Preguntas frecuentes sobre Amazon GuardDuty

GuardDuty es un servicio inteligente de detección de amenazas que supervisa de forma continua las cuentas, las cargas de trabajo, la actividad del tiempo de ejecución y los datos de AWS para detectar actividades maliciosas. Si se detecta una posible actividad malintencionada, como comportamiento anómalo, filtración de credenciales o comunicación de infraestructura de comando y control (C2), GuardDuty genera resultados de seguridad detallados que se pueden usar para la visibilidad de la seguridad y ayudar en la reparación.

GuardDuty facilita la supervisión continua de las cuentas de AWS, las cargas de trabajo y la actividad del tiempo de ejecución. GuardDuty está diseñado para funcionar de forma completamente independiente de sus recursos y no tener ningún impacto en el rendimiento o la disponibilidad de sus cargas de trabajo. El servicio está completamente administrado con inteligencia de amenazas integrada, detección de anomalías de machine learning (ML) y escaneo de malware. GuardDuty provee alertas detalladas y procesables que están diseñadas para integrarse con sistemas de flujo de trabajo y administración de eventos existentes. No se aplican costos iniciales y solo paga por los eventos analizados, sin software adicional para implementar ni la necesidad de suscribirse a fuentes de inteligencia de amenazas.

GuardDuty es un servicio de pago por uso donde solo se paga por el uso que se incurre. Los precios de GuardDuty se basan en el volumen de registros de servicios analizados, las CPU virtuales (vCPU) o las unidades de capacidad de Aurora (ACU) de la instancia Aurora v2 sin servidor para analizar eventos de Amazon RDS, la cantidad y el tamaño de las cargas de trabajo de Amazon Elastic Kubernetes Service (Amazon EKS) o Amazon Elastic Container Service (Amazon ECS) que se supervisan en el tiempo de ejecución y el volumen de datos analizados en busca de malware.

Los registros de servicio analizados se filtran para optimizar los costos y se integran directamente con GuardDuty, lo que significa que no tiene que habilitarlos ni pagarlos por separado. Si EKS Runtime Monitoring está activado en su cuenta, no se le cobrará por analizar los registros de flujo de VPC de las instancias en las que el agente de GuardDuty esté implementado y activo. El agente de seguridad del tiempo de ejecución nos proporciona datos de telemetría de red similares (y más contextuales). Por lo tanto, para evitar un cobro por duplicado a los clientes, no cobraremos por los registros de flujo de VPC de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en las que esté instalado el agente.

Consulte Precios de Amazon GuardDuty para obtener detalles adicionales y ejemplos de precios.

El costo estimado representa el costo para la cuenta de pago individual, y verá el uso facturado y el costo diario promedio para cada cuenta de miembro en la cuenta de administrador de GuardDuty. Debe ir a la cuenta individual si quiere ver la información de uso detallada.

Sí, cualquier cuenta nueva de GuardDuty puede probar el servicio durante 30 días sin costo. Tiene acceso al conjunto de características completo y a las detecciones durante la prueba gratuita. Durante el periodo de prueba, puede ver la estimación de costos en la página de uso de la consola de GuardDuty luego de la prueba. Si es administrador de GuardDuty, verá los costos estimados de las cuentas miembro. Después de 30 días, puede ver los costos reales de esta característica en la Consola de facturación de AWS.

Los titulares de cuentas de GuardDuty nuevos y existentes que aún no hayan habilitado una característica de GuardDuty pueden probarla durante 30 días sin costo alguno en el nivel gratuito de AWS (para la función de protección contra software malicioso, la prueba gratuita está disponible para los análisis de software malicioso iniciados por GuardDuty solo para volúmenes de datos de Amazon EBS. No hay una versión de prueba gratuita de Malware Protection para Amazon S3). Durante el período de prueba gratuito y posteriormente, siempre podrá controlar el gasto mensual estimado en la página de uso de la consola GuardDuty, desglosada por origen de datos.

GuardDuty proporciona una amplia supervisión de seguridad de las cuentas, cargas de trabajo y datos de AWS para ayudar a identificar amenazas, como el reconocimiento de atacantes; instancias, cuentas, buckets o clústeres de Amazon EKS vulnerados; y malware. Macie es un servicio de detección de información confidencial completamente administrado que usa ML y coincidencia de patrones para detectar información confidencial en Amazon Simple Storage Service (Amazon S3).

GuardDuty es un servicio regional. Inclusive cuando se habilitan varias cuentas y se utilizan diferentes regiones de AWS, los resultados relacionados con seguridad de GuardDuty permanecen en las mismas regiones en las que se generaron los datos subyacentes. De esta manera, se garantiza que todos los datos analizados permanezcan en las regiones y no transgredan los límites regionales de AWS. Sin embargo, puede elegir agregar resultados de seguridad producidos por GuardDuty para todas las Regiones usando Amazon EventBridge o llevando los resultados a su almacén de datos (como Amazon S3) y agregando los resultados como lo considere conveniente. También puede enviar los resultados de GuardDuty a AWS Security Hub y utilizar su capacidad de agregación entre regiones.

La disponibilidad regional de GuardDuty se encuentra detallada en la Lista de servicios regionales de AWS. Para obtener una lista completa de las regiones en las que está disponible la característica de GuardDuty, consulte la disponibilidad de la función por región específica.

Muchos socios tecnológicos han integrado GuardDuty y trabajado con él. También hay proveedores de servicios de consultoría, integradores de sistemas y de seguridad administrada con experiencia en GuardDuty. Para obtener detalles, consulte la página de los socios de Amazon GuardDuty.

Foregenix publicó un documento técnico que ofrece una evaluación detallada de la eficacia de GuardDuty para ayudar a cumplir con los requisitos, como el requisito 11.4 del PCI DSS, que requiere técnicas de detección de intrusos en puntos críticos de la red.

GuardDuty se puede configurar e implementar en unos pocos pasos en la Consola de administración de AWS. Una vez habilitado, GuardDuty comienza inmediatamente a analizar flujos continuos de actividad de cuentas y red casi en tiempo real y a escala. No es necesario implementar ni administrar software de seguridad, sensores ni dispositivos de red adicionales. La inteligencia de amenazas se encuentra integrada previamente en el servicio y se actualiza y mantiene de forma continua.

Sí, GuardDuty tiene una característica para administrar varias cuentas que permite asociar y administrar múltiples cuentas de AWS a partir de una única cuenta de administrador. Cuando se utiliza, todos los hallazgos de seguridad se agregan a la cuenta de administrador para que se revisen y reparen. Los eventos de EventBridge también se agregan a la cuenta de administrador de GuardDuty cuando se utiliza esta configuración. Además, GuardDuty se integra con AWS Organizations, con lo que es posible delegar una cuenta de administrador de GuardDuty para la organización. Esta cuenta de administrador delegado (DA) se trata de una cuenta centralizada que consolida todos los hallazgos y es capaz de configurar todas las cuentas de los miembros.

Entre los orígenes de datos fundamentales que GuardDuty analiza se encuentran los registros de eventos de administración de AWS CloudTrail, los eventos de administración de CloudTrail, los registros de flujo de Amazon EC2 VPC y los registros de consultas de DNS. Los planes de protección opcionales de GuardDuty supervisan otros tipos de recursos, incluidos los eventos de datos de CloudTrail S3 (S3 Protection), los registros de auditoría de Amazon EKS y la actividad del tiempo de ejecución de Amazon EKS (EKS Protection), la actividad del tiempo de ejecución de Amazon ECS (ECS Runtime Monitoring), la actividad del tiempo de ejecución de Amazon EC2 (EC2 Runtime Monitoring), los datos de volumen de Amazon EBS (Malware Protection), los eventos de inicio de sesión de Amazon Aurora (RDS Protection) y los registros de actividad de red (Lambda Protection). El servicio está optimizado para incorporar grandes volúmenes de datos para el procesamiento casi en tiempo real de detecciones de seguridad. GuardDuty le brinda acceso a técnicas de detección integradas que se desarrollaron y optimizaron para la nube, que se mantienen y mejoran de manera continua con ingeniería de GuardDuty.

Una vez habilitado, GuardDuty comienza a analizar actividad malintencionada o sin autorización. El plazo para empezar a recibir hallazgos depende del nivel de actividad de su cuenta. GuardDuty no analiza datos históricos, solo la actividad posterior a su habilitación. Si GuardDuty identifica posibles amenazas, recibirá un hallazgo en la consola de GuardDuty.

No, GuardDuty obtiene secuencias de datos independientes directamente de CloudTrail, los registros de flujo de VPC y los registros de consulta de DNS y Amazon EKS. No tiene que administrar políticas de bucket de Amazon S3 ni modificar la manera en la que recopila y almacena los registros. Los permisos de GuardDuty se administran como roles vinculados al servicio. Puede deshabilitar GuardDuty en cualquier momento, lo que eliminará todos los permisos de GuardDuty. Esto facilita la habilitación del servicio, ya que evita configuraciones complejas. Los roles vinculados al servicio también eliminan la posibilidad de que una configuración incorrecta de permisos de AWS Identity and Access Management (IAM) o un cambio en la política del bucket de Amazon S3 afecten el funcionamiento del servicio. Por último, los roles vinculados al servicio hacen que GuardDuty sea extremadamente eficiente al incorporar altos volúmenes de datos casi en tiempo real sin impacto o con un impacto mínimo en el rendimiento y la disponibilidad de su cuenta o cargas de trabajo.

Cuando habilita GuardDuty por primera vez, funciona de forma completamente independiente de sus recursos de AWS. Si configura la supervsión de la versión ejecutable de GuardDuty para implementar de manera automática el agente de seguridad de GuardDuty, esto podría generar un uso adicional de recursos y también crear puntos de enlace de VPC en las VPC que se utilizan para ejecutar las cargas de trabajo supervisadas.

No, GuardDuty no administra ni retiene sus registros. Todos los datos que GuardDuty incorpora se analizan casi en tiempo real y luego se descartan. Esto permite que GuardDuty sea muy eficiente, rentable y logre reducir el riesgo de remanencia de datos. Para entregar y conservar registros, debe usar los servicios de supervisión y registro de AWS, que ofrecen opciones de retención y entrega completos.

Puede evitar que GuardDuty analice sus orígenes de datos en cualquier momento en la configuración general si elige suspender el servicio. Esto detendrá inmediatamente el servicio, que dejará de analizar datos, pero no eliminará los hallazgos ni las configuraciones existentes. También puede deshabilitar el servicio en la configuración general. Esta opción eliminará los datos restantes, incluidos los hallazgos y las configuraciones existentes antes de ceder los permisos del servicio y restablecer el servicio. También puede desactivar de forma selectiva capacidades como la protección de GuardDuty para S3 o GuardDuty EKS Protection a través de la consola de administración o mediante la AWS CLI.

GuardDuty le da acceso a técnicas de detección integradas desarrolladas y optimizadas para la nube. Los ingenieros de GuardDuty conservan y mejoran de manera continua los algoritmos de detección. Entre las principales categorías de detección se incluyen las siguientes:

• Reconocimiento: actividad que sugiere un reconocimiento por parte de un atacante, como una actividad de API inusual, el análisis de puertos en el interior de una VPC, patrones inusuales de solicitudes de inicio de sesión incorrectas o el sondeo de puertos no bloqueados a partir de una IP maliciosa conocida.
• Vulnerabilidad de instancias: actividad que indica la vulnerabilidad de una instancia, como la minería de criptomonedas, el malware que utiliza algoritmos de generación de dominios (DGA), la actividad de salida de denegación de servicios, un volumen alto inusual del tráfico de red, protocolos de red inusuales, comunicación de salida de instancias con una IP malintencionada conocida, las credenciales temporales de Amazon EC2 utilizadas por una dirección IP externa y la exfiltración de datos con DNS.
• Vulnerabilidad de cuentas:  algunos patrones comunes que indican la vulnerabilidad de cuentas incluyen llamadas a la API desde una ubicación geográfica inusual o un proxy anónimo, intentos de desactivar los registros de AWS CloudTrail, lanzamientos inusuales de infraestructuras o de instancias, implementaciones de infraestructuras en una región inusual, la exfiltración de credenciales, actividad sospechosa de inicio de sesión en bases de datos y llamadas a la API desde direcciones IP malintencionadas conocidas.
• Vulnerabilidad de buckets: actividad que indica la vulnerabilidad de un bucket, como los patrones sospechosos de acceso a datos que muestran un mal uso de credenciales, actividad inusual de la API de Amazon S3 desde un host remoto, acceso a Amazon S3 no autorizado desde direcciones IP confirmadas como malintencionadas y llamadas a la API para recuperar datos en buckets de Amazon S3 de un usuario que no cuenta con un historial previo de acceso al bucket o invocadas desde una ubicación inusual. GuardDuty supervisa y analiza de manera continua eventos de datos de S3 de CloudTrail (como GetObject, ListObjects y DeleteObject) para detectar actividad sospechosa en todos los buckets de Amazon S3.
• Software malintencionado: GuardDuty puede detectar la presencia de software malintencionado (como troyanos, gusanos, mineros criptográficos, rootkits o bots), que puede utilizarse para comprometer las cargas de trabajo de las instancias o los contenedores de Amazon EC2 o que se carga en los buckets de Amazon S3.
• Vulnerabilidad de contenedores: la actividad que identifica posibles comportamientos maliciosos o sospechosos en cargas de trabajo de contenedores se detecta mediante la supervisión y elaboración de perfiles de los clústeres de Amazon EKS de forma continua a través del análisis de los registros de auditoría de Amazon EKS y la actividad del tiempo de ejecución del contenedor en Amazon EKS o Amazon ECS. 

Esta es una lista completa de los tipos de resultados de GuardDuty.

La inteligencia de amenazas de GuardDuty está conformada por dominios y direcciones IP que se sabe que utilizan los atacantes. AWS y proveedores de terceros, como Proofpoint y CrowdStrike, proveen la inteligencia de amenazas de GuardDuty. Estas fuentes de inteligencia de amenazas vienen integradas con anterioridad y se actualizan continuamente en GuardDuty sin costo adicional.

Sí, GuardDuty permite cargar inteligencia de amenazas propia o una lista de direcciones IP de confianza. Cuando se usa esta característica, las listas se aplican únicamente a su cuenta y no se comparten con otros clientes.

Cuando se detecta una posible amenaza, GuardDuty envía un hallazgo de seguridad detallado a la consola de GuardDuty y a EventBridge. Esto hace que las alertas sean más procesables y se integren más fácilmente en los sistemas de administración de eventos o de flujo de trabajo existentes. Los hallazgos incluyen la categoría, el recurso afectado y los metadatos asociados con el recurso, como un nivel de gravedad.

Los resultados de Amazon GuardDuty tienen un formato de JSON común que también utilizan los servicios Amazon Macie y Amazon Inspector. Esto facilita que los clientes y los socios utilicen los hallazgos de seguridad de los tres servicios y los incorporen en soluciones de seguridad, flujos de trabajo o administración de eventos más amplias.

Los hallazgos de seguridad se retienen y permanecen disponibles mediante las API y la consola de Amazon GuardDuty durante 90 días. Una vez transcurridos 90 días, los resultados se eliminan. Para retener los resultados durante más de 90 días, puede habilitar EventBridge para que envíe automáticamente los resultados a un bucket de Amazon S3 de su cuenta o a otro almacén de datos para su conservación a largo plazo.

Sí, puede elegir acumular los resultados de seguridad producidos por GuardDuty en todas las regiones mediante EventBridge o enviando los resultados a su almacén de datos (como Amazon S3) y agregándolos como mejor le parezca. Además, es posible enviar los hallazgos de GuardDuty a Security Hub y utilizar su capacidad de agregación entre regiones.

Con GuardDuty, EventBridge y AWS Lambda, tiene la flexibilidad de configurar acciones de corrección automatizadas basadas en un hallazgo de seguridad. Por ejemplo, puede crear una función de Lambda que modifique reglas de grupos de seguridad de AWS en función de resultados de seguridad. Si recibe un resultado de GuardDuty que indica que una de sus instancias de Amazon EC2 está siendo sondeada por una IP maliciosa conocida, puede solucionar dicho problema con una regla de EventBridge, la cual inicia una función de Lambda para modificar de forma automática las reglas de sus grupos de seguridad y restringir el acceso en ese puerto.

GuardDuty cuenta con un equipo enfocado en el desarrollo, la administración y la iteración de detecciones. Esto genera una cadencia estable de nuevas detecciones en el servicio, así como iteración continua en detecciones existentes. Existen varios mecanismos de retroalimentación en el servicio, como el pulgar hacia arriba o abajo en cada hallazgo de seguridad encontrado en la interfaz del usuario (UI) de GuardDuty. Esto permite que brinde opiniones que se pueden incorporar en futuras iteraciones de las detecciones de GuardDuty.

No, GuardDuty se encarga de la tediosa tarea y la complejidad del desarrollo y el mantenimiento de sus propios conjuntos de reglas personalizadas. Las detecciones nuevas se agregan de forma continua en función de las opiniones de los clientes, junto con la investigación realizada por los ingenieros en seguridad de AWS y el equipo de ingeniería de GuardDuty. Sin embargo, las personalizaciones configuradas por los clientes incluyen la incorporación de sus propias listas de amenazas y listas de direcciones IP de confianza.

Para las cuentas de GuardDuty actuales, S3 Protection se puede activar en la consola, en la página de S3 Protection, o mediante la API. Esto comenzará un periodo de prueba gratuita de 30 días de GuardDuty S3 Protection.

Sí, hay una prueba gratuita de 30 días. Cada cuenta, de cada región, obtiene una prueba gratuita de 30 días de GuardDuty que incluye la característica de protección para S3. Las cuentas que ya tienen habilitado GuardDuty también obtendrán una prueba gratuita de 30 días de la característica de S3 Protection cuando la activen por primera vez.

Sí. Todas las cuentas nuevas que habiliten GuardDuty desde la consola o la API también tendrán habilitado S3 Protection de forma predeterminada. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán S3 Protection activada a menos que la opción de habilitación automática para S3 esté activada.

No, el servicio GuardDuty debe estar habilitado para poder usar S3 Protection. Las cuentas actuales de GuardDuty tienen la opción de habilitar S3 Protection, y las nuevas cuentas de GuardDuty tendrán la característica de forma predeterminada una vez que se habilite el servicio GuardDuty.

Sí, S3 Protection supervisa de forma predeterminada todos los buckets de S3 de su entorno.

No, GuardDuty tiene acceso directo a los registros de eventos de datos de S3 en CloudTrail. No es necesario que habilite el registro de eventos de datos de S3 en CloudTrail y, por lo tanto, no incurrirá en los costos asociados. Tenga en cuenta que GuardDuty no almacena los registros y solo los usa para su análisis.

GuardDuty EKS Protection es una característica de GuardDuty que supervisa la actividad del plano de control de clústeres de Amazon EKS mediante el análisis de los registros de auditoría de Amazon EKS. GuardDuty está integrado con Amazon EKS, lo cual le brinda acceso directo a los registros de auditoría de Amazon EKS sin que tenga que activar o almacenar dichos registros. Estos registros de auditoría son registros cronológicos relativos a la seguridad, que documentan la secuencia de acciones llevadas a cabo en el plano de control de Amazon EKS. Estos registros de auditoría de Amazon EKS dan a GuardDuty la visibilidad necesaria para realizar la supervisión continua de la actividad de API de Amazon EKS, y aplican la inteligencia sobre amenazas y la detección de anomalías para identificar actividad malintencionada o cambios de configuración que puedan exponer un clúster de Amazon EKS a un acceso no autorizado. Cuando se detectan amenazas, GuardDuty genera hallazgos de seguridad que incluyen el tipo de amenaza, el nivel de gravedad y detalles del contenedor (como el identificador del pod, el identificador de la imagen de contenedor y las etiquetas asociadas).

GuardDuty EKS Protection puede detectar amenazas relacionadas con la actividad de usuarios y aplicaciones capturada por los registros de auditoría de Amazon EKS. Las detecciones de amenazas de Amazon EKS incluyen clústeres de Amazon EKS a los que acceden actores maliciosos conocidos o a los que se accede desde nodos Tor, operaciones de API realizadas por usuarios anónimos que podrían indicar una configuración errónea y configuraciones erróneas que pueden dar lugar a accesos no autorizados a clústeres de Amazon EKS. Además, mediante el uso de modelos de ML, GuardDuty puede identificar patrones constantes con técnicas de escalado de privilegios, como un lanzamiento sospechoso de un contenedor con acceso de nivel raíz al host de Amazon EC2 subyacente. Consulte Amazon GuardDuty Finding types (Tipos de resultados de Amazon GuardDuty) para obtener una lista completa de todas las nuevas detecciones.

No, GuardDuty tiene acceso directo a los registros de auditoría de Amazon EKS. Tenga en cuenta que GuardDuty solo usa estos registros para análisis; no los almacena, ni tiene que habilitar ni pagar para compartir estos registros de auditoría de Amazon EKS con GuardDuty. Para optimizar los costos, GuardDuty aplica filtros inteligentes a fin de incorporar únicamente un subconjunto de los registros de auditoría que son pertinentes para la detección de amenazas de seguridad.

Sí, hay una prueba gratuita de 30 días. Cada nueva cuenta de GuardDuty en cada región recibe una prueba gratuita de 30 días de GuardDuty, incluida la característica de protección de GuardDuty para EKS. Las cuentas existentes de GuardDuty reciben una prueba gratuita de 30 días de GuardDuty EKS Protection sin costo adicional. Durante el periodo de prueba, puede ver la estimación de costos en la página de uso de la consola de GuardDuty luego de la prueba. Si es administrador de GuardDuty, verá los costos estimados de las cuentas miembro. Después de 30 días, puede ver los costos reales de esta característica en la Consola de facturación de AWS.

GuardDuty EKS Protection tiene que estar encendida para cada cuenta individual. Puede activar la característica para sus cuentas con una sola acción en la consola de GuardDuty desde la página de la consola de la protección de GuardDuty para EKS. Si trabaja en una configuración de varias cuentas de GuardDuty, puede activar la protección de GuardDuty para EKS en toda la organización desde la cuenta de administrador de GuardDuty en la página de la característica. Con esto, se activará el monitoreo continuo para Amazon EKS en todas las cuentas miembro individuales. Para las cuentas de GuardDuty creadas con la característica de activación automática de AWS Organizations, debe activar de manera explícita la activación automática para Amazon EKS. Una vez que se active para una cuenta, se supervisarán todos los clústeres de Amazon EKS existentes y futuros en la cuenta en busca de amenazas, sin realizar ninguna configuración en los clústeres de Amazon EKS.

Sí, todas las cuentas nuevas que activen GuardDuty desde la consola o la API también tendrán activada GuardDuty EKS Protection de forma predeterminada. Para las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations, tendrá que activar de manera explícita la habilitación automática para la opción de EKS Protection. 

Puede deshabilitar la característica en la consola o mediante la API. En la consola de GuardDuty, puede desactivar la protección de GuardDuty para EKS de sus cuentas en la página de la consola de la característica. Si tiene una cuenta de administrador de GuardDuty, también puede desactivar dicha característica para las cuentas miembro.

Si anteriormente desactivó GuardDuty EKS Protection, puede volver a habilitar la característica en la consola o mediante la API. En la consola de GuardDuty, puede habilitar GuardDuty EKS Protection de sus cuentas en la página de la consola de la característica.

GuardDuty EKS Protection tiene que estar habilitada para cada cuenta individual. Si trabaja en una configuración de varias cuentas de GuardDuty, puede habilitar la detección de amenazas para Amazon EKS en toda la organización con un solo clic en la página de la consola de la protección de GuardDuty para EKS de la cuenta de administrador de GuardDuty. Con esto, se habilitará la detección de amenazas de Amazon EKS en todas las cuentas miembro individuales. Una vez que se habilite para una cuenta, se supervisarán todos los clústeres de Amazon EKS existentes y futuros en la cuenta en busca de amenazas, y no se requiere ninguna configuración manual en los clústeres de Amazon EKS.

No incurrirá en ningún cargo de GuardDuty EKS Protection si no usa Amazon EKS y tiene GuardDuty EKS Protection habilitada. Sin embargo, cuando comience a usar Amazon EKS, GuardDuty supervisará automáticamente sus clústeres y generará hallazgos para los problemas identificados, y se le cobrará por esta supervisión.

No, el servicio GuardDuty debe estar habilitado para que GuardDuty EKS Protection esté disponible.

Sí, GuardDuty EKS Protection supervisa los registros de auditoría tanto de los clústeres de Amazon EKS implementados en instancias de Amazon EC2 como en clústeres de Amazon EKS implementados en Fargate.

Actualmente, esta funcionalidad solo admite implementaciones de Amazon EKS que se ejecutan en instancias de Amazon EC2 en su cuenta o en Fargate.

No, GuardDuty EKS Protection está diseñada para no tener implicaciones de rendimiento, disponibilidad ni costo para las implementaciones de cargas de trabajo de Amazon EKS.

Sí, GuardDuty es un servicio regional y, por lo tanto, GuardDuty EKS Protection debe habilitarse en cada región de AWS por separado.

GuardDuty Runtime Monitoring utiliza un agente de seguridad ligero y totalmente administrado que agrega visibilidad a la actividad del tiempo de ejecución, como el acceso a archivos, la ejecución de procesos y las conexiones de red de nivel de pod o instancia para los recursos cubiertos. El agente de seguridad se implementa automáticamente como un conjunto de daemon que recopila los eventos del tiempo de ejecución y los envía a GuardDuty para el procesamiento de los análisis de seguridad. Esto permite a GuardDuty identificar instancias o contenedores específicos dentro de su entorno de AWS que puedan estar comprometidos y detectar los intentos de escalar los privilegios a un entorno de AWS más amplio. Cuando GuardDuty detecta una posible amenaza, se genera un resultado de seguridad que incluye el contexto de los metadatos que incluye la instancia, el contenedor, el pod y los detalles del proceso. 

Para las cuentas de GuardDuty actuales, la característica se puede activar desde la consola de GuardDuty en la página Runtime Monitoring o mediante la API. Obtenga más información sobre GuardDuty Runtime Monitoring.

La supervisión del tiempo de ejecución está disponible para los recursos de Amazon EKS que se ejecutan en Amazon EC2, los clústeres de Amazon ECS que se ejecutan en Amazon EC2 o AWS Fargate y las instancias de Amazon EC2. 

Los requisitos arquitectónicos para GuardDuty Runtime Monitoring están disponibles en la Guía del usuario de GuardDuty. 

No. GuardDuty Runtime Monitoring es el único plan de protección que no está habilitado de forma predeterminada cuando se activa GuardDuty por primera vez. La característica se puede activar desde la consola de GuardDuty, en la página Runtime Monitoring, o mediante la API. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán Runtime Monitoring activada a menos que la opción de habilitación automática para Runtime Monitoring esté activada.

AWS publica actualizaciones de los agentes de GuardDuty de forma regular. Para Amazon ECS en Amazon EC2, puede actualizar a la versión más reciente del agente actualizándolo a la última AMI o agente de ECS optimizado para ECS. Para Amazon ECS en Fargate, el agente de Fargate extrae automáticamente la versión más reciente del agente de GuardDuty.

Si decide implementar manualmente el agente por clúster, será responsable de actualizar también el agente cuando GuardDuty publique el lanzamiento de una nueva versión. Las nuevas versiones de los agentes se prueban y supervisan cuidadosamente antes, durante y después del lanzamiento. GuardDuty mantiene un subconjunto de versiones anteriores del agente para que pueda revertir una actualización en caso de que su aplicación tenga un conflicto único con el agente. Puede encontrar un historial de versiones del agente detallado en la Guía del usuario de GuardDuty. Para los parches de CVE y otras actualizaciones urgentes, siga las directrices de actualización de AWS incluidas en los avisos de PHD.

No, el servicio GuardDuty debe habilitarse para poder utilizar GuardDuty Runtime Monitoring.

Cuando habilita Amazon ECS Runtime Monitoring, GuardDuty está preparado para consumir los eventos del tiempo de ejecución de una tarea. Estas tareas se ejecutan en los clústeres de Amazon ECS, que a su vez se ejecutan en instancias de AWS Fargate. Para que GuardDuty reciba estos eventos del tiempo de ejecución, debe usar la configuración automatizada del agente.

Cuando habilita Runtime Monitoring para Amazon EC2 o Amazon EKS, tiene la opción de implementar el agente de seguridad de GuardDuty manualmente o permitir que GuardDuty lo administre en su nombre con la configuración automatizada del agente.

Visite Conceptos clave - Enfoques de administración de agentes de seguridad de GuardDuty en la Guía del usuario de GuardDuty para obtener más información.
 

Para obtener una lista completa de las regiones en las que está disponible la supervisión del tiempo de ejecución, consulte Disponibilidad de características específicas para cada región.

GuardDuty Runtime Monitoring debe estar habilitada para cada cuenta individual. Si trabaja en una configuración de varias cuentas de GuardDuty, puede activarla en toda la organización con un solo paso en la página de la consola GuardDuty Runtime Monitoring de la cuenta de administrador de GuardDuty. Con esto, se activará la supervisión del tiempo de ejecución de las cargas de trabajo deseadas en todas las cuentas miembro individuales. Una vez que se active para una cuenta, se supervisará el tiempo de ejecución de todas las cargas de trabajo existentes y futuras que se han seleccionado en la cuenta en busca de amenazas, y no se requiere ninguna configuración manual.

GuardDuty Runtime Monitoring permite configurar de forma selectiva qué clústeres de Amazon EKS o clústeres de Amazon ECS se van a supervisar para la detección de amenazas. Con esta capacidad de configuración adicional de nivel de clústeres, los clientes ahora pueden supervisar selectivamente los clústeres para detectar amenazas o seguir utilizando la capacidad de configuración de nivel de cuentas para supervisar todos los clústeres de EKS o ECS, respectivamente, en una cuenta y región determinadas.

No se le cobrará por GuardDuty Runtime Monitoring si la tiene habilitada para una carga de trabajo que no está ejecutando. Sin embargo, cuando comience a usar Amazon EKS, Amazon ECS o Amazon EC2 y GuardDuty Runtime Monitoring esté habilitada para esa carga de trabajo, se le cobrará cuando GuardDuty supervise automáticamente sus clústeres, tareas e instancias y genere resultados para los problemas identificados. 

Al igual que todos los casos de seguridad, observabilidad y otros casos de uso que requieren un agente en el host, el agente de seguridad de GuardDuty introduce una sobrecarga de utilización de recursos. El agente de seguridad de GuardDuty está diseñado para ser liviano y GuardDuty lo supervisa cuidadosamente para minimizar la utilización y el impacto en los costos de las cargas de trabajo cubiertas. Las métricas exactas de utilización de los recursos estarán disponibles para que los equipos de aplicaciones y seguridad las supervisen en Amazon CloudWatch.

Si configura GuardDuty Runtime Monitoring para implementar automáticamente el agente de seguridad de GuardDuty, esto podría generar un uso adicional de recursos y también crear puntos de conexión de VPC en las VPC que se utilizan para ejecutar las cargas de trabajo de AWS. 

GuardDuty Runtime Monitoring se puede deshabilitar para una cuenta u organización de AWS en la página GuardDuty Runtime Monitoring. Si GuardDuty implementó automáticamente el agente de seguridad, también lo eliminará cuando la característica esté deshabilitada.

Si optó por implementar el agente de GuardDuty de forma manual (aplicable solo a la supervisión del tiempo de ejecución de EKS y la supervisión del tiempo de ejecución de EC2), tendrá que eliminarlo manualmente y cualquier punto de conexión de VPC que se haya creado se debe eliminar manualmente. Los pasos para la eliminación manual de EKS Runtime Monitoring y EC2 Runtime Monitoring se detallan en la Guía del usuario de GuardDuty. 

Volúmenes de datos de Amazon EBS: si tiene este origen de datos habilitado para Malware Protection, GuardDuty inicia un análisis de detección de software malintencionado cuando identifica un comportamiento sospechoso indicativo de software malintencionado en las cargas de trabajo de instancias o contenedores de Amazon EC2. Escanea un volumen de réplica de Amazon EBS que GuardDuty genera en función de la instantánea de su volumen de Amazon EBS en busca de troyanos, gusanos, criptomineros, rootkits, bots y más. La protección contra malware de GuardDuty genera resultados contextualizados que pueden ayudar a validar el origen del comportamiento sospechoso. Estos resultados también se pueden enrutar a los administradores adecuados e iniciar la reparación automatizada.

Escaneo de objetos de S3: una vez que se configura un bucket para la protección contra el software malintencionado, GuardDuty escanea automáticamente los archivos recién cargados y, si se detecta software malintencionado, genera una notificación de Amazon EventBridge con detalles sobre el software malintencionado, lo que permite la integración con los sistemas de flujo de trabajo o gestión de eventos de seguridad existentes. Puedes configurar la cuarentena automática del software malintencionado moviendo el objeto a un bucket aislado de tu cuenta o usar etiquetas de objetos para agregar la disposición del resultado del análisis, lo que permite identificar y clasificar mejor los objetos analizados en función de las etiquetas.

Los resultados de GuardDuty para Amazon EC2 que iniciarán un análisis de malware se encuentran en la Guía del usuario de GuardDuty.

La protección contra malware admite la detección de archivos malintencionados mediante el escaneo de Amazon EBS adjunto a las instancias Amazon EC2. Los tipos de sistemas de archivos compatibles se encuentran en la Guía del usuario de GuardDuty.

Malware Protection para S3 puede analizar archivos que pertenecen a la mayoría de las clases de almacenamiento S3 sincrónico, como S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA y Amazon S3 Glacier Instant Retrieval, con el motor de análisis de software malintencionado de GuardDuty.  Analizará los formatos de archivo que se sabe que se utilizan para propagar o contener archivos malintencionados, incluidos ejecutables, archivos.pdf, archivos archivados, archivos binarios, archivos empaquetados, scripts, instaladores, bases de datos de correo electrónico, correos electrónicos simples, imágenes y objetos codificados.

La protección contra software malintencionado busca amenazas como troyanos, gusanos, criptomineros, rootkits y bots, que pueden usarse para vulnerar cargas de trabajo, reutilizar recursos para uso malintencionado y obtener acceso no autorizado a datos.

Consulte la Guía del usuario de GuardDuty para obtener una lista completa de los tipos de resultado.

No es necesario habilitar el registro de servicios para que GuardDuty o la característica de Malware Protection funcionen. La característica de Malware Protection es parte de GuardDuty, que es un servicio de AWS que utiliza inteligencia de fuentes internas y externas integradas.

En lugar de usar agentes de seguridad, GuardDuty Malware Protection creará y escaneará una réplica basada en la instantánea de los volúmenes de Amazon EBS adjuntos a la carga de trabajo de contenedores o la instancia Amazon EC2 potencialmente infectada en su cuenta. Los permisos que otorgó a GuardDuty a través de un rol vinculado al servicio permiten que el servicio cree una réplica de volumen cifrada en la cuenta de servicio de GuardDuty a partir de esa instantánea que permanece en su cuenta. Entonces, GuardDuty Malware Protection escaneará la réplica del volumen en busca de software malintencionado.

En el caso de los objetos de Amazon S3, GuardDuty comienza a leer, descifrar y analizar los objetos cargados en los buckets que ha configurado para GuardDuty Malware Protection. Puede limitar el alcance de los objetos que se van a analizar en un bucket al definir que solo se analicen los objetos con ciertos prefijos. GuardDuty analizará los objetos cargados que coincidan con estos prefijos definidos y generará un resultado de seguridad y una notificación de Amazon EventBridge con un resultado detallado del análisis: infectado, limpio, omitido o fallido. La notificación también incluirá las métricas de análisis relacionadas con la cantidad de objetos y bytes analizados. También puede definir las acciones posteriores al análisis que GuardDuty ejecutará en el objeto en función del resultado del análisis, como la cuarentena automática o el etiquetado de objetos.

Sí, cada nueva cuenta de GuardDuty en cada región recibe una prueba gratuita de 30 días de GuardDuty, que incluye la característica de Malware Protection (disponible únicamente para el análisis iniciado por GuardDuty de volúmenes de datos de EBS; no hay una prueba gratuita de GuardDuty Malware Protection para Amazon S3). Las cuentas de GuardDuty existentes reciben una prueba de 30 días de Malware Protection sin cargo adicional la primera vez que se habilita en una cuenta. Durante el periodo de prueba, puede ver la estimación de costos en la página de uso de la consola de GuardDuty luego de la prueba. Si es administrador de GuardDuty, verá los costos estimados de las cuentas miembro. Después de 30 días, puede ver los costos reales de esta característica en la Consola de facturación de AWS.

Puede habilitar Malware Protection en la consola de GuardDuty a través de la página de Malware Protection o mediante la API. Si está trabajando con una configuración de varias cuentas de GuardDuty, puede habilitar la característica en toda su organización en la página de la consola de la protección contra software malintencionado de la cuenta de administrador de GuardDuty. Esto habilitará la supervisión de software malintencionado en todas las cuentas miembro individuales. Para las cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations, debe habilitar de manera explícita la habilitación automática para la opción de Malware Protection.

En el caso de la protección contra software malintencionado para S3, puede integrar el análisis de software malintencionado en sus aplicaciones siguiendo dos pasos. En primer lugar, como propietario de una aplicación, debe configurar la protección del bucket en los buckets que desea supervisar. Puede configurarlo en la consola de GuardDuty mediante programación para un bucket existente o al crear un bucket nuevo. GuardDuty enviará las métricas de escaneo a tus eventos de EventBridge para cada bucket de S3 protegido, lo que te permitirá configurar alarmas y definir las acciones posteriores al escaneo, como etiquetar el objeto o copiar el objeto malintencionado a un bucket de cuarentena que GuardDuty ejecutará en función del resultado del escaneo. Si GuardDuty está habilitado para su cuenta, también se generará un resultado de seguridad en GuardDuty.

Sí, cualquier cuenta nueva que habilite GuardDuty mediante la consola o la API también tendrá a GuardDuty Malware Protection habilitado de forma predeterminada (para el análisis de volúmenes de EBS). Para las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations, tendrá que activar de manera explícita la habilitación automática para la opción de Malware Protection. 

Puede deshabilitar la característica en la consola o mediante la API. Verá una opción para deshabilitar la protección contra software malintencionado de sus cuentas en la consola de GuardDuty, en la página de la consola de la característica. Si tiene una cuenta de administrador de GuardDuty, también puede deshabilitar Malware Protection para las cuentas miembro.

Si Malware Protection se ha deshabilitado, puede habilitar la característica en la consola o mediante la API. Puede habilitar Malware Protection para sus cuentas en la consola de GuardDuty, en la página de la consola de la característica.

No, no habrá cargos por Malware Protection si no hay análisis de software malintencionado durante un periodo de facturación. Puede ver los costos de esta característica en la Consola de facturación de AWS.

Sí, GuardDuty tiene una característica para administrar varias cuentas que permite asociar y administrar múltiples cuentas de AWS a partir de una única cuenta de administrador. GuardDuty permite la administración de varias cuentas a través de la integración con AWS Organizations. Esta integración ayuda a los equipos de seguridad y conformidad a asegurar la cobertura total de GuardDuty, incluida Malware Protection, en todas las cuentas de una organización.

No. Una vez que la característica está habilitada, GuardDuty Malware Protection iniciará un análisis de software malintencionado en respuesta a los resultados relevantes de Amazon EC2. No tiene que implementar ningún agente, no hay orígenes de registro que habilitar ni tampoco hay que hacer otros cambios de configuración.

GuardDuty Malware Protection está diseñada para no afectar el rendimiento de sus cargas de trabajo. Por ejemplo, las instantáneas de volumen de Amazon EBS creadas para el análisis de malware solo se pueden generar una vez en un periodo de 24 horas, y la protección contra malware de Amazon GuardDuty retiene las réplicas cifradas y las instantáneas durante unos minutos después de completar un análisis. Además, GuardDuty Malware Protection utiliza los recursos informáticos de GuardDuty para el análisis de malware en lugar de los recursos informáticos del cliente.

Sí, GuardDuty es un servicio regional y se debe habilitar Malware Protection en cada región de AWS por separado.

GuardDuty Malware Protection escanea una réplica basada en la instantánea de los volúmenes de Amazon EBS adjuntos a la carga de trabajo de contenedores o la instancia Amazon EC2 potencialmente infectada en su cuenta. Si los volúmenes de Amazon EBS están cifrados con una clave administrada por el cliente, tiene la opción de compartir su clave de AWS Key Management Service (KMS) con GuardDuty y el servicio utiliza la misma clave para cifrar el volumen de réplica de Amazon EBS. En el caso de volúmenes de Amazon EBS no cifrados, GuardDuty utiliza su propia clave para cifrar el volumen de réplica de Amazon EBS.

Sí, todos los datos del volumen de réplica de Amazon EBS (y la instantánea en la que se basa el volumen de réplica) permanecen en la misma región que el volumen de Amazon EBS original.

Cada nueva cuenta de GuardDuty, en cada región, recibe una prueba gratuita de 30 días de GuardDuty, que incluye la característica de Malware Protection (solo para los análisis de volúmenes de datos de EBS iniciados por GuardDuty; no hay una prueba gratuita de Malware Protection para Amazon S3). Las cuentas de GuardDuty existentes reciben una prueba de 30 días de Malware Protection sin cargo adicional la primera vez que se habilita en una cuenta. Durante el periodo de prueba, puede estimar los costos en la página de uso de la consola de GuardDuty luego de la prueba. Si es administrador de GuardDuty, verá los costos estimados de las cuentas miembro. Después de 30 días, puede ver los costos reales de esta característica en la Consola de facturación de AWS.

El precio del análisis de volúmenes de EBS con malware se basa en los GB de datos analizados en un volumen. Puede aplicar personalizaciones a través de las opciones de análisis de la consola para marcar algunas instancias de Amazon EC2, mediante etiquetas, a fin de incluirlas o excluirlas del análisis, y así controlar los costos. Además, GuardDuty solo analizará una instancia Amazon EC2 una vez cada 24 horas. Si GuardDuty genera múltiples resultados de Amazon EC2 para una instancia Amazon EC2 dentro de las 24 horas, solo se realizará un análisis para el primer resultado de Amazon EC2 relevante. Si los resultados de Amazon EC2 continúan para una instancia 24 horas después del último análisis de malware, se iniciará un nuevo análisis de malware para esa instancia.

El precio del análisis de objetos de almacenamiento con malware en buckets de S3 se basa en los GB de datos analizados, así como en la cantidad de archivos analizados en un bucket de S3 designado que está configurado para el análisis de malware. GuardDuty solo analizará los archivos recién cargados en los buckets configurados y no analizará los archivos existentes ni los archivos de los buckets no diseñados para el análisis de malware.

Sí, hay una configuración en la que puede habilitar la retención de instantáneas cuando el análisis de Malware Protection detecta software malintencionado. Puede habilitar esta configuración desde la consola de GuardDuty, en la página de configuración. De forma predeterminada, las instantáneas se eliminan unos minutos después de completar un análisis y después de 24 horas si el análisis no se completó.

GuardDuty Malware Protection retendrá cada volumen de réplica de Amazon EBS que genere y analice durante un máximo de 24 horas. De forma predeterminada, los volúmenes de réplica de Amazon EBS se eliminan unos minutos después de que la protección contra malware de GuardDuty complete un análisis. Sin embargo, en algunos instancias, es posible que la protección contra malware de GuardDuty deba retener un volumen de réplica de Amazon EBS durante más de 24 horas si una interrupción del servicio o un problema de conexión interfiere con el análisis de malware. Cuando esto ocurre, la protección contra malware de GuardDuty retiene el volumen de réplica de Amazon EBS durante un máximo de siete días para que el servicio tenga tiempo de clasificar y abordar la interrupción o el problema de conexión. GuardDuty Malware Protection eliminará el volumen de réplica de Amazon EBS después de que se resuelva la interrupción o falla o una vez que venza el periodo de retención extendido.

No, GuardDuty solo escanea una réplica basada en la instantánea de los volúmenes de EBS adjuntos a la carga de trabajo de contenedores o la instancia de Amazon EC2 posiblemente infectada en su cuenta, una vez cada 24 horas. Incluso si GuardDuty genera múltiples resultados que califican para iniciar un análisis de malware, no iniciará análisis adicionales si han pasado menos de 24 horas desde un análisis anterior. Si GuardDuty genera un resultado calificado después de 24 horas desde el último análisis de software malintencionado, GuardDuty Malware Protection iniciará un nuevo análisis de software malintencionado para esa carga de trabajo.

No, al desactivar el servicio GuardDuty también se desactiva la característica de Malware Protection.

No, GuardDuty Malware Protection S3 le brinda flexibilidad, ya que permite a los propietarios de las aplicaciones configurar Malware Protection para sus buckets de S3 incluso cuando GuardDuty base no esté habilitado para la cuenta. Base GuardDuty incluye la supervisión predeterminada de las fuentes fundamentales, como los eventos de administración de AWS CloudTrail, los registros de flujo de VPC y los registros de consultas de DNS.

GuardDuty Malware Protection para AWS Backup le permite detectar malware en las copias de seguridad de Amazon EC2, Amazon EBS y Amazon S3 sin necesidad de implementar agentes o software de seguridad adicionales. Esta capacidad totalmente administrada le permite analizar automáticamente las copias de seguridad después de su creación, ejecutar análisis bajo demanda de copias de seguridad anteriores y verificar la integridad de las copias de seguridad antes de la restauración. La característica emplea un escaneo incremental rentable que analiza solo los datos netos nuevos entre los respaldos posteriores, lo que le brinda una protección continua y flexible, al tiempo que reduce los costos de escaneo en comparación con los escaneos de respaldo completos.

La protección de GuardDuty para RDS se puede activar con una sola acción en la consola de GuardDuty, sin necesidad de implementar agentes de forma manual, sin tener que activar origen de datos ni configurar permisos. Por medio de modelos de ML personalizados, la protección de GuardDuty para RDS comienza por analizar y perfilar los intentos de inicio de sesión a las bases de datos existentes y nuevas de Amazon Aurora. Cuando se identifican comportamientos sospechosos o intentos de actores maliciosos conocidos, GuardDuty emite resultados de seguridad procesables a las consolas de GuardDuty y al servicio de Amazon Relational Database Service (RDS), Security Hub y Amazon EventBridge, lo que permite la integración con los sistemas de administración de eventos de seguridad o de flujos de trabajo existentes. Más información sobre cómo utilizar GuardDuty RDS Protection la supervisión de la actividad de inicio de sesión de RDS.

Para las cuentas de GuardDuty actuales, la característica se puede activar desde la consola de GuardDuty en la página de RDS Protection o mediante la API. Más información sobre GuardDuty RDS Protection.

Sí. Todas las cuentas nuevas que activen GuardDuty desde la consola o la API también tendrán habilitada la protección para RDS de forma predeterminada. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán RDS Protection activada a menos que la opción de habilitación automática para RDS esté activada.

No, el servicio GuardDuty debe habilitarse para poder utilizar GuardDuty RDS Protection.

Para obtener una lista completa de las regiones en las que está disponible RDS Protection, consulte la Disponibilidad de características específicas para cada región.

Consulte la lista de versiones de bases de datos de Amazon Aurora compatibles.

No, la detección de amenazas de GuardDuty para las bases de datos de Aurora está diseñada para no tener implicaciones de rendimiento, disponibilidad o costo para sus bases de datos de Amazon Aurora.

GuardDuty Lambda Protection supervisa continuamente la actividad de la red. Comienza con los registros de flujo de VPC, desde sus cargas de trabajo sin servidor para detectar amenazas como funciones de Lambda reutilizadas maliciosamente para la minería de criptomonedas no autorizada, o funciones de Lambda vulneradas que se comunican con servidores de autores de amenazas conocidos. Protección de GuardDuty para Lambda se puede habilitar con unos pocos pasos en la consola de GuardDuty y, mediante AWS Organizations, se puede habilitar de forma centralizada para todas las cuentas existentes y nuevas en una organización. Una vez activada la característica, empieza a supervisar automáticamente los datos de actividad de red de todas las funciones de Lambda existentes y nuevas en una cuenta.

Para las cuentas de GuardDuty actuales, la característica se puede activar desde la consola de GuardDuty en la página de Lambda Protection o mediante la API. Obtenga más información sobre GuardDuty Lambda Protection.

Sí. Todas las cuentas nuevas que activen GuardDuty desde la consola o la API también tendrán habilitada la protección para Lambda de forma predeterminada. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán Lambda Protection activada de manera predeterminada, a menos que la opción de habilitación automática para Lambda esté activada.

Para obtener una lista completa de las regiones en las que está disponible Lambda Protection, consulte la Disponibilidad de características específicas para cada región.

No, GuardDuty Lambda Protection está diseñada para no repercutir en el rendimiento, la disponibilidad ni los costos de las cargas de trabajo de Lambda.

Amazon GuardDuty ha introducido capacidades de Detección Extendida de Amenazas basadas en inteligencia artificial (IA) y machine learning (ML) para identificar rápidamente secuencias de ataques complejas y de varias etapas dirigidas a sus cuentas, cargas de trabajo y datos de AWS. Esto permite a GuardDuty detectar y priorizar las secuencias de ataque activas, lo que le brinda una visión integral de las amenazas y recomendaciones de remediación prescriptivas para ayudarlo a responder más rápidamente y minimizar el impacto empresarial.

GuardDuty utiliza técnicas de inteligencia artificial y aprendizaje automático capacitadas a escala de AWS para reunir automáticamente las señales de seguridad y los resultados de varios servicios de AWS. Esto le permite identificar secuencias de ataque completas, como el compromiso de credenciales seguido de la exfiltración de datos, y representarlas como un resultado único y de alta prioridad. El resultado incluye un resumen de la amenaza en lenguaje natural, detalles sobre los recursos afectados y recomendaciones de remediación paso a paso.

Algunos beneficios clave incluyen los siguientes:

• Detección y respuesta de amenazas más rápidas con la ayuda de señales de amenazas dispares correlacionadas automáticamente y menos alertas de seguridad que necesita analizar manualmente
• Mejora de la visibilidad de las secuencias de ataque que abarcan varios recursos y cuentas
• Optimice la respuesta con recomendaciones de corrección prescriptivas basadas en las prácticas recomendadas de AWS y en las asignaciones tácticas y técnicas de MITRE ATT&CK®

Detección Extendida de Amenazas se habilita automáticamente para todos los clientes nuevos y existentes de GuardDuty sin costo adicional. Puede ver los resultados de la nueva secuencia de ataque y tomar medidas al respecto directamente desde la consola de GuardDuty o mediante integraciones de GuardDuty con AWS Security Hub, Amazon EventBridge y otras herramientas de seguridad que quizás ya utilice.

No, no necesita habilitar todos los planes de protección de GuardDuty para beneficiarse de Detección Extendida de Amenazas. Sin embargo, habilitar más planes de protección de GuardDuty aumentará la variedad de señales de seguridad disponibles, lo que le permitirá ofrecer una detección y un análisis de amenazas aún más completos. Debe habilitar GuardDuty S3 Protection si desea que Detección Extendida de Amenazas de GuardDuty identifique los datos comprometidos que pueden formar parte de un evento de ransomware.

Por ejemplo, si solo tiene habilitada la detección básica de amenazas de GuardDuty, GuardDuty podrá identificar una posible secuencia de ataque que comience con la actividad de descubrimiento de privilegios de IAM, como las API de S3, y avance hasta una alteración del plano de control de Amazon S3, como cambiar la política de recursos de un bucket de Amazon S3 para que sea más permisiva.

Sin embargo, si también habilita GuardDuty S3 Protection, GuardDuty mejorará esta detección. GuardDuty ahora podrá agregar una indicación de una posible actividad de exfiltración de datos al mismo resultado de la secuencia de ataque. Esto podría suceder después de que el acceso al bucket de S3 sea más permisivo. Al combinar estas capacidades, GuardDuty ahora puede crear una detección de secuencias de ataque más completa. Esto le proporciona una visión más completa de la amenaza potencial y de las diferentes etapas del ataque.

Las capacidades de Detección Extendida de Amenazas se incluyen sin costo adicional para todos los clientes de GuardDuty. Los precios de GuardDuty, incluidas las nuevas características de Detección Extendida de Amenazas, siguen siendo los mismos: solo paga por lo que usa, sin cuotas iniciales ni cargos adicionales.

Al habilitar S3 Protection, GuardDuty puede correlacionar señales más diversas en múltiples orígenes de datos, lo que amplía su capacidad para detectar secuencias de ataque complejas que involucren sus buckets de S3. Con S3 Protection habilitado, GuardDuty puede identificar las posibles actividades de exfiltración de datos que pueden ocurrir después de que el acceso a los buckets de S3 sea más permisivo, además de detectar el descubrimiento de privilegios de IAM y las alteraciones del plano de control de S3. Esto proporciona una visión más completa de las posibles amenazas que afectan a sus recursos de S3.

Con S3 Protection, GuardDuty puede detectar secuencias de ataques en varias etapas que involucren sus recursos de Amazon S3. Estos pueden incluir escenarios como las actividades de detección de privilegios de IAM en las API de S3 seguidas de cambios en la política de buckets de S3 para aumentar los permisos o las llamadas sospechosas a las API para incluir o modificar los depósitos de S3 seguidas de actividades anómalas de acceso o transferencia de datos. GuardDuty también puede identificar los intentos de aprovechar los errores de configuración de las políticas de los buckets de S3 para obtener acceso no autorizado, así como las secuencias que implican el reconocimiento inicial de los recursos de S3 seguido de intentos de filtrar datos. Esta capacidad permite la detección temprana de amenazas complejas que, de otro modo, podrían pasar desapercibidas hasta que se produzca un daño significativo.

La activación de EKS Protection para Detección Extendida de Amenazas ofrece varios beneficios clave para proteger los clústeres de Amazon Elastic Kubernetes Service (Amazon EKS). Permite a GuardDuty correlacionar las señales de seguridad entre los registros de auditoría de Amazon EKS, los comportamientos en tiempo de ejecución y la actividad de las API de AWS, lo que permite detectar secuencias de ataque sofisticadas que, de otro modo, podrían pasar desapercibidas. Esto incluye ataques en varias etapas, como la explotación inicial del contenedor seguida de la escalada de privilegios. GuardDuty puede identificar automáticamente los posibles riesgos para los clústeres, los pods y los recursos de AWS asociados de EKS, lo que proporciona una mejor visibilidad de las amenazas complejas que abarcan las cargas de trabajo de los contenedores y los servicios de AWS. Este enfoque mejora su capacidad para detectar y responder a las amenazas avanzadas dirigidas a sus entornos de Kubernetes.

GuardDuty aprovecha tanto EKS Protection como Runtime Monitoring para crear una visión holística de los clústeres de Amazon EKS, lo que le permite detectar patrones de ataque complejos. EKS Protection supervisa las actividades del plano de control, mientras que Runtime Monitoring observa los comportamientos dentro de los contenedores. Esta combinación permite a GuardDuty detectar secuencias de ataque sofisticadas, como el acceso no autorizado a contenedores en los que se ejecutan aplicaciones web vulnerables, el acceso no autorizado mediante credenciales mal configuradas, los intentos de escalar los privilegios dentro del clúster, las solicitudes de API sospechosas al servidor de API de Kubernetes y los intentos de acceso a información confidencial o recursos de AWS a través de pods comprometidos. Al correlacionar estas diversas señales, GuardDuty puede identificar secuencias de ataque específicas que las detecciones individuales podrían pasar por alto, lo que proporciona una postura de seguridad más completa para sus entornos de EKS.

La combinación de GuardDuty fundamental, que supervisa la actividad de CloudTrail y de la red, y Runtime Monitoring, que observa los comportamientos de los procesos y las llamadas al sistema dentro de las instancias, proporciona una detección de amenazas más completa. Esta supervisión integrada permite a GuardDuty detectar secuencias de ataque sofisticadas, como el acceso no autorizado mediante credenciales mal configuradas, los intentos de escalada de privilegios y el acceso no autorizado a información confidencial. Al correlacionar estas diversas señales, GuardDuty puede identificar patrones de ataque complejos que las detecciones individuales podrían pasar desapercibidos y asignar el vector de ataque completo. 

Runtime Monitoring es esencial para una detección de amenazas más completa en los entornos de Amazon ECS, ya que le ayuda a detectar amenazas más sofisticadas específicas de los contenedores, como procesos sospechosos, intentos de persistencia y actividades no autorizadas.

Para Amazon ECS en Fargate: Runtime Monitoring es necesaria para la detección de amenazas, ya que otros orígenes de datos de GuardDuty no tienen visibilidad en los contenedores de Fargate. Si Runtime Monitoring no está habilitada, no se generarán hallazgos de seguridad para las cargas de trabajo de Fargate.

Para ECS en EC2: Runtime Monitoring proporciona una detección de amenazas con reconocimiento de contenedores con atribución precisa a clústeres de ECS específicos. Recibirá hallazgos de seguridad especializados (como AttackSequence:ECS/CompromisedCluster). Sin Runtime Monitoring, GuardDuty solo puede atribuir las amenazas detectadas a la instancia EC2 subyacente, lo que da como resultado hallazgos específicos de EC2 en lugar de información a nivel de clúster de ECS.

Al correlacionar diversas señales entre la actividad de la red, el comportamiento en tiempo de ejecución de los procesos y la actividad de las API de AWS, GuardDuty puede identificar patrones de ataque complejos que las detecciones individuales podrían pasar desapercibidos y asignar el vector de ataque completo.