¿Qué es Amazon GuardDuty?
Amazon GuardDuty es un servicio de detección de amenazas que supervisa, analiza y procesa continuamente los orígenes de datos y los registros del entorno de AWS. GuardDuty utiliza fuentes de inteligencia de amenazas, como listas de direcciones IP y dominios maliciosos, hashes de archivos y modelos de machine learning (ML) para identificar actividades sospechosas y potencialmente maliciosas en el entorno de AWS. En la siguiente lista se proporciona información general sobre los posibles escenarios de amenazas que GuardDuty puede ayudar a detectar:
-
Credenciales de AWS comprometidas y filtradas.
-
Filtración y destrucción de datos que puede conducir a un evento de ransomware. Patrones inusuales de eventos de inicio de sesión en versiones de motor compatibles de bases de datos de Amazon Aurora y Amazon RDS, que indican un comportamiento anómalo.
-
Actividad de minería de criptomonedas no autorizada en las instancias y cargas de trabajo de contenedores de Amazon Elastic Compute Cloud (Amazon EC2).
-
Presencia de malware en las instancias de Amazon EC2 y en las cargas de trabajo de contenedores, así como en los archivos recién cargados en los buckets de Amazon Simple Storage Service (Amazon S3).
-
Eventos a nivel de sistema operativo, redes y archivos que indiquen un comportamiento no autorizado en los clústeres de Amazon Elastic Kubernetes Service (Amazon EKS), tareas de AWS Fargate Amazon Elastic Container Service (Amazon ECS) e instancias y cargas de trabajo de contenedores de Amazon EC2 .
En el siguiente video se ofrece información general sobre cómo GuardDuty ayuda a detectar amenazas en el entorno de AWS.
Contenido
Características de GuardDuty
Estas son algunas de las formas clave en las que Amazon GuardDuty ayuda a supervisar, detectar y administrar posibles amenazas en el entorno de AWS.
- Supervisa continuamente orígenes de datos y registros de eventos específicos
-
-
Detección de amenazas fundamentales: al habilitar GuardDuty en una Cuenta de AWS, este comienza automáticamente a ingerir los orígenes de datos fundamentales asociados con dicha cuenta. Estos orígenes de datos incluyen eventos de administración de AWS CloudTrail, registros de flujo de VPC (de instancias de Amazon EC2) y registros de DNS. No necesita habilitar nada más para que GuardDuty comience a analizar y procesar estos orígenes de datos para generar resultados de seguridad asociados. Para obtener más información, consulte Orígenes de datos fundamentales de GuardDuty.
-
Planes de protección GuardDuty centrados en casos de usoAWS: para mejorar la visibilidad de detección de amenazas en la seguridad del entorno de AWS, GuardDuty ofrece planes de protección dedicados que puede optar por habilitar. Los planes de protección ayudan a supervisar los registros y eventos de otros servicios de AWS. Estos orígenes incluyen registros de auditoría de EKS, actividad de inicio de sesión en RDS, eventos de datos de Amazon S3 en CloudTrail, volúmenes de EBS, Supervisión en tiempo de ejecución en Amazon EKS, Amazon EC2 y Amazon ECS-Fargate, así como registros de actividad de red de Lambda. GuardDuty consolida estos registros y orígenes de eventos bajo el término: características. Puede habilitar uno o más planes de protección dedicados en una Región de AWS compatible en cualquier momento. GuardDuty comenzará a supervisar, procesar y analizar las actividades en función del plan de protección que habilite. Para obtener más información sobre cada plan de protección y su funcionamiento, consulte el documento del plan de protección correspondiente.
Plan de protección Descripción Identifica posibles riesgos de seguridad, como intentos de filtración y destrucción de datos en los buckets de Amazon S3.
La supervisión de registros de auditoría de EKS analiza los registros de auditoría de Kubernetes de los clústeres de Amazon EKS en busca de actividades potencialmente sospechosas y maliciosas.
Supervisa y analiza eventos a nivel de sistema operativo en Amazon EKS, Amazon EC2 y Amazon ECS (incluido AWS Fargate) para detectar posibles amenazas en tiempo de ejecución.
Detecta la posible presencia de malware mediante el análisis de los volúmenes de Amazon EBS asociados a las instancias de Amazon EC2. Existe la opción de utilizar esta característica bajo demanda.
Detecta la posible presencia de malware en los objetos recién cargados en los buckets de Amazon S3.
Analiza la actividad de inicio de sesión en RDS y elabora perfiles para detectar posibles amenazas de acceso a las bases de datos compatibles de Amazon Aurora y Amazon RDS.
Supervisa los registros de actividad de red de Lambda, a partir de los registros de flujo de VPC, con el fin de detectar amenazas a las funciones de AWS Lambda. Entre las amenazas potenciales figuran la minería de criptomonedas y la comunicación con servidores maliciosos.
Habilitar la protección contra malware para S3 de forma independiente
GuardDuty brinda flexibilidad para utilizar la protección contra malware para S3 de forma independiente, sin habilitar el servicio de Amazon GuardDuty. Para obtener más información sobre cómo comenzar a utilizar únicamente la protección contra malware para S3, consulte Protección contra malware para S3 de GuardDuty. Para utilizar todos los demás planes de protección, debe habilitar el servicio de GuardDuty.
-
- Administre un entorno de varias cuentas
-
Puede administrar un entorno de AWS de varias cuentas ya sea mediante AWS Organizations (opción recomendada) o a través del tradicional método por invitación. Para obtener más información, consulte Múltiples cuentas en GuardDuty.
- Genera resultados de seguridad para las amenazas detectadas
-
Cuando GuardDuty detecta amenazas potenciales a la seguridad asociadas a los recursos de AWS, comienza a generar resultados de seguridad que brindan información sobre el recurso potencialmente comprometido. Después de habilitar GuardDuty en la cuenta, genere Hallazgos de ejemplo para ver el Detalles de los resultados asociado. Para obtener una lista completa de los resultados de seguridad, consulte Tipos de resultados de GuardDuty.
Con GuardDuty, también puede usar un script de herramienta de pruebas que genere resultados de seguridad específicos de GuardDuty para comprender cómo revisar los resultados de GuardDuty y responder ante estos. Para obtener más información, consulte Pruebe los resultados de GuardDuty en cuentas dedicadas.
- Evaluar y administrar los resultados de seguridad
-
GuardDuty consolida los resultados de seguridad de las cuentas y muestra el producto en el panel de resumen de la Consola de GuardDuty. También puede recuperar los resultados a través de la API AWS Security Hub, AWS Command Line Interface o el SDK de AWS. Gracias a una perspectiva integral del estado actual de la seguridad, podrá identificar tendencias y posibles problemas, además de implementar las medidas correctivas necesarias. Para obtener más información, consulte Administrar los resultados de GuardDuty.
- Integración con los servicios de seguridad de AWS relacionados
-
Para facilitar aún más el análisis y la investigación de las tendencias de seguridad en el entorno de AWS, considere la posibilidad de utilizar los siguientes servicios de AWS relacionados con la seguridad en combinación con GuardDuty.
-
AWS Security Hub: este servicio ofrece una visión completa del estado de seguridad de los recursos de AWS, a la vez que ayuda a comprobar el entorno de AWS respecto a las prácticas recomendadas y los estándares del sector de seguridad. Para ello, entre otras cosas, consume, agrega, organiza y prioriza los resultados de seguridad de múltiples servicios de AWS (incluido Amazon Macie) y productos compatibles de la red de socios de AWS (APN). Security Hub lo ayuda a analizar sus tendencias de seguridad para identificar y dar prioridad a los problemas de seguridad en su entorno de AWS.
Para obtener información sobre el uso conjunto de GuardDuty y Security Hub, consulte Integración de GuardDuty con AWS Security Hub. Para obtener más información sobre Security Hub, consulte la AWS Security HubGuía del usuario.
-
Amazon Detective: este servicio ayuda a analizar, investigar e identificar rápidamente la causa raíz de los resultados de seguridad o las actividades sospechosas. Detective recopila automáticamente los datos de registro de sus recursos de AWS. A continuación, utiliza el machine learning, el análisis estadístico y la teoría de grafos para generar visualizaciones que lo ayuden a realizar investigaciones sobre la seguridad con mayor rapidez y de forma más eficaz. Las agregaciones de datos, resúmenes y contexto predefinidos de Detective ayudan a analizar los posibles problemas de seguridad, así como a determinar su naturaleza y alcance.
Para obtener información sobre cómo utilizar GuardDuty y Detective conjuntamente, consulte Integración de GuardDuty con Amazon Detective. Para obtener más información sobre Detective, consulte la Guía del usuario de Amazon Detective.
-
Amazon EventBridge: este servicio facilita la recepción de notificaciones y la respuesta a los resultados de seguridad de GuardDuty casi en tiempo real. GuardDuty crea un evento cuando se produce un cambio en los resultados. Puede seleccionar la frecuencia con la que desea recibir las notificaciones de EventBridge. Para obtener más información, consulte ¿Qué es Amazon EventBridge? en la Guía del usuario de Amazon EventBridge.
-
Conformidad con DSS de PCI
GuardDuty admite el procesamiento, el almacenamiento y la transmisión de datos de tarjetas de crédito por parte de un comerciante o proveedor de servicios. Además, se ha validado como conforme al estándar de seguridad de datos (DSS) de la industria de tarjetas de pago (PCI). Para obtener más información acerca de PCI DSS, incluido cómo solicitar una copia del Paquete de conformidad con PCI de AWS, consulte PCI DSS Nivel 1
Para obtener más información, consulte Nueva prueba realizada por un tercero compara Amazon GuardDuty con los sistemas de detección de intrusiones en la red
