¿Qué es Amazon GuardDuty? - Amazon GuardDuty
Características de GuardDutyPCIDSSConformidad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué es Amazon GuardDuty?

Amazon GuardDuty es un servicio de detección de amenazas que supervisa, analiza y procesa de forma continua las fuentes de AWS datos y los registros de su AWS entorno. GuardDuty utiliza fuentes de inteligencia sobre amenazas, como listas de direcciones IP y dominios maliciosos, códigos hash de archivos y modelos de aprendizaje automático (ML) para identificar actividades sospechosas y potencialmente maliciosas en su AWS entorno. La siguiente lista proporciona una descripción general de los posibles escenarios de amenazas que GuardDuty pueden ayudarle a detectarlos:

  • Credenciales comprometidas y filtradas. AWS

  • Filtración y destrucción de datos que puede conducir a un evento de ransomware. Patrones inusuales de eventos de inicio de sesión en las versiones de motor compatibles de Amazon Aurora y las RDS bases de datos de Amazon, que indican un comportamiento anómalo.

  • Actividad de minería de criptomonedas no autorizada en sus instancias y cargas de trabajo de contenedores de Amazon Elastic Compute Cloud EC2 (Amazon).

  • Presencia de malware en sus EC2 instancias y cargas de trabajo de contenedores de Amazon, y archivos recién cargados en sus depósitos de Amazon Simple Storage Service (Amazon S3).

  • Eventos a nivel de sistema operativo, redes y archivos que indican un comportamiento no autorizado en sus clústeres de Amazon Elastic Kubernetes Service (Amazon), tareas de EKS Amazon Elastic Container Service ECS (Amazon) e instancias y cargas de trabajo de contenedores de Amazon AWS Fargate . EC2

El siguiente vídeo proporciona una descripción general de cómo puede detectar las amenazas en su GuardDuty entorno. AWS

Contenido

Características de GuardDuty

Estas son algunas de las formas clave en las que Amazon GuardDuty puede ayudarle a supervisar, detectar y gestionar las posibles amenazas en su AWS entorno.

Supervisa continuamente orígenes de datos y registros de eventos específicos

  • Detección básica de amenazas: cuando habilita GuardDuty una Cuenta de AWS, comienza a ingerir GuardDuty automáticamente las fuentes de datos fundamentales asociadas a esa cuenta. Estas fuentes de datos incluyen eventos AWS CloudTrail de administración, registros de VPC flujo (de EC2 instancias de Amazon) y DNS registros. No necesita habilitar nada más para empezar GuardDuty a analizar y procesar estas fuentes de datos y generar las conclusiones de seguridad asociadas. Para obtener más información, consulte Orígenes de datos fundamentales de GuardDuty.

  • Detección ampliada de amenazas: esta capacidad detecta ataques en varias etapas que abarcan fuentes de datos fundamentales, varios tipos de AWS recursos y tiempo, en un mismo momento. Cuenta de AWS Es posible que haya varios eventos en tu cuenta que, por separado, no se presenten como una amenaza clara. Sin embargo, cuando estos eventos se observan en una secuencia que indica una actividad sospechosa, los GuardDuty identifica como una secuencia de ataque. GuardDuty lo notifica generando el tipo de búsqueda de la secuencia de ataque asociada para proporcionar detalles sobre la secuencia de ataque observada.

    Sin coste adicional, la detección extendida de amenazas se activa automáticamente para cada una de ellas Cuenta de AWS cuando se activa GuardDuty. Esta capacidad no requiere que habilite ningún plan de protección centrado en los casos de uso. Sin embargo, para aumentar el alcance de la seguridad de sus recursos de Amazon S3, le recomendamos que GuardDuty habilite S3 Protection en su cuenta. Esto ayudará a Extended Threat Detection a identificar los ataques en varias etapas que podrían afectar a sus recursos de Amazon S3.

    Para obtener más información sobre cómo funciona esta capacidad y qué escenarios de amenazas cubre, consulteGuardDuty Detección de amenazas extendida.

  • Planes de GuardDuty protección centrados en los casos de uso: para mejorar la visibilidad de la detección de amenazas y la seguridad de su AWS entorno, GuardDuty ofrece planes de protección específicos que puede habilitar. Los planes de protección le ayudan a supervisar los registros y eventos de otros AWS servicios. Estas fuentes incluyen los registros de EKS auditoría, la actividad de inicio de RDS sesión, los eventos de datos de Amazon S3 CloudTrail, EBS los volúmenes, la supervisión del tiempo de ejecución en Amazon EKSEC2, Amazon y Amazon ECS -Fargate y los registros de actividad de la red Lambda. GuardDutyconsolida estas fuentes de registros y eventos bajo el término Características. Puede activar uno o más planes de protección dedicados de forma compatible Región de AWS en cualquier momento. GuardDuty empezará a supervisar, procesar y analizar las actividades en función del plan de protección que active. Para obtener más información sobre cada plan de protección y su funcionamiento, consulte el documento del plan de protección correspondiente.

    Plan de protección Descripción

    Protección de S3

    Identifica posibles riesgos de seguridad, como intentos de filtración y destrucción de datos en los buckets de Amazon S3.

    EKSProtección

    EKSAudit Log Monitoring analiza los registros de auditoría de Kubernetes de tus EKS clústeres de Amazon para detectar actividades potencialmente sospechosas y maliciosas.

    Supervisión en tiempo de ejecución

    Supervisa y analiza los eventos a nivel del sistema operativo en AmazonEC2, EKS Amazon y Amazon ECS (incluidos AWS Fargate) para detectar posibles amenazas en tiempo de ejecución.

    Protección contra malware para EC2

    Detecta la posible presencia de malware escaneando los EBS volúmenes de Amazon asociados a tus EC2 instancias de Amazon. Existe la opción de utilizar esta característica bajo demanda.

    Protección contra malware para S3

    Detecta la posible presencia de malware en los objetos recién cargados en los buckets de Amazon S3.

    RDSProtección

    Analiza y perfila su actividad de inicio de RDS sesión para detectar posibles amenazas de acceso a las RDS bases de datos compatibles de Amazon Aurora y Amazon.

    Protección de Lambda

    Supervisa los registros de actividad de la red Lambda, empezando por los registros de VPC flujo, para detectar amenazas a sus AWS Lambda funciones. Entre las amenazas potenciales figuran la minería de criptomonedas y la comunicación con servidores maliciosos.
    Habilitar la protección contra malware para S3 de forma independiente

    GuardDuty ofrece flexibilidad para utilizar Malware Protection for S3 de forma independiente, sin necesidad de activar el GuardDuty servicio Amazon. Para obtener más información sobre cómo comenzar a utilizar únicamente la protección contra malware para S3, consulte Protección contra malware para S3 de GuardDuty. Para usar todos los demás planes de protección, debe habilitar el GuardDuty servicio.

Administre un entorno de varias cuentas

Puede administrar un AWS entorno de varias cuentas mediante el método de invitación AWS Organizations (recomendado) o el tradicional. Para obtener más información, consulte Varias cuentas en GuardDuty.

Genera resultados de seguridad para las amenazas detectadas

Cuando GuardDuty detecta posibles amenazas de seguridad asociadas a sus AWS recursos, comienza a generar resultados de seguridad que proporcionan información sobre el recurso potencialmente comprometido. Después de activarla GuardDuty en tu cuenta, genera Hallazgos de ejemplo para ver la asociadaDetalles de los resultados. Para obtener una lista completa de los resultados de seguridad, consulte GuardDuty buscar tipos.

También puede utilizar un script de prueba que genere conclusiones de GuardDuty seguridad específicas para comprender cómo revisarlas y responder a ellas GuardDuty . GuardDuty Para obtener más información, consulte Pruebe GuardDuty los resultados en cuentas dedicadas.

Evaluar y administrar los resultados de seguridad

GuardDuty consolida las conclusiones de seguridad de todas las cuentas y muestra los resultados en el panel de resumen de la GuardDuty consola. También puede recuperar los resultados a través de AWS Security Hub API, AWS Command Line Interface, o AWS SDK. Gracias a una perspectiva integral del estado actual de la seguridad, podrá identificar tendencias y posibles problemas, además de implementar las medidas correctivas necesarias. Para obtener más información, consulte Administrar los resultados de GuardDuty.

Intégrelo con los servicios AWS de seguridad relacionados

Para seguir analizando e investigando las tendencias de seguridad de su AWS entorno, considere la posibilidad de utilizar los siguientes servicios AWS relacionados con la seguridad en combinación con. GuardDuty

  • AWS Security Hub— Este servicio le ofrece una visión integral del estado de seguridad de sus AWS recursos y le ayuda a comprobar su AWS entorno según los estándares y las mejores prácticas del sector de la seguridad. Esto lo consigue, en parte, consumiendo, agrupando, organizando y priorizando los hallazgos de seguridad de varios AWS servicios (incluido Amazon Macie) y productos AWS compatibles de Partner Network APN (). Security Hub le ayuda a analizar sus tendencias de seguridad e identificar los problemas de seguridad más prioritarios en todo su AWS entorno.

    Para obtener información sobre el uso GuardDuty conjunto de Security Hub, consulteIntegración de GuardDuty con AWS Security Hub. Para obtener más información sobre Security Hub, consulte la AWS Security Hub Guía del usuario.

  • Amazon Detective: este servicio ayuda a analizar, investigar e identificar rápidamente la causa raíz de los resultados de seguridad o las actividades sospechosas. Detective recopila automáticamente los datos de registro de sus AWS recursos. A continuación, utiliza el machine learning, el análisis estadístico y la teoría de grafos para generar visualizaciones que lo ayuden a realizar investigaciones sobre la seguridad con mayor rapidez y de forma más eficaz. Las agregaciones de datos, resúmenes y contexto predefinidos de Detective ayudan a analizar los posibles problemas de seguridad, así como a determinar su naturaleza y alcance.

    Para obtener información sobre el uso GuardDuty conjunto de Detective, consulteIntegración de GuardDuty con Amazon Detective. Para obtener más información sobre Detective, consulte la Guía del usuario de Amazon Detective.

  • Amazon EventBridge: este servicio le ayuda a recibir notificaciones y responder a los hallazgos GuardDuty de seguridad casi en tiempo real. GuardDuty crea un evento cuando hay un cambio en los resultados. Puede elegir la frecuencia con la que desea recibir las notificaciones EventBridge. Para obtener más información, consulta Qué es Amazon EventBridge en la Guía del EventBridge usuario de Amazon.

PCIDSSConformidad

GuardDuty respalda el procesamiento, el almacenamiento y la transmisión de los datos de las tarjetas de crédito por parte de un comerciante o proveedor de servicios, y se ha comprobado que cumplen con el estándar de seguridad de datos de la industria de tarjetas de pago (DSS). PCI Para obtener más información sobre PCI DSS cómo solicitar una copia del AWS PCI Compliance Package, consulte el PCIDSSNivel 1.

Para obtener más información, consulte una nueva prueba de terceros que compara Amazon con GuardDuty los sistemas de detección de intrusiones en la red en el blog AWS de seguridad.