Información general del servicio

P: ¿Qué es Amazon GuardDuty?

Amazon GuardDuty ofrece detección de amenazas para monitorear y proteger de manera continua las cargas de trabajo y las cuentas de AWS. GuardDuty analiza flujos continuos de metadatos que se generan a partir de la actividad de la cuenta y la red registrada en AWS CloudTrail Events, logs de flujo de Amazon VPC y logs de DNS. También usa inteligencia de amenazas integrada, como direcciones IP malintencionadas conocidas, detección de anomalías y aprendizaje automático para identificar amenazas con mayor precisión.

P: ¿Qué beneficios clave ofrece Amazon GuardDuty?

Amazon GuardDuty facilita la monitorización continua de las cargas de trabajo y las cuentas de AWS. Funciona de manera totalmente independiente de los recursos, por lo que no hay riesgo de afectar el desempeño ni la disponibilidad de las cargas de trabajo. Está completamente administrado con inteligencia de amenazas integrada, detección de anomalías y aprendizaje automático. Amazon GuardDuty provee alertas detalladas y procesables que son fáciles de integrar con sistemas de flujo de trabajo y administración de eventos existentes. No se aplican costos iniciales y solo paga por los eventos analizados, sin software adicional para implementar ni la necesidad de suscribirse a fuentes de inteligencia de amenazas.

P: ¿Cuánto cuesta Amazon GuardDuty?

Los precios de Amazon GuardDuty se basan en dos factores: la cantidad de eventos de AWS CloudTrail Events analizados (cada 1 000 000 de eventos) y el volumen de logs de DNS y logs de flujo de Amazon VPC analizado (por GB).

  • Análisis de eventos de AWS CloudTrail Events: GuardDuty analiza continuamente eventos de administración de AWS CloudTrail mediante la monitorización de todos los accesos y comportamientos de la infraestructura y las cuentas de AWS. El análisis de eventos de CloudTrail se cobra cada 1 000 000 de eventos al mes y se prorratea.
  • Análisis de logs de flujo de VPC y logs de DNS: GuardDuty analiza continuamente los logs de flujo de VPC y las solicitudes y respuestas de DNS para identificar comportamientos malintencionados, no autorizados o inesperados en las instancias de Amazon EC2. El análisis de logs de DNS y de flujo se cobra por Gigabyte (GB) al mes. El análisis de logs de DNS y de flujo se ofrece con descuentos por volumen en capas.

No hay cargos iniciales y solo paga por los datos analizados.

Consulte los precios de Amazon GuardDuty para obtener detalles y ejemplos de precios.

P: ¿Hay una prueba gratuita?

Sí, una cuenta nueva de Amazon GuardDuty puede probar el servicio durante un período de 30 días sin costo. Tendrá acceso al conjunto de características completo y a las detecciones durante la prueba gratuita. GuardDuty mostrará el volumen de datos procesados y el cálculo de los cargos diarios promedio del servicio de su cuenta. Esta característica facilita probar Amazon GuardDuty de manera gratuita y predecir el costo del servicio cuando finalice el período de la prueba gratuita.

P: ¿Cuál es la diferencia entre Amazon GuardDuty y Amazon Macie?

Amazon GuardDuty brinda una protección amplia para las cuentas, las cargas de trabajo y los datos de AWS que permite identificar amenazas, como reconocimiento de atacantes, vulnerabilidad de instancias y cuentas. Amazon Macie ayuda a proteger datos en Amazon S3 mediante la clasificación de datos existentes, el valor de los datos para el negocio y el comportamiento asociado con el acceso a ellos. Ambos servicios incluyen análisis de comportamiento de usuarios, aprendizaje automático y detección de anomalías para detectar amenazas en sus respectivas categorías.

P: ¿Amazon GuardDuty es un servicio regional o global?

Amazon GuardDuty es un servicio regional. Inclusive cuando se activan varias cuentas y se utilizan diferentes regiones, los hallazgos relacionados con seguridad de Amazon GuardDuty permanecen en las mismas regiones en las que se generaron los datos subyacentes. Esto garantiza que todos los datos analizados permanezcan en las regiones y no transgredan los límites regionales de AWS. Los clientes pueden optar por añadir hallazgos sobre seguridad producidos por Amazon GuardDuty en diferentes regiones mediante AWS CloudWatch Events, a través de la publicación de hallazgos en el almacén de datos bajo control del cliente, como Amazon S3, y la posterior incorporación de hallazgos a medida que lo consideren necesario.

P: ¿Qué regiones admite Amazon GuardDuty?

La disponibilidad regional de Amazon GuardDuty se describe aquí: tabla de regiones de AWS

P: ¿Qué socios trabajan con Amazon GuardDuty?

Hay muchos socios tecnológicos que han integrado Amazon GuardDuty y trabajado en él. También hay proveedores de servicios de seguridad administrados, consultores e integradores de sistemas con experiencia en GuardDuty. Ver socios que trabajen con Amazon GuardDuty.

Activación de GuardDuty

P: ¿Cómo activo Amazon GuardDuty?

Amazon GuardDuty se puede activar con unos pocos clics en la consola de administración de AWS. Una vez que se encuentre activado, GuardDuty comienza inmediatamente a analizar flujos continuos de actividad de cuentas y red casi en tiempo real y a escala. No es necesario implementar ni administrar software de seguridad, sensores ni aplicaciones de red adicionales. La inteligencia de amenazas se encuentra integrada previamente en el servicio y se actualiza y mantiene continuamente.  

P: ¿Puedo administrar varias cuentas con Amazon GuardDuty?

Sí, Amazon GuardDuty tiene una característica para varias cuentas que permite asociar y administrar cuentas de AWS a partir de una única cuenta principal. Cuando se la utiliza, todos los hallazgos de seguridad se incorporan al administrador o a la cuenta principal de Amazon GuardDuty para que se revisen y solucionen. Los eventos de AWS CloudWatch Events también se incorporan a la cuenta principal de Amazon GuardDuty cuando se usa esta configuración.

P: ¿Qué orígenes de datos analiza Amazon GuardDuty?

Amazon GuardDuty analiza logs de AWS CloudTrail, logs de flujo de VPC y logs de DNS de AWS. El servicio está optimizado para incorporar grandes volúmenes de datos para el procesamiento casi en tiempo real de detecciones de seguridad. GuardDuty le brinda acceso a técnicas de detección integradas que se desarrollaron y optimizaron para la nube. Además, se mantienen y mejoran continuamente con base en AWS Security.  

P: ¿Cuán pronto comienza a funcionar GuardDuty?

Una vez activado, Amazon GuardDuty comienza inmediatamente a analizar actividad malintencionada o sin autorización. El plazo para empezar a recibir hallazgos depende del nivel de actividad de su cuenta. GuardDuty no analiza datos históricos, solo la actividad posterior a su activación. Si GuardDuty identifica posibles amenazas, recibirá un hallazgo en la consola de GuardDuty.

P: ¿Tengo que activar AWS CloudTrail, los logs de flujo de VPC y los logs de DNS para que Amazon GuardDuty funcione?

No. Amazon GuardDuty obtiene flujos independientes de datos directamente de AWS CloudTrail, los logs de flujo de VPC y los logs de DNS de AWS. No debe administrar políticas de bucket de Amazon S3 ni modificar la manera en la que recopila y almacena los logs. Los permisos de GuardDuty se administran como roles vinculados a servicios que pueden anularse en cualquier momento mediante la desactivación de GuardDuty. Esto facilita la activación del servicio sin configuraciones complejas y elimina el riesgo de que una modificación de permisos en AWS IAM o un cambio en una política de bucket de S3 afecte el funcionamiento del servicio. También permite que GuardDuty sea extremadamente eficiente en la incorporación de grandes volúmenes de datos casi en tiempo real sin afectar el desempeño ni la disponibilidad de cuentas o cargas de trabajo.

P: ¿La activación de Amazon GuardDuty en una cuenta afecta el desempeño o la disponibilidad?

No. Amazon GuardDuty funciona de manera completamente independiente a los recursos de AWS y no hay riesgo de afectar cuentas ni cargas de trabajo. Esto facilita la activación de GuardDuty en muchas cuentas de una organización sin afectar las operaciones existentes.

P: ¿Amazon GuardDuty administra o conserva logs?

No. Amazon GuardDuty no administra ni retiene logs. Todos los datos que GuardDuty incorpora se analizan casi en tiempo real y se descartan. Esto permite que GuardDuty sea muy eficiente, rentable y logre reducir el riesgo de remanencia de datos. Si desea entregar y retener logs, debe usar los servicios de monitorización y registro de AWS, que ofrecen opciones de retención y entrega completos.

P: ¿Cómo detengo el análisis de logs y orígenes de datos de Amazon GuardDuty?

Puede hacer que Amazon GuardDuty deje de analizar orígenes de datos en cualquier momento si elige suspender el servicio en la configuración general. Esto detendrá inmediatamente el servicio, que dejará de analizar datos pero no eliminará los hallazgos ni las configuraciones existentes. También puede desactivar el servicio en la configuración general. Esta opción eliminará los datos restantes, incluidos los hallazgos y las configuraciones, antes de ceder los permisos del servicio y restablecer el servicio.

Hallazgos de GuardDuty

P: ¿Qué puede detectar Amazon GuardDuty?

Amazon GuardDuty le da acceso a técnicas de detección integradas que se desarrollaron y optimizaron para la nube. Los algoritmos de detección se conservan y mejoran continuamente con base en AWS Security. Las principales categorías de detección incluyen:

  • Reconocimiento: actividad que podría sugerir un reconocimiento por parte de un atacante, como una actividad de API inusual, el escaneo de puertos en el interior de una VPC, patrones inusuales de solicitudes de inicio de sesión incorrectas o sondeo de puertos no bloqueados a partir de una IP incorrecta conocida.
  • Vulnerabilidad de instancias: actividad que indica la vulnerabilidad de una instancia, como la minería de criptomonedas, malware que utiliza algoritmos de generación de dominios (DGA), actividad de salida de denegación de servicio, volúmenes altos inusuales del tráfico de red, protocolos de red inusuales, comunicación de instancias de salida con una IP malintencionada conocida, credenciales temporales de Amazon EC2 utilizadas por una dirección IP externa y exfiltración de datos con DNS.
  • Vulnerabilidad de cuentas: algunos patrones comunes que indican vulnerabilidad de cuentas incluyen llamadas a la API a partir de una ubicación geográfica inusual o un proxy anónimo, intentos para desactivar los registros de AWS CloudTrail, lanzamientos de infraestructura o instancias inusuales, implementaciones de infraestructura en una región inusual y llamadas a la API a partir de direcciones IP malintencionadas conocidas.

P: ¿Qué es la inteligencia de amenazas de Amazon GuardDuty?

La inteligencia de amenazas de Amazon GuardDuty está conformada por dominios y direcciones IP utilizadas por atacantes. AWS Security y proveedores externos, como Proofpoint y CrowdStrike, proveen la inteligencia de amenazas de GuardDuty. Estas fuentes de inteligencia de amenazas vienen integradas con anterioridad y se actualizan continuamente en GuardDuty sin costo adicional.

P: ¿Puedo suministrar mis propios recursos de inteligencia de amenazas?

Sí. Amazon GuardDuty le permite cargar fácilmente sus propios recursos de inteligencia de amenazas o lista de IP seguras. Cuando se usa esta característica, las listas se aplican únicamente a su cuenta y no se comparten con otros clientes.

P: ¿Cómo funcionan las detecciones de comportamientos anómalos y el aprendizaje automático?

Las detecciones avanzadas de aprendizaje automático y comportamiento demoran entre 7 y 14 días para definir una referencia de comportamiento en su cuenta. Una vez transcurrido dicho plazo, las detecciones de anomalías cambian del modo de aprendizaje al modo activo. Cuando se activen, solo se verán hallazgos generados a partir de dichas detecciones si el servicio observa comportamiento que sugiere una amenaza.

P: ¿Cómo se entregan los hallazgos de seguridad?

Cuando se detecta una amenaza, Amazon GuardDuty emite un hallazgo de seguridad detallado en la consola de GuardDuty y en AWS CloudWatch Events. Esto permite poder actuar sobre las alertas y poder integrarlas fácilmente en los sistemas de administración de eventos o de cargas de trabajo existentes. Los hallazgos incluyen la categoría, el recurso afectado y los metadatos asociados con el recurso, como un nivel de seguridad.

P: ¿Cuál es el formato de los hallazgos de Amazon GuardDuty?

Los hallazgos de Amazon GuardDuty tienen un formato JSON común que también utilizan los servicios Amazon Macie y Amazon Inspector. Esto facilita que los clientes y los socios utilicen los hallazgos de seguridad de los tres servicios y los incorporen en soluciones de seguridad, flujos de trabajo o administración de eventos más amplias.

P: ¿Durante cuánto tiempo se encuentran disponibles los hallazgos de seguridad en Amazon GuardDuty?

Los hallazgos de seguridad se conservan y permanecen disponibles mediante las API y la consola de Amazon GuardDuty durante 90 días. Una vez transcurrido dicho período, los hallazgos se eliminan. Si desea conservar los hallazgos durante un período de tiempo mayor, puede activar AWS CloudWatch Events para que publique automáticamente los hallazgos en un bucket de Amazon S3 de su cuenta o en otro almacén de datos para obtener una retención a largo plazo.

P: ¿Amazon GuardDuty me permite implementar acciones preventivas automáticas?

Con Amazon GuardDuty, AWS CloudWatch Events y AWS Lambda, tiene la flexibilidad de configurar acciones preventivas automatizadas basadas en un hallazgo de seguridad. Por ejemplo, puede crear una función de Lambda que modifique reglas de grupos de seguridad de AWS en función de hallazgos de seguridad. Si recibe un hallazgo de GuardDuty que indica que una IP malintencionada conocida está sondeando una instancia de Amazon EC2, puede resolverlo mediante una regla de CloudWatch Events que active una función de Lambda que modifique automáticamente las reglas del grupo de seguridad y restrinja el acceso a dicho puerto.

P: ¿Cómo se desarrollan y administran las detecciones de Amazon GuardDuty?

Amazon GuardDuty cuenta con un equipo enfocado en el desarrollo, la administración y la iteración de detecciones. Esto genera una cadencia estable de nuevas detecciones en el servicio e iteración continua en detecciones existentes. Existen varios mecanismos de retroalimentación en el servicio, como el pulgar hacia arriba o abajo en cada hallazgo de seguridad encontrado en la interfaz del usuario de GuardDuty. Esto permite a los clientes brindar opiniones que se incorporarán en futuras iteraciones de las detecciones de GuardDuty.

P: ¿Es posible escribir detecciones personalizadas en Amazon GuardDuty?

No. Amazon GuardDuty se encarga de la tediosa tarea y la complejidad del desarrollo y el mantenimiento de sus propios conjuntos de reglas personalizadas. Las detecciones nuevas se añaden continuamente en función de las opiniones de los clientes y la investigación realizada por AWS Security y el equipo de GuardDuty. Las personalizaciones configuradas por los clientes incluyen la incorporación de sus propias listas de amenazas y listas de IP seguras.

Más información sobre los precios de Amazon GuardDuty

Visite la página de precios
¿Listo para comenzar?
Iniciar sesión
¿Tiene más preguntas?
Contacte con nosotros