Formato de resultado de GuardDuty - Amazon GuardDuty
Propósitos de amenaza

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Formato de resultado de GuardDuty

Cuando GuardDuty detecta un comportamiento inesperado o sospechoso en el entorno de AWS, genera un resultado. Un resultado es una notificación que contiene los detalles sobre un posible problema de seguridad detectado por GuardDuty. Visualización de los hallazgos generados en la consola GuardDuty incluye información sobre lo que ocurrió, qué recursos de AWS participaron en la actividad sospechosa, cuándo se produjo esta actividad e información relacionada que puede servir para comprender la causa raíz.

Uno de los datos más útiles de los detalles de los resultados es el tipo de resultado. El objetivo del tipo de resultado es proporcionar una descripción concisa pero comprensible del posible problema de seguridad. Por ejemplo, el tipo de resultado Recon:EC2/PortProbeUnprotectedPort de GuardDuty le informa inmediatamente de que en algún lugar del entorno de AWS hay una instancia de EC2 con un puerto sin protección que un posible atacante está sondeando.

GuardDuty utiliza el formato siguiente para nombrar los distintos tipos de resultados que genera:

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!Artifact

Cada parte de este formato representa un aspecto de un tipo de resultado. Estos aspectos tienen las siguientes explicaciones:

  • ThreatPurpose: describe el objetivo principal de una amenaza, un tipo de ataque o una fase de un posible ataque. Consulte la siguiente sección para obtener una lista completa de los propósitos de las amenazas de GuardDuty.

  • ResourceTypeAffected: describe el tipo de recurso de AWS que se ha identificado en este resultado como el posible objetivo de un adversario. Actualmente, GuardDuty puede generar resultados para los tipos de recursos que se enumeran en GuardDuty tipos de búsqueda activos.

  • ThreatFamilyName: describe la amenaza general o la posible actividad maliciosa que GuardDuty está detectando. Por ejemplo, el valor NetworkPortUnusual indica que una instancia de EC2 identificada en el resultado de GuardDuty no tiene historial previo de comunicaciones en un determinado puerto remoto que también se identifica en el resultado.

  • DetectionMechanism: describe el método con el que GuardDuty ha detectado el resultado. Esto se puede utilizar para indicar una variación de un tipo de resultado común o un resultado que GuardDuty utilizó un mecanismo específico para detectar. Por ejemplo, Backdoor:EC2/DenialOfService.Tcp indica que la denegación de servicio (DoS) se ha detectado a través de TCP. La variante UDP es Backdoor:EC2/DenialOfService.Udp.

    Un valor de .Custom indica que GuardDuty detectó el resultado según las listas de amenazas personalizadas. Para obtener más información, consulte Listas de IP de confianza y de amenazas.

    Un valor de .Reputation indica que GuardDuty detectó el resultado a partir de un modelo de puntuación de reputación de dominios. Para obtener más información, consulte Cómo AWS realiza un seguimiento de las principales amenazas de seguridad en la nube y ayuda a eliminarlas.

  • Artefacto: describe un recurso específico que es propiedad de una herramienta que se utiliza en la actividad maliciosa. Por ejemplo, DNS en el tipo de resultado CryptoCurrency:EC2/BitcoinTool.B!DNS indica que una instancia de Amazon EC2 se comunica con un dominio conocido relacionado con Bitcoin.

    nota

    El artefacto es opcional y es posible que no se encuentre disponible para todos los tipos de resultados de GuardDuty.

Propósitos de amenaza

En GuardDuty, un propósito de amenaza describe el objetivo principal de una amenaza, un tipo de ataque o una fase de un posible ataque. Por ejemplo, algunos propósitos de amenaza, como Backdoor, indican un tipo de ataque. Sin embargo, algunos propósitos de amenaza, como Impact, se alinean con las tácticas de MITRE ATT&CK. Las tácticas de MITRE ATT&CK indican distintas fases del ciclo de ataque del adversario. En la versión actual de GuardDuty, ThreatPurpose puede tener los valores siguientes:

Backdoor

Este valor indica que un adversario ha afectado y alterado un recurso de AWS y que este es capaz de contactar con su propio servidor de comando y control (C&C) con objeto de recibir más instrucciones para llevar a cabo actividades maliciosas.

Comportamiento

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad distintos de la referencia establecida para los recursos de AWS involucrados.

CredentialAccess

Este valor indica que GuardDuty ha detectado patrones de actividad que un adversario puede utilizar para robar credenciales del entorno, como contraseñas, nombres de usuario y claves de acceso. Este propósito de amenaza se basa en las tácticas de MITRE ATT&CK.

Cryptocurrency

Este valor indica que GuardDuty ha detectado que un recurso de AWS de su entorno aloja software asociado a criptomonedas (por ejemplo, Bitcoin).

DefenseEvasion

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar para evitar ser detectado mientras se infiltra en su entorno. Este propósito de amenaza se basa en las tácticas de MITRE ATT&CK.

Discovery

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar para ampliar su conocimiento acerca de sus sistemas y redes internas. Este propósito de amenaza se basa en las tácticas de MITRE ATT&CK.

Execution

Este valor indica que GuardDuty ha detectado que un adversario puede intentar ejecutar o ya ha ejecutado código malicioso para explorar el entorno de AWS, o robar datos. Este propósito de amenaza se basa en las tácticas de MITRE ATT&CK.

Exfiltration

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario puede utilizar al intentar robar datos del entorno. Este propósito de amenaza se basa en las tácticas de MITRE ATT&CK.

Impact

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que sugieren que un adversario está intentando manipular, interrumpir o destruir sus sistemas y datos. Este propósito de amenaza se basa en las tácticas de MITRE ATT&CK.

InitialAccess

Este valor generalmente se asocia con la etapa de acceso inicial de un ataque cuando un adversario intenta establecer acceso al entorno. Este propósito de amenaza se basa en las tácticas de MITRE ATT&CK.

Pentest

A veces, los propietarios de recursos de AWS o sus representantes autorizados ejecutan intencionadamente pruebas en las aplicaciones de AWS para descubrir vulnerabilidades, como grupos de seguridad abiertos o claves de acceso demasiado permisivas. Estas pruebas de intrusión son un intento de identificar y bloquear los recursos vulnerables antes de que los descubran los adversarios. Sin embargo, algunas de las herramientas que se utilizan para las pruebas de intrusión autorizadas están disponibles de forma gratuita y, por tanto, los usuarios no autorizados o los adversarios pueden utilizarlas para llevar a cabo pruebas de sondeo. Aunque GuardDuty no puede identificar el verdadero propósito de este tipo de actividad, el valor Pentest indica que GuardDuty está detectando dicha actividad, la cual es similar a la generada por las herramientas de pruebas de intrusión conocidas, y que podría indicar un sondeo malicioso de su red.

Persistencia

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar para intentar conservar el acceso a sus sistemas incluso si ya no puede utilizar su ruta de acceso inicial. Por ejemplo, esto podría incluir la creación de un nuevo usuario de IAM después de obtener acceso a través de las credenciales afectadas de un usuario existente. Cuando se eliminen las credenciales del usuario existente, el adversario retendrá el acceso al nuevo usuario que no se haya detectado como parte del evento original. Este propósito de amenaza se basa en las tácticas de MITRE ATT&CK.

Política

Este valor indica que la Cuenta de AWS exhibe un comportamiento contrario a las prácticas recomendadas de seguridad. Por ejemplo, la modificación no intencionada de las políticas de permisos asociadas a los recursos o el entorno de AWS, y el uso de cuentas privilegiadas cuyo uso debería ser escaso o nulo.

PrivilegeEscalation

Este valor le informa de que la entidad principal implicada dentro de su entorno de AWS presenta un comportamiento que un adversario podría utilizar para obtener permisos de nivel superior para acceder a su red. Este propósito de amenaza se basa en las tácticas de MITRE ATT&CK.

Recon

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar al realizar un reconocimiento previo del entorno para determinar cómo puede ampliar su acceso o utilizar los recursos. Por ejemplo, esta actividad puede incluir la búsqueda de vulnerabilidades en el entorno de AWS mediante el sondeo de puertos, la realización de llamadas a API, la enumeración de usuarios y la enumeración de tablas de bases de datos, entre otras cosas.

Stealth

Este valor indica que un adversario está intentando ocultar sus acciones de forma activa. Por ejemplo, podrían utilizar un servidor proxy anonimizador, lo que dificultaría enormemente evaluar la verdadera naturaleza de la actividad.

Trojan

Este valor indica que un ataque está utilizando programas troyanos que llevan a cabo actividad maliciosa sigilosamente. En ocasiones, este software tiene el aspecto de un programa legítimo. A veces, los usuarios ejecutan accidentalmente este software. Otras veces, este software puede ejecutarse automáticamente mediante la explotación de una vulnerabilidad.

UnauthorizedAccess

Este valor indica que GuardDuty está detectando actividad sospechosa o un patrón de actividades sospechosas por parte de un individuo no autorizado.