Detalles de los resultados - Amazon GuardDuty
Información general de los resultadosRecursoDetalles de búsqueda de la secuencia de ataqueDetalles de usuario de la base de datos (DB) de RDSDetalles del resultado de la supervisión en tiempo de ejecuciónDetalles del análisis de volúmenes de EBSProtección contra malware para EC2 encontrar detallesDetalles de los resultados de la protección contra malware para S3AcciónActor u objetivoDetalles de geolocalizaciónInformación adicionalEvidenciaComportamiento anómalo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Detalles de los resultados

En la GuardDuty consola de Amazon, puedes ver los detalles de búsqueda en la sección de resumen de búsquedas. Los detalles de los resultados varían según el tipo de resultado.

Hay dos detalles principales que determinarán qué tipo de información está disponibles para cualquier resultado. El primero es el tipo de recurso, que puede ser Instance AccessKeyS3Bucket,S3Object,Kubernetes cluster,ECS cluster,Container,RDSDBInstance,RDSLimitlessDB, oLambda. El segundo detalle que determina la información de los resultados es el rol del recurso. El rol del recurso puede ser Target, lo que significa que el recurso fue el blanco de una actividad sospechosa. En el caso de resultados por tipo de instancia, el rol del recurso también puede ser Actor, lo que significa que el recurso fue el actor que ha llevado a cabo la actividad sospechosa. En este tema, se describen algunos de los detalles de los resultados que se encuentran disponibles con más frecuencia. Para GuardDuty Tipos de búsqueda de Runtime Monitoring y Tipo de resultado de la protección contra malware para S3, no se ha completado el rol del recurso.

Información general de los resultados

La sección Información general de un resultado contiene las características identificativas más básicas del resultado, incluida la siguiente información:

  • ID de cuenta: el identificador de la AWS cuenta en la que se llevó GuardDuty a cabo la actividad que solicitó generar este hallazgo.

  • Recuento: el número de veces que GuardDuty se ha agregado una actividad que coincide con este patrón con este identificador de búsqueda.

  • Hora de creación: fecha y hora en que se ha creado este resultado por primera vez. Si este valor difiere de Hora de actualización, indica que la actividad se ha producido varias veces y es un problema continuo.

    nota

    Las marcas de tiempo de las búsquedas en la GuardDuty consola aparecen en la zona horaria local, mientras que las exportaciones de JSON y las salidas de CLI muestran las marcas de tiempo en UTC.

  • ID de resultado: un identificador único para este tipo de resultado y conjunto de parámetros. Las nuevas ocurrencias de actividad que coincidan con este patrón se añadirán al mismo ID.

  • Tipo de resultado: una cadena formateada que representa el tipo de actividad que ha desencadenado el resultado. Para obtener más información, consulte GuardDuty formato de búsqueda.

  • Región: la AWS región en la que se generó el hallazgo. Para obtener más información acerca de las regiones admitidas, consulte Regiones y puntos de conexión

  • ID de recurso: el ID del AWS recurso con el que se llevó GuardDuty a cabo la actividad que provocó la generación de este hallazgo.

  • ID de escaneo: se utiliza para detectar cuando la protección contra GuardDuty malware EC2 está habilitada. Es un identificador del análisis de malware que se ejecuta en los volúmenes de EBS conectados a la carga de trabajo de la EC2 instancia o contenedor potencialmente comprometida. Para obtener más información, consulte Protección contra malware para EC2 encontrar detalles.

  • Gravedad: se asigna a un hallazgo un nivel de gravedad crítico, alto, medio o bajo. Para obtener más información, consulte Niveles de gravedad de los resultados.

  • Actualizado el: la última vez que se actualizó este hallazgo con una nueva actividad que coincidía con el patrón que llevó GuardDuty a generar este hallazgo.

Recurso

El recurso afectado proporciona detalles sobre el AWS recurso al que se dirigió la actividad iniciadora. La información disponible variará según el tipo de recurso y el tipo de acción.

Función de recurso: función del AWS recurso que inició la búsqueda. Este valor puede ser TARGET o ACTOR y representa si su recurso era el objetivo de la actividad sospechosa o si era el actor que ha llevado a cabo la actividad sospechosa, respectivamente.

Tipo de recurso: el tipo del recurso afectado. Si estuvieron involucrados varios recursos, un resultado puede incluir varios tipos de recursos. Los tipos de recursos son Instance AccessKey, S3Bucket, S3Object,,, Container KubernetesClusterECSClusterRDSDBInstanceRDSLimitless, DB y Lambda. En función del tipo de recurso, habrá distintos detalles disponibles sobre el resultado. Seleccione una pestaña de opciones de recurso para obtener información sobre los detalles disponibles de ese recurso.

Instance

Detalles de la instancia:

nota

Es posible que falten algunos detalles de la instancia si la instancia ya se detuvo o si la invocación a la API subyacente se originó en una EC2 instancia de una región diferente al realizar una llamada a la API entre regiones.

  • ID de instancia: el ID de la EC2 instancia implicada en la actividad que solicitó GuardDuty generar el hallazgo.

  • Tipo de instancia: el tipo de EC2 instancia implicada en el hallazgo.

  • Hora de lanzamiento: la fecha y hora en que se lanzó la instancia.

  • Outpost ARN: el nombre del recurso de Amazon (ARN) de. AWS Outposts Solo se aplica a las instancias. AWS Outposts Para obtener más información, consulte ¿Qué es AWS Outposts? en la Guía del usuario de los racks Outposts.

  • Nombre del grupo de seguridad: el nombre del grupo de seguridad asociado a la instancia en cuestión.

  • ID del grupo de seguridad: el ID del grupo de seguridad asociado a la instancia en cuestión.

  • Estado de la instancia: el estado actual de la instancia afectada.

  • Zona de disponibilidad: la zona de disponibilidad de la región de AWS en la que se encuentra la instancia en cuestión.

  • ID de imagen: el ID de la imagen de máquina de Amazon utilizada para crear la instancia implicada en la actividad.

  • Descripción de la imagen: una descripción del ID de la imagen de máquina de Amazon utilizada para crear la instancia implicada en la actividad.

  • Etiquetas: una lista de etiquetas adjuntas a este recurso, enumeradas en el formato de key-value.

AccessKey

Detalles de la clave de acceso:

  • ID de clave de acceso: ID de clave de acceso del usuario que participó en la actividad que provocó GuardDuty la generación del hallazgo.

  • ID principal: el ID principal del usuario que participó en la actividad que provocó GuardDuty la generación del hallazgo.

  • Tipo de usuario: el tipo de usuario que participó en la actividad que provocó GuardDuty la generación del hallazgo. Para obtener más información, consulte Elemento userIdentity de CloudTrail .

  • Nombre de usuario: el nombre del usuario que participó en la actividad que provocó GuardDuty la generación del hallazgo.

S3Bucket

Detalles del bucket de Amazon S3:

  • Nombre: el nombre del bucket implicado en el resultado.

  • ARN: el ARN del bucket implicado en el resultado.

  • Propietario: el ID canónico del usuario propietario del bucket implicado en el resultado. Para obtener más información sobre el usuario canónico, IDs consulte los identificadores de AWS cuenta.

  • Tipo: el tipo de resultado del bucket, que puede ser de Destino o de Origen.

  • Cifrado predeterminado del servidor: los detalles de cifrado del bucket.

  • Etiquetas del bucket: una lista de etiquetas asociadas a este recurso, enumeradas en el formato de key-value.

  • Permisos efectivos: una evaluación de todos los permisos y políticas efectivos del bucket que indica si el bucket en cuestión está expuesto públicamente. Los valores pueden ser Público o No público.

S3Object

  • Detalles del objeto de S3: incluye la siguiente información sobre el objeto de S3 analizado:

    • ARN: nombre de recurso de Amazon (ARN) del objeto de S3 analizado.

    • Clave: el nombre asignado al archivo cuando se creó en el bucket de S3.

    • ID de versión: si ha habilitado el control de versiones del bucket, este campo indica el identificador de versión asociado a la versión más reciente del objeto de S3 analizado. Para obtener más información, consulte Uso del control de versiones en buckets de S3 en la Guía de usuario de Amazon S3.

    • eTag: representa la versión específica del objeto de S3 analizado.

    • Hash: hash de la amenaza detectada en este resultado.

  • Detalles del bucket de S3: incluye la siguiente información sobre el bucket de Amazon S3 asociado al objeto de S3 analizado:

    • Nombre: indica el nombre del bucket de S3 que contiene el objeto.

    • ARN: el nombre de recurso de Amazon (ARN) del bucket de S3.

  • Propietario:ID canónico del propietario del bucket de S3.

EKSCluster

Detalles del clúster de Kubernetes:

  • Nombre: el nombre del clúster de Kubernetes.

  • ARN: el ARN que identifica al clúster.

  • Hora de creación: fecha y hora en que se ha creado este clúster.

    nota

    Las marcas de tiempo de las búsquedas en la GuardDuty consola aparecen en la zona horaria local, mientras que las exportaciones de JSON y las salidas de CLI muestran las marcas de tiempo en UTC.

  • ID de VPC: el ID de la VPC asociada al clúster.

  • Estado: el estado actual del clúster.

  • Etiquetas: los metadatos que se aplican a los clústeres para ayudarle a categorizarlos y organizarlos. Cada etiqueta consta de una clave y un valor opcional, mostrada en el formato key-value. Puede definir tanto la clave como el valor.

    Las etiquetas del clúster no se propagan a ningún otro recurso asociado al clúster.

Detalles de la carga de trabajo de Kubernetes:

  • Tipo: el tipo de carga de trabajo de Kubernetes, como el pod, la implementación y el trabajo.

  • Nombre: el nombre de la carga de trabajo de Kubernetes.

  • Uid: el ID único de la carga de trabajo de Kubernetes.

  • Hora de creación: fecha y hora en que se ha creado esta carga de trabajo.

  • Etiquetas: los pares de clave-valor asociados a la carga de trabajo de Kubernetes.

  • Contenedores: los detalles del contenedor que se ejecuta como parte de la carga de trabajo de Kubernetes.

  • Espacio de nombres: la carga de trabajo pertenece a este espacio de nombres de Kubernetes.

  • Volúmenes: los volúmenes que utiliza la carga de trabajo de Kubernetes.

    • Ruta del host: representa un archivo o directorio preexistente en la máquina host al que se asigna el volumen.

    • Nombre: el nombre del volumen.

  • Contexto de seguridad del pod: define la configuración de privilegios y control de acceso para todos los contenedores de un pod.

  • Red de host: se establece como true si los pods se han incluido en la carga de trabajo de Kubernetes.

Detalles de usuario de Kubernetes:

  • Grupos: grupos de RBAC (control basado en el acceso a roles) de Kubernetes del usuario que ha participado en la actividad que generó el resultado.

  • ID: el ID única del usuario de Kubernetes.

  • Nombre de usuario: nombre del usuario de Kubernetes que ha participado en la actividad que generó el resultado.

  • Nombre de sesión: entidad que ha asumido el rol de IAM con los permisos de RBAC de Kubernetes.

ECSCluster

Detalles del clúster de ECS:

  • ARN: el ARN que identifica al clúster.

  • Nombre: el nombre del clúster.

  • Estado: el estado actual del clúster.

  • Recuento de servicios activos: la cantidad de servicios que se ejecutan en el clúster en un estado ACTIVE. Puedes ver estos servicios con ListServices

  • Recuento de instancias de contenedor registradas: el número de instancias de contenedor registradas en el clúster. Esto incluye las instancias de contenedor tanto en estado ACTIVE como DRAINING.

  • Recuento de tareas en ejecución: el número de tareas del clúster que se encuentran en estado RUNNING.

  • Etiquetas: los metadatos que se aplican a los clústeres para ayudarle a categorizarlos y organizarlos. Cada etiqueta consta de una clave y un valor opcional, mostrada en el formato key-value. Puede definir tanto la clave como el valor.

  • Contenedores: los detalles sobre el contenedor asociado a la tarea:

    • Nombre del contenedor: el nombre del contenedor.

    • Imagen del contenedor: la imagen del contenedor.

  • Detalles de la tarea: los detalles de una tarea en un clúster.

    • ARN: el nombre de recurso de Amazon (ARN) de la tarea.

    • ARN de definición: el nombre de recurso de Amazon (ARN) de la definición de tarea que crea esta.

    • Versión: el contador de versiones de la tarea.

    • Hora de creación de la tarea: la marca de tiempo de Unix en la que se ha creado la tarea.

    • Hora de inicio de la tarea: la marca de tiempo de Unix cuando se ha iniciado la tarea.

    • Tarea iniciada por: la etiqueta especificada cuando se inicia una tarea.

Container

Detalles del contenedor:

  • Tiempo de ejecución del contenedor: el tiempo de ejecución del contenedor (por ejemplo, docker o containerd) utilizado para ejecutar el contenedor.

  • ID: el ID de la instancia de contenedor o las entradas de ARN completas de la instancia de contenedor.

  • Nombre: el nombre del contenedor.

  • Imagen: la imagen de la instancia de contenedor.

  • Monturas de volumen: lista de monturas de volumen de contenedores. Un contenedor puede montar un volumen en su sistema de archivos.

  • Contexto de seguridad: el contexto de seguridad de contenedor define la configuración de privilegios y control de acceso de un contenedor.

  • Detalles del proceso: describe los detalles del proceso asociado al resultado.

RDSDBInstance

RDSDBInstance detalles:

nota

Este recurso está disponible en los resultados de la protección de RDS relacionados con la instancia de base de datos.

  • ID de instancia de base de datos: el identificador asociado a la instancia de base de datos implicada en la GuardDuty búsqueda.

  • Motor: el nombre del motor de base de datos de la instancia de base de datos implicada en el resultado. Los valores posibles son Compatible con Aurora MySQL o Compatible con Aurora PostgreSQL.

  • Versión del motor: la versión del motor de base de datos que participó en la GuardDuty búsqueda.

  • ID del clúster de base de datos: el identificador del clúster de base de datos que contiene el ID de la instancia de base de datos implicada en la GuardDuty búsqueda.

  • ARN de instancia de base de datos: el ARN que identifica la instancia de base de datos implicada en el hallazgo. GuardDuty

RDSLimitlessDB

RDSLimitlessDetalles de la base de datos:

Este recurso está disponible en las conclusiones de RDS Protection relacionadas con la versión de motor compatible de Limitless Database.

  • Identificador del grupo de fragmentos de base de datos: el nombre asociado al grupo de fragmentos de base de datos Limitless.

  • ID de recurso del grupo de fragmentos de base de datos: el identificador de recursos del grupo de fragmentos de base de datos dentro de la base de datos Limitless.

  • ARN del grupo de fragmentos de base de datos: el nombre de recurso de Amazon (ARN) que identifica el grupo de fragmentos de base de datos.

  • Motor: el identificador de la base de datos Limitless implicada en la búsqueda.

  • Versión de motor: la versión del motor Limitless DB.

  • Identificador del clúster de base de datos: nombre del clúster de base de datos que forma parte de la base de datos Limitless.

Para obtener información sobre los detalles de usuario y autenticación de la base de datos potencialmente afectada, consulteDetalles de usuario de la base de datos (DB) de RDS.

Lambda
Detalles de la función de Lambda

  • Nombre de la función: el nombre de la función de Lambda implicada en el resultado.

  • Versión de la función: la versión de la función de Lambda implicada en el resultado.

  • Descripción de la función: una descripción de la función de Lambda implicada en el resultado.

  • ARN de la función: el nombre de recurso de Amazon (ARN) de la función de Lambda implicada en el resultado.

  • ID de revisión: el ID de revisión de la versión de la función de Lambda.

  • Rol: el rol de ejecución de la función de Lambda implicada en el resultado.

  • Configuración de VPC: la configuración de Amazon VPC, que incluye el ID de VPC, el grupo de seguridad y la subred asociados a la función de Lambda. IDs

    • ID de VPC: el ID de Amazon VPC asociada a la función de Lambda implicada en el resultado.

    • Subred IDs: el ID de las subredes asociadas a la función Lambda.

    • Grupo de seguridad: el grupo de seguridad asociado a la función de Lambda implicada. Esto incluye el nombre del grupo de seguridad y el ID de grupo.

  • Etiquetas: una lista de etiquetas adjuntas a este recurso, con el formato de pares de key-value.

Detalles de búsqueda de la secuencia de ataque

GuardDuty proporciona detalles de cada hallazgo que genere en su cuenta. Estos detalles le ayudan a entender los motivos del hallazgo. Esta sección se centra en los detalles relacionados conTipos de búsqueda de secuencias de ataque. Esto incluye información como los recursos potencialmente afectados, el cronograma de los eventos, los indicadores, las señales y los puntos finales involucrados en el hallazgo.

Para ver los detalles relacionados con las señales que constituyen GuardDuty hallazgos, consulta las secciones correspondientes de esta página.

En la GuardDuty consola, al seleccionar una secuencia de ataque, el panel lateral de detalles se divide en las siguientes pestañas:

  • Descripción general: proporciona una vista compacta de los detalles de la secuencia de ataque, incluidas las señales, las tácticas de MITRE y los recursos potencialmente afectados.

  • Señales: muestra una cronología de los eventos que intervienen en una secuencia de ataque.

  • Recursos: proporciona información sobre los recursos potencialmente afectados o los recursos que están potencialmente en riesgo.

La siguiente lista proporciona descripciones asociadas a los detalles de búsqueda de la secuencia de ataque.

Señales

Una señal puede ser una actividad de la API o un hallazgo que se GuardDuty utiliza para detectar una secuencia de ataque. GuardDuty analiza las señales débiles que no se presentan como una amenaza clara, las agrupa y las correlaciona con los hallazgos generados individualmente. Para obtener más contexto, la pestaña Señales proporciona una cronología de las señales, tal y como se observa en. GuardDuty

Cada señal, es decir, un GuardDuty hallazgo, tiene su propio nivel de gravedad y valor asignado. En la GuardDuty consola, puede seleccionar cada señal para ver los detalles asociados.

Actores

Proporciona detalles sobre los actores de la amenaza en una secuencia de ataque. Para obtener más información, consulte Actor in Amazon GuardDuty API Reference.

Puntos de conexión

Proporciona detalles sobre los puntos finales de la red que se utilizaron en esta secuencia de ataque. Para obtener más información, consulta NetworkEndpointAmazon GuardDuty API Reference. Para obtener información sobre cómo se GuardDuty determina la ubicación, consulteDetalles de geolocalización.

Indicadores

Incluye datos observados que coinciden con el patrón de un problema de seguridad. Estos datos especifican por qué GuardDuty hay indicios de una actividad potencialmente sospechosa. Por ejemplo, cuando el nombre del indicador esHIGH_RISK_API, indica que se trata de una acción que suelen utilizar los actores de amenazas o de una acción delicada que puede tener un impacto potencial en una Cuenta de AWS persona, como acceder a las credenciales o modificar un recurso.

La siguiente tabla incluye una lista de posibles indicadores y sus descripciones:

Nombre del indicador Descripción

SUSPICIOUS_USER_AGENT

El agente de usuario está asociado a aplicaciones sospechosas o explotadas potencialmente conocidas, como los clientes de Amazon S3 y las herramientas de ataque.

SUSPICIOUS_NETWORK

Se sabe que la red está asociada a puntajes de reputación bajos, como los proveedores de redes privadas virtuales (VPN) y los servicios de proxy riesgosos.

MALICIOUS_IP

La dirección IP tiene información de amenazas confirmada que indica una intención maliciosa.

TOR_IP

La dirección IP está asociada a un nodo de salida de Tor.

HIGH_RISK_API

La AWS API que incluye el Servicio de AWS nombre e eventName indica una acción que suelen utilizar los actores de amenazas o se trata de una acción delicada que puede tener un impacto potencial en una de ellas Cuenta de AWS, como el acceso a una credencial o la modificación de un recurso.

ATTACK_TACTIC

Las tácticas de MITRE, como Discovery e Impact.

ATTACK_TECHNIQUE

La técnica MITRE utilizada por el actor de la amenaza en una secuencia de ataque. Algunos ejemplos incluyen acceder a los recursos y utilizarlos de forma no deseada, y explotar las vulnerabilidades.

UNUSUAL_API_FOR_ACCOUNT

Indica que la AWS API se invocó de forma anómala, en función de la línea base histórica de la cuenta. Para obtener más información, consulte Comportamiento anómalo.

UNUSUAL_ASN_FOR_ACCOUNT

Indica que el número de sistema autónomo (ASN) se identificó como anómalo, según la línea base histórica de la cuenta. Para obtener más información, consulte Comportamiento anómalo.

UNUSUAL_ASN_FOR_USER

Indica que el número de sistema autónomo (ASN) se identificó como anómalo, en función de la línea base histórica del usuario. Para obtener más información, consulte Comportamiento anómalo.

Tácticas de MITRE

Este campo especifica las tácticas MITRE ATT&CK que el actor de la amenaza intenta utilizar a través de una secuencia de ataque. GuardDuty utiliza el marco MITRE ATT&ACK, que añade contexto a toda la secuencia de ataque. Los colores que utiliza la GuardDuty consola para especificar los objetivos de amenaza utilizados por el autor de la amenaza se alinean con los colores que indican los valores crítico, alto, medio y bajo. Niveles de gravedad de los resultados

Indicadores de red

Los indicadores incluyen una combinación de valores de indicadores de red que explican por qué una red es indicativa de un comportamiento sospechoso. Esta sección es aplicable solo cuando el indicador incluye SUSPICIOUS_NETWORK oMALICIOUS_IP. El siguiente ejemplo muestra cómo se pueden asociar los indicadores de red a un indicador, donde:

  • AnyCompanyes un sistema autónomo (AS).

  • TUNNEL_VPNIS_ANONYMOUS, y ALLOWS_FREE_ACCESS son los indicadores de la red. 

...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...

La siguiente tabla incluye los valores de los indicadores de red y su descripción. Estas etiquetas se añaden en función de la información sobre amenazas GuardDuty recopilada de fuentes como Spur

Valor del indicador de red Descripción

TUNNEL_VPN

La dirección IP o de red está asociada a un tipo de túnel VPN. Se refiere a un protocolo específico que ayuda a establecer una conexión segura y cifrada entre dos puntos a través de una red pública.

TUNNEL_PROXY

La dirección IP o de red está asociada a un tipo de túnel proxy. Se refiere a un protocolo específico que ayuda a establecer una conexión a través de un servidor proxy.

TUNNEL_RDP

La dirección IP o de red está asociada al uso de un método de encapsulación del tráfico de escritorios remotos (RDP) dentro de otro protocolo para mejorar la seguridad, evitar las restricciones de la red o permitir el acceso remoto a través de firewalls.

IS_ANONYMOUS

La dirección IP o de red está asociada a un servicio anónimo o proxy conocido. Esto puede indicar posibles actividades sospechosas que se esconden detrás de redes anónimas.

KNOWN_THREAT_OPERATOR

La dirección IP o de red está asociada a un conocido proveedor de túneles riesgosos. Esto indica que se ha detectado actividad sospechosa en una dirección IP vinculada a una VPN, un proxy u otros servicios de tunelización que se utilizan con frecuencia con fines malintencionados.

ALLOWS_FREE_ACCESS

La dirección IP o de red está asociada a un operador de túnel que permite el acceso a su servicio sin necesidad de autenticación ni pago. También puede incluir cuentas de prueba o experiencias de uso limitado que ofrecen varios servicios en línea.

ALLOWS_CRYPTO

La dirección de red o IP está asociada a un proveedor de túneles (como una VPN o un servicio proxy) que acepta exclusivamente criptomonedas u otras monedas digitales como método de pago.

ALLOWS_TORRENTS

La dirección de red o IP está asociada a los servicios o plataformas que permiten el tráfico de torrents. Estos servicios suelen estar relacionados con el apoyo y el uso de torrents y con actividades de elusión de derechos de autor.

RISK_CALLBACK_PROXY

La dirección IP o de red está asociada a dispositivos conocidos por enrutar el tráfico a servidores proxy residenciales, servidores proxy de malware u otras redes tipo proxy de devolución de llamadas. Esto no implica que toda la actividad de la red esté relacionada con los proxies, sino que la red tiene la capacidad de enrutar el tráfico en nombre de estas redes proxy.

RISK_GEO_MISMATCH

Este indicador sugiere que el centro de datos o la ubicación de alojamiento de una red difieren de la ubicación esperada de los usuarios y dispositivos conectados a ella. Si el valor de este indicador no está presente, no significa que no haya discrepancia. Puede implicar que no hay datos suficientes para confirmar la discrepancia.

IS_SCANNER

La red o la dirección IP están asociadas a los intentos de inicio de sesión persistentes en los formularios web.

RISK_WEB_SCRAPING

La red de direcciones IP está asociada a los clientes web automatizados y a otras actividades web programáticas.

CLIENT_BEHAVIOR_FILE_SHARING

La red o la dirección IP están asociadas al comportamiento del cliente, lo que indica actividades de intercambio de archivos, como las redes peer-to-peer (P2P) o los protocolos de intercambio de archivos.

CATEGORY_COMMERCIAL_VPN

La dirección de red o IP está asociada a un operador de túnel que se clasifica como un servicio de red privada virtual (VPN) comercial tradicional que opera dentro del espacio del centro de datos.

CATEGORY_FREE_VPN

La dirección de red o IP está asociada a un operador de túnel que se clasifica como un servicio de VPN completamente gratuito.

CATEGORY_RESIDENTIAL_PROXY

La dirección de red o IP está asociada a un operador de túnel que se clasifica como SDK, malware o servicio proxy de get-paid-to origen.

OPERATOR_XXX

El nombre del proveedor de servicios que opera este túnel.

Detalles de usuario de la base de datos (DB) de RDS

nota

Esta sección se aplica a los resultados obtenidos al activar la función de protección RDS en GuardDuty. Para obtener más información, consulte GuardDuty Protección RDS.

El GuardDuty hallazgo proporciona los siguientes detalles de usuario y autenticación de la base de datos potencialmente comprometida:

  • Usuario: el nombre de usuario utilizado para llevar a cabo el intento de inicio de sesión anómalo.

  • Aplicación: el nombre de la aplicación utilizada para llevar a cabo el intento de inicio de sesión anómalo.

  • Base de datos: el nombre de la instancia de base de datos implicada en el intento de inicio de sesión anómalo.

  • SSL: la versión de capa de sockets seguros (SSL) utilizada para la red.

  • Método de autenticación: el método de autenticación utilizado por el usuario implicado en el resultado.

Para obtener información sobre el recurso potencialmente comprometido, consulteRecurso.

Detalles del resultado de la supervisión en tiempo de ejecución

nota

Es posible que estos detalles solo estén disponibles si GuardDuty genera uno de losGuardDuty Tipos de búsqueda de Runtime Monitoring.

Esta sección contiene los detalles del tiempo de ejecución, como los detalles del proceso y cualquier contexto necesario. Los detalles del proceso describen información sobre el proceso observado, y el contexto de ejecución describe cualquier información adicional sobre la actividad potencialmente sospechosa.

Detalles del proceso

  • Nombre: el nombre del proceso.

  • Ruta ejecutable: la ruta absoluta del archivo ejecutable del proceso.

  • SHA-256 ejecutable: el hash SHA256 del ejecutable del proceso.

  • PID del espacio de nombres: el ID del proceso en un espacio de nombres de PID secundario distinto del espacio de nombres de PID del host. En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor.

  • Directorio de trabajo actual: el directorio de trabajo actual del proceso.

  • ID del proceso: el ID asignado al proceso por el sistema operativo.

  • startTime: la hora en la que se ha iniciado el proceso. Está en formato de cadena de fecha UTC (2023-03-22T19:37:20.168Z).

  • UUID: el identificador único asignado al proceso por GuardDuty.

  • UUID principal: el ID único del proceso principal. Este ID lo asigna al proceso principal. GuardDuty

  • Usuario: el usuario que ha ejecutado el proceso.

  • ID del usuario: el ID del usuario que ha ejecutado el proceso.

  • ID del usuario efectivo: el ID del usuario efectivo del proceso en el momento del evento.

  • Linaje: información sobre los antepasados del proceso.

    • ID del proceso: el ID asignado al proceso por el sistema operativo.

    • UUID: el identificador único asignado al proceso por GuardDuty.

    • Ruta ejecutable: la ruta absoluta del archivo ejecutable del proceso.

    • ID del usuario efectivo: el ID del usuario efectivo del proceso en el momento del evento.

    • UUID principal: el ID único del proceso principal. Este ID lo asigna al proceso principal. GuardDuty

    • Hora de inicio: la hora en la que se ha iniciado el proceso.

    • PID del espacio de nombres: el ID del proceso en un espacio de nombres de PID secundario distinto del espacio de nombres de PID del host. En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor.

    • ID del usuario: el ID del usuario que ejecutó el proceso.

    • Nombre: el nombre del proceso.

Contexto del tiempo de ejecución

De los siguientes campos, un resultado generado puede incluir solo los campos que son relevantes para el tipo de resultado.

  • Origen de la montura: la ruta en el host que monta el contenedor.

  • Destino de la montura: la ruta del contenedor que está asignada al directorio del host.

  • Tipo de sistema de archivos: representa el tipo de sistema de archivos montado.

  • Marcas: representan las opciones que controlan el comportamiento del evento implicado en este resultado.

  • Proceso de modificación: información sobre el proceso que ha creado o modificado un binario, un script o una biblioteca dentro de un contenedor en tiempo de ejecución.

  • Modificado el: la marca de tiempo en la que el proceso ha creado o modificado un binario, un script o una biblioteca dentro de un contenedor en tiempo de ejecución. Este campo está en formato de cadena de fecha UTC (2023-03-22T19:37:20.168Z).

  • Ruta de la biblioteca: la ruta a la nueva biblioteca que se ha cargado.

  • Valor de precarga de LD: el valor de la variable de entorno LD_PRELOAD.

  • Ruta del socket: la ruta al socket de Docker al que se accedió.

  • Ruta al binario Runc: la ruta al binario runc.

  • Ruta del agente de lanzamiento: la ruta al archivo del agente de lanzamiento del cgroup.

  • Ejemplo de línea de comandos: ejemplo de la línea de comandos implicada en la actividad potencialmente sospechosa.

  • Categoría de herramienta: categoría a la que pertenece la herramienta. Algunos ejemplos son las herramientas de puerta trasera, prueba de penetración, analizador de red y rastreador de red.

  • Nombre de la herramienta: el nombre de la herramienta potencialmente sospechosa.

  • Ruta del script: la ruta al script ejecutado que generó el resultado.

  • Ruta del archivo de amenazas: la ruta sospechosa en la que se encontraron los detalles de la inteligencia de amenazas.

  • Nombre del servicio: el nombre del servicio de seguridad que se ha desactivado.

Detalles del análisis de volúmenes de EBS

nota

Esta sección se aplica a los hallazgos al activar el análisis GuardDuty de malware iniciado. Protección contra malware para EC2

El análisis de volúmenes de EBS proporciona detalles sobre el volumen de EBS asociado a la carga de trabajo de la EC2 instancia o del contenedor potencialmente comprometida.

  • ID de análisis: el identificador del análisis de malware.

  • Análisis iniciado el: la fecha y hora en que inició el análisis de malware.

  • Análisis completado el: la fecha y la hora en que se completó el análisis de malware.

  • ID de búsqueda del disparador: el identificador de búsqueda del GuardDuty hallazgo que inició este análisis de malware.

  • Orígenes: los valores potenciales son Bitdefender y Amazon.

    Para obtener más información sobre el motor de análisis utilizado para detectar malware, consulte GuardDuty motor de escaneo de detección de malware.

  • Detecciones de análisis: la vista completa de los detalles y los resultados de cada análisis de malware.

    • Recuento de elementos analizados: el número total de archivos analizados. Proporciona detalles como totalGb, files y volumes.

    • Recuento de elementos de amenazas detectadas: el número total de files maliciosos detectados durante el análisis.

    • Detalles de las amenazas de mayor gravedad: los detalles de la amenaza de mayor gravedad detectada durante el análisis y el número de archivos maliciosos. Proporciona detalles como severity, threatName y count.

    • Amenazas detectadas por nombre: el elemento del contenedor que agrupa las amenazas de todos los niveles de gravedad. Proporciona detalles como itemCount, uniqueThreatNameCount, shortened y threatNames.

Protección contra malware para EC2 encontrar detalles

nota

Esta sección se aplica a los hallazgos al activar el análisis GuardDuty de malware iniciado. Protección contra malware para EC2

Cuando la protección contra malware para EC2 análisis detecte malware, puedes ver los detalles del análisis seleccionando el resultado correspondiente en la página de resultados de la https://console.aws.amazon.com/guardduty/consola. La gravedad del dispositivo de protección contra malware que busque dependerá de la gravedad del GuardDuty hallazgo. EC2

La siguiente información está disponible en la sección Amenazas detectadas del panel de detalles.

  • Nombre: el nombre de la amenaza, obtenido al agrupar los archivos por detección.

  • Gravedad: el nivel de gravedad de la amenaza detectada.

  • Hash: el SHA-256 del archivo.

  • Ruta de archivo: la ubicación del archivo malicioso en el volumen de EBS.

  • Nombre de archivo: el nombre del archivo en el que se detectó la amenaza.

  • ARN del volumen: el ARN de los volúmenes de EBS analizados.

La siguiente información está disponible en la sección Detalles del análisis de malware del panel de detalles.

  • ID de análisis: el ID del análisis de malware.

  • Análisis iniciado el: la fecha y hora en que inició el análisis.

  • Análisis completado el: la fecha y la hora en que se completó el análisis.

  • Archivos analizados: el número total de archivos y directorios analizados.

  • Total de GB analizados: la cantidad de almacenamiento analizada durante el proceso.

  • Identificador de búsqueda del disparador: el identificador de GuardDuty búsqueda del hallazgo que inició este análisis de malware.

  • La siguiente información está disponible en la sección Detalles del volumen del panel de detalles.

    • ARN del volumen: el nombre de recurso de Amazon (ARN) del volumen.

    • SnapshotARN: el ARN de la instantánea del volumen de EBS.

    • Estado: el estado de análisis del volumen, como Running, Skipped y Completed.

    • Tipo de cifrado: el tipo de cifrado utilizado en el volumen. Por ejemplo, CMCMK.

    • Nombre del dispositivo: el nombre del dispositivo. Por ejemplo, /dev/xvda.

Detalles de los resultados de la protección contra malware para S3

Los siguientes detalles del análisis de software malicioso están disponibles al activar GuardDuty tanto la protección contra malware para S3 en su dispositivo Cuenta de AWS:

  • Amenazas: una lista de las amenazas detectadas durante el análisis de malware.

    Múltiples amenazas potenciales en archivos de archivo

    Si tiene un archivo de archivo con varias amenazas potenciales, la protección contra malware para S3 solo informa de la primera amenaza detectada. Después de esto, el estado del escaneo se marca como completado. GuardDuty genera el tipo de búsqueda asociado y también envía EventBridge los eventos que genera. Para obtener más información sobre la supervisión de los escaneos de objetos de Amazon S3 mediante los EventBridge eventos, consulte el ejemplo de esquema de notificaciones de THREATS_FOUND en. Producto del análisis del objeto S3

  • Ruta del elemento: una lista de rutas de elementos anidados y detalles del hash del objeto de S3 analizado.

    • Ruta del elemento anidado: ruta del elemento del objeto de S3 analizado en el que se detectó la amenaza.

      El valor de este campo solo estará disponible si el objeto de nivel superior es un archivo y si se detecta una amenaza dentro de un archivo.

    • Hash: hash de la amenaza detectada en este resultado.

  • Orígenes: los valores potenciales son Bitdefender y Amazon.

    Para obtener más información sobre el motor de análisis utilizado para detectar malware, consulte GuardDuty motor de escaneo de detección de malware.

Acción

La acción de un resultado proporciona detalles sobre el tipo de actividad que desencadenó el resultado. La información disponible variará en función del tipo de acción.

Tipo de acción: el tipo de actividad del resultado. Este valor puede ser NETWORK_CONNECTION, PORT_PROBE, DNS_REQUEST, _CALL o RDS_LOGIN_ATTEMPT. AWS_API La información disponible variará en función del tipo de acción:

  • NETWORK_CONNECTION: indica que se intercambió tráfico de red entre la instancia identificada y el host remoto. EC2 Este tipo de acción presenta la siguiente información adicional:

    • Dirección de conexión: la dirección de conexión de red observada en la actividad que provocó GuardDuty la generación del hallazgo. Puede ser uno de los siguientes valores:

      • Entrante: indica que un host remoto inició una conexión a un puerto local en la EC2 instancia identificada en su cuenta.

      • SALIENTE: indica que la EC2 instancia identificada inició una conexión a un host remoto.

      • DESCONOCIDO: indica que no se GuardDuty pudo determinar la dirección de la conexión.

    • Protocolo: el protocolo de conexión de red observado en la actividad que provocó GuardDuty la generación del hallazgo.

    • IP local: la dirección IP de origen original del tráfico que activó el resultado. Se puede usar esta información para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, la dirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el pod EKS.

    • Bloqueado: indica si el puerto objetivo está bloqueado.

  • PORT_PROBE: indica que un host remoto ha sondeado la EC2 instancia identificada en varios puertos abiertos. Este tipo de acción presenta la siguiente información adicional:

    • IP local: la dirección IP de origen original del tráfico que activó el resultado. Se puede usar esta información para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, la dirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el pod EKS.

    • Bloqueado: indica si el puerto objetivo está bloqueado.

  • DNS_REQUEST: indica que la instancia identificada EC2 consultó un nombre de dominio. Este tipo de acción presenta la siguiente información adicional:

    • Protocolo: el protocolo de conexión de red observado en la actividad que provocó GuardDuty la generación del hallazgo.

    • Bloqueado: indica si el puerto objetivo está bloqueado.

  • AWS_API_CALL: indica que se ha invocado una AWS API. Este tipo de acción presenta la siguiente información adicional:

    • API: el nombre de la operación de API que se invocó y, por lo tanto, se le pidió GuardDuty que generara este hallazgo.

      nota

      Estas operaciones también pueden incluir eventos que no pertenecen a la API capturados por AWS CloudTrail. Para obtener más información, consulte Eventos ajenos a la API capturados por CloudTrail.

    • Agente de usuario: el agente de usuario que hizo la solicitud de API. Este valor indica si la llamada se realizó desde AWS Management Console, un AWS servicio AWS SDKs, el o el AWS CLI.

    • CÓDIGO DE ERROR: si una llamada fallida a la API ha desencadenado el resultado, se muestra el código de error de esa llamada.

    • Nombre del servicio: el nombre de DNS del servicio que ha intentado hace la llamada a la API que desencadenó el resultado.

  • RDS_LOGIN_ATTEMPT: indica que se intentó iniciar sesión en la base de datos potencialmente afectada desde una dirección IP remota.

    • Dirección IP: la dirección IP remota que se utilizó para llevar a cabo el intento de inicio de sesión potencialmente sospechoso.

Actor u objetivo

Un resultado tendrá una sección Actor si el Rol de recurso era TARGET. Esto indica que su recurso fue objeto de actividad sospechosa y la sección Actor contendrá detalles sobre la entidad que tenía el recurso como objetivo.

Un resultado tendrá una sección Objetivo si el Rol de recurso era ACTOR. Esto indica que su recurso estuvo involucrado en actividad sospechosa contra un host remoto y esta sección contendrá información sobre la IP o el dominio que era el objetivo de su recurso.

La información disponible en la sección Actor u Objetivo puede incluir lo siguiente:

  • Afiliado: detalla si la AWS cuenta de la persona que llama a la API remota está relacionada con su GuardDuty entorno. Si este valor es true, la persona que llama a la API está afiliada a su cuenta de alguna manera; si es false, la persona que llama a la API es ajena a su entorno.

  • ID de cuenta remota: el ID de cuenta propietaria de la dirección IP saliente que se utilizó para acceder al recurso en la red final.

  • Dirección IP: la dirección IP implicada en la actividad que provocó GuardDuty la generación del hallazgo.

  • Ubicación: información de ubicación de la dirección IP implicada en la actividad que provocó GuardDuty la generación del hallazgo.

  • Organización: información de la organización del ISP sobre la dirección IP implicada en la actividad que motivó GuardDuty la generación del hallazgo.

  • Puerto: el número de puerto implicado en la actividad que motivó GuardDuty la generación del hallazgo.

  • Dominio: el dominio implicado en la actividad que provocó GuardDuty la generación del hallazgo.

  • Dominio con sufijo: el dominio de segundo y superior nivel implicado en una actividad que podría provocar la generación del hallazgo. GuardDuty Para obtener una lista de dominios de primer y segundo nivel, consulte la lista de sufijos públicos.

Detalles de geolocalización

GuardDuty determina la ubicación y la red de las solicitudes mediante bases de datos de MaxMind GeoIP. MaxMind informa de una precisión muy alta de sus datos a nivel de país, aunque la precisión varía en función de factores como el país y el tipo de dirección IP. Para obtener más información MaxMind, consulte Geolocalización MaxMind IP. Si cree que alguno de los datos de GeoIP es incorrecto, envíe una solicitud de corrección MaxMind a MaxMindCorrect Geo IP2 Data.

Información adicional

Todos los resultados tienen una sección de Información adicional donde se puede encontrar la siguiente información:

  • Nombre de la lista de amenazas: el nombre de la lista de amenazas que incluye la dirección IP o el nombre de dominio involucrados en la actividad GuardDuty que provocó la búsqueda.

  • Muestra: un valor verdadero o falso que indica si se trata de un resultado de muestra.

  • Archivado: un valor verdadero o falso que indica si el resultado se ha archivado.

  • Inusual: detalles de las actividades que no se han observado históricamente. Pueden incluir cualquier usuario, hora, ubicación, bucket, comportamiento de inicio de sesión u organización de ASN inusuales (no observados previamente).

  • Protocolo inusual: el protocolo de conexión de red implicado en la actividad GuardDuty que provocó la generación del hallazgo.

  • Detalles del agente: detalles sobre el agente de seguridad que está implementado actualmente en el clúster de EKS de su Cuenta de AWS. Esto solo se aplica a los tipos de resultados de la Supervisión en tiempo de ejecución de EKS.

    • Versión del agente: la versión del agente GuardDuty de seguridad.

    • ID del agente: el identificador único del agente GuardDuty de seguridad.

Evidencia

Los resultados que se obtienen mediante la inteligencia sobre amenazas tienen una sección de Evidencia que incluye la siguiente información:

  • Detalles de inteligencia de amenazas: el nombre de la lista de amenazas en la que aparece el Threat name reconocido.

  • Nombre de la amenaza: el nombre de la familia de malware u otro identificador asociado a la amenaza.

  • Archivo de amenazas SHA256: SHA256 del archivo que generó el hallazgo.

Comportamiento anómalo

Los tipos de hallazgos que terminan en «AnomalousBehaviorindican que el hallazgo se generó mediante el modelo de aprendizaje automático (ML) para la detección de GuardDuty anomalías. El modelo de ML evalúa todas las solicitudes de API a su cuenta e identifica los eventos anómalos relacionados con las tácticas utilizadas por los adversarios. El modelo de ML da seguimiento a varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó.

Los detalles sobre los factores de la solicitud de API que son inusuales para la identidad del CloudTrail usuario que invocó la solicitud se encuentran en los detalles de la búsqueda. Las identidades las define el elemento CloudTrail UserIdentity y los valores posibles sonRoot:,,IAMUser,, AssumedRole o. FederatedUser AWSAccount AWSService

Además de los detalles disponibles para todos los GuardDuty hallazgos relacionados con la actividad de la API, AnomalousBehaviorlos hallazgos tienen detalles adicionales que se describen en la siguiente sección. Estos detalles se pueden ver en la consola y también están disponibles en el JSON de los resultados.

  • Anómala APIs: una lista de solicitudes de API que fueron invocadas por la identidad del usuario cerca de la solicitud de API principal asociada al hallazgo. En este panel se desglosan en profundidad los detalles del evento de la API de las siguientes maneras.

    • La primera API de la lista es la API principal, que es la solicitud de API asociada a la actividad observada de mayor riesgo. Esta es la API que ha desencadenado el resultado y se correlaciona con la fase de ataque del tipo de resultado. Esta es también la API que se detalla en la sección Acción de la consola y en el JSON del resultado.

    • Todas las demás de la APIs lista son anómalas adicionales APIs a la identidad de usuario de la lista observada cerca de la API principal. Si solo hay una API en la lista, el modelo de ML no ha identificado como anómala ninguna solicitud de API adicional procedente de esa identidad de usuario.

    • La lista de APIs se divide en función de si una API se llamó correctamente o si la API no se llamó correctamente, lo que significa que se recibió una respuesta de error. El tipo de respuesta de error recibida aparece encima de cada API llamada incorrectamente. Los posibles tipos de respuesta de error son: access denied, access denied exception, auth failure, instance limit exceeded, invalid permission - duplicate, invalid permission - not found y operation not permitted.

    • APIs se clasifican según el servicio asociado.

    • Para obtener más contexto, selecciona Historial APIs para ver los detalles de los primeros APIs, hasta un máximo de 20, que normalmente se muestran tanto para la identidad del usuario como para todos los usuarios de la cuenta. APIs Se marcan como raras (menos de una vez al mes), Infrecuentes (varias veces al mes) o Frecuentes (diarias o semanales), en función de la frecuencia con la que se utilicen en su cuenta.

  • Comportamiento inusual (cuenta): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado de su cuenta.

    Comportamiento perfilado

    GuardDuty recibe información continua sobre las actividades de tu cuenta en función de los eventos que se ofrecen. Estas actividades y su frecuencia observada se conocen como comportamiento perfilado.

    La información rastreada en este panel incluye:

    • Organización de ASN: la organización de número de sistema autónomo (ASN) desde la que se realizó la llamada anómala a la API.

    • Nombre de usuario: el nombre del usuario que hizo la llamada anómala a la API.

    • Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, aws-cli o Botocore.

    • Tipo de usuario: el tipo de usuario que hizo la llamada anómala a la API. Los valores posibles son AWS_SERVICE, ASSUMED_ROLE, IAM_USER o ROLE.

    • Bucket: el nombre del bucket de S3 al que se ha accedido.

  • Comportamiento inusual (identidad de usuario): en esta sección se proporcionan detalles adicionales sobre el comportamiento perfilado de la identidad de usuario implicado en el resultado. Cuando un comportamiento no se identifica como histórico, significa que el modelo de aprendizaje GuardDuty automático no había visto previamente esta identidad de usuario haciendo esta llamada a la API de esta manera durante el período de entrenamiento. Los siguientes detalles adicionales sobre la identidad de usuario están disponibles:

    • Organización de ASN: la organización de ASN desde la que se hizo la llamada anómala a la API.

    • Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, aws-cli o Botocore.

    • Bucket: el nombre del bucket de S3 al que se ha accedido.

  • Comportamiento inusual (bucket): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado del bucket de S3 asociado al resultado. Cuando un comportamiento no se identifica como histórico, significa que en el modelo de aprendizaje GuardDuty automático no se habían realizado anteriormente llamadas a la API a este segmento de esta manera durante el período de formación. La información rastreada en esta sección incluye:

    • Organización de ASN: la organización de ASN desde la que se hizo la llamada anómala a la API.

    • Nombre de usuario: el nombre del usuario que hizo la llamada anómala a la API.

    • Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, aws-cli o Botocore.

    • Tipo de usuario: el tipo de usuario que hizo la llamada anómala a la API. Los valores posibles son AWS_SERVICE, ASSUMED_ROLE, IAM_USER o ROLE.

    nota

    Para más información sobre los comportamientos históricos, seleccione Comportamiento histórico en las secciones Comportamiento inusual (cuenta), ID de usuario o Bucket para ver detalles sobre el comportamiento esperado de su cuenta en cada una de las siguientes categorías: Raro (menos de una vez al mes), Poco frecuente (varias veces al mes) o Frecuente (diario o semanal), según la frecuencia con la que se usen en la cuenta.

  • Comportamiento inusual (base de datos): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado de la instancia de base de datos asociada al resultado. Cuando un comportamiento no se identifica como histórico, significa que en el modelo de aprendizaje GuardDuty automático no se ha realizado anteriormente ningún intento de inicio de sesión en esta instancia de base de datos de esta manera durante el período de entrenamiento. La información recopilada en esta sección del panel de resultados incluye:

    • Nombre de usuario: el nombre de usuario utilizado para llevar a cabo el intento de inicio de sesión anómalo.

    • Organización de ASN: la organización de ASN desde la que se hizo el intento de inicio de sesión anómalo.

    • Nombre de la aplicación: el nombre de la aplicación utilizada para llevar a cabo el intento de inicio de sesión anómalo.

    • Nombre de base de datos: el nombre de la instancia de base de datos implicada en el intento de inicio de sesión anómalo.

    La sección Comportamiento histórico proporciona más contexto sobre los Nombres de usuario, Organizaciones de ASN, Nombres de las aplicaciones y Nombres de bases de datos observados anteriormente para la base de datos asociada. Cada valor único tiene un recuento asociado que representa el número de veces que se observó este valor en un evento de inicio de sesión exitoso.

  • Comportamiento inusual (clúster de Kubernetes de la cuenta, espacio de nombres de Kubernetes y nombre de usuario de Kubernetes): esta sección proporciona detalles adicionales sobre el comportamiento perfilado para el clúster de Kubernetes y el espacio de nombres asociados al resultado. Cuando un comportamiento no se identifica como histórico, significa que el modelo de aprendizaje GuardDuty automático no ha observado previamente esta cuenta, clúster, espacio de nombres o nombre de usuario de esta manera. La información recopilada en esta sección del panel de resultados incluye:

    • Nombre de usuario: el usuario que llamó a la API de Kubernetes asociada al resultado.

    • Nombre de usuario suplantado: el usuario suplantado por username.

    • Espacio de nombres: el espacio de nombres de Kubernetes dentro del clúster de Amazon EKS en el que se produjo la acción.

    • Agente de usuario: el agente de usuario asociado a la llamada a la API de Kubernetes. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, kubectl.

    • API: la API de Kubernetes llamada por username dentro del clúster de Amazon EKS.

    • Información de ASN: la información de ASN, como la organización y el proveedor de servicios de Internet, asociada a la dirección IP del usuario que realiza esta llamada.

    • Día de la semana: el día de la semana en que se realizó la llamada a la API de Kubernetes.

    • Permiso: el verbo de Kubernetes y el recurso cuyo acceso se comprueba para indicar si el username puede o no utilizar la API de Kubernetes.

    • Nombre de la cuenta de servicio: la cuenta de servicio asociada a la carga de trabajo de Kubernetes que proporciona una identidad a la carga de trabajo.

    • Registro: el registro del contenedor asociado a la imagen del contenedor que se implementa en la carga de trabajo de Kubernetes.

    • Imagen: la imagen de contenedor, sin las etiquetas ni el resumen asociados, que se implementa en la carga de trabajo de Kubernetes.

    • Configuración del prefijo de la imagen: el prefijo de la imagen con la configuración de seguridad del contenedor y la carga de trabajo habilitada, por ejemplo hostNetwork o privileged para el contenedor que usa la imagen.

    • Nombre del sujeto: los sujetos, como un user, group, o serviceAccountName que están vinculados a un rol de referencia en un RoleBinding o ClusterRoleBinding.

    • Nombre del rol: el nombre del rol que participa en la creación o modificación de roles o en la API roleBinding.

Anomalías basadas en el volumen de S3

En esta sección, se detalla la información contextual de las anomalías basadas en el volumen de S3. El resultado basado en el volumen (Exfiltration:S3/AnomalousBehavior) supervisa un número inusual de llamadas a la API de S3 hechas por los usuarios a los buckets de S3, lo que indica una posible exfiltración de datos. Las siguientes llamadas a la API de S3 se supervisan para detectar anomalías basadas en el volumen.

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

Las siguientes métricas ayudarían a crear una referencia del comportamiento habitual cuando una entidad de IAM accede a un bucket de S3. Para detectar la exfiltración de datos, el resultado de la detección de anomalías basada en el volumen evalúa todas las actividades con respecto a la referencia de comportamiento habitual. Seleccione Comportamiento histórico en las secciones Comportamiento inusual (identidad de usuario), Volumen observado (identidad de usuario) y Volumen observado (bucket) para ver las siguientes métricas, respectivamente.

  • Número de llamadas a la API s3-api-name invocadas por el usuario de IAM o rol de IAM (depende de cuál se haya emitido) asociados al bucket de S3 afectado en las últimas 24 horas.

  • Número de llamadas a la API s3-api-name invocadas por el usuario de IAM o rol de IAM (depende de cuál se haya emitido) asociados a todos los buckets de S3 afectados en las últimas 24 horas.

  • Número de llamadas a la API s3-api-name en todos los usuarios de IAM o roles de IAM (depende de cuál se haya emitido) asociados al bucket de S3 afectado en las últimas 24 horas.

Anomalías basadas en la actividad de inicio de sesión en RDS

En esta sección, se detalla el recuento de los intentos de inicio de sesión de un actor inusual y se agrupa por el resultado de los intentos de inicio de sesión. Tipos de resultados de la protección de RDS identifica el comportamiento anómalo mediante la supervisión de los eventos de inicio de sesión para detectar patrones inusuales de successfulLoginCount, failedLoginCount y incompleteConnectionCount.

  • successfulLoginCount— Este contador representa la suma de las conexiones correctas (combinación correcta de atributos de inicio de sesión) realizadas a la instancia de la base de datos por un actor inusual. Los atributos de inicio de sesión incluyen el nombre de usuario, la contraseña y el nombre de la base de datos.

  • failedLoginCount— Este contador representa la suma de los intentos de inicio de sesión fallidos (fallidos) realizados para establecer una conexión con la instancia de base de datos. Esto indica que uno o varios atributos de la combinación de inicio de sesión, como el nombre de usuario, la contraseña o el nombre de la base de datos, eran incorrectos.

  • incompleteConnectionCount— Este contador representa el número de intentos de conexión que no se pueden clasificar como exitosos o fallidos. Estas conexiones se cierran antes de que la base de datos proporcione una respuesta. Por ejemplo, se analiza un puerto cuando el puerto de la base de datos está conectado, pero no se envía ningún dato a la base de datos o cuando la conexión se interrumpió antes de que se completara el inicio de sesión en un intento exitoso o fallido.