Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para GuardDuty
Estos AWS Security Hub controles evalúan el GuardDuty servicio y los recursos de Amazon.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[GuardDuty.1] GuardDuty debe estar activado
Requisitos relacionados: PCI DSS v3.2.1/11.4, NIST.800-53.r5 AC-2 (12), (4), 1 (1) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 SA-1 1 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (6), 5 (2), NIST.800-53.r5 SA-1 5 (8), (19), (21), (25), ( NIST.800-53.r5 SA-11), NIST.800-53.r5 SA-8 (3), NIST.800-53.r5 SA-1 .800-53.r5 SI-20, NIST.800-53.r5 SA-8 .800-53.r5 SI-3 NIST.800-53.r5 SC-5 (8) NIST.800-53.r5 SC-5, .800-53.r5 SI-4, NIST .800-53.r5 5 SI-4 NIST.800-53.r5 SC-5 (1), NIST .800-53.r5 SI-4 (13), NIST .800-53.r5 SI-4 (2), .800-53.r5 SI-4 (22), NIST .800-53.r5 SI-4 (25), NIST .800-53.r5 SI-4 (4), NIST.800-53.r5 SA-8 NIST NIST NIST NIST NIST.800-53.r5 SI-4 (5)
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::::Account
Regla de AWS Config : guardduty-enabled-centralized
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si Amazon GuardDuty está activado en tu GuardDuty cuenta y región.
Se recomienda encarecidamente que lo habilites GuardDuty en todas las AWS regiones compatibles. Si lo hace, podrá GuardDuty obtener información sobre actividades no autorizadas o inusuales, incluso en las regiones que no utilice activamente. Esto también permite monitorear CloudTrail eventos GuardDuty a nivel mundial Servicios de AWS , por ejemploIAM.
Corrección
Para activarlo GuardDuty, consulta Cómo empezar con GuardDuty en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.2] GuardDuty los filtros deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::GuardDuty::Filter
Regla de AWS Config : tagged-guardduty-filter (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas no relacionadas con el sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS los requisitos |
No default value
|
Este control comprueba si un GuardDuty filtro de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el filtro no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el filtro no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a un GuardDuty filtro, consulte TagResourceen Amazon GuardDuty API Reference.
[GuardDuty.3] GuardDuty IPSets debe estar etiquetado
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::GuardDuty::IPSet
Regla de AWS Config : tagged-guardduty-ipset (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas no relacionadas con el sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS los requisitos |
No default value
|
Este control comprueba si Amazon GuardDuty IPSet tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si IPSet no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si IPSet no está etiquetada con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a, consulte GuardDuty IPSet TagResourceen Amazon GuardDuty API Reference.
[GuardDuty.4] GuardDuty los detectores deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : tagged-guardduty-detector (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no son del sistema y que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList | Lista de etiquetas que cumplen AWS los requisitos |
No default value
|
Este control comprueba si un GuardDuty detector de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el detector no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y falla si el detector no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan por ellaaws:, se ignoran.
Una etiqueta es una etiqueta que se asigna a un AWS recurso y consta de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarle a identificar, organizar, buscar y filtrar los recursos. El etiquetado también te ayuda a realizar un seguimiento de las acciones y notificaciones de los propietarios de los recursos responsables. Al utilizar el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, que define los permisos en función de las etiquetas. Puede adjuntar etiquetas a IAM las entidades (usuarios o roles) y a los recursos. AWS Puede crear una ABAC política única o un conjunto de políticas independiente para sus IAM directores. Puede diseñar estas ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿ABACPara qué sirve AWS? en la Guía IAM del usuario.
nota
No añada información de identificación personal (PII) ni ningún otro tipo de información confidencial o delicada en las etiquetas. Muchas personas pueden acceder a las etiquetas Servicios de AWS, entre ellas AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS
Corrección
Para añadir etiquetas a un GuardDuty detector, consulte TagResourceen Amazon GuardDuty API Reference.
[GuardDuty.5] La supervisión del registro de GuardDuty EKS auditoría debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-eks-protection-audit-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la supervisión del registro de GuardDuty EKS auditoría está habilitada. En el caso de una cuenta independiente, el control falla si la supervisión del registro de GuardDuty EKS auditoría está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la supervisión del registro de EKS auditoría.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta del administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de supervisión del registro de EKS auditoría para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la supervisión del registro de GuardDuty EKS auditoría. Para recibir una PASSED conclusión, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
GuardDuty EKSLa supervisión de registros de auditoría le ayuda a detectar actividades potencialmente sospechosas en sus clústeres de Amazon Elastic Kubernetes Service (Amazon). EKS EKSAudit Log Monitoring utiliza los registros de auditoría de Kubernetes para capturar las actividades cronológicas de los usuarios, las aplicaciones que utilizan Kubernetes y el plano de control. API
Corrección
Para habilitar GuardDuty EKS la supervisión de registros de EKSauditoría, consulte Supervisión de registros de auditoría en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.6] La protección GuardDuty Lambda debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-lambda-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la Protección GuardDuty Lambda está habilitada. En el caso de una cuenta independiente, el control falla si GuardDuty Lambda Protection está deshabilitada en la cuenta. En un entorno de varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la Protección Lambda.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado. GuardDuty Solo el administrador delegado puede activar o desactivar la función Lambda Protection para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la Protección GuardDuty Lambda. Para recibir una confirmaciónPASSED, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
GuardDuty Lambda Protection le ayuda a identificar posibles amenazas de seguridad cuando se invoca una AWS Lambda función. Después de activar Lambda Protection, GuardDuty comienza a monitorear los registros de actividad de la red Lambda asociados a las funciones de Lambda en su. Cuenta de AWS Cuando se invoca una función Lambda e GuardDuty identifica tráfico de red sospechoso que indica la presencia de un fragmento de código potencialmente malicioso en la función Lambda, GuardDuty genera una detección.
Corrección
Para activar GuardDuty Lambda Protection, consulte Configuración de Lambda Protection en la Guía del usuario de Amazon. GuardDuty
[GuardDuty.7] La monitorización del GuardDuty EKS tiempo de ejecución debe estar habilitada
Categoría: Detectar > Servicios de detección
Gravedad: media
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-eks-protection-runtime-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la monitorización del GuardDuty EKS tiempo de ejecución con la gestión automática de agentes está habilitada. En el caso de una cuenta independiente, el control falla si la supervisión del GuardDuty EKS tiempo de ejecución con administración automática de agentes está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada EKS Runtime Monitoring con la administración automática de agentes.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta del administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función EKS Runtime Monitoring con una gestión automatizada de los agentes para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la monitorización del GuardDuty EKS tiempo de ejecución. Para recibir una PASSED confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
EKSLa protección en Amazon GuardDuty proporciona una cobertura de detección de amenazas para ayudarlo a proteger los EKS clústeres de Amazon dentro de su AWS entorno. EKSRuntime Monitoring utiliza eventos a nivel del sistema operativo para ayudarlo a detectar posibles amenazas en EKS los nodos y contenedores de sus EKS clústeres.
Corrección
Para habilitar el monitoreo del EKS tiempo de ejecución con la administración automatizada de los agentes, consulte Habilitar el monitoreo del tiempo de GuardDuty ejecución en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-malware-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la protección contra GuardDuty malware está habilitada. En el caso de una cuenta independiente, el control falla si la protección contra GuardDuty malware está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la protección contra malware.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta de administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de protección contra malware para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección contra GuardDuty malware. Para recibir una PASSED confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
GuardDuty Malware Protection for le EC2 ayuda a detectar la posible presencia de malware mediante el escaneo de los volúmenes de Amazon Elastic Block Store (AmazonEBS) adjuntos a las instancias y cargas de trabajo de contenedores de Amazon Elastic Compute Cloud (AmazonEC2). Malware Protection ofrece opciones de análisis con las que puede decidir si desea incluir o excluir EC2 instancias y cargas de trabajo de contenedores específicas en el momento del escaneo. También ofrece la opción de conservar en sus cuentas las instantáneas de los EBS volúmenes adjuntos a las EC2 instancias o a las cargas de trabajo de los contenedores. GuardDuty Las instantáneas se conservan solo cuando se encuentra malware y se generan los resultados de la protección contra malware.
Corrección
Para activar la protección contra GuardDuty malwareEC2, consulte Configuración del análisis GuardDuty de malware iniciado en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.9] La GuardDuty RDS protección debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-rds-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la GuardDuty RDS protección está habilitada. En el caso de una cuenta independiente, el control falla si la GuardDuty RDS protección está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen RDS habilitada la protección.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta del administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de RDS protección para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada GuardDuty RDS la protección. Para recibir una PASSED confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
RDSProtection in GuardDuty analiza y perfila la actividad de inicio de RDS sesión para detectar posibles amenazas de acceso a sus bases de datos de Amazon Aurora (Aurora My SQL -Compatible Edition y Aurora Postgre SQL -Compatible Edition). Esta característica le permite identificar comportamientos de inicio de sesión potencialmente sospechosos. RDSLa protección no requiere infraestructura adicional; está diseñada para no afectar al rendimiento de las instancias de bases de datos. Cuando RDS Protection detecta un intento de inicio de sesión potencialmente sospechoso o anómalo que indica una amenaza para la base de datos, GuardDuty genera un nuevo hallazgo con detalles sobre la base de datos potencialmente comprometida.
Corrección
Para activar GuardDuty RDS la protección, consulta GuardDuty RDSProtección en la Guía del GuardDuty usuario de Amazon.
[GuardDuty.10] La protección GuardDuty S3 debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config : guardduty-s3-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la protección GuardDuty S3 está habilitada. En el caso de una cuenta independiente, el control falla si GuardDuty S3 Protection está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros no tienen habilitada la protección S3.
En un entorno con varias cuentas, el control genera resultados únicamente en la cuenta del administrador delegado GuardDuty . Solo el administrador delegado puede activar o desactivar la función de protección S3 para las cuentas de los miembros de la organización. GuardDuty las cuentas de los miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección GuardDuty S3. Para recibir una PASSED confirmación, el administrador delegado debe desvincular estas cuentas suspendidas. GuardDuty
S3 Protection permite supervisar API las operaciones GuardDuty a nivel de objeto para identificar posibles riesgos de seguridad para los datos contenidos en sus depósitos de Amazon Simple Storage Service (Amazon S3). GuardDuty monitorea las amenazas contra sus recursos de S3 mediante el análisis de los eventos AWS CloudTrail de administración y los eventos de datos de CloudTrail S3.
Corrección
Para activar la protección GuardDuty S3, consulte Amazon S3 Protection en Amazon GuardDuty en la Guía del GuardDuty usuario de Amazon.
