Amazon GuardDuty

Detección de amenazas inteligente y monitoreo continuo para proteger cargas de trabajo y cuentas de AWS

Amazon GuardDuty es un servicio de detección de amenazas que monitoriza de forma continua para detectar comportamientos maliciosos o no autorizados, y ayudarle a proteger sus cargas de trabajo y cuentas de AWS. Monitorea actividades como llamadas al API inusuales o implementaciones potencialmente no autorizadas que pueden indicar un posible peligro para la cuenta. GuardDuty también detecta instancias potencialmente vulnerables o actividades de reconocimiento por parte de atacantes.

Amazon GuardDuty puede activarse con solo unos clics en la Consola de administración de AWS y comenzar a analizar inmediatamente miles de millones de eventos a través de todas sus cuentas de AWS en busca de riesgos. GuardDuty identifica a los atacantes sospechosos a través de fuentes integradas de inteligencia de amenazas y utiliza machine learning para detectar anomalías en las actividades de las cuenta y las cargas de trabajo. Cuando se detecta una amenaza potencial, el servicio emite un alerta de seguridad detallada a la consola de GuardDuty y a AWS CloudWatch Events. Esto permite poder actuar sobre las alertas e integrarlas fácilmente en los sistemas de administración de eventos y de cargas de trabajo existentes.

Amazon GuardDuty es rentable y sencillo. No requiere implementar ni mantener software ni infraestructuras de seguridad, lo que significa que puede habilitarse rápidamente sin el riesgo de tener ningún impacto negativo sobre cargas de trabajo de aplicaciones existentes. Con GuardDuty, no hay costos iniciales, no es necesario implementar software y no se necesitan fuentes de inteligencia. Los clientes pagan por los eventos que GuardDuty analiza y se otorga un período de prueba gratuito de 30 días para cada cuenta nueva que se adhiera al servicio.

Introducción a Amazon GuardDuty

Funcionamiento

Beneficios

Detección de amenazas inteligente

Amazon GuardDuty ofrece detección de amenazas inteligente mediante la recopilación, el análisis y la correlación de miles de millones de eventos de AWS CloudTrail, registros de flujo de Amazon VPC y registros de DNS a través de todas sus cuentas asociadas de AWS. Las detecciones de GuardDuty son aún más precisas al incorporar inteligencia de amenazas (como listas de direcciones de IP maliciosas conocidas proporcionadas por AWS Security y socios de inteligencia de amenazas). GuardDuty también utiliza machine learning para detectar actividades anómalas de cuentas y redes. Por ejemplo, GuardDuty le alertará si detecta llamadas al API remotas desde una dirección IP maliciosa, que indicaría el riesgo potencial de las credenciales de AWS. GuardDuty también detecta amenazas directas a su entorno de AWS y le indica qué instancias están afectadas, como puede ser una instancia de Amazon EC2 que envíe datos codificados dentro de las consultas de DNS.

Centralice la detección de amenaza entre cuentas

Muchas organizaciones utilizan múltiples cuentas de AWS para ofrecer una asignación de costos adecuada, agilidad y seguridad. Con solo unos clics en la Consola de administración de AWS, podrá centralizar la detección de amenazas al activar Amazon GuardDuty a través de cualquiera de sus cuentas de AWS. Con GuardDuty, no hay necesidad de instalar ninguna infraestructura ni software de seguridad adicional para analizar los datos de actividad de las cargas de trabajos y las cuentas. El equipo del centro de operaciones de seguridad podrá administrar y evaluar las amenazas fácilmente desde una única vista de consola y automatizar las respuestas de seguridad mediante una única cuenta de seguridad.

Refuerza la seguridad a través de la automatización

Además de detectar amenazas, con Amazon GuardDuty también resulta sencillo automatizar las respuestas a dichas amenazas, lo que reduce los tiempos de reparación y recuperación. Es posible configurar los comandos de reparación o las funciones de AWS Lambda para que se activen según los hallazgos de GuardDuty. Los hallazgos de seguridad de GuardDuty incluyen detalles sobre los recursos afectados, como etiquetas, grupos de seguridad o credenciales. Los hallazgos de GuardDuty también incluyen información sobre el atacante, como la dirección IP y su geolocalización. Esto hace que sean informativos y prácticos. Por ejemplo, detectar rápidamente una cuenta en riesgo puede ser difícil si no se está monitorizando continuamente su actividad en tiempo real. Con GuardDuty, si se sospecha que se han robado datos de una instancia, el servicio le alerta para que pueda crear automáticamente una entrada de control de acceso que restringa el acceso saliente de dicha instancia.