Conceptos y terminología - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conceptos y terminología

A medida que comiences con Amazon GuardDuty, podrás beneficiarte de conocer sus conceptos clave.

Cuenta

Una cuenta estándar de Amazon Web Services (AWS) que contiene tus AWS recursos. Puede iniciar sesión AWS con su cuenta y activarla GuardDuty.

También puedes invitar a otras cuentas a que activen tu AWS cuenta GuardDuty y se asocien a ella GuardDuty. Si se aceptan tus invitaciones, tu cuenta se designará como cuenta GuardDuty de administrador y las cuentas añadidas pasarán a ser tus cuentas de miembro. A continuación, podrá ver y gestionar los GuardDuty resultados de esas cuentas en su nombre.

Los usuarios de la cuenta de administrador pueden configurar GuardDuty , ver y gestionar GuardDuty los resultados de su propia cuenta y de todas las cuentas de sus miembros. Puede tener hasta 10 000 cuentas de miembros en ella GuardDuty.

Los usuarios de las cuentas de los miembros pueden configurar GuardDuty , ver y gestionar GuardDuty los resultados de su cuenta (a través de la consola GuardDuty de administración o de la GuardDuty API). Los usuarios de cuentas de miembros no pueden ver ni administrar los resultados de las cuentas de otros miembros.

Una no Cuenta de AWS puede ser una cuenta de GuardDuty administrador y una cuenta de miembro al mismo tiempo. An solo Cuenta de AWS puede aceptar una invitación de membresía. La aceptación de una invitación de suscripción es opcional.

Para obtener más información, consulte Administrar varias cuentas en Amazon GuardDuty.

Detector

Amazon GuardDuty es un servicio regional. Cuando habilitas GuardDuty un detector específico Región de AWS, Cuenta de AWS se te asocia a un identificador de detector. Este identificador alfanumérico de 32 caracteres es exclusivo de tu cuenta en esa región. Por ejemplo, si habilitas GuardDuty la misma cuenta en una región diferente, tu cuenta se asociará a un ID de detector diferente. El formato de un detectorId es 12abc34d567e8fa901bc2d34e56789f0.

Todos los GuardDuty hallazgos, cuentas y acciones relacionados con la gestión de los hallazgos y el GuardDuty servicio utilizan el ID del detector para ejecutar una operación de API.

Para encontrar el detectorId de tu cuenta y región actual, consulta la página de configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecuta la ListDetectorsAPI

nota

En entornos multicuenta, todos los resultados para las cuentas de miembro se agregan al detector de la cuenta de administrador.

Algunas GuardDuty funciones se configuran a través del detector, como la configuración de la frecuencia de notificación de los CloudWatch eventos y la activación o desactivación de los planes de protección opcionales GuardDuty para su procesamiento.

Uso de la protección contra malware para S3 en GuardDuty

Al habilitar la protección contra malware para S3 en una cuenta que GuardDuty esté habilitada, las acciones de Malware Protection para S3, como habilitar, editar y deshabilitar un recurso protegido, no se asocian al ID del detector.

Si no activas GuardDuty ni eliges la opción de detección de amenazas Malware Protection for S3, no se crea ningún identificador de detector para tu cuenta.

Fuentes de datos fundamentales

El origen o la ubicación de un conjunto de datos. Para detectar una actividad no autorizada o inesperada en su AWS entorno. GuardDuty analiza y procesa datos de registros de AWS CloudTrail eventos, eventos AWS CloudTrail de administración, eventos de AWS CloudTrail datos para S3, registros de flujo de VPC, registros de DNS, consulte. Orígenes de datos fundamentales

Característica

Un objeto de función configurado para su plan de GuardDuty protección ayuda a detectar una actividad no autorizada o inesperada en su AWS entorno. Cada plan de GuardDuty protección configura el objeto de función correspondiente para analizar y procesar los datos. Algunos de los objetos de funciones incluyen los registros de auditoría de EKS, la supervisión de la actividad de inicio de sesión de RDS, los registros de actividad de la red Lambda y los volúmenes de EBS. Para obtener más información, consulte Activación de funciones en GuardDuty.

Resultado

Un problema potencial de seguridad descubierto por GuardDuty. Para obtener más información, consulte Entender los GuardDuty hallazgos de Amazon.

Los resultados se muestran en la GuardDuty consola y contienen una descripción detallada del problema de seguridad. También puedes recuperar las conclusiones generadas llamando a las operaciones GetFindingsy a la ListFindingsAPI.

También puedes ver tus GuardDuty hallazgos a través de los CloudWatch eventos de Amazon. GuardDuty envía los resultados a Amazon CloudWatch a través del protocolo HTTPS. Para obtener más información, consulte Creación de respuestas personalizadas a GuardDuty los hallazgos con Amazon CloudWatch Events.

YO SOY PassRole

Esta es la función de IAM con los permisos necesarios para escanear el objeto S3. Cuando el etiquetado de objetos escaneados está activado, los PassRole permisos de IAM ayudan a GuardDuty añadir etiquetas al objeto escaneado.

Recurso del plan de protección contra malware

Tras habilitar Malware Protection for S3 en un bucket, GuardDuty crea un recurso del plan Malware Protection for EC2. Este recurso está asociado al ID del plan Malware Protection for EC2, un identificador único para su depósito protegido. Utilice el recurso del plan de protección contra malware para realizar operaciones de API en un recurso protegido.

Cubeta protegida (recurso protegido)

Un bucket de Amazon S3 se considera protegido cuando se habilita Malware Protection for S3 para este bucket y su estado de protección cambia a Activo.

GuardDuty solo admite un bucket de S3 como recurso protegido.

Estado de protección

El estado asociado al recurso del plan de protección contra el malware. Después de habilitar Malware Protection for S3 para su bucket, este estado indica si su bucket está configurado correctamente o no.

Prefijo de objeto S3

En un bucket de Amazon Simple Storage Service (Amazon S3), puede utilizar prefijos para organizar el almacenamiento. Un prefijo es una agrupación lógica de los objetos de un bucket de S3. Para obtener más información, consulte Organizar y publicar objetos en la Guía del usuario de Amazon S3.

Opciones de escaneo

Cuando la protección contra GuardDuty malware para EC2 está habilitada, le permite especificar qué instancias de Amazon EC2 y volúmenes de Amazon Elastic Block Store (EBS) debe escanear u omitir. Esta característica le permite agregar las etiquetas existentes que están asociadas a las instancias de EC2 y al volumen de EBS a una lista de etiquetas de inclusión o a una lista de etiquetas de exclusión. Los recursos asociados a las etiquetas que agregue a una lista de etiquetas de inclusión se analizan en busca de malware y los que se agregan a una lista de etiquetas de exclusión no se analizan. Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.

Retención de instantáneas

Cuando la protección contra GuardDuty malware para EC2 está habilitada, ofrece la opción de conservar las instantáneas de los volúmenes de EBS en su cuenta. AWS GuardDuty genera las réplicas de los volúmenes de EBS en función de las instantáneas de sus volúmenes de EBS. Puede conservar las instantáneas de los volúmenes de EBS únicamente si el análisis de Malware Protection for EC2 detecta malware en las réplicas de los volúmenes de EBS. Si no se detecta ningún malware en las réplicas de los volúmenes de EBS, elimina GuardDuty automáticamente las instantáneas de los volúmenes de EBS, independientemente de la configuración de retención de las instantáneas. Para obtener más información, consulte Retención de instantáneas.

Regla de supresión

Las reglas de supresión permiten crear combinaciones de atributos muy específicas para suprimir los resultados. Por ejemplo, puede definir una regla a través del GuardDuty filtro para archivar automáticamente solo las instancias Recon:EC2/Portscan de una VPC específica, que ejecuten una AMI específica o que tengan una etiqueta EC2 específica. Esta regla daría lugar a que los resultados del escaneo de puertos se archivaran automáticamente desde las instancias que cumplan los criterios. Sin embargo, sigue permitiendo emitir alertas si GuardDuty detecta instancias que estén llevando a cabo otras actividades maliciosas, como la minería de criptomonedas.

Las reglas de supresión definidas en la cuenta de GuardDuty administrador se aplican a las cuentas de los GuardDuty miembros. GuardDuty las cuentas de los miembros no pueden modificar las reglas de supresión.

Con las reglas de supresión, GuardDuty sigue generando todos los hallazgos. Las reglas de supresión facilitan la eliminación de resultados, mientras mantienen un historial completo e inmutable de todas las actividades.

Normalmente, las reglas de supresión se utilizan para ocultar los hallazgos del entorno que se consideran falsos positivos y reducir así el ruido de los resultados con poco valor para que pueda centrarse en amenazas más importantes. Para obtener más información, consulte Reglas de supresión.

Lista de IP de confianza

Una lista de direcciones IP confiables para una comunicación altamente segura con su AWS entorno. GuardDuty no genera resultados basados en listas de IP confiables. Para obtener más información, consulte Uso de listas de IP de confianza y listas de amenazas.

Lista de IP de amenazas

Una lista de direcciones IP maliciosas conocidas. Además de generar hallazgos debido a una actividad potencialmente sospechosa, GuardDuty también genera hallazgos basados en estas listas de amenazas. Para obtener más información, consulte Uso de listas de IP de confianza y listas de amenazas.