Orígenes de datos fundamentales - Amazon GuardDuty
AWS CloudTrail registros de eventosAWS CloudTrail eventos de gestiónLogs de flujo de VPCRegistros de DNS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Orígenes de datos fundamentales

GuardDuty utiliza las fuentes de datos fundamentales para detectar la comunicación con dominios y direcciones IP maliciosos conocidos e identificar posibles comportamientos anómalos y actividades no autorizadas. Todos los datos de registro se cifran cuando GuardDuty se transfieren de estas fuentes a otras. GuardDutyextrae varios campos de estas fuentes de registros para crear perfiles y detectar anomalías y, a continuación, descarta estos registros.

Cuando se activa GuardDuty por primera vez en una región, se ofrece una prueba gratuita de 30 días que incluye la detección de amenazas para todas las fuentes de datos fundamentales. Durante esta prueba gratuita y posteriormente, puede supervisar el uso mensual estimado en la página de uso de la GuardDuty consola, desglosada por fuente de datos. Como cuenta de GuardDuty administrador delegado, puede ver el coste de uso mensual estimado desglosado por las cuentas de los miembros de su organización que la han activado GuardDuty.

Una vez habilitada GuardDuty la suya Cuenta de AWS, comienza a monitorear automáticamente las fuentes de registro que se explican en las siguientes secciones. No necesita activar ninguna otra opción para empezar GuardDuty a analizar y procesar estas fuentes de datos y generar las correspondientes conclusiones de seguridad.

AWS CloudTrail registros de eventos

AWS CloudTrail te proporciona un historial de las llamadas a la AWS API de tu cuenta, incluidas las llamadas a la AWS Management Console API realizadas con los AWS SDK, las herramientas de línea de comandos y determinados AWS servicios. CloudTrail también te ayuda a identificar qué usuarios y cuentas invocaron AWS las API de los servicios compatibles CloudTrail, la dirección IP de origen desde la que se invocaron las llamadas y el momento en que se invocaron las llamadas. Para obtener más información, consulte What is AWS CloudTrail en la Guía del usuario de AWS CloudTrail .

GuardDuty también supervisa los eventos CloudTrail de administración. Cuando lo habilita GuardDuty, comienza a consumir los eventos de CloudTrail administración directamente CloudTrail a través de un flujo de eventos independiente y duplicado y analiza sus registros de CloudTrail eventos. No hay ningún cargo adicional cuando se GuardDuty accede a los eventos registrados en él. CloudTrail

GuardDuty no gestiona sus CloudTrail eventos ni afecta a sus CloudTrail configuraciones existentes. Del mismo modo, sus CloudTrail configuraciones no afectan a la forma en GuardDuty que consume y procesa los registros de eventos. Para gestionar el acceso y la retención de tus CloudTrail eventos, usa la consola CloudTrail de servicio o la API. Para obtener más información, consulte Visualización de eventos con el historial de CloudTrail eventos en la Guía AWS CloudTrail del usuario.

¿Cómo GuardDuty gestiona los eventos AWS CloudTrail globales?

En la mayoría de AWS los servicios, los CloudTrail eventos se registran en el Región de AWS lugar donde se crearon. En el caso de servicios globales como AWS Identity and Access Management (IAM), AWS Security Token Service (AWS STS), Amazon Simple Storage Service (Amazon S3), Amazon y CloudFront Amazon Route 53 (Route 53), los eventos solo se generan en la región en la que se producen, pero tienen una importancia mundial.

Cuando GuardDuty consume eventos de servicio CloudTrail global con valor de seguridad, como configuraciones de red o permisos de usuario, replica esos eventos y los procesa en cada región en la que los haya activado. GuardDuty Este comportamiento ayuda a GuardDuty mantener los perfiles de usuario y rol en cada región, lo cual es vital para detectar eventos anómalos.

Le recomendamos encarecidamente que active todos GuardDuty los Regiones de AWS que estén habilitados para usted Cuenta de AWS. Esto ayuda GuardDuty a detectar actividades no autorizadas o inusuales, incluso en las regiones que quizás no utilices activamente.

AWS CloudTrail eventos de gestión

Los eventos de administración también se conocen como eventos del plano de control. Estos eventos proporcionan información sobre las operaciones de administración que se llevan a cabo con los recursos de su AWS cuenta.

Los siguientes son ejemplos de eventos de CloudTrail administración que se GuardDuty supervisan:

  • Configuración de la seguridad (operaciones de la API AttachRolePolicy de IAM)

  • Configuración de reglas para el direccionamiento de datos (operaciones de la API CreateSubnet de Amazon EC2)

  • Configuración del registro (operaciones AWS CloudTrail CreateTrail de API)

Logs de flujo de VPC

La función VPC Flow Logs de Amazon VPC captura información sobre el tráfico IP que entra y sale de las interfaces de red conectadas a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) de su entorno. AWS

Cuando lo habilita GuardDuty, comienza a analizar inmediatamente los registros de flujo de VPC de las instancias de Amazon EC2 de su cuenta. Consume los eventos de registro de flujo de VPC directamente desde la característica de Registros de flujo de VPC a través de una secuencia independiente y duplicada de registros de flujo. Este proceso no afecta a ninguna configuración de los registros de flujo existentes.

GuardDuty Protección Lambda

Lambda Protection es una mejora opcional de Amazon. GuardDuty En la actualidad, la supervisión de la actividad de la red de Lambda en GuardDuty incluye los registros de flujo de Amazon VPC de todas las funciones de Lambda de su cuenta, incluso los registros que no utilizan redes de VPC. Para proteger su función Lambda de posibles amenazas de seguridad, tendrá que configurar Lambda Protection en su cuenta. GuardDuty Para obtener más información, consulte GuardDuty Protección Lambda.

Supervisión del tiempo de ejecución en GuardDuty

Si administra el agente de seguridad (de forma manual o a través de él GuardDuty) en EKS Runtime Monitoring o Runtime Monitoring for EC2, y GuardDuty esté actualmente implementado en una instancia de Amazon EC2 y reciba Tipos de eventos de tiempo de ejecución recopilados el de esta instancia GuardDuty , no se le Cuenta de AWS cobrará por el análisis de los registros de flujo de VPC de esta instancia de Amazon EC2. Esto ayuda a GuardDuty evitar el doble de los gastos de uso de la cuenta.

GuardDuty no administra tus registros de flujo ni los hace accesibles en tu cuenta. Para administrar el acceso y la retención de los registros de flujo, debe configurar la característica Registros de flujo de VPC.

Registros de DNS

Si utiliza resolutores de AWS DNS para sus instancias de Amazon EC2 (la configuración predeterminada), GuardDuty podrá acceder a sus registros de DNS de solicitudes y respuestas y procesarlos a través de los resolutores de DNS AWS internos. Si utilizas otro solucionador de DNS, como OpenDNS o GoogleDNS, o si configuras tus propios solucionadores de DNS, no podrás acceder a los datos de esta fuente de datos ni GuardDuty procesarlos.

Cuando la habilitas GuardDuty, comienza inmediatamente a analizar tus registros de DNS a partir de un flujo de datos independiente. Este flujo de datos es independiente de los datos proporcionados a través de la característica Registro de consultas del solucionador de Route 53. La configuración de esta función no afecta al GuardDuty análisis.

nota

GuardDuty no admite la supervisión de los registros de DNS para las instancias de Amazon EC2 que se lanzan AWS Outposts porque la función de registro de Amazon Route 53 Resolver consultas no está disponible en ese entorno.