Información general

Amazon GuardDuty es un servicio de detección de amenazas que monitorea continuamente para detectar actividades maliciosas y comportamientos anómalos con el fin de proteger las cuentas de AWS, las cargas de trabajo y los datos almacenados en Amazon Simple Storage Service (Amazon S3). GuardDuty utiliza varias técnicas para identificar indicadores de peligro, como el machine learning (ML), detección de anomalías e inteligencia de amenazas integrada para identificar y priorizar las amenazas potenciales. GuardDuty es capaz de analizar decenas de miles de millones de eventos a través de varios orígenes de datos de AWS, como los registros de eventos de AWS CloudTrail, registros de flujo de Amazon Virtual Private Cloud (VPC) y registros de consultas de DNS. 

Amazon GuardDuty identifica la actividad inusual dentro de sus cuentas, analiza la relevancia para la seguridad de la actividad y proporciona el contexto en el que se invocó. Esto permite a quien responde determinar si es necesario dedicar más tiempo para investigar. A los hallazgos de GuardDuty se les asigna una gravedad, y las acciones se pueden automatizar mediante la integración con AWS Security Hub, Amazon EventBridge, AWS Lambda y AWS Step Functions. Amazon Detective también está integrado con GuardDuty, por lo que la investigación forense y de la causa raíz nunca fue tan fácil.

Detección de amenazas precisa y a nivel de cuentas

Amazon GuardDuty le ofrece una detección de amenazas precisa de las cuentas vulneradas, que puede ser difícil de detectar rápidamente si no se monitorean de forma continua y en tiempo casi real los factores. GuardDuty puede detectar señales de peligro en las cuentas, como el acceso a los recursos de AWS desde una geolocalización inusual a una hora atípica del día. En el caso de las cuentas programáticas de AWS, GuardDuty verifica si hay llamadas inusuales a la interfaz de programa de aplicación (API), como intentos de ocultar la actividad de la cuenta al desactivar el registro de CloudTrail o tomar instantáneas de una base de datos desde una dirección IP maliciosa.

Monitorización continua en cuentas de AWS sin costos ni complejidad adicionales

Amazon GuardDuty monitoriza y analiza continuamente datos de eventos de cargas de trabajo y cuentas de AWS que se encuentran en AWS CloudTrail, registros de flujo de VPC y registros de DNS. No es necesario implementar ni mantener infraestructura ni software de seguridad adicional. Al vincular sus cuentas de AWS, puede agregar la detección de amenazas en lugar de trabajar cuenta por cuenta. Además, no tiene que recopilar, analizar ni correlacionar grandes volúmenes de datos de AWS a partir de varias cuentas. Céntrese en cómo responder rápidamente, cómo mantener su organización protegida y continuar ajustando escalas e innovando en AWS.

Detecciones de amenazas desarrolladas y optimizadas para la nube

Amazon GuardDuty le da acceso a técnicas de detección integradas desarrolladas y optimizadas para la nube. AWS Security mantiene y mejora de forma continua estos algoritmos de detección. Las principales categorías de detección incluyen:

Reconocimiento: actividad que sugiere un reconocimiento por parte de un atacante, como una actividad de API inusual, el escaneo de puertos en el interior de una VPC, patrones inusuales de solicitudes de inicio de sesión incorrectas o el sondeo de puertos no bloqueados a partir de una IP incorrecta conocida.

Vulnerabilidad de instancias: actividad que indica la vulnerabilidad de una instancia, como la minería de criptomonedas, actividad de comando y control (C&C) de puerta trasera, malware que utiliza algoritmos de generación de dominios (DGA), actividad de salida de denegación de servicios, volúmenes altos inusuales del tráfico de red, protocolos de red inusuales, comunicación de salida de instancias con una IP malintencionada conocida, credenciales temporales de Amazon EC2 utilizadas por una dirección IP externa y exfiltración de datos con DNS.

Vulnerabilidad de cuentas: algunos patrones comunes que indican la vulnerabilidad de cuentas incluyen llamadas a la API desde una ubicación geográfica inusual o un proxy anónimo, intentos de desactivar los registros de AWS CloudTrail, cambios que debilitan la política de contraseña de la cuenta, lanzamientos inusuales de infraestructuras o de instancias, implementaciones de infraestructura en una región inusual y llamadas a la API desde direcciones IP malintencionadas conocidas.

Vulnerabilidad de buckets: actividad que indique la vulnerabilidad de un bucket, como patrones de acceso a datos que muestren un mal uso de credenciales, actividad no usual de la API de Amazon S3 desde un host remoto, acceso a S3 no autorizado desde direcciones de IP confirmadas como maliciosas y llamadas a la API para recuperar datos en buckets de S3 de un usuario que no cuenta con un historial previo de acceso al bucket o invocadas desde una ubicación inusual. Amazon GuardDuty monitorea y analiza de manera continua eventos de datos de S3 de AWS CloudTrail (como GetObject, ListObjects y DeleteObject) para detectar actividad sospechosa en todos sus buckets de Amazon S3.

Haga clic aquí para obtener una lista completa de los tipos de hallazgos de GuardDuty.

GuardDuty ofrece estas detecciones avanzadas mediante el machine learning y detección de anomalías para identificar amenazas que antes eran difíciles de encontrar, como patrones inusuales de llamadas a la API o comportamientos maliciosos de usuarios de AWS Identity and Access Management (IAM). Además, GuardDuty cuenta con inteligencia de amenazas integrada, que incluye listas de dominios o direcciones IP malintencionadas de AWS Security y socios de seguridad externos líderes del sector, incluidos Proofpoint y CrowdStrike.

GuardDuty le ofrece una alternativa a la creación soluciones internas, el mantenimiento reglas personalizadas complejas o el desarrollo su propia inteligencia de amenazas de direcciones IP malintencionadas conocidas. GuardDuty se encarga de las tareas tediosas indiferenciadas y de la complejidad innecesaria que implican la monitorización y la protección de las cargas de trabajo y las cuentas de AWS.

Niveles de gravedad de amenazas para lograr una priorización eficiente

Amazon GuardDuty presenta tres niveles de gravedad (bajo, intermedio y alto) para ayudar a los clientes a priorizar su respuesta ante posibles amenazas. Un nivel de gravedad “bajo” indica una actividad sospechosa o malintencionada que se bloqueó antes de poner en peligro al recurso. Un nivel de gravedad “intermedio” indica actividad sospechosa. Por ejemplo, una gran cantidad de tráfico devuelto a un host remoto escondido detrás de la red Tor, o actividad que se desvía del comportamiento que se observa normalmente. Un nivel de gravedad “alto” indica que el recurso en cuestión (por ejemplo, una instancia de Amazon EC2 o un conjunto de credenciales de usuarios de IAM) está en peligro y que se está utilizando activamente para fines no autorizados.

Automatización de la respuesta a las amenazas y solución de amenazas

Amazon GuardDuty ofrece API de HTTPS, herramientas de Command-Line Interface (CLI) y Amazon CloudWatch Events para brindar respuestas de seguridad automáticas ante hallazgos de seguridad. Por ejemplo, puede automatizar el flujo de trabajo de respuesta mediante el uso de CloudWatch Events como fuente de eventos para desencadenar una función de AWS Lambda.

Detección de amenazas de alta disponibilidad

Amazon GuardDuty está diseñado para administrar automáticamente el uso de recursos en función de los niveles de actividad totales de sus cuentas de AWS, cargas de trabajo y datos almacenados en Amazon S3. GuardDuty agrega capacidad de detección únicamente cuando es necesario y reduce el uso cuando la capacidad ya no es necesaria. Ahora tiene una arquitectura rentable que mantiene la capacidad de procesamiento de seguridad que necesita mientras minimiza los gastos. Solo paga por la capacidad de detección que utiliza, cuando la utiliza. GuardDuty le ofrece seguridad a escala, independientemente del tamaño de su empresa.

Implementación con un solo clic sin infraestructura ni software adicional que implementar ni administrar

Con un clic en la consola de administración de AWS o una única llamada a la API, puede habilitar Amazon GuardDuty en una sola cuenta. Con unos pocos clics más en la consola, puede habilitar GuardDuty en varias cuentas. Amazon GuardDuty admite múltiples cuentas a través de la integración de AWS Organizations y de manera nativa dentro de GuardDuty. Una vez habilitado, GuardDuty comienza inmediatamente a analizar flujos continuos de actividad de cuentas y red casi en tiempo real y a escala. No es necesario implementar ni administrar software de seguridad, sensores ni dispositivos de red adicionales. La inteligencia de amenazas se encuentra integrada previamente en el servicio y se actualiza y mantiene continuamente.

Standard Product Icons (Features) Squid Ink
Más información sobre los precios de los productos

Ver ejemplos de precios y detalles de la prueba gratuita

Más información 
Sign up for a free account
Regístrese para obtener una prueba gratuita

Obtenga acceso a la prueba gratuita de Amazon GuardDuty. 

Comenzar prueba gratuita 
Standard Product Icons (Start Building) Squid Ink
Comience a crear en la consola

Comience a utilizar el servicio de Amazon GuardDuty en la consola de AWS.

Iniciar sesión