Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Empezar con GuardDuty
Este tutorial proporciona una introducción práctica a GuardDuty. Los requisitos mínimos para GuardDuty habilitarla como cuenta independiente o como GuardDuty administrador se describen en el paso 1. AWS Organizations Los pasos 2 a 5 incluyen el uso de las funciones adicionales recomendadas por usted GuardDuty para aprovechar al máximo sus hallazgos.
Temas
Antes de empezar
GuardDuty es un servicio de detección de amenazas que supervisa Orígenes de datos fundamentales eventos AWS CloudTrail de administración, registros de flujo de Amazon VPC y registros de consultas de Amazon Route 53 Resolver DNS. GuardDutytambién analiza las funciones asociadas a sus tipos de protección solo si las habilita por separado. Las características incluyen los registros de auditoría de Kubernetes, la actividad de inicio de sesión de RDS, AWS CloudTrail los eventos de datos para Amazon S3, los volúmenes de Amazon EBS, Runtime Monitoring y los registros de actividad de red Lambda. El uso de estas fuentes de datos y funciones (si están habilitadas) GuardDuty genera conclusiones de seguridad para su cuenta.
Una vez habilitada GuardDuty, comienza a monitorear tu cuenta para detectar posibles amenazas en función de las actividades de las fuentes de datos fundamentales. De forma predeterminada, Detección de amenazas extendida está habilitada para todas las personas Cuentas de AWS que la tengan habilitada GuardDuty. Esta función detecta secuencias de ataques en varias etapas que abarcan varias fuentes de datos, AWS recursos y tiempo fundamentales de su cuenta. Para detectar posibles amenazas a AWS recursos específicos, puede optar por habilitar los planes de protección que ofrece, centrados en los casos de uso. GuardDuty Para obtener más información, consulte Características de GuardDuty.
No necesita habilitar ninguna de las fuentes de datos fundamentales de forma explícita. Al habilitar la protección de S3, no es necesario habilitar explícitamente el registro de eventos de datos de Amazon S3. Del mismo modo, al habilitar la protección de EKS, no es necesario habilitar explícitamente los registros de auditoría de Amazon EKS. Amazon GuardDuty extrae flujos de datos independientes directamente de estos servicios.
En el caso de una GuardDuty cuenta nueva, algunos de los tipos de protección disponibles que se admiten en una Región de AWS están habilitados e incluidos en el período de prueba gratuito de 30 días de forma predeterminada. Puede excluirse voluntariamente de uno o de todos ellos. Si ya tiene una opción Cuenta de AWS GuardDuty habilitada, puede optar por habilitar alguno o todos los planes de protección disponibles en su región. Para obtener información general sobre los planes de protección y qué planes de protección se habilitarán de forma predeterminada, consulte Precios en GuardDuty.
Al habilitarlo GuardDuty, tenga en cuenta lo siguiente:
-
GuardDuty es un servicio regional, lo que significa que cualquiera de los procedimientos de configuración que siga en esta página debe repetirse en cada región con la que desee supervisar GuardDuty.
Le recomendamos encarecidamente que lo habilite GuardDuty en todas AWS las regiones compatibles. Esto permite GuardDuty generar información sobre actividades no autorizadas o inusuales, incluso en las regiones que no está utilizando activamente. Esto también permite GuardDuty monitorear AWS CloudTrail los eventos para AWS servicios globales como IAM. Si no GuardDuty está habilitada en todas las regiones compatibles, se reduce su capacidad para detectar actividades que involucren servicios globales. Para obtener una lista completa de las regiones en las GuardDuty que está disponible, consulteRegiones y puntos de conexión.
-
Cualquier usuario con privilegios de administrador en una AWS cuenta puede GuardDuty habilitarlos; sin embargo, siguiendo las prácticas recomendadas de seguridad en materia de privilegios mínimos, se recomienda crear un rol, usuario o grupo de IAM para administrarlo GuardDuty específicamente. Para obtener información sobre los permisos necesarios para habilitarlos, GuardDuty consultePermisos requeridos para habilitar GuardDuty.
-
Cuando se habilita GuardDuty por primera vez en una región Región de AWS, de forma predeterminada, también se habilitan todos los tipos de protección disponibles y compatibles en esa región, incluida la protección contra malware para EC2. GuardDuty crea un rol vinculado a un servicio para tu cuenta denominado.
AWSServiceRoleForAmazonGuardDuty
Esta función incluye los permisos y las políticas de confianza que permiten GuardDuty consumir y analizar los eventos directamente desde ellos GuardDuty fuentes de datos fundamentales para generar conclusiones de seguridad. Malware Protection for EC2 crea otro rol vinculado a un servicio para tu cuenta llamado.AWSServiceRoleForAmazonGuardDutyMalwareProtection
Esta función incluye los permisos y las políticas de confianza que permiten a Malware Protection EC2 realizar análisis sin agentes para detectar malware en su cuenta. GuardDuty Permite GuardDuty crear una instantánea del volumen de EBS en su cuenta y compartirla con la GuardDuty cuenta de servicio. Para obtener más información, consulte Permisos de rol vinculados al servicio para GuardDuty. Para obtener más información acerca de los roles vinculados a servicios, consulte Uso de roles vinculados a servicios. -
Cuando lo habilita GuardDuty por primera vez en una región, su AWS cuenta se inscribe automáticamente en una prueba GuardDuty gratuita de 30 días para esa región.
En el siguiente vídeo se explica cómo se puede empezar a utilizar una cuenta de administrador GuardDuty y habilitarla en varias cuentas de miembros.
Paso 1: Habilita Amazon GuardDuty
El primer paso para usarlo GuardDuty es habilitarlo en su cuenta. Una vez activado, GuardDuty comenzará inmediatamente a monitorear las amenazas a la seguridad en la región actual.
Si, como GuardDuty administrador, desea gestionar GuardDuty los resultados de otras cuentas de su organización, debe añadir las cuentas de GuardDuty los miembros y activarlas también.
nota
Si desea activar la protección contra GuardDuty malware para S3 sin habilitarla GuardDuty, consulte los pasos a seguir enGuardDuty Protección contra malware para S3.
Paso 2: generación de resultados de muestra y exploración de las operaciones básicas
Cuando GuardDuty descubre un problema de seguridad, genera un hallazgo. Un GuardDuty hallazgo es un conjunto de datos que contiene detalles relacionados con ese problema de seguridad único. Los detalles del resultado se pueden utilizar para ayudarle a investigar el problema.
GuardDuty permite generar ejemplos de hallazgos con valores indicativos, que se pueden utilizar para probar la GuardDuty funcionalidad y familiarizarse con los hallazgos antes de tener que responder a un problema de seguridad real descubierto por GuardDuty la persona. Siga la siguiente guía para generar ejemplos de resultados para cada tipo de hallazgo disponible. Si desea GuardDuty conocer otras formas de generar ejemplos de resultados, incluida la generación de un evento de seguridad simulado en su cuenta, consulte. Hallazgos de ejemplo
Creación y exploración de los resultados de muestra
-
En el panel de navegación, seleccione Configuración.
-
En la página Settings, en Sample findings, elija Generate sample findings.
-
En el panel de navegación, elija Resumen para ver la información sobre los hallazgos generados en su AWS entorno. Para obtener más información acerca de los componentes del panel de resumen, consulte Panel de resumen en Amazon GuardDuty.
-
En el panel de navegación, seleccione Resultados. Los resultados de muestra se muestran en la página Resultados actuales con el prefijo [SAMPLE].
-
Seleccione un resultado de la lista para ver sus detalles.
-
Puede revisar los distintos campos de información disponibles en el panel de detalles del resultado. Los distintos tipos de resultados pueden tener campos diferentes. Para obtener más información acerca de los campos disponibles en todos los tipos de resultados, consulte Detalles de los resultados. Puede llevar a cabo las siguientes acciones en el panel de detalles:
-
Seleccione el ID de resultado en la parte superior del panel para abrir los detalles JSON completos del resultado. El archivo JSON completo también se puede descargar desde este panel. El JSON contiene información adicional que no se incluye en la vista de consola y es el formato que pueden incorporar otras herramientas y servicios.
-
Consulte la sección Recurso afectado. Si se trata de una conclusión real, la información que aparece aquí le ayudará a identificar un recurso de su cuenta que deba investigarse e incluirá enlaces a los recursos adecuados AWS Management Console para utilizar.
-
Seleccione los iconos de la lupa con el signo + o - para crear un filtro inclusivo o exclusivo para ese detalle. Para obtener más información acerca de los filtros de resultados, consulte Filtrar los hallazgos en GuardDuty.
-
-
-
Archivado de todos los resultados de muestra
-
Para seleccionar todos los resultados, marque la casilla de verificación situada en la parte superior de la lista.
-
Anule la selección de los resultados que desee conservar.
-
Seleccione el menú Acciones y, a continuación, seleccione Archivar para ocultar los resultados de muestra.
nota
Para ver los resultados archivados, seleccione Actual y, a continuación, Archivado para cambiar la vista de los resultados.
-
Paso 3: Configurar la exportación de GuardDuty los resultados a un bucket de Amazon S3
GuardDuty recomienda configurar los ajustes para exportar los hallazgos, ya que le permite exportar los hallazgos a un bucket de S3 para su almacenamiento indefinido más allá del período de retención de GuardDuty 90 días. Esto le permite mantener un registro de los hallazgos o realizar un seguimiento de los problemas en su AWS entorno a lo largo del tiempo. GuardDuty cifra los datos de los hallazgos en su depósito de S3 mediante AWS Key Management Service (AWS KMS key). Para configurar los ajustes, debe asignar GuardDuty al permiso una clave KMS. Para obtener pasos más detallados, consulteExportar los resultados generados a Amazon S3.
Para exportar GuardDuty los resultados al bucket de Amazon S3
Adjunte la política a la clave de KMS
-
Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms
. -
Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
-
En el panel de navegación, elija Claves administradas por el cliente.
-
Seleccione una clave KMS existente o lleve a cabo los pasos para crear una clave KMS de cifrado simétrico que se indican en la AWS Key Management Service Guía para desarrolladores.
La región de la clave de KMS y del bucket de Amazon S3 debe ser la misma.
Copie la clave ARN en un bloc de notas para utilizarla en los pasos posteriores.
-
En la sección Política clave de su clave de KMS, elija Editar. Si aparece Cambiar a vista de política, elíjala para mostrar la Política de claves y, a continuación, elija Editar.
-
Copia el siguiente bloque de políticas a tu política de claves de KMS:
{ "Sid": "AllowGuardDutyKey", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "
KMS key ARN
", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012", "aws:SourceArn": "arn:aws:guardduty:Region2
:123456789012
:detector/SourceDetectorID
" } } }Edite la política sustituyendo los siguientes valores formateados
red
en el ejemplo de política:-
KMS key ARN
Sustitúyala por el nombre de recurso de Amazon (ARN) de la clave KMS. Para localizar el ARN de la clave, consulte Encontrar el ID y el ARN de la clave en la Guía para desarrolladores de AWS Key Management Service . -
123456789012
Sustitúyalo por el Cuenta de AWS ID propietario de la GuardDuty cuenta que exporta los resultados. -
Region2
Sustitúyalo por el Región de AWS lugar donde se generan los GuardDuty hallazgos. -
SourceDetectorID
Sustitúyalo por eldetectorID
de la GuardDuty cuenta de la región específica en la que se generaron los hallazgos.Para encontrar la
detectorId
correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta el ListDetectorsAPI.
-
-
Adjunte la política al bucket de Amazon S3
Si aún no dispone de un bucket de Amazon S3 al que desee exportar estos resultados, consulte Crear un bucket en la Guía del usuario de Amazon S3.
-
Siga los pasos descritos en Para crear o editar una política de bucket en la Guía del usuario de Amazon S3, hasta que aparezca la página Editar política de bucket.
-
La política de ejemplo muestra cómo conceder GuardDuty permisos para exportar los resultados a su bucket de Amazon S3. Si cambia la ruta después de configurar la exportación de resultados, deberá modificar la política para conceder permiso a la nueva ubicación.
Copie la siguiente política de ejemplo y péguela en el Editor de políticas de bucket.
Si ha agregado la instrucción de política antes de la instrucción final, agregue una coma antes de agregar esta instrucción. Asegúrese de que la sintaxis JSON de la política de la clave de KMS es válida.
Política de ejemplo de bucket de S3
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Allow GetBucketLocation", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "
Amazon S3 bucket ARN
", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012
", "aws:SourceArn": "arn:aws:guardduty:Region2
:123456789012
:detector/SourceDetectorID
" } } }, { "Sid": "Allow PutObject", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "Amazon S3 bucket ARN/[optional prefix]
/*", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012
", "aws:SourceArn": "arn:aws:guardduty:Region2
:123456789012
:detector/SourceDetectorID
" } } }, { "Sid": "Deny unencrypted object uploads", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "Amazon S3 bucket ARN/[optional prefix]
/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "Deny incorrect encryption header", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "Amazon S3 bucket ARN/[optional prefix]
/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "KMS key ARN
" } } }, { "Sid": "Deny non-HTTPS access", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "Amazon S3 bucket ARN/[optional prefix]
/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ] } -
Edite la política sustituyendo los siguientes valores que están formateados
red
en el ejemplo de política:-
Amazon S3 bucket ARN
Sustitúyalo por el nombre de recurso de Amazon (ARN) del bucket de Amazon S3. Puedes encontrar el ARN del bucket en la página Editar la política del bucket de la https://console.aws.amazon.com/s3/consola. -
123456789012
Sustitúyalo por el Cuenta de AWS ID propietario de la GuardDuty cuenta que exporta los resultados. -
Region2
Sustitúyalo por el Región de AWS lugar donde se generan los GuardDuty hallazgos. -
SourceDetectorID
Sustitúyalo por eldetectorID
de la GuardDuty cuenta de la región específica en la que se generaron los hallazgos.Para encontrar la
detectorId
correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta el ListDetectorsAPI. -
Sustituya
[optional prefix]
parte del valor delS3 bucket ARN/[optional prefix]
marcador de posición por una ubicación de carpeta opcional a la que desee exportar los resultados. Para obtener más información sobre el uso de prefijos, consulte Organizar objetos mediante prefijos en la Guía del usuario de Amazon S3.Cuando proporciones una ubicación de carpeta opcional que aún no exista, la GuardDuty creará solo si la cuenta asociada al depósito de S3 es la misma que la cuenta que exporta los resultados. Al exportar resultados a un bucket de S3 que pertenece a otra cuenta, la ubicación de la carpeta ya debe existir.
-
KMS key ARN
Sustitúyala por el nombre de recurso de Amazon (ARN) de la clave de KMS asociada al cifrado de los hallazgos exportados al bucket de S3. Para localizar el ARN de la clave, consulte Encontrar el ID y el ARN de la clave en la Guía para desarrolladores de AWS Key Management Service .
-
-
Pasos en la consola GuardDuty
Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/
. -
En el panel de navegación, seleccione Configuración.
-
En la página Configuración, bajo Opciones de exportación de resultados, en Bucket de S3, elija Configurar ahora (o Editar, según sea necesario).
-
Para el ARN del bucket S3, introduzca el lugar
bucket ARN
al que desea enviar los resultados. Para ver el ARN del bucket, consulte Visualización de las propiedades de un bucket de S3 en la Guía del usuario de Amazon S3. -
En ARN de la clave de KMS, ingrese el
key ARN
. Para localizar el ARN clave, consulta Buscar el ID y el ARN clave en la Guía para desarrolladores.AWS Key Management Service -
Seleccione Guardar.
Paso 4: Configure la GuardDuty búsqueda de alertas a través de las redes sociales
GuardDuty se integra con Amazon EventBridge, que se puede utilizar para enviar los datos de los resultados a otras aplicaciones y servicios para su procesamiento. Con EventBridge ellas, puede utilizar GuardDuty los hallazgos para iniciar respuestas automáticas a sus hallazgos conectando los eventos de búsqueda con objetivos, como AWS Lambda las funciones, la automatización de Amazon EC2 Systems Manager, Amazon Simple Notification Service (SNS) y más.
En este ejemplo, creará un tema de SNS para que sea el objetivo de una EventBridge regla y, a continuación, lo utilizará EventBridge para crear una regla a partir de la cual se recopilen los datos de los hallazgos. GuardDuty La regla resultante reenvía los detalles de los resultados a una dirección de correo electrónico. Para obtener información sobre cómo enviar resultados a Slack o Amazon Chime y cómo modificar los tipos de resultados por los que se envían las alertas, consulte Configuración de un tema y un punto de conexión de Amazon SNS.
Creación de un tema de SNS para sus alertas de resultados
-
En el panel de navegación, elija Temas.
-
Elija Create Topic (Crear tema).
-
En Tipo, seleccione Estándar.
-
En Nombre, escriba
GuardDuty
. -
Elija Create Topic (Crear tema). Se abrirán los detalles del nuevo tema.
-
En la sección Suscripciones, elija Crear suscripción.
-
En Protocolo, elige Correo electrónico.
-
En Punto de conexión, introduzca la dirección de correo electrónico a la que desea enviar notificaciones.
-
Elija Crear una suscripción.
Después de crear su suscripción, debe confirmarla a través de su dirección de correo electrónico.
-
Para comprobar si hay un mensaje de suscripción, vaya a la bandeja de entrada de su correo electrónico y, en el mensaje de suscripción, seleccione Confirmar suscripción.
nota
Para comprobar el estado de la confirmación de correo electrónico, vaya a la consola de SNS y seleccione Suscripciones.
Para crear una EventBridge regla que recoja los GuardDuty hallazgos y les dé formato
-
Abra la EventBridge consola en https://console.aws.amazon.com/events/
. -
En el panel de navegación, seleccione Reglas.
-
Elija Creación de regla.
-
Escriba un nombre y una descripción para la regla.
Una regla no puede tener el mismo nombre que otra regla de la misma región y del mismo bus de eventos.
-
En Bus de eventos, elija Predeterminado.
-
En Tipo de regla, elija Regla con un patrón de evento.
-
Seleccione Siguiente.
-
En Origen de eventos, seleccione (Eventos de AWS ).
-
En la sección Patrón de eventos, seleccione Formulario de patrón de eventos.
-
En Origen de evento, seleccione Servicios de AWS .
-
En Servicio de AWS , seleccione GuardDuty.
-
En Tipo de evento, elija GuardDutyBuscar.
-
Elija Next (Siguiente).
-
En Tipos de destino, seleccione Servicio de AWS .
-
En Seleccionar un destino, elija Tema de SNS y, en Tema, elija el nombre del tema de SNS que creó anteriormente.
-
En la sección Additional settings, en Configurar la entrada de destino, elija Transformador de entrada.
Al añadir un transformador de entrada, los datos de búsqueda de JSON enviados se GuardDuty convierten en un mensaje legible para las personas.
-
Elija Configurar transformador de entrada.
-
En la sección Transformador de entrada de destino, en Ruta de entrada, pegue el siguiente código:
{ "severity": "$.detail.severity", "Finding_ID": "$.detail.id", "Finding_Type": "$.detail.type", "region": "$.region", "Finding_description": "$.detail.description" }
-
Para formatear el correo electrónico, en Plantilla, pegue el siguiente código y asegúrese de sustituir el texto que aparece en rojo por los valores que correspondan a la región:
"You have a severity
severity
GuardDuty finding typeFinding_Type
in theRegion_Name
Region." "Finding Description:" "Finding_Description
." "For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region
#/findings?search=id%3DFinding_ID
" -
Seleccione Confirmar.
-
Elija Next (Siguiente).
-
(Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información, consulta las EventBridge etiquetas de Amazon en la Guía del EventBridge usuario de Amazon.
-
Elija Next (Siguiente).
-
Revise los detalles de la regla y seleccione Creación de regla.
-
(Opcional) Pruebe la nueva regla generando resultados de muestra con el proceso descrito en el paso 2. Recibirá un correo electrónico por cada resultado de muestra que se genere.
Pasos a seguir a continuación
A medida que las utilice GuardDuty, comprenderá los tipos de hallazgos que son relevantes para su entorno. Cada vez que reciba un nuevo resultado, podrá encontrar información, como recomendaciones para corregir dicho resultado, al seleccionar Más información en la descripción del resultado en el panel de detalles del resultado o al buscar el nombre del resultado en GuardDuty buscar tipos.
Las siguientes funciones le ayudarán a GuardDuty ajustarlo para que pueda proporcionar los hallazgos más relevantes para su AWS entorno:
-
Para ordenar fácilmente los resultados en función de criterios específicos, como el ID de instancia, el ID de cuenta, el nombre del bucket de S3, etc., puede crear filtros y guardarlos en ellos GuardDuty. Para obtener más información, consulte Filtrar los hallazgos en GuardDuty.
-
Si recibe resultados sobre el comportamiento esperado de su entorno, puede archivarlos automáticamente en función de los criterios que defina con las reglas de supresión.
-
Para evitar que los resultados se generen a partir de un subconjunto de sitios de confianza IPs, o para que el GuardDuty monitor quede IPs fuera del ámbito de supervisión habitual, puedes configurar listas de IP fiables y de amenazas.