Controles de Security Hub para Amazon GuardDuty - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para Amazon GuardDuty

Estos AWS Security Hub controles de evalúan el GuardDuty servicio y los recursos de Amazon. Es posible que los controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[GuardDuty.1] GuardDuty debería estar activado

Requisitos relacionados: NIST.800-53.r5 AC-2 (12), (4), NIST.800-53.r5 SA-1 1 (6) NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, 5 NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3 (2), NIST.800-53.r5 SA-1 5 (8), (19), (19), (19), (21), (25), ( NIST.800-53.r5 SA-11), (3), NIST.800-53.r5 SA-1 NIST.800-53.r5 SA-8 Nist.800-53.r5 SI-20, NIST.800-53.r5 SA-8 Nist.800-53.r5 SI-4, NIST.800-53.r5 SC-5 Nist.800-53.r5, Nist.800-53.r5 R5 SI-4 NIST.800-53.r5 SC-5 NIST.800-53.r5 SC-5 (1), NiSt.800-53.r5 SI-4 (13), NiSt.800-53.r5 SI-4 (2), Nist.800-53.r5 SI-4 (25), Nist.800-53.r5 SI-4 (25), Nist.800-53.r5 SI-4 (5), NiSt.800-171.r2 3.4.2, NiSt.800-171.r2 3.14.6, NiSt.800-171.r2 3.14.7, PCI DSS v3.2.1/11.4 NIST.800-53.r5 SA-8 , PCI DSS v4.0.1/11.5.1

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::::Account

Regla de AWS Config : guardduty-enabled-centralized

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si Amazon GuardDuty está habilitado en tu GuardDuty cuenta y en tu región.

Se recomienda ampliamente que habilite GuardDuty en todas las AWS regiones de compatibles. Esto permite GuardDuty generar resultados sobre la actividad no autorizada o inusual incluso en las regiones que no usa de forma activa. Esto también permite GuardDuty monitorear CloudTrail eventos de global Servicios de AWS , como IAM.

Corrección

Para activarlo GuardDuty, consulta Cómo empezar con GuardDuty en la Guía del GuardDuty usuario de Amazon.

[GuardDuty.2] GuardDuty los filtros deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::GuardDuty::Filter

Regla de AWS Config : tagged-guardduty-filter (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList (máximo de 6 artículos) De 1 a 6 claves de etiquetas que cumplan con AWS los requisitos. No default value

Este control comprueba si un GuardDuty filtro de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el filtro no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el filtro no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Las etiquetas se pueden asignar a los AWS recursos de y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a AWS recursos de. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para? AWS en la Guía del usuario de IAM.

nota

No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS

Corrección

Para añadir etiquetas a un GuardDuty filtro, consulta la referencia TagResourcede la GuardDuty API de Amazon.

[GuardDuty.3] GuardDuty IPSets debe estar etiquetado

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::GuardDuty::IPSet

Regla de AWS Config : tagged-guardduty-ipset (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList (máximo de 6 artículos) De 1 a 6 claves de etiquetas que cumplan con AWS los requisitos. No default value

Este control comprueba si un Amazon GuardDuty IPSet tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control lanza error si IPSet no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetrorequiredTagKeys. Si requiredTagKeys no se proporciona el parámetro, el control solo comprueba la existencia de una clave de etiqueta y lanza error si IPSet no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Las etiquetas se pueden asignar a los AWS recursos de y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a AWS recursos de. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para? AWS en la Guía del usuario de IAM.

nota

No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS

Corrección

Para añadir etiquetas a un GuardDuty IPSet, consulta la referencia TagResourcede la GuardDuty API de Amazon.

[GuardDuty.4] GuardDuty los detectores deben estar etiquetados

Categoría: Identificar > Inventario > Etiquetado

Gravedad: baja

Tipo de recurso: AWS::GuardDuty::Detector

Regla de AWS Config : tagged-guardduty-detector (regla personalizada de Security Hub)

Tipo de horario: provocado por un cambio

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub
requiredTagKeys Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. StringList (máximo de 6 artículos) De 1 a 6 claves de etiquetas que cumplan con AWS los requisitos. No default value

Este control comprueba si el GuardDuty detector de Amazon tiene etiquetas con las claves específicas definidas en el parámetrorequiredTagKeys. El control falla si el detector no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el detector no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.

Las etiquetas se pueden asignar a los AWS recursos de y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a AWS recursos de. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para? AWS en la Guía del usuario de IAM.

nota

No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para obtener más información sobre las mejores prácticas de etiquetado, consulte Etiquetar sus AWS recursos en el. Referencia general de AWS

Corrección

Para añadir etiquetas a un GuardDuty detector, consulta la referencia TagResourcede la GuardDuty API de Amazon.

[GuardDuty.5] La supervisión de registros de auditoría de GuardDuty EKS debe estar habilitada

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::GuardDuty::Detector

Regla de AWS Config : guardduty-eks-protection-audit-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la supervisión de registros de auditoría de GuardDuty EKS está activada. En el caso de una cuenta independiente, el control falla si la supervisión de registros de auditoría de GuardDuty EKS está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si ni la cuenta de GuardDuty administrador delegado ni ninguna de las cuentas de los miembros tienen habilitada la supervisión de registros de auditoría de EKS.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de GuardDuty administrador delegado. Solo el administrador delegado puede activar o desactivar la característica de la supervisión de registros de auditoría de EKS para las cuentas de los miembros en la organización. GuardDuty las cuentas de miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la supervisión de registros de auditoría de GuardDuty EKS. Para recibir un PASSED resultado, el administrador delegado debe desvincular estas cuentas suspendidas en. GuardDuty

GuardDuty La supervisión de registros de auditoría de EKS lo ayuda a detectar actividades potencialmente sospechosas en los clústeres de Amazon Elastic Service (Amazon EKS). La supervisión de registros de auditoría de EKS utiliza los registros de auditoría de Kubernetes para capturar las actividades cronológicas de los usuarios, las aplicaciones que utilizan la API de Kubernetes y el plano de control.

Corrección

Para habilitar GuardDuty la supervisión de registros de auditoría de EKS, consulte Supervisión de registros de auditoría de EKS en la Guía del GuardDuty usuario de Amazon.

[GuardDuty.6] La protección de GuardDuty Lambda debe estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/11.5.1

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::GuardDuty::Detector

Regla de AWS Config : guardduty-lambda-protection-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la protección de GuardDuty Lambda está activada. En el caso de una cuenta independiente, el control falla si la protección de GuardDuty Lambda está deshabilitada en la cuenta. En un entorno con varias cuentas, el control lanza un error si ni la cuenta de GuardDuty administrador delegado ni ninguna de las cuentas de los miembros tienen habilitada la protección de Lambda.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de GuardDuty administrador delegado. Solo el administrador delegado puede activar o desactivar la característica de la protección de Lambda para las cuentas de los miembros en la organización. GuardDuty las cuentas de miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección de GuardDuty Lambda. Para recibir un PASSED resultado, el administrador delegado debe desvincular estas cuentas suspendidas en. GuardDuty

GuardDuty La protección de Lambda le ayuda a identificar posibles amenazas de seguridad cuando se invoca una AWS Lambda función de. Después de activar la protección de Lambda, GuardDuty comienza a supervisar los registros de actividad de red de Lambda asociados a las funciones de Lambda de su. Cuenta de AWS Cuando una función de Lambda se invoca e GuardDuty identifica tráfico de red sospechoso que indica la presencia de un fragmento de código potencialmente malintencionado en su función de Lambda, GuardDuty genera un resultado.

Corrección

Para activar GuardDuty Lambda Protection, consulte Configuración de Lambda Protection en la Guía del usuario de Amazon. GuardDuty

[GuardDuty.7] La supervisión en tiempo de ejecución de GuardDuty EKS debe estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/11.5.1

Categoría: Detectar - Servicios de detección

Gravedad: media

Tipo de recurso: AWS::GuardDuty::Detector

Regla de AWS Config : guardduty-eks-protection-runtime-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la supervisión en tiempo de ejecución de GuardDuty EKS con administración automatizada de agentes está activada. En el caso de una cuenta independiente, el control lanza un error si la supervisión en tiempo de ejecución de GuardDuty EKS con administración automática de agentes está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si ni la cuenta de GuardDuty administrador delegado ni ninguna de las cuentas de los miembros tienen habilitada la supervisión en tiempo de ejecución de EKS con administración automática de agentes.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de GuardDuty administrador delegado. Solo el administrador delegado puede activar o desactivar la característica de la supervisión en tiempo de ejecución de EKS con administración automática de agentes para las cuentas de los miembros en la organización. GuardDuty las cuentas de miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la supervisión en tiempo de ejecución de GuardDuty EKS. Para recibir un PASSED resultado, el administrador delegado debe desvincular estas cuentas suspendidas en. GuardDuty

La protección de EKS en Amazon GuardDuty proporciona una cobertura de detección de amenazas para ayudarlo a proteger los clústeres de Amazon EKS en su AWS entorno de. La supervisión en tiempo de ejecución de EKS utiliza los eventos de nivel de sistema operativo para ayudarlo a detectar posibles amenazas en los nodos y contenedores de EKS de sus clústeres de EKS.

Corrección

Para habilitar la supervisión en tiempo de ejecución de EKS con administración automática de agentes, consulte Habilitar la supervisión en tiempo de GuardDuty ejecución en la Guía del GuardDuty usuario de Amazon.

[GuardDuty.8] La protección contra GuardDuty malware para EC2 debe estar habilitada

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::GuardDuty::Detector

Regla de AWS Config : guardduty-malware-protection-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la protección contra GuardDuty malware está activada. En el caso de una cuenta independiente, el control falla si la protección contra GuardDuty malware está deshabilitada en la cuenta. En un entorno con varias cuentas, el control lanza un error si ni la cuenta de GuardDuty administrador delegado ni ninguna de las cuentas de los miembros tienen habilitada la protección contra malware.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de GuardDuty administrador delegado. Solo el administrador delegado puede activar o desactivar la característica de la protección contra malware para las cuentas de los miembros en la organización. GuardDuty las cuentas de miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección contra GuardDuty malware. Para recibir un PASSED resultado, el administrador delegado debe desvincular estas cuentas suspendidas en. GuardDuty

GuardDuty La protección contra malware para EC2 ayuda a detectar la presencia potencial de malware mediante el análisis de los volúmenes de Amazon Elastic Block Store (Amazon EBS) Block Block Store ( EC2Amazon EBS)). La protección contra malware ofrece opciones de análisis en las que puede decidir si desea incluir o excluir EC2 instancias y cargas de trabajo de contenedores específicas en el momento del análisis. También ofrece la opción de retener las instantáneas de los volúmenes de EBS adjuntos a las EC2 instancias o cargas de trabajo de contenedores en sus cuentas. GuardDuty Las instantáneas se conservan solo cuando se encuentra malware y se generan los resultados de la protección contra malware.

Corrección

Para activar la protección contra GuardDuty malware EC2, consulte Configuración del análisis GuardDuty de malware iniciado en la Guía del GuardDuty usuario de Amazon.

[GuardDuty.9] La protección de GuardDuty RDS debe estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/11.5.1

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::GuardDuty::Detector

Regla de AWS Config : guardduty-rds-protection-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la protección GuardDuty de RDS está activada. En el caso de una cuenta independiente, el control falla si la protección de GuardDuty RDS está deshabilitada en la cuenta. En un entorno con varias cuentas, el control lanza un error si ni la cuenta de GuardDuty administrador delegado ni ninguna de las cuentas de los miembros tienen habilitada la protección de RDS.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de GuardDuty administrador delegado. Solo el administrador delegado puede activar o desactivar la característica de la protección de RDS para las cuentas de los miembros en la organización. GuardDuty las cuentas de miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección de GuardDuty RDS. Para recibir un PASSED resultado, el administrador delegado debe desvincular estas cuentas suspendidas en. GuardDuty

La protección de RDS en GuardDuty analiza y perfila la actividad de inicio de sesión en RDS para detectar posibles amenazas de acceso a sus bases de datos de Amazon Aurora (Aurora edición compatible con MySQL y Aurora edición compatible con PostgreSQL). Esta característica le permite identificar comportamientos de inicio de sesión potencialmente sospechosos. La protección de RDS no requiere infraestructura adicional; está diseñada para no afectar al rendimiento de las instancias de bases de datos. Cuando la protección de RDS detecta un intento de inicio de sesión sospechoso o anómalo que implica una amenaza para su base de datos, GuardDuty genera un nuevo resultado con detalles de la base de datos que está potencialmente afectada.

Corrección

Para activar la protección de GuardDuty RDS, consulte Protección de GuardDuty RDS en la Guía GuardDuty del usuario de Amazon.

[GuardDuty.10] La protección de GuardDuty S3 debe estar habilitada

Requisitos relacionados: PCI DSS v4.0.1/11.5.1

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::GuardDuty::Detector

Regla de AWS Config : guardduty-s3-protection-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la protección de GuardDuty S3 está activada. En el caso de una cuenta independiente, el control falla si la protección de GuardDuty S3 está deshabilitada en la cuenta. En un entorno con varias cuentas, el control lanza un error si ni la cuenta de GuardDuty administrador delegado ni ninguna de las cuentas de los miembros tienen habilitada la protección de S3.

En un entorno con varias cuentas, el control genera resultados solo en la cuenta de GuardDuty administrador delegado. Solo el administrador delegado puede activar o desactivar la característica de la protección de S3 para las cuentas de los miembros en la organización. GuardDuty las cuentas de miembros no pueden modificar esta configuración desde sus cuentas. Este control genera FAILED resultados si el GuardDuty administrador delegado tiene una cuenta de miembro suspendida que no tiene habilitada la protección de GuardDuty S3. Para recibir un PASSED resultado, el administrador delegado debe desvincular estas cuentas suspendidas en. GuardDuty

La protección de S3 GuardDuty permite supervisar las operaciones de la API de nivel de objeto para identificar los posibles riesgos de seguridad para los datos de los buckets de Amazon Simple Storage Service (Amazon S3). GuardDuty supervisa las amenazas contra los recursos de S3 mediante el análisis AWS CloudTrail de eventos de administración de y eventos de datos de CloudTrail S3.

Corrección

Para activar la protección GuardDuty S3, consulte Amazon S3 Protection en Amazon GuardDuty en la Guía del GuardDuty usuario de Amazon.

[GuardDuty.11] La monitorización del GuardDuty tiempo de ejecución debe estar habilitada

Categoría: Detectar - Servicios de detección

Gravedad: alta

Tipo de recurso: AWS::GuardDuty::Detector

Regla de AWS Config : guardduty-runtime-monitoring-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si la supervisión en tiempo de ejecución está activada en Amazon GuardDuty. En el caso de una cuenta independiente, el control falla si la supervisión en GuardDuty tiempo de ejecución está deshabilitada para la cuenta. En un entorno con varias cuentas, el control lanza un error si la supervisión en GuardDuty tiempo de ejecución está deshabilitada para la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros.

En un entorno con varias cuentas, solo el GuardDuty administrador delegado puede habilitar o desactivar la supervisión en GuardDuty tiempo de ejecución para las cuentas de su organización. Además, solo el GuardDuty administrador puede configurar y administrar los agentes de seguridad que GuardDuty utiliza para la supervisión en tiempo de ejecución de AWS las cargas de trabajo y los recursos de las cuentas de la organización. GuardDuty las cuentas de los miembros no pueden activar, configurar ni deshabilitar Runtime Monitoring para sus propias cuentas.

GuardDuty La supervisión en tiempo de ejecución observa y analiza los eventos de archivos, redes y sistemas operativos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de en su entorno. Utiliza agentes GuardDuty de seguridad que aportan visibilidad al comportamiento en tiempo de ejecución, como el acceso a archivos, la ejecución de procesos, los argumentos de línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar para detectar posibles amenazas, como los clústeres de Amazon EKS y las EC2 instancias de Amazon.

Corrección

Para obtener información sobre cómo configurar y habilitar GuardDuty Runtime Monitoring, consulte GuardDuty Runtime Monitoring y Enabling GuardDuty Runtime Monitoring en la Guía del GuardDuty usuario de Amazon.

[GuardDuty.12] La monitorización del tiempo de ejecución de GuardDuty ECS debe estar habilitada

Categoría: Detectar - Servicios de detección

Gravedad: media

Tipo de recurso: AWS::GuardDuty::Detector

Regla de AWS Config : guardduty-ecs-protection-runtime-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el agente de seguridad GuardDuty automatizado de Amazon está activado para la supervisión en tiempo de ejecución de los clústeres de Amazon ECS AWS Fargate. En el caso de una cuenta independiente, el control falla si el agente de seguridad está deshabilitado para la cuenta. En un entorno con varias cuentas, el control lanza un error si el agente de seguridad está desactivado para la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros.

En un entorno con varias cuentas, este control genera resultados solo en la cuenta de GuardDuty administrador delegado. Esto se debe a que solo el GuardDuty administrador delegado puede habilitar o deshabilitar la supervisión en tiempo de ejecución de los recursos de ECS-Fargate para las cuentas de su organización. GuardDuty las cuentas de miembros no pueden hacer esto para sus propias cuentas. Además, este control genera FAILED resultados si GuardDuty se suspende para una cuenta de miembro y la supervisión del tiempo de ejecución de los recursos de ECS-Fargate está deshabilitada para la cuenta de miembro. Para recibir una confirmaciónPASSED, el GuardDuty administrador debe desvincular la cuenta de miembro suspendida de su cuenta de administrador mediante. GuardDuty

GuardDuty La supervisión en tiempo de ejecución observa y analiza los eventos de archivos, redes y sistemas operativos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de en su entorno. Utiliza agentes GuardDuty de seguridad que aportan visibilidad al comportamiento en tiempo de ejecución, como el acceso a archivos, la ejecución de procesos, los argumentos de línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar en busca de posibles amenazas. Esto incluye los clústeres de Amazon ECS activados AWS Fargate.

Corrección

Para habilitar y administrar el agente de seguridad para la supervisión en tiempo de GuardDuty ejecución de los recursos de ECS-Fargate, debe usarlo directamente. GuardDuty No puede habilitarlo ni administrarlo manualmente para los recursos de ECS-Fargate. Para obtener información sobre cómo habilitar y administrar el agente de seguridad, consulte Requisitos previos para el soporte AWS Fargate (solo para Amazon ECS) y Administración del agente de seguridad automatizado para AWS Fargate (solo Amazon ECS) en la Guía del GuardDuty usuario de Amazon.

[GuardDuty.13] La monitorización del GuardDuty EC2 tiempo de ejecución debe estar habilitada

Categoría: Detectar - Servicios de detección

Gravedad: media

Tipo de recurso: AWS::GuardDuty::Detector

Regla de AWS Config : guardduty-ec2-protection-runtime-enabled

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si el agente de seguridad GuardDuty automatizado de Amazon está habilitado para la supervisión en tiempo de ejecución de las EC2 instancias de Amazon. En el caso de una cuenta independiente, el control falla si el agente de seguridad está deshabilitado para la cuenta. En un entorno con varias cuentas, el control lanza un error si el agente de seguridad está desactivado para la cuenta de GuardDuty administrador delegado y todas las cuentas de los miembros.

En un entorno con varias cuentas, este control genera resultados solo en la cuenta de GuardDuty administrador delegado. Esto se debe a que solo el GuardDuty administrador delegado puede activar o desactivar Runtime Monitoring de las EC2 instancias de Amazon para las cuentas de su organización. GuardDuty las cuentas de miembros no pueden hacer esto para sus propias cuentas. Además, este control genera FAILED resultados si GuardDuty se suspende la cuenta de un miembro y si se inhabilita la supervisión del tiempo de ejecución de las EC2 instancias en esa cuenta. Para recibir una confirmaciónPASSED, el GuardDuty administrador debe desvincular la cuenta de miembro suspendida de su cuenta de administrador mediante GuardDuty.

GuardDuty La supervisión en tiempo de ejecución observa y analiza los eventos de archivos, redes y sistemas operativos para ayudarlo a detectar posibles amenazas en AWS cargas de trabajo específicas de en su entorno. Utiliza agentes GuardDuty de seguridad que aportan visibilidad al comportamiento en tiempo de ejecución, como el acceso a archivos, la ejecución de procesos, los argumentos de línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar en busca de posibles amenazas. Esto incluye las EC2 instancias de Amazon.

Corrección

Para obtener información sobre la configuración y la administración del agente de seguridad automatizado para la supervisión en tiempo de GuardDuty ejecución de EC2 las instancias, consulte Requisitos previos para el soporte de EC2 instancias de Amazon y Habilitar el agente de seguridad automatizado para EC2 las instancias de Amazon en la Guía del GuardDuty usuario de Amazon.