GuardDuty encontrar agregación

Todos los hallazgos son dinámicos, lo que significa que, si GuardDuty detecta una nueva actividad relacionada con el mismo problema de seguridad, actualizará el hallazgo original con la nueva información, en lugar de generar un nuevo hallazgo. Este comportamiento le permite identificar problemas en curso sin necesidad de revisar varios informes similares y reduce el ruido general de los problemas de seguridad que ya conoce.

Por ejemplo, para un resultado UnauthorizedAccess:EC2/SSHBruteForce, se agregarán varios intentos de acceso contra la instancia al mismo ID de resultado, lo que aumentará el número de recuento en los detalles del resultado. Esto se debe a que ese hallazgo representa un único problema de seguridad, ya que la instancia indica que el SSH puerto de la instancia no está debidamente protegido contra este tipo de actividad. Sin embargo, si GuardDuty detecta una actividad de SSH acceso dirigida a una nueva instancia de su entorno, creará un nuevo hallazgo con un identificador de búsqueda único para avisarle de que hay un problema de seguridad asociado al nuevo recurso.

Cuando se agrega un resultado, se actualiza con la información del último caso de esa actividad. Esto significa que, en el ejemplo anterior, si su instancia es el objetivo de un intento de fuerza bruta de un nuevo actor, los detalles del resultado se actualizarán para reflejar la IP remota del origen más reciente y se sustituirá la información más antigua. La información completa sobre los intentos de actividad individuales seguirá estando disponible en tus registros CloudTrail o en los VPC de Flow.

Los criterios que permiten GuardDuty generar un nuevo hallazgo en lugar de agregar uno existente dependen del tipo de hallazgo. Nuestros ingenieros de seguridad determinan los criterios de agregación para cada tipo de resultado para ofrecerle la mejor información general de los distintos problemas de seguridad dentro de su cuenta.