Formato de búsqueda GuardDuty - Amazon GuardDuty
PROPÓSITO DE LA AMENAZA

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Formato de búsqueda GuardDuty

Cuando AWS detecta un comportamiento inesperado o sospechoso en el entorno de AWS, genera un resultado. Un resultado es una notificación que contiene detalles sobre un problema potencial de seguridad descubierto por . Los detalles de los resultados incluyen información sobre lo que ha sucedido, los recursos de AWS implicados en la actividad sospechosa, cuándo se ha producido, etc.

Uno de los datos más útiles de los detalles de los resultados es el tipo de resultado. El objetivo del tipo de resultado es proporcionar una descripción concisa pero comprensible del posible problema de seguridad. Por ejemplo, el tipo de resultado Recon:EC2/PortProbeUnprotectedPort de AWS le informa inmediatamente de que en algún lugar del entorno de AWS hay una instancia EC2 con un puerto sin protección que un posible atacante está sondeando.

utiliza el formato siguiente para los distintos tipos de resultados que genera:

Propósito de la amenaza: ResourceTypeAffect/ThreatFamilyName.Mecanismo de detección Artefacto

Cada parte de este formato representa un aspecto de un tipo de hallazgo. Estos aspectos tienen las siguientes explicaciones:

  • ThreatPurpose: describe el objetivo principal de una amenaza o un posible ataque. Consulte la siguiente sección para obtener una lista completa de los propósitos de las amenazas de GuardDuty.

  • ResourceTypeAffected: describe el recurso de AWS que se ha identificado en este resultado como el posible destino de un ataque. Actualmente, GuardDuty puede generar conclusiones para los recursos de EC2, S3, IAM y EKS.

  • ThreatFamilyName: describe la amenaza general o la posible actividad malintencionada que está detectando. Por ejemplo, el valor NetworkPortUnusual indica que una instancia EC2 identificada en el resultado de no tiene historial previo de comunicaciones en un determinado puerto remoto que también se identifica en el resultado.

  • DetectionMechanism: describe el método con el que GuardDuty detectó el hallazgo. Esto se puede usar para indicar una variación de un tipo de hallazgo común o un hallazgo que GuardDuty utilizó un mecanismo específico para detectar. Por ejemplo, Backdoor:EC2/denialOfService.tcp indica que la denegación de servicio (DoS) se detectó a través de TCP. La variante UDP es Backdoor:EC2/denialOfService.udp.

    Un valor de .Custom indica que GuardDuty detectó el hallazgo en función de sus listas de amenazas personalizadas, mientras que .Reputation indica que GuardDuty detectó el hallazgo mediante un modelo de puntuación de reputación de dominio.

  • Artifact: describe un recurso específico que es propiedad de una herramienta que se usa en el ataque. Por ejemplo, DNS en el tipo de resultado CryptoCurrency:EC2/BitcoinTool.B!DNS informa de que una instancia EC2 se está comunicando con un dominio conocido relacionado con Bitcoin.

PROPÓSITO DE LA AMENAZA

En GuardDuty, el propósito de una amenaza describe el propósito principal de una amenaza, un tipo de ataque o una fase de un posible ataque. Por ejemplo, algunos propósitos de amenaza, como Backdoor, indican un tipo de ataque. Sin embargo, algunos propósitos de amenaza, como Impact, se alinean con las tácticas de MITRE ATT&CK. Las tácticas de MITRE ATT&CK indican distintas fases en el ciclo de ataque del adversario. En la versión actual de , ThreatPurpose puede tener los valores siguientes:

Backdoor

Backdoor: este valor indica que el ataque ha comprometido un recurso de AWS y de que es capaz de ponerse en contacto con su propio servidor de comando y control (C&C) con objeto de recibir más instrucciones para llevar a cabo actividades malintencionadas.

Comportamiento

Behavior: este valor indica que está detectando actividad o patrones de actividad distintos de la referencia establecida para un recurso de AWS determinado.

Acceso con credenciales

Este valor indica que GuardDuty ha detectado patrones de actividad que un adversario podría utilizar para robar credenciales, como identificadores de cuentas o contraseñas, de su entorno. El objetivo de esta amenaza se basa en las tácticas de MITRE ATT&CK

Cryptocurrency

Este valor indica que GuardDuty ha detectado que AWS un recurso de su entorno aloja software asociado a criptomonedas (por ejemplo, Bitcoin).

Defensa y evasión

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario puede utilizar para evitar ser detectado mientras se infiltra en su entorno. El objetivo de esta amenaza se basa en las tácticas de MITRE ATT&CK

 Discovery

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar para ampliar su conocimiento de sus sistemas y redes internas. El objetivo de esta amenaza se basa en las tácticas de MITRE ATT&CK.

Ejecución

Este valor indica que GuardDuty ha detectado que un adversario podría intentar ejecutar código malicioso para explorar la red o robar datos. El objetivo de esta amenaza se basa en las tácticas de MITRE ATT&CK.

Exfiltración

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar al intentar robar datos de su red. El objetivo de esta amenaza se basa en las tácticas de MITRE ATT&CK.

Impact

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que sugieren que un adversario está intentando manipular, interrumpir o destruir sus sistemas y datos. El objetivo de esta amenaza se basa en las tácticas de MITRE ATT&CK

Acceso inicial

El propósito de esta amenaza se basa en las tácticas de MITRE ATT&CK

PenTest

PentestAWS: a veces, los propietarios de recursos de AWS o sus representantes autorizados ejecutan intencionadamente pruebas en las aplicaciones de AWS para descubrir vulnerabilidades, como grupos de seguridad abiertos o claves de acceso demasiado permisivas. Estas pruebas de intrusión son un intento de identificar y bloquear los recursos vulnerables antes de que los descubran los atacantes. Sin embargo, algunas de las herramientas que se utilizan para las pruebas de intrusión autorizadas están disponibles de forma gratuita y, por tanto, los usuarios no autorizados o los atacantes pueden usarlas para llevar a cabo pruebas de sondeo. Aunque no puede identificar el verdadero propósito de este tipo de actividad, el valor Pentest indica que está detectando dicha actividad y que esta es similar a la generada por las herramientas de pruebas de intrusión conocidas.

Persistencia

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar para intentar mantener el acceso a sus sistemas incluso si su ruta de acceso inicial está cortada. Por ejemplo, esto podría incluir la creación de un nuevo usuario de IAM después de obtener acceso a través de las credenciales comprometidas de un usuario existente. Cuando se eliminen las credenciales del usuario existente, el adversario conservará el acceso al nuevo usuario que no se haya detectado como parte del evento original. El objetivo de esta amenaza se basa en las tácticas de MITRE ATT&CK.

Auto Scaling

Policy: este valor indica que la cuenta de AWS está registrando un comportamiento que infringe las prácticas de seguridad recomendadas.

PrivilegeEscalation

Este valor le informa de que el responsable implicado de su AWS entorno presenta un comportamiento que un adversario podría utilizar para obtener permisos de nivel superior para acceder a su red. El objetivo de esta amenaza se basa en las tácticas de MITRE ATT&CK.

Recon

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario puede utilizar al realizar un reconocimiento de su red para determinar cómo puede ampliar su acceso o utilizar sus recursos. Por ejemplo, esta actividad puede incluir la detección de vulnerabilidades en su AWS entorno mediante el sondeo de los puertos, la lista de usuarios, las tablas de bases de datos, etc.

Stealth

Este valor indica que un adversario está intentando ocultar sus acciones de forma activa. Por ejemplo, podrían utilizar un servidor proxy anonimizador, lo que dificultaría enormemente evaluar la verdadera naturaleza de la actividad.

Trojan

Trojan: este valor indica que un ataque está utilizando programas troyanos que desarrollan en silencio actividad malintencionada. En ocasiones, este software tiene el aspecto de un programa legítimo. A veces, los usuarios ejecutan accidentalmente este software. Otras veces, este software puede ejecutarse automáticamente mediante la explotación de una vulnerabilidad.

UnauthorizedAccess

UnauthorizedAccess: este valor indica que está detectando actividades sospechosas o un patrón de actividades sospechosas por parte de un individuo no autorizado.