Información general del servicio

P: ¿Qué es Amazon GuardDuty?

Amazon GuardDuty ofrece detección de amenazas para monitorear y proteger de manera continua las cuentas de AWS, cargas de trabajo y datos almacenados en Amazon Simple Storage Service (Amazon S3). GuardDuty analiza flujos continuos de metadatos que se generan a partir de la actividad de la cuenta y la red registrada en AWS CloudTrail Events, registros de flujo de Amazon Virtual Private Cloud (VPC) y registros de sistema de nombres de dominio (DNS). GuardDuty también usa inteligencia de amenazas integrada, como direcciones IP malintencionadas conocidas, detección de anomalías y machine learning (ML) para identificar amenazas con mayor precisión.

P: ¿Qué beneficios clave ofrece Amazon GuardDuty?

Amazon GuardDuty facilita el monitoreo continuo de las cuentas de AWS, cargas de trabajo y datos almacenados en Amazon S3. GuardDuty funciona de manera totalmente independiente de los recursos, por lo que no hay riesgo de afectar el rendimiento o la disponibilidad de las cargas de trabajo. El servicio está completamente administrado con inteligencia de amenazas integrada, detección de anomalías y ML. Amazon GuardDuty provee alertas detalladas y procesables que son fáciles de integrar con sistemas de flujo de trabajo y administración de eventos existentes. No se aplican costos iniciales y solo paga por los eventos analizados, sin software adicional para implementar ni la necesidad de suscribirse a fuentes de inteligencia de amenazas.

P: ¿Cuánto cuesta Amazon GuardDuty?

Los precios de Amazon GuardDuty se calculan a partir de la cantidad de eventos de AWS CloudTrail analizados y el volumen de datos de registros de DNS y registros de flujo de Amazon VPC analizados. No se cobrará ningún cargo adicional por habilitar estas fuentes de registro para el análisis de GuardDuty.

  • Análisis de eventos de administración de AWS CloudTrail: GuardDuty analiza constantemente los eventos de administración de CloudTrail al monitorear todos los accesos y el comportamiento de la infraestructura y las cuentas de AWS. El análisis de eventos de administración de CloudTrail se cobra cada 1 000 000 de eventos al mes y se prorratea.
  • Análisis de eventos de datos de S3 en AWS CloudTrail: GuardDuty analiza constantemente los eventos de datos de S3 en CloudTrail al monitorear los accesos y la actividad de todos los buckets de Amazon S3. El análisis de eventos de datos de S3 en CloudTrail se cobra cada 1 000 000 de eventos al mes y está prorrateado.
  • Análisis de registros de flujo de VPC y de registros de DNS: GuardDuty analiza constantemente los registros de flujo de VPC y las solicitudes y las respuestas de DNS para identificar comportamientos maliciosos, no autorizados o inesperados en las cargas de trabajo y las cuentas de AWS. El análisis de registros de DNS y de registros de flujo se cobra por Gigabyte (GB) al mes. El análisis de registros de DNS y de registros de flujo se ofrece con descuentos por volumen en capas.

No hay cargos iniciales y solo paga por los datos analizados.

Consulte los precios de Amazon GuardDuty para obtener detalles y ejemplos de precios.

P: ¿El costo estimado en la cuenta de pagador de Amazon GuardDuty muestra los costos agregados totales de las cuentas vinculadas o solo los de esa cuenta de pagador individual?

El costo estimado solo representa el costo de la cuenta de pagador individual. En el caso de la cuenta de administrador, solo verá el costo estimado de la cuenta de administrador.

P: ¿Hay una prueba gratuita?

Sí, una cuenta nueva de Amazon GuardDuty puede probar el servicio durante un periodo de 30 días sin costo. Tiene acceso al conjunto de características completo y a las detecciones durante la prueba gratuita. GuardDuty mostrará el volumen de datos procesados y el cálculo de los cargos diarios promedio del servicio de su cuenta. Esto facilita probar Amazon GuardDuty de manera gratuita y pronosticar el costo del servicio cuando finalice el periodo de la prueba gratuita.

P: ¿Cuáles son las diferencias entre Amazon GuardDuty y Amazon Macie?

Amazon GuardDuty brinda una protección amplia para las cuentas, las cargas de trabajo y los datos de AWS que permite identificar amenazas, como reconocimiento de atacantes, vulnerabilidad de instancias, cuentas y buckets. Amazon Macie le ayuda a descubrir y proteger su información confidencial en Amazon S3 mediante la clasificación de los datos de los que dispone y los controles de acceso y seguridad asociados a esos datos.

P: ¿Amazon GuardDuty es un servicio regional o global?

Amazon GuardDuty es un servicio regional. Inclusive cuando se activan varias cuentas y se utilizan diferentes regiones, los hallazgos relacionados con seguridad de Amazon GuardDuty permanecen en las mismas regiones en las que se generaron los datos subyacentes. De esta manera, garantiza que todos los datos analizados permanezcan en las regiones y no transgredan los límites regionales de AWS. Los clientes pueden optar por añadir hallazgos sobre seguridad producidos por Amazon GuardDuty en diferentes regiones mediante Amazon CloudWatch Events, a través de la publicación de hallazgos en el almacén de datos bajo control del cliente, como Amazon S3, y la posterior incorporación de hallazgos a medida que lo consideren necesario.

P: ¿Qué regiones admite Amazon GuardDuty?

La disponibilidad por regiones de Amazon GuardDuty se describe aquí: Tabla de regiones de AWS

P: ¿Qué socios trabajan con Amazon GuardDuty?

Hay muchos socios tecnológicos que han integrado Amazon GuardDuty y trabajado en él. También hay proveedores de servicios de seguridad administrados, consultores e integradores de sistemas con experiencia en GuardDuty. Ver socios de Amazon GuardDuty.

P: ¿Amazon GuardDuty ayuda a abordar algunos de los requisitos de la norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)?

R: GuardDuty analiza eventos a través de múltiples orígenes de datos de AWS, como eventos de AWS CloudTrail, los registros de flujo de Amazon VPC y los registros de DNS. El servicio también detecta actividad sospechosa basada en fuentes de inteligencia de amenazas recibidas de AWS y otros servicios como CrowdStrike. Foregenix publicó un documento técnico que ofrece una evaluación detallada de la eficacia de Amazon GuardDuty a la hora de cumplir requisitos de conformidad, como el requisito 11.4 de la norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS), que requiere técnicas de detección de intrusos en puntos críticos de la red.

Activación de GuardDuty

P: ¿Cómo habilitar Amazon GuardDuty?

Amazon GuardDuty se puede configurar e implementar con unos pocos clics en la consola de administración de AWS. Una vez que se encuentre habilitado, GuardDuty comienza inmediatamente a analizar flujos continuos de actividad de cuentas y red casi en tiempo real y a escala. No es necesario implementar ni administrar software de seguridad, sensores ni dispositivos de red adicionales. La inteligencia de amenazas se encuentra integrada previamente en el servicio y se actualiza y mantiene de forma continua.

P: ¿Puedo administrar varias cuentas con Amazon GuardDuty?

Sí, Amazon GuardDuty tiene una característica para varias cuentas que permite asociar y administrar múltiples cuentas de AWS a partir de una única cuenta de administrador. Cuando se utiliza, todos los hallazgos de seguridad se incorporan al administrador o a la cuenta de administrador de Amazon GuardDuty para que se revisen y solucionen. Los eventos de Amazon CloudWatch Events también se incorporan a la cuenta de administrador de Amazon GuardDuty cuando se utiliza esta configuración.

P: ¿Qué orígenes de datos analiza Amazon GuardDuty?

Amazon GuardDuty analiza registros de AWS CloudTrail, registros de flujo de VPC y registros de DNS de AWS. El servicio está optimizado para incorporar grandes volúmenes de datos para el procesamiento casi en tiempo real de detecciones de seguridad. GuardDuty le brinda acceso a técnicas de detección integradas que se desarrollaron y optimizaron para la nube, que se mantienen y mejoran continuamente con base en AWS Security.

P: ¿Cuán pronto comienza a funcionar GuardDuty?

Una vez activado, Amazon GuardDuty comienza inmediatamente a analizar actividad malintencionada o sin autorización. El plazo para empezar a recibir hallazgos depende del nivel de actividad de su cuenta. GuardDuty no analiza datos históricos, solo la actividad que inicia después de habilitarlo. Si GuardDuty identifica posibles amenazas, recibirá un hallazgo en la consola de GuardDuty.

P: ¿Tengo que habilitar AWS CloudTrail, los registros de flujo de VPC y los registros de DNS para que Amazon GuardDuty funcione?

No. Amazon GuardDuty obtiene flujos independientes de datos directamente de AWS CloudTrail, los registros de flujo de VPC y los registros de DNS de AWS. No tiene que administrar políticas de bucket de Amazon S3 ni modificar la manera en la que recopila y almacena los registros. Los permisos de GuardDuty se administran como roles vinculados a servicios que pueden desactivarse en cualquier momento mediante la desactivación de GuardDuty. Esto facilita habilitar el servicio sin configuraciones complejas y elimina el riesgo de que una modificación de permisos en AWS Identity and Access Management (IAM) o un cambio en una política de bucket de S3 afecte el funcionamiento del servicio. También permite que GuardDuty sea extremadamente eficiente en la incorporación de grandes volúmenes de datos casi en tiempo real sin afectar el rendimiento ni la disponibilidad de cuentas o cargas de trabajo.

P: ¿La activación de Amazon GuardDuty en la cuenta afecta al rendimiento o la disponibilidad?

Amazon GuardDuty funciona con total independencia de los recursos de AWS y no hay riesgo de afectar cuentas ni cargas de trabajo. Esto facilita que GuardDuty funcione en muchas cuentas de una organización sin afectar las operaciones existentes.

P: ¿Amazon GuardDuty administra o conserva registros?

No. Amazon GuardDuty no administra ni retiene sus registros. Todos los datos que GuardDuty incorpora se analizan casi en tiempo real y se descartan. Esto permite que GuardDuty sea muy eficiente, rentable y logre reducir el riesgo de remanencia de datos. Para entregar y conservar registros, debe usar los servicios de monitoreo y registro de AWS, que ofrecen opciones de retención y entrega completos.

P: ¿Cómo detengo el análisis de registros y orígenes de datos de Amazon GuardDuty?

Puede hacer que Amazon GuardDuty deje de analizar orígenes de datos en cualquier momento en la configuración general si elige suspender el servicio. Esto detendrá inmediatamente el servicio, que dejará de analizar datos, pero no eliminará los hallazgos ni las configuraciones existentes. También puede desactivar el servicio en la configuración general. Esta opción eliminará los datos restantes, incluidos los hallazgos y las configuraciones antes de ceder los permisos del servicio y restablecer el servicio.

Hallazgos de GuardDuty

P: ¿Qué puede detectar Amazon GuardDuty?

Amazon GuardDuty le da acceso a técnicas de detección integradas desarrolladas y optimizadas para la nube. Los algoritmos de detección se conservan y mejoran continuamente con base en AWS Security. Las principales categorías de detección incluyen:

  • Reconocimiento: actividad que sugiere un reconocimiento por parte de un atacante, como una actividad de API inusual, el escaneo de puertos en el interior de una VPC, patrones inusuales de solicitudes de inicio de sesión incorrectas o el sondeo de puertos no bloqueados a partir de una IP incorrecta conocida.
  • Vulnerabilidad de instancias: actividad que indica la vulnerabilidad de una instancia, como la minería de criptomonedas, malware que utiliza algoritmos de generación de dominios (DGA), actividad de salida de denegación de servicios, volúmenes altos inusuales del tráfico de red, protocolos de red inusuales, comunicación de salida de instancias con una IP malintencionada conocida, credenciales temporales de Amazon EC2 utilizadas por una dirección IP externa y exfiltración de datos con DNS.
  • Vulnerabilidad de cuentas: algunos patrones comunes que indican la vulnerabilidad de cuentas incluyen llamadas a la API desde una ubicación geográfica inusual o un proxy anónimo, intentos de desactivar los registros de AWS CloudTrail, lanzamientos inusuales de infraestructuras o de instancias, implementaciones de infraestructura en una región inusual y llamadas a la API desde direcciones IP malintencionadas conocidas.
  • Vulnerabilidad de buckets: actividad que indique la vulnerabilidad de un bucket, como patrones de acceso a datos que muestren un mal uso de credenciales, actividad no usual de la API de S3 desde un host remoto, acceso a S3 no autorizado desde direcciones de IP confirmadas como maliciosas y llamadas a la API para recuperar datos en buckets de S3 de un usuario que no cuenta con un historial previo de acceso al bucket o invocadas desde una ubicación inusual. Amazon GuardDuty monitorea y analiza de manera continua eventos de datos de S3 de AWS CloudTrail (como GetObject, ListObjects y DeleteObject) para detectar actividad sospechosa en todos sus buckets de Amazon S3.

P: ¿Qué es la inteligencia de amenazas de Amazon GuardDuty?

La inteligencia de amenazas de Amazon GuardDuty está conformada por dominios y direcciones IP utilizadas por atacantes. AWS Security y proveedores de terceros, como Proofpoint y CrowdStrike, proveen la inteligencia de amenazas de GuardDuty. Estas fuentes de inteligencia de amenazas vienen preintegradas y se actualizan continuamente en GuardDuty sin costo adicional.

P: ¿Puedo suministrar mis propios recursos de inteligencia de amenazas?

Sí. Amazon GuardDuty le permite cargar fácilmente sus propios recursos de inteligencia de amenazas o lista de IP seguras. Cuando se usa esta característica, las listas se aplican únicamente a su cuenta y no se comparten con otros clientes.

P: ¿Cómo se entregan los hallazgos de seguridad?

Cuando se detecta una amenaza, Amazon GuardDuty emite un hallazgo de seguridad detallado en la consola de GuardDuty y en Amazon CloudWatch Events. Esto permite procesar las alertas e integrarlas fácilmente en los sistemas de administración de eventos o de flujos de trabajo existentes. Los hallazgos incluyen la categoría, el recurso afectado y los metadatos asociados con el recurso, como un nivel de gravedad.

P: ¿Cuál es el formato de los hallazgos de Amazon GuardDuty?

Los hallazgos de Amazon GuardDuty tienen un formato de notación de objeto de JavaScript (JSON) común que también utilizan los servicios Amazon Macie y Amazon Inspector. Esto facilita que los clientes y los socios utilicen los hallazgos de seguridad de los tres servicios y los incorporen en soluciones de seguridad, flujos de trabajo o administración de eventos más amplias.

P: ¿Durante cuánto tiempo se encuentran disponibles los hallazgos de seguridad en Amazon GuardDuty?

Los hallazgos de seguridad se retienen y permanecen disponibles mediante las API y la consola de Amazon GuardDuty durante 90 días. Una vez transcurrido dicho periodo, los hallazgos se eliminan. Si desea retener los hallazgos durante un plazo mayor, puede habilitar Amazon CloudWatch Events para que publique automáticamente los hallazgos en un bucket de Amazon S3 de su cuenta o en otro almacén de datos para obtener una retención a largo plazo.

P: ¿Amazon GuardDuty me permite implementar acciones preventivas automáticas?

Con Amazon GuardDuty, Amazon CloudWatch Events y AWS Lambda, tiene la flexibilidad de configurar acciones preventivas automatizadas basadas en un hallazgo de seguridad. Por ejemplo, puede crear una función de Lambda que modifique reglas de grupos de seguridad de AWS en función de hallazgos de seguridad. Si recibe un hallazgo de GuardDuty que indica que una IP malintencionada conocida está sondeando una instancia de Amazon EC2, puede resolverlo mediante una regla de CloudWatch Events que desencadene una función Lambda que modifique automáticamente las reglas del grupo de seguridad y restrinja el acceso a dicho puerto.

P: ¿Cómo se desarrollan y administran las detecciones de Amazon GuardDuty?

Amazon GuardDuty cuenta con un equipo enfocado en el desarrollo, la administración y la iteración de detecciones. Esto genera una cadencia estable de nuevas detecciones en el servicio, así como iteración continua en detecciones existentes. Existen varios mecanismos de retroalimentación en el servicio, como el pulgar hacia arriba o abajo en cada hallazgo de seguridad encontrado en la interfaz del usuario (UI) de GuardDuty. Esto permite a los clientes brindar opiniones que se incorporarán en futuras iteraciones de las detecciones de GuardDuty.

P: ¿Es posible escribir detecciones personalizadas en Amazon GuardDuty?

No. Amazon GuardDuty elimina el trabajo pesado y la complejidad de desarrollar y mantener sus propios conjuntos de reglas personalizadas. Las detecciones nuevas se agregan de forma continua en función de las opiniones de los clientes, junto con la investigación realizada por AWS Security y el equipo de GuardDuty. Las personalizaciones configuradas por los clientes incluyen la incorporación de sus propias listas de amenazas y listas de IP seguras.

P: En este momento estoy utilizando Amazon GuardDuty, ¿cómo puedo comenzar a beneficiarme de la protección de GuardDuty para S3?

Para las cuentas actuales, la protección de GuardDuty para Amazon S3 se puede habilitar desde la consola o mediante la API. En la consola de GuardDuty, puede dirigirse a la página de protección de S3 y habilitar la protección de GuardDuty para S3 en todas sus cuentas. Al hacerlo, comenzará un periodo de prueba gratuita de 30 días de la protección de GuardDuty para S3.

P: ¿Hay una prueba gratuita de la protección de GuardDuty para S3?

Sí, hay una prueba gratuita de 30 días. Cada cuenta, de cada región, obtiene una prueba gratuita de 30 días de la protección de GuardDuty para S3. Las cuentas que ya hayan habilitado GuardDuty también obtendrán 30 días de prueba gratuita de la protección de GuardDuty para S3.

P: Soy un nuevo usuario de Amazon GuardDuty, ¿está habilitada de forma predeterminada la protección de GuardDuty para S3 en mis cuentas?

Sí. Todas las cuentas nuevas que habiliten GuardDuty desde la consola o la API también tendrán habilitada la protección de GuardDuty para Amazon S3 de forma predeterminada. Las cuentas nuevas de GuardDuty creadas mediante la característica “autohabilitar” de AWS Organizations, no tendrán habilitada la protección de GuardDuty para S3 de forma predeterminada a menos que “autohabilitar para S3” esté activado.

P: ¿Puedo habilitar únicamente la protección de GuardDuty para S3 sin habilitar el servicio completo de GuardDuty (registros de flujo de la VPC, registros de consulta de DNS y administración de eventos de CloudTrail)?

El servicio de Amazon GuardDuty debe estar habilitado para usar la protección de GuardDuty para Amazon S3. Las cuentas actuales de GuardDuty tienen la opción de habilitar la protección de GuardDuty para S3. Las cuentas nuevas obtendrán la protección de GuardDuty para S3 de forma predeterminada una vez que se habilite el servicio de GuardDuty.

P: ¿GuardDuty monitorea todos los buckets de mi cuenta para la protección de S3?

Sí. La protección de GuardDuty para Amazon S3 monitorea de forma predeterminada todos los buckets de S3 de su entorno.

P: ¿Es necesario que active el registro de eventos de datos de S3 de AWS CloudTrail para la protección de GuardDuty para S3?

No. GuardDuty cuenta con acceso directo a sus registros de eventos de datos de S3 de AWS CloudTrail y no es necesario que habilite el registro de eventos de datos de Amazon S3 en CloudTrail e incurra en los costos asociados. Tenga en cuenta que GuardDuty no almacena los registros y solo los utiliza para su análisis.
 

Protección de GuardDuty para S3

P: Estoy usando Amazon GuardDuty. ¿Cómo puedo comenzar con la protección de GuardDuty para Amazon S3?

Para las cuentas actuales, la protección de GuardDuty para Amazon S3 se puede habilitar desde la consola o mediante la API. En la consola de GuardDuty, puede dirigirse a la página de protección de S3 y habilitar la protección de GuardDuty para S3 en todas sus cuentas. Al hacerlo, comenzará un periodo de prueba gratuita de 30 días de la protección de GuardDuty para S3.

P: ¿Hay una prueba gratuita de la protección de GuardDuty para S3?

Sí, hay una prueba gratuita de 30 días. Cada cuenta, de cada región, obtiene una prueba gratuita de 30 días de la protección de GuardDuty para S3. Las cuentas que ya hayan habilitado GuardDuty también obtendrán 30 días de prueba gratuita de la protección de GuardDuty para S3.

P: Soy nuevo usuario de Amazon GuardDuty. ¿Está habilitada de forma predeterminada la protección de GuardDuty para S3 en mis cuentas?

Sí. Todas las cuentas nuevas que habiliten GuardDuty desde la consola o la API también tendrán habilitada la protección de GuardDuty para S3 de forma predeterminada. Las cuentas nuevas de GuardDuty que se creen mediante la función “autohabilitar” de AWS Organizations, no tendrán habilitada la protección de GuardDuty para S3 de forma predeterminada a menos que “autohabilitar para S3” esté activado.

P: ¿Puede habilitar únicamente la protección de GuardDuty para S3 sin habilitar el servicio completo de GuardDuty (registros de flujo de la VPC, registros de consulta de DNS y administración de eventos de CloudTrail)?

El servicio de Amazon GuardDuty debe estar habilitado para que la protección de GuardDuty para S3 también esté disponible. Las cuentas actuales de GuardDuty tienen la opción de habilitar la protección de GuardDuty para S3. Las cuentas nuevas obtendrán la protección de GuardDuty para S3 de forma predeterminada una vez que se habilite el servicio de GuardDuty.

P: ¿GuardDuty monitorea todos los buckets de mi cuenta para la protección de S3?

Sí. La protección de GuardDuty para S3 monitorea de forma predeterminada todos los buckets de S3 de su entorno.

P: ¿Es necesario que active el registro de eventos de datos de S3 de AWS CloudTrail para la protección de GuardDuty para S3?

No. GuardDuty cuenta con acceso directo a sus registros de eventos de datos de S3 de AWS CloudTrail y no es necesario que habilite el registro de eventos de datos de S3 en CloudTrail e incurra en los costos asociados. Tenga en cuenta que GuardDuty no almacena los registros y solo los utiliza para su análisis.

Standard Product Icons (Features) Squid Ink
Más información acerca de los precios del producto

Ver ejemplos de precios y detalles de la prueba gratuita

Más información 
Sign up for a free account
Regístrese para obtener una prueba gratuita

Obtenga acceso a la prueba gratuita de Amazon GuardDuty. 

Comenzar prueba gratuita 
Standard Product Icons (Start Building) Squid Ink
Comience a crear en la consola

Comience a utilizar el servicio de Amazon GuardDuty en la consola de AWS.

Iniciar sesión