Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Entender los GuardDuty hallazgos de Amazon
Un GuardDuty hallazgo representa un posible problema de seguridad detectado en su red. GuardDutygenera un hallazgo cada vez que detecta una actividad inesperada y potencialmente maliciosa en su AWS entorno.
Puede ver y gestionar sus GuardDuty hallazgos en la página Hallazgos de la GuardDuty consola o mediante las AWS CLI operaciones de la API. Para obtener información general de las formas en las que puede administrar los resultados, consulte Gestión de los GuardDuty hallazgos de Amazon.
Temas:
- Detalles de los resultados
-
Obtenga información sobre los tipos de datos disponibles en GuardDuty los hallazgos.
- Hallazgos de ejemplo
-
Aprenda a generar ejemplos de hallazgos para probarlos o comprenderlos mejor GuardDuty.
- Formato de búsqueda GuardDuty
-
Comprenda el formato de los tipos de GuardDuty búsqueda y los diferentes propósitos de las amenazas que se rastrean GuardDuty.
- Tipos de resultados
-
Vea y busque todos los resultados GuardDuty disponibles por tipo. Cada entrada de tipo de resultado incluye una explicación de ese resultado, así como consejos y sugerencias para corregirlo.
Niveles de gravedad de GuardDuty los hallazgos
Cada GuardDuty hallazgo tiene un nivel de gravedad y un valor asignados que reflejan el riesgo potencial que el hallazgo podría suponer para su red, según determinaron nuestros ingenieros de seguridad. El valor de la gravedad puede estar comprendido en cualquier lugar dentro del intervalo de 1,0 a 8,9, donde los valores superiores indican un mayor riesgo de seguridad. Para ayudarle a determinar la respuesta a un posible problema de seguridad que se ponga de manifiesto en un hallazgo, GuardDuty desglosa este rango en niveles de gravedad alta, media y baja.
nota
Los valores 0 y entre 9,0 y 10,0 están reservados actualmente para uso futuro.
A continuación se indican los valores y niveles de gravedad definidos actualmente para los GuardDuty hallazgos, así como las recomendaciones generales para cada uno de ellos:
| Nivel de gravedad | Rango de valor |
|---|---|
Alta |
7,0 - 8,9 |
Un nivel de seguridad alto indica que el recurso en cuestión (una instancia de EC2 o un conjunto de credenciales de inicio de sesión de usuarios de IAM) está en peligro y que se está utilizando activamente para fines no autorizados. Le recomendamos que trate cualquier problema de seguridad con un resultado de gravedad alta como una prioridad y que tome medidas de corrección inmediatas para evitar el uso no autorizado de sus recursos. Por ejemplo, limpie la instancia de EC2 o termínela, o rote las credenciales de IAM. Consulte Medidas de corrección para obtener más detalles. |
|
Medio |
4,0 - 6,9 |
Un nivel de gravedad mediano indica una actividad sospechosa que se desvía del comportamiento observado normalmente y, en función de su caso de uso, puede ser indicativo de un peligro para los recursos. Recomendamos que investigue el recurso implicado tan pronto como sea posible. Las medidas de corrección variarán según el recurso y la familia de resultados, pero, en general, debería tratar de confirmar que la actividad está autorizada y es coherente con su caso de uso. Si no puede identificar la causa o confirmar que la actividad está autorizada, debería considerar el recurso como afectado y seguir los Pasos de corrección para proteger el recurso. Estas son algunas cosas a tener en cuenta al revisar un resultado de nivel mediano:
|
|
Baja |
1,0 - 3,9 |
Un nivel de gravedad bajo indica un intento de actividad sospechosa que no puso en peligro la red, por ejemplo, un análisis de puerto o un intento de intrusión que ha producido error. No hay ninguna acción recomendada inmediata, pero vale la pena tomar nota de esta información ya que puede indicar que alguien está buscando puntos débiles en su red. |
|
GuardDuty encontrar agregación
Todos los hallazgos son dinámicos, lo que significa que, si GuardDuty detecta una nueva actividad relacionada con el mismo problema de seguridad, actualizará el hallazgo original con la nueva información, en lugar de generar un nuevo hallazgo. Este comportamiento le permite identificar problemas en curso sin necesidad de revisar varios informes similares y reduce el ruido general de los problemas de seguridad que ya conoce.
Por ejemplo, para un resultado UnauthorizedAccess:EC2/SSHBruteForce, se agregarán varios intentos de acceso contra la instancia al mismo ID de resultado, lo que aumentará el número de recuento en los detalles del resultado. Esto se debe a que ese resultado representa un único problema de seguridad con la instancia que indica que el puerto SSH de la instancia no está protegido adecuadamente contra este tipo de actividad. Sin embargo, si GuardDuty detecta una actividad de acceso a SSH dirigida a una nueva instancia de su entorno, creará un nuevo hallazgo con un identificador de búsqueda único para avisarle de que hay un problema de seguridad asociado al nuevo recurso.
Cuando se agrega un resultado, se actualiza con la información del último caso de esa actividad. Esto significa que, en el ejemplo anterior, si su instancia es el objetivo de un intento de fuerza bruta de un nuevo actor, los detalles del resultado se actualizarán para reflejar la IP remota del origen más reciente y se sustituirá la información más antigua. La información completa sobre los intentos de actividad individuales seguirá estando disponible en tus registros de flujo CloudTrail o en los de VPC.
Los criterios que permiten GuardDuty generar un nuevo hallazgo en lugar de agregar uno existente dependen del tipo de hallazgo. Nuestros ingenieros de seguridad determinan los criterios de agregación para cada tipo de resultado para ofrecerle la mejor información general de los distintos problemas de seguridad dentro de su cuenta.
Localizar y analizar los hallazgos GuardDuty
Utilice el siguiente procedimiento para ver y analizar sus GuardDuty hallazgos.
-
Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/
. -
Elija Hallazgos y, a continuación, seleccione un resultado específico para consultar sus detalles.
Los detalles de cada resultado variarán en función del tipo de resultado, los recursos implicados y la naturaleza de la actividad. Para obtener más información sobre los campos de resultado disponibles, consulte Detalles de los resultados.
-
(Opcional) Si desea archivar un resultado, selecciónelo de la lista de resultados y, a continuación, elija el menú Acciones. A continuación, elija Archivar.
Para consultar los resultados archivados, puede elegir Archivado en el menú desplegable Actual.
Actualmente, los GuardDuty usuarios de las cuentas de los GuardDuty miembros no pueden archivar las conclusiones.
importante
Si archiva un resultado manualmente utilizando el procedimiento anterior, todos los casos posteriores de este resultado (generados una vez completado el archivado) se añaden a la lista de sus resultados actuales. Para no ver nunca este resultado en su lista actual, puede utilizar el archivado automático. Para obtener más información, consulte Reglas de supresión.
-
(Opcional) Para descargar un resultado, selecciónelo de la lista de resultados y, a continuación, elija el menú Acciones. A continuación, elija Exportar. Cuando se exporta un resultado con Export (Exportar), puede ver su documento JSON completo.
nota
En algunos casos, GuardDuty se da cuenta de que ciertos resultados son falsos positivos una vez generados. GuardDuty proporciona un campo de confianza en el JSON del hallazgo y establece su valor en cero. De esta GuardDuty forma, sabrá que puede ignorar estos hallazgos de forma segura.
