Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para GuardDuty
Estos AWS Security Hub controles evalúan el GuardDuty servicio y los recursos de Amazon.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[GuardDuty.1] GuardDuty debe estar activado
Requisitos relacionados: PCI DSS v3.2.1/11.4, PCI DSS v4.0.1/11.5.1, NIST.800-53.r5 AC-2 (12), (4), 1 (1), 1 (6), 5 (2), 5 (8), (19) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-20, NIST.800-53.r5 SA-1 NIST.800-53.r5 SI-20 -3 (8), NIST.800-53.r5 SA-8 NiSt.800-53.r5 SI-4, NIST.800-53.r5 SA-8 NiSt.800-53.r5 SI-4 NIST.800-53.r5 SA-8 NIST.800-53.r5 SC-5 (1) NIST.800-53.r5 SC-5, NiSt.800-53.r5 SI-4 NIST.800-53.r5 SC-5 (13), NiSt.800-53.r5 SI-4 (13), NiSt.800-53.r5 SI-4 (25), NIst.800-53.r5 SI-4 (25), NIst.800-53.r5 SI-4 (25), NIst.800-53.r5 SI-4 (25) -4 (4), NiSt.800-53.r5 SI-4 (5)
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config : guardduty-enabled-centralized
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si Amazon GuardDuty está activado en tu GuardDuty cuenta y región.
Se recomienda encarecidamente que lo habilites GuardDuty en todas las AWS regiones compatibles. Si lo hace, podrá GuardDuty obtener información sobre actividades no autorizadas o inusuales, incluso en las regiones que no utilice activamente. Esto también permite monitorear CloudTrail eventos GuardDuty a nivel mundial Servicios de AWS , como la IAM.
Corrección
Para activarlo GuardDuty, consulta Cómo empezar con GuardDuty en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.2] GuardDuty los filtros deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::GuardDuty::Filter
Regla de AWS Config : tagged-guardduty-filter (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si un GuardDuty filtro de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el filtro no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el filtro no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a un GuardDuty filtro, consulte TagResourceen la referencia de la GuardDuty API de Amazon.
[GuardDuty.3] GuardDuty IPSets debe estar etiquetado
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::GuardDuty::IPSet
Regla de AWS Config : tagged-guardduty-ipset (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si Amazon GuardDuty IPSet tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si IPSet no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si IPSet no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a, consulte GuardDuty IPSet TagResourceen la referencia de la GuardDuty API de Amazon.
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : tagged-guardduty-detector (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen los requisitos de AWS |
No default value
|
Este control comprueba si un GuardDuty detector de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el detector no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el detector no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a AWS los recursos. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Para qué sirve ABAC? AWS en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a un GuardDuty detector, consulte TagResourceen la referencia de la GuardDuty API de Amazon.
[GuardDuty.5] La supervisión del registro de auditoría de GuardDuty EKS debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-eks-protection-audit-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la supervisión del registro de auditoría de GuardDuty EKS está habilitada. En el caso de una cuenta independiente, el control falla si la supervisión del registro de auditoría de GuardDuty EKS está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la monitorización de registros de auditoría de EKS.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta del administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de supervisión del registro de auditoría de EKS para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la monitorización del registro de auditoría de GuardDuty EKS. Para recibir una PASSED confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
GuardDuty La monitorización de registros de auditoría de EKS le ayuda a detectar actividades potencialmente sospechosas en sus clústeres de Amazon Elastic Kubernetes Service (Amazon EKS). La supervisión de registros de auditoría de EKS utiliza los registros de auditoría de Kubernetes para capturar las actividades cronológicas de los usuarios, las aplicaciones que utilizan la API de Kubernetes y el plano de control.
Corrección
Para habilitar la supervisión del registro de auditoría de GuardDuty EKS, consulte la supervisión del registro de auditoría de EKS en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-lambda-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la Protección GuardDuty Lambda está habilitada. En el caso de una cuenta independiente, el control falla si GuardDuty Lambda Protection está deshabilitada en la cuenta. En un entorno de varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la Protección Lambda.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado. GuardDuty Solo el administrador delegado puede activar o desactivar la función Lambda Protection para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la Protección GuardDuty Lambda. Para recibir una confirmaciónPASSED, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
GuardDuty Lambda Protection le ayuda a identificar posibles amenazas de seguridad cuando se invoca una AWS Lambda función. Después de activar Lambda Protection, GuardDuty comienza a monitorear los registros de actividad de la red Lambda asociados a las funciones de Lambda en su. Cuenta de AWS Cuando se invoca una función Lambda e GuardDuty identifica tráfico de red sospechoso que indica la presencia de un fragmento de código potencialmente malicioso en la función Lambda, GuardDuty genera una detección.
Corrección
Para activar GuardDuty Lambda Protection, consulte Configuración de Lambda Protection en la Guía del usuario de Amazon. GuardDuty
[GuardDuty.7] La monitorización del tiempo de ejecución de GuardDuty EKS debe estar habilitada
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoría: Detectar - Servicios de detección
Gravedad: media
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-eks-protection-runtime-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la monitorización del tiempo de ejecución de GuardDuty EKS con administración automática de agentes está habilitada. En el caso de una cuenta independiente, el control falla si GuardDuty EKS Runtime Monitoring con administración automática de agentes está deshabilitado en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada EKS Runtime Monitoring con la administración automática de agentes habilitada.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función EKS Runtime Monitoring, que permite gestionar automáticamente los agentes de las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la monitorización de tiempo de ejecución de GuardDuty EKS. Para recibir una PASSED confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
EKS Protection en Amazon GuardDuty ofrece cobertura de detección de amenazas para ayudarle a proteger los clústeres de Amazon EKS en su AWS entorno. La supervisión en tiempo de ejecución de EKS utiliza los eventos de nivel de sistema operativo para ayudarlo a detectar posibles amenazas en los nodos y contenedores de EKS de sus clústeres de EKS.
Corrección
Para habilitar EKS Runtime Monitoring con la administración automatizada de agentes, consulte Habilitar GuardDuty Runtime Monitoring en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-malware-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la protección contra GuardDuty malware está habilitada. En el caso de una cuenta independiente, el control falla si la protección contra GuardDuty malware está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la protección contra malware.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de protección contra malware para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección contra GuardDuty malware. Para recibir una PASSED confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
GuardDuty Malware Protection for le EC2 ayuda a detectar la posible presencia de malware escaneando los volúmenes de Amazon Elastic Block Store (Amazon EBS) adjuntos a las instancias y cargas de trabajo de contenedores de Amazon Elastic Compute Cloud ( EC2Amazon). Malware Protection ofrece opciones de escaneo que le permiten decidir si desea incluir o excluir EC2 instancias y cargas de trabajo de contenedores específicas en el momento del escaneo. También ofrece la opción de conservar en sus cuentas las instantáneas de los volúmenes de EBS adjuntos a las EC2 instancias o cargas de trabajo de los contenedores. GuardDuty Las instantáneas se conservan solo cuando se encuentra malware y se generan los resultados de la protección contra malware.
Corrección
Para activar la protección contra GuardDuty malware EC2, consulte Configuración del análisis GuardDuty de malware iniciado en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.9] La protección GuardDuty RDS debe estar habilitada
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-rds-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la protección RDS está habilitada. GuardDuty En el caso de una cuenta independiente, el control falla si la protección de GuardDuty RDS está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la protección RDS.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado. GuardDuty Solo el administrador delegado puede activar o desactivar la función de protección RDS para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección GuardDuty RDS. Para recibir una confirmaciónPASSED, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
RDS Protection GuardDuty analiza y perfila la actividad de inicio de sesión de RDS para detectar posibles amenazas de acceso a sus bases de datos de Amazon Aurora (Aurora MySQL Edition y Aurora compatible con PostgreSQL). Esta característica le permite identificar comportamientos de inicio de sesión potencialmente sospechosos. La protección de RDS no requiere infraestructura adicional; está diseñada para no afectar al rendimiento de las instancias de bases de datos. Cuando RDS Protection detecta un intento de inicio de sesión potencialmente sospechoso o anómalo que indica una amenaza para su base de datos, GuardDuty genera un nuevo hallazgo con detalles sobre la base de datos potencialmente comprometida.
Corrección
Para activar la protección de GuardDuty RDS, consulte Protección de GuardDuty RDS en la Guía GuardDuty del usuario de Amazon.
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-s3-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la protección S3 está habilitada. GuardDuty En el caso de una cuenta independiente, el control falla si GuardDuty S3 Protection está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la protección S3.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta del administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de protección S3 para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección GuardDuty S3. Para recibir una PASSED confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
S3 Protection permite supervisar las operaciones de las API GuardDuty a nivel de objeto para identificar posibles riesgos de seguridad para los datos contenidos en sus depósitos de Amazon Simple Storage Service (Amazon S3). GuardDuty monitorea las amenazas contra sus recursos de S3 mediante el análisis de los eventos AWS CloudTrail de administración y los eventos de datos de CloudTrail S3.
Corrección
Para activar la protección GuardDuty S3, consulte Amazon S3 Protection en Amazon GuardDuty en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-runtime-monitoring-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la monitorización del tiempo de ejecución está habilitada en Amazon GuardDuty. En el caso de una cuenta independiente, el control falla si GuardDuty Runtime Monitoring está deshabilitado para la cuenta. En un entorno con varias cuentas, el control falla si GuardDuty Runtime Monitoring está deshabilitado para la cuenta de GuardDuty administrador delegado y para todas las cuentas de los miembros.
En un entorno con varias cuentas, solo el GuardDuty administrador delegado puede activar o desactivar GuardDuty Runtime Monitoring para las cuentas de su organización. Además, solo el GuardDuty administrador puede configurar y administrar los agentes de seguridad que GuardDuty utiliza para la supervisión en tiempo de ejecución de AWS las cargas de trabajo y los recursos de las cuentas de la organización. GuardDuty las cuentas de los miembros no pueden activar, configurar ni deshabilitar Runtime Monitoring para sus propias cuentas.
GuardDuty Runtime Monitoring observa y analiza los eventos a nivel del sistema operativo, las redes y los archivos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de su entorno. Utiliza agentes de GuardDuty seguridad que añaden visibilidad al comportamiento en tiempo de ejecución, como el acceso a los archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar para detectar posibles amenazas, como los clústeres de Amazon EKS y las EC2 instancias de Amazon.
Corrección
Para obtener información sobre cómo configurar y habilitar GuardDuty Runtime Monitoring, consulte GuardDuty Runtime Monitoring y Enabling GuardDuty Runtime Monitoring en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: media
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-ecs-protection-runtime-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el agente de seguridad GuardDuty automatizado de Amazon está activado para la supervisión en tiempo de ejecución de los clústeres de Amazon ECS AWS Fargate. En el caso de una cuenta independiente, el control falla si el agente de seguridad está deshabilitado para la cuenta. En un entorno con varias cuentas, el control falla si el agente de seguridad está deshabilitado en la cuenta de GuardDuty administrador delegado y en todas las cuentas de los miembros.
En un entorno con varias cuentas, este control solo genera resultados en la cuenta del administrador delegado GuardDuty . Esto se debe a que solo el GuardDuty administrador delegado puede habilitar o deshabilitar la supervisión en tiempo de ejecución de los recursos de ECS-Fargate para las cuentas de su organización. GuardDuty las cuentas de los miembros no pueden hacer esto para sus propias cuentas. Además, este control genera FAILED resultados si GuardDuty se suspende para una cuenta de miembro y la supervisión del tiempo de ejecución de los recursos de ECS-Fargate está deshabilitada para la cuenta de miembro. Para recibir una confirmaciónPASSED, el GuardDuty administrador debe desasociar la cuenta de miembro suspendida de su cuenta de administrador mediante. GuardDuty
GuardDuty Runtime Monitoring observa y analiza los eventos a nivel del sistema operativo, las redes y los archivos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de su entorno. Utiliza agentes de GuardDuty seguridad que añaden visibilidad al comportamiento en tiempo de ejecución, como el acceso a los archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar para detectar posibles amenazas. Esto incluye los clústeres de Amazon ECS activados AWS Fargate.
Corrección
Para habilitar y administrar el agente de seguridad para la supervisión en tiempo de GuardDuty ejecución de los recursos de ECS-Fargate, debe usarlo directamente. GuardDuty No puede habilitarlo ni administrarlo manualmente para los recursos de ECS-Fargate. Para obtener información sobre cómo habilitar y administrar el agente de seguridad, consulte Requisitos previos para el soporte AWS Fargate (solo para Amazon ECS) y Administración del agente de seguridad automatizado para AWS Fargate (solo Amazon ECS) en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: media
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-ec2-protection-runtime-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el agente de seguridad GuardDuty automatizado de Amazon está habilitado para la supervisión en tiempo de ejecución de las EC2 instancias de Amazon. En el caso de una cuenta independiente, el control falla si el agente de seguridad está deshabilitado para la cuenta. En un entorno con varias cuentas, el control falla si el agente de seguridad está deshabilitado en la cuenta de GuardDuty administrador delegado y en todas las cuentas de los miembros.
En un entorno con varias cuentas, este control solo genera resultados en la cuenta del administrador delegado GuardDuty . Esto se debe a que solo el GuardDuty administrador delegado puede activar o desactivar Runtime Monitoring de las EC2 instancias de Amazon para las cuentas de su organización. GuardDuty las cuentas de los miembros no pueden hacer esto para sus propias cuentas. Además, este control genera FAILED resultados si GuardDuty se suspende la cuenta de un miembro y si se inhabilita la supervisión del tiempo de ejecución de las EC2 instancias en esa cuenta. Para recibir una confirmaciónPASSED, el GuardDuty administrador debe desvincular la cuenta de miembro suspendida de su cuenta de administrador mediante GuardDuty.
GuardDuty Runtime Monitoring observa y analiza los eventos a nivel del sistema operativo, las redes y los archivos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de su entorno. Utiliza agentes de GuardDuty seguridad que añaden visibilidad al comportamiento en tiempo de ejecución, como el acceso a los archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar para detectar posibles amenazas. Esto incluye las EC2 instancias de Amazon.
Corrección
Para obtener información sobre la configuración y la administración del agente de seguridad automatizado para la supervisión en tiempo de GuardDuty ejecución de EC2 las instancias, consulte Requisitos previos para el soporte de EC2 instancias de Amazon y Habilitar el agente de seguridad automatizado para EC2 las instancias de Amazon en la Guía del GuardDuty usuario de Amazon.
