Publicado en: Oct 16, 2019
Amazon GuardDuty presenta tres detecciones de amenazas nuevas. Dos de ellas están relacionadas con Amazon S3, y la tercera con la filtración de metadatos de instancias EC2 mediante el reenlace de DNS.
La primera detección relacionada con S3, Policy:IAMUser/S3BlockPublicAccessDisabled, le informa que se desactivó el bloqueo de acceso público de S3 en un bucket de S3 de su cuenta de AWS (o en varias cuentas si se utilizó la configuración multicuenta). El bloqueo de acceso público de S3 se utiliza para filtrar las políticas o ACL implementadas en un bucket a fin de evitar la exposición involuntaria de datos. La detección puede indicar una configuración incorrecta o actividad malintencionada. Los resultados generados por esta detección de amenazas no implican que el bucket ni los objetos se estén compartiendo de forma pública, sino que se deben auditar las políticas y ACL implementadas en el bucket para confirmar que se estén utilizando los permisos correspondientes. La segunda detección relacionada con S3, Stealth:IAMUser/S3ServerAccessLoggingDisabled, le informa que se generó una modificación para desactivar el registro de acceso al servidor de Amazon S3 en un bucket en el que anteriormente esta opción estaba activada. Si el registro de acceso al servidor de Amazon S3 está desactivado, esto puede ser indicio de una configuración incorrecta o actividad malintencionada y, en consecuencia, se debe investigar. La gravedad de estos resultados es baja.
La tercera y nueva detección de amenazas, UnauthorizedAccess:EC2/MetaDataDNSRebind le informa que una instancia EC2 de su entorno de AWS está consultando un dominio que se resuelve en la dirección IP de metadatos de EC2. Una consulta de DNS de este tipo podría indicar un intento de ejecutar un reenlace de DNS con el objetivo de obtener metadatos de una instancia EC2, incluidas las credenciales de IAM asociadas con la instancia. El reenlace de DNS aprovecha las vulnerabilidades de una aplicación que se ejecuta en la instancia EC2 o aquellas asociadas con los usuarios humanos que obtienen acceso a la URL en un navegador web que se ejecuta en la instancia EC2. La gravedad de este resultado es alta.
Estos resultados nuevos ya se encuentran disponibles en todas las regiones en las que se ofrece Amazon GuardDuty. No debe realizar ninguna acción para empezar a usar estos tipos de resultados nuevos.
Amazon GuardDuty, que se encuentra disponible a nivel mundial, monitoriza de manera continua el comportamiento malintencionado o no autorizado para proteger sus recursos de AWS, incluidas sus claves de acceso y cuentas de AWS. GuardDuty identifica la actividad inusual o no autorizada, como la minería de criptomonedas o la implementación de infraestructura en una región que nunca se ha utilizado. Con tecnología de aprendizaje automático e inteligencia ante amenazas, GuardDuty evoluciona continuamente para ayudar a proteger su entorno de AWS.
Puede habilitar su prueba gratuita de 30 días de Amazon GuardDuty con un solo clic en la consola de administración de AWS. Consulte la página de regiones de AWS para conocer todas las regiones en las que GuardDuty se encuentra disponible. Para obtener más información, consulte los Resultados de Amazon GuardDuty, y para comenzar su período de prueba de 30 días, consulte Período de prueba gratuito de Amazon GuardDuty.