Preguntas frecuentes sobre Amazon GuardDuty

GuardDuty se puede configurar e implementar en unos pocos pasos en la Consola de administración de AWS. Una vez habilitado, GuardDuty comienza inmediatamente a analizar flujos continuos de actividad de cuentas y red casi en tiempo real y a escala. No es necesario implementar ni administrar software de seguridad, sensores ni dispositivos de red adicionales. La inteligencia de amenazas se encuentra integrada previamente en el servicio y se actualiza y mantiene de forma continua.

Sí, GuardDuty tiene una característica para administrar varias cuentas que permite asociar y administrar múltiples cuentas de AWS a partir de una única cuenta de administrador. Cuando se utiliza, todos los hallazgos de seguridad se agregan a la cuenta de administrador para que se revisen y reparen. Los eventos de EventBridge también se agregan a la cuenta de administrador de GuardDuty cuando se utiliza esta configuración. Además, GuardDuty se integra con AWS Organizations, con lo que es posible delegar una cuenta de administrador de GuardDuty para la organización. Esta cuenta de administrador delegado (DA) se trata de una cuenta centralizada que consolida todos los hallazgos y es capaz de configurar todas las cuentas de los miembros.

Entre los orígenes de datos fundamentales que GuardDuty analiza se encuentran los registros de eventos de administración de AWS CloudTrail, los eventos de administración de CloudTrail, los registros de flujo de Amazon EC2 VPC y los registros de consultas de DNS. Los planes de protección opcionales de GuardDuty monitorizan otros tipos de recursos, incluidos los eventos de datos de CloudTrail S3 (protección para S3), los registros de auditoría de Amazon EKS y la actividad de la versión ejecutable de Amazon EKS (protección para EKS), la actividad de la versión ejecutable de Amazon ECS (monitorización de la versión ejecutable de ECS), la actividad de la versión ejecutable de Amazon EC2 (monitorización de la versión ejecutable de EC2), los datos de volumen de Amazon EBS (protección contra malware), los eventos de inicio de sesión de Amazon Aurora (protección para RDS) y los registros de actividad de red (protección para Lambda). El servicio está optimizado para incorporar grandes volúmenes de datos para el procesamiento casi en tiempo real de detecciones de seguridad. GuardDuty le brinda acceso a técnicas de detección integradas que se desarrollaron y optimizaron para la nube, que se mantienen y mejoran de manera continua con ingeniería de GuardDuty.

Una vez habilitado, GuardDuty comienza a analizar actividad malintencionada o sin autorización. El plazo para empezar a recibir hallazgos depende del nivel de actividad de su cuenta. GuardDuty no analiza datos históricos, solo la actividad posterior a su habilitación. Si GuardDuty identifica posibles amenazas, recibirá un hallazgo en la consola de GuardDuty.

No, GuardDuty obtiene secuencias de datos independientes directamente de CloudTrail, los registros de flujo de VPC y los registros de consulta de DNS y Amazon EKS. No tiene que administrar políticas de bucket de Amazon S3 ni modificar la manera en la que recopila y almacena los registros. Los permisos de GuardDuty se administran como roles vinculados al servicio. Puede deshabilitar GuardDuty en cualquier momento, lo que eliminará todos los permisos de GuardDuty. Esto facilita la habilitación del servicio, ya que evita configuraciones complejas. Los roles vinculados al servicio también eliminan la posibilidad de que una configuración incorrecta de permisos de AWS Identity and Access Management (IAM) o un cambio en la política del bucket de Amazon S3 afecten el funcionamiento del servicio. Por último, los roles vinculados al servicio hacen que GuardDuty sea extremadamente eficiente al incorporar altos volúmenes de datos casi en tiempo real sin impacto o con un impacto mínimo en el rendimiento y la disponibilidad de su cuenta o cargas de trabajo.

Cuando habilita GuardDuty por primera vez, funciona de forma completamente independiente de sus recursos de AWS. Si configura la monitorización de la versión ejecutable de GuardDuty para desplegar de manera automática el agente de seguridad de GuardDuty, esto podría generar un uso adicional de recursos y también crear puntos de enlace de VPC en las VPC que se utilizan para ejecutar las cargas de trabajo monitorizadas.

No, GuardDuty no administra ni retiene sus registros. Todos los datos que GuardDuty incorpora se analizan casi en tiempo real y luego se descartan. Esto permite que GuardDuty sea muy eficiente, rentable y logre reducir el riesgo de remanencia de datos. Para entregar y conservar registros, debe usar los servicios de monitoreo y registro de AWS, que ofrecen opciones de retención y entrega completos.

Puede evitar que GuardDuty analice sus orígenes de datos en cualquier momento en la configuración general si elige suspender el servicio. Esto detendrá inmediatamente el servicio, que dejará de analizar datos, pero no eliminará los hallazgos ni las configuraciones existentes. También puede deshabilitar el servicio en la configuración general. Esta opción eliminará los datos restantes, incluidos los hallazgos y las configuraciones existentes antes de ceder los permisos del servicio y restablecer el servicio. También puede desactivar de forma selectiva capacidades como la protección de GuardDuty para S3 o la protección de GuardDuty para EKS a través de la consola de administración o mediante la AWS CLI.

GuardDuty le da acceso a técnicas de detección integradas desarrolladas y optimizadas para la nube. Los ingenieros de GuardDuty conservan y mejoran de manera continua los algoritmos de detección. Entre las principales categorías de detección se incluyen las siguientes:

• Reconocimiento: actividad que sugiere un reconocimiento por parte de un atacante, como una actividad de API inusual, el análisis de puertos en el interior de una VPC, patrones inusuales de solicitudes de inicio de sesión incorrectas o el sondeo de puertos no bloqueados a partir de una IP maliciosa conocida.
• Vulnerabilidad de instancias: actividad que indica la vulnerabilidad de una instancia, como la minería de criptomonedas, el malware que utiliza algoritmos de generación de dominios (DGA), la actividad de salida de denegación de servicios, un volumen alto inusual del tráfico de red, protocolos de red inusuales, comunicación de salida de instancias con una IP malintencionada conocida, las credenciales temporales de Amazon EC2 utilizadas por una dirección IP externa y la exfiltración de datos con DNS.
• Vulnerabilidad de cuentas:  algunos patrones comunes que indican la vulnerabilidad de cuentas incluyen llamadas a la API desde una ubicación geográfica inusual o un proxy anónimo, intentos de desactivar los registros de AWS CloudTrail, lanzamientos inusuales de infraestructuras o de instancias, implementaciones de infraestructuras en una región inusual, la exfiltración de credenciales, actividad sospechosa de inicio de sesión en bases de datos y llamadas a la API desde direcciones IP malintencionadas conocidas.
• Vulnerabilidad de buckets: actividad que indica la vulnerabilidad de un bucket, como los patrones sospechosos de acceso a datos que muestran un mal uso de credenciales, actividad inusual de la API de Amazon S3 desde un host remoto, acceso a Amazon S3 no autorizado desde direcciones IP confirmadas como malintencionadas y llamadas a la API para recuperar datos en buckets de Amazon S3 de un usuario que no cuenta con un historial previo de acceso al bucket o invocadas desde una ubicación inusual. GuardDuty monitorea y analiza de manera continua eventos de datos de S3 de CloudTrail (como GetObject, ListObjects y DeleteObject) para detectar actividad sospechosa en todos los buckets de Amazon S3.
• Software malintencionado: GuardDuty puede detectar la presencia de software malintencionado (como troyanos, gusanos, mineros criptográficos, rootkits o bots), que puede utilizarse para comprometer las cargas de trabajo de las instancias o los contenedores de Amazon EC2 o que se carga en los buckets de Amazon S3.
• Vulnerabilidad de contenedores: la actividad que identifica posibles comportamientos maliciosos o sospechosos en cargas de trabajo de contenedores se detecta mediante la supervisión y elaboración de perfiles de los clústeres de Amazon EKS de forma continua a través del análisis de los registros de auditoría de Amazon EKS y la actividad de la versión ejecutable del contenedor en Amazon EKS o Amazon ECS. 

Esta es una lista completa de los tipos de resultados de GuardDuty.

La inteligencia de amenazas de GuardDuty está conformada por dominios y direcciones IP que se sabe que utilizan los atacantes. AWS y proveedores de terceros, como Proofpoint y CrowdStrike, proveen la inteligencia de amenazas de GuardDuty. Estas fuentes de inteligencia de amenazas vienen integradas con anterioridad y se actualizan continuamente en GuardDuty sin costo adicional.

Sí, GuardDuty permite cargar inteligencia sobre amenazas propia o una lista de direcciones IP de confianza. Cuando se usa esta característica, las listas se aplican únicamente a su cuenta y no se comparten con otros clientes.

Cuando se detecta una posible amenaza, GuardDuty envía un hallazgo de seguridad detallado a la consola de GuardDuty y a EventBridge. Esto hace que las alertas sean más procesables y se integren más fácilmente en los sistemas de administración de eventos o de flujo de trabajo existentes. Los hallazgos incluyen la categoría, el recurso afectado y los metadatos asociados con el recurso, como un nivel de gravedad.

Los resultados de Amazon GuardDuty tienen un formato de JSON común que también utilizan los servicios Amazon Macie y Amazon Inspector. Esto facilita que los clientes y los socios utilicen los hallazgos de seguridad de los tres servicios y los incorporen en soluciones de seguridad, flujos de trabajo o administración de eventos más amplias.

Los hallazgos de seguridad se retienen y permanecen disponibles mediante las API y la consola de Amazon GuardDuty durante 90 días. Una vez transcurridos 90 días, los resultados se eliminan. Para retener los resultados durante más de 90 días, puede habilitar EventBridge para que envíe automáticamente los resultados a un bucket de Amazon S3 de su cuenta o a otro almacén de datos para su conservación a largo plazo.

Sí, puede elegir acumular los resultados de seguridad producidos por GuardDuty en todas las regiones mediante EventBridge o enviando los resultados a su almacén de datos (como Amazon S3) y agregándolos como mejor le parezca. Además, es posible enviar los hallazgos de GuardDuty a Security Hub y utilizar su capacidad de agregación entre regiones.

Con GuardDuty, EventBridge y AWS Lambda, tiene la flexibilidad de configurar acciones de corrección automatizadas basadas en un hallazgo de seguridad. Por ejemplo, puede crear una función de Lambda que modifique reglas de grupos de seguridad de AWS en función de resultados de seguridad. Si recibe un resultado de GuardDuty que indica que una de sus instancias de Amazon EC2 está siendo sondeada por una IP maliciosa conocida, puede solucionar dicho problema con una regla de EventBridge, la cual inicia una función de Lambda para modificar de forma automática las reglas de sus grupos de seguridad y restringir el acceso en ese puerto.

GuardDuty cuenta con un equipo enfocado en el desarrollo, la administración y la iteración de detecciones. Esto genera una cadencia estable de nuevas detecciones en el servicio, así como iteración continua en detecciones existentes. Existen varios mecanismos de retroalimentación en el servicio, como el pulgar hacia arriba o abajo en cada hallazgo de seguridad encontrado en la interfaz del usuario (UI) de GuardDuty. Esto permite que brinde opiniones que se pueden incorporar en futuras iteraciones de las detecciones de GuardDuty.

No, GuardDuty se encarga de la tediosa tarea y la complejidad del desarrollo y el mantenimiento de sus propios conjuntos de reglas personalizadas. Las detecciones nuevas se agregan de forma continua en función de las opiniones de los clientes, junto con la investigación realizada por los ingenieros en seguridad de AWS y el equipo de ingeniería de GuardDuty. Sin embargo, las personalizaciones configuradas por los clientes incluyen la incorporación de sus propias listas de amenazas y listas de direcciones IP de confianza.

Para las cuentas de GuardDuty actuales, S3 Protection se puede activar en la consola, en la página de S3 Protection, o mediante la API. Esto comenzará un periodo de prueba gratuita de 30 días de la protección de GuardDuty para S3.

Sí, hay una prueba gratuita de 30 días. Cada cuenta, de cada región, obtiene una prueba gratuita de 30 días de GuardDuty que incluye la característica de protección para S3. Las cuentas que ya tienen habilitado GuardDuty también obtendrán una prueba gratuita de 30 días de la característica de protección para S3 cuando la activen por primera vez.

Sí. Todas las cuentas nuevas que habiliten GuardDuty desde la consola o la API también tendrán habilitada la protección para S3 de forma predeterminada. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán la protección para S3 activada a menos que la opción de habilitación automática para S3 esté activada.

No, el servicio GuardDuty debe estar habilitado para poder usar la protección para S3. Las cuentas actuales de GuardDuty tienen la opción de habilitar la protección para S3, y las nuevas cuentas de GuardDuty tendrán la característica de forma predeterminada una vez que se habilite el servicio GuardDuty.

Sí, la protección para Amazon S3 monitorea de forma predeterminada todos los buckets de S3 de su entorno.

No, GuardDuty tiene acceso directo a los registros de eventos de datos de S3 en CloudTrail. No es necesario que habilite el registro de eventos de datos de S3 en CloudTrail y, por lo tanto, no incurrirá en los costos asociados. Tenga en cuenta que GuardDuty no almacena los registros y solo los usa para su análisis.

Protección de GuardDuty para EKS es una característica de GuardDuty que supervisa la actividad del plano de control de clústeres de Amazon EKS mediante el análisis de los registros de auditoría de Amazon EKS. GuardDuty está integrado con Amazon EKS, lo cual le brinda acceso directo a los registros de auditoría de Amazon EKS sin que tenga que activar o almacenar dichos registros. Estos registros de auditoría son registros cronológicos relativos a la seguridad, que documentan la secuencia de acciones llevadas a cabo en el plano de control de Amazon EKS. Estos registros de auditoría de Amazon EKS dan a GuardDuty la visibilidad necesaria para realizar la supervisión continua de la actividad de API de Amazon EKS, y aplican la inteligencia sobre amenazas y la detección de anomalías para identificar actividad malintencionada o cambios de configuración que puedan exponer un clúster de Amazon EKS a un acceso no autorizado. Cuando se detectan amenazas, GuardDuty genera hallazgos de seguridad que incluyen el tipo de amenaza, el nivel de gravedad y detalles del contenedor (como el identificador del pod, el identificador de la imagen de contenedor y las etiquetas asociadas).

La protección de GuardDuty para EKS puede detectar amenazas relacionadas con la actividad de usuarios y aplicaciones capturada por los registros de auditoría de Amazon EKS. Las detecciones de amenazas de Amazon EKS incluyen clústeres de Amazon EKS a los que acceden actores maliciosos conocidos o a los que se accede desde nodos Tor, operaciones de API realizadas por usuarios anónimos que podrían indicar una configuración errónea y configuraciones erróneas que pueden dar lugar a accesos no autorizados a clústeres de Amazon EKS. Además, mediante el uso de modelos de ML, GuardDuty puede identificar patrones constantes con técnicas de escalado de privilegios, como un lanzamiento sospechoso de un contenedor con acceso de nivel raíz al host de Amazon EC2 subyacente. Consulte Amazon GuardDuty Finding types (Tipos de resultados de Amazon GuardDuty) para obtener una lista completa de todas las nuevas detecciones.

No, GuardDuty tiene acceso directo a los registros de auditoría de Amazon EKS. Tenga en cuenta que GuardDuty solo usa estos registros para análisis; no los almacena, ni tiene que habilitar ni pagar para compartir estos registros de auditoría de Amazon EKS con GuardDuty. Para optimizar los costos, GuardDuty aplica filtros inteligentes a fin de incorporar únicamente un subconjunto de los registros de auditoría que son pertinentes para la detección de amenazas de seguridad.

Sí, hay una prueba gratuita de 30 días. Cada nueva cuenta de GuardDuty en cada región recibe una prueba gratuita de 30 días de GuardDuty, incluida la característica de protección de GuardDuty para EKS. Las cuentas existentes de GuardDuty reciben una prueba gratuita de 30 días de la protección de GuardDuty para EKS sin costo adicional. Durante el periodo de prueba, puede ver la estimación de costos en la página de uso de la consola de GuardDuty luego de la prueba. Si es administrador de GuardDuty, verá los costos estimados de las cuentas miembro. Después de 30 días, puede ver los costos reales de esta característica en la Consola de facturación de AWS.

La protección de GuardDuty para EKS tiene que estar encendida para cada cuenta individual. Puede activar la característica para sus cuentas con una sola acción en la consola de GuardDuty desde la página de la consola de la protección de GuardDuty para EKS. Si trabaja en una configuración de varias cuentas de GuardDuty, puede activar la protección de GuardDuty para EKS en toda la organización desde la cuenta de administrador de GuardDuty en la página de la característica. Con esto, se activará el monitoreo continuo para Amazon EKS en todas las cuentas miembro individuales. Para las cuentas de GuardDuty creadas con la característica de activación automática de AWS Organizations, debe activar de manera explícita la activación automática para Amazon EKS. Una vez que se active para una cuenta, se monitorearán todos los clústeres de Amazon EKS existentes y futuros en la cuenta en busca de amenazas, sin realizar ninguna configuración en los clústeres de Amazon EKS.

Sí, todas las cuentas nuevas que activen GuardDuty desde la consola o la API también tendrán activada la protección de GuardDuty para EKS de forma predeterminada. Para las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations, tendrá que activar de manera explícita la habilitación automática para la opción de protección de EKS. 

Puede deshabilitar la característica en la consola o mediante la API. En la consola de GuardDuty, puede desactivar la protección de GuardDuty para EKS de sus cuentas en la página de la consola de la característica. Si tiene una cuenta de administrador de GuardDuty, también puede desactivar dicha característica para las cuentas miembro.

Si anteriormente desactivó la protección de GuardDuty para EKS, puede volver a habilitar la característica en la consola o mediante la API. En la consola de GuardDuty, puede habilitar la protección de GuardDuty para EKS de sus cuentas en la página de la consola de la característica.

La protección de GuardDuty para EKS tiene que estar habilitada para cada cuenta individual. Si trabaja en una configuración de varias cuentas de GuardDuty, puede habilitar la detección de amenazas para Amazon EKS en toda la organización con un solo clic en la página de la consola de la protección de GuardDuty para EKS de la cuenta de administrador de GuardDuty. Con esto, se habilitará la detección de amenazas de Amazon EKS en todas las cuentas miembro individuales. Una vez que se habilite para una cuenta, se supervisarán todos los clústeres de Amazon EKS existentes y futuros en la cuenta en busca de amenazas, y no se requiere ninguna configuración manual en los clústeres de Amazon EKS.

No incurrirá en ningún cargo de protección de GuardDuty para EKS si no usa Amazon EKS y tiene la protección de GuardDuty para EKS habilitada. Sin embargo, cuando comience a usar Amazon EKS, GuardDuty supervisará automáticamente sus clústeres y generará hallazgos para los problemas identificados, y se le cobrará por este monitoreo.

No, el servicio GuardDuty debe estar habilitado para que la protección de GuardDuty para EKS esté disponible.

Sí, GuardDuty para la protección de EKS monitorea los registros de auditoría tanto de los clústeres de Amazon EKS implementados en instancias de Amazon EC2 como en clústeres de Amazon EKS implementados en Fargate.

Actualmente, esta funcionalidad solo admite implementaciones de Amazon EKS que se ejecutan en instancias de Amazon EC2 en su cuenta o en Fargate.

No, la protección de GuardDuty para EKS está diseñada para no tener implicaciones de rendimiento, disponibilidad ni costo para los despliegues de cargas de trabajo de Amazon EKS.

Sí, GuardDuty es un servicio regional y, por lo tanto, la protección de GuardDuty para EKS debe habilitarse en cada región de AWS por separado.

La supervisión del tiempo de ejecución de GuardDuty utiliza un agente de seguridad ligero y totalmente administrado que agrega visibilidad a la actividad del tiempo de ejecución, como el acceso a archivos, la ejecución de procesos y las conexiones de red de nivel de pod o instancia para los recursos cubiertos. El agente de seguridad se implementa automáticamente como un conjunto de daemon que recopila los eventos del tiempo de ejecución y los envía a GuardDuty para el procesamiento de los análisis de seguridad. Esto permite a GuardDuty identificar instancias o contenedores específicos dentro de su entorno de AWS que puedan estar comprometidos y detectar los intentos de escalar los privilegios a un entorno de AWS más amplio. Cuando GuardDuty detecta una posible amenaza, se genera un resultado de seguridad que incluye el contexto de los metadatos que incluye la instancia, el contenedor, el pod y los detalles del proceso. 

La supervisión del tiempo de ejecución está disponible para los recursos de Amazon EKS que se ejecutan en Amazon EC2, los clústeres de Amazon ECS que se ejecutan en Amazon EC2 o AWS Fargate y las instancias de Amazon EC2. 

Para las cuentas de GuardDuty actuales, la característica se puede activar desde la consola de GuardDuty en la página Supervisión del tiempo de ejecución o mediante la API. Obtenga más información sobre la supervisión del tiempo de ejecución de GuardDuty.

No. La supervisión del tiempo de ejecución de GuardDuty es el único plan de protección que no está habilitado de forma predeterminada cuando se activa GuardDuty por primera vez. La característica se puede activar desde la consola de GuardDuty, en la página Supervisión del tiempo de ejecución, o mediante la API. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán la supervisión del tiempo de ejecución activada a menos que la opción de habilitación automática para la supervisión del tiempo de ejecución esté activada.

Cuando habilita la supervisión del tiempo de ejecución de Amazon ECS, GuardDuty está preparado para consumir los eventos del tiempo de ejecución de una tarea. Estas tareas se ejecutan en los clústeres de Amazon ECS, que a su vez se ejecutan en instancias de AWS Fargate. Para que GuardDuty reciba estos eventos del tiempo de ejecución, debe usar la configuración automatizada del agente.

Cuando habilita la supervisión del tiempo de ejecución para Amazon EC2 o Amazon EKS, tiene la opción de implementar el agente de seguridad de GuardDuty manualmente o permitir que GuardDuty lo administre en su nombre con la configuración automatizada del agente.

Visite Key concepts - Approaches to manage GuardDuty security agent en la Guía del usuario de GuardDuty para obtener más información.
 

No, el servicio GuardDuty debe habilitarse para poder utilizar la supervisión del tiempo de ejecución de GuardDuty.

Para obtener una lista completa de las regiones en las que está disponible la supervisión del tiempo de ejecución, consulte Region-specific feature availability.

La supervisión del tiempo de ejecución de GuardDuty debe estar habilitada para cada cuenta individual. Si trabaja en una configuración de varias cuentas de GuardDuty, puede activarla en toda la organización con un solo paso en la página de la consola Supervisión del tiempo de ejecución de GuardDuty de la cuenta de administrador de GuardDuty. Con esto, se activará la supervisión del tiempo de ejecución de las cargas de trabajo deseadas en todas las cuentas miembro individuales. Una vez que se active para una cuenta, se supervisará el tiempo de ejecución de todas las cargas de trabajo existentes y futuras que se han seleccionado en la cuenta en busca de amenazas, y no se requiere ninguna configuración manual.

La monitorización de la versión ejecutable de GuardDuty permite la configuración selectiva en la que los clústeres de Amazon EKS o los clústeres de Amazon ECS se monitorizarán para la detección de amenazas. Con esta capacidad de configuración adicional de nivel de clústeres, los clientes ahora pueden supervisar selectivamente los clústeres para detectar amenazas o seguir utilizando la capacidad de configuración de nivel de cuentas para supervisar todos los clústeres de EKS o ECS, respectivamente, en una cuenta y región determinadas.

Al igual que todos los casos de seguridad, observabilidad y otros casos de uso que requieren un agente en el host, el agente de seguridad de GuardDuty introduce una sobrecarga de utilización de recursos. El agente de seguridad de GuardDuty está diseñado para ser liviano y GuardDuty lo supervisa cuidadosamente para minimizar la utilización y el impacto en los costos de las cargas de trabajo cubiertas. Las métricas exactas de utilización de los recursos estarán disponibles para que los equipos de aplicaciones y seguridad las supervisen en Amazon CloudWatch.

Si configura la supervisión del tiempo de ejecución de GuardDuty para implementar automáticamente el agente de seguridad de GuardDuty, esto podría generar un uso adicional de recursos y también crear puntos de conexión de VPC en las VPC que se utilizan para ejecutar las cargas de trabajo de AWS. 

No se le cobrará por la supervisión del tiempo de ejecución de GuardDuty si la tiene habilitada para una carga de trabajo que no está ejecutando. Sin embargo, cuando comience a usar Amazon EKS, Amazon ECS o Amazon EC2 y la supervisión del tiempo de ejecución de GuardDuty esté habilitada para esa carga de trabajo, se le cobrará cuando GuardDuty supervise automáticamente sus clústeres, tareas e instancias y genere resultados para los problemas identificados. 

La supervisión del tiempo de ejecución de GuardDuty se puede deshabilitar para una cuenta u organización de AWS en la página Supervisión del tiempo de ejecución de la consola de GuardDuty. Si GuardDuty implementó automáticamente el agente de seguridad, también lo eliminará cuando la característica esté deshabilitada.

Si optó por implementar el agente de GuardDuty de forma manual (aplicable solo a la supervisión del tiempo de ejecución de EKS y la supervisión del tiempo de ejecución de EC2), tendrá que eliminarlo manualmente y cualquier punto de conexión de VPC que se haya creado se debe eliminar manualmente. Los pasos para la eliminación manual de la supervisión del tiempo de ejecución de EKS y la supervisión del tiempo de ejecución de EC2 se detallan en la Guía del usuario de GuardDuty. 

Volúmenes de datos de Amazon EBS: si tiene este origen de datos habilitado para la protección contra software malintencionado, GuardDuty inicia un análisis de detección de software malintencionado cuando identifica un comportamiento sospechoso indicativo de software malintencionado en las cargas de trabajo de instancias o contenedores de Amazon EC2. Escanea un volumen de réplica de Amazon EBS que GuardDuty genera en función de la instantánea de su volumen de Amazon EBS en busca de troyanos, gusanos, criptomineros, rootkits, bots y más. La protección contra malware de GuardDuty genera resultados contextualizados que pueden ayudar a validar el origen del comportamiento sospechoso. Estos resultados también se pueden enrutar a los administradores adecuados e iniciar la reparación automatizada.

Escaneo de objetos de S3: una vez que se configura un bucket para la protección contra el software malintencionado, GuardDuty escanea automáticamente los archivos recién cargados y, si se detecta software malintencionado, genera una notificación de Amazon EventBridge con detalles sobre el software malintencionado, lo que permite la integración con los sistemas de flujo de trabajo o gestión de eventos de seguridad existentes. Puedes configurar la cuarentena automática del software malintencionado moviendo el objeto a un bucket aislado de tu cuenta o usar etiquetas de objetos para agregar la disposición del resultado del análisis, lo que permite identificar y clasificar mejor los objetos analizados en función de las etiquetas.

Los resultados de GuardDuty para Amazon EC2 que iniciarán un análisis de malware se encuentran en la Guía del usuario de GuardDuty.

La protección contra malware admite la detección de archivos malintencionados mediante el escaneo de Amazon EBS adjunto a las instancias Amazon EC2. Los tipos de sistemas de archivos compatibles se encuentran en la Guía del usuario de GuardDuty.

La protección contra software malintencionado para S3 puede analizar archivos que pertenecen a la mayoría de las clases de almacenamiento S3 sincrónico, como S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA y Amazon S3 Glacier Instant Retrieval, con el motor de análisis de software malintencionado de GuardDuty.  Analizará los formatos de archivo que se sabe que se utilizan para propagar o contener archivos malintencionados, incluidos ejecutables, archivos.pdf, archivos archivados, archivos binarios, archivos empaquetados, scripts, instaladores, bases de datos de correo electrónico, correos electrónicos simples, imágenes y objetos codificados.

La protección contra software malintencionado busca amenazas como troyanos, gusanos, criptomineros, rootkits y bots, que pueden usarse para vulnerar cargas de trabajo, reutilizar recursos para uso malintencionado y obtener acceso no autorizado a datos.

Consulte la Guía del usuario de GuardDuty para obtener una lista completa de los tipos de resultado.

No es necesario habilitar el registro de servicios para que GuardDuty o la característica de protección contra software malintencionado funcionen. La característica de protección contra software malintencionado es parte de GuardDuty, que es un servicio de AWS que utiliza inteligencia de fuentes internas y externas integradas.

En lugar de usar agentes de seguridad, la protección contra malware de GuardDuty creará y escaneará una réplica basada en la instantánea de los volúmenes de Amazon EBS adjuntos a la carga de trabajo de contenedores o la instancia Amazon EC2 potencialmente infectada en su cuenta. Los permisos que otorgó a GuardDuty a través de un rol vinculado al servicio permiten que el servicio cree una réplica de volumen cifrada en la cuenta de servicio de GuardDuty a partir de esa instantánea que permanece en su cuenta. Entonces, la protección contra software malintencionado de GuardDuty escaneará la réplica del volumen en busca de software malintencionado.

En el caso de los objetos de Amazon S3, GuardDuty comienza a leer, descifrar y analizar los objetos cargados en los buckets que ha configurado para la protección contra software malintencionado de GuardDuty. Puede limitar el alcance de los objetos que se van a analizar en un bucket al definir que solo se analicen los objetos con ciertos prefijos. GuardDuty analizará los objetos cargados que coincidan con estos prefijos definidos y generará un resultado de seguridad y una notificación de Amazon EventBridge con un resultado detallado del análisis: infectado, limpio, omitido o fallido. La notificación también incluirá las métricas de análisis relacionadas con la cantidad de objetos y bytes analizados. También puede definir las acciones posteriores al análisis que GuardDuty ejecutará en el objeto en función del resultado del análisis, como la cuarentena automática o el etiquetado de objetos.

Sí, cada nueva cuenta de GuardDuty en cada región recibe una prueba gratuita de 30 días de GuardDuty, que incluye la característica de protección contra malware (disponible únicamente para el análisis iniciado por GuardDuty de volúmenes de datos de EBS; no hay una prueba gratuita de la protección contra software malintencionado de GuardDuty para Amazon S3). Las cuentas de GuardDuty existentes reciben una prueba de 30 días de protección contra software malintencionado sin cargo adicional la primera vez que se habilita en una cuenta. Durante el periodo de prueba, puede ver la estimación de costos en la página de uso de la consola de GuardDuty luego de la prueba. Si es administrador de GuardDuty, verá los costos estimados de las cuentas miembro. Después de 30 días, puede ver los costos reales de esta característica en la Consola de facturación de AWS.

Puede habilitar la protección contra software malintencionado en la consola de GuardDuty a través de la página de la protección contra software malintencionado o mediante la API. Si está trabajando con una configuración de varias cuentas de GuardDuty, puede habilitar la característica en toda su organización en la página de la consola de la protección contra software malintencionado de la cuenta de administrador de GuardDuty. Esto habilitará el monitoreo de software malintencionado en todas las cuentas miembro individuales. Para las cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations, debe habilitar de manera explícita la habilitación automática para la opción de protección contra software malintencionado.

En el caso de la protección contra software malintencionado para S3, puede integrar el análisis de software malintencionado en sus aplicaciones siguiendo dos pasos. En primer lugar, como propietario de una aplicación, debe configurar la protección del bucket en los buckets que desea supervisar. Puede configurarlo en la consola de GuardDuty mediante programación para un bucket existente o al crear un bucket nuevo. GuardDuty enviará las métricas de escaneo a tus eventos de EventBridge para cada bucket de S3 protegido, lo que te permitirá configurar alarmas y definir las acciones posteriores al escaneo, como etiquetar el objeto o copiar el objeto malintencionado a un bucket de cuarentena que GuardDuty ejecutará en función del resultado del escaneo. Si GuardDuty está habilitado para su cuenta, también se generará un resultado de seguridad en GuardDuty.

Sí, cualquier cuenta nueva que habilite GuardDuty mediante la consola o la API también tendrá a protección contra software malintencionado de GuardDuty habilitado de forma predeterminada (para el análisis de volúmenes de EBS). Para las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations, tendrá que activar de manera explícita la habilitación automática para la opción de protección contra software malintencionado. 

Puede deshabilitar la característica en la consola o mediante la API. Verá una opción para deshabilitar la protección contra software malintencionado de sus cuentas en la consola de GuardDuty, en la página de la consola de la característica. Si tiene una cuenta de administrador de GuardDuty, también puede deshabilitar la protección contra software malintencionado para las cuentas miembro.

Si la protección contra software malintencionado se ha deshabilitado, puede habilitar la característica en la consola o mediante la API. Puede habilitar la protección contra software malintencionado para sus cuentas en la consola de GuardDuty, en la página de la consola de la característica.

No, no habrá cargos por la protección de software malintencionado si no hay análisis de software malintencionado durante un periodo de facturación. Puede ver los costos de esta característica en la Consola de facturación de AWS.

Sí, GuardDuty tiene una característica para administrar varias cuentas que permite asociar y administrar múltiples cuentas de AWS a partir de una única cuenta de administrador. GuardDuty permite la administración de varias cuentas a través de la integración con AWS Organizations. Esta integración ayuda a los equipos de seguridad y conformidad a asegurar la cobertura total de GuardDuty, incluida la protección contra software malintencionado, en todas las cuentas de una organización.

No. Una vez que la característica está habilitada, la protección contra software malintencionado de GuardDuty iniciará un análisis de software malintencionado en respuesta a los resultados relevantes de Amazon EC2. No tiene que implementar ningún agente, no hay orígenes de registro que habilitar ni tampoco hay que hacer otros cambios de configuración.

La protección contra malware de GuardDuty está diseñada para no afectar el rendimiento de sus cargas de trabajo. Por ejemplo, las instantáneas de volumen de Amazon EBS creadas para el análisis de malware solo se pueden generar una vez en un periodo de 24 horas, y la protección contra malware de Amazon GuardDuty retiene las réplicas cifradas y las instantáneas durante unos minutos después de completar un análisis. Además, la protección contra malware de GuardDuty utiliza los recursos informáticos de GuardDuty para el análisis de malware en lugar de los recursos informáticos del cliente.

Sí, GuardDuty es un servicio regional y se debe habilitar la protección contra software malintencionado en cada región de AWS por separado.

La protección contra malware de GuardDuty escanea una réplica basada en la instantánea de los volúmenes de Amazon EBS adjuntos a la carga de trabajo de contenedores o la instancia Amazon EC2 potencialmente infectada en su cuenta. Si los volúmenes de Amazon EBS están cifrados con una clave administrada por el cliente, tiene la opción de compartir su clave de AWS Key Management Service (KMS) con GuardDuty y el servicio utiliza la misma clave para cifrar el volumen de réplica de Amazon EBS. En el caso de volúmenes de Amazon EBS no cifrados, GuardDuty utiliza su propia clave para cifrar el volumen de réplica de Amazon EBS.

Sí, todos los datos del volumen de réplica de Amazon EBS (y la instantánea en la que se basa el volumen de réplica) permanecen en la misma región que el volumen de Amazon EBS original.

Cada nueva cuenta de GuardDuty, en cada región, recibe una prueba gratuita de 30 días de GuardDuty, que incluye la característica de protección contra malware (solo para los análisis de volúmenes de datos de EBS iniciados por GuardDuty; no hay una prueba gratuita de la protección contra software malintencionado para Amazon S3). Las cuentas de GuardDuty existentes reciben una prueba de 30 días de protección contra software malintencionado sin cargo adicional la primera vez que se habilita en una cuenta. Durante el periodo de prueba, puede estimar los costos en la página de uso de la consola de GuardDuty luego de la prueba. Si es administrador de GuardDuty, verá los costos estimados de las cuentas miembro. Después de 30 días, puede ver los costos reales de esta característica en la Consola de facturación de AWS.

El precio del análisis de volúmenes de EBS con malware se basa en los GB de datos analizados en un volumen. Puede aplicar personalizaciones a través de las opciones de análisis de la consola para marcar algunas instancias de Amazon EC2, mediante etiquetas, a fin de incluirlas o excluirlas del análisis, y así controlar los costos. Además, GuardDuty solo analizará una instancia Amazon EC2 una vez cada 24 horas. Si GuardDuty genera múltiples resultados de Amazon EC2 para una instancia Amazon EC2 dentro de las 24 horas, solo se realizará un análisis para el primer resultado de Amazon EC2 relevante. Si los resultados de Amazon EC2 continúan para una instancia 24 horas después del último análisis de malware, se iniciará un nuevo análisis de malware para esa instancia.

El precio del análisis de objetos de almacenamiento con malware en buckets de S3 se basa en los GB de datos analizados, así como en la cantidad de archivos analizados en un bucket de S3 designado que está configurado para el análisis de malware. GuardDuty solo analizará los archivos recién cargados en los buckets configurados y no analizará los archivos existentes ni los archivos de los buckets no diseñados para el análisis de malware.

Sí, hay una configuración en la que puede habilitar la retención de instantáneas cuando el análisis de la protección de software malintencionado detecta software malintencionado. Puede habilitar esta configuración desde la consola de GuardDuty, en la página de configuración. De forma predeterminada, las instantáneas se eliminan unos minutos después de completar un análisis y después de 24 horas si el análisis no se completó.

La protección contra malware de GuardDuty retendrá cada volumen de réplica de Amazon EBS que genere y analice durante un máximo de 24 horas. De forma predeterminada, los volúmenes de réplica de Amazon EBS se eliminan unos minutos después de que la protección contra malware de GuardDuty complete un análisis. Sin embargo, en algunos instancias, es posible que la protección contra malware de GuardDuty deba retener un volumen de réplica de Amazon EBS durante más de 24 horas si una interrupción del servicio o un problema de conexión interfiere con el análisis de malware. Cuando esto ocurre, la protección contra malware de GuardDuty retiene el volumen de réplica de Amazon EBS durante un máximo de siete días para que el servicio tenga tiempo de clasificar y abordar la interrupción o el problema de conexión. La protección contra malware de GuardDuty eliminará el volumen de réplica de Amazon EBS después de que se resuelva la interrupción o falla o una vez que venza el periodo de retención extendido.

No, GuardDuty solo escanea una réplica basada en la instantánea de los volúmenes de EBS adjuntos a la carga de trabajo de contenedores o la instancia de Amazon EC2 posiblemente infectada en su cuenta, una vez cada 24 horas. Incluso si GuardDuty genera múltiples resultados que califican para iniciar un análisis de malware, no iniciará análisis adicionales si han pasado menos de 24 horas desde un análisis anterior. Si GuardDuty genera un hallazgo calificado después de 24 horas desde el último análisis de software malintencionado, la protección contra software malintencionado de GuardDuty iniciará un nuevo análisis de software malintencionado para esa carga de trabajo.

No, al desactivar el servicio GuardDuty también se desactiva la característica de protección contra software malintencionado.

No, la protección contra software malintencionado de GuardDuty S3 le brinda flexibilidad, ya que permite a los propietarios de las aplicaciones configurar la protección contra software malintencionado para sus buckets de S3 incluso cuando GuardDuty base no esté habilitado para la cuenta. Base GuardDuty incluye la supervisión predeterminada de las fuentes fundamentales, como los eventos de administración de AWS CloudTrail, los registros de flujo de VPC y los registros de consultas de DNS.

La protección de GuardDuty para RDS se puede activar con una sola acción en la consola de GuardDuty, sin necesidad de implementar agentes de forma manual, sin tener que activar origen de datos ni configurar permisos. Por medio de modelos de ML personalizados, la protección de GuardDuty para RDS comienza por analizar y perfilar los intentos de inicio de sesión a las bases de datos existentes y nuevas de Amazon Aurora. Cuando se identifican comportamientos sospechosos o intentos de actores maliciosos conocidos, GuardDuty emite resultados de seguridad procesables a las consolas de GuardDuty y al servicio de Amazon Relational Database Service (RDS), Security Hub y Amazon EventBridge, lo que permite la integración con los sistemas de administración de eventos de seguridad o de flujos de trabajo existentes. Más información sobre cómo utilizar Protección de GuardDuty para RDS la supervisión de la actividad de inicio de sesión de RDS.

Para las cuentas de GuardDuty actuales, la característica se puede activar desde la consola de GuardDuty en la página de protección para RDS o mediante la API. Más información sobre Protección de GuardDuty para RDS.

Sí. Todas las cuentas nuevas que activen GuardDuty desde la consola o la API también tendrán habilitada la protección para RDS de forma predeterminada. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán la protección para RDS activada a menos que la opción de habilitación automática para RDS esté activada.

No, el servicio GuardDuty debe habilitarse para poder utilizar la protección de RDS de GuardDuty.

Para obtener una lista completa de las regiones en las que está disponible la protección de RDS, consulte la Disponibilidad de características específicas para cada región.

Consulte la lista de versiones de bases de datos de Amazon Aurora compatibles.

No, la detección de amenazas de GuardDuty para las bases de datos de Aurora está diseñada para no tener implicaciones de rendimiento, disponibilidad o costo para sus bases de datos de Amazon Aurora.

Protección de GuardDuty para Lambda monitorea continuamente la actividad de la red. Comienza con los registros de flujo de VPC, desde sus cargas de trabajo sin servidor para detectar amenazas como funciones de Lambda reutilizadas maliciosamente para la minería de criptomonedas no autorizada, o funciones de Lambda vulneradas que se comunican con servidores de autores de amenazas conocidos. Protección de GuardDuty para Lambda se puede habilitar con unos pocos pasos en la consola de GuardDuty y, mediante AWS Organizations, se puede habilitar de forma centralizada para todas las cuentas existentes y nuevas en una organización. Una vez activada la característica, empieza a monitorear automáticamente los datos de actividad de red de todas las funciones de Lambda existentes y nuevas en una cuenta.

Para las cuentas de GuardDuty actuales, la característica se puede activar desde la consola de GuardDuty en la página de protección para Lambda o mediante la API. Obtenga más información sobre la protección de GuardDuty para Lambda.

Sí. Todas las cuentas nuevas que activen GuardDuty desde la consola o la API también tendrán habilitada la protección para Lambda de forma predeterminada. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán la protección para Lambda activada de manera predeterminada, a menos que la opción de habilitación automática para Lambda esté activada.

Para obtener una lista completa de las regiones en las que está disponible la protección para Lambda, consulte la Disponibilidad de características específicas para cada región.

No, Protección de GuardDuty para Lambda está diseñada para no repercutir en el rendimiento, la disponibilidad ni los costos de las cargas de trabajo de Lambda.

Amazon GuardDuty ha introducido capacidades de detección de amenazas ampliadas basadas en inteligencia artificial (IA) y machine learning (ML) para identificar rápidamente secuencias de ataques complejas y de varias etapas dirigidas a sus cuentas, cargas de trabajo y datos de AWS. Esto permite a GuardDuty detectar y priorizar las secuencias de ataque activas, lo que le brinda una visión integral de las amenazas y recomendaciones de remediación prescriptivas para ayudarlo a responder más rápidamente y minimizar el impacto empresarial.

GuardDuty utiliza técnicas de inteligencia artificial y aprendizaje automático capacitadas a escala de AWS para reunir automáticamente las señales de seguridad y los resultados de varios servicios de AWS. Esto le permite identificar secuencias de ataque completas, como el compromiso de credenciales seguido de la exfiltración de datos, y representarlas como un resultado único y de alta prioridad. El resultado incluye un resumen de la amenaza en lenguaje natural, detalles sobre los recursos afectados y recomendaciones de remediación paso a paso.

Algunos beneficios clave incluyen los siguientes:

• Detección y respuesta de amenazas más rápidas con la ayuda de señales de amenazas dispares correlacionadas automáticamente y menos alertas de seguridad que necesita analizar manualmente
• Mejora de la visibilidad de las secuencias de ataque que abarcan varios recursos y cuentas
• Optimice la respuesta con recomendaciones de corrección prescriptivas basadas en las prácticas recomendadas de AWS y en los mapeos tácticos y técnicos de MITRE ATT&CK®

La detección extendida de amenazas se habilita automáticamente para todos los clientes nuevos y existentes de GuardDuty sin costo adicional. Puede ver los resultados de la nueva secuencia de ataque y tomar medidas al respecto directamente desde la consola de GuardDuty o mediante integraciones de GuardDuty con AWS Security Hub, Amazon EventBridge y otras herramientas de seguridad que quizás ya utilice.

No, no necesita habilitar todos los planes de protección de GuardDuty para beneficiarse de la detección extendida de amenazas. Sin embargo, habilitar más planes de protección de GuardDuty aumentará la variedad de señales de seguridad disponibles, lo que le permitirá ofrecer una detección y un análisis de amenazas aún más completos. Debe habilitar GuardDuty S3 Protection si desea que GuardDuty Extended Threat Detection identifique los datos comprometidos que pueden formar parte de un evento de ransomware.

Por ejemplo, si solo tiene habilitada la detección básica de amenazas de GuardDuty, GuardDuty podrá identificar una posible secuencia de ataque que comience con la actividad de descubrimiento de privilegios de IAM, como las API de S3, y avance hasta una alteración del plano de control de Amazon S3, como cambiar la política de recursos de un bucket de Amazon S3 para que sea más permisiva.

Sin embargo, si también habilita GuardDuty S3 Protection, GuardDuty mejorará esta detección. GuardDuty ahora podrá añadir una indicación de una posible actividad de exfiltración de datos al mismo resultado de la secuencia de ataque. Esto podría suceder después de que el acceso al bucket de S3 sea más permisivo. Al combinar estas capacidades, GuardDuty ahora puede crear una detección de secuencias de ataque más completa. Esto le proporciona una visión más completa de la amenaza potencial y de las diferentes etapas del ataque.

Las capacidades ampliadas de detección de amenazas se incluyen sin costo adicional para todos los clientes de GuardDuty. Los precios de GuardDuty, incluidas las nuevas funciones de detección de amenazas ampliadas, siguen siendo los mismos: solo paga por lo que usa, sin cuotas iniciales ni cargos adicionales.