Información general del servicio

P: ¿Qué es Amazon GuardDuty?

Amazon GuardDuty ofrece detección de amenazas para monitorear y proteger de manera continua las cuentas de AWS, cargas de trabajo y datos almacenados en Amazon S3. GuardDuty analiza flujos continuos de metadatos que se generan a partir de la actividad de la cuenta y la red registrada en AWS CloudTrail Events, registros de flujo de Amazon VPC y registros de DNS. También usa inteligencia de amenazas integrada, como direcciones IP malintencionadas conocidas, detección de anomalías y aprendizaje automático para identificar amenazas con mayor precisión.

P: ¿Qué beneficios clave ofrece Amazon GuardDuty?

Amazon GuardDuty facilita el monitoreo continuo de las cuentas de AWS, cargas de trabajo y datos almacenados en Amazon S3. Funciona de manera totalmente independiente de los recursos, por lo que no hay riesgo de afectar el desempeño o la disponibilidad de las cargas de trabajo. Está completamente administrado con inteligencia de amenazas integrada, detección de anomalías y aprendizaje automático. Amazon GuardDuty provee alertas detalladas y procesables que son fáciles de integrar con sistemas de flujo de trabajo y administración de eventos existentes. No se aplican costos iniciales y solo paga por los eventos analizados, sin software adicional para implementar ni la necesidad de suscribirse a fuentes de inteligencia de amenazas.

P: ¿Cuánto cuesta Amazon GuardDuty?

Los precios de Amazon GuardDuty se calculan a partir de la cantidad de eventos de AWS CloudTrail analizados y el volumen de datos de registros de DNS y registros de flujo de Amazon VPC analizados. No se cobrará ningún cargo adicional por habilitar estos orígenes de registro para el análisis de GuardDuty.

  • Análisis de eventos de administración de AWS CloudTrail: GuardDuty analiza constantemente los eventos de administración de CloudTrail al monitorear todos los accesos y el comportamiento de la infraestructura y las cuentas de AWS. El análisis de eventos de administración de CloudTrail se cobra cada 1 000 000 de eventos al mes y se prorratea.
  • Análisis de eventos de datos de S3 en AWS CloudTrail: GuardDuty analiza constantemente los eventos de datos de S3 en CloudTrail al monitorear los accesos y la actividad de todos los buckets de Amazon S3. El análisis de eventos de datos de S3 en CloudTrail se cobra cada 1 000 000 de eventos al mes y se prorratea.
  • Análisis de registros de flujo de VPC y de registros de DNS: GuardDuty analiza los registros de flujo de VPC y las solicitudes y las respuestas de DNS de forma constante para identificar comportamientos malintencionados, no autorizados o inesperados en las cargas de trabajo y las cuentas de AWS. El análisis de registros de DNS y de registros de flujo se cobra por Gigabyte (GB) al mes. El análisis de registros de DNS y de registros de flujo se ofrece con descuentos por volumen en capas.

No hay cargos iniciales y solo paga por los datos analizados.

Consulte los precios de Amazon GuardDuty para obtener detalles y ejemplos de precios.

P: ¿El costo estimado en la cuenta de pago de Amazon GuardDuty muestra los costos agregados totales de las cuentas vinculadas o solo los de esa cuenta de pago individual?

El costo estimado representa solamente el costo de la cuenta de pago individual. En el caso de la cuenta maestra, solo verá el costo estimado de la cuenta maestra.

P: ¿Hay una prueba gratuita?

Sí, una cuenta nueva de Amazon GuardDuty puede probar el servicio durante un período de 30 días sin costo. Tendrá acceso al conjunto de características completo y a las detecciones durante la prueba gratuita. GuardDuty mostrará el volumen de datos procesados y el cálculo de los cargos diarios promedio del servicio de su cuenta. Esta característica facilita probar Amazon GuardDuty de manera gratuita y predecir el costo del servicio cuando finalice el período de la prueba gratuita.

P: ¿Cuál es la diferencia entre Amazon GuardDuty y Amazon Macie?

Amazon GuardDuty brinda una protección amplia para las cuentas, las cargas de trabajo y los datos de AWS que permite identificar amenazas, como reconocimiento de atacantes, vulnerabilidad de instancias, cuentas y buckets. Amazon Macie le ayuda a descubrir y proteger sus datos sensibles en Amazon S3 mediante la clasificación de los datos de los que dispone y los controles de acceso y seguridad asociados a esos datos.

P: ¿Amazon GuardDuty es un servicio regional o global?

Amazon GuardDuty es un servicio regional. Inclusive cuando se activan varias cuentas y se utilizan diferentes regiones, los hallazgos relacionados con seguridad de Amazon GuardDuty permanecen en las mismas regiones en las que se generaron los datos subyacentes. De esta manera, garantiza que todos los datos analizados permanezcan en las regiones y no transgredan los límites regionales de AWS. Los clientes pueden optar por añadir hallazgos sobre seguridad producidos por Amazon GuardDuty en diferentes regiones mediante Amazon CloudWatch Events, a través de la publicación de hallazgos en el almacén de datos bajo control del cliente, como Amazon S3, y la posterior incorporación de hallazgos a medida que lo consideren necesario.

P: ¿Qué regiones admite Amazon GuardDuty?

La disponibilidad por regiones de Amazon GuardDuty se describe aquí: Tabla de regiones de AWS

P: ¿Qué socios trabajan con Amazon GuardDuty?

Hay muchos socios tecnológicos que han integrado Amazon GuardDuty y trabajado en él. También hay proveedores de servicios de seguridad administrados, consultores e integradores de sistemas con experiencia en GuardDuty. Ver socios de Amazon GuardDuty.

P: ¿Amazon GuardDuty ayuda a abordar algunos de los requisitos del Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS)?

R: GuardDuty analiza eventos desde múltiples orígenes de datos de AWS, como eventos de AWS CloudTrail, registro de flujo de Amazon VPC y registros de DNS, además de detectar actividad sospechosa en base a fuentes de inteligencia recibidas de AWS y otros servicios como CrowdStrike. Foregenix publicó un documento técnico que ofrece una evaluación detallada de la eficacia de Amazon GuardDuty a la hora de cumplir requisitos de conformidad, como el requisito 11.4 del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PIC DSS), que requiere técnicas de detección de intrusos en puntos críticos de la red.

Activación de GuardDuty

P: ¿Cómo activo Amazon GuardDuty?

Amazon GuardDuty se puede activar con unos pocos clics en la consola de administración de AWS. Una vez que se encuentre activado, GuardDuty comienza inmediatamente a analizar flujos continuos de actividad de cuentas y red casi en tiempo real y a escala. No es necesario implementar ni administrar software de seguridad, sensores ni dispositivos de red adicionales. La inteligencia de amenazas se encuentra integrada previamente en el servicio y se actualiza y mantiene continuamente.  

P: ¿Puedo administrar varias cuentas con Amazon GuardDuty?

Sí, Amazon GuardDuty tiene una característica para varias cuentas que permite asociar y administrar cuentas de AWS a partir de una única cuenta principal. Cuando se la utiliza, todos los hallazgos de seguridad se incorporan al administrador o a la cuenta principal de Amazon GuardDuty para que se revisen y solucionen. Los eventos de Amazon CloudWatch Events también se incorporan a la cuenta principal de Amazon GuardDuty cuando se usa esta configuración.

P: ¿Qué orígenes de datos analiza Amazon GuardDuty?

Amazon GuardDuty analiza registros de AWS CloudTrail, registros de flujo de VPC y registros de DNS de AWS. El servicio está optimizado para incorporar grandes volúmenes de datos para el procesamiento casi en tiempo real de detecciones de seguridad. GuardDuty le brinda acceso a técnicas de detección integradas que se desarrollaron y optimizaron para la nube. Además, se mantienen y mejoran continuamente con base en AWS Security.  

P: ¿Cuán pronto comienza a funcionar GuardDuty?

Una vez activado, Amazon GuardDuty comienza inmediatamente a analizar actividad malintencionada o sin autorización. El plazo para empezar a recibir hallazgos depende del nivel de actividad de su cuenta. GuardDuty no analiza datos históricos, solo la actividad posterior a su activación. Si GuardDuty identifica posibles amenazas, recibirá un hallazgo en la consola de GuardDuty.

P: ¿Tengo que activar AWS CloudTrail, los registros de flujo de VPC y los registros de DNS para que Amazon GuardDuty funcione?

No. Amazon GuardDuty obtiene flujos independientes de datos directamente de AWS CloudTrail, los registros de flujo de VPC y los registros de DNS de AWS. No debe administrar políticas de bucket de Amazon S3 ni modificar la manera en la que recopila y almacena los registros. Los permisos de GuardDuty se administran como roles vinculados a servicios que pueden anularse en cualquier momento mediante la desactivación de GuardDuty. Esto facilita la activación del servicio sin configuraciones complejas y elimina el riesgo de que una modificación de permisos en AWS IAM o un cambio en una política de bucket de S3 afecte el funcionamiento del servicio. También permite que GuardDuty sea extremadamente eficiente en la incorporación de grandes volúmenes de datos casi en tiempo real sin afectar el desempeño ni la disponibilidad de cuentas o cargas de trabajo.

P: ¿La activación de Amazon GuardDuty en una cuenta afecta al rendimiento o la disponibilidad?

Amazon GuardDuty funciona con total independencia de los recursos de AWS y no hay riesgo de afectar cuentas ni cargas de trabajo. Esto facilita la activación de GuardDuty en muchas cuentas de una organización sin afectar las operaciones existentes.

P: ¿Amazon GuardDuty administra o conserva registros?

No. Amazon GuardDuty no administra ni conserva sus registros. Todos los datos que GuardDuty incorpora se analizan casi en tiempo real y se descartan. Esto permite que GuardDuty sea muy eficiente, rentable y logre reducir el riesgo de remanencia de datos. Si desea entregar y conservar registros, debe usar los servicios de monitoreo y registro de AWS, que ofrecen opciones de retención y entrega completos.

P: ¿Cómo detengo el análisis de registros y orígenes de datos de Amazon GuardDuty?

Puede hacer que Amazon GuardDuty deje de analizar orígenes de datos en cualquier momento si elige suspender el servicio en la configuración general. Esto detendrá inmediatamente el servicio, que dejará de analizar datos pero no eliminará los hallazgos ni las configuraciones existentes. También puede desactivar el servicio en la configuración general. Esta opción eliminará los datos restantes, incluidos los hallazgos y las configuraciones, antes de ceder los permisos del servicio y restablecer el servicio.

Hallazgos de GuardDuty

P: ¿Qué puede detectar Amazon GuardDuty?

Amazon GuardDuty le da acceso a técnicas de detección integradas que se desarrollaron y optimizaron para la nube. Los algoritmos de detección se conservan y mejoran continuamente con base en AWS Security. Las principales categorías de detección incluyen:

  • Reconocimiento: actividad que sugiere un reconocimiento por parte de un atacante, como una actividad de API inusual, el escaneo de puertos en el interior de una VPC, patrones inusuales de solicitudes de inicio de sesión incorrectas o el sondeo de puertos no bloqueados a partir de una IP incorrecta conocida.
  • Vulnerabilidad de instancias: actividad que indica la vulnerabilidad de una instancia, como la minería de criptomonedas, malware que utiliza algoritmos de generación de dominios (DGA), actividad de salida de denegación de servicios, volúmenes altos inusuales del tráfico de red, protocolos de red inusuales, comunicación de salida de instancias con una IP malintencionada conocida, credenciales temporales de Amazon EC2 utilizadas por una dirección IP externa y exfiltración de datos con DNS.
  • Vulnerabilidad de cuentas: algunos patrones comunes que indican la vulnerabilidad de cuentas incluyen llamadas a la API desde una ubicación geográfica inusual o un proxy anónimo, intentos de desactivar los registros de AWS CloudTrail, lanzamientos inusuales de infraestructuras o de instancias, implementaciones de infraestructura en una región inusual y llamadas a la API desde direcciones IP malintencionadas conocidas.
  • Vulnerabilidad de buckets: actividad que indique la vulnerabilidad de un bucket, como patrones de acceso a datos que muestren un mal uso de credenciales, actividad no usual de la API de S3 desde un host remoto, acceso a S3 no autorizado desde direcciones de IP confirmadas como maliciosas y llamadas a la API para recuperar datos en buckets de S3 de un usuario que no cuenta con un historial previo de acceso al bucket o invocadas desde una ubicación inusual. Amazon GuardDuty monitorea y analiza de manera continua eventos de datos de S3 de AWS CloudTrail (como GetObject, ListObjects y DeleteObject) para detectar actividad sospechosa en todos sus buckets de Amazon S3.

P: ¿Qué es la inteligencia de amenazas de Amazon GuardDuty?

La inteligencia de amenazas de Amazon GuardDuty está conformada por dominios y direcciones IP utilizadas por atacantes. AWS Security y proveedores externos, como Proofpoint y CrowdStrike, proveen la inteligencia de amenazas de GuardDuty. Estas fuentes de inteligencia de amenazas vienen preintegradas y se actualizan continuamente en GuardDuty sin costo adicional.

P: ¿Puedo suministrar mis propios recursos de inteligencia de amenazas?

Sí. Amazon GuardDuty le permite cargar fácilmente sus propios recursos de inteligencia de amenazas o lista de IP seguras. Cuando se usa esta característica, las listas se aplican únicamente a su cuenta y no se comparten con otros clientes.

P: ¿Cómo se entregan los hallazgos de seguridad?

Cuando se detecta una amenaza, Amazon GuardDuty emite un hallazgo de seguridad detallado en la consola de GuardDuty y en Amazon CloudWatch Events. Esto permite procesar las alertas e integrarlas fácilmente en los sistemas de administración de eventos o de flujos de trabajo existentes. Los hallazgos incluyen la categoría, el recurso afectado y los metadatos asociados con el recurso, como un nivel de seguridad.

P: ¿Cuál es el formato de los hallazgos de Amazon GuardDuty?

Los hallazgos de Amazon GuardDuty tienen un formato JSON común que también utilizan los servicios Amazon Macie y Amazon Inspector. Esto facilita que los clientes y los socios utilicen los hallazgos de seguridad de los tres servicios y los incorporen en soluciones de seguridad, flujos de trabajo o administración de eventos más amplias.

P: ¿Durante cuánto tiempo se encuentran disponibles los hallazgos de seguridad en Amazon GuardDuty?

Los hallazgos de seguridad se conservan y permanecen disponibles mediante las API y la consola de Amazon GuardDuty durante 90 días. Una vez transcurrido dicho período, los hallazgos se eliminan. Si desea conservar los hallazgos durante un período de tiempo mayor, puede activar Amazon CloudWatch Events para que publique automáticamente los hallazgos en un bucket de Amazon S3 de su cuenta o en otro almacén de datos para obtener una retención a largo plazo.

P: ¿Amazon GuardDuty me permite implementar acciones preventivas automáticas?

Con Amazon GuardDuty, Amazon CloudWatch Events y AWS Lambda, tiene la flexibilidad de configurar acciones preventivas automatizadas basadas en un hallazgo de seguridad. Por ejemplo, puede crear una función de Lambda que modifique reglas de grupos de seguridad de AWS en función de hallazgos de seguridad. Si recibe un hallazgo de GuardDuty que indica que una IP malintencionada conocida está sondeando una instancia de Amazon EC2, puede resolverlo mediante una regla de CloudWatch Events que active una función de Lambda que modifique automáticamente las reglas del grupo de seguridad y restrinja el acceso a dicho puerto.

P: ¿Cómo se desarrollan y administran las detecciones de Amazon GuardDuty?

Amazon GuardDuty cuenta con un equipo enfocado en el desarrollo, la administración y la iteración de detecciones. Esto genera una cadencia estable de nuevas detecciones en el servicio e iteración continua en detecciones existentes. Existen varios mecanismos de retroalimentación en el servicio, como el pulgar hacia arriba o abajo en cada hallazgo de seguridad encontrado en la interfaz del usuario de GuardDuty. Esto permite a los clientes brindar opiniones que se incorporarán en futuras iteraciones de las detecciones de GuardDuty.

P: ¿Es posible escribir detecciones personalizadas en Amazon GuardDuty?

No. Amazon GuardDuty elimina el trabajo pesado y la complejidad de desarrollar y mantener sus propios conjuntos de reglas personalizadas. Las detecciones nuevas se añaden continuamente en función de las opiniones de los clientes y la investigación realizada por AWS Security y el equipo de GuardDuty. Las personalizaciones configuradas por los clientes incluyen la incorporación de sus propias listas de amenazas y listas de IP seguras.

P: En este momento estoy utilizando Amazon GuardDuty, ¿cómo puedo comenzar a beneficiarme de la protección de GuardDuty para S3?

Para las cuentas actuales, la protección de GuardDuty para S3 se puede habilitar desde la consola o mediante la API. En la consola de GuardDuty, puede dirigirse a la página de protección de S3 y habilitar la protección de GuardDuty para S3 en todas sus cuentas. Al hacerlo, comenzará un periodo de prueba gratuita de 30 días de la protección de GuardDuty para S3.

P: ¿Hay una prueba gratuita de la protección de GuardDuty para S3?

Sí, hay una prueba gratuita de 30 días. Cada cuenta, de cada región, obtiene una prueba gratuita de 30 días de la protección de GuardDuty para S3. Las cuentas que ya hayan habilitado GuardDuty también obtendrán 30 días de prueba gratuita de la protección de GuardDuty para S3.

P: Soy un nuevo usuario de Amazon GuardDuty, ¿está habilitada de forma predeterminada la protección de GuardDuty para S3 en mis cuentas?

Sí. Todas las cuentas nuevas que habiliten GuardDuty desde la consola o la API también tendrán habilitada la protección de GuardDuty para S3 de forma predeterminada. Las cuentas nuevas de GuardDuty que se creen mediante la función “autohabilitar” de AWS Organizations, no tendrán habilitada la protección de GuardDuty para S3 de forma predeterminada a menos que “autohabilitar para S3” esté activado.

P: ¿Puede habilitar únicamente la protección de GuardDuty para S3 sin habilitar el servicio completo de GuardDuty (registros de flujo de la VPC, registros de consulta de DNS y administración de eventos de CloudTrail)?

El servicio de Amazon GuardDuty debe estar habilitado para que la protección de GuardDuty para S3 también esté disponible. Las cuentas actuales de GuardDuty tienen la opción de habilitar la protección de GuardDuty para S3. Las cuentas nuevas obtendrán la protección de GuardDuty para S3 de forma predeterminada una vez que se habilite el servicio de GuardDuty.

P: ¿GuardDuty monitorea todos los buckets de mi cuenta para la protección de S3?

Sí. La protección de GuardDuty para S3 monitorea de forma predeterminada todos los buckets de S3 de su entorno.

P: ¿Es necesario que active el registro de eventos de datos de S3 de AWS CloudTrail para la protección de GuardDuty para S3?

No. GuardDuty cuenta con acceso directo a sus registros de eventos de datos de S3 de AWS CloudTrail, y no es necesario que habilite el registro de eventos de datos de S3 en CloudTrail e incurra en los costos asociados. Tenga en cuenta que GuardDuty no almacena los registros y solos los utiliza para su análisis.
 

Protección de GuardDuty para S3

P: En este momento estoy utilizando Amazon GuardDuty, ¿cómo puedo comenzar a beneficiarme de la protección de GuardDuty para S3?

Para las cuentas actuales, la protección de GuardDuty para S3 se puede habilitar desde la consola o mediante la API. En la consola de GuardDuty, puede dirigirse a la página de protección de S3 y habilitar la protección de GuardDuty para S3 en todas sus cuentas. Al hacerlo, comenzará un periodo de prueba gratuita de 30 días de la protección de GuardDuty para S3.

P: ¿Hay una prueba gratuita de la protección de GuardDuty para S3?

Sí, hay una prueba gratuita de 30 días. Cada cuenta, de cada región, obtiene una prueba gratuita de 30 días de la protección de GuardDuty para S3. Las cuentas que ya hayan habilitado GuardDuty también obtendrán 30 días de prueba gratuita de la protección de GuardDuty para S3.

P: Soy un nuevo usuario de Amazon GuardDuty, ¿está habilitada de forma predeterminada la protección de GuardDuty para S3 en mis cuentas?

Sí. Todas las cuentas nuevas que habiliten GuardDuty desde la consola o la API también tendrán habilitada la protección de GuardDuty para S3 de forma predeterminada. Las cuentas nuevas de GuardDuty que se creen mediante la función “autohabilitar” de AWS Organizations, no tendrán habilitada la protección de GuardDuty para S3 de forma predeterminada a menos que “autohabilitar para S3” esté activado.

P: ¿Puede habilitar únicamente la protección de GuardDuty para S3 sin habilitar el servicio completo de GuardDuty (registros de flujo de la VPC, registros de consulta de DNS y administración de eventos de CloudTrail)?

El servicio de Amazon GuardDuty debe estar habilitado para que la protección de GuardDuty para S3 también esté disponible. Las cuentas actuales de GuardDuty tienen la opción de habilitar la protección de GuardDuty para S3. Las cuentas nuevas obtendrán la protección de GuardDuty para S3 de forma predeterminada una vez que se habilite el servicio de GuardDuty.

P: ¿GuardDuty monitorea todos los buckets de mi cuenta para la protección de S3?

Sí. La protección de GuardDuty para S3 monitorea de forma predeterminada todos los buckets de S3 de su entorno.

P: ¿Es necesario que active el registro de eventos de datos de S3 de AWS CloudTrail para la protección de GuardDuty para S3?

No. GuardDuty cuenta con acceso directo a sus registros de eventos de datos de S3 de AWS CloudTrail, y no es necesario que habilite el registro de eventos de datos de S3 en CloudTrail e incurra en los costos asociados. Tenga en cuenta que GuardDuty no almacena los registros y solos los utiliza para su análisis.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Más información acerca de los precios del producto

Ver ejemplos de precios y detalles de la prueba gratuita

Más información 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Regístrese para obtener una prueba gratuita

Obtenga acceso a la prueba gratuita de Amazon GuardDuty. 

Comenzar prueba gratuita 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comience a crear en la consola

Comience a utilizar el servicio de Amazon GuardDuty en la consola de AWS.

Iniciar sesión