Empezar con GuardDuty - Amazon GuardDuty
Antes de empezarPaso 1: Habilita Amazon GuardDutyPaso 2: generación de resultados de muestra y exploración de las operaciones básicasPaso 3: Configurar la exportación de GuardDuty los resultados a un bucket de Amazon S3 Paso 4: Configura la GuardDuty búsqueda de alertas mediante SNS Siguientes pasos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Empezar con GuardDuty

Este tutorial proporciona una introducción práctica a GuardDuty. Los requisitos mínimos para GuardDuty habilitarla como cuenta independiente o como GuardDuty administrador se describen en el paso 1. AWS Organizations Los pasos 2 a 5 incluyen el uso de las funciones adicionales recomendadas por usted GuardDuty para aprovechar al máximo sus hallazgos.

Antes de empezar

GuardDuty es un servicio de detección de amenazas que GuardDuty fuentes de datos fundamentales monitorea registros de AWS CloudTrail eventos, eventos AWS CloudTrail de administración, Amazon VPC Flow DNS Logs y registros. GuardDuty también analiza las funciones asociadas a sus tipos de protección solo si las habilita por separado. Las características incluyen los registros de auditoría de Kubernetes, la actividad de inicio de RDS sesión, los registros de S3, los EBS volúmenes, la supervisión del tiempo de ejecución y los registros de actividad de la red Lambda. El uso de estas fuentes y funciones de datos (si están habilitadas) GuardDuty genera resultados de seguridad para su cuenta.

Después de habilitarlo GuardDuty, comienza a monitorear su entorno. Puedes inhabilitarla GuardDuty para cualquier cuenta de cualquier región y en cualquier momento. Esto impedirá el procesamiento GuardDuty de las fuentes de datos fundamentales y de cualquier función que estuviera habilitada por separado.

No necesita habilitar ninguno de los GuardDuty fuentes de datos fundamentales de forma explícita. Amazon GuardDuty extrae flujos de datos independientes directamente de esos servicios. En el caso de una GuardDuty cuenta nueva, todos los tipos de protección disponibles compatibles con una Región de AWS están activados e incluidos en el período de prueba gratuito de 30 días de forma predeterminada. Puede excluirse voluntariamente de uno o de todos ellos. Si ya es GuardDuty cliente, puede optar por activar alguno o todos los planes de protección disponibles en su Región de AWS cuenta. Para obtener más información, consulte Características asociadas a cada tipo de protección en GuardDuty.

Al habilitarla GuardDuty, tenga en cuenta los siguientes elementos:

  • GuardDuty es un servicio regional, lo que significa que cualquiera de los procedimientos de configuración que siga en esta página debe repetirse en cada región con la que desee supervisar GuardDuty.

    Le recomendamos encarecidamente que lo habilite GuardDuty en todas AWS las regiones compatibles. Esto permite GuardDuty generar información sobre actividades no autorizadas o inusuales, incluso en las regiones que no está utilizando activamente. Esto también GuardDuty permite monitorear AWS CloudTrail eventos para AWS servicios globales comoIAM. Si no GuardDuty está habilitada en todas las regiones compatibles, se reduce su capacidad para detectar actividades que involucren servicios globales. Para obtener una lista completa de las regiones en las GuardDuty que está disponible, consulteRegiones y puntos de conexión.

  • Cualquier usuario con privilegios de administrador en una AWS cuenta puede GuardDuty habilitarlos; sin embargo, siguiendo las prácticas recomendadas de seguridad en materia de privilegios mínimos, se recomienda crear un IAM rol, usuario o grupo para administrarlo GuardDuty específicamente. Para obtener información sobre los permisos necesarios para habilitarlos, GuardDuty consultePermisos requeridos para habilitar GuardDuty.

  • Cuando se habilita GuardDuty por primera vez en una región Región de AWS, de forma predeterminada, también se habilitan todos los tipos de protección disponibles y compatibles en esa región, incluida la protección contra malware paraEC2. GuardDuty crea un rol vinculado a un servicio para tu cuenta denominado. AWSServiceRoleForAmazonGuardDuty Esta función incluye los permisos y las políticas de confianza que permiten GuardDuty consumir y analizar los eventos directamente desde ellos GuardDuty fuentes de datos fundamentales para generar conclusiones de seguridad. Malware Protection for EC2 crea otro rol vinculado a un servicio para tu cuenta llamado. AWSServiceRoleForAmazonGuardDutyMalwareProtection Esta función incluye los permisos y las políticas de confianza que permiten a Malware Protection EC2 realizar análisis sin agentes para detectar malware en su cuenta. GuardDuty Permite GuardDuty crear una instantánea EBS del volumen en su cuenta y compartirla con la cuenta de GuardDuty servicio. Para obtener más información, consulte Permisos de rol vinculados al servicio para GuardDuty. Para obtener más información acerca de los roles vinculados a servicios, consulte Uso de roles vinculados a servicios.

  • Cuando lo habilitas GuardDuty por primera vez en una región, tu AWS cuenta se inscribe automáticamente en una prueba GuardDuty gratuita de 30 días para esa región.

Primeros pasos: habilitar Amazon GuardDuty para entornos independientes o de cuentas múltiples

Paso 1: Habilita Amazon GuardDuty

El primer paso para usarlo GuardDuty es habilitarlo en su cuenta. Una vez activado, GuardDuty comenzará inmediatamente a monitorear las amenazas a la seguridad en la región actual.

Si, como GuardDuty administrador, desea gestionar GuardDuty los resultados de otras cuentas de su organización, debe añadir las cuentas de GuardDuty los miembros y activarlas también.

nota

Si desea activar la protección contra GuardDuty malware para S3 sin habilitarla GuardDuty, consulte los pasos a seguir enGuardDuty Protección contra malware para S3.

Standalone account environment

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/

  2. Selecciona la opción Amazon GuardDuty - Todas las funciones.

  3. Elija Comenzar.

  4. En la GuardDuty página de bienvenida, consulta las condiciones del servicio. Selecciona Activar GuardDuty.

Multi-account environment
importante

Como requisitos previos para este proceso, debe estar en la misma organización que todas las cuentas que desee administrar y tener acceso a la cuenta de AWS Organizations administración para delegar un administrador GuardDuty en su organización. Es posible que se necesiten permisos adicionales para delegar un administrador. Para más información, consulte Permisos necesarios para designar una cuenta de GuardDuty administrador delegado.

Para designar una cuenta de administrador delegado GuardDuty

  1. Abra la AWS Organizations consola en https://console.aws.amazon.com/organizations/, mediante la cuenta de administración.

  2. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

    ¿ GuardDuty Ya está habilitada en tu cuenta?

    • Si aún no GuardDuty está activado, puede seleccionar Comenzar y, a continuación, designar un administrador GuardDuty delegado en la GuardDuty página de bienvenida.

    • Si GuardDuty está habilitada, puede designar un administrador GuardDuty delegado en la página de configuración.

  3. Introduzca el ID de AWS cuenta de doce dígitos de la cuenta que desee designar como administrador GuardDuty delegado de la organización y seleccione Delegado.

    nota

    Si aún no GuardDuty está activado, la designación de un administrador delegado habilitará esa cuenta en GuardDuty su región actual.

Agregación de cuentas de miembro

Este procedimiento abarca la adición de cuentas de miembros a una cuenta de administrador GuardDuty delegado mediante. AWS Organizations También existe la opción de agregar miembros mediante invitación. Para obtener más información sobre ambos métodos para asociar miembros GuardDuty, consulte. Administrar varias cuentas en Amazon GuardDuty

  1. Inicie sesión en la cuenta de administrado delegado

  2. Abra la GuardDuty consola en. https://console.aws.amazon.com/guardduty/

  3. En el panel de navegación, elija Settings (Configuración) y Accounts (Cuentas).

    En la tabla de cuentas aparecen todas las cuentas de la organización.

  4. Para elegir las cuentas que desea agregar como miembros, seleccione la casilla situada junto al ID de la cuenta. A continuación, en el menú Acción, seleccione Agregar miembro.

    sugerencia

    Puede automatizar la adición de nuevas cuentas como miembros activando la característica Habilitación automática; sin embargo, esto solo se aplica a las cuentas que se unen a su organización una vez habilitada la característica.

Paso 2: generación de resultados de muestra y exploración de las operaciones básicas

Cuando GuardDuty descubre un problema de seguridad, genera un hallazgo. Un GuardDuty hallazgo es un conjunto de datos que contiene detalles relacionados con ese problema de seguridad único. Los detalles del resultado se pueden utilizar para ayudarle a investigar el problema.

GuardDuty permite generar ejemplos de hallazgos con valores indicativos, que se pueden utilizar para probar la GuardDuty funcionalidad y familiarizarse con los hallazgos antes de tener que responder a un problema de seguridad real descubierto por GuardDuty la persona. Siga la siguiente guía para generar ejemplos de resultados para cada tipo de hallazgo disponible. Si desea GuardDuty conocer otras formas de generar ejemplos de resultados, incluida la generación de un evento de seguridad simulado en su cuenta, consulte. Hallazgos de ejemplo

Creación y exploración de los resultados de muestra

  1. En el panel de navegación, seleccione Configuración.

  2. En la página Settings, en Sample findings, elija Generate sample findings.

  3. En el panel de navegación, elija Resumen para ver la información sobre los hallazgos generados en su AWS entorno. Para obtener más información acerca de los componentes del panel de resumen, consulte Panel Resumen.

  4. En el panel de navegación, seleccione Findings (Resultados). Los ejemplos de hallazgos se muestran en la página de hallazgos actuales con el prefijo [SAMPLE].

  5. Seleccione un resultado de la lista para ver sus detalles.

    1. Puede revisar los distintos campos de información disponibles en el panel de detalles del resultado. Los distintos tipos de resultados pueden tener campos diferentes. Para obtener más información acerca de los campos disponibles en todos los tipos de resultados, consulte Detalles de los resultados. Puede llevar a cabo las siguientes acciones en el panel de detalles:

      • Seleccione el ID de búsqueda en la parte superior del panel para abrir los JSON detalles completos de la búsqueda. El JSON archivo completo también se puede descargar desde este panel. JSONContiene información adicional que no se incluye en la vista de consola y es el formato que pueden utilizar otras herramientas y servicios.

      • Consulte la sección Recurso afectado. Si se trata de una conclusión real, la información que aparece aquí le ayudará a identificar un recurso de su cuenta que debería investigarse e incluirá enlaces a los recursos adecuados AWS Management Console para utilizar.

      • Seleccione los iconos de la lupa con el signo + o - para crear un filtro inclusivo o exclusivo para ese detalle. Para obtener más información acerca de los filtros de resultados, consulte Filtrado de resultados.

  6. Archivado de todos los resultados de muestra

    1. Para seleccionar todos los resultados, marque la casilla de verificación situada en la parte superior de la lista.

    2. Anule la selección de los resultados que desee conservar.

    3. Seleccione el menú Acciones y, a continuación, seleccione Archivar para ocultar los resultados de muestra.

      nota

      Para ver los resultados archivados, seleccione Actual y, a continuación, Archivado para cambiar la vista de los resultados.

Paso 3: Configurar la exportación de GuardDuty los resultados a un bucket de Amazon S3

GuardDuty recomienda configurar los ajustes para exportar los hallazgos, ya que le permite exportar los hallazgos a un bucket de S3 para su almacenamiento indefinido más allá del período de retención de GuardDuty 90 días. Esto le permite mantener un registro de los hallazgos o realizar un seguimiento de los problemas en su AWS entorno a lo largo del tiempo. El proceso que se describe aquí explica cómo configurar un nuevo bucket de S3 y crear una nueva KMS clave para cifrar los hallazgos desde la consola. Para obtener más información al respecto, incluido cómo utilizar su propio bucket existente o uno de otra cuenta, consulte Exportación de resultados.

Configuración de la opción de exportación de resultados de S3

  1. Para cifrar los resultados, necesitará una KMS clave con una política que permita GuardDuty utilizarla para el cifrado. Los siguientes pasos te ayudarán a crear una KMS clave nueva. Si utilizas una KMS clave de otra cuenta, debes aplicar la política de claves iniciando sesión en el Cuenta de AWS propietario de la clave. La región de la KMS clave y del depósito de S3 deben ser iguales. Sin embargo, puede utilizar este mismo bucket y el mismo par de claves para cada región desde la que desee exportar los resultados.

    1. Abra la AWS KMS consola en https://console.aws.amazon.com/kms.

    2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

    3. En el panel de navegación, elija Claves administradas por el cliente.

    4. Elija Create key.

    5. Elija Simétrico en Tipo de clave y, a continuación, elija Siguiente.

      nota

      Para ver los pasos detallados sobre cómo crear tu KMS clave, consulta Cómo crear claves en la Guía AWS Key Management Service para desarrolladores.

    6. Proporcione un Alias para la clave y, a continuación, seleccione Siguiente.

    7. Seleccione Siguiente y, a continuación, vuelva a seleccionar Siguiente para aceptar los permisos de administración y uso predeterminados.

    8. Después de Revisar la configuración, seleccione Finalizar para crear la clave.

    9. En la página Claves administradas por el cliente, elija el alias de su clave.

    10. En la pestaña Política de claves, elija Cambiar a la vista de política.

    11. Selecciona Editar y añade la siguiente política de claves a tu KMS clave, lo que te permite GuardDuty acceder a ella. Esta declaración permite GuardDuty usar solo la clave a la que se agrega esta política. Al editar la política clave, asegúrese de que la JSON sintaxis sea válida. Si agrega la instrucción antes de la instrucción final, debe agregar una coma después del corchete de cierre.

      {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "arn:aws:kms:Region1:444455556666:key/KMSKeyId",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "111122223333",
            "aws:SourceArn": "arn:aws:guardduty:Region2:111122223333:detector/SourceDetectorID"	
        }
    }
}

      Reemplazar Region1 con la región de su KMS clave. Reemplazar 444455556666 con el Cuenta de AWS propietario de la KMS clave. Reemplazar KMSKeyId con el identificador de clave de la KMS clave que eligió para el cifrado. Para identificar todos estos valores (región e ID de clave), consulta el ARNde tu KMS clave. Cuenta de AWS Para localizar la claveARN, consulta Cómo encontrar el ID de la clave y ARN.

      Del mismo modo, sustituya 111122223333 con el Cuenta de AWS de la GuardDuty cuenta. Reemplazar Region2 con la región de la GuardDuty cuenta. Reemplazar SourceDetectorID con el identificador del detector de la GuardDuty cuenta para Region2.

      Para encontrar el detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta el ListDetectorsAPI.

    12. Seleccione Guardar.

  2. Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  3. En el panel de navegación, seleccione Configuración.

  4. En Opciones de exportación de resultados, elija Configurar ahora.

  5. Seleccione Nuevo bucket. Facilite un nombre único para su bucket de S3.

  6. (Opcional) Puede probar su nueva configuración de exportación generando resultados de muestra. En el panel de navegación, seleccione Configuración.

  7. En la sección Resultados de muestra, seleccione Generar resultados de muestra. Los nuevos ejemplos de resultados aparecerán como entradas en el depósito de S3 que se creará GuardDuty en un plazo máximo de cinco minutos.

Paso 4: Configura la GuardDuty búsqueda de alertas mediante SNS

GuardDuty se integra con Amazon EventBridge, que se puede utilizar para enviar los datos de los resultados a otras aplicaciones y servicios para su procesamiento. Con EventBridge él, puede utilizar GuardDuty los hallazgos para iniciar respuestas automáticas a sus hallazgos conectando los eventos de búsqueda con objetivos como AWS Lambda las funciones, la automatización de Amazon EC2 Systems Manager, Amazon Simple Notification Service (SNS) y más.

En este ejemplo, crearás un SNS tema para que sea el objetivo de una EventBridge regla y, a continuación, lo utilizarás EventBridge para crear una regla a partir de la cual se recopilen los datos de los hallazgos GuardDuty. La regla resultante reenvía los detalles de los resultados a una dirección de correo electrónico. Para obtener información sobre cómo enviar resultados a Slack o Amazon Chime y cómo modificar los tipos de resultados por los que se envían las alertas, consulte Configuración de un tema y un punto de conexión de Amazon SNS.

Para crear un SNS tema para tus alertas de hallazgos

  1. Abre la SNS consola de Amazon en la https://console.aws.amazon.com/sns/versión 3/home.

  2. En el panel de navegación, elija Temas.

  3. Elija Create Topic (Crear tema).

  4. En Tipo, seleccione Estándar.

  5. En Nombre, escriba GuardDuty.

  6. Elija Create Topic (Crear tema). Se abrirán los detalles del nuevo tema.

  7. En la sección Subscriptions (Suscripciones), elija Create subscription (Crear suscripción).

  8. En Protocolo, elija Correo electrónico.

  9. En Punto de conexión, introduzca la dirección de correo electrónico a la que desea enviar notificaciones.

  10. Elija Crear una suscripción.

    Después de crear su suscripción, debe confirmarla a través de su dirección de correo electrónico.

  11. Para comprobar si hay un mensaje de suscripción, vaya a la bandeja de entrada de su correo electrónico y, en el mensaje de suscripción, seleccione Confirmar suscripción.

    nota

    Para comprobar el estado de la confirmación del correo electrónico, ve a la SNS consola y selecciona Suscripciones.

Para crear una EventBridge regla que recoja los GuardDuty hallazgos y les dé formato

  1. Abra la EventBridge consola en https://console.aws.amazon.com/events/.

  2. En el panel de navegación, seleccione Reglas.

  3. Elija Crear regla.

  4. Escriba un nombre y una descripción para la regla.

    Una regla no puede tener el mismo nombre que otra regla de la misma región y del mismo bus de eventos.

  5. En Bus de eventos, elija Predeterminado.

  6. En Tipo de regla, elija Regla con un patrón de evento.

  7. Seleccione Siguiente.

  8. En Origen de eventos, seleccione (Eventos de AWS ).

  9. En la sección Patrón de eventos, seleccione Formulario de patrón de eventos.

  10. En Origen de evento, seleccione Servicios de AWS .

  11. Para el AWS servicio, elija GuardDuty.

  12. En Tipo de evento, selecciona GuardDutyBuscar.

  13. Elija Next (Siguiente).

  14. En Tipos de destino, seleccione Servicio de AWS .

  15. En Seleccione un objetivo, elija un SNStema y, en Tema, elija el nombre del SNS tema que creó anteriormente.

  16. En la sección Additional settings, en Configurar la entrada de destino, elija Transformador de entrada.

    Al añadir un transformador de entrada, los datos de JSON búsqueda enviados se GuardDuty convierten en un mensaje legible para las personas.

  17. Elija Configurar transformador de entrada.

  18. En la sección Transformador de entrada de destino, en Ruta de entrada, pegue el siguiente código:

    
{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

  19. Para formatear el correo electrónico, en Plantilla, pega el siguiente código y asegúrate de reemplazar el texto en rojo por los valores correspondientes a tu región:

    
"You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region."
"Finding Description:"
"Finding_Description."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"

  20. Seleccione Confirmar.

  21. Elija Next (Siguiente).

  22. (Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información, consulta las EventBridge etiquetas de Amazon en la Guía del EventBridge usuario de Amazon.

  23. Elija Next (Siguiente).

  24. Revise los detalles de la regla y seleccione Crear regla.

  25. (Opcional) Pruebe la nueva regla generando resultados de muestra con el proceso descrito en el paso 2. Recibirá un correo electrónico por cada resultado de muestra que se genere.

Siguientes pasos

A medida que continúe utilizándolas GuardDuty, comprenderá los tipos de hallazgos que son relevantes para su entorno. Cada vez que reciba un nuevo resultado, podrá encontrar información, como recomendaciones para corregir dicho resultado, al seleccionar Más información en la descripción del resultado en el panel de detalles del resultado o al buscar el nombre del resultado en Tipos de resultados.

Las siguientes funciones le ayudarán a GuardDuty ajustarlo para que pueda proporcionar los hallazgos más relevantes para su AWS entorno:

  • Para ordenar fácilmente los resultados en función de criterios específicos, como el ID de instancia, el ID de cuenta, el nombre del bucket de S3, etc., puede crear filtros y guardarlos en ellos GuardDuty. Para obtener más información, consulte Filtrado de resultados.

  • Si recibe resultados sobre el comportamiento esperado de su entorno, puede archivarlos automáticamente en función de los criterios que defina con las reglas de supresión.

  • Para evitar que los resultados se generen a partir de un subconjunto de sitios de confianzaIPs, o para que el GuardDuty monitor quede IPs fuera del ámbito de supervisión habitual, puedes configurar listas de IP fiables y de amenazas.