Características de Amazon GuardDuty

GuardDuty le ofrece una detección de amenazas precisa de las cuentas vulneradas, que puede ser difícil de detectar rápidamente si no se monitorean los factores de forma continua y en tiempo casi real. GuardDuty puede detectar señales de peligro en las cuentas, como el acceso a los recursos de AWS desde una geolocalización inusual a una hora atípica del día. En el caso de las cuentas de AWS de programación, GuardDuty controla las llamadas a la API inusuales, como los intentos de ocultar actividad en cuentas mediante la desactivación del registro de CloudTrail o la captura de instantáneas de una base de datos a partir de una dirección IP malintencionada.

GuardDuty monitorea y analiza continuamente datos de eventos de cargas de trabajo y cuentas de AWS que se encuentran en CloudTrail, registros de flujo de VPC y registros de DNS. No hay ningún software o infraestructura de seguridad adicional que implementar y mantener para las protecciones fundamentales de GuardDuty. Al vincular sus cuentas de AWS, puede agregar la detección de amenazas en lugar de trabajar cuenta por cuenta. Además, no tiene que recopilar, analizar ni correlacionar grandes volúmenes de datos de AWS a partir de varias cuentas. Céntrese en cómo responder rápidamente, cómo mantener su organización protegida y continuar ajustando escalas e innovando en AWS.

GuardDuty le permite acceder a técnicas de detección integradas que se desarrollaron y optimizaron para la nube. AWS Security mantiene y mejora de forma continua estos algoritmos de detección. Las principales categorías de detección incluyen:

• Reconocimiento: actividad que sugiere reconocimiento por parte de un atacante, como actividad inusual de la API, intentos sospechosos de inicio de sesión en bases de datos, análisis de puertos dentro de la VPC, patrones inusuales de solicitudes de inicio de sesión fallidas o sondeo de puertos desbloqueados desde una IP maliciosa conocida.
• Vulnerabilidad de instancias: actividad que indica la vulnerabilidad de una instancia, como la minería de criptomonedas, la actividad de comando y control (C&C) de puerta trasera, la actividad de tiempo de ejecución para Amazon EC2, el software malintencionado que utiliza algoritmos de generación de dominios (DGA), la actividad de salida de denegación de servicios, los volúmenes altos inusuales del tráfico de red, los protocolos de red inusuales, la comunicación de salida de instancias con una IP malintencionada conocida, las credenciales temporales de Amazon EC2 utilizadas por una dirección IP externa y la filtración de datos con DNS.
• Vulnerabilidad de cuentas: algunos patrones comunes que indican la vulnerabilidad de cuentas incluyen llamadas a la API desde una ubicación geográfica inusual o un proxy anónimo, intentos de desactivar los registros de AWS CloudTrail, cambios que debilitan la política de contraseña de la cuenta, lanzamientos inusuales de instancias o infraestructuras, despliegues de infraestructura en una región inusual, robos de credenciales, actividades de inicio de sesión en bases de datos sospechosas y llamadas a la API desde direcciones IP malintencionadas conocidas.
• Vulnerabilidad de buckets: actividad que indique la vulnerabilidad de un bucket, como patrones de acceso a datos que muestren un mal uso de credenciales, actividad no usual de la API de Amazon S3 desde un host remoto, acceso a S3 no autorizado desde direcciones IP confirmadas como maliciosas y llamadas a la API para recuperar datos en buckets de S3 de un usuario que no cuenta con un historial previo de acceso al bucket o invocadas desde una ubicación inusual. Amazon GuardDuty monitorea y analiza de manera continua eventos de datos de S3 de AWS CloudTrail (como GetObject, ListObjects y DeleteObject) para detectar actividad sospechosa en todos sus buckets de Amazon S3.
• Detección de software malintencionado: GuardDuty comienza un análisis de detección de software malintencionado cuando identifica un comportamiento sospechoso que indica la presencia de software malintencionado en instancias de EC2 o cargas de trabajo de contenedores. GuardDuty genera réplicas temporales de volúmenes de Amazon EBS adjuntos a dichas instancias EC2 o cargas de trabajo de contenedores y escanea las réplicas de volumen en busca de troyanos, gusanos, criptomineros, rootkits, bots y más, que podrían usarse para vulnerar las cargas de trabajo, reutilizar recursos para uso malintencionado y obtener acceso no autorizado a los datos. La protección contra malware de GuardDuty genera resultados contextualizados que pueden validar el origen del comportamiento sospechoso. Estos hallazgos se pueden direccionar a los administradores adecuados e iniciar la reparación automatizada.
• Vulnerabilidad de contenedores: la actividad que identifica posibles comportamientos maliciosos o sospechosos en cargas de trabajo de contenedores se detecta mediante la supervisión y elaboración de perfiles de los clústeres de Amazon EKS de forma continua a través del análisis de los registros de auditoría de EKS y la actividad de tiempo de ejecución de los contenedores en Amazon EKS o Amazon ECS.

Esta es una lista completa de los tipos de resultados de GuardDuty.

GuardDuty presenta tres niveles de gravedad (bajo, intermedio y alto) para ayudar a los clientes a priorizar su respuesta ante posibles amenazas. Un nivel de gravedad bajo indica una actividad sospechosa o malintencionada que se bloqueó antes de poner en peligro al recurso. Un nivel de gravedad intermedio indica actividad sospechosa. Un ejemplo de esto puede ser una gran cantidad de tráfico devuelto a un host remoto escondido detrás de la red Tor o una actividad que se desvía del comportamiento que se observa normalmente. Un nivel de seguridad alto indica que el recurso en cuestión (por ejemplo, una instancia de EC2 o un conjunto de credenciales de usuarios de IAM) está en peligro y que se está utilizando activamente para fines no autorizados.

GuardDuty ofrece API de HTTPS y herramientas de interfaz de la línea de comandos (CLI), así como integración con Amazon EventBridge para respaldar las respuestas de seguridad automatizadas a los resultados de seguridad. Por ejemplo, puede automatizar el flujo de trabajo de respuesta mediante el uso de EventBridge como fuente de eventos para invocar una función de Lambda.

GuardDuty está diseñado para administrar automáticamente el uso de recursos en función de los niveles de actividad totales de sus cuentas, cargas de trabajo y datos de AWS. GuardDuty añade capacidad de detección únicamente cuando es necesario y reduce el uso cuando la capacidad ya no es necesaria. Ahora tiene una arquitectura rentable que mantiene la capacidad de procesamiento de seguridad que necesita mientras minimiza los gastos. Solo paga por la capacidad de detección que utiliza, cuando la utiliza. GuardDuty le ofrece seguridad a escala, independientemente del tamaño de su empresa.

Con una acción en la consola de administración de AWS o una única llamada a la API, puede activar GuardDuty en una sola cuenta. Con unos pocos pasos más en la consola, puede activar GuardDuty en varias cuentas. GuardDuty admite múltiples cuentas a través de la integración de AWS Organizations y de manera nativa dentro de GuardDuty. Una vez activado, GuardDuty comienza inmediatamente a analizar flujos continuos de actividad de cuentas y red casi en tiempo real y a escala. No es necesario implementar ni administrar software de seguridad, sensores ni dispositivos de red adicionales. La inteligencia de amenazas se encuentra integrada previamente en el servicio y se actualiza y mantiene de forma continua.

GuardDuty proporciona una protección integral para las cargas de trabajo de contenedores en su infraestructura informática de AWS, que de otro modo serían difíciles y complejas de lograr. Ya sea que ejecute cargas de trabajo con control de nivel de servidor en Amazon EC2 o cargas de trabajo de aplicaciones modernas sin servidor en Amazon ECS con AWS Fargate, GuardDuty detecta actividades potencialmente maliciosas y sospechosas, le proporciona un contexto de nivel de contenedor con supervisión del tiempo de ejecución y lo ayuda a identificar las brechas de cobertura de seguridad en sus cargas de trabajo de contenedores en todo su entorno de AWS.