Implementaciones de controles de detección
Es importante entender cómo se implementan los controles de detección porque ayudan a determinar cómo se utilizará la alerta para un evento en particular. Hay dos implementaciones principales de los controles de detección técnicos:
-
La detección del comportamiento se basa en modelos matemáticos que se conocen comúnmente como machine learning (ML) o inteligencia artificial (IA). La detección se realiza por inferencia; por lo tanto, es posible que la alerta no refleje necesariamente un evento real.
-
La detección basada en reglas es determinista; los clientes pueden establecer los parámetros exactos de la actividad sobre la que se generarán alertas, y eso es seguro.
Las implementaciones modernas de sistemas de detección, como un sistema de detección de intrusiones (IDS), suelen incluir ambos mecanismos. A continuación, se presentan algunos ejemplos de detecciones basadas en reglas y de comportamiento con GuardDuty.
-
Cuando se genera el resultado
Exfiltration:IAMUser/AnomalousBehavior, le informa de que “se ha observado una solicitud de API anómala en su cuenta”. A medida que profundiza en la documentación, se indica que “el modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios”, lo que indica que este resultado se refiere al comportamiento. -
Para el resultado
Impact:S3/MaliciousIPCaller, GuardDuty analiza las llamadas a la API del servicio Amazon S3 en CloudTrail y compara el elemento de registroSourceIPAddresscon una tabla de direcciones IP públicas que incluye fuentes de inteligencia de amenazas. Una vez que encuentra una coincidencia directa con una entrada, genera el resultado.
Recomendamos implementar una combinación de alertas de comportamiento y basadas en reglas, ya que no siempre es posible implementar alertas basadas en reglas para todas las actividades del modelo de amenazas.
