Comprensión de los resultados de Amazon GuardDuty - Amazon GuardDuty
Niveles de gravedad para los resultados de GuardDutyAgregación de resultados de GuardDuty Localización y análisis de los resultado de GuardDuty

Comprensión de los resultados de Amazon GuardDuty

Un resultado de GuardDuty representa un posible problema de seguridad detectado en su red. GuardDuty genera resultados inesperados cuando detecta actividades inesperadas y potencialmente maliciosas en el entorno de AWS.

Puede ver y administrar los resultados de GuardDuty en la página Resultados en la consola de GuardDuty o mediante la AWS CLI o las operaciones de la API. Para obtener información general de las formas en las que puede administrar los resultados, consulte Administración de resultados de Amazon GuardDuty.

Temas:

Detalles de los resultados

Obtenga información sobre los tipos de datos disponibles en los resultados de GuardDuty.

Hallazgos de ejemplo

Obtenga información sobre cómo generar resultados de muestra para probar o conocer mejor GuardDuty.

Formato de resultado de GuardDuty

Comprenda el formato de los tipos de resultados de GuardDuty y los diferentes propósitos de las amenazas de las que GuardDuty ha hecho un seguimiento.

Tipos de resultados

Consulte y busque todos los resultados de GuardDuty disponibles por tipo. Cada entrada de tipo de resultado incluye una explicación de ese resultado, así como consejos y sugerencias para corregirlo.

Niveles de gravedad para los resultados de GuardDuty

Cada resultado de GuardDuty tiene asignado un nivel de gravedad y un valor que refleja el riesgo potencial que el resultado podría tener para su red según lo determinado por nuestros ingenieros de seguridad. El valor de la gravedad puede estar comprendido en cualquier lugar dentro del intervalo de 1,0 a 8,9, donde los valores superiores indican un mayor riesgo de seguridad. Para ayudarle a determinar una respuesta a un posible problema de seguridad resaltado por un resultado, GuardDuty desglosa este intervalo en niveles de gravedad: Alta, Media y Baja.

nota

Los valores 0 y entre 9,0 y 10,0 están reservados actualmente para uso futuro.

A continuación, se muestran los niveles y valores de gravedad definidos actualmente para los resultados de GuardDuty, así como las recomendaciones generales para cada uno de ellos:

Nivel de gravedad Rango de valor

Alta

Entre 7,0 y 8,9

Un nivel de seguridad alto indica que el recurso en cuestión (una instancia de EC2 o un conjunto de credenciales de inicio de sesión de usuarios de IAM) está en peligro y que se está utilizando activamente para fines no autorizados.

Le recomendamos que trate cualquier problema de seguridad con un resultado de gravedad alta como una prioridad y que tome medidas de corrección inmediatas para evitar el uso no autorizado de sus recursos. Por ejemplo, limpie la instancia de EC2 o termínela, o rote las credenciales de IAM. Consulte Medidas de corrección para obtener más detalles.

Medio

Entre 4,0 y 6,9

Un nivel de gravedad mediano indica una actividad sospechosa que se desvía del comportamiento observado normalmente y, en función de su caso de uso, puede ser indicativo de un peligro para los recursos.

Recomendamos que investigue el recurso implicado tan pronto como sea posible. Las medidas de corrección variarán según el recurso y la familia de resultados, pero, en general, debería tratar de confirmar que la actividad está autorizada y es coherente con su caso de uso. Si no puede identificar la causa o confirmar que la actividad está autorizada, debería considerar el recurso como afectado y seguir los Pasos de corrección para proteger el recurso.

Estas son algunas cosas a tener en cuenta al revisar un resultado de nivel mediano:

  • Compruebe si un usuario autorizado ha instalado nuevo software que haya cambiado el comportamiento de un recurso (por ejemplo, permitir un tráfico superior al normal o habilitar la comunicación en un nuevo puerto).

  • Compruebe si un usuario autorizado ha modificado la configuración del panel de control, por ejemplo, ha modificado la configuración de un grupo de seguridad

  • Ejecute un examen antivirus en el recurso implicado para detectar software no autorizado.

  • Verifique los permisos asociados al rol de IAM, usuario, grupo o conjunto de credenciales implicados. Tal vez sea necesario cambiarlos o moverlos.

Baja

Entre 1,0 y 3,9

Un nivel de gravedad bajo indica un intento de actividad sospechosa que no puso en peligro la red, por ejemplo, un análisis de puerto o un intento de intrusión que ha producido error.

No hay ninguna acción recomendada inmediata, pero vale la pena tomar nota de esta información ya que puede indicar que alguien está buscando puntos débiles en su red.

Agregación de resultados de GuardDuty

Todos los resultados son dinámicos, lo que significa que, si GuardDuty detecta nueva actividad relacionada con el mismo problema de seguridad, actualizará el resultado original con la nueva información en lugar de generar un resultado nuevo. Este comportamiento le permite identificar problemas en curso sin necesidad de revisar varios informes similares y reduce el ruido general de los problemas de seguridad que ya conoce.

Por ejemplo, para un resultado UnauthorizedAccess:EC2/SSHBruteForce, se agregarán varios intentos de acceso contra la instancia al mismo ID de resultado, lo que aumentará el número de recuento en los detalles del resultado. Esto se debe a que ese resultado representa un único problema de seguridad con la instancia que indica que el puerto SSH de la instancia no está protegido adecuadamente contra este tipo de actividad. Sin embargo, si GuardDuty detecta actividad de acceso SSH dirigida a una nueva instancia en su entorno, creará un nuevo resultado con un ID de resultado único para alertarle sobre el hecho de que hay un problema de seguridad asociado con el nuevo recurso.

Cuando se agrega un resultado, se actualiza con la información del último caso de esa actividad. Esto significa que, en el ejemplo anterior, si su instancia es el objetivo de un intento de fuerza bruta de un nuevo actor, los detalles del resultado se actualizarán para reflejar la IP remota del origen más reciente y se sustituirá la información más antigua. La información completa sobre los intentos de actividad individuales seguirá estando disponible en los registros de flujo de la VPC o de CloudTrail.

Los criterios que alertan a GuardDuty para que genere un nuevo resultado en lugar de agregar uno existente dependen del tipo de resultado. Nuestros ingenieros de seguridad determinan los criterios de agregación para cada tipo de resultado para ofrecerle la mejor información general de los distintos problemas de seguridad dentro de su cuenta.

Localización y análisis de los resultado de GuardDuty

Utilice el procedimiento siguiente para ver y analizar los resultados de GuardDuty.

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. Elija Hallazgos y, a continuación, seleccione un resultado específico para consultar sus detalles.

    Los detalles de cada resultado variarán en función del tipo de resultado, los recursos implicados y la naturaleza de la actividad. Para obtener más información sobre los campos de resultado disponibles, consulte Detalles de los resultados.

  3. (Opcional) Si desea archivar un resultado, selecciónelo de la lista de resultados y, a continuación, elija el menú Acciones. A continuación, elija Archivar.

    Para consultar los resultados archivados, puede elegir Archivado en el menú desplegable Actual.

    Actualmente, los usuarios de las cuentas de miembro de GuardDuty no pueden archivar resultados en GuardDuty.

    importante

    Si archiva un resultado manualmente utilizando el procedimiento anterior, todos los casos posteriores de este resultado (generados una vez completado el archivado) se añaden a la lista de sus resultados actuales. Para no ver nunca este resultado en su lista actual, puede utilizar el archivado automático. Para obtener más información, consulte Reglas de supresión.

  4. (Opcional) Para descargar un resultado, selecciónelo de la lista de resultados y, a continuación, elija el menú Acciones. A continuación, elija Exportar. Cuando se exporta un resultado con Export (Exportar), puede ver su documento JSON completo.

    nota

    En algunos casos, GuardDuty se da cuenta de que algunos resultados son falsos positivos una vez que se han generado. GuardDuty proporciona un campo Confianza en el JSON del resultado y establece su valor en cero. De esta forma, GuardDuty le permite saber que puede ignorar estos resultados de forma segura.