Supervisión del tiempo de ejecución de GuardDuty
La supervisión en tiempo de ejecución observa y analiza los eventos a nivel de sistema operativo, red y archivos para ayudar a detectar posibles amenazas en cargas de trabajo específicas del entorno de AWS.
Recursos de AWS admitidos en la supervisión en tiempo de ejecución: GuardDuty lanzó inicialmente la supervisión en tiempo de ejecución para admitir únicamente los recursos de Amazon Elastic Kubernetes Service (Amazon EKS). Ahora, puede utilizar la característica de supervisión en tiempo de ejecución para disponer de detección de amenazas también para los recursos de AWS Fargate Amazon Elastic Container Service (Amazon ECS) y Amazon Elastic Compute Cloud (Amazon EC2).
GuardDuty no admite clústeres de Amazon EKS que se ejecuten en AWS Fargate.
En este documento y en otras secciones relacionadas con la supervisión en tiempo de ejecución, GuardDuty utiliza la terminología de tipo de recurso para referirse a los recursos de Amazon EKS, Fargate Amazon ECS y Amazon EC2.
La supervisión en tiempo de ejecución utiliza un agente de seguridad de GuardDuty que aporta visibilidad al comportamiento en tiempo de ejecución, como el acceso a archivos, la ejecución de procesos, los argumentos de línea de comandos y las conexiones de red. Para cada tipo de recurso que desee supervisar en busca de posibles amenazas, puede administrar el agente de seguridad correspondiente a ese tipo de recurso específico de forma automática o manual (a excepción de Fargate, solo Amazon ECS). Administrar el agente de seguridad automáticamente significa que permite a GuardDuty instalar y actualizar el agente de seguridad en su nombre. Por otra parte, al administrar manualmente el agente de seguridad para los recursos, usted será responsable de instalar y actualizar el agente de seguridad, según sea necesario.
Gracias a esta capacidad ampliada, GuardDuty puede ayudar a identificar amenazas potenciales que pueden tener como objetivo aplicaciones y datos que se ejecutan en las cargas de trabajo e instancias individuales, y responder ante estas. Por ejemplo, una amenaza puede empezar por comprometer un único contenedor que ejecuta una aplicación web vulnerable. Es posible que esta aplicación web tenga permisos de acceso a los contenedores y las cargas de trabajo subyacentes. En este escenario, las credenciales mal configuradas podrían dar lugar a un acceso más amplio a la cuenta y a los datos almacenados en ella.
Al analizar los eventos en tiempo de ejecución de los contenedores y cargas de trabajo individuales, GuardDuty puede identificar potencialmente si un contenedor y las credenciales de AWS asociadas se han visto comprometidos en una fase inicial, y detectar intentos de escalar privilegios, solicitudes de API sospechosas y accesos maliciosos a los datos en el entorno.
Contenido
- Funcionamiento
- ¿Cómo funciona la prueba gratuita de 30 días en la supervisión en tiempo de ejecución?
- Requisitos previos para habilitar la Supervisión en tiempo de ejecución
- Habilitar la Supervisión en tiempo de ejecución de GuardDuty
- Administrar los agentes de seguridad de GuardDuty
- Revisar las estadísticas de la cobertura en tiempo de ejecución y resolución de problemas
- Configuración de la supervisión de la CPU y la memoria
- Utilizar una VPC compartida con agentes de seguridad automatizados
- Utilizar la Infraestructura como Código (IaC) con agentes de seguridad automatizados de GuardDuty
- Tipos de eventos de tiempo de ejecución recopilados que utiliza GuardDuty
- Repositorio de Amazon ECR que aloja el agente de GuardDuty
- Dos agentes de seguridad en el mismo host subyacente
- Supervisión en tiempo de ejecución de EKS en GuardDuty
- Versiones del agente de seguridad de GuardDuty
- Desactivar, desinstalar y limpiar recursos en la Supervisión en tiempo de ejecución
