¿Qué es Amazon GuardDuty? - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué es Amazon GuardDuty?

Amazon GuardDuty es un servicio de detección de amenazas que supervisa, analiza y procesa de forma continua las fuentes de AWS datos y los registros de su AWS entorno. GuardDuty utiliza fuentes de inteligencia sobre amenazas, como listas de direcciones IP y dominios maliciosos, códigos hash de archivos y modelos de aprendizaje automático (ML) para identificar actividades sospechosas y potencialmente maliciosas en su AWS entorno. La siguiente lista proporciona una descripción general de los posibles escenarios de amenazas que GuardDuty pueden ayudarle a detectarlos:

  • Credenciales comprometidas y filtradas. AWS

  • Exfiltración y destrucción de datos que pueden provocar un ataque de ransomware. Patrones inusuales de eventos de inicio de sesión en las versiones de motor compatibles de Amazon Aurora y las RDS bases de datos de Amazon, que indican un comportamiento anómalo.

  • Actividad de minería de criptomonedas no autorizada en sus instancias y cargas de trabajo de contenedores de Amazon Elastic Compute Cloud EC2 (Amazon).

  • Presencia de malware en sus EC2 instancias y cargas de trabajo de contenedores de Amazon, y archivos recién cargados en sus depósitos de Amazon Simple Storage Service (Amazon S3).

  • Eventos a nivel del sistema operativo, de red y de archivos que indican un comportamiento no autorizado en los clústeres de Amazon Elastic Kubernetes Service (Amazon), las tareas de EKS Amazon Elastic Container Service ECS (Amazon) y las cargas de trabajo de Amazon AWS Fargate (Fargate) en contenedores e instancias. EC2

Características de GuardDuty

Estas son algunas de las formas clave en las que Amazon GuardDuty puede ayudarle a supervisar, detectar y gestionar las posibles amenazas en su AWS entorno.

Supervisa continuamente fuentes de datos y registros de eventos específicos
  • Detección de amenazas básica: cuando habilitas GuardDuty una Cuenta de AWS, comienza a ingerir GuardDuty automáticamente las fuentes de datos fundamentales asociadas a esa cuenta. Estas fuentes de datos incluyen eventos AWS CloudTrail de administración, registros de VPC flujo (de EC2 instancias de Amazon) y DNS registros. No necesita habilitar nada más para empezar GuardDuty a analizar y procesar estas fuentes de datos y generar las conclusiones de seguridad asociadas. Para obtener más información, consulte GuardDuty fuentes de datos fundamentales.

  • Planes de GuardDuty protección centrados en los casos de uso: para mejorar la visibilidad de la detección de amenazas y la seguridad de su AWS entorno, GuardDuty ofrece planes de protección específicos que puede habilitar. Los planes de protección le ayudan a supervisar los registros y eventos de otros AWS servicios. Estas fuentes incluyen los registros de EKS auditoría, la actividad de inicio de RDS sesión, los eventos de datos de Amazon S3 CloudTrail, EBS los volúmenes, la supervisión del tiempo de ejecución en Amazon EKSEC2, Amazon y Amazon ECS -Fargate y los registros de actividad de la red Lambda. GuardDutyconsolida estas fuentes de registros y eventos bajo el término Características. Puede activar uno o más planes de protección dedicados de forma compatible Región de AWS en cualquier momento. GuardDuty empezará a supervisar, procesar y analizar las actividades en función del plan de protección que active. Para obtener más información sobre cada plan de protección y su funcionamiento, consulte el documento del plan de protección correspondiente.

    Plan de protección Descripción

    Protección S3

    Identifica los posibles riesgos de seguridad, como la exfiltración de datos y los intentos de destrucción en sus buckets de Amazon S3.

    EKSProtección

    EKSAudit Log Monitoring analiza los registros de auditoría de Kubernetes de tus EKS clústeres de Amazon para detectar actividades potencialmente sospechosas y maliciosas.

    Supervisión en tiempo de ejecución

    Supervisa y analiza los eventos a nivel del sistema operativo en AmazonEC2, EKS Amazon y Amazon ECS (incluidos AWS Fargate) para detectar posibles amenazas en tiempo de ejecución.

    Protección contra malware para EC2

    Detecta la posible presencia de malware escaneando los EBS volúmenes de Amazon asociados a tus EC2 instancias de Amazon. Existe la opción de utilizar esta función bajo demanda.

    Protección contra malware para S3

    Detecta la posible presencia de malware en los objetos recién cargados en sus buckets de Amazon S3.

    RDSProtección

    Analiza y perfila su actividad de inicio de RDS sesión para detectar posibles amenazas de acceso a las RDS bases de datos compatibles de Amazon Aurora y Amazon.

    Protección de Lambda

    Supervisa los registros de actividad de la red Lambda, empezando por los registros de VPC flujo, para detectar amenazas a sus AWS Lambda funciones. Algunos ejemplos de estas posibles amenazas son la minería de criptomonedas y la comunicación con servidores maliciosos.

    Habilite la protección contra malware para S3 de forma independiente

    GuardDuty ofrece flexibilidad para utilizar Malware Protection for S3 de forma independiente, sin necesidad de activar el GuardDuty servicio Amazon. Para obtener más información sobre cómo empezar a utilizar únicamente Malware Protection para S3, consulteGuardDuty Protección contra malware para S3. Para usar todos los demás planes de protección, debe habilitar el GuardDuty servicio.

Administre un entorno de cuentas múltiples

Puede administrar un AWS entorno de varias cuentas mediante el método de invitación AWS Organizations (recomendado) o el tradicional. Para obtener más información, consulte Administración de varias cuentas .

Genera hallazgos de seguridad para las amenazas detectadas

Cuando GuardDuty detecta posibles amenazas de seguridad asociadas a sus AWS recursos, comienza a generar hallazgos de seguridad que proporcionan información sobre el recurso potencialmente comprometido. Después de activarla GuardDuty en tu cuenta, genera Hallazgos de ejemplo para ver la asociadaDetalles de los resultados. Para obtener una lista completa de los resultados de seguridad, consulteTipos de resultados.

También puede usar un script de prueba que genere hallazgos de GuardDuty seguridad específicos para comprender cómo revisarlos y responder a ellos GuardDuty . GuardDuty Para obtener más información, consulte Pruebe GuardDuty los resultados en cuentas dedicadas.

Evaluar y gestionar los hallazgos de seguridad

GuardDuty consolida los hallazgos de seguridad en todas las cuentas y muestra los resultados en el panel de resumen de la GuardDuty consola. También puede recuperar los resultados a través de AWS Security Hub API, AWS Command Line Interface, o AWS SDK. Con una visión holística de su estado de seguridad actual, puede identificar las tendencias y los posibles problemas, y tomar las medidas correctivas necesarias. Para obtener más información, consulte Gestionar GuardDuty los hallazgos.

Intégrelo con los servicios AWS de seguridad relacionados

Para seguir analizando e investigando las tendencias de seguridad de su AWS entorno, considere la posibilidad de utilizar los siguientes servicios AWS relacionados con la seguridad en combinación con. GuardDuty

  • AWS Security Hub— Este servicio le ofrece una visión integral del estado de seguridad de sus AWS recursos y le ayuda a comprobar si su AWS entorno se ajusta a los estándares y las mejores prácticas del sector de la seguridad. Esto lo consigue, en parte, consumiendo, agrupando, organizando y priorizando los hallazgos de seguridad de varios AWS servicios (incluido Amazon Macie) y productos AWS compatibles de Partner Network APN (). Security Hub le ayuda a analizar sus tendencias de seguridad e identificar los problemas de seguridad más prioritarios en todo su AWS entorno.

    Para obtener información sobre el uso GuardDuty conjunto de Security Hub, consulteIntegrarse GuardDuty con AWS Security Hub. Para obtener más información sobre Security Hub, consulte la AWS Security Hub Guía del usuario.

  • Amazon Detective: este servicio le ayuda a analizar, investigar e identificar rápidamente la causa raíz de los hallazgos de seguridad o las actividades sospechosas. Detective recopila automáticamente los datos de registro de sus AWS recursos. A continuación, utiliza el machine learning, el análisis estadístico y la teoría de grafos para generar visualizaciones que lo ayuden a realizar investigaciones sobre la seguridad con mayor rapidez y de forma más eficaz. Las agregaciones de datos, los resúmenes y el contexto prediseñados de Detective le ayudan a analizar y determinar la naturaleza y el alcance de los posibles problemas de seguridad.

    Para obtener información sobre el uso GuardDuty conjunto de Detective, consulteIntegración GuardDuty con Amazon Detective. Para obtener más información sobre Detective, consulta la Guía del usuario de Amazon Detective.

  • Amazon EventBridge: este servicio le ayuda a recibir notificaciones y responder a los hallazgos GuardDuty de seguridad casi en tiempo real. GuardDutycrea un evento cuando hay un cambio en los resultados. Puede elegir la frecuencia con la que desea recibir las notificaciones EventBridge. Para obtener más información, consulta Qué es Amazon EventBridge en la Guía del EventBridge usuario de Amazon.

PCIDSSConformidad

GuardDuty respalda el procesamiento, el almacenamiento y la transmisión de los datos de las tarjetas de crédito por parte de un comerciante o proveedor de servicios, y se ha comprobado que cumplen con el estándar de seguridad de datos de la industria de tarjetas de pago (DSS). PCI Para obtener más información sobre PCI DSS cómo solicitar una copia del AWS PCI Compliance Package, consulte el PCIDSSNivel 1.

Para obtener más información, consulte una nueva prueba de terceros que compara Amazon con GuardDuty los sistemas de detección de intrusiones en la red en el blog AWS de seguridad.