Publicado en: May 17, 2019
Amazon GuardDuty agrega dos detecciones de amenazas nuevas. Estas nuevas detecciones representan la última incorporación de una biblioteca de detecciones de amenazas completamente administradas en continuo crecimiento, que se encuentra disponible para los clientes que habilitan Amazon GuardDuty en sus cuentas de AWS. Con 25 incorporaciones desde el momento del lanzamiento, Amazon GuardDuty admite actualmente 54 tipos de resultados activos.
Estos son los tipos de resultados nuevos:
Recon:EC2/PortProbeEMRUnprotectedPort
El nuevo tipo de resultado Recon:EC2/PortProbeEMRUnprotectedPort indica que un puerto idóneo relacionado con EMR en una instancia de Amazon EC2 no está bloqueado por un grupo de seguridad, una lista de control de acceso ni un firewall en host y que escáneres conocidos de Internet la están sondeando de manera activa. Los puertos que pueden activar este resultado, como el puerto 8088 (puerto de IU web YARN), se pueden usar potencialmente para la ejecución de código remoto. Este tipo de resultado tiene un nivel de severidad alto.
PrivilegeEscalation:IAMUser/AdministrativePermissions
El nuevo tipo de resultado PrivilegeEscalation:IAMUser/AdministrativePermissions se activa cuando un usuario o rol intenta autoasignarse una política demasiado permisiva. Si el usuario o el rol en cuestión no debe tener privilegios administrativos, esto indica que las credenciales del usuario están en riesgo o que los permisos del rol no se configuraron correctamente. Este tipo de resultado tiene un nivel de severidad bajo.
Estos resultados nuevos ya se encuentran disponibles en todas las regiones en las que se ofrece Amazon GuardDuty. No debe realizar ninguna acción para empezar a usar estos tipos de resultados nuevos.
Una vez habilitado, Amazon GuardDuty monitoriza de manera continua el comportamiento malintencionado o no autorizado para proteger sus recursos de AWS, incluidas sus claves de acceso y cuentas de AWS. GuardDuty identifica la actividad inusual o no autorizada, como la minería de criptomonedas o la implementación de infraestructura en una región que nunca se ha utilizado. Cuando se detecta una amenaza, recibirá una alerta con un resultado de seguridad de GuardDuty que le da detalles de lo que se observó y de los recursos involucrados. Con la tecnología de aprendizaje automático e inteligencia ante amenazas, GuardDuty evoluciona continuamente para ayudar a proteger su entorno de AWS.
Puede habilitar su prueba gratuita de 30 días de Amazon GuardDuty con un solo clic en la consola de GuardDuty. Consulte la página de regiones de AWS para conocer todas las regiones en las que GuardDuty se encuentra disponible. Para obtener más información, consulte los Resultados de Amazon GuardDuty, y para comenzar su período de prueba de 30 días, consulte Período de prueba gratuito de Amazon GuardDuty.