
Información general de los resultadosRecursoDetalles de usuario de la base de datos (DB) de RDSDetalles de búsqueda de Runtime MonitoringDetalles del análisis de volúmenes de EBSProtección contra malware para EC2: detalles sobre cómo encontrarProtección contra malware para S3: información sobre la búsquedaAcciónActor u objetivoInformación adicionalEvidenciaComportamiento anómalo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Detalles de los resultados

En la GuardDuty consola de Amazon, puedes ver los detalles de búsqueda en la sección de resumen de búsquedas. Los detalles de los resultados varían según el tipo de resultado.

Hay dos detalles principales que determinarán qué tipo de información está disponibles para cualquier resultado. El primero es el tipo de recurso, que puede ser Instance AccessKeyS3Bucket,S3Object,Kubernetes cluster,ECS cluster,Container,RDSDBInstance, oLambda. El segundo detalle que determina la información de los resultados es el rol del recurso. El rol del recurso puede ser Target para las claves de acceso, lo que significa que el recurso fue objeto de una actividad sospechosa. En el caso de resultados por tipo de instancia, el rol del recurso también puede ser Actor, lo que significa que el recurso fue el actor que ha llevado a cabo la actividad sospechosa. En este tema, se describen algunos de los detalles de los resultados que se encuentran disponibles con más frecuencia.

Información general de los resultados

La sección Información general de un resultado contiene las características identificativas más básicas del resultado, incluida la siguiente información:

  • ID de cuenta: el identificador de la AWS cuenta en la que se llevó GuardDuty a cabo la actividad que solicitó generar este hallazgo.

  • Recuento: el número de veces que GuardDuty se ha agregado una actividad que coincide con este patrón con este identificador de búsqueda.

  • Hora de creación: fecha y hora en que se ha creado este resultado por primera vez. Si este valor difiere de Hora de actualización, indica que la actividad se ha producido varias veces y es un problema continuo.

    nota

    Las marcas de tiempo de las búsquedas en la GuardDuty consola aparecen en la zona horaria local, mientras que las exportaciones de JSON y las salidas de CLI muestran las marcas de tiempo en UTC.

  • ID de resultado: un identificador único para este tipo de resultado y conjunto de parámetros. Las nuevas ocurrencias de actividad que coincidan con este patrón se añadirán al mismo ID.

  • Tipo de resultado: una cadena formateada que representa el tipo de actividad que ha desencadenado el resultado. Para obtener más información, consulte Formato de búsqueda GuardDuty.

  • Región: la AWS región en la que se generó el hallazgo. Para obtener más información acerca de las regiones admitidas, consulte Regiones y puntos de conexión

  • ID de recurso: el ID del AWS recurso con el que se llevó GuardDuty a cabo la actividad que provocó la generación de este hallazgo.

  • ID de escaneo: se aplica a los hallazgos cuando la protección contra GuardDuty malware para EC2 está habilitada y es un identificador del análisis de malware que se ejecuta en los volúmenes de EBS conectados a la carga de trabajo de la instancia de EC2 o del contenedor potencialmente comprometida. Para obtener más información, consulte Protección contra malware para EC2: detalles sobre cómo encontrar.

  • Gravedad: un nivel de gravedad alta, mediana o baja asignado al resultado. Para obtener más información, consulte Niveles de gravedad de GuardDuty los hallazgos.

  • Actualizado el: la última vez que se actualizó este hallazgo con una nueva actividad que coincidía con el patrón que llevó GuardDuty a generarlo.

Recurso

El recurso afectado proporciona detalles sobre el AWS recurso al que se dirigió la actividad iniciadora. La información disponible variará según el tipo de recurso y el tipo de acción.

Función de recurso: la función del AWS recurso que inició la búsqueda. Este valor puede ser TARGET o ACTOR y representa si su recurso era el objetivo de la actividad sospechosa o si era el actor que ha llevado a cabo la actividad sospechosa, respectivamente.

Tipo de recurso: el tipo del recurso afectado. Si estuvieron involucrados varios recursos, un resultado puede incluir varios tipos de recursos. Los tipos de recursos son Instance, S3Bucket AccessKey, S3Object, ECSCluster, Container KubernetesCluster, RDSDBInstance y Lambda. En función del tipo de recurso, habrá distintos detalles disponibles sobre el resultado. Seleccione una pestaña de opciones de recurso para obtener información sobre los detalles disponibles de ese recurso.

Instance

Detalles de la instancia:

nota

Es posible que falten algunos detalles de la instancia si esta ya se ha detenido o si la invocación a la API subyacente se ha originado en una instancia de EC2 en una región diferente al hacer una llamada a la API entre regiones.

  • ID de instancia: el ID de la instancia de EC2 implicada en la actividad que provocó la generación del hallazgo. GuardDuty

  • Tipo de instancia: el tipo de instancia de EC2 implicada en el resultado.

  • Hora de lanzamiento: la fecha y hora en que se lanzó la instancia.

  • Outpost ARN: el nombre del recurso de Amazon (ARN) de. AWS Outposts Solo se aplica a las instancias. AWS Outposts Para obtener más información, consulte ¿Qué es AWS Outposts?

  • Nombre del grupo de seguridad: el nombre del grupo de seguridad asociado a la instancia en cuestión.

  • ID del grupo de seguridad: el ID del grupo de seguridad asociado a la instancia en cuestión.

  • Estado de la instancia: el estado actual de la instancia afectada.

  • Zona de disponibilidad: la zona de disponibilidad de la región de AWS en la que se encuentra la instancia en cuestión.

  • ID de imagen: el ID de la imagen de máquina de Amazon utilizada para crear la instancia implicada en la actividad.

  • Descripción de la imagen: una descripción del ID de la imagen de máquina de Amazon utilizada para crear la instancia implicada en la actividad.

  • Etiquetas: una lista de etiquetas adjuntas a este recurso, enumeradas en el formato de key-value.

AccessKey

Detalles de la clave de acceso:

  • ID de clave de acceso: el ID de clave de acceso del usuario que participó en la actividad GuardDuty que provocó la generación del hallazgo.

  • ID principal: el ID principal del usuario que participó en la actividad que provocó GuardDuty la generación del hallazgo.

  • Tipo de usuario: el tipo de usuario que participó en la actividad que provocó GuardDuty la generación del hallazgo. Para obtener más información, consulte Elemento userIdentity de CloudTrail .

  • Nombre de usuario: el nombre del usuario que participó en la actividad que provocó GuardDuty la generación del hallazgo.

S3Bucket

Detalles del bucket de Amazon S3:

  • Nombre: el nombre del bucket implicado en el resultado.

  • ARN: el ARN del bucket implicado en el resultado.

  • Propietario: el ID canónico del usuario propietario del bucket implicado en el resultado. Para más información acerca de los ID de usuario canónico, consulte AWS account identifiers.

  • Tipo: el tipo de resultado del bucket, que puede ser de Destino o de Origen.

  • Cifrado predeterminado del servidor: los detalles de cifrado del bucket.

  • Etiquetas del bucket: una lista de etiquetas asociadas a este recurso, enumeradas en el formato de key-value.

  • Permisos efectivos: una evaluación de todos los permisos y políticas efectivos del bucket que indica si el bucket en cuestión está expuesto públicamente. Los valores pueden ser Público o No público.

S3Object

  • Detalles del objeto S3: incluye la siguiente información sobre el objeto S3 escaneado:

    • ARN: nombre de recurso de Amazon (ARN) del objeto S3 escaneado.

    • Clave: el nombre asignado al archivo cuando se creó en el bucket de S3.

    • ID de versión: si ha activado el control de versiones en cubos, este campo indica el identificador de versión asociado a la última versión del objeto de S3 escaneado. Para obtener más información, consulte Uso del control de versiones en buckets de S3 en la Guía de usuario de Amazon S3.

    • ETag: representa la versión específica del objeto S3 escaneado.

    • Hash: hash de la amenaza detectada en este hallazgo.

  • Detalles del depósito de S3: incluye la siguiente información sobre el depósito de Amazon S3 asociado al objeto de S3 escaneado:

    • Nombre: indica el nombre del depósito de S3 que contiene el objeto.

    • ARN: nombre de recurso de Amazon (ARN) del bucket de S3.

  • Propietario: ID canónico del propietario del bucket de S3.

EKSCluster

Detalles del clúster de Kubernetes:

  • Nombre: el nombre del clúster de Kubernetes.

  • ARN: el ARN que identifica al clúster.

  • Hora de creación: fecha y hora en que se ha creado este clúster.

    nota

    Las marcas de tiempo de las búsquedas en la GuardDuty consola aparecen en la zona horaria local, mientras que las exportaciones de JSON y las salidas de CLI muestran las marcas de tiempo en UTC.

  • ID de VPC: el ID de la VPC asociada al clúster.

  • Estado: el estado actual del clúster.

  • Etiquetas: los metadatos que se aplican a los clústeres para ayudarle a categorizarlos y organizarlos. Cada etiqueta consta de una clave y un valor opcional, mostrada en el formato key-value. Puede definir tanto la clave como el valor.

    Las etiquetas del clúster no se propagan a ningún otro recurso asociado al clúster.

Detalles de la carga de trabajo de Kubernetes:

  • Tipo: el tipo de carga de trabajo de Kubernetes, como el pod, la implementación y el trabajo.

  • Nombre: el nombre de la carga de trabajo de Kubernetes.

  • Uid: el ID único de la carga de trabajo de Kubernetes.

  • Hora de creación: fecha y hora en que se ha creado esta carga de trabajo.

  • Etiquetas: los pares de clave-valor asociados a la carga de trabajo de Kubernetes.

  • Contenedores: los detalles del contenedor que se ejecuta como parte de la carga de trabajo de Kubernetes.

  • Espacio de nombres: la carga de trabajo pertenece a este espacio de nombres de Kubernetes.

  • Volúmenes: los volúmenes que utiliza la carga de trabajo de Kubernetes.

    • Ruta del host: representa un archivo o directorio preexistente en la máquina host al que se asigna el volumen.

    • Nombre: el nombre del volumen.

  • Contexto de seguridad del pod: define la configuración de privilegios y control de acceso para todos los contenedores de un pod.

  • Red de host: se establece como true si los pods se han incluido en la carga de trabajo de Kubernetes.

Detalles de usuario de Kubernetes:

  • Grupos: grupos de RBAC (control basado en el acceso a roles) de Kubernetes del usuario que ha participado en la actividad que generó el resultado.

  • ID: el ID única del usuario de Kubernetes.

  • Nombre de usuario: nombre del usuario de Kubernetes que ha participado en la actividad que generó el resultado.

  • Nombre de sesión: entidad que ha asumido el rol de IAM con los permisos de RBAC de Kubernetes.

ECSCluster

Detalles del clúster de ECS:

  • ARN: el ARN que identifica al clúster.

  • Nombre: el nombre del clúster.

  • Estado: el estado actual del clúster.

  • Recuento de servicios activos: la cantidad de servicios que se ejecutan en el clúster en un estado ACTIVE. Puedes ver estos servicios con ListServices

  • Recuento de instancias de contenedor registradas: el número de instancias de contenedor registradas en el clúster. Esto incluye las instancias de contenedor tanto en estado ACTIVE como DRAINING.

  • Recuento de tareas en ejecución: el número de tareas del clúster que se encuentran en estado RUNNING.

  • Etiquetas: los metadatos que se aplican a los clústeres para ayudarle a categorizarlos y organizarlos. Cada etiqueta consta de una clave y un valor opcional, mostrada en el formato key-value. Puede definir tanto la clave como el valor.

  • Contenedores: los detalles sobre el contenedor asociado a la tarea:

    • Nombre del contenedor: el nombre del contenedor.

    • Imagen del contenedor: la imagen del contenedor.

  • Detalles de la tarea: los detalles de una tarea en un clúster.

    • ARN: el nombre de recurso de Amazon (ARN) de la tarea.

    • ARN de definición: el nombre de recurso de Amazon (ARN) de la definición de tarea que crea esta.

    • Versión: el contador de versiones de la tarea.

    • Hora de creación de la tarea: la marca de tiempo de Unix en la que se ha creado la tarea.

    • Hora de inicio de la tarea: la marca de tiempo de Unix cuando se ha iniciado la tarea.

    • Tarea iniciada por: la etiqueta especificada cuando se inicia una tarea.

Container

Detalles del contenedor:

  • Tiempo de ejecución del contenedor: el tiempo de ejecución del contenedor (por ejemplo, docker o containerd) utilizado para ejecutar el contenedor.

  • ID: el ID de la instancia de contenedor o las entradas de ARN completas de la instancia de contenedor.

  • Nombre: el nombre del contenedor.

    Cuando está disponible, este campo muestra el valor de la etiqueta io.kubenetes.container.name.

  • Imagen: la imagen de la instancia de contenedor.

  • Monturas de volumen: lista de monturas de volumen de contenedores. Un contenedor puede montar un volumen en su sistema de archivos.

  • Contexto de seguridad: el contexto de seguridad de contenedor define la configuración de privilegios y control de acceso de un contenedor.

  • Detalles del proceso: describe los detalles del proceso asociado al resultado.

RDSDBInstance

Detalles de RDSDBInstance:

nota

Este recurso está disponible en los resultados de la protección de RDS relacionados con la instancia de base de datos.

  • ID de instancia de base de datos: el identificador asociado a la instancia de base de datos que participó en la GuardDuty búsqueda.

  • Motor: el nombre del motor de base de datos de la instancia de base de datos implicada en el resultado. Los valores posibles son Compatible con Aurora MySQL o Compatible con Aurora PostgreSQL.

  • Versión del motor: la versión del motor de base de datos que participó en la GuardDuty búsqueda.

  • ID del clúster de base de datos: el identificador del clúster de base de datos que contiene el ID de la instancia de base de datos implicada en la GuardDuty búsqueda.

  • ARN de instancia de base de datos: el ARN que identifica la instancia de base de datos implicada en el hallazgo. GuardDuty

Lambda
Detalles de la función de Lambda

  • Nombre de la función: el nombre de la función de Lambda implicada en el resultado.

  • Versión de la función: la versión de la función de Lambda implicada en el resultado.

  • Descripción de la función: una descripción de la función de Lambda implicada en el resultado.

  • ARN de la función: el nombre de recurso de Amazon (ARN) de la función de Lambda implicada en el resultado.

  • ID de revisión: el ID de revisión de la versión de la función de Lambda.

  • Rol: el rol de ejecución de la función de Lambda implicada en el resultado.

  • Configuración de VPC: la configuración de Amazon VPC, que incluye el ID de VPC, el grupo de seguridad y los ID de subred asociados a la función de Lambda.

  • ID de VPC: el ID de Amazon VPC asociada a la función de Lambda implicada en el resultado.

  • ID de subred: los ID de las subredes asociadas a la función de Lambda.

  • Grupo de seguridad: el grupo de seguridad asociado a la función de Lambda implicada. Esto incluye el nombre del grupo de seguridad y el ID de grupo.

  • Etiquetas: una lista de etiquetas adjuntas a este recurso, con el formato de pares de key-value.

Detalles de usuario de la base de datos (DB) de RDS

nota

Esta sección se aplica a los hallazgos cuando se habilita la función de protección RDS en. GuardDuty Para obtener más información, consulte Protección RDS en GuardDuty.

El GuardDuty hallazgo proporciona los siguientes detalles de usuario y autenticación de la base de datos potencialmente comprometida.

  • Usuario: el nombre de usuario utilizado para llevar a cabo el intento de inicio de sesión anómalo.

  • Aplicación: el nombre de la aplicación utilizada para llevar a cabo el intento de inicio de sesión anómalo.

  • Base de datos: el nombre de la instancia de base de datos implicada en el intento de inicio de sesión anómalo.

  • SSL: la versión de capa de sockets seguros (SSL) utilizada para la red.

  • Método de autenticación: el método de autenticación utilizado por el usuario implicado en el resultado.

Detalles de búsqueda de Runtime Monitoring

nota

Es posible que estos detalles estén disponibles solo si GuardDuty genera uno de losTipos de búsqueda de Runtime Monitoring.

Esta sección contiene los detalles del tiempo de ejecución, como los detalles del proceso y cualquier contexto necesario. Los detalles del proceso describen la información sobre el proceso observado y el contexto del tiempo de ejecución describe cualquier información adicional sobre la actividad potencialmente sospechosa.

Detalles del proceso

  • Nombre: el nombre del proceso.

  • Ruta ejecutable: la ruta absoluta del archivo ejecutable del proceso.

  • SHA-256 ejecutable: el hash SHA256 del ejecutable del proceso.

  • PID del espacio de nombres: el ID del proceso en un espacio de nombres de PID secundario distinto del espacio de nombres de PID del host. En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor.

  • Directorio de trabajo actual: el directorio de trabajo actual del proceso.

  • ID del proceso: el ID asignado al proceso por el sistema operativo.

  • startTime: la hora en la que se ha iniciado el proceso. Está en formato de cadena de fecha UTC (2023-03-22T19:37:20.168Z).

  • UUID: el identificador único asignado al proceso por GuardDuty.

  • UUID principal: el ID único del proceso principal. Esta ID se asigna al proceso principal mediante GuardDuty.

  • Usuario: el usuario que ha ejecutado el proceso.

  • ID del usuario: el ID del usuario que ha ejecutado el proceso.

  • ID del usuario efectivo: el ID del usuario efectivo del proceso en el momento del evento.

  • Linaje: información sobre los antepasados del proceso.

    • ID del proceso: el ID asignado al proceso por el sistema operativo.

    • UUID: el identificador único asignado al proceso por GuardDuty.

    • Ruta ejecutable: la ruta absoluta del archivo ejecutable del proceso.

    • ID del usuario efectivo: el ID del usuario efectivo del proceso en el momento del evento.

    • UUID principal: el ID único del proceso principal. Esta ID se asigna al proceso principal mediante GuardDuty.

    • Hora de inicio: la hora en la que se ha iniciado el proceso.

    • PID del espacio de nombres: el ID del proceso en un espacio de nombres de PID secundario distinto del espacio de nombres de PID del host. En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor.

    • ID del usuario: el ID del usuario que ejecutó el proceso.

    • Nombre: el nombre del proceso.

Contexto del tiempo de ejecución

De los siguientes campos, un resultado generado puede incluir solo los campos que son relevantes para el tipo de resultado.

  • Origen de la montura: la ruta en el host que monta el contenedor.

  • Destino de la montura: la ruta del contenedor que está asignada al directorio del host.

  • Tipo de sistema de archivos: representa el tipo de sistema de archivos montado.

  • Marcas: representan las opciones que controlan el comportamiento del evento implicado en este resultado.

  • Proceso de modificación: información sobre el proceso que ha creado o modificado un binario, un script o una biblioteca dentro de un contenedor en tiempo de ejecución.

  • Modificado el: la marca de tiempo en la que el proceso ha creado o modificado un binario, un script o una biblioteca dentro de un contenedor en tiempo de ejecución. Este campo está en formato de cadena de fecha UTC (2023-03-22T19:37:20.168Z).

  • Ruta de la biblioteca: la ruta a la nueva biblioteca que se ha cargado.

  • Valor de precarga de LD: el valor de la variable de entorno LD_PRELOAD.

  • Ruta del socket: la ruta al socket de Docker al que se accedió.

  • Ruta al binario Runc: la ruta al binario runc.

  • Ruta del agente de lanzamiento: la ruta al archivo del agente de lanzamiento del cgroup.

  • Ejemplo de línea de comandos: ejemplo de la línea de comandos implicada en la actividad potencialmente sospechosa.

  • Categoría de herramienta: categoría a la que pertenece la herramienta. Algunos de los ejemplos son Backdoor Tool, Pentest Tool, Network Scanner y Network Sniffer.

  • Nombre de la herramienta: el nombre de la herramienta potencialmente sospechosa.

  • Ruta del script: la ruta al script ejecutado que generó el hallazgo.

  • Ruta del archivo de amenazas: la ruta sospechosa en la que se encontraron los detalles de la inteligencia de amenazas.

  • Nombre del servicio: el nombre del servicio de seguridad que se ha desactivado.

Detalles del análisis de volúmenes de EBS

nota

Esta sección se aplica a los hallazgos al activar el análisis GuardDuty de malware iniciado. GuardDuty Protección contra malware para EC2

El análisis de volúmenes de EBS proporciona detalles sobre el volumen de EBS asociado a la carga de trabajo del contenedor o la instancia de EC2 potencialmente afectada.

  • ID de análisis: el identificador del análisis de malware.

  • Análisis iniciado el: la fecha y hora en que inició el análisis de malware.

  • Análisis completado el: la fecha y la hora en que se completó el análisis de malware.

  • Identificador de búsqueda de activación: el identificador de GuardDuty búsqueda del descubrimiento que inició este análisis de malware.

  • Fuentes: los valores potenciales son Bitdefender yAmazon.

  • Detecciones de análisis: la vista completa de los detalles y los resultados de cada análisis de malware.

    • Recuento de elementos analizados: el número total de archivos analizados. Proporciona detalles como totalGb, files y volumes.

    • Recuento de elementos de amenazas detectadas: el número total de files maliciosos detectados durante el análisis.

    • Detalles de las amenazas de mayor gravedad: los detalles de la amenaza de mayor gravedad detectada durante el análisis y el número de archivos maliciosos. Proporciona detalles como severity, threatName y count.

    • Amenazas detectadas por nombre: el elemento del contenedor que agrupa las amenazas de todos los niveles de gravedad. Proporciona detalles como itemCount, uniqueThreatNameCount, shortened y threatNames.

Protección contra malware para EC2: detalles sobre cómo encontrar

nota

Esta sección se aplica a los hallazgos al activar el análisis GuardDuty de malware iniciado. GuardDuty Protección contra malware para EC2

Cuando el análisis de Malware Protection for EC2 detecte malware, podrá ver los detalles del análisis seleccionando el resultado correspondiente en la página de resultados de la consola https://console.aws.amazon.com/guardduty/. La gravedad del hallazgo de Malware Protection for EC2 depende de la gravedad del GuardDuty hallazgo.

nota

La etiqueta GuardDutyFindingDetected especifica que las instantáneas contienen malware.

La siguiente información está disponible en la sección Amenazas detectadas del panel de detalles.

  • Nombre: el nombre de la amenaza, obtenido al agrupar los archivos por detección.

  • Gravedad: el nivel de gravedad de la amenaza detectada.

  • Hash: el SHA-256 del archivo.

  • Ruta de archivo: la ubicación del archivo malicioso en el volumen de EBS.

  • Nombre de archivo: el nombre del archivo en el que se detectó la amenaza.

  • ARN del volumen: el ARN de los volúmenes de EBS analizados.

La siguiente información está disponible en la sección Detalles del análisis de malware del panel de detalles.

  • ID de análisis: el ID del análisis de malware.

  • Análisis iniciado el: la fecha y hora en que inició el análisis.

  • Análisis completado el: la fecha y la hora en que se completó el análisis.

  • Archivos analizados: el número total de archivos y directorios analizados.

  • Total de GB analizados: la cantidad de almacenamiento analizada durante el proceso.

  • ID de búsqueda del desencadenante: el identificador de GuardDuty búsqueda del hallazgo que inició este análisis de malware.

  • La siguiente información está disponible en la sección Detalles del volumen del panel de detalles.

    • ARN del volumen: el nombre de recurso de Amazon (ARN) del volumen.

    • SnapshotARN: el ARN de la instantánea del volumen de EBS.

    • Estado: el estado de análisis del volumen, como Running, Skipped y Completed.

    • Tipo de cifrado: el tipo de cifrado utilizado en el volumen. Por ejemplo, CMCMK.

    • Nombre del dispositivo: el nombre del dispositivo. Por ejemplo, /dev/xvda.

Protección contra malware para S3: información sobre la búsqueda

Los siguientes detalles del análisis de malware están disponibles cuando habilita GuardDuty tanto la protección contra malware para S3 en su dispositivo Cuenta de AWS:

  • Amenazas: una lista de las amenazas detectadas durante el análisis de malware.

    Para obtener información sobre el número de amenazas que puede incluir el hallazgo, consulteCuotas de protección contra malware para S3.

  • Ruta del elemento: lista de la ruta del elemento anidado y los detalles del hash del objeto S3 escaneado.

    • Ruta del elemento anidado: ruta del elemento del objeto S3 escaneado en el que se detectó la amenaza.

      El valor de este campo solo está disponible si el objeto de nivel superior es un archivo y si se detecta una amenaza dentro de un archivo.

    • Hash: hash de la amenaza detectada en este hallazgo.

  • Fuentes: los valores potenciales son Bitdefender yAmazon.

Acción

La acción de un resultado proporciona detalles sobre el tipo de actividad que desencadenó el resultado. La información disponible variará en función del tipo de acción.

Tipo de acción: el tipo de actividad del resultado. Este valor puede ser NETWORK_CONNECTION, PORT_PROBE, DNS_REQUEST, AWS_API_CALL o RDS_LOGIN_ATTEMPT. La información disponible variará en función del tipo de acción:

  • NETWORK_CONNECTION: indica que hubo un intercambio de tráfico de la red entre la instancia de EC2 identificada y el host remoto. Este tipo de acción presenta la siguiente información adicional:

    • Dirección de conexión: la dirección de conexión de red observada en la actividad GuardDuty que provocó la generación del hallazgo. Puede ser uno de los siguientes valores:

      • INBOUND: indica que un host remoto inició una conexión con un puerto local en la instancia de EC2 identificada en su cuenta.

      • OUTBOUND: indica que la instancia de EC2 identificada inició una conexión a un host remoto.

      • Desconocido: indica que no se GuardDuty pudo determinar la dirección de la conexión.

    • Protocolo: el protocolo de conexión de red observado en la actividad que provocó GuardDuty la generación del hallazgo.

    • IP local: la dirección IP de origen original del tráfico que activó el resultado. Se puede usar esta información para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, la dirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el pod EKS.

    • Bloqueado: indica si el puerto objetivo está bloqueado.

  • PORT_PROBE: indica que un host remoto sondeó la instancia de EC2 identificada en varios puertos abiertos. Este tipo de acción presenta la siguiente información adicional:

    • IP local: la dirección IP de origen original del tráfico que activó el resultado. Se puede usar esta información para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, la dirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el pod EKS.

    • Bloqueado: indica si el puerto objetivo está bloqueado.

  • DNS_REQUEST: indica que la instancia de EC2 identificada consultó un nombre de dominio. Este tipo de acción presenta la siguiente información adicional:

    • Protocolo: el protocolo de conexión de red observado en la actividad que provocó GuardDuty la generación del hallazgo.

    • Bloqueado: indica si el puerto objetivo está bloqueado.

  • AWS_API_CALL: indica que se ha invocado una API de AWS . Este tipo de acción presenta la siguiente información adicional:

    • API: el nombre de la operación de API que se invocó y, por lo tanto, se GuardDuty le pidió que generara este hallazgo.

      nota

      Estas operaciones también pueden incluir eventos que no pertenecen a la API capturados por AWS CloudTrail. Para obtener más información, consulte Eventos ajenos a la API capturados por CloudTrail.

    • Agente de usuario: el agente de usuario que hizo la solicitud de API. Este valor indica si la llamada se realizó desde AWS Management Console, un AWS servicio, los AWS SDK o el. AWS CLI

    • CÓDIGO DE ERROR: si una llamada fallida a la API ha desencadenado el resultado, se muestra el código de error de esa llamada.

    • Nombre del servicio: el nombre de DNS del servicio que ha intentado hace la llamada a la API que desencadenó el resultado.

  • RDS_LOGIN_ATTEMPT: indica que se intentó iniciar sesión en la base de datos potencialmente afectada desde una dirección IP remota.

    • Dirección IP: la dirección IP remota que se utilizó para llevar a cabo el intento de inicio de sesión potencialmente sospechoso.

Actor u objetivo

Un resultado tendrá una sección Actor si el Rol de recurso era TARGET. Esto indica que su recurso fue objeto de actividad sospechosa y la sección Actor contendrá detalles sobre la entidad que tenía el recurso como objetivo.

Un resultado tendrá una sección Objetivo si el Rol de recurso era ACTOR. Esto indica que su recurso estuvo involucrado en actividad sospechosa contra un host remoto y esta sección contendrá información sobre la IP o el dominio que era el objetivo de su recurso.

La información disponible en la sección Actor u Objetivo puede incluir lo siguiente:

  • Afiliado: detalla si la AWS cuenta de la persona que llama a la API remota está relacionada con su GuardDuty entorno. Si este valor es true, la persona que llama a la API está afiliada a su cuenta de alguna manera; si es false, la persona que llama a la API es ajena a su entorno.

  • ID de cuenta remota: el ID de cuenta propietario de la dirección IP saliente que se utilizó para acceder al recurso en la red final.

  • Dirección IP: la dirección IP implicada en la actividad que provocó GuardDuty la generación del hallazgo.

  • Ubicación: información de ubicación de la dirección IP implicada en la actividad que provocó GuardDuty la generación del hallazgo.

  • Organización: información de la organización del ISP sobre la dirección IP implicada en la actividad que motivó GuardDuty la generación del hallazgo.

  • Puerto: el número de puerto implicado en la actividad que motivó GuardDuty la generación del hallazgo.

  • Dominio: el dominio implicado en la actividad que motivó GuardDuty la generación del hallazgo.

  • Dominio con sufijo: el dominio de segundo y superior nivel implicado en una actividad que podría provocar la generación del hallazgo. GuardDuty Para obtener una lista de los dominios de nivel superior y segundo nivel, consulte la lista de sufijos públicos.

Información adicional

Todos los resultados tienen una sección de Información adicional donde se puede encontrar la siguiente información:

  • Nombre de la lista de amenazas: el nombre de la lista de amenazas que incluye la dirección IP o el nombre de dominio implicados en la actividad que provocó la GuardDuty búsqueda.

  • Muestra: un valor verdadero o falso que indica si se trata de un resultado de muestra.

  • Archivado: un valor verdadero o falso que indica si el resultado se ha archivado.

  • Inusual: detalles de las actividades que no se han observado históricamente. Pueden incluir cualquier usuario, hora, ubicación, bucket, comportamiento de inicio de sesión u organización de ASN inusuales (no observados previamente).

  • Protocolo inusual: el protocolo de conexión de red implicado en la actividad GuardDuty que provocó la generación del hallazgo.

  • Detalles del agente: detalles sobre el agente de seguridad que está implementado actualmente en el clúster de EKS de su Cuenta de AWS. Esto solo se aplica a los tipos de resultados de la Supervisión en tiempo de ejecución de EKS.

    • Versión del agente: la versión del agente GuardDuty de seguridad.

    • ID del agente: el identificador único del agente GuardDuty de seguridad.

Evidencia

Los resultados que se obtienen mediante la inteligencia sobre amenazas tienen una sección de Evidencia que incluye la siguiente información:

  • Detalles de inteligencia sobre amenazas: nombre de la lista de amenazas en la que Threat name aparece lo reconocido.

  • Nombre de la amenaza: el nombre de la familia de malware u otro identificador asociado a la amenaza.

  • Archivo de amenaza SHA256: SHA256 del archivo que generó el hallazgo.

Comportamiento anómalo

Los tipos de hallazgos que terminan con «» AnomalousBehaviorindican que el hallazgo se generó mediante el modelo de aprendizaje automático (ML) para la detección de GuardDuty anomalías. El modelo de ML evalúa todas las solicitudes de API a su cuenta e identifica los eventos anómalos relacionados con las tácticas utilizadas por los adversarios. El modelo de ML da seguimiento a varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó.

Los detalles sobre los factores de la solicitud de API que son inusuales para la identidad del CloudTrail usuario que invocó la solicitud se encuentran en los detalles de la búsqueda. Las identidades las define el elemento CloudTrail UserIdentity y los valores posibles sonRoot:,,IAMUser,, AssumedRole o. FederatedUser AWSAccount AWSService

Además de los detalles disponibles para todos los GuardDuty hallazgos relacionados con la actividad de la API, AnomalousBehaviorlos hallazgos tienen detalles adicionales que se describen en la siguiente sección. Estos detalles se pueden ver en la consola y también están disponibles en el JSON de los resultados.

  • API anómalas: lista de solicitudes de API invocadas por la identidad del usuario cerca de la solicitud de API principal asociada al resultado. En este panel se desglosan en profundidad los detalles del evento de la API de las siguientes maneras.

    • La primera API de la lista es la API principal, que es la solicitud de API asociada a la actividad observada de mayor riesgo. Esta es la API que ha desencadenado el resultado y se correlaciona con la fase de ataque del tipo de resultado. Esta es también la API que se detalla en la sección Acción de la consola y en el JSON del resultado.

    • Todas las demás API de la lista son API anómalas adicionales a la identidad de usuario de la lista observadas cerca de la API principal. Si solo hay una API en la lista, el modelo de ML no ha identificado como anómala ninguna solicitud de API adicional procedente de esa identidad de usuario.

    • La lista de API se divide en función de si una API se llamó correctamente o si se llamó de forma incorrecta, lo que significa que se recibió una respuesta de error. El tipo de respuesta de error recibida aparece encima de cada API llamada incorrectamente. Los posibles tipos de respuesta de error son: access denied, access denied exception, auth failure, instance limit exceeded, invalid permission - duplicate, invalid permission - not found y operation not permitted.

    • Las API se clasifican según su servicio asociado.

    nota

    Para obtener más contexto, seleccione API históricas para ver los detalles sobre las API principales, hasta un máximo de 20, que normalmente se muestran tanto para la identidad del usuario como para todos los usuarios de la cuenta. Las API se marcan como Raro (menos de una vez al mes), Poco frecuente (varias veces al mes) o Frecuente (diario o semanal), en función de la frecuencia con la que se usen en la cuenta.

  • Comportamiento inusual (cuenta): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado de su cuenta. La información rastreada en este panel incluye:

    • Organización de ASN: la organización de ASN desde la que se hizo la llamada anómala a la API.

    • Nombre de usuario: el nombre del usuario que hizo la llamada anómala a la API.

    • Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, aws-cli o Botocore.

    • Tipo de usuario: el tipo de usuario que hizo la llamada anómala a la API. Los valores posibles son AWS_SERVICE, ASSUMED_ROLE, IAM_USER o ROLE.

    • Bucket: el nombre del bucket de S3 al que se ha accedido.

  • Comportamiento inusual (identidad de usuario): en esta sección se proporcionan detalles adicionales sobre el comportamiento perfilado de la identidad de usuario implicado en el resultado. Cuando un comportamiento no se identifica como histórico, significa que el modelo de aprendizaje GuardDuty automático no había visto anteriormente esta identidad de usuario realizando esta llamada a la API de esta manera durante el período de formación. Los siguientes detalles adicionales sobre la identidad de usuario están disponibles:

    • Organización de ASN: la organización de ASN desde la que se hizo la llamada anómala a la API.

    • Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, aws-cli o Botocore.

    • Bucket: el nombre del bucket de S3 al que se ha accedido.

  • Comportamiento inusual (bucket): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado del bucket de S3 asociado al resultado. Cuando un comportamiento no se identifica como histórico, significa que en el modelo de aprendizaje GuardDuty automático no se habían realizado anteriormente llamadas a la API a este segmento de esta manera durante el período de formación. La información rastreada en esta sección incluye:

    • Organización de ASN: la organización de ASN desde la que se hizo la llamada anómala a la API.

    • Nombre de usuario: el nombre del usuario que hizo la llamada anómala a la API.

    • Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, aws-cli o Botocore.

    • Tipo de usuario: el tipo de usuario que hizo la llamada anómala a la API. Los valores posibles son AWS_SERVICE, ASSUMED_ROLE, IAM_USER o ROLE.

    nota

    Para más información sobre los comportamientos históricos, seleccione Comportamiento histórico en las secciones Comportamiento inusual (cuenta), ID de usuario o Bucket para ver detalles sobre el comportamiento esperado de su cuenta en cada una de las siguientes categorías: Raro (menos de una vez al mes), Poco frecuente (varias veces al mes) o Frecuente (diario o semanal), según la frecuencia con la que se usen en la cuenta.

  • Comportamiento inusual (base de datos): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado de la instancia de base de datos asociada al resultado. Cuando un comportamiento no se identifica como histórico, significa que en el modelo de aprendizaje GuardDuty automático no se ha realizado anteriormente ningún intento de inicio de sesión en esta instancia de base de datos de esta manera durante el período de entrenamiento. La información recopilada en esta sección del panel de resultados incluye:

    • Nombre de usuario: el nombre de usuario utilizado para llevar a cabo el intento de inicio de sesión anómalo.

    • Organización de ASN: la organización de ASN desde la que se hizo el intento de inicio de sesión anómalo.

    • Nombre de la aplicación: el nombre de la aplicación utilizada para llevar a cabo el intento de inicio de sesión anómalo.

    • Nombre de base de datos: el nombre de la instancia de base de datos implicada en el intento de inicio de sesión anómalo.

    nota

    La sección Comportamiento histórico proporciona más contexto sobre los Nombres de usuario, Organizaciones de ASN, Nombres de las aplicaciones y Nombres de bases de datos observados anteriormente para la base de datos asociada. Cada valor único tiene un recuento asociado que representa el número de veces que se observó este valor en un evento de inicio de sesión exitoso.

  • Comportamiento inusual (cuenta, clúster de Kubernetes, espacio de nombres de Kubernetes y nombre de usuario de Kubernetes): en esta sección se proporcionan detalles adicionales sobre el comportamiento perfilado del clúster y el espacio de nombres de Kubernetes asociado al hallazgo. Cuando un comportamiento no se identifica como histórico, significa que el modelo de aprendizaje automático no ha observado previamente esta cuenta, clúster, espacio de nombres o nombre de usuario de GuardDuty esta manera. La información recopilada en esta sección del panel de resultados incluye:

    • Nombre de usuario: el usuario que llamó a la API de Kubernetes asociada al hallazgo.

    • Nombre de usuario suplantado: el usuario al que se hace pasar por. username

    • Espacio de nombres: el espacio de nombres de Kubernetes dentro del clúster de Amazon EKS en el que se produjo la acción.

    • Agente de usuario: el agente de usuario asociado a la llamada a la API de Kubernetes. El agente de usuario es el método utilizado para realizar la llamada, por ejemplo. kubectl

    • API: la API de Kubernetes llamada desde username el clúster de Amazon EKS.

    • Información de ASN: la información de ASN, como la organización y el ISP, asociada a la dirección IP del usuario que realiza esta llamada.

    • Día de la semana: el día de la semana en que se realizó la llamada a la API de Kubernetes.

    • Permiso 1: Se comprueba el acceso al verbo y al recurso de Kubernetes para indicar si pueden o no utilizar la API de Kubernetes. username

    • Nombre de la cuenta de servicio 1: la cuenta de servicio asociada a la carga de trabajo de Kubernetes que proporciona una identidad a la carga de trabajo.

    • Registro 1: el registro del contenedor asociado a la imagen del contenedor que se implementa en la carga de trabajo de Kubernetes.

    • Imagen 1: la imagen del contenedor, sin las etiquetas ni el resumen asociados, que se despliega en la carga de trabajo de Kubernetes.

    • Image Prefix Config 1: el prefijo de la imagen con la configuración de seguridad del contenedor y la carga de trabajo habilitada, por ejemploprivileged, hostNetwork o, para el contenedor que usa la imagen.

    • Nombre del sujeto 1: los sujetos, como un usergroup, o serviceAccountName que están vinculados a un rol de referencia en un RoleBinding o. ClusterRoleBinding

    • Nombre del rol 1: el nombre del rol que interviene en la creación o modificación de los roles o de la roleBinding API.

Anomalías basadas en el volumen de S3

En esta sección, se detalla la información contextual de las anomalías basadas en el volumen de S3. El resultado basado en el volumen (Exfiltration:S3/AnomalousBehavior) supervisa un número inusual de llamadas a la API de S3 hechas por los usuarios a los buckets de S3, lo que indica una posible exfiltración de datos. Las siguientes llamadas a la API de S3 se supervisan para detectar anomalías basadas en el volumen.

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

Las siguientes métricas ayudarían a crear una referencia del comportamiento habitual cuando una entidad de IAM accede a un bucket de S3. Para detectar la exfiltración de datos, el resultado de la detección de anomalías basada en el volumen evalúa todas las actividades con respecto a la referencia de comportamiento habitual. Seleccione Comportamiento histórico en las secciones Comportamiento inusual (identidad de usuario), Volumen observado (identidad de usuario) y Volumen observado (bucket) para ver las siguientes métricas, respectivamente.

  • Número de llamadas a la API s3-api-name invocadas por el usuario de IAM o rol de IAM (depende de cuál se haya emitido) asociados al bucket de S3 afectado en las últimas 24 horas.

  • Número de llamadas a la API s3-api-name invocadas por el usuario de IAM o rol de IAM (depende de cuál se haya emitido) asociados a todos los buckets de S3 afectados en las últimas 24 horas.

  • Número de llamadas a la API s3-api-name en todos los usuarios de IAM o roles de IAM (depende de cuál se haya emitido) asociados al bucket de S3 afectado en las últimas 24 horas.

Anomalías basadas en la actividad de inicio de sesión en RDS

En esta sección, se detalla el recuento de los intentos de inicio de sesión de un actor inusual y se agrupa por el resultado de los intentos de inicio de sesión. Tipos de búsqueda de RDS Protection identifica el comportamiento anómalo mediante la supervisión de los eventos de inicio de sesión para detectar patrones inusuales de successfulLoginCount, failedLoginCount y incompleteConnectionCount.

  • successfulLoginCount— Este contador representa la suma de las conexiones correctas (combinación correcta de los atributos de inicio de sesión) realizadas a la instancia de base de datos por un actor inusual. Los atributos de inicio de sesión incluyen el nombre de usuario, la contraseña y el nombre de la base de datos.

  • failedLoginCount— Este contador representa la suma de los intentos de inicio de sesión fallidos (fallidos) realizados para establecer una conexión con la instancia de base de datos. Esto indica que uno o varios atributos de la combinación de inicio de sesión, como el nombre de usuario, la contraseña o el nombre de la base de datos, eran incorrectos.

  • incompleteConnectionCount— Este contador representa el número de intentos de conexión que no se pueden clasificar como exitosos o fallidos. Estas conexiones se cierran antes de que la base de datos proporcione una respuesta. Por ejemplo, se analiza un puerto cuando el puerto de la base de datos está conectado, pero no se envía ningún dato a la base de datos o cuando la conexión se interrumpió antes de que se completara el inicio de sesión en un intento exitoso o fallido.