amazon guardduty - guía del usuario de amazonguardduty

Amazon GuardDutyAmazon GuardDuty Guía del usuario de

Amazon GuardDuty Amazon GuardDuty Guía del usuario de

Amazon GuardDuty: Amazon GuardDuty Guía del usuario deCopyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Las marcas comerciales y la imagen comercial de Amazon no se pueden utilizar en relación con ningún producto oservicio que no sea de Amazon de ninguna manera que pueda causar confusión entre los clientes y que menosprecieo desacredite a Amazon. Todas las demás marcas comerciales que no son propiedad de Amazon son propiedad desus respectivos propietarios, que pueden o no estar afiliados, conectados o patrocinados por Amazon.


Table of Contents¿Qué es GuardDuty? .......................................................................................................................... 1

Precios de GuardDuty ................................................................................................................. 1Acceso a GuardDuty ................................................................................................................... 1

Introducción ....................................................................................................................................... 2Antes de empezar ...................................................................................................................... 2Paso 1: Habilitar Amazon GuardDuty ............................................................................................. 3Paso 2: Generar resultados de muestra y explorar operaciones básicas .............................................. 4Paso 3: Configurar GuardDuty resultados exportados a un bucket de S3 ............................................. 5Paso 4: Configurar GuardDuty buscar alertas a través de SNS ......................................................... 6Pasos siguientes ........................................................................................................................ 8

Conceptos y terminología .................................................................................................................... 9Orígenes de datos ............................................................................................................................ 11

Registros de eventos de AWS CloudTrail ..................................................................................... 11Cómo GuardDuty HandlesAWS CloudTrailEventos globales .................................................... 11

AWS CloudTraileventos de administración .................................................................................... 12AWS CloudTraileventos de datos para S3 .................................................................................... 12Registros de auditoría de Kubernetes .......................................................................................... 12Logs de flujo de VPC ................................................................................................................ 13Logs de DNS ........................................................................................................................... 13

Protección de Kubernetes .................................................................................................................. 14Comprender cómo GuardDuty utiliza las fuentes de datos de Kubernetes .......................................... 14Configuración de la protección de Kubernetes para una cuenta independiente .................................... 14

Para habilitar o deshabilitar la protección de Kubernetes ......................................................... 15Configuración de la protección de Kubernetes en entornos de cuentas múltiples ................................. 15

Activación automática de la protección de Kubernetes para cuentas de miembros de laorganización ..................................................................................................................... 16Para habilitar o deshabilitar manualmente la protección de Kubernetes en las cuentas demiembro .......................................................................................................................... 16

Desactivación automática de la protección de Kubernetes para nuevas cuentas GuardDuty .................. 17S3 Protection ................................................................................................................................... 18

Comprender cómo GuardDuty utiliza los eventos de datos de S3 ..................................................... 18Configuración de la protección S3 para una cuenta independiente .................................................... 14

Para habilitar o deshabilitar la protección de S3 .................................................................... 15Configuración de la protección de S3 en entornos de cuentas múltiples ............................................. 19

Activación automática de la protección S3 para cuentas de miembros de la organización .............. 20Para habilitar o deshabilitar selectivamente la protección S3 en las cuentas de miembro ............... 20

Desactivación automática de la protección S3 para nuevas cuentas GuardDuty .................................. 21Descripción de resultados .................................................................................................................. 22

Detalles de resultados ............................................................................................................... 22Resumen de resultados ..................................................................................................... 22Recurso ........................................................................................................................... 23Acción ............................................................................................................................. 25Actor o objetivo ................................................................................................................ 26Información adicional ......................................................................................................... 27Evidencia ......................................................................................................................... 27Comportamiento anómalo ................................................................................................... 27

Formato GuardDuty hallazgos de ................................................................................................ 28PROPÓSITOS DE ............................................................................................................ 29

Hallazgos de ejemplo ................................................................................................................ 31Generación de resultados de ejemplo a través de la consola de GuardDuty o ............................. 31Generación automática de los hallazgos comunes de ............................................................. 32

Niveles de gravedad para GuardDuty Resultados de ...................................................................... 33GuardDuty Agregación de resultados ........................................................................................... 34Localización y análisis GuardDutyResultados de ............................................................................ 35

iii


Tipos de búsqueda ........................................................................................................................... 36Tipos de resultados de EC2 ....................................................................................................... 36

Backdoor:EC2/C&CActivity.B .............................................................................................. 37Backdoor:EC2/C&CActivity.B!DNS ....................................................................................... 38Backdoor:EC2/DenialOfService.Dns ..................................................................................... 38Backdoor:EC2/DenialOfService.Tcp ..................................................................................... 39Backdoor:EC2/DenialOfService.Udp ..................................................................................... 39Backdoor:EC2/DenialOfService.UdpOnTcpPorts ..................................................................... 40Backdoor:EC2/DenialOfService.UnusualProtocol .................................................................... 40Backdoor:EC2/Spambot ..................................................................................................... 41Behavior:EC2/NetworkPortUnusual ...................................................................................... 41Behavior:EC2/TrafficVolumeUnusual .................................................................................... 42CryptoCurrency:EC2/BitcoinTool.B ....................................................................................... 42CryptoCurrency:EC2/BitcoinTool.B!DNS ................................................................................ 42Impact:EC2/AbusedDomainRequest.Reputation ..................................................................... 43Impact:EC2/BitcoinDomainRequest.Reputation ...................................................................... 44Impact:EC2/MaliciousDomainRequest.Reputation ................................................................... 44Impact:EC2/PortSweep ...................................................................................................... 45Impact:EC2/SuspiciousDomainRequest.Reputation ................................................................. 45Impact:EC2/WinRMBruteForce ............................................................................................ 45Recon:EC2/PortProbeEMRUnprotectedPort ........................................................................... 46Recon:EC2/PortProbeUnprotectedPort ................................................................................. 46Recon:EC2/Portscan ......................................................................................................... 47Trojan:EC2/BlackholeTraffic ................................................................................................ 48Trojan:EC2/BlackholeTraffic!DNS ......................................................................................... 48Trojan:EC2/DGADomainRequest.B ...................................................................................... 48Trojan:EC2/DGADomainRequest.C!DNS ............................................................................... 49Trojan:EC2/DNSDataExfiltration .......................................................................................... 50Trojan:EC2/DriveBySourceTraffic!DNS ................................................................................. 50Trojan:EC2/DropPoint ........................................................................................................ 50Trojan:EC2/DropPoint!DNS ................................................................................................. 51Trojan:EC2/PhishingDomainRequest!DNS ............................................................................. 51UnauthorizedAccess:EC2/MaliciousIPCaller.Custom ............................................................... 52UnauthorizedAccess:EC2/MetadataDNSRebind ..................................................................... 52UnauthorizedAccess:EC2/RDPBruteForce ............................................................................. 53UnauthorizedAccess:EC2/SSHBruteForce ............................................................................. 53UnauthorizedAccess:EC2/TorClient ...................................................................................... 54UnauthorizedAccess:EC2/TorRelay ...................................................................................... 55

Tipos de resultados de S3 ......................................................................................................... 55Discovery:S3/MaliciousIPCaller ............................................................................................ 56Discovery:S3/MaliciousIPCaller.Custom ................................................................................ 56Discovery:S3/TorIPCaller .................................................................................................... 57Exfiltration:S3/MaliciousIPCaller ........................................................................................... 57Exfiltration:S3/ObjectRead.Unusual ...................................................................................... 57Impact:S3/MaliciousIPCaller ................................................................................................ 58PenTest:S3/KaliLinux ......................................................................................................... 58PenTest:S3/ParrotLinux ...................................................................................................... 59PenTest:S3/PentooLinux .................................................................................................... 59Policy:S3/AccountBlockPublicAccessDisabled ........................................................................ 60Policy:S3/BucketAnonymousAccessGranted .......................................................................... 60Policy:S3/BucketBlockPublicAccessDisabled ......................................................................... 61Policy:S3/BucketPublicAccessGranted .................................................................................. 61Stealth:S3/ServerAccessLoggingDisabled ............................................................................. 62UnauthorizedAccess:S3/MaliciousIPCaller.Custom ................................................................. 62UnauthorizedAccess:S3/TorIPCaller ..................................................................................... 62

Tipos de resultados de IAM de ................................................................................................... 63CredentialAccess:IAMUser/AnomalousBehavior ..................................................................... 64

iv


DefenseEvasion:IAMUser/AnomalousBehavior ....................................................................... 64Discovery:IAMUser/AnomalousBehavior ................................................................................ 65Exfiltration:IAMUser/AnomalousBehavior ............................................................................... 65Impact:IAMUser/AnomalousBehavior .................................................................................... 66InitialAccess:IAMUser/AnomalousBehavior ............................................................................ 66PenTest:IAMUser/KaliLinux ................................................................................................. 67PenTest:IAMUser/ParrotLinux ............................................................................................. 67PenTest:IAMUser/PentooLinux ............................................................................................ 68Persistence:IAMUser/AnomalousBehavior ............................................................................. 68Policy:IAMUser/RootCredentialUsage ................................................................................... 69PrivilegeEscalation:IAMUser/AnomalousBehavior ................................................................... 69Recon:IAMUser/MaliciousIPCaller ........................................................................................ 70Recon:IAMUser/MaliciousIPCaller.Custom ............................................................................. 70Recon:IAMUser/TorIPCaller ................................................................................................ 71Stealth:IAMUser/CloudTrailLoggingDisabled .......................................................................... 71Stealth:IAMUser/PasswordPolicyChange ............................................................................... 71UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B ........................................................... 72UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS .................................... 72UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS .................................. 73UnauthorizedAccess:IAMUser/MaliciousIPCaller ..................................................................... 74UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom ......................................................... 74UnauthorizedAccess:IAMUser/TorIPCaller ............................................................................. 75

Kubernetes de búsqueda de tipos ............................................................................................... 75CredentialAccess:Kubernetes/MaliciousIPCaller ..................................................................... 76CredentialAccess:Kubernetes/MaliciousIPCaller.Custom .......................................................... 77CredentialAccess:Kubernetes/SuccessfulAnonymousAccess .................................................... 77CredentialAccess:Kubernetes/TorIPCaller ............................................................................. 78DefenseEvasion:Kubernetes/MaliciousIPCaller ....................................................................... 78DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom ........................................................... 79DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess ...................................................... 79DefenseEvasion:Kubernetes/TorIPCaller ............................................................................... 80Discovery:Kubernetes/MaliciousIPCaller ................................................................................ 80Discovery:Kubernetes/MaliciousIPCaller.Custom .................................................................... 81Discovery:Kubernetes/SuccessfulAnonymousAccess .............................................................. 81Discovery:Kubernetes/TorIPCaller ........................................................................................ 82Execution:Kubernetes/ExecInKubeSystemPod ....................................................................... 82Impact:Kubernetes/MaliciousIPCaller .................................................................................... 83Impact:Kubernetes/MaliciousIPCaller.Custom ........................................................................ 83Impact:Kubernetes/SuccessfulAnonymousAccess ................................................................... 84Impact:Kubernetes/TorIPCaller ............................................................................................ 84Persistence:Kubernetes/ContainerWithSensitiveMount ............................................................ 85Persistence:Kubernetes/MaliciousIPCaller ............................................................................. 85Persistence:Kubernetes/MaliciousIPCaller.Custom .................................................................. 86Persistence:Kubernetes/SuccessfulAnonymousAccess ............................................................ 86Persistence:Kubernetes/TorIPCaller ..................................................................................... 87Policy:Kubernetes/AdminAccessToDefaultServiceAccount ....................................................... 87Policy:Kubernetes/AnonymousAccessGranted ....................................................................... 88Policy:Kubernetes/ExposedDashboard .................................................................................. 88Policy:Kubernetes/KubeflowDashboardExposed ..................................................................... 89PrivilegeEscalation:Kubernetes/PrivilegedContainer ................................................................ 89

Tipos de resultados retirados ...................................................................................................... 89Impacto: modificación S3/permisos. Inusual .......................................................................... 90Impacto: S3/Objeto eliminado. Inusual .................................................................................. 90Descubrimiento: numeración S3/buckete. .............................................................................. 91Persistence:IAMUser/NetworkPermissions ............................................................................. 91Persistence:IAMUser/ResourcePermissions ........................................................................... 92Persistence:IAMUser/UserPermissions ................................................................................. 92

v


PrivilegeEscalation:IAMUser/AdministrativePermissions ........................................................... 93Recon:IAMUser/NetworkPermissions .................................................................................... 94Recon:IAMUser/ResourcePermissions .................................................................................. 94Recon:IAMUser/UserPermissions ........................................................................................ 95ResourceConsumption:IAMUser/ComputeResources .............................................................. 95Stealth:IAMUser/LoggingConfigurationModified ...................................................................... 96UnauthorizedAccess:IAMUser/ConsoleLogin .......................................................................... 96UnauthorizedAccess:EC2/TorIPCaller ................................................................................... 97Backdoor:EC2/XORDDOS .................................................................................................. 97Behavior:IAMUser/InstanceLaunchUnusual ........................................................................... 97CryptoCurrency:EC2/BitcoinTool.A ....................................................................................... 98UnauthorizedAccess:IAMUser/UnusualASNCaller ................................................................... 98

Hallazgos por tipo de recurso ..................................................................................................... 98Tabla de resultados .................................................................................................................. 98

Gestión de los resultados ................................................................................................................. 105Filtrado de hallazgos ............................................................................................................... 105

Creación de filtros en el GuardDuty consola ........................................................................ 105atributos de filtro ............................................................................................................. 106

Reglas de supresión ................................................................................................................ 108.................................................................................................................................... 108

Casos de uso comunes de reglas y ejemplos de supresión ................................................... 109Para crear reglas de supresión en GuardDuty ..................................................................... 110.................................................................................................................................... 111

Listas de IP de confianza y de amenazas ................................................................................... 112formatos de lista ............................................................................................................. 112Permisos necesarios para cargar listas de IP de confianza y listas de amenazas ....................... 113Uso del cifrado del servidor para listas de IP de confianza y listas de amenazas ........................ 113Para cargar listas de IP de confianza y listas de amenazas ................................................... 114Activar o desactivar listas de IP de confianza y listas de amenazas ......................................... 114Para actualizar listas de IP de confianza y listas de amenazas ............................................... 115

Exportación de hallazgos ......................................................................................................... 116Permisos necesarios para configurar la exportación de resultados .......................................... 116Concesión de GuardDuty permiso para una clave KMS ........................................................ 116Concesión de permisos GuardDuty a un bucket ................................................................... 118Exportación de los resultados a un depósito con la consola ................................................... 120Error de acceso de exportación ......................................................................................... 122Exportación de frecuencia de actualización ......................................................................... 122

Automatización de respuestas conCloudWatchEventos ................................................................. 123CloudWatchFrecuencia de notificación de eventosGuardDuty ................................................. 123CloudWatchformato de evento paraGuardDuty ..................................................................... 124Creación de un valorCloudWatchRegla de eventos para notificarleGuardDutyhallazgos (consola) . 125Creación de un valorCloudWatchRegla de eventos y destino paraGuardDuty(CLI) ..................... 129CloudWatcheventos paraGuardDutyentornos de varias cuentas .............................................. 130

Corrección de resultados .................................................................................................................. 131Solución de una instancia EC2 comprometida ............................................................................. 131Resolución de un bucket de S3 comprometido ............................................................................ 131Resolución comprometidaAWScredenciales ................................................................................. 133Corrección de resultados de Kubernetes .................................................................................... 134

Problemas de configuración .............................................................................................. 134Usuarios filtrados ............................................................................................................ 135Cápsulas filtradas ............................................................................................................ 137Imágenes de contenedor atacadas .................................................................................... 137Nodos filtrados ................................................................................................................ 138

Administración de varias cuentas de .................................................................................................. 139Administración de varias cuentas conAWS Organizations .............................................................. 139Administración de varias cuentas a través de invitaciones ............................................................. 139Relaciones de administrador y cuenta miembro de GuardDuty ....................................................... 140

vi


Administración de cuentas de conAWS Organizations ................................................................... 141Consideraciones importantes para los administradores delegados de GuardDuty ....................... 141Permisos necesarios para designar a un administrador delegado ............................................ 142Designe un GuardDuty administrador delegado ................................................................... 143Consolidación de GuardDuty cuentas de administrador bajo un único administrador delegado deorganización ................................................................................................................... 146Anular el registro de un GuardDuty administrador delegado ................................................... 147

Gestión de cuentas por invitación .............................................................................................. 147Designación de cuentas de administrador y miembro mediante invitación (consola) .................... 148Designación de GuardDuty cuentas de administrador y cuentas miembro a través de invitación(API) ............................................................................................................................. 149Habilitar GuardDuty en varias cuentas simultáneamente ........................................................ 151

Estimación de los costos de ............................................................................................................. 153Comprender cómo se calculan los costos de uso ......................................................................... 153Review (Revisar) GuardDuty estadísticas de uso (consola) ............................................................ 154Review (Revisar) GuardDuty estadísticas de uso (API) ................................................................. 154

Seguridad ...................................................................................................................................... 155Protección de los datos ............................................................................................................ 155

Cifrado en reposo ........................................................................................................... 156Cifrado en tránsito ........................................................................................................... 156

Registro con CloudTrail ............................................................................................................ 156Información de GuardDuty de en CloudTrail ........................................................................ 157Ejemplo: Entradas de archivos de GuardDuty ...................................................................... 157

Identity and Access Management .............................................................................................. 158Público .......................................................................................................................... 159Autenticación con identidades ........................................................................................... 159Administración de acceso mediante políticas ....................................................................... 161Cómo AWS GuardDuty funciona con IAM ........................................................................... 163Ejemplos de políticas basadas en identidad ........................................................................ 168Solución de problemas ..................................................................................................... 174

Uso de roles vinculados a servicios ........................................................................................... 176Permisos de roles vinculados a servicios para GuardDuty ..................................................... 177Creación de un rol vinculado a un servicio para GuardDuty ................................................... 178Modificación de un rol vinculado al servicio para GuardDuty .................................................. 179Eliminación de un rol vinculado a un servicio para GuardDuty ................................................ 179

Políticas administradas por AWS ............................................................................................... 180.................................................................................................................................... 180

AmazonGuardDutyFullAccess ............................................................................................ 180AmazonGuardDutyReadOnlyAccess ................................................................................... 180AWSServiceRoleForAmazonGuardDuty .............................................................................. 180Actualizaciones de políticas .............................................................................................. 182

Validación de conformidad ........................................................................................................ 183Resiliencia .............................................................................................................................. 183Seguridad de infraestructuras .................................................................................................... 183

Integraciones de GuardDuty ............................................................................................................. 185Integración de GuardDuty conAWS Security Hub ......................................................................... 185Integración de GuardDuty con Amazon Detective ......................................................................... 185Integración de Security Hub ...................................................................................................... 185

Cómo Amazon GuardDuty envía los hallazgos aAWS Security Hub ......................................... 186Visualización de GuardDuty hallazgos enAWS Security Hub .................................................. 187Habilitación y configuración de la integración ....................................................................... 192Detener la publicación de hallazgos en Security Hub ............................................................ 192

Integración Detective ............................................................................................................... 193Habilitación de la integración ............................................................................................ 193Pivotando a Amazon Detective desde un GuardDuty descubrimiento ....................................... 193Uso de la integración con un GuardDuty entorno de varias cuentas ........................................ 194

Suspender o detener ....................................................................................................................... 195

vii


Anuncios de GuardDuty ................................................................................................................... 196Formato de los mensajes de Amazon SNS ................................................................................. 198

Cuotas ........................................................................................................................................... 201Regiones y puntos de enlace ............................................................................................................ 203Historial de documentos ................................................................................................................... 204

Actualizaciones anteriores ........................................................................................................ 211.................................................................................................................................................... ccxii

viii

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePrecios de GuardDuty

¿Qué es Amazon GuardDuty?Amazon GuardDuty es un servicio de monitorización de seguridad continua que analiza y procesa losiguienteorígenes de datos (p. 11):AWS CloudTrailregistros de eventos de administración,AWSCloudTraileventos de datos para S3, registros DNS, registros de auditoría de EKS y registros deflujo de VPC. Utiliza fuentes de información de amenazas, como listas de direcciones IP y dominiosmaliciosos, y aprendizaje automático para identificar la actividad inesperada y potencialmente nopermitida, así como la actividad malintencionada en suAWSentorno de. Esto puede incluir problemas comoescalado de privilegios, uso de credenciales expuestas o la comunicación con direcciones IP o dominiosmalintencionados. Por ejemplo, GuardDuty puede detectar instancias EC2 atacadas que sirven malware oextraen bitcoins. También monitorizaAWScomportamiento de acceso a la cuenta para detectar señales deataque; busca por ejemplo implementaciones de infraestructura no autorizadas, como la implementaciónde instancias en una región que no se ha usado nunca, o llamadas API inusuales, como el cambio de lapolítica de contraseñas para reducir la compatibilidad de las contraseñas.

GuardDuty le informa del estado de suAWSentorno mediante la producción de seguridadResultadosde (p. 22)que puedes ver en el GuardDuty consola o a travésAmazon CloudWatch Eventosde (p. 123).

Precios de GuardDutyPara obtener información sobre GuardDuty precios, consulteAmazon GuardDuty Precios.

Acceso a GuardDutyPuedes trabajar con GuardDuty de cualquiera de las siguientes formas:

Consola GuardDuty

https://console.aws.amazon.com/guardduty

La consola es una interfaz basada en navegador para acceder a GuardDuty.SDK de AWS

AWS ofrece kits de desarrollo de software (SDK) que se componen de bibliotecas y código de muestrapara diversos lenguajes de programación y plataformas (Java, Python, Ruby, .NET, iOS, Android,etc.). Los SDK proporcionan una forma cómoda de crear acceso mediante programación a GuardDuty.Para obtener información sobre los SDK de AWS (por ejemplo, cómo descargarlos e instalarlos),consulte Herramientas para Amazon Web Services.

API HTTPS de GuardDuty

Puede acceder a GuardDuty yAWSmediante programación mediante la GuardDuty API HTTPS, quele permite emitir solicitudes HTTPS directamente al servicio. Para obtener más información, consultelaReferencia de la API de Guard.

1

http://aws.amazon.com/guardduty/pricing/

https://console.aws.amazon.com/guardduty

http://aws.amazon.com/tools/

https://docs.aws.amazon.com/guardduty/latest/APIReference/

Amazon GuardDuty Amazon GuardDuty Guía del usuario deAntes de empezar

Introducción al GuardDutyEn este tutorial, encontrará una introducción práctica a GuardDuty. Los requisitos mínimos para habilitarGuardDuty como cuenta independiente o como GuardDuty administrador conAWS Organizationsse tratanen el paso 1. Los pasos 2 a 5 cubren utilizando funciones adicionales recomendadas por GuardDuty parasacar el máximo provecho de sus resultados.

Temas• Antes de empezar (p. 2)• Paso 1: Habilitar Amazon GuardDuty (p. 3)• Paso 2: Generar resultados de muestra y explorar operaciones básicas (p. 4)• Paso 3: Configurar GuardDuty resultados exportados a un bucket de S3 (p. 5)• Paso 4: Configurar GuardDuty buscar alertas a través de SNS (p. 6)• Pasos siguientes (p. 8)

Antes de empezarGuardDuty es un servicio de monitoreo que analizaAWS CloudTraileventos de administración,AWSCloudTraileventos de datos para S3, registros de flujo de VPC, registros DNS y registros de auditoría deEKS para generar resultados de seguridad para su cuenta. Una vez GuardDuty está habilitado, comienza asupervisar su entorno inmediatamente. GuardDuty puede deshabilitar en cualquier momento para que dejede procesar todosAWS CloudTraileventos, registros de flujo de VPC, registros DNS y registros de auditoríade EKS.

Note

No es necesario habilitarAWS CloudTraileventos de administración,AWS CloudTraileventos dedatos para S3, registros de flujo de VPC, registros DNS y registros de auditoría EKS antes dehabilitar el GuardDuty servicioservicio Amazon GuardDuty extrae flujos de datos independientesdirectamente de esos servicios. Para obtener más información, consulte Cómo AmazonGuardDuty utiliza sus orígenes de datos (p. 11).

Tenga en cuenta lo siguiente sobre la habilitación de GuardDuty:

• GuardDuty es un servicio regional, lo que significa que cualquiera de los procedimientos deconfiguración que sigue en esta página debe repetirse en cada región que desee supervisar conGuardDuty.

Le recomendamos encarecidamente habilitar GuardDuty en todos los compatiblesAWSRegiones.Esto permite GuardDuty para generar resultados sobre la actividad no autorizada o inusual inclusoen las regiones que no usa de forma activa. Esto también permite GuardDuty monitorearAWSCloudTraileventos de globalAWSservicios como IAM. Si GuardDuty no está habilitado en todas lasregiones admitidas; se reduce su capacidad de detectar la actividad de los servicios globales. Paraobtener una lista completa de las regiones en las que GuardDuty se admite véaseRegiones y puntos deenlace (p. 203).

• Cualquier usuario con privilegios de administrador en unAWSLa cuenta puede habilitar GuardDuty; sinembargo, para respetar la práctica de seguridad recomendada de asignar los privilegios mínimos, serecomienda crear un usuario, rol o grupo de IAM para administrar GuardDutyEn concreto. Para obtenerinformación sobre los permisos que se necesitan para habilitar GuardDuty consultePermisos requeridospara habilitar GuardDuty (p. 169).

• Cuando habilitas GuardDuty por primera vez en cualquier región, crea un rol vinculado a serviciospara su cuenta llamadaAWSServiceRoleForAmazonGuardDuty. Este rol incluye los permisos y

2

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePaso 1: Habilitar Amazon GuardDuty

las políticas de confianza que permiten GuardDuty para consumir y analizar eventos directamentedesdeAWS CloudTrail, registros de flujo de VPC y registros DNS para generar resultados deseguridad. Para obtener más información, consulte Permisos de roles vinculados a servicios paraGuardDuty (p. 177). Para obtener más información acerca de los roles vinculados a servicios,consulteUso de roles vinculados a servicios.

• Cuando habilitas GuardDuty por primera vez en cualquier región suAWSla cuenta se inscribiráautomáticamente en un plazo de 30 días GuardDuty prueba gratuita para esa región.

Paso 1: Habilitar Amazon GuardDutyEl primer paso para utilizar GuardDuty es habilitarlo en su cuenta de. Una vez habilitada, GuardDutycomenzará inmediatamente a supervisar las amenazas a la seguridad en la región actual.

Si quieres administrar GuardDuty resultados de otras cuentas dentro de su organización como GuardDutyadministrador, debe agregar cuentas de miembro y habilitar GuardDuty para ellos también. Elija una opciónpara obtener información sobre cómo habilitar GuardDuty para su entorno.

Standalone account environment

1. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/2. Elija Get Started.3. Elija Enable (Habilitar) GuardDuty.

Multi-account environmentImportant

Como requisitos previos para este proceso, debe estar en la misma organización quetodas las cuentas que desea administrar y tener acceso alAWS Organizationscuenta deadministración para delegar un administrador para GuardDuty dentro de su organización.Es posible que se requieran permisos adicionales para delegar un administrador; paraobtener más información, consultePermisos necesarios para designar a un administradordelegado (p. 142).

Para delegar un administrador para GuardDuty

1. Inicie sesión en elAWS Organizationscuenta de administración2. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.

Es GuardDuty ya habilitado en su cuenta?

• Si GuardDuty aún no está habilitado, puede seleccionarIntroduccióny, a continuación, designarun GuardDuty administrador delegado en laLe damos la bienvenida a GuardDuty(Se ha creadoel certificado).

• Si GuardDuty está habilitado, puede designar un GuardDuty administrador delegado enelConfiguración(Se ha creado el certificado).

3. Introduzca los doce dígitosAWSID de cuenta de la cuenta que desea designar como GuardDutyadministrador delegado de para la organización y elegirDelegado.

Note

Si GuardDuty aún no está habilitado; cuando se designe un administrador delegado, sehabilitará GuardDuty para esa cuenta de en la región actual.

Para añadir cuentas de miembros

3

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html

https://console.aws.amazon.com/guardduty/


Amazon GuardDuty Amazon GuardDuty Guía del usuario dePaso 2: Generar resultados de muestra

y explorar operaciones básicas

Este procedimiento abarca la adición de cuentas de miembros a un GuardDuty cuenta deadministrador delegado a través deAWS Organizations. También existe la opción de añadir miembrospor invitación. Para obtener más información acerca de ambos métodos para asociar miembros enGuardDuty consulteAdministración de varias cuentas en Amazon GuardDuty (p. 139).

1. Inicie sesión en la cuenta de administrador delegado2. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.3. En el panel de navegación, elija Settings (Configuración) y Accounts (Cuentas).

En la tabla de cuentas aparecen todas las cuentas de la organización.4. Elija las cuentas que desea agregar como miembros seleccionando la casilla situada junto al ID

de cuenta. A continuación, desde laAcciónselección de menúAñadir miembro.

Tip

Puede automatizar la adición de cuentas nuevas como miembros activando laHabilitarautomáticamente, sin embargo, esto solo se aplica a las cuentas que se unen a suorganización una vez habilitada la función.

Paso 2: Generar resultados de muestra y exploraroperaciones básicas

Cuando GuardDuty descubre un problema de seguridad que genera un hallazgo. UNA GuardDuty findes un conjunto de datos que contiene detalles relacionados con ese problema de seguridad único. Losdetalles del hallazgo se pueden utilizar para ayudarle a investigar el problema.

GuardDuty permite generar resultados de muestra con valores de marcador de posición, que se puedenutilizar para probar GuardDuty funcionalidad y familiarizarse con los hallazgos antes de tener queresponder a un problema de seguridad real descubierto por GuardDuty. Siga la siguiente guía para generarresultados de muestra para cada tipo de hallazgo disponible en GuardDuty, para obtener más formas degenerar resultados de muestra, incluida la generación de un evento de seguridad simulado dentro de sucuenta, consulteHallazgos de ejemplo (p. 31).

Para crear y explorar los hallazgos de muestra

1. En el panel de navegación, seleccione Settings (Configuración).2. En la página Settings, en Sample findings, elija Generate sample findings.3. En el panel de navegación, seleccione Findings (Hallazgos). Los resultados de muestra aparecen en

laConclusiones actualespágina con el prefijo[MUESTRA].4. Seleccione una búsqueda de la lista para mostrar los detalles de la búsqueda.

• Puede revisar los distintos campos de información disponibles en el panel de detalles debúsqueda. Los distintos tipos de hallazgos pueden tener campos diferentes. Para obtener másinformación acerca de los campos disponibles en todos los tipos de búsqueda, consulteDetallesde resultados (p. 22). Desde el panel de detalles puede realizar las siguientes acciones:

• Seleccione laID del resultadoen la parte superior del panel para abrir los detalles JSONcompletos de la búsqueda. El archivo JSON completo también se puede descargar desde estepanel. El JSON contiene información adicional no incluida en la vista de consola y es el formatoque pueden ingerir otras herramientas y servicios.

• Ver elRecurso afectadosección. En un hallazgo real, la información aquí te ayudará a identificarun recurso en tu cuenta que debe investigarse e incluirá enlaces a laAWSconsola para recursosprocesables.

4


Amazon GuardDuty Amazon GuardDuty Guía del usuario dePaso 3: Configurar GuardDuty

resultados exportados a un bucket de S3

• Selecciona los iconos de cristal + o - para crear un filtro inclusivo o exclusivo para esedetalle. Para obtener más información acerca de cómo encontrar filtros, consulteFiltrado dehallazgos (p. 105)

5. Archive todos los resultados de la muestra

a. Seleccione todos los resultados seleccionando la casilla de verificación situada en la partesuperior de la lista.

b. Anule la selección de los hallazgos que desee conservar.c. Seleccione laActionsmenú y, a continuación, seleccioneArchivarpara ocultar los hallazgos de la

muestra.Note

Para ver los resultados archivados, seleccioneActualy luegoArchivedpara cambiar lavista de hallazgos.

Paso 3: Configurar GuardDuty resultadosexportados a un bucket de S3

GuardDuty recomienda configurar la exportación de hallazgos, lo que le permite exportar los hallazgos aun bucket de S3 para un almacenamiento indefinido más allá del GuardDuty Límite de almacenamientode 90 días. Esto le permite llevar un registro de los hallazgos o realizar un seguimiento de los problemasdentro de su entorno a lo largo del tiempo. El proceso descrito aquí le guía a través de la configuración deun nuevo bucket de S3 y la creación de una nueva clave KMS para cifrar los hallazgos desde la consola.Para obtener más información al respecto, incluido cómo utilizar su propio depósito existente o un bucketen otra cuenta, consulteExportación de hallazgos (p. 116).

Para configurar la exportación de S3

1. Para cifrar los hallazgos, necesitará una clave KMS con una política que permita GuardDuty parautilizar esa clave para el cifrado. Puede adjuntar la política descrita en la siguiente sección a una claveexistente o crear una nueva clave KMS desde la consola.

Important

La clave debe estar en la mismaRegión de AWScomo su bucket de S3.

Para crear una nueva clave, siga las instrucciones que aparecen a continuación. Si utilizas una claveexistente de la misma región, ve a la instrucción en la que adjuntas la política a tu clave KMS.

a. Inicie sesión en elhttps://console.aws.amazon.com/kmsconsola de .b. En el panel de navegación, elija Claves administradas por el cliente.c. Elija Create key.d. ElegirSimétricaUNDERKey typey luego elijaPróximo.

Note

Para obtener más información acerca de las claves KMS, consulteCrear claves.e. Proporcione unAliaspara tu llave y, a continuación, eligePróximo.f. ElegirPróximoy, a continuación, elija de nuevoPróximopara aceptar los permisos de

administración y uso predeterminados.g. ElegirAcabadopara crear la clave.h. Seleccione el alias clave.i. En el navegadorPolítica de clavespestaña, elijaCambiar a la vista de políticas.

5

https://console.aws.amazon.com/kms

https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html


buscar alertas a través de SNS

j. Añada la instrucción siguiente al"Statements":sección.

ReemplazarRegióncon la región en la que se creó la clave KMS.Reemplazar111122223333conAWSnúmero de cuenta de la cuenta propietaria del bucket.ReemplazarKMSKeyIdcon el ID de clave de la clave que haya elegido para el cifrado ysustituyaSourceDetectorIDcon la cuenta de origen GuardDuty ID del detector para la regiónactual.

Esta declaración permite GuardDuty para utilizar solo la clave con la política actualizada. Al editarla política de claves, asegúrese de que la sintaxis JSON sea válida. Si agrega una instrucciónantes de la instrucción final, debe agregar una coma después del corchete de cierre.

{ "Sid": "AllowGuardDutyKey", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "arn:aws:kms:Region:111122223333:key/KMSKeyId", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": "arn:aws:guardduty:Region:111122223333:detector/SourceDetectorID" } }

2. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola de .3. En el panel de navegación, seleccione Settings (Configuración).4. UNDERResultados de las opciones de exportación, eligeConfigurar ahora.5. ElegirCubo nuevo. Facilite un nombre único para su bucket.6. (Opcional) puede probar la nueva configuración de exportación generando resultados de muestra. En

el panel de navegación, seleccione Settings (Configuración).7. En elHallazgos de ejemplosección, elijaGenerar resultados de ejemplo. Los nuevos resultados de

muestra aparecerán en cinco minutos como entradas en el bucket de S3 creado por GuardDuty.

Paso 4: Configurar GuardDuty buscar alertas através de SNS

GuardDuty se integra con Amazon EventBridge que se puede utilizar para enviar datos de resultados aotras aplicaciones y servicios para su procesamiento. con EventBridge puede utilizar GuardDuty hallazgospara desencadenar respuestas automáticas a sus hallazgos mediante la conexión de eventos de búsquedacon objetivos comoAWS Lambdafunciones, automatización de Amazon EC2 Systems Manager, AmazonSimple Notification Service (SNS) y más.

En este ejemplo, creará un tema de SNS para que sea el objetivo de un EventBridge regla, luego usarásEventBridge para crear una regla que capture datos de hallazgos de GuardDuty. La regla resultantereenvía los detalles de búsqueda a una dirección de correo electrónico. Para obtener información sobrecómo puedes enviar los hallazgos a Slack o Chime, así como modificar los tipos de alertas de hallazgosque se envían, consultaConfiguración de un tema y un punto de enlace de Amazon SNS (p. 125).

Para crear un tema de SNS para las alertas de resultados

1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

6


https://console.aws.amazon.com/sns/v3/home


buscar alertas a través de SNS

2. En el panel de navegación, elija Topics (Temas).3. Elija Create Topic (Crear tema).4. ParaTipo, seleccioneestándar.5. En Name (Nombre), ingrese GuardDuty.6. Elija Create Topic (Crear tema). Se abrirán los detalles del nuevo tema.7. En la sección Subscriptions (Suscripciones), elija Create subscription (Crear suscripción).8. En Protocol (Protocolo), elija Email (Correo electrónico).9. ParaPunto de enlace, introduzca la dirección de correo electrónico a la que desea enviar

notificaciones.10. Elija Create subscription (Crear suscripción).

Después de crear la suscripción, debe confirmar la suscripción por correo electrónico.11. Para comprobar si hay un mensaje de suscripción, ve a tu bandeja de entrada de correo electrónico y,

en el mensaje de suscripción, eligeConfirme la suscripción.

Note

Para comprobar el estado de la confirmación del correo electrónico, vaya a la consola deSNS y elijaSuscripciones.

Para crear un EventBridge Regla para capturar GuardDuty hallazgos y formatearlos

1. Abra el icono EventBridge Consola de enhttps://console.aws.amazon.com/events/.2. En el panel de navegación, seleccione Rules.3. Elija Create rule.4. Escriba un nombre y una descripción de la regla.

Una regla no puede tener el mismo nombre que otra regla de la misma región y del mismo bus deeventos.

5. En Event bus (Bus de eventos), elija Default (Predeterminado).6. En Rule type (Tipo de regla), elija Rule with an event pattern (Regla con un patrón de evento).7. Elija Next (Siguiente).8. ParaOrigen del evento, eligeAWSEventos de.9. ParaPatrón de eventos, eligeFormulario de patrón de eventos.10. ParaOrigen del evento, eligeAWSServicios de.11. ParaAWSServicio de, eligeGuardDuty.12. ParaTipo de evento, eligeGuardDutyDescubrimiento.13. Elija Next (Siguiente).14. ParaTipos de destino, eligeAWSServicio de.15. ParaSeleccionar un destino, eligeTema de SNS, y paraTema, seleccione el nombre del tema de SNS

que creó anteriormente.16. En el navegadorConfiguración adicionalsección, paraConfiguración de la entrada de destino,

eligeTransformador de entrada.

Agregar un transformador de entrada da formato a los datos de búsqueda JSON enviados desdeGuardDuty en un mensaje de lectura humana.

17. ElegirConfiguración del transformador de entrada.18. En el navegadorTransformador de entrada de destinosección, paraRuta de entrada, pegue el siguiente

código:

7

https://console.aws.amazon.com/events/

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePasos siguientes

{ "severity": "$.detail.severity", "Finding_ID": "$.detail.id", "Finding_Type": "$.detail.type", "region": "$.region", "Finding_description": "$.detail.description"}

19. Para dar formato al correo electrónico, paraTemplate (Plantilla), pegue el siguiente código:

"You have a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region.""Finding Description:""<Finding_description>. ""For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id%3D<Finding_ID>"

20. Elija Confirm.21. Elija Next (Siguiente).22. (Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información,

consulteAmazon EventBridge etiquetasen laAmazon EventBridge Guía del usuario de.23. Elija Next (Siguiente).24. Revise los detalles de la regla y elija Create rule (Crear regla).25. (Opcional) Pruebe su nueva regla generando resultados de muestra con el proceso del paso 2.

Recibirá un correo electrónico por cada ejemplo de hallazgo generado.

Pasos siguientesA medida que continúas usando GuardDuty, comprenderá los tipos de hallazgos que son relevantespara su entorno. Siempre que reciba un nuevo hallazgo, puede encontrar información, incluidasrecomendaciones de corrección sobre ese hallazgo, seleccionandoMás informacióndesde la descripciónde la búsqueda en el panel de detalles de la búsqueda o buscando el nombre de la búsqueda en elTiposde búsqueda (p. 36)(Se ha creado el certificado).

Las siguientes funciones te ayudarán a sintonizar GuardDuty para que pueda proporcionar los hallazgosmás relevantes para suAWSentorno:

• Para ordenar fácilmente los resultados según criterios específicos, como ID de instancia, ID decuenta, nombre de bucket de S3 y más, puede crear y guardar filtros en GuardDuty. Para obtener másinformación, consulteFiltrado de hallazgos (p. 105).

• Si recibe hallazgos del comportamiento esperado en su entorno, puede archivar automáticamente loshallazgos según los criterios que defina conreglas de supresión (p. 108).

• Para evitar que se generen hallazgos a partir de un subconjunto de IP de confianza o tener GuardDutymonitorizar IP fuera de su alcance de monitoreo normal que puede configurarListas de IP de confianza yde amenazas (p. 112).

8

https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-tagging.html


Conceptos y terminologíaPuede ir aprendiendo los conceptos clave de Amazon GuardDuty a medida que lo usa.

Cuenta

Cuenta estándar de Amazon Web Services (AWS) que contiene los recursos de AWS. Puede iniciarsesión enAWScon tu cuenta y habilita GuardDuty.

También puede invitar a otras cuentas a habilitar GuardDuty y asociarse con suAWScuenta enGuardDuty. Si aceptan la invitación, su cuenta se considera laadministradorCuenta GuardDuty y lascuentas añadidas se convierten en tumiembrocuentas. A continuación, podrá ver y administrar losresultados de GuardDuty de esas cuentas en su nombre.

Los usuarios de la cuenta de administrador pueden configurar GuardDuty y pueden ver y administrarlos resultados de GuardDuty de sus propias cuentas y de todas las cuentas de miembros. Puede tenerhasta 5000 cuentas de miembros en GuardDuty.

Los usuarios de las cuentas de miembros pueden configurar GuardDuty y pueden ver y administrar losresultados de GuardDuty de su cuenta (ya sea a través de la consola de administración de GuardDutyo la API de GuardDuty). Los usuarios de cuentas de miembros no pueden ver ni administrar losresultados de las cuentas de otros miembros.

UnAWSno puede ser una cuenta de administrador de GuardDuty y una cuenta miembro al mismotiempo. Las cuentas de AWS solo pueden aceptar una invitación de suscripción. La aceptación de unainvitación de suscripción es opcional.

Para obtener más información, consulte Administración de varias cuentas en AmazonGuardDuty (p. 139).

Detector

Todos los resultados de GuardDuty están asociados con un detector, que es un objeto que representael servicio GuardDuty. El detector es una entidad regional y se requiere un detector único en cadaregión en la que opera GuardDuty. Cuando se habilita GuardDuty en una región, se genera un nuevodetector con un ID de detector alfanumérico único de 32 en esa región. El formato ID del detector separece a esto:

12abc34d567e8fa901bc2d34e56789f0

Puede encontrar el ID del detector para su región actual en la consola desde el panel Configuración omediante programación mediante la API ListDetectors.

Note

En entornos de cuentas múltiples todos los resultados de las cuentas de miembros seacumulan en el detector de la cuenta de administrador.

Algunas funciones de GuardDuty se configuran a través del detector, como la configuración de lafrecuencia de notificación de CloudWatch Events y la habilitación o desactivación de fuentes de datosopcionales para que GuardDuty las procese.

Origen de datos

El origen o la ubicación de un conjunto de datos. Para detectar actividades no autorizadas einesperadas en suAWSentorno, GuardDuty analiza y procesa datos deAWS CloudTraillos registros de

9

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_ListDetectors


eventos, los registros de flujo de VPC y los registros de DNS. Para obtener más información, consulteCómo Amazon GuardDuty utiliza sus orígenes de datos (p. 11).

Resultado

Un problema potencial de seguridad descubierto por GuardDuty. Para obtener más información,consulte Descripción de Amazon GuardDuty Resultados de (p. 22).

Los resultados se muestran en la consola de GuardDuty y contienen una descripción detallada delproblema de seguridad. También puede recuperar los hallazgos generados al llamar a las operacionesde la API GetFindings y ListFindings.

También puede ver los resultados de GuardDuty a través de los eventos de Amazon CloudWatch.GuardDuty envía los resultados a Amazon CloudWatch a través del protocolo HTTPS. Para obtenermás información, consulte Creación de respuestas personalizadas aGuardDutyhallazgos conAmazonCloudWatchEventos (p. 123).

Regla de supresión

Las reglas de supresión permiten crear combinaciones de atributos muy específicas para suprimirlos resultados. Por ejemplo, puede definir una regla a través del filtro GuardDuty para archivarautomáticamente.Recon:EC2/Portscansolo de aquellas instancias que estén en una VPCdeterminada, ejecutando una AMI específica o con una etiqueta de EC2 concreta. Esta regla daríalugar a que los resultados del escaneo de puertos se archivaran automáticamente desde las instanciasque cumplan los criterios. Sin embargo, sigue permitiendo la generación de alertas si GuardDutydetecta que esas instancias están realizando otras actividades malintencionadas, como, por ejemplo,la minería de criptomonedas.

Las reglas de supresión definidas en la cuenta de administrador de GuardDuty se aplican a lascuentas miembro de GuardDuty. Las cuentas miembro de GuardDuty no pueden modificar las reglasde supresión.

Con las reglas de supresión, GuardDuty sigue generando todos los resultados. Las reglas desupresión facilitan la eliminación de resultados, mientras mantienen un historial completo e inmutablede todas las actividades.

Normalmente, las reglas de supresión se utilizan para ocultar los hallazgos del entorno que seconsideran falsos positivos y reducir así el ruido de los resultados con poco valor para que puedacentrarse en amenazas más importantes. Para obtener más información, consulteReglas desupresión (p. 108)

Lista de IP de confianza

Una lista de direcciones IP de confianza para facilitar la comunicación de elevada seguridad conelAWS. Entorno. GuardDuty no genera resultados basándose en las listas de IP de confianza.Para obtener más información, consulte Trabajo con listas de IP de confianza y listas deamenazas (p. 112).

Lista de amenazas

Una lista de direcciones IP malintencionadas conocidas. GuardDuty genera resultados basados en laslistas de amenazas. Para obtener más información, consulte Trabajo con listas de IP de confianza ylistas de amenazas (p. 112).

10

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deRegistros de eventos de AWS CloudTrail

Cómo Amazon GuardDuty utiliza susorígenes de datos

Para detectar actividades no autorizadas e inesperadas en suAWSmedio ambiente, GuardDuty analizay procesa datos de las fuentes descritas en este tema. GuardDuty utiliza estas fuentes de datos paradetectar anomalías que implican lo siguiente:AWSTipos de recurso de : Claves de acceso de IAM,instancias EC2, buckets de S3 y recursos de Amazon EKS. Mientras se transfieren de estos orígenes dedatos a GuardDuty, todos los datos de los registros están cifrados. GuardDuty extrae varios campos deestos logs para la generación de perfiles y la detección de anomalías, y después descarta los logs.

En las secciones siguientes, se describe cómo GuardDuty utiliza cada uno de los orígenes de datoscompatibles

Temas• Registros de eventos de AWS CloudTrail (p. 11)• AWS CloudTraileventos de administración (p. 12)• AWS CloudTraileventos de datos para S3 (p. 12)• Registros de auditoría de Kubernetes (p. 12)• Logs de flujo de VPC (p. 13)• Logs de DNS (p. 13)

Registros de eventos de AWS CloudTrailAWS CloudTraille proporciona un historial deAWSLlamadas a la API de para su cuenta, incluidas lasllamadas a la API realizadas mediante laAWSManagement Console,AWSSDK, herramientas de línea decomandos y algunosAWSServicios de . CloudTrail también le permite identificar qué usuarios y cuentas sellamanAWSAPI de servicios que admiten CloudTrail, la dirección IP de origen desde la que se realizaronlas llamadas y el momento en que estas llamadas se efectuaron. Para obtener más información, consultelaAWS CloudTrailGuía del usuario de. GuardDuty puede monitorizar ambos CloudTrail eventos deadministración y, opcionalmente, CloudTrail eventos de datos para S3.

Cuando lo habilita, GuardDuty empieza a analizar inmediatamente CloudTrail registros de eventos.Consume CloudTrail administración y eventos de datos de S3 directamente desde CloudTrail mediante unflujo de eventos independiente y duplicado. No se aplican cargos adicionales por GuardDuty para obteneracceso a CloudTrail rápidamente.

GuardDuty no administra CloudTrail eventos o afectan a tu existente CloudTrail configuraciones decualquier modo. Para gestionar el acceso y la retención de su CloudTrail eventos directamente debeutilizar el CloudTrail consola de servicio o API. Para obtener más información, consulteVisualización deeventos con CloudTrail Historial de eventos

Cómo GuardDuty HandlesAWS CloudTrailEventosglobalesOtro detalle importante sobre el camino GuardDuty utiliza CloudTrail como origen de datos es eltratamiento y procesamiento de CloudTrail eventos globales. En la mayoría de los servicios, los eventosse registran en la región en la que se produjo la acción. Para servicios globales como IAM,AWS Security

11

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html


Amazon GuardDuty Amazon GuardDuty Guía del usuario deAWS CloudTraileventos de administración

Token Service, Amazon S3, Amazon CloudFront y Route 53, los eventos se envían a cualquier registro deseguimiento que incluya servicios globales, y se registran como si se produjeran en la región EE. UU. Este(Norte de Virginia). Para obtener más información, consulte Acerca de los eventos de servicios globales.

GuardDuty procesa todos los eventos que llegan a una región, incluidos los eventos globales queCloudTrail envía a todas las regiones. Esto permite GuardDuty para mantener perfiles de usuario y derol en cada región, así como detectar con exactitud las credenciales que se están utilizando de formamaliciosa en otras regiones.

Se recomienda encarecidamente que lo habilite GuardDuty en todos los admitidosAWSRegiones. Estopermite GuardDuty para generar resultados sobre la actividad no autorizada o inusual incluso en lasregiones que no utiliza de forma activa. Esto también permite GuardDuty monitorearAWS CloudTraileventos para globalAWSServicios de . Si GuardDuty no está habilitado en todas las regiones admitidas, sereduce su capacidad de detectar la actividad de los servicios globales.

AWS CloudTraileventos de administraciónLos eventos de administración también se denominan eventos de plano de control. Estos eventosproporcionan información sobre las operaciones de administración que se realizan en los recursosdeAWSaccount.

A continuación se muestran algunos ejemplos de CloudTrail eventos de administración que GuardDutymonitores:

• Configuración de seguridad (IAMAttachRolePolicy Operaciones de la API• Configuración de reglas para el direccionamiento de datos (Amazon

EC2CreateSubnetOperaciones de la API• Configuración del registro (AWS CloudTrail CreateTrailOperaciones de la API

AWS CloudTraileventos de datos para S3Los eventos de datos, también llamaron operaciones de plano de datos, muestran información sobre lasoperaciones realizadas en un recurso o dentro de él. A menudo se trata de actividades de gran volumen.

A continuación se muestran algunos ejemplos de CloudTrail eventos de datos para S3 que GuardDutypuede monitorear:

• Operaciones de la API de GetObject• Operaciones de la API de PutObject• Operaciones de la API de ListObjects• Operaciones de la API de DeleteObject

La monitorización de eventos de datos de S3 está habilitada de forma predeterminada para las cuentasnuevas. Sin embargo, este origen de datos es opcional y se puede habilitar o deshabilitar para cualquiercuenta o región en cualquier momento. Para obtener más información sobre cómo configurar Amazon S3como origen de datos, consulteAmazon S3 Protection en Amazon GuardDuty (p. 18).

Registros de auditoría de KubernetesLos registros de auditoría de Kubernetes capturan acciones secuenciales dentro del clúster de AmazonEKS, incluidas las actividades de los usuarios, las aplicaciones que utilizan la API de Kubernetes y el plano

12

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events

Amazon GuardDuty Amazon GuardDuty Guía del usuario deLogs de flujo de VPC

de control. El registro de auditoría es un componente de todos los clústeres de Kubernetes. Para obtenermás información, consulteAuditoríaen la documentación de Kubernetes.

Amazon EKS permite que los registros de auditoría de Kubernetes se ingieran como Amazon CloudWatchRegistra elRegistro de plano de control de EKScaracterística. Cuando habilita la protección de Kubernetesen GuardDuty, GuardDuty comienza inmediatamente a analizar los registros de auditoría de Kubernetesde sus recursos de Amazon EKS. Consume los eventos del log de auditoría directamente desde lacaracterística de registro del plano de control de Amazon EKS a través de una transmisión independientey duplicada de logs de flujo. Este proceso no requiere ninguna configuración adicional ni afecta a todos loslogs de planos de control de Amazon EKS que pueda tener.

GuardDuty no administra el registro del plano de control de Amazon EKS ni hace que los registrosde auditoría de Kubernetes sean accesibles en su cuenta si no los ha habilitado para Amazon EKS.Para administrar el acceso y la retención de los logs de auditoría de Kubernetes, debe configurar lacaracterística Logs del plano de control de Amazon EKS. Para obtener más información, consulteHabilitary deshabilitar registros de plano de controlEn la documentación de Amazon EKS.

La monitorización del registro de auditoría de Kubernetes está habilitada de forma predeterminadaGuardDuty cuentas. Sin embargo, este origen de datos es opcional y se puede habilitar o deshabilitar paracualquier cuenta o región en cualquier momento. Para obtener más información sobre cómo configurar losregistros de auditoría de Kubernetes, un origen de datos, consulteProtección de Kubernetes en AmazonGuardDuty (p. 14).

Logs de flujo de VPCLa característica logs de flujo de VPC de Amazon VPC captura información sobre el tráfico IP entrante ysaliente por las interfaces de red dentro de su entorno.

Cuando lo habilita, GuardDuty empieza a analizar inmediatamente los datos de los logs de flujo de VPC.Consume los eventos del log de flujo de VPC directamente desde la característica logs de flujo de VPC através de una transmisión independiente y duplicada de logs de flujo. Este proceso no afecta a todos loslogs de flujos de configuraciones que pueda tener.

GuardDuty no administra los logs de flujo ni los hace accesibles en la cuenta. Para administrar el acceso yla retención de los logs de flujo, debe configurar la característica Logs de flujo de VPC.

No se aplican cargos adicionales por GuardDuty acceso a los registros de flujo. Sin embargo, habilitar loslogs de flujo para su uso o retención en la cuenta no entra en los precios existentes. Para obtener másinformación, consulteLogs de flujo de VPC.

Logs de DNSSi usaAWSSolucionadores DNS para las instancias de Amazon EC2 (la configuración predeterminada) y, acontinuación, GuardDuty puede acceder y procesar los registros DNS de solicitudes y respuestas a travésdelAWSSolucionadores de DNS. Si utiliza otro solucionador de DNS, como OpenDNS o GoogleDNS, o siconfigure sus propios solucionadores de DNS, entonces GuardDuty no puede acceder ni procesar datosdesde este origen de datos.

Cuando lo habilita, GuardDuty empieza a analizar inmediatamente los registros de DNS a partir de unflujo de datos independiente. Este flujo de datos es independiente de los datos proporcionados a travésdelRegistro de consultas de Route 53 Resolvercaracterística. La configuración de esta función no afecta alanálisis GuardDuty.

13

https://Kubernetes.io/docs/tasks/debug-application-cluster/audit/

https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html

https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export

https://docs.aws.amazon.com/eks/latest/userguide/control-plane-logs.html#enabling-control-plane-log-export

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-query-logs.html?

Amazon GuardDuty Amazon GuardDuty Guía del usuario deComprender cómo GuardDuty utilizalas fuentes de datos de Kubernetes

Protección de Kubernetes enAmazon GuardDuty

La protección de Kubernetes permiteAmazon GuardDutypara detectar actividades sospechosas y posiblesriesgos de los clústeres de Kubernetes dentro de Amazon Elastic Kubernetes Service (Amazon EKS).

La protección de Kubernetes es una mejora opcional que permite a GuardDuty consumir fuentes de datosde Kubernetes. El proceso para habilitar o deshabilitar la protección de Kubernetes se trata en este tema.

Recomendamos encarecidamente que no deshabilite la protección de Kubernetes en GuardDuty. Si lafunción no está habilitada, la capacidad de GuardDuty para supervisar o generar hallazgos de actividadsospechosa dentro de su entorno de Amazon EKS es limitada.

Comprender cómo GuardDuty utiliza las fuentes dedatos de Kubernetes

Cuando la protección de Kubernetes está habilitada, GuardDuty utiliza fuentes de datos opcionales paradetectar amenazas contra la API de Kubernetes. Actualmente, se pueden ingerir las siguientes fuentes dedatos con la protección de Kubernetes habilitada:

Registros de auditoría de Kubernetes

Los registros de auditoría de Kubernetes son una característica de todos los clústeres de Kubernetesque capturan la actividad cronológica de las API de los usuarios, las aplicaciones y el plano de control.Cuando la protección de Kubernetes está habilitada, GuardDuty ingiere estos registros de AmazonEKS para producir hallazgos de Kubernetes para los recursos de Amazon EKS sin necesidad deactivar o almacenar estos registros. Para obtener más información, consulteRegistros de auditoría deKubernetes (p. 12)

Cuando la protección de Kubernetes está habilitada, GuardDuty comienza inmediatamente a analizar lasfuentes de datos de Kubernetes de los clústeres de Amazon EKS y los supervisa para detectar actividadesmaliciosas y sospechosas. Para obtener más información, consulte Cómo Amazon GuardDuty utiliza susorígenes de datos (p. 11).

Si deshabilita la protección de Kubernetes, GuardDuty deja de consumir inmediatamente esta fuente dedatos y deja de supervisar los clústeres de EKS.

Configuración de la protección de Kubernetes parauna cuenta independiente

Puede deshabilitar o habilitar la protección de Kubernetes a través de la consola odelUpdateDetectorOperación de la API.

Para configurar la protección de Kubernetes para su cuenta, consulte las siguientes opciones deconfiguración.

14

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePara habilitar o deshabilitar la protección de Kubernetes

Para habilitar o deshabilitar la protección deKubernetesElija uno de los siguientes métodos de acceso para obtener instrucciones sobre cómo habilitar odeshabilitar la protección de Kubernetes para una cuenta independiente.

Console

1. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola de .2. En el panel de navegación, enConfiguración, elija Protección Kubernetes.3. El panel de protección de Kubernetes muestra el estado actual de la protección de

Kubernetes de su cuenta. Puede habilitarlo o deshabilitarlo en cualquier momentoseleccionandoHabilitaroDeshabilitarrespectivamente, confirmando la selección.

API

• Ejecute laUpdateDetectorOperación de la API utilizando su propio ID de detector regional ypasando eldataSourcescon un objeto[["Kubernetes Logs":"enable"]]se establece enTrue o en False para habilitarlo o deshabilitarlo.

También puede habilitar o deshabilitar la protección de Kubernetes medianteAWSherramientas delínea de comandos ejecutando lo siguienteAWSCommand de la CLI. No olvide utilizar su propioID de detector.

Note

El código de ejemplo siguiente habilita la protección de Kubernetes. Para deshabilitarlo,reemplazatrueconfalse.

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"Kubernetes":{"AuditLogs":{"Enable":true}}}'

Configuración de la protección de Kubernetes enentornos de cuentas múltiples

En un entorno de varias cuentas, solo las cuentas de administrador delegadas de GuardDuty puedenconfigurar la protección de Kubernetes. Los administradores delegados de GuardDuty pueden habilitaro deshabilitar la protección de Kubernetes para sus cuentas de miembro. Las cuentas de miembro deGuardDuty no pueden habilitar o deshabilitar este origen de datos.

Cuentas de administrador de GuardDuty que administran sus cuentas de miembro conAWSOrganizationspuede optar por activar automáticamente la protección de Kubernetes en todas las cuentasnuevas de la organización. Para obtener más información, consulte Administración GuardDuty cuentasconAWS Organizations (p. 141).

15


https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deActivación automática de la protección de Kubernetes

para cuentas de miembros de la organización

Activación automática de la protección de Kubernetespara cuentas de miembros de la organización

Note

Esta funcionalidad solo está disponible para los administradores delegados de GuardDuty conmiembros incorporados a través deAWS Organizations.

1. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola mediante la cuenta deadministrador.

2. En el panel de navegación, en Settings, seleccione Accounts.3. Asegúrese de queHabilitar automáticamentepara GuardDuty está activado. Si está apagado,

puede habilitarlo eligiendoHabilitardel banner o eligiendoLa habilitación automática está OFF. Estafunción activa automáticamente GuardDuty para cuentas de miembro nuevas cuando se unen a suorganización y debe activarse para habilitar automáticamente la protección de Kubernetes.

4. Una vez activada la activación automática para GuardDuty, puedes habilitar la protección deKubernetes para tus nuevos miembros seleccionando el icono de alternancia de protección deKubernetes. ElegirConfiguración de actualizacionespara confirmar.

Para habilitar o deshabilitar manualmente laprotección de Kubernetes en las cuentas de miembroElija su método de acceso a continuación para obtener instrucciones sobre cómo habilitar o deshabilitar laprotección de Kubernetes para cuentas de miembro.

Console

Para habilitar la protección de Kubernetes para todas las cuentas

1. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola de .2. Si desea habilitar la protección de Kubernetes para todas las cuentas a la vez, elija Protección de

Kubernetes en el panel de navegación.3. Verás un extracto que refleja el número de cuentas que administras que tienen habilitada la

protección de Kubernetes. ElegirHabilitar todopara habilitar la protección de Kubernetes paratodas las cuentas.

Note

Si administra cuentas dentro de una organización, esta acción también habilita elHabilitarautomáticamentepara habilitar automáticamente la protección de Kubernetes paracuentas de miembros futuros dentro de su organización.

Para habilitar o deshabilitar manualmente la protección de Kubernetes en las cuentas demiembro

1. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola de .2. En el panel de navegación, en Settings, seleccione Accounts.

Note

Desde lasCuentas, revise la columna de protección de Kubernetes. Un icono demarca de verificación verde indica que la protección de Kubernetes está habilitada

16




Amazon GuardDuty Amazon GuardDuty Guía del usuario deDesactivación automática de la protección deKubernetes para nuevas cuentas GuardDuty

y un icono de guión azul indica que está deshabilitada. Si esta columna está enblanco, la cuenta no es apta para la protección de Kubernetes. También puede filtrarporENABLEDoDISCAPACITADO.

3. Seleccione la cuenta para la que quiera configurar la protección de Kubernetes. DesdelasActionsmenú elegirHabilitar la protección de KubernetesoDeshabilitar la protección deKubernetes. A continuación, confirma tu selección para cambiar la configuración de la cuentaseleccionada. La tabla se actualiza automáticamente para mostrar los cambios.

API

Para habilitar o deshabilitar selectivamente la protección de Kubernetes para sus cuentas de miembro,ejecute laActualizar detectores de miembrosOperación de la API utilizando su propio ID de detector.En el siguiente ejemplo se muestra el modo de habilitar la protección de Kubernetes para una solacuenta de miembro. Para deshabilitarlo, reemplazatrueconfalse.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --data-sources '{"Kubernetes":{"AuditLogs":{"Enable":true}}}'

Note

También puede pasar una lista de ID de cuenta separados por un espacio.

Cuando el código se ha ejecutado correctamente, devuelve una lista vacíadeUnprocessedAccounts. Si ha surgido algún problema al cambiar la configuración del detector deuna cuenta, ese ID de cuenta aparece junto con un resumen del problema.

Note

Si utiliza scripts para incorporar cuentas nuevas y desea deshabilitar la protección deKubernetes en sus cuentas nuevas, puede modificar laCreateDetectorFuncionamiento de laAPI con la opción opcionaldataSourcescomo se describe en este tema.

Desactivación automática de la protección deKubernetes para nuevas cuentas GuardDuty

Important

De forma predeterminada, la protección de Kubernetes se habilita automáticamente para todas lascuentas de GuardDuty.

Si es administrador de GuardDuty que habilita GuardDuty por primera vez en una nueva cuenta y nodesea habilitar la protección Kubernetes de forma predeterminada, puede deshabilitarla modificandoelCreateDetectorFuncionamiento de la API con la opción opcionaldataSourcesun objeto. El siguienteejemplo utiliza laAWSCLI para habilitar un nuevo detector GuardDuty con la protección Kubernetesdesactivada.

aws guardduty create-detector --enable --data-sources '{"Kubernetes":{"AuditLogs":{"Enable":false}}}'

17

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetector.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html


Amazon GuardDuty Amazon GuardDuty Guía del usuario deComprender cómo GuardDuty

utiliza los eventos de datos de S3

Amazon S3 Protection en AmazonGuardDuty

La protección S3 permiteAmazon GuardDutypara supervisar las operaciones de API de nivel de objetopara identificar los posibles riesgos de seguridad de los datos de los buckets de S3.

GuardDuty supervisa las amenazas contra los recursos de Amazon S3 mediante el análisisAWSCloudTraileventos de administración y eventos de datos CloudTrail S3. Estas fuentes de datos monitorizandiferentes tipos de actividad, por ejemplo, los eventos de administración de CloudTrail para S3 incluyenoperaciones que enumeran o configuran buckets de S3, comoListBuckets,DeleteBuckets,yPutBucketReplication. Algunos ejemplos de eventos de datos para S3 incluyen operaciones de APIa nivel de objeto, comoGetObject,ListObjects,DeleteObject, yPutObject.

La supervisión GuardDuty de los eventos de administración de CloudTrail está activada de formapredeterminada para todas las cuentas que han habilitado GuardDuty y no se pueden configurar. Losregistros de eventos de datos de CloudTrail S3 son un origen de datos configurable en GuardDuty. Deforma predeterminada, la protección S3 está habilitada para detectores nuevos; para las cuentas creadasantes de agregar la protección S3, este origen de datos debe habilitarse manualmente. En este tema setratan los procesos para habilitar o deshabilitar la supervisión de eventos de datos de S3.

Recomendamos encarecidamente que habilite la protección S3 en GuardDuty. Si la función estádeshabilitada, GuardDuty no puede supervisar por completo ni generar resultados de acceso sospechosoa los datos almacenados en los depósitos de S3.

Comprender cómo GuardDuty utiliza los eventos dedatos de S3

La función de protección de S3 de GuardDuty hace referencia a si los eventos de datos de S3 estánhabilitados como origen de datos para GuardDuty. Cuando la supervisión de eventos de datos de S3está habilitada, GuardDuty comienza a analizar inmediatamente los eventos de datos de S3 de todoslos buckets de S3 y los monitorea en busca de actividades maliciosas y sospechosas. Para obtener másinformación, consulte Cómo Amazon GuardDuty utiliza sus orígenes de datos (p. 11).

GuardDuty no procesa solicitudes a objetos a los que ha hecho accesible públicamente, pero le avisacuando un bucket se hace accesible públicamente. Cuando GuardDuty detecta una amenaza basada en lasupervisión de eventos de datos de S3, genera un hallazgo de seguridad. Para obtener información sobrelos tipos de hallazgos que GuardDuty puede generar para Amazon S3, consulteTipos de resultados deGuardDuty S3 (p. 55).

Si deshabilita la protección S3, GuardDuty deja de consumir inmediatamente esta fuente de datos y dejade supervisar el acceso a los datos almacenados en los depósitos de S3.

Configuración de la protección S3 para una cuentaindependiente

Para cuentas asociadas porAWS Organizations, este proceso se puede automatizar mediante laconfiguración de la consola como se describe en la siguiente sección.

18

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePara habilitar o deshabilitar la protección de S3

Las cuentas que utilizaban GuardDuty antes de agregar la protección S3 pueden habilitar el nuevo origende datos configurando GuardDuty a través de la consola o elUpdateDetectorOperación de la API.

Para configurar los eventos de datos de Amazon S3 como origen de datos para su cuenta, consulte lassiguientes opciones de configuración.

Para habilitar o deshabilitar la protección de S3Elija su método de acceso a continuación para obtener instrucciones sobre cómo habilitar o deshabilitar laprotección S3 para una cuenta independiente.

Console

1. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola de .2. En el panel de navegación, enConfiguración, eligeS3 Protection.3. LaS3 Protectionenumera el estado actual de la protección S3 de su cuenta. Puede habilitarlo

o deshabilitarlo en cualquier momento seleccionandoHabilitaroDeshabilitarrespectivamente,confirmando la selección.

API

• Ejecute laUpdateDetectorOperación de la API utilizando su propio ID de detector regionaly pasando eldataSourcesobjeto con"S3 Logs":"enable"establecido en true o false,respectivamente.

También puede habilitar o deshabilitar la protección S3 medianteAWSherramientas de línea decomandos ejecutando lo siguiente:AWSCommand de la CLI. No olvide utilizar su propio ID dedetector.

Note

El siguiente código de ejemplo habilita la protección de S3. Para deshabilitarlo,reemplazatrueconfalse.

AWS guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"S3Logs":{"Enable":true}}'

Configuración de la protección de S3 en entornosde cuentas múltiples

En un entorno de varias cuentas, solo las cuentas de administrador de GuardDuty pueden configurar laprotección S3. Las cuentas de administrador de GuardDuty pueden habilitar o deshabilitar la protección S3para sus cuentas de miembro. Las cuentas de miembro de GuardDuty no pueden habilitar o deshabilitareste origen de datos.

Cuentas de administrador de GuardDuty que administran sus cuentas de miembro conAWSOrganizationsel soporte puede optar por activar automáticamente la protección S3 en todas las cuentasnuevas de la organización. Para obtener más información, consulte Administración GuardDuty cuentasconAWS Organizations (p. 141).

19



Amazon GuardDuty Amazon GuardDuty Guía del usuario deActivación automática de la protección S3

para cuentas de miembros de la organización

Activación automática de la protección S3 paracuentas de miembros de la organización

Note

Esta funcionalidad solo está disponible para los administradores de miembros de GuardDutyincorporados a través deAWS Organizations.

1. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola mediante la cuenta deadministrador.

2. En el panel de navegación, en Settings, seleccione Accounts.3. GarantizarHabilitar automáticamentepara GuardDuty está activado. Si está desactivado, puede

activarlo seleccionandoHabilitardesde el banner o seleccionandoLa habilitación automática está OFF.Esta función habilitará automáticamente GuardDuty para cuentas de miembro nuevas dentro de suorganización y debe habilitarse para habilitar automáticamente la protección S3.

4. Una vez activada la activación automática para GuardDuty, puede habilitar la protección S3 parasus nuevos miembros además de habilitar GuardDuty seleccionando la opciónS3 Protectionicono dealternancia. ElegirConfiguración de actualizaciónpara confirmar.

Para habilitar o deshabilitar selectivamente laprotección S3 en las cuentas de miembroElija su método de acceso a continuación para obtener instrucciones sobre cómo habilitar o deshabilitar laprotección de S3 para cuentas de miembro.

Console

Para habilitar la protección S3 para todas las cuentas

1. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola de .2. Si desea habilitar la protección de S3 para todas las cuentas a la vez, seleccioneS3 Protectionen

el panel de navegación.3. Verá un extracto que refleja el número de cuentas que administra que tienen habilitada la

protección de S3. ElegirHabilitar todopara habilitar la protección S3 para todas las cuentas.

Note

Si administra cuentas dentro de una organización, esta acción también habilita elHabilitarautomáticamentepara habilitar automáticamente la protección de S3 para cuentas demiembros futuros dentro de su organización.

Para habilitar o deshabilitar selectivamente la protección S3 en las cuentas de miembro

1. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola de .2. En el panel de navegación, en Settings, seleccione Accounts.

Note

En la tabla Cuentas, revise elS3 Protectioncolumn. Un icono de marca de verificaciónverde indica que la protección S3 está habilitada y un icono de guión azul indica que estádeshabilitada. Si esta columna está en blanco, la cuenta no es apta para la protección deS3. También puede filtrar porENABLEDoDISCAPACITADO.

20




Amazon GuardDuty Amazon GuardDuty Guía del usuario deDesactivación automática de la protección

S3 para nuevas cuentas GuardDuty

3. Seleccione la cuenta para la que desea configurar la protección de S3. De laActionsmenúelegirHabilitar protección S3oDeshabilita la protección S3y, a continuación, confirma tu selecciónpara cambiar la configuración de la cuenta seleccionada. La tabla se actualizará automáticamentepara mostrar los cambios.

API

Para habilitar o deshabilitar selectivamente la protección S3 para sus cuentas de miembro, ejecuteelActualizar detectores de miembrosOperación de la API utilizando su propio ID de detector. Elsiguiente ejemplo muestra cómo puede habilitar la protección de S3 para una sola cuenta de miembro.Para deshabilitarlo, reemplazatrueconfalse.

AWS guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --data-sources '{"S3Logs":{"Enable":true}}'

Note

También puede pasar una lista de ID de cuenta separados por un espacio.

Cuando el código se ha ejecutado correctamente, devuelve una lista vacíadeUnprocessedAccounts. Si hubo algún problema al cambiar la configuración del detector de unacuenta, ese ID de cuenta aparece junto con un resumen del problema.

Note

Si utiliza scripts para incorporar cuentas nuevas y desea deshabilitar la protección S3 en susnuevas cuentas, puede modificar laCreateDetectorFuncionamiento de la API con la opciónopcionaldataSourcescomo se describe en este tema.

Desactivación automática de la protección S3 paranuevas cuentas GuardDuty

Important

De forma predeterminada, la protección S3 se habilita automáticamente para los nuevosdetectores.

Si es administrador de GuardDuty que habilita GuardDuty por primera vez en una nueva cuentay no desea habilitar la protección S3 de forma predeterminada, puede deshabilitarla modificandoelCreateDetectorFuncionamiento de la API con la opción opcionaldataSourcesobjeto. El siguienteejemplo utiliza laAWSCLI para habilitar un nuevo detector GuardDuty con la protección S3 desactivada.

AWS guardduty create-detector --enable --data-sources '{"S3Logs":{"Enable":false}}'

21

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetector.html



Amazon GuardDuty Amazon GuardDuty Guía del usuario deDetalles de resultados

Descripción de Amazon GuardDutyResultados de

UNA GuardDuty la búsqueda representa un posible problema de seguridad detectado en la red.GuardDuty genera un resultado cada vez que detecta actividad inesperada y potencialmente maliciosa ensuAWSEntorno.

Puede ver y administrar su GuardDuty Hallazgos sobreHallazgosen el GuardDuty Consola o utilizando elGuardDuty Operaciones de la CLI u operación de API. Para obtener una descripción general de las formasen que puede gestionar los hallazgos, consulteGestión de resultados de Amazon GuardDuty (p. 105).

Temas:

Detalles de resultados (p. 22)

Obtenga más información sobre los diferentes tipos de datos disponibles en GuardDuty Hallazgos.Hallazgos de ejemplo (p. 31)

Obtenga información sobre cómo generar resultados de ejemplo para probar o conocer mejorGuardDuty.

Formato GuardDuty hallazgos de (p. 28)

Comprender el formato de GuardDuty Búsqueda de tipos y los diferentes propósitos de amenazas alos que hace un seguimiento GuardDuty.

Tipos de búsqueda (p. 36)

Ver y buscar todos los disponibles GuardDuty Búsqueda por tipo. Cada entrada del tipo de resultadoincluye una explicación de ese resultado así como consejos y sugerencias para corregirlo.

Detalles de resultadosEn la consola de Amazon GuardDuty, puede ver los detalles de búsqueda en una sección de resumen debúsqueda. Los detalles de búsqueda varían según el tipo de búsqueda.

Hay dos detalles principales que determinarán qué tipos de información están disponibles para cualquierresultado. El primero es el tipo de recurso, que puede serAccessKey,Instance, o bienS3Bucket.El segundo detalle que determina la búsqueda de información esRol de recurso. Función de recurso,puede serTargetpara claves de acceso, lo que significa que el recurso fue el objetivo de una actividadsospechosa. Por ejemplo, los hallazgos de tipo, el rol de recurso también puede serActor, lo que significaque su recurso fue el actor que lleva a cabo actividades sospechosas. En este tema se describen algunosde los detalles disponibles comúnmente para los resultados.

Resumen de resultadosLa sección de resumen de un hallazgo contiene las características de identificación más básicas delhallazgo, incluida la siguiente información:

22

Amazon GuardDuty Amazon GuardDuty Guía del usuario deRecurso

• Tipo de búsqueda— Cadena con formato que representa el tipo de actividad que desencadenó labúsqueda. Para obtener más información, consulte Formato GuardDuty hallazgos de (p. 28).

• ID del resultado— Identificador de búsqueda exclusivo para este tipo de búsqueda y conjunto deparámetros. Las nuevas ocurrencias de actividad que coincidan con este patrón se añadirán al mismoID.

• Gravedad— un nivel de gravedad alta, media o baja asignado al resultado. Para obtener másinformación, consulte Niveles de gravedad para GuardDuty Resultados de (p. 33).

• Región— elAWSRegión en la que se genera el resultado. Para obtener más información acerca de lasregiones admitidas, consulte Regiones y puntos de enlace (p. 203)

• Conteo— Número de veces que GuardDuty ha agregado una actividad que coincide con este patrón coneste ID de búsqueda.

• ID de cuenta— el ID deAWSCuenta en la que tuvo lugar la actividad que indicó a GuardDuty a lageneración de este resultado.

• ID de recurso— el ID deAWSRecurso en el que tuvo lugar la actividad que indicó a GuardDuty a lageneración de este resultado.

• Creado en— la hora y la fecha en que se creó este hallazgo por primera vez. Si este valor difieredeActualizado a las, indica que la actividad se ha producido varias veces y que es un problema continuo.

Note

Las marcas temporales de los resultados de la consola de GuardDuty se indican según la zonahoraria local, mientras que las exportaciones JSON y las salidas de la CLI muestran las marcastemporales en UTC.

• Actualizado a las— La última vez que se actualizó este hallazgo con una nueva actividad que coincidecon el patrón que impulsó a GuardDuty a generar este hallazgo.

Note

Las marcas temporales de los resultados de la consola de GuardDuty se indican según la zonahoraria local, mientras que las exportaciones JSON y las salidas de la CLI muestran las marcastemporales en UTC.

RecursoLaRecurso afectadoproporciona detalles sobre elAWSRecurso al que se destinó la actividad deldesencadenador. La información disponible varía en función del tipo de recurso y el tipo de acción.

Rol de recurso— El papel delAWSrecurso que desencadenó el hallazgo. Este valor puedeserTARGEToACTORy indica si su recurso fue el objetivo de la actividad sospechosa o si era el actor querealizó la actividad sospechosa.

Tipo de recurso: el tipo de recurso afectado. Una búsqueda puede incluir varios tipos de recursos si se haninvolucrado varios recursos. Los tipos de recursos sonAccessKey,S3 bucket,Cluster KubernetesoEjemplo.Según el tipo de recurso, hay disponibles diferentes detalles de búsqueda. Seleccione una pestaña deopciones de recursos para obtener información sobre los detalles disponibles para ese recurso.

Instance

Detalles de la instancia:

Note

Es posible que falten algunos detalles de la instancia si la instancia ya ha finalizado o si lainvocación de API subyacente se originó en una instancia EC2 en una región diferente alrealizar una llamada a la API entre regiones.

23

Amazon GuardDuty Amazon GuardDuty Guía del usuario deRecurso

• ID de instancia de— el ID de la instancia EC2 implicada en la actividad que indicó a GuardDuty a lageneración del resultado.

• Tipo de instancia— el tipo de instancia EC2 implicada en la búsqueda.• Hora de lanzamiento— la hora y la fecha en que se lanzó la instancia.• ARN de Outpost— El nombre de recurso de Amazon (ARN) delAWS Outposts. Únicamente

aplicable aAWS Outpostsinstancias. Para obtener más información, consulte ¿Qué es AWSOutposts?

• Nombre de grupo de seguridad— El nombre del grupo de seguridad adjunto a la instanciainvolucrada.

• ID de grupo de seguridad: ID del grupo de seguridad adjunto a la instancia involucrada.• El estado de la instancia— El estado actual de la instancia objetivo.• Zona de disponibilidad— ElAWSZona de disponibilidad de región en la que se encuentra la instancia

implicada.• ID de imagen: el ID de la imagen de máquina de Amazon utilizada para la generación de la instancia

implicada en la actividad.• Descripción de la imagen— Descripción del ID de la Imagen de máquina de Amazon utilizada para

la generación de la instancia implicada en la actividad.• Etiquetas— Una lista de etiquetas asociadas a este recurso, enumeradas en el formato

dekey:value.

Access Key

Detalles de la clave de acceso:

• ID de clave de acceso— ID de clave de acceso del usuario implicado en la actividad que indicó aGuardDuty a la generación del resultado.

• ID principal— el ID principal de acceso del usuario implicado en la actividad que indicó a GuardDutya la generación del resultado.

• Tipo de usuario— el tipo de usuario implicado en la actividad que indicó a GuardDuty a lageneración del resultado. Para obtener más información, consulte Elemento userIdentity deCloudTrail.

• User name (Nombre de usuario):— El nombre del usuario implicado en la actividad que indicó aGuardDuty a la generación del resultado.

S3 bucket

Detalles del bucket de S3:

• Nombre— El nombre del bucket implicado en la búsqueda.• ARN— Es el ARN del bucket involucrado en el resultado.• Propietario— El ID de usuario canónico del usuario propietario del bucket implicado en la búsqueda.

Para obtener más información acerca de los ID de usuario canónicos, consulteAWSIdentificadoresde cuenta de.

• Tipo— El tipo de hallazgo de cubo, puede serDestinooFuente.• Cifrado predeterminado en el servidor— detalles de cifrado para el bucket.• Etiquetas del bucket— una lista de etiquetas asociadas a este recurso, enumeradas en el formato

dekey:value.• Permisos efectivos— Una evaluación de todos los permisos y políticas efectivos del bucket que

indica si el bucket involucrado está expuesto públicamente. Los valores pueden ser PÚBLICOS oNO PÚBLICOS.

24

https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html

https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields


https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deAcción

Kubernetes Cluster

Detalles de Kubernetes Cluster:

• Detalles de usuario— Detalles del usuario de Kubernetes que realizó la acción de la API que solicitóa GuardDuty que generara la búsqueda.• Username (Nombre de usuario):— El nombre del usuario de Kubernetes que realizó la acción de

la API que indicó a GuardDuty a la generación del resultado.• Groups— Una lista de los grupos de permisos a los que pertenece el usuario de Kubernetes.

• Detalles de clave de acceso— Esta sección incluye detalles de clave de acceso que identifican alusuario o rol de IAM asociado a la actividad cuando el usuario es una identidad de IAM que accedeal clúster a través de EKS.• ID de clave de acceso— ID de clave de acceso del usuario implicado en la actividad que indicó a

GuardDuty a la generación del resultado.• ID principal— El ID principal de acceso del usuario implicado en la actividad que indicó a

GuardDuty a la generación del resultado.• Tipo de usuario— El tipo de usuario implicado en la actividad que indicó a GuardDuty a la

generación del resultado. Para obtener más información, consulte Elemento userIdentity deCloudTrail.

• User name (Nombre de usuario):— El nombre del usuario implicado en la actividad que indicó aGuardDuty a la generación del resultado.

• Detalles clúster— Detalles sobre el clúster de Kubernetes involucrado en el hallazgo.• Detalles de EKS— Detalles sobre el recurso de Amazon EKS involucrado en el hallazgo.• Detalles de la carga de trabajo— Detalles sobre los recursos de carga de trabajo de Kubernetes que

participaron en el hallazgo,.• Tipo de carga de trabajo: el tipo de recurso de carga de trabajo utilizado

para administrar el pod implicado en la búsqueda, este valor puedeserDeployment,ReplicaSet,StatefulSet,DaemonSet,Job, o bienCronJob.

AcciónLa acción de una búsqueda proporciona detalles sobre el tipo de actividad que desencadenó la búsqueda.La información disponible varía en función del tipo de acción.

• Tipo de acción— El tipo de actividad del resultado. Este valor puedeserNETWORK_CONNECTION,PORT_SONDA,DNS_REQUEST, o bienAWS_API_CALL. La informacióndisponible varía en función del tipo de acción:• NETWORK_CONNECTION— indica que se intercambió el tráfico de red entre la instancia EC2

identificada y el host remoto. Este tipo de acción tiene la siguiente información adicional:• Dirección de la conexión— La dirección de la conexión de red observada en la actividad que indicó

a GuardDuty a la generación del resultado. Puede ser uno de los siguientes valores:• ENTRADA— indica que un host remoto inició una conexión a un puerto local de la instancia EC2

identificada de su cuenta.• SALIDA— indica que la instancia EC2 identificada inició una conexión a un host remoto.• DESCONOCIDO— indica que GuardDuty no pudo determinar la dirección de la conexión.

• Protocolo— el protocolo de conexión de red observado en la actividad que indicó a GuardDuty a lageneración del resultado.

• IP local— La IP de origen original del tráfico que desencadenó la búsqueda. Se puede usar estainformación para distinguir entre la dirección IP de una capa intermedia a través de la que fluye eltráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, ladirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el podEKS.

25



Amazon GuardDuty Amazon GuardDuty Guía del usuario deActor o objetivo

• Bloqueado: indica si el puerto de destino está bloqueado.• PORT_SONDA— indica que un host remoto sondeó la instancia EC2 identificada en varios puertos

abiertos. Este tipo de acción tiene la siguiente información adicional:• IP local— La IP de origen original del tráfico que desencadenó la búsqueda. Se puede usar esta

información para distinguir entre la dirección IP de una capa intermedia a través de la que fluye eltráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, ladirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el podEKS.

• Bloqueado: indica si el puerto de destino está bloqueado.• DNS_REQUEST— indica que la instancia EC2 identificada consultó un nombre de dominio. Este tipo

de acción tiene la siguiente información adicional:• Protocolo— el protocolo de conexión de red observado en la actividad que indicó a GuardDuty a la

generación del resultado.• Bloqueado: indica si el puerto de destino está bloqueado.

• AWS_API_CALL— indica que unAWSSe ha invocado a la API. Este tipo de acción tiene la siguienteinformación adicional:• API— el nombre de la operación de API a la que se llamó y que indicó a GuardDuty a la generación

de este resultado.

Note

Estas operaciones también pueden incluir eventos que no pertenecen a la API capturadosporAWS CloudTrail. Para obtener más información, consulteEventos no generados por laAPI capturados por CloudTrail.

• Agente de usuario— El agente de usuario que realizó la solicitud de API. Este valor indica si lallamada se realizó desde elAWSManagement Console, unAWSservicioservicio, elAWSSDK oelAWSCLI.

• CÓDIGO DE ERROR— si el hallazgo se ha desencadenado por una llamada a la API fallida, semuestra el código de error de esa llamada.

• Nombre del servicio— el nombre DNS del servicio que intentó realizar la llamada a la API quedesencadenó la búsqueda.

Actor o objetivoUn hallazgo tiene unActorsección si elRol de recursoeraTARGET. Esto indica que su recurso fue objeto deactividad sospechosa y laActorcontiene detalles sobre la entidad que segmentó el recurso.

Un hallazgo tiene unObjetivosección si elRol de recursoeraACTOR. Esto indica que su recurso estuvoinvolucrado en actividades sospechosas contra un host remoto, y esta sección contiene información sobrela IP o el dominio al que se destinó el recurso.

La información disponible en elActoroObjetivopuede incluir lo siguiente:

• dirección IP— la dirección IP implicada en la actividad que indicó a GuardDuty a la generación delresultado.

• Ubicación— información de ubicación de la dirección IP implicada en la actividad que indicó a GuardDutya la generación del resultado.

• Organización— Organización la información de la organización de ISP de la dirección IP implicada en laactividad que indicó a GuardDuty a la generación del resultado.

• Puerto— el número del puerto implicado en la actividad que indicó a GuardDuty a la generación delresultado.

• Dominio— el dominio implicado en la actividad que indicó a GuardDuty a la generación del resultado.26

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deInformación adicional

Información adicionalTodos los hallazgos tienen unInformación adicionalque puede incluir la siguiente información:

• Nombre de la lista de amenazas: el nombre de la lista de amenazas que incluye la dirección IP o elnombre de dominio implicado en la actividad para la que solicitó a GuardDuty que generara el resultado.

• Ejemplo de— un valor verdadero o falso que indica si se trata de un resultado de muestra.• Archived— un valor verdadero o falso que indica si se ha archivado esta búsqueda.• Insólito— detalles de las actividades que no se han observado previamente. Pueden incluir cualquier

usuario, hora o ubicación inusuales (no observados previamente).• Protocolo inusual— el protocolo de conexión de red implicado en la actividad que indicó a GuardDuty a

la generación del resultado.

EvidenciaLos hallazgos basados en registros DNS tienen unEvidenciaen la que se incluye la información siguiente:

• Detalles de inteligencia de amenazas— el nombre de la lista de amenazas que ha reconocidoThreatnameaparece en.

• Nombre de amenaza— el nombre de la familia de malware u otro identificador asociado a la amenaza.

Comportamiento anómaloTipos de hallazgos que terminan enComportamiento anómaloindican que la búsqueda se generó medianteel modelo de aprendizaje automático (ML) de detección de anomalías de GuardDuty. El modelo ML evalúatodas las solicitudes de API a su cuenta e identifica eventos anómalos asociados a las tácticas utilizadaspor los adversarios. El modelo ML realiza un seguimiento de varios factores de la solicitud de API, comoel usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud y la API específicasolicitada.

En los detalles de búsqueda encontrará información detallada sobre qué factores de la solicitudAPI son inusuales para la identidad de usuario de CloudTrail que invocó la solicitud. Lasidentidades se definen mediante elElemento userIdentity de CloudTrail, los valores posiblesson:Root,IAMUser,AssumedRole,FederatedUser,AWSAccountoAWSService.

Además de los detalles disponibles para todos los hallazgos de GuardDuty asociados a la actividad dela API,Comportamiento anómaloLas conclusiones tienen detalles adicionales que se describen en lasiguiente sección. Estos detalles se pueden ver en la consola y también están disponibles en el JSON delhallazgo.

• API anómalos— una lista de solicitudes de API invocadas por la identidad del usuario en lasproximidades de la solicitud API principal asociada a la búsqueda. En este panel se desglosan losdetalles del evento API de las siguientes formas:• La primera API enumerada es la API principal, que es la solicitud API asociada a la actividad

observada de mayor riesgo. Esta es la API que activó el hallazgo y se correlaciona con la fase deataque del tipo de hallazgo. Esta es también la API que se detalla en elAcciónen la consola y en elJSON del hallazgo.

• Las otras API enumeradas son API anómalas adicionales de la identidad de usuario de la listaobservada en las proximidades de la API principal. Si solo hay una API en la lista, el modelo de ML noidentificó ninguna solicitud de API adicional de esa identidad de usuario como anómala.

• La lista de API se divide en función de si una API erallamado correctamente, o si se ha llamadoa la API sin éxito, lo que significa que se ha recibido una respuesta de error. El tipo de respuesta

27

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deFormato GuardDuty hallazgos de

de error recibida aparece encima de cada API llamada sin éxito. Los tipos de respuesta de erroresposibles son:access denied,access denied exception,auth failure,instancelimit exceeded,invalid permission - duplicate,invalid permission - notfound,operation not permitted.

• Las API se clasifican según el servicio asociado.

Note

Para obtener más contexto, seleccioneAPI habitualespara abrir un panel que proporcionedetalles en las API superiores, hasta un máximo de 20, que se suelen ver tanto parala identidad de usuario como para todos los usuarios de la cuenta. Las API estánmarcadasraro(menos de una vez al mes),infrecuente(unas cuantas veces al mes),ofrecuente(diaria a semanal), dependiendo de la frecuencia con que se utilicen dentro de tucuenta.

• Comportamiento inusual (cuenta)— en esta sección se proporcionan detalles adicionales sobre elcomportamiento perfilado de su cuenta. La información rastreada en este panel incluye:• Organización ASN— La organización ASN desde la que se realizó la llamada a la API anómala desde

la que se realizó la llamada• Nombre de usuario— El nombre del usuario que realizó la llamada a la API anómala.• Agente de usuario— el agente de usuario utilizado para realizar la llamada a la API anómala. El

agente de usuario es el método utilizado para realizar la llamada, comoaws-clioBotocore.• Tipo de usuario— El tipo de usuario que realizó la llamada API anómala. Los valores posibles

sonAWS_SERVICE,ASSUMED_ROLE,IAM_USER, o bienROLE.• Comportamiento inusual (identidad de usuario)— en esta sección se proporcionan detalles adicionales

sobre el comportamiento perfilado para elIdentidad usuarioinvolucrados en el hallazgo. Cuando seidentifica un comportamiento inusual, esto significa que el modelo ML de GuardDuty no ha vistopreviamente esta identidad de usuario realizando esta llamada a la API de esta manera durante elperíodo de formación. Los siguientes detalles adicionales sobre elIdentidad usuarioestán disponibles:• Organización ASN— La organización ASN desde la que se realizó la llamada a la API anómala desde

la que se realizó la llamada• Agente de usuario— el agente de usuario utilizado para realizar la llamada a la API anómala. El

agente de usuario es el método utilizado para realizar la llamada, comoaws-clioBotocore.

Note

Para obtener más contexto sobre comportamientos inusuales, seleccioneComportamientoshabitualesya sea en elCuentaoID de usuariopara abrir un panel que proporciona detallessobre el comportamiento esperado de su cuenta para cada una de las siguientescategorías:raro(menos de una vez al mes),infrecuente(unas cuantas veces al mes),ofrecuente(diaria a semanal), dependiendo de la frecuencia con que se utilicen dentro de tucuenta.

Formato GuardDuty hallazgos deCuando GuardDuty detecta un comportamiento inesperado o sospechoso en elAWSentorno, genera unresultado. Un resultado es una notificación que contiene detalles sobre un problema potencial de seguridadque GuardDuty descubre. Ladetalles de los resultados (p. 35)incluir información sobre lo ocurrido,queAWSlos recursos se involucraron en la actividad sospechosa, cuándo se ha producido, etc.

Uno de los datos más útiles de los detalles de los resultados es el tipo de resultado. El objetivo del tipo deresultado es proporcionar una descripción concisa pero comprensible del posible problema de seguridad.Por ejemplo, GuardDutyRecon:EC2/PortProbeUnprotectedPorttipo de búsqueda le informa rápidamenteque en algún lugar de suAWSentorno, una instancia EC2 tiene un puerto sin protección que un posibleatacante está sondeando.

28

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePROPÓSITOS DE

GuardDuty utiliza el formato siguiente para nombrar los distintos tipos de resultados que genera:

PROPÓSITO DE LA AMENAZA: El tipo de recurso afectado/el nombre de la familia amenaza.Mecanismode detección! Artefacto

Cada parte de este formato representa un aspecto de un tipo de búsqueda. Estos aspectos tienen lassiguientes explicaciones:

• Propósito de amenaza: describe el objetivo principal de una amenaza, un tipo de ataque o una etapade un posible ataque. Consulte la sección siguiente para obtener una lista completa de GuardDutypropósitos de la amenaza.

• Tipo de recurso afectado- describe quéAWSEl tipo de recurso se identifica en este resultado como elposible destino de un adversario. Actualmente, GuardDuty puede generar hallazgos para recursos deEC2, S3, IAM y EKS.

• Nombre de familia de amenazas- describe la amenaza general o la posible actividad malintencionadaque GuardDuty está detectando. Por ejemplo, el valor dePuerto de red inusualindica que una instanciaEC2 identificada en el GuardDuty find no tiene historial previo de comunicaciones en un determinadopuerto remoto que también se identifica en el resultado.

• Mecanismo de detección- describe el método en el que GuardDuty detectó el hallazgo. Esto sepuede utilizar para indicar una variación de un tipo de hallazgo común o un hallazgo que GuardDutyutilizó un mecanismo específico para detectar. Por ejemplo,Backdoor:EC2/DenialOfService.Tcpindicaque se detectó denegación de servicio (DoS) a través de TCP. La variante UDP esBackdoor:EC2/DenialOfService.Udp.

Valor de.Personalizadoindica que GuardDuty detectó la búsqueda en función de sus listas de amenazaspersonalizadas, mientras que.Reputaciónindica que GuardDuty detectó la búsqueda mediante unmodelo de puntuación de reputación de dominio.

• Artefacto: describe un recurso específico que es propiedad de una herramienta que se utiliza en laactividad malintencionada. Por ejemplo, DNS en el tipo de resultado CryptoCurrency:EC2/BitcoinTool.B!DNS informa de que una instancia EC2 se está comunicando con un dominio conocido relacionado conBitcoin.

PROPÓSITOS DEEn GuardDuty unapropósito de la amenazadescribe el objetivo principal de una amenaza, un tipo deataque o una etapa de un posible ataque. Por ejemplo, algunos fines de amenaza, comoBackdoor,indica un tipo de ataque. Sin embargo, algunos propósitos de amenaza, tales comoImpactoalinearconTácticas MITRE ATT&CK. Las tácticas MITRE ATT&CK indican diferentes fases del ciclo de ataque deun adversario. En la versión actual de GuardDuty, ThreatPurpose puede tener los siguientes valores:

Backdoor

Este valor indica que un adversario ha comprometido unAWSy modificó el recurso para que sea capazde ponerse en contacto con su propio servidor de comando y control (C&C) con objeto de recibir másinstrucciones para llevar a cabo actividades malintencionadas.

Comportamiento

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad distintos de lareferencia establecida paraAWSrecursos involucrados.

Acceso a credenciales

Este valor indica que GuardDuty ha detectado patrones de actividad que un adversario puede utilizarpara robar credenciales, como ID de cuenta o contraseñas, de su entorno. Este objetivo de amenazase basa enTácticas MITRE ATT&CK

29

https://attack.mitre.org/tactics/TA0010/

https://attack.mitre.org/matrices/enterprise/cloud/aws/

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePROPÓSITOS DE

Criptomoneda

Este valor indica que GuardDuty ha detectado que unAWSrecurso en su entorno es el alojamiento desoftware relacionado con criptomonedas (por ejemplo, Bitcoin).

Defensa Evasion

Este valor indica que GuardDuty ha detectado patrones de actividad o actividad que un adversariopuede utilizar para evitar la detección mientras se infiltra en su entorno. Este objetivo de amenaza sebasa enTácticas MITRE ATT&CK

Descubrimiento

Este valor indica que GuardDuty ha detectado patrones de actividad o actividad que un adversariopuede utilizar para ampliar su conocimiento de sus sistemas y redes internas. Este objetivo deamenaza se basa enTácticas MITRE ATT&CK.

Filtración

Este valor indica que GuardDuty ha detectado patrones de actividad o actividad que un adversariopuede utilizar al intentar robar datos de su red. Este objetivo de amenaza se basa enTácticas MITREATT&CK.

Impacto

Este valor indica que GuardDuty ha detectado patrones de actividad o actividad que sugieren que unadversario está intentando manipular, interrumpir o destruir sus sistemas y datos. Este objetivo deamenaza se basa enTácticas MITRE ATT&CK

Acceso inicial

Este objetivo de amenaza se basa enTácticas MITRE ATT&CKPentest

A veces propietarios deAWSrecursos o sus representantes autorizados realizan pruebasintencionadamente contraAWSaplicaciones para encontrar vulnerabilidades, como grupos deseguridad abiertos o claves de acceso demasiado permisivas. Estas pruebas de intrusión se realizanen un intento de identificar y bloquear los recursos vulnerables antes de que los descubran losadversarios. Sin embargo, algunas de las herramientas utilizadas por los probadores de intrusiónautorizados están disponibles de forma gratuita y, por tanto, los usuarios no autorizados o losadversarios pueden usarlas para llevar a cabo pruebas de sondeo. Aunque GuardDuty no puedeidentificar el verdadero propósito detrás de dicha actividad, elPentestvalor indica que GuardDuty estádetectando dicha actividad, que es similar a la generada por las herramientas de pruebas de intrusiónconocidas y que podría indicar un sondeo malintencionado de su red.

Persistencia

Este valor indica que GuardDuty ha detectado patrones de actividad o actividad que un adversariopuede utilizar para intentar mantener el acceso a los sistemas incluso si su ruta de acceso inicial estácortada. Por ejemplo, esto podría incluir la creación de un nuevo usuario de IAM después de obteneracceso a través de las credenciales comprometidas de un usuario existente. Cuando se eliminan lascredenciales del usuario existente, el adversario conservará el acceso del nuevo usuario que no seha detectado como parte del evento original. Este objetivo de amenaza se basa enTácticas MITREATT&CK.

Auto Scaling

Este valor indica que suAWScuenta está mostrando un comportamiento que va en contra de lasprácticas recomendadas de seguridad.

PrivilegeEscalation

Este valor le informa que el principal involucrado dentro de suAWSel entorno muestra uncomportamiento que un adversario puede utilizar para obtener permisos de nivel superior para su red.Este objetivo de amenaza se basa enTácticas MITRE ATT&CK.

30










Amazon GuardDuty Amazon GuardDuty Guía del usuario deHallazgos de ejemplo

Recon

Este valor indica que GuardDuty ha detectado patrones de actividad o actividad que un adversariopuede utilizar al realizar el reconocimiento de su red para determinar cómo puede ampliar su accesoo utilizar sus recursos. Por ejemplo, esta actividad puede incluir la detección de vulnerabilidades ensuAWSentorno sondeando puertos, enumerar usuarios, tablas de base de datos, etc.

Stealth

Este valor indica que un adversario está intentando ocultar activamente sus acciones. Por ejemplo,pueden utilizar un servidor proxy anónimo, por lo que resulta extremadamente difícil evaluar laverdadera naturaleza de la actividad.

Trojan

Este valor indica que un ataque está utilizando programas troyanos que desarrollan en silencioactividad malintencionada. En ocasiones, este software tiene el aspecto de un programa legítimo.A veces, los usuarios ejecutan accidentalmente este software. Otras veces, este software puedeejecutarse automáticamente mediante la explotación de una vulnerabilidad.

UnauthorizedAccess

Este valor indica que GuardDuty está detectando actividades sospechosas o un patrón de actividadessospechosas por parte de un individuo no autorizado.

Generación de los hallazgos GuardDuty muestra enPuede generar resultados de muestra con Amazon GuardDuty para ayudarle a visualizar y comprenderlos diversos tipos de resultados que GuardDuty puede generar. Cuando genera resultados de muestra,GuardDuty rellena la lista de resultados actual con un resultado de muestra por cada tipo de resultadoadmitido.

Las muestras generadas son aproximaciones rellenadas con valores de marcador de posición. Estosejemplos pueden tener un aspecto diferente de los resultados reales de su entorno, pero puede utilizarlospara probar varias configuraciones de GuardDuty, como los eventos de CloudWatch o los filtros.Para obtener una lista de valores disponibles para buscar tipos de búsqueda, aparecen en.Tipos debúsqueda (p. 36)tabla de.

Para generar algunos resultados comunes en función de la actividad simulada dentro de su entorno,consulte Generación automática de los hallazgos comunes de (p. 32) a continuación.

Generación de resultados de ejemplo a través de laconsola de GuardDuty oElija un método de acceso para obtener información sobre cómo generar resultados de muestra a travésde ese método.

Note

El método de consola genera uno de cada tipo de búsqueda. Los hallazgos de muestra únicossolo se pueden generar a través de la API.

Console

Use el procedimiento siguiente para generar resultados de muestra. Este proceso genera un ejemplode búsqueda para cada tipo de búsqueda de GuardDuty.

1. Abra la consola de GuardDuty enhttps://console.aws.amazon.com/guardduty/.

31


Amazon GuardDuty Amazon GuardDuty Guía del usuario deGeneración automática de los hallazgos comunes de

2. En el panel de navegación, seleccione Settings (Configuración).3. En la página Settings, en Sample findings, elija Generate sample findings.4. En el panel de navegación, seleccione Findings (Hallazgos). Los resultados de muestra aparecen

en laConclusiones actualespágina con el prefijo[MUESTRA].

API

Puede generar un único ejemplo de búsqueda que coincida con cualquiera de los tipos de búsquedade GuardDuty a través delCreateSampleFindingsAPI, los valores disponibles para buscar tipos seenumeran enTipos de búsqueda (p. 36)tabla de.

Esto resulta útil para probar las reglas de CloudWatch Events o la automatización basadas en loshallazgos. En el siguiente ejemplo se muestra cómo generar una única muestra de resultado delaBackdoor:EC2/DenialOfService.Tcpescriba con laAWSCLI.

AWS guardduty create-sample-findings --detector-id yourRegionalDetectorId --finding-types Backdoor:EC2/DenialOfService.Tcp

El título de resultados de muestra generados por estos métodos siempre comienza por.[SAMPLE]enla consola de. Además, los hallazgos de la muestra tienen un valor de"sample": trueenlaadditionalInfode los detalles de JSON de búsqueda.

Generación automática de los hallazgos comunes dePuede utilizar las siguientes:scriptspara generar automáticamente varios resultados comunes deGuardDuty. Laguardduty-tester.templateutilizaAWSCloudFormation para crear un entorno aislado conun host bastión, una instancia de prueba de Amazon EC2 a la que puede acceder a través de SSH ydos instancias EC2 de destino. A continuación, puede correr.guardduty_tester.sh que espara iniciar unainteracción entre la instancia EC2 de prueba, la instancia EC2 de destino de Windows y la de Linux parasimular cinco tipos de ataques comunes detectables por GuardDuty con resultados generados.

1. Como condición previa, debe habilitar GuardDuty en la cuenta y región en la que deseaejecutar.guardduty-tester.templateyguardduty_tester.sh que es. Para obtener más información acercade cómo habilitar GuardDuty, consulte.Introducción al GuardDuty (p. 2).

También debe generar un nuevo key pair de EC2 (o usar uno que ya esté disponible) en cada regiónen la que desea ejecutar estos scripts. Este par de claves de EC2 se utilizará como parámetro en elscript guardduty-tester.template que utilice para crear una nueva pila de CloudFormation. Para obtenermás información acerca de cómo generar pares de claves, consulte.Pares de claves de Amazon EC2.

2. Crear una nueva pila de CloudFormation utilizando guardduty-tester.template. Para obtenerinstrucciones detalladas acerca de cómo crear una pila, consulte.Creación de una pila. Antes decorrerguardduty-tester.template, modifíquelo con valores para los siguientes parámetros: Stack Name(nombre para identificar la nueva pila), Availability Zone (zona de disponibilidad donde desea ejecutarla pila) y Key Pair (par de claves que puede utilizar para lanzar las instancias EC2). A continuación,puede utilizar la correspondiente clave privada para acceder a las instancias EC2 a través de SSH.

Laguardduty-tester.templatetarda alrededor de 10 minutos en ejecutarse y finalizar. Crea el entorno ycopia guardduty_tester.sh en la instancia EC2 de prueba.

3. En el navegadorAWSCloudFormation, seleccione la casilla situada junto a la nueva ejecuciónAWSCloudFormationpila. En el conjunto de pestañas que se muestra, seleccione la pestaña Output(Salida). Tome nota de las direcciones IP asignadas al host bastión y a la instancia EC2 de prueba.Necesitas ambas direcciones IP para acceder a la instancia EC2 de prueba a través de SSH.

32

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html

https://github.com/awslabs/amazon-guardduty-tester

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deNiveles de gravedad para GuardDuty Resultados de

4. Cree la siguiente entrada en el archivo ~/.ssh/config para iniciar sesión en la instancia a través delhost bastión.

Host bastion HostName {Elastic IP Address of Bastion} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem}Host tester ForwardAgent yes HostName {Local IP Address of RedTeam Instance} User ec2-user IdentityFile ~/.ssh/{your-ssh-key.pem} ProxyCommand ssh bastion nc %h %p ServerAliveInterval 240

Ahora puede hacer una llamada a $ ssh de prueba para iniciar sesión en la instancia EC2 de destino.Para obtener más información acerca de cómo configurar y conectarse a las instancias EC2 a travésde hosts bastión, consulte https://aws.amazon.com/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/.

5. Después de conectarse a la instancia EC2 del probador, ejecuteguardduty_tester.sh que esparainiciar la interacción entre el comprobador y las instancias EC2 de destino, simular ataques y generarresultados de GuardDuty.

Niveles de gravedad para GuardDuty Resultadosde

Cada GuardDuty La búsqueda tiene asignado un nivel de gravedad y un valor que refleja el riesgopotencial que el resultado podría tener para su red según lo determinado por nuestros ingenieros deseguridad. El valor de la gravedad puede estar comprendido en cualquier lugar dentro del intervalo de0,1 a 8,9, donde los valores superiores indican un mayor riesgo de seguridad. Para ayudarle a determinaruna respuesta a un posible problema de seguridad resaltado por un resultado, GuardDuty desglosa esteintervalo en niveles de gravedad: alto, mediano y bajo.

Note

Los valores 0 y 9.0 a 10.0 están actualmente reservados su uso futuro.

A continuación, se muestran los niveles y valores de gravedad definidos actualmente para los resultadosde GuardDuty así como las recomendaciones generales para cada uno de ellos:

Nivel de gravedad Rango de valor

Alta 8,9 - 7,0

Un nivel de gravedad alto indica que el recurso en cuestión (una instancia EC2 o un conjunto decredenciales de usuario de IAM) corre algún riesgos y se esté utilizando activamente con fines noautorizados.

Le recomendamos que trate cualquier problema de seguridad con un resultado de gravedad alta comouna prioridad y que tome medidas de corrección inmediatas para evitar el uso no autorizado de susrecursos. Por ejemplo, limpie la instancia EC2 o termínela, o rote las credenciales de IAM. ConsulteMedidas de corrección (p. 131) para obtener más detalles.

Medio 6,9 - 4,0

33

http://aws.amazon.com/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/

http://aws.amazon.com/blogs/security/securely-connect-to-linux-instances-running-in-a-private-amazon-vpc/

Amazon GuardDuty Amazon GuardDuty Guía del usuario deGuardDuty Agregación de resultados

Nivel de gravedad Rango de valor

Un nivel de gravedad mediano indica una actividad sospechosa que se desvía del comportamientoobservado normalmente y, en función de su caso de uso, puede ser indicativo de un peligro para losrecursos.

Recomendamos que investigue el recurso implicado tan pronto como sea posible. Las medidas decorrección variarán según el recurso y la familia de resultados, pero, en general, debería tratar deconfirmar que la actividad está autorizada y es coherente con su caso de uso. Si no puede identificarla causa o confirmar que la actividad se ha autorizado, debe considerar el recurso comprometido yseguirPasos de corrección (p. 131)para proteger el recurso.

Estas son algunas cosas a tener en cuenta al revisar un resultado de nivel mediano:

• Compruebe si un usuario autorizado ha instalado nuevo software que haya cambiado elcomportamiento de un recurso (por ejemplo, permitir un tráfico superior al normal o habilitar lacomunicación en un nuevo puerto).

• Compruebe si un usuario autorizado ha modificado la configuración del panel de control, por ejemplo,ha modificado la configuración de un grupo de seguridad

• Ejecute un examen antivirus en el recurso implicado para detectar software no autorizado.• Verifique los permisos asociados al rol, usuario, grupo o conjunto de credenciales de IAM implicado.

Tal vez sea necesario cambiarlos o moverlos.

Baja 3,9 - 1,0

Un nivel de gravedad bajo indica un intento de actividad sospechosa que no puso en peligro la red, porejemplo, un análisis de puerto o un intento de intrusión que ha producido error.

No hay ninguna acción recomendada inmediata, pero vale la pena tomar nota de esta información yaque puede indicar que alguien está buscando puntos débiles en su red.

GuardDuty Agregación de resultadosTodos los resultados son dinámicos, lo que significa que, si GuardDuty Detecta nueva actividadrelacionada con el mismo problema de seguridad, actualizará el resultado original con la nuevainformación, en lugar de generar un resultado nuevo. Este comportamiento le permite identificar problemasen curso sin necesidad de revisar varios informes similares y reduce el ruido general causado porproblemas de seguridad que ya conoce.

Por ejemplo, para un UnauthorizedAccess:EC2/SSHBruteForce Find, varios intentos de acceso contrala instancia se agregarán al mismo ID de resultado, lo que aumentará el número de recuento en losdetalles del resultado. Esto se debe a que ese resultado representa un único problema de seguridad con lainstancia que indica que el puerto SSH de la instancia no está protegido adecuadamente contra este tipode actividad. Sin embargo, si GuardDuty Detecta actividad de acceso SSH dirigida a una nueva instanciaen su entorno, creará un nuevo resultado con un ID de resultado único para alertarle sobre el hecho deque hay un problema de seguridad asociado con el nuevo recurso.

Cuando se agrega una búsqueda, se actualiza con información de la última aparición de esa actividad.Esto significa que en el ejemplo anterior, si su instancia es el objetivo de un intento de fuerza bruta de unnuevo actor, los detalles del resultado se actualizarán para reflejar la IP remota del origen más recientey la información más antigua se reemplazará. La información completa sobre los intentos de actividadindividuales seguirá estando disponible en CloudTrailo Logs de flujo de VPC.

Criterios que alertan GuardDuty para generar un resultado nuevo en lugar de agregar uno existentedepende del tipo de resultado. Nuestros ingenieros de seguridad determinan los criterios de agregación

34

Amazon GuardDuty Amazon GuardDuty Guía del usuario deLocalización y análisis GuardDutyResultados de

para cada tipo de resultado para ofrecerle la mejor información general de los distintos problemas deseguridad dentro de su cuenta.

Localización y análisis GuardDutyResultados deUtilice el procedimiento siguiente para ver y analizar el GuardDuty Hallazgos.

1. Abra el icono GuardDuty Consola enhttps://console.aws.amazon.com/guardduty/.2. Elija Hallazgos y, a continuación, seleccione un resultado específico para consultar sus detalles.

Los detalles de cada resultado variarán en función del tipo de resultado, los recursos implicados y lanaturaleza de la actividad. Para obtener más información sobre los campos de resultado disponibles,consulte Detalles de resultados (p. 22).

3. (Opcional) Si desea archivar un resultado, selecciónelo en la lista de resultados y, a continuación, elijaelActionsmenú. A continuación, elija Archivar.

Los resultados archivados se pueden consultar eligiendoArchiveddesde lasActualDropdown.

Actualmente en GuardDuty usuarios de GuardDuty Las cuentas de miembro no pueden archivarresultados.

Important

Si archiva un resultado manualmente utilizando el procedimiento anterior, todos los casosposteriores de este resultado (generados una vez completado el archivado) se añadena la lista de sus resultados actuales. Para no ver nunca este resultado en su lista actual,puede utilizar el archivado automático. Para obtener más información, consulte Reglas desupresión (p. 108).

4. (Opcional) Para descargar un resultado, selecciónelo de la lista de resultados y, a continuación, elija elmenú Acciones. A continuación, elija Exportar. Cuando se exporta un resultado con Export (Exportar),puede ver su documento JSON completo.

Note

En algunos casos, GuardDuty toma conciencia de que ciertos resultados son falsos positivosuna vez generados. GuardDuty proporciona unConfidenciaen el JSON del hallazgo yestablece su valor en cero. De esta manera GuardDuty le permite saber que puede ignorar deforma segura tales hallazgos.

35


Amazon GuardDuty Amazon GuardDuty Guía del usuario deTipos de resultados de EC2

Tipos de búsquedaPara obtener más información acerca de cambios importantes en GuardDuty Tipos de resultados (porejemplo, los que se han añadido o retirado), consulteHistorial de revisión de Amazon GuardDuty (p. 204).

Para obtener más información acerca de los tipos de resultado retirados, consulteTipos de resultadosretirados (p. 89).

GuardDutyTipos de resultados de EC2Los siguientes resultados son específicos de los recursos de Amazon EC2 y siempre tienen un Tipo derecurso deInstance. La gravedad y los detalles de los resultados difieren en función del rol de recurso,que indica si el recurso EC2 fue objeto de actividad sospechosa o el actor que realizó la actividad.

Los resultados enumerados aquí incluyen las fuentes de datos y los modelos utilizados para generar esetipo de búsqueda. Para obtener más información, fuentes de datos y modelos, consulteCómo AmazonGuardDuty utiliza sus orígenes de datos (p. 11).

Note

Es posible que falten detalles de la instancia para algunos hallazgos de EC2 si la instancia ya hafinalizado o si la llamada a la API subyacente formaba parte de una llamada API entre regionesoriginada en una instancia EC2 en otra región.

Para todos los resultados de EC2, se recomienda examinar el recurso en cuestión para determinarsi se comporta de una manera esperada. Si la actividad está autorizada, puede utilizar reglas desupresión o listas de IP de confianza para evitar notificaciones positivas falsas para ese recurso.Si la actividad es inesperada, la práctica recomendada de seguridad consiste en asumir que lainstancia se ha comprometido y realizar las acciones detalladas enSolución de una instancia EC2comprometida (p. 131).

Temas• Backdoor:EC2/C&CActivity.B (p. 37)• Backdoor:EC2/C&CActivity.B!DNS (p. 38)• Backdoor:EC2/DenialOfService.Dns (p. 38)• Backdoor:EC2/DenialOfService.Tcp (p. 39)• Backdoor:EC2/DenialOfService.Udp (p. 39)• Backdoor:EC2/DenialOfService.UdpOnTcpPorts (p. 40)• Backdoor:EC2/DenialOfService.UnusualProtocol (p. 40)• Backdoor:EC2/Spambot (p. 41)• Behavior:EC2/NetworkPortUnusual (p. 41)• Behavior:EC2/TrafficVolumeUnusual (p. 42)• CryptoCurrency:EC2/BitcoinTool.B (p. 42)• CryptoCurrency:EC2/BitcoinTool.B!DNS (p. 42)• Impact:EC2/AbusedDomainRequest.Reputation (p. 43)• Impact:EC2/BitcoinDomainRequest.Reputation (p. 44)• Impact:EC2/MaliciousDomainRequest.Reputation (p. 44)• Impact:EC2/PortSweep (p. 45)• Impact:EC2/SuspiciousDomainRequest.Reputation (p. 45)• Impact:EC2/WinRMBruteForce (p. 45)

36

Amazon GuardDuty Amazon GuardDuty Guía del usuario deBackdoor:EC2/C&CActivity.B

• Recon:EC2/PortProbeEMRUnprotectedPort (p. 46)• Recon:EC2/PortProbeUnprotectedPort (p. 46)• Recon:EC2/Portscan (p. 47)• Trojan:EC2/BlackholeTraffic (p. 48)• Trojan:EC2/BlackholeTraffic!DNS (p. 48)• Trojan:EC2/DGADomainRequest.B (p. 48)• Trojan:EC2/DGADomainRequest.C!DNS (p. 49)• Trojan:EC2/DNSDataExfiltration (p. 50)• Trojan:EC2/DriveBySourceTraffic!DNS (p. 50)• Trojan:EC2/DropPoint (p. 50)• Trojan:EC2/DropPoint!DNS (p. 51)• Trojan:EC2/PhishingDomainRequest!DNS (p. 51)• UnauthorizedAccess:EC2/MaliciousIPCaller.Custom (p. 52)• UnauthorizedAccess:EC2/MetadataDNSRebind (p. 52)• UnauthorizedAccess:EC2/RDPBruteForce (p. 53)• UnauthorizedAccess:EC2/SSHBruteForce (p. 53)• UnauthorizedAccess:EC2/TorClient (p. 54)• UnauthorizedAccess:EC2/TorRelay (p. 55)

Backdoor:EC2/C&CActivity.BUna instancia EC2 consulta una IP que está asociada a unservidor de comando y control conocido.Gravedad predeterminada: Alta

• Origen de datos:Logs de flujo de VPC

Este hallazgo le informa de que la instancia enumerada dentro de suAWSel entorno consulta unaIP asociada a un servidor de comando y control conocido (C&C). La instancia incluida podría estarcomprometida. Los servidores de comando y control son equipos que envían comandos a los miembros deuna botnet.

Una botnet es un conjunto de dispositivos conectados a Internet que pueden incluir PC, servidores,dispositivos móviles y dispositivos de Internet de las cosas, que están infectados y controlados por untipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar informaciónobtenida de forma indebida, como números de tarjetas de crédito. Dependiendo de la finalidad y laestructura del botnet, el servidor C&C también puede enviar comandos para comenzar un ataque dedenegación de servicio distribuido (DDoS).

Note

Si la IP consultada está relacionada con log4j, los campos de la búsqueda asociada incluirán lossiguientes valores:

• Service.Información adicional.threatListName= Amazon• Service.additionalInfo.ThreatName = Log4j Relacionado

Recomendaciones de corrección:

37

Amazon GuardDuty Amazon GuardDuty Guía del usuario deBackdoor:EC2/C&CActivity.B!DNS

Si esta actividad es inesperada, puede que su instancia esté comprometida; consulte Solución de unainstancia EC2 comprometida (p. 131).

Backdoor:EC2/C&CActivity.B!DNSUna instancia EC2 está consultando un nombre de dominio queestá asociado a un servidor de comando y control conocido.Gravedad predeterminada: Alta

• Origen de datos:Logs de DNS

Este hallazgo le informa de que la instancia enumerada dentro de suAWSEnvironment está consultandoun nombre de dominio asociado a un servidor de comando y control (C&C) conocido. La instancia incluidapodría estar comprometida. Los servidores de comando y control son equipos que envían comandos a losmiembros de una botnet.

Una botnet es una colección de dispositivos conectados a Internet que pueden incluir PC, servidores,dispositivos móviles y dispositivos de Internet de las cosas, que están infectados y controlados por untipo común de malware. A menudo, los botnets se utilizan para distribuir malware y recopilar informaciónobtenida de forma indebida, como números de tarjetas de crédito. Dependiendo de la finalidad y laestructura del botnet, el servidor C&C también puede enviar comandos para comenzar un ataque dedenegación de servicio distribuido (DDoS).

Note

Si el nombre de dominio consultado está relacionado con log4j, los campos de la búsquedaasociada incluirán los siguientes valores:

• Service.Información adicional.threatListName= Amazon• Service.additionalInfo.ThreatName = Log4j Relacionado

Note

Para probar cómoGuardDutygenera este tipo de hallazgo, puede realizar una solicitud DNSdesde su instancia (mediantedigpara Linux onslookuppara Windows) contra un dominio depruebaguarddutyc2activityb.com.



Backdoor:EC2/DenialOfService.DnsUna instancia EC2 tiene un comportamiento que puedeindicar que se está utilizando para llevar a cabo un ataque dedenegación de servicio (DoS) mediante el protocolo DNS.Gravedad predeterminada: Alta


38

Amazon GuardDuty Amazon GuardDuty Guía del usuario deBackdoor:EC2/DenialOfService.Tcp

Este hallazgo le informa de que la instancia EC2 enumerada dentro de suAWSentorno genera un granvolumen de tráfico DNS saliente. Esto puede indicar que la instancia de la lista está comprometida y seutiliza para realizardenial-of-service(DoS) mediante el protocolo DNS.

Note

Este resultado solo detecta los ataques DoS contra direcciones IP direccionables públicamente,que son los objetivos principales de este tipo de ataques.



Backdoor:EC2/DenialOfService.TcpUna instancia EC2 se comporta de una manera que indica que seestá utilizando para realizar un ataque de denegación de servicio(DoS) mediante el protocolo TCP.Gravedad predeterminada: Alta


Este hallazgo le informa de que la instancia EC2 enumerada dentro de suAWSestá generando un granvolumen de tráfico TCP saliente. Esto puede indicar que la instancia está comprometida y que se estáutilizando para llevar a cabodenial-of-service(DoS) mediante el protocolo TCP.

Note




Backdoor:EC2/DenialOfService.UdpUna instancia EC2 se comporta de una manera que indica que seestá utilizando para realizar un ataque de denegación de servicio(DoS) mediante el protocolo UDP.Gravedad predeterminada: Alta


Este hallazgo le informa de que la instancia EC2 enumerada dentro de suAWSestá generando un granvolumen de tráfico UDP saliente. Esto puede indicar que la instancia de la lista está comprometida y seutiliza para realizardenial-of-service(DoS) mediante el protocolo UDP.

39

Amazon GuardDuty Amazon GuardDuty Guía del usuario deBackdoor:EC2/DenialOfService.UdpOnTcpPorts

Note




Backdoor:EC2/DenialOfService.UdpOnTcpPortsUna instancia EC2 tiene un comportamiento que puedeindicar que se está utilizando para llevar a cabo un ataque dedenegación de servicio (DoS) mediante el protocolo UDP en unpuerto TCP.Gravedad predeterminada: Alta


Este hallazgo le informa de que la instancia EC2 enumerada dentro de suAWSestá generando un granvolumen de tráfico UDP saliente destinado a un puerto que se suele utilizar para la comunicación TCP.Esto puede indicar que la instancia de la lista está comprometida y se está utilizando para realizarundenial-of-service(DoS) mediante el protocolo UDP en un puerto TCP.

Note




Backdoor:EC2/DenialOfService.UnusualProtocolUna instancia EC2 tiene un comportamiento que puedeindicar que se está utilizando para llevar a cabo un ataque dedenegación de servicio (DoS) utilizando un protocolo inusual.Gravedad predeterminada: Alta


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSestá generando un gran volumen detráfico saliente a partir de un tipo de protocolo inusual que no suelen utilizar las instancias EC2, como elprotocolo de administración de grupos de Internet. Esto puede indicar que la instancia está comprometiday que se está utilizando para llevar a cabodenial-of-service(DoS) mediante un protocolo inusual. Este

40

Amazon GuardDuty Amazon GuardDuty Guía del usuario deBackdoor:EC2/Spambot

resultado solo detecta los ataques DoS contra direcciones IP direccionables públicamente, que son losobjetivos principales de este tipo de ataques.



Backdoor:EC2/SpambotUna instancia EC2 exhibe un comportamiento inusual alcomunicarse con un host remoto en el puerto 25.Gravedad predeterminada: Medio


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSel entorno se está comunicando conun host remoto en el puerto 25. Este comportamiento es inusual, ya que esta instancia EC2 no tiene unhistorial previo de comunicaciones en el puerto 25. El puerto 25 lo utilizan tradicionalmente los servidoresde correo para las comunicaciones SMTP. Este resultado indica que la instancia EC2 es posible que sevea comprometida para su uso en el envío de spam.



Behavior:EC2/NetworkPortUnusualUna instancia EC2 se comunica con un host remoto en un puertode servidor inusual.Gravedad predeterminada: Medio


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSel entorno se está comportando deuna manera que se desvía de la referencia establecida. Esta instancia EC2 no tiene historial previo decomunicaciones en este puerto remoto.

Note

Si la instancia EC2 se comunica en el puerto 389 o 1389, la gravedad de la búsqueda asociada semodificará a Alta y los campos de búsqueda incluirán el siguiente valor:

• Service.additionalInfo.context = Posible devolución de llamada log4j



41

Amazon GuardDuty Amazon GuardDuty Guía del usuario deBehavior:EC2/TrafficVolumeUnusual

Behavior:EC2/TrafficVolumeUnusualUna instancia EC2 genera una cantidad inusualmente elevada detráfico de red a un host remoto.Gravedad predeterminada: Medio


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSel entorno se está comportando deuna manera que se desvía de la referencia establecida. Esta instancia EC2 no tiene historial previo deenvío de esta cantidad de tráfico a este host remoto.



CryptoCurrency:EC2/BitcoinTool.BUna instancia EC2 consulta una dirección IP asociada con unaactividad relacionada con una criptomoneda.Gravedad predeterminada: Alta


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSestá consultando una dirección IPasociada con Bitcoin u otra actividad relacionada con la criptomoneda. Bitcoin es un sistema mundial depago digital y criptomoneda. Bitcoin es una recompensa para la minería de bitcoins y es muy buscado porlos actores de amenazas.


Si usa esta instancia EC2 para extraer o administrar criptomoneda, o esta instancia está involucrada deotra manera en la actividad de blockchain, es posible que este resultado sea una actividad esperadapara su entorno. Si este es el caso de tuAWS, le recomendamos que configure una regla de supresiónpara este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criteriosdeben utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:EC2/BitcoinTool.B.El segundo criterio de filtro debe ser el ID de instancia de la instancia involucrada en la actividad deblockchain. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas desupresión (p. 108).


CryptoCurrency:EC2/BitcoinTool.B!DNSUna instancia EC2 consulta un nombre de dominio asociado conla actividad relacionada con la criptomoneda.

42

Amazon GuardDuty Amazon GuardDuty Guía del usuario deImpact:EC2/AbusedDomainRequest.Reputation

Gravedad predeterminada: Alta


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSEnvironment está consultando unnombre de dominio asociado con Bitcoin u otra actividad relacionada con la criptomoneda. Bitcoin es unsistema mundial de pago digital y criptomoneda. Bitcoin es una recompensa para la minería de bitcoins yes muy buscado por los actores de amenazas.


Si usa esta instancia EC2 para extraer o administrar criptomoneda, o esta instancia está involucrada deotra manera en la actividad de blockchain, es posible que este resultado sea una actividad esperadapara su entorno. Si este es el caso de tuAWS, le recomendamos que configure una regla de supresiónpara este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criteriosdeben utilizar el atributo Tipo de resultado con un valor de CryptoCurrency:EC2/BitcoinTool.B!DNS. El segundo criterio de filtro debe ser el ID de instancia de la instancia involucrada en la actividad deblockchain. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas desupresión (p. 108).


Impact:EC2/AbusedDomainRequest.ReputationUna instancia EC2 está consultando un nombre de dominio debaja reputación que está asociado con dominios maltratadosconocidos.Gravedad predeterminada: Medio


Este hallazgo le informa de que la instancia Amazon EC2 incluida en la lista de suAWSestá consultandoun nombre de dominio de baja reputación asociado a dominios o direcciones IP que se conocen que sehan abusado. Ejemplos de dominios abusados son los nombres de dominio de nivel superior (TLD) ylos nombres de dominio de segundo nivel (2LD) que proporcionan registros de subdominios gratuitos,así como proveedores DNS dinámicos. Los actores de amenazas tienden a utilizar estos servicios pararegistrar dominios de forma gratuita o a bajo costo. Los dominios de baja reputación de esta categoríatambién pueden ser dominios caducados que se resuelven en la dirección IP de estacionamiento deun registrador y, por lo tanto, pueden dejar de estar activos. Una IP de estacionamiento es donde unregistrador dirige el tráfico de dominios que no se han vinculado a ningún servicio. La instancia AmazonEC2 de la lista puede verse comprometida, ya que los actores de amenazas suelen utilizar estosregistradores o servicios para la distribución de C&C y malware.

Los dominios de baja reputación se basan en un modelo de puntuación de reputación. Este modelo evalúay clasifica las características de un dominio para determinar su probabilidad de ser malicioso.



43

Amazon GuardDuty Amazon GuardDuty Guía del usuario deImpact:EC2/BitcoinDomainRequest.Reputation

Impact:EC2/BitcoinDomainRequest.ReputationUna instancia EC2 está consultando un nombre de dominio debaja reputación asociado con la actividad relacionada con lacriptomoneda.Gravedad predeterminada: Alta


Este hallazgo le informa de que la instancia Amazon EC2 incluida en la lista de suAWSEnvironment estáconsultando un nombre de dominio de baja reputación asociado con Bitcoin u otra actividad relacionadacon la criptomoneda. Bitcoin es un sistema mundial de pago digital y criptomoneda. Bitcoin es unarecompensa para la minería de bitcoins y es muy buscado por los actores de amenazas.



Si usa esta instancia EC2 para extraer o administrar criptomoneda, o esta instancia está involucrada deotra manera en la actividad de blockchain, este resultado podría representar la actividad esperada para suentorno. Si este es el caso de tuAWS, le recomendamos que configure una regla de supresión para estehallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizarel atributo Tipo de resultado con un valor de Impact:EC2/BitcoinDomainRequest.Reputation.El segundo criterio de filtro debe ser el ID de instancia de la instancia involucrada en la actividad deblockchain. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas desupresión (p. 108).


Impact:EC2/MaliciousDomainRequest.ReputationUna instancia EC2 está consultando un dominio de bajareputación que está asociado con dominios malintencionadosconocidos.Gravedad predeterminada: Alta


Este hallazgo le informa de que la instancia Amazon EC2 incluida en la lista de suAWSestá consultandoun nombre de dominio de baja reputación asociado a dominios maliciosos conocidos o direcciones IP. Porejemplo, los dominios pueden estar asociados a una dirección IP de sumidero conocida. Los dominioshunkholed son dominios que anteriormente estaban controlados por un actor de amenaza y las solicitudesque se les hicieron pueden indicar que la instancia está comprometida. Estos dominios también puedenestar correlacionados con campañas maliciosas conocidas o algoritmos de generación de dominios.


44

Amazon GuardDuty Amazon GuardDuty Guía del usuario deImpact:EC2/PortSweep



Impact:EC2/PortSweepUna instancia EC2 está sondeando un puerto en un gran númerode direcciones IP.Gravedad predeterminada: Alta


Este hallazgo le informa de la instancia EC2 enumerada en suAWSestá sondeando un puerto en un grannúmero de direcciones IP enrutables públicamente. Este tipo de actividad se utiliza normalmente paraencontrar hosts vulnerables para explotar.



Impact:EC2/SuspiciousDomainRequest.ReputationUna instancia EC2 está consultando un nombre de dominio debaja reputación que es sospechoso por su antigüedad o su bajapopularidad.Gravedad predeterminada: Baja


Este hallazgo le informa de que la instancia Amazon EC2 incluida en la lista de suAWSestá consultando unnombre de dominio de baja reputación que se sospecha que es malicioso. notaron características de estedominio que eran coherentes con los dominios maliciosos observados anteriormente, sin embargo, nuestromodelo de reputación no pudo relacionarlo definitivamente con una amenaza conocida. Por lo general,estos dominios se observan recientemente o reciben poca cantidad de tráfico.




Impact:EC2/WinRMBruteForceUna instancia EC2 está llevando a cabo un ataque de fuerzabruta de Administración remota de Windows saliente.

45

Amazon GuardDuty Amazon GuardDuty Guía del usuario deRecon:EC2/PortProbeEMRUnprotectedPort

Gravedad predeterminada: Baja

Note

La gravedad de este hallazgo es baja si su instancia EC2 era el objetivo de un ataque de fuerzabruta. La gravedad de este resultado es alta si su instancia EC2 se utiliza para realizar el ataquede fuerza bruta.


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSestá realizando un ataque defuerza bruta de administración remota de Windows (WinRM) destinado a obtener acceso al servicio deadministración remota de Windows en sistemas basados en Windows.



Recon:EC2/PortProbeEMRUnprotectedPortUna instancia EC2 tiene un puerto relacionado con EMRdesprotegido que un host malintencionado conocido estásondeando.Gravedad predeterminada: Alta


Este resultado le informa de que un puerto sensible relacionado con EMR en la instancia EC2 mostradaque forma parte de un clúster delAWSUn grupo de seguridad, una lista de control de acceso (ACL) o unfirewall del host como Linux IPTables, y está siendo sondeado activamente por escáneres conocidos enInternet. Los puertos que pueden activar este resultado, como el puerto 8088 (puerto de IU web YARN),podrían utilizarse potencialmente para la ejecución remota de código.


Debería bloquear el acceso libre a los puertos en los clústeres desde Internet y restringir el acceso solo adirecciones IP específicas que requieren acceso a estos puertos. Para obtener más información, consulteGrupos de seguridad para clústeres de EMR.

Recon:EC2/PortProbeUnprotectedPortUna instancia EC2 tiene un puerto sin protección que un hostmalintencionado conocido está sondeando.Gravedad predeterminada: Baja

Note

La gravedad predeterminada de este resultado es baja. Sin embargo, si el puerto que se estáprobando es utilizado por (9200 o 9300), la gravedad del hallazgo es Alta.

46

https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deRecon:EC2/Portscan


Este hallazgo le informa de que un puerto de la instancia EC2 mostrada en suAWSUn grupo de seguridad,una lista de control de acceso (ACL) o un firewall del host como Linux IPTables, y está siendo sondeadoactivamente por escáneres conocidos en Internet.

Si el puerto desprotegido identificado es 22 o 3389 y utiliza estos puertos para conectarse a su instancia,aún puede limitar la exposición permitiendo el acceso a estos puertos solo a las direcciones IP desde elespacio de direcciones IP de su red corporativa. Para restringir el acceso al puerto 22 en Linux, consulteAutorización del tráfico de entrada para sus instancias de Linux. Para restringir el acceso al puerto 3389 enWindows, consulte Autorización del tráfico de entrada para sus instancias de Windows.


Puede haber casos en los que las instancias se exponen de forma intencionada, por ejemplo, siestán alojando servidores web. Si este es el caso de tuAWS, le recomendamos que configure unaregla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro.Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/PortProbeUnprotectedPort. El segundo criterio de filtro debe coincidir con la instancia oinstancias que sirven como host de bastión. Puede utilizar laID de imagen de la instanciaAtributodeEtiquetaratributo de valor, en función de los criterios que se identifiquen con las instancias quealojan estas herramientas. Para obtener más información sobre la creación de reglas de supresión,consulteReglas de supresión (p. 108).


Recon:EC2/PortscanUna instancia EC2 realiza exploraciones de puertos salientes aun host remoto.Gravedad predeterminada: Medio


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSEl entorno está realizando un posibleataque de escaneo de puertos, porque está intentando conectarse a varios puertos en un breve períodode tiempo. El objetivo de un ataque de escaneo de puertos es localizar puertos abiertos para descubrir losservicios que está ejecutando el equipo e identificar su sistema operativo.


Este resultado puede ser un positivo falso cuando se implementan aplicaciones de evaluación devulnerabilidades en instancias EC2 en su entorno porque estas aplicaciones realizan exploracionesde puertos para alertarle sobre puertos abiertos mal configurados. Si este es el caso de tuAWS, lerecomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debeconstar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con unvalor de Recon:EC2/Portscan. El segundo criterio de filtro debe coincidir con la instancia o instanciasque albergan estas herramientas de evaluación de vulnerabilidades. Puede utilizar laID de imagen dela instanciaAtributo deEtiquetaratributo de valor en función de los criterios que se identifiquen con lasinstancias que alojan estas herramientas. Para obtener más información sobre la creación de reglas desupresión, consulteReglas de supresión (p. 108).

47

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/authorizing-access-to-an-instance.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deTrojan:EC2/BlackholeTraffic


Trojan:EC2/BlackholeTrafficUna instancia EC2 intenta comunicarse con una dirección IP deun host remoto que es un agujero negro conocido.Gravedad predeterminada: Medio


Este hallazgo le informa de la instancia EC2 enumerada en suAWSEl entorno podría estar comprometido,ya que está intentando comunicarse con una dirección IP de agujero negro (o agujero de sumidero). Losagujeros negros son lugares de la red donde el tráfico entrante o saliente se descarta silenciosamente sininformar al origen de que los datos no han llegado a su destinatario. Una dirección IP de agujero negroespecifica una máquina host que no se está ejecutando o una dirección a la que no se le ha asignadoningún host.



Trojan:EC2/BlackholeTraffic!DNSUna instancia EC2 consulta un nombre de dominio que se estáredireccionando a una dirección IP de agujero negro.Gravedad predeterminada: Medio


Este hallazgo le informa de la instancia EC2 enumerada en suAWSEl entorno podría estar comprometido,ya que está consultando un nombre de dominio que se está redireccionando a una dirección IP deagujero negro. Los agujeros negros son lugares de la red donde el tráfico entrante o saliente se descartasilenciosamente sin informar al origen de que los datos no han llegado a su destinatario.



Trojan:EC2/DGADomainRequest.BUna instancia EC2 consulta dominios generados mediantealgoritmo. El malware suele utilizar dichos dominios y podríaindicar una instancia EC2 comprometida.Gravedad predeterminada: Alta

48

Amazon GuardDuty Amazon GuardDuty Guía del usuario deTrojan:EC2/DGADomainRequest.C!DNS


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSenvironment está intentandoconsultar los dominios del algoritmo de generación de dominios (DGA). La instancia EC2 podría estarcomprometida.

Los dominios DGA se utilizan para generar de forma periódica una gran cantidad de nombres de dominioque se pueden usar como puntos de encuentro con sus servidores de comando y control (C & C). Losservidores de mando y control son equipos que envían comandos a los miembros de un botnet, que es unacolección de dispositivos conectados a Internet que están infectados y controlados por un tipo común demalware. El gran número de posibles puntos de encuentro dificulta un apagado eficaz de los botnets, yaque los equipos infectados intentan ponerse en contacto con algunos de estos nombres de dominio cadadía para recibir actualizaciones o comandos.

Note

Este resultado se basa en el análisis de nombres de dominio utilizando heurística avanzada ypuede identificar nuevos dominios DGA que no están presentes en fuentes de inteligencia deamenazas.



Trojan:EC2/DGADomainRequest.C!DNSUna instancia EC2 consulta dominios generados mediantealgoritmo. El malware suele utilizar dichos dominios y podríaindicar una instancia EC2 comprometida.Gravedad predeterminada: Alta


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSenvironment está intentandoconsultar los dominios del algoritmo de generación de dominios (DGA). La instancia EC2 podría estarcomprometida.

Los dominios DGA se utilizan para generar de forma periódica una gran cantidad de nombres de dominioque se pueden usar como puntos de encuentro con sus servidores de comando y control (C & C). Losservidores de mando y control son equipos que envían comandos a los miembros de un botnet, que es unacolección de dispositivos conectados a Internet que están infectados y controlados por un tipo común demalware. El gran número de posibles puntos de encuentro dificulta un apagado eficaz de los botnets, yaque los equipos infectados intentan ponerse en contacto con algunos de estos nombres de dominio cadadía para recibir actualizaciones o comandos.

Note

Este hallazgo se basa en dominios DGA conocidos deGuardDutysus fuentes de inteligencia deamenazas.


49

Amazon GuardDuty Amazon GuardDuty Guía del usuario deTrojan:EC2/DNSDataExfiltration


Trojan:EC2/DNSDataExfiltrationUna instancia EC2 sustrae datos a través de consultas de DNS.Gravedad predeterminada: Alta


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSEl entorno está ejecutando malwareque utiliza consultas DNS para transferencias de datos salientes. Este tipo de transferencia de datos esindicativo de una instancia comprometida y podría dar lugar a la filtración de datos. Por lo general, el tráficode DNS no está bloqueado por los firewalls. Por ejemplo, el malware de una instancia EC2 comprometidapuede codificar datos (como el número de su tarjeta de crédito) en una consulta de DNS y enviarlos a unservidor DNS remoto controlado por un atacante.



Trojan:EC2/DriveBySourceTraffic!DNSUna instancia EC2 consulta un nombre de dominio de un hostremoto que es una fuente conocida de ataques de descargaDrive-By.Gravedad predeterminada: Alta


Este hallazgo le informa de que la instancia EC2 mostrada en suAWSEl entorno podría estarcomprometido, ya que está consultando un nombre de dominio de un host remoto que es una fuenteconocida de ataques Drive-by download. Se trata de descargas no deseadas de software informáticodesde Internet que pueden activar la instalación automática de un virus, spyware o malware.



Trojan:EC2/DropPointUna instancia EC2 está intentando comunicarse con unadirección IP de un host remoto que se sabe que mantienecredenciales y otros datos robados capturados por malware.Gravedad predeterminada: Medio

50

Amazon GuardDuty Amazon GuardDuty Guía del usuario deTrojan:EC2/DropPoint!DNS


Este hallazgo le informa de que una instancia EC2 delAWSEl entorno está intentando comunicarsecon una dirección IP de un host remoto que se sabe que mantiene credenciales y otros datos robadoscapturados por malware.



Trojan:EC2/DropPoint!DNSUna instancia EC2 está consultando un nombre de dominio deun host remoto que se conoce que mantiene credenciales y otrosdatos robados capturados por malware.Gravedad predeterminada: Medio


Este hallazgo le informa de que una instancia EC2 delAWSEl entorno está consultando un nombre dedominio de un host remoto que se sabe que mantiene credenciales y otros datos robados capturados pormalware.



Trojan:EC2/PhishingDomainRequest!DNSUna instancia EC2 consulta dominios implicados en ataques dephishing. La instancia EC2 podría estar comprometida.Gravedad predeterminada: Alta


Este hallazgo le informa de que hay una instancia EC2 en elAWSentorno que está intentando consultarun dominio implicado en ataques de phishing. Los dominios de phishing están configurados por alguienque se presenta como una institución legítima para inducir a las personas a proporcionar informaciónconfidencial, como información de identificación personal, datos bancarios y de tarjetas de crédito ycontraseñas. La instancia EC2 podría estar intentando recuperar datos confidenciales almacenados en unsitio web de phishing o podría estar intentando configurar un sitio web de phishing. La instancia EC2 podríaestar comprometida.


51

Amazon GuardDuty Amazon GuardDuty Guía del usuario deUnauthorizedAccess:EC2/MaliciousIPCaller.Custom


UnauthorizedAccess:EC2/MaliciousIPCaller.CustomUna instancia EC2 está estableciendo conexiones con unadirección IP de una lista de amenazas personalizada.Gravedad predeterminada: Medio


Este hallazgo le informa de que una instancia EC2 delAWSel entorno se está comunicando con unadirección IP incluida en una lista de amenazas que se ha cargado. En GuardDuty, una lista de amenazasestá formada por direcciones IP malintencionadas conocidas. GuardDuty genera resultados basados enlas listas de amenazas cargadas. La lista de amenazas utilizada para generar este resultado se mostraráen los detalles del resultado.



UnauthorizedAccess:EC2/MetadataDNSRebindUna instancia EC2 está realizando búsquedas de DNS que seresuelven en el servicio de metadatos de la instancia.Gravedad predeterminada: Alta


Este hallazgo le informa de que una instancia EC2 delAWSEl entorno está consultando un dominio que seresuelve en la dirección IP de metadatos EC2 (169.254.169.254). Una consulta de DNS de este tipo puedeindicar que la instancia es objetivo de una técnica de revinculación de DNS. Esta técnica se puede utilizarpara obtener metadatos de una instancia EC2, incluidas las credenciales de IAM asociadas a ella.

La revinculación de DNS implica engañar a una aplicación que se ejecuta en la instancia EC2 para quecargue datos devueltos desde una URL, de tal forma que el nombre de dominio de la URL se resuelve enla dirección IP de metadatos de EC2 (169.254.169.254). Esto hace que la aplicación obtenga acceso a losmetadatos de EC2 y, posiblemente, los ponga a disposición del atacante.

Únicamente es posible obtener acceso a los metadatos de EC2 mediante la revinculación de DNS si lainstancia EC2 ejecuta una aplicación vulnerable que permite la inserción de URL o si alguien obtieneacceso a la URL en un navegador web que se ejecuta en la instancia EC2.


En respuesta a este resultado, debe evaluar si hay una aplicación vulnerable que se está ejecutando en lainstancia EC2 o si alguien ha utilizado un navegador para acceder al dominio identificado en el resultado.Si la causa raíz es una aplicación vulnerable, debe corregir la vulnerabilidad. Si alguien ha navegadopor el dominio identificado, debe bloquear el dominio o impedir que los usuarios obtengan acceso a él.

52

Amazon GuardDuty Amazon GuardDuty Guía del usuario deUnauthorizedAccess:EC2/RDPBruteForce

Si determina que este hallazgo está relacionado con cualquiera de los casos anteriores, deberevocar lasesión asociada a la instancia EC2.

AlgunoAWSLos clientes asignan deliberadamente la dirección IP de metadatos a un nombre dedominio en sus servidores DNS autorizados. Si este es el caso en su entorno, le recomendamos queconfigure una regla de supresión para este resultado. La regla de supresión debe constar de doscriterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor deUnauthorizedAccess:EC2/MetaDataDNSRebind. El segundo criterio de filtro debe ser Dominio dela solicitud DNS y el valor debe coincidir con el dominio que ha mapeado a la dirección IP de metadatos(169.254.169.254). Para obtener más información sobre la creación de reglas de supresión, consulteReglas de supresión (p. 108).

UnauthorizedAccess:EC2/RDPBruteForceUna instancia EC2 se ve implicada en ataques de fuerza brutaRDP.Gravedad predeterminada: Baja

Note

La gravedad de este hallazgo es baja si su instancia EC2 era el objetivo de un ataque de fuerzabruta. La gravedad de este resultado es alta si su instancia EC2 se utiliza para realizar el ataquede fuerza bruta.


Este hallazgo le informa de que una instancia EC2 delAWSEl entorno se ha visto envuelta en un ataque defuerza bruta destinado a obtener contraseñas para servicios de RDP en sistemas basados en Windows.Esto puede indicar un acceso no autorizado a suAWSde AWS.


Si la instanciaRol de recursoesACTOR, esto indica que su instancia se ha utilizado para llevar a caboataques de fuerza bruta RDP. A no ser que esta instancia tenga un motivo legítimo para ponerseen contacto con la dirección IP mostrada comoTarget, se recomienda que asuma que su instanciase ha visto comprometida y realice las acciones mostradas enSolución de una instancia EC2comprometida (p. 131).

Si la instanciaRol de recursoesTARGET, este resultado puede remediarse protegiendo su puerto RDPsolo a IP de confianza a través de grupos de seguridad, ACL o firewalls. Para obtener más información,consulteSugerencias para proteger la instancia EC2.

UnauthorizedAccess:EC2/SSHBruteForceUna instancia EC2 se ve implicada en ataques de fuerza brutaSSH.Gravedad predeterminada: Baja

Note

La gravedad de este hallazgo es baja si un ataque de fuerza bruta está dirigido a una de lasinstancias EC2. La gravedad de este resultado es alta si la instancia EC2 se está utilizando pararealizar el ataque de fuerza bruta.

53

id_roles_use_revoke-sessions.html

id_roles_use_revoke-sessions.html

http://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/

Amazon GuardDuty Amazon GuardDuty Guía del usuario deUnauthorizedAccess:EC2/TorClient


Este hallazgo le informa de que una instancia EC2 delAWSEl entorno se ha visto envuelta en un ataque defuerza bruta destinado a obtener contraseñas para servicios de SSH en sistemas basados en Linux. Estopuede indicar un acceso no autorizado a suAWSde AWS.

Note

Este resultado solo se genera mediante el monitoreo del tráfico en el puerto 22 por parte de . Silos servicios de SSH están configurados para usar otros puertos, no se genera este resultado.


Si el objetivo del intento de fuerza bruta es un anfitrión de bastión, esto podría representarel comportamiento esperado para suAWSEntorno. Si este es el caso, le recomendamos queconfigure una regla de supresión para este hallazgo. La regla de supresión debe constar de doscriterios de filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor deUnauthorizedAccess:EC2/SSHBruteForce. El segundo criterio de filtro debe coincidir con la instanciao instancias que sirven como host de bastión. Puede utilizar laID de imagen de la instanciaAtributodeEtiquetaratributo de valor en función de los criterios que se identifiquen con las instancias quealojan estas herramientas. Para obtener más información sobre la creación de reglas de supresión,consulteReglas de supresión (p. 108).

Si no se espera esta actividad para el entorno y la de su instanciaRol de recursoesTARGET, este resultadopuede remediarse protegiendo su puerto SSH solo a IP de confianza a través de grupos de seguridad, ACLo firewalls. Para obtener más información, consulteSugerencias para proteger la instancia EC2.

Si la instanciaRol de recursoesACTOR, esto indica que la instancia se ha utilizado para llevar a caboataques de fuerza bruta SSH. A no ser que esta instancia tenga un motivo legítimo para ponerseen contacto con la dirección IP mostrada comoTarget, se recomienda que asuma que su instanciase ha visto comprometida y realice las acciones mostradas enSolución de una instancia EC2comprometida (p. 131).

UnauthorizedAccess:EC2/TorClientLa instancia EC2 está estableciendo conexiones con un guardiaTor o un nodo Authority.Gravedad predeterminada: Alta


Este hallazgo le informa de que una instancia EC2 delAWSel entorno está estableciendo conexiones conun guardia Tor o un nodo Authority. Tor es un software que permite las comunicaciones anónimas. Losguardias Tor y los nodos Authority actúan como gateways a una red Tor. Este tráfico puede indicar queesta instancia EC2 se ha visto comprometida y está actuando como cliente en una red Tor. Este hallazgopuede indicar un acceso no autorizado a suAWSrecursos con la intención de ocultar la verdadera identidaddel atacante.



54


Amazon GuardDuty Amazon GuardDuty Guía del usuario deUnauthorizedAccess:EC2/TorRelay

UnauthorizedAccess:EC2/TorRelayLa instancia EC2 establece conexiones a una red Tor comorepetidor Tor.Gravedad predeterminada: Alta


Este hallazgo le informa de que una instancia EC2 delAWSestá estableciendo conexiones con unared Tor de una manera que sugiere que actúa como un repetidor Tor. Tor es un software que permitelas comunicaciones anónimas. Tor aumenta el anonimato de la comunicación reenviando el tráficopotencialmente ilícito del cliente de un repetidor Tor a otro.



Tipos de resultados de GuardDuty S3Los siguientes resultados son específicos de los recursos de S3 y tendrán unTipo derecursodeS3Bucketsi el origen de datos esEventos de datos de S3 CloudTrail, o bienAccessKeysi elorigen de datos esEventos de CloudTrail. La gravedad y los detalles de los resultados variarán en funcióndel tipo de resultado y el permiso asociado con el bucket.


Important

Resultados con una fuente de datos deEventos de datos de S3 CloudTrailsolo se generan sitiene habilitada la protección S3 para GuardDuty. La protección S3 está habilitada de formapredeterminada en todas las cuentas creadas después del 31 de julio de 2020. Para obtenerinformación sobre cómo habilitar o deshabilitar la protección de S3, consulteAmazon S3Protection en Amazon GuardDuty (p. 18)

Para todos los resultados del tipo de bucket de S3 se recomienda que examine los permisos del bucketen cuestión y los permisos de los usuarios implicados en el resultado, si la actividad es inesperadaconsulte las recomendaciones de corrección que se detallan enResolución de un bucket de S3comprometido (p. 131).

Temas• Discovery:S3/MaliciousIPCaller (p. 56)• Discovery:S3/MaliciousIPCaller.Custom (p. 56)• Discovery:S3/TorIPCaller (p. 57)• Exfiltration:S3/MaliciousIPCaller (p. 57)• Exfiltration:S3/ObjectRead.Unusual (p. 57)• Impact:S3/MaliciousIPCaller (p. 58)• PenTest:S3/KaliLinux (p. 58)• PenTest:S3/ParrotLinux (p. 59)

55

Amazon GuardDuty Amazon GuardDuty Guía del usuario deDiscovery:S3/MaliciousIPCaller

• PenTest:S3/PentooLinux (p. 59)• Policy:S3/AccountBlockPublicAccessDisabled (p. 60)• Policy:S3/BucketAnonymousAccessGranted (p. 60)• Policy:S3/BucketBlockPublicAccessDisabled (p. 61)• Policy:S3/BucketPublicAccessGranted (p. 61)• Stealth:S3/ServerAccessLoggingDisabled (p. 62)• UnauthorizedAccess:S3/MaliciousIPCaller.Custom (p. 62)• UnauthorizedAccess:S3/TorIPCaller (p. 62)

Discovery:S3/MaliciousIPCallerAPI de S3 que se usa comúnmente para descubrir recursos enunAWSse ha invocado desde una dirección IP malintencionadaconocida.Gravedad predeterminada: media Alta

• Origen de datos:Eventos de datos de S3 CloudTrail

Este resultado le informa de que una operación API de S3 se ha invocado desde una dirección IP asociadaa una actividad malintencionada conocida. La API observada se asocia comúnmente a la etapa dedescubrimiento de un ataque cuando un adversario recopila información sobre suAWSEntorno. Entre losejemplos se incluyen:GetObjectAcloListObjects.


Si esta actividad es inesperada para el principal asociado, puede indicar que las credenciales se hanexpuesto o que sus permisos de S3 no son lo suficientemente restrictivos, consulteResolución de unbucket de S3 comprometido (p. 131).

Discovery:S3/MaliciousIPCaller.CustomSe ha invocado una API de S3 desde una dirección IP de unalista de amenazas personalizada.Gravedad predeterminada: media Alta


Este hallazgo le informa de que una API de S3, comoGetObjectAcloListObjectsse ha invocadodesde una dirección IP que se incluye en una lista de amenazas que ha cargado. La lista de amenazasasociada a este hallazgo se muestra en elInformación adicionalsección de los detalles de un hallazgo.Este tipo de actividad se asocia a la etapa de descubrimiento de un ataque, en la que un atacante estárecopilando información para determinar siAWSel entorno es susceptible a un ataque más amplio.



56

Amazon GuardDuty Amazon GuardDuty Guía del usuario deDiscovery:S3/TorIPCaller

Discovery:S3/TorIPCallerSe ha invocado una API de S3 desde una dirección IP de unnodo de salida de Tor.Gravedad predeterminada: media Medio


Este hallazgo le informa de que una API de S3, comoGetObjectAcloListObjectsse ha invocadodesde una dirección IP de un nodo de salida de Tor. Este tipo de actividad se asocia a la etapa dedescubrimiento de un ataque, en la que un atacante está recopilando información para determinar siAWSelentorno es susceptible a un ataque más amplio. Tor es un software que permite las comunicacionesanónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una seriede nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso noautorizado a suAWSrecursos con la intención de ocultar la verdadera identidad del atacante.



Exfiltration:S3/MaliciousIPCallerAPI de S3 que se usa comúnmente para recopilar datos deunAWSse ha invocado desde una dirección IP malintencionadaconocida.Gravedad predeterminada: media Alta


Este resultado le informa de que una operación API de S3 se ha invocado desde una dirección IPasociada a una actividad malintencionada conocida. La API observada se asocia comúnmente contácticas de exfiltración en las que un adversario intenta recopilar datos de su red. Entre los ejemplos seincluyen:GetObjectyCopyObject.



Exfiltration:S3/ObjectRead.UnusualUna entidad de IAM invocó una API de S3 de forma sospechosa.Gravedad predeterminada: media Mediana

57

Amazon GuardDuty Amazon GuardDuty Guía del usuario deImpact:S3/MaliciousIPCaller

Note

La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invocamediante temporalesAWScredenciales creadas en una instancia, la gravedad del resultado esalta.

• Origen de datos:Eventos de S3 CloudTrailData

Este hallazgo le informa de que una entidad de IAM en suAWSestá realizando llamadas a API que implicanun bucket de S3 y que difieren de la línea de base establecida de esa entidad. La llamada a la API utilizadaen esta actividad está asociada a la etapa de exfiltración de un ataque, en la que el atacante intentarecopilar datos. Esta actividad es sospechosa porque la forma en que la entidad de IAM invocó la API erainusual. Por ejemplo, esta entidad de IAM no tenía historial previo de invocar este tipo de API o la API seinvocó desde una ubicación inusual.



Impact:S3/MaliciousIPCallerUna API de S3 que se usa comúnmente para manipular datoso procesos en unAWSse ha invocado desde una dirección IPmalintencionada conocida.Gravedad predeterminada: media Alta


Este resultado le informa de que una operación API de S3 se ha invocado desde una dirección IP asociadaa una actividad malintencionada conocida. La API observada se asocia comúnmente con tácticas deimpacto en las que un adversario intenta manipular, interrumpir o destruir datos dentro de suAWSEntorno.Entre los ejemplos se incluyen:PutObjectoPutObjectAcl.



PenTest:S3/KaliLinuxSe ha invocado una API de S3 desde una máquina Kali Linux.Gravedad predeterminada: media Medio


Este resultado le informa de que una máquina que ejecuta Kali Linux está realizando llamadas ala API de S3 utilizando credenciales que pertenecen a suAWSaccount. Sus credenciales podrían

58

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePenTest:S3/ParrotLinux

estar comprometidas. Kali Linux es una popular herramienta de pruebas de intrusión que utilizan losprofesionales de la seguridad para identificar puntos débiles en las instancias EC2 que requieren laaplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en laconfiguración de EC2 y obtener acceso no autorizado al entorno de AWS.



PenTest:S3/ParrotLinuxSe ha invocado una API de S3 desde una máquina Linux deParrot Security.Gravedad predeterminada: media Medio


Este resultado le informa de que una máquina que ejecuta Parrot Security Linux está realizando llamadasa la API de S3 utilizando credenciales que pertenecen a suAWSaccount. Sus credenciales podrían estarcomprometidas. Parrot Security Linux es una popular herramienta de pruebas de intrusión que utilizanlos profesionales de la seguridad para identificar puntos débiles en las instancias EC2 que requieren laaplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en laconfiguración de EC2 y obtener acceso no autorizado al entorno de AWS.



PenTest:S3/PentooLinuxSe ha invocado una API de S3 desde una máquina Pentoo Linux.Gravedad predeterminada: media Medio


Este resultado le informa de que una máquina que ejecuta Pentoo Linux está realizando llamadas a laAPI de S3 utilizando credenciales que pertenecen a suAWSaccount. Sus credenciales podrían estarcomprometidas. Pentoo Linux es una popular herramienta de pruebas de intrusión que utilizan losprofesionales de la seguridad para identificar puntos débiles en las instancias EC2 que requieren laaplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en laconfiguración de EC2 y obtener acceso no autorizado al entorno de AWS.



59

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePolicy:S3/AccountBlockPublicAccessDisabled

Policy:S3/AccountBlockPublicAccessDisabledUna entidad de IAM invocó una API utilizada para desactivar elacceso público de bloques de S3 en una cuenta de.Gravedad predeterminada: media Baja

• Origen de datos:Eventos de administración CloudTrail

Esta búsqueda le informa de que Amazon S3 Block Public Access se ha deshabilitado a nivel de cuenta.Si está habilitado el acceso público a bloques de S3, se utiliza para filtrar las políticas o listas de controlde acceso (ACL) de los buckets como medida de seguridad con el fin de evitar la exposición públicainvoluntaria de los datos.

Normalmente, el acceso público a bloques de S3 está deshabilitado en una cuenta para permitir el accesopúblico a un bucket o a los objetos del bucket. Cuando S3 Block Public Access está deshabilitado para unacuenta, el acceso a los depósitos se controla mediante las políticas, las ACL o la configuración de BlockPublic Access a nivel de bucket aplicada a los depósitos individuales. Esto no significa necesariamente quelos depósitos se compartan públicamente, sino que debe auditar los permisos aplicados a los depósitospara confirmar que proporcionan el nivel de acceso adecuado.



Policy:S3/BucketAnonymousAccessGrantedUn director de IAM ha concedido acceso a un bucket de S3 aInternet cambiando las políticas de bucket o las ACL.Gravedad predeterminada: media Alta


Este hallazgo le informa de que el bucket de S3 enumerado se ha hecho accesible públicamente enInternet porque una entidad de IAM ha cambiado una política de bucket o una ACL en ese bucket. Una vezdetectado un cambio de política o ACL, utiliza el razonamiento automatizado impulsado porZelkova, paradeterminar si el bucket es accesible públicamente.

Note

Si las ACL o las directivas de bucket de un bucket están configuradas para denegarexplícitamente o para denegar todo, este hallazgo no se puede generar para ese bucket.



60

http://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePolicy:S3/BucketBlockPublicAccessDisabled

Policy:S3/BucketBlockPublicAccessDisabledUna entidad de IAM invocó una API utilizada para desactivar elacceso público de bloques de S3 en un bucket.Gravedad predeterminada: media Baja


Este resultado le informa de que Bloquear acceso público se ha deshabilitado para el bucket de S3 dela lista. Si está habilitado, el acceso público a bloques de S3 se utiliza para filtrar las políticas o listas decontrol de acceso (ACL) que se aplican a los buckets como medida de seguridad con el fin de evitar laexposición pública involuntaria de los datos.

Normalmente, el acceso público a bloques de S3 está deshabilitado en un bucket para permitir el accesopúblico al bucket o a los objetos que este contiene. Cuando S3 Block Public Access está deshabilitadopara un bucket, el acceso al bucket se controla mediante las políticas o ACL que se le aplican. Esto nosignifica que el bucket se comparta públicamente, pero sí es importante auditar las políticas y ACL que seaplican al bucket para confirmar que se apliquen los permisos adecuados.



Policy:S3/BucketPublicAccessGrantedUn principal de IAM ha concedido acceso público a un bucket deS3 a todosAWSusuarios cambiando las políticas de bucket o lasACL.Gravedad predeterminada: media Alta


Este hallazgo le informa de que el bucket de S3 de la lista se ha expuesto públicamente a todos losautenticadosAWSusuarios porque una entidad de IAM ha cambiado una política de bucket o ACL enese bucket de S3. Una vez detectado un cambio de política o ACL, utiliza el razonamiento automatizadoimpulsado porZelkova, para determinar si el bucket es accesible públicamente.

Note

Si las ACL o las directivas de bucket de un bucket están configuradas para denegarexplícitamente o para denegar todo, este hallazgo no se puede generar para ese bucket.



61

http://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/

Amazon GuardDuty Amazon GuardDuty Guía del usuario deStealth:S3/ServerAccessLoggingDisabled

Stealth:S3/ServerAccessLoggingDisabledSe ha deshabilitado el registro de acceso al servidor de S3 paraun bucket.Gravedad predeterminada: media Baja


Este resultado le informa de que el registro de acceso al servidor de S3 está deshabilitado para un bucketdentro de suAWSEntorno. Si está deshabilitado, no se crean registros de solicitudes web para ningúnintento de acceder al bucket de S3 identificado; sin embargo, la API de administración de S3 llama albucket, comoDeleteBucket, siguen siendo rastreados. Si el registro de eventos de datos de S3 estáhabilitado a través de CloudTrail para este bucket, se seguirán realizando un seguimiento de las solicitudesweb de objetos dentro del bucket. La deshabilitación del registro es una técnica utilizada por usuariosno autorizados para evitar la detección. Para obtener más información acerca de los registros de S3,consulteRegistro de acceso al servidor de S3yOpciones de registro de S3.



UnauthorizedAccess:S3/MaliciousIPCaller.CustomSe ha invocado una API de S3 desde una dirección IP de unalista de amenazas personalizada.Gravedad predeterminada: media Alta


Este hallazgo le informa de que una operación de la API de S3, porejemplo,PutObjectoPutObjectAclse ha invocado desde una dirección IP que se incluye en una listade amenazas que ha cargado. La lista de amenazas asociada a este hallazgo se muestra en elInformaciónadicionalsección de los detalles de un hallazgo.



UnauthorizedAccess:S3/TorIPCallerSe ha invocado una API de S3 desde una dirección IP de unnodo de salida de Tor.Gravedad predeterminada: media Alta

62

https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html

https://docs.aws.amazon.com/AmazonS3/latest/userguide/logging-with-S3.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deTipos de resultados de IAM de


Este hallazgo le informa de que una operación de la API de S3, comoPutObjectoPutObjectAclseha invocado desde una dirección IP de un nodo de salida de Tor. Tor es un software que permite lascomunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relésentre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Este resultado puedeindicar un acceso no autorizado a suAWSrecursos con la intención de ocultar la verdadera identidad delatacante.



GuardDutyTipos de resultados de IAM deLos siguientes resultados son específicos de las entidades de IAM y las claves de acceso y siempre tienenunTipo de recursodeAccessKey. La gravedad y los detalles de los resultados varían en función del tipo deresultado.


Para todos los resultados relacionados con IAM, le recomendamos que examine la entidad en cuestión yse asegure de que sus permisos siguen la práctica recomendada de privilegios mínimos. Si la actividad esinesperada, las credenciales pueden verse comprometidas. Consulte las acciones detalladas enResolucióncomprometidaAWScredenciales (p. 133).

Temas• CredentialAccess:IAMUser/AnomalousBehavior (p. 64)• DefenseEvasion:IAMUser/AnomalousBehavior (p. 64)• Discovery:IAMUser/AnomalousBehavior (p. 65)• Exfiltration:IAMUser/AnomalousBehavior (p. 65)• Impact:IAMUser/AnomalousBehavior (p. 66)• InitialAccess:IAMUser/AnomalousBehavior (p. 66)• PenTest:IAMUser/KaliLinux (p. 67)• PenTest:IAMUser/ParrotLinux (p. 67)• PenTest:IAMUser/PentooLinux (p. 68)• Persistence:IAMUser/AnomalousBehavior (p. 68)• Policy:IAMUser/RootCredentialUsage (p. 69)• PrivilegeEscalation:IAMUser/AnomalousBehavior (p. 69)• Recon:IAMUser/MaliciousIPCaller (p. 70)• Recon:IAMUser/MaliciousIPCaller.Custom (p. 70)• Recon:IAMUser/TorIPCaller (p. 71)• Stealth:IAMUser/CloudTrailLoggingDisabled (p. 71)• Stealth:IAMUser/PasswordPolicyChange (p. 71)

63

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCredentialAccess:IAMUser/AnomalousBehavior

• UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B (p. 72)• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS (p. 72)• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS (p. 73)• UnauthorizedAccess:IAMUser/MaliciousIPCaller (p. 74)• UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom (p. 74)• UnauthorizedAccess:IAMUser/TorIPCaller (p. 75)

CredentialAccess:IAMUser/AnomalousBehaviorAPI utilizada para obtener acceso a unAWSentorno se invocó deforma anómala.Gravedad predeterminada: Medio

• Origen de datos:CloudTrailevento de administración

Este hallazgo le informa de que se ha observado una solicitud API anómala en su cuenta. Este hallazgopuede incluir una única API o una serie de solicitudes API relacionadas realizadas en proximidad poruna solaIdentidad de usuario de. La API observada suele asociarse a la etapa de acceso a credencialesde un ataque cuando un adversario intenta recopilar contraseñas, nombres de usuario y claves deacceso para su entorno. Las API de esta categoría sonGetPasswordData,GetSecretValue,yGenerateDbAuthToken.

Esta solicitud de API se identificó como anómala porGuardDutymodelo de aprendizaje automático (ML)de detección de anomalías. El modelo ML evalúa todas las solicitudes de API de su cuenta e identificaeventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo ML realiza unseguimiento de varios factores de la solicitud de API, como el usuario que realizó la solicitud, la ubicacióndesde la que se realizó la solicitud y la API específica solicitada. Los detalles sobre qué factores de lasolicitud de API son inusuales para la identidad del usuario que invocó la solicitud se pueden encontrar enelDetalles de resultados.


Si esta actividad es inesperada sus credenciales pueden verse comprometidas, consulte ResolucióncomprometidaAWScredenciales (p. 133).

DefenseEvasion:IAMUser/AnomalousBehaviorUna API utilizada para eludir las medidas defensivas se invocóde forma anómala.Gravedad predeterminada: Medio


Este hallazgo le informa de que se ha observado una solicitud API anómala en su cuenta. Estehallazgo puede incluir una única API o una serie de solicitudes API relacionadas realizadas enproximidad por una solaIdentidad de usuario de. La API observada se asocia comúnmente contácticas de evasión de defensa en las que un adversario intenta cubrir sus huellas y evitar la detección.

64


https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous


Amazon GuardDuty Amazon GuardDuty Guía del usuario deDiscovery:IAMUser/AnomalousBehavior

Las API de esta categoría suelen ser operaciones de eliminación, desactivación o detención,como,DeleteFlowLogs,DisableAlarmActions, o bienStopLogging.




Discovery:IAMUser/AnomalousBehaviorUna API utilizada comúnmente para descubrir recursos se invocóde forma anómala.Gravedad predeterminada: Baja


Este hallazgo le informa de que se ha observado una solicitud API anómala en su cuenta. Este hallazgopuede incluir una única API o una serie de solicitudes API relacionadas realizadas en proximidad por unasolaIdentidad de usuario de. La API observada se asocia comúnmente a la etapa de descubrimiento deun ataque cuando un adversario está recopilando información para determinar si suAWSel entorno essusceptible a un ataque más amplio. Las API de esta categoría suelen ser operaciones de obtención,descripción o lista, como,DescribeInstances,GetRolePolicy, o bienListAccessKeys.




Exfiltration:IAMUser/AnomalousBehaviorUna API utilizada comúnmente para recopilar datos deunAWSentorno se invocó de forma anómala.Gravedad predeterminada: Alta


65




Amazon GuardDuty Amazon GuardDuty Guía del usuario deImpact:IAMUser/AnomalousBehavior

Este hallazgo le informa de que se ha observado una solicitud API anómala en su cuenta. Este hallazgopuede incluir una única API o una serie de solicitudes API relacionadas realizadas en proximidadpor una solaIdentidad de usuario de. La API observada se asocia comúnmente con tácticas deexfiltración en las que un adversario intenta recopilar datos de su red mediante empaquetado y cifradopara evitar la detección. Las API para este tipo de búsqueda son operaciones de administración(plano de control) únicamente y suelen estar relacionadas con S3, instantáneas y bases de datos,como,PutBucketReplication,CreateSnapshot, o bienRestoreDBInstanceFromDBSnapshot.




Impact:IAMUser/AnomalousBehaviorAPI utilizada comúnmente para manipular datos o procesos enunAWSentorno se invocó de forma anómala.Gravedad predeterminada: Alta


Este hallazgo le informa de que se ha observado una solicitud API anómala en su cuenta. Este hallazgopuede incluir una única API o una serie de solicitudes API relacionadas realizadas en proximidad por unasolaIdentidad de usuario de. La API observada se asocia comúnmente con tácticas de impacto en las queun adversario intenta interrumpir las operaciones y manipular, interrumpir o destruir datos de su cuenta.Las API de este tipo de búsqueda suelen ser operaciones de eliminación, actualización o colocación,como,DeleteSecurityGroup,UpdateUser, o bienPutBucketPolicy.




InitialAccess:IAMUser/AnomalousBehaviorAPI utilizada comúnmente para obtener acceso no autorizado aunAWSentorno se invocó de forma anómala.

66





Amazon GuardDuty Amazon GuardDuty Guía del usuario dePenTest:IAMUser/KaliLinux

Gravedad predeterminada: Medio


Este hallazgo le informa de que se ha observado una solicitud API anómala en su cuenta. Este hallazgopuede incluir una única API o una serie de solicitudes API relacionadas realizadas en proximidad poruna solaIdentidad de usuario de. La API observada suele asociarse a la etapa de acceso inicial de unataque cuando un adversario intenta establecer acceso a su entorno. Las API de esta categoría suelenser obtención de token o operaciones de sesión, como,GetFederationToken,StartSession, obienGetAuthorizationToken.




PenTest:IAMUser/KaliLinuxSe ha invocado una API desde un equipo EC2 de Kali Linux.Gravedad predeterminada: Medio


Este resultado le informa de que una máquina que ejecuta Kali Linux está realizando llamadas a la APIutilizando credenciales que pertenecen a la listaAWScuenta en su entorno. Kali Linux es una popularherramienta de pruebas de intrusión que utilizan los profesionales de la seguridad para identificar puntosdébiles en las instancias EC2 que requieren la aplicación de parches. Los atacantes también utilizan estaherramienta para encontrar puntos débiles en la configuración de EC2 y obtener acceso no autorizado alentorno de AWS.



PenTest:IAMUser/ParrotLinuxSe ha invocado una API desde un equipo Linux de ParrotSecurity.Gravedad predeterminada: Medio


67



Amazon GuardDuty Amazon GuardDuty Guía del usuario dePenTest:IAMUser/PentooLinux

Este resultado le informa de que una máquina que ejecuta Parrot Security Linux está realizando llamadasa la API utilizando credenciales que pertenecen a la listaAWScuenta en su entorno. Parrot Security Linuxes una popular herramienta de pruebas de intrusión que utilizan los profesionales de la seguridad paraidentificar puntos débiles en las instancias EC2 que requieren la aplicación de parches. Los atacantestambién utilizan esta herramienta para encontrar puntos débiles en la configuración de EC2 y obteneracceso no autorizado al entorno de AWS.



PenTest:IAMUser/PentooLinuxSe ha invocado una API desde un equipo Linux de Pentoo.Gravedad predeterminada: Medio


Este resultado le informa de que una máquina que ejecuta Pentoo Linux está realizando llamadas a la APIutilizando credenciales que pertenecen a la listaAWScuenta en su entorno. Pentoo Linux es una popularherramienta de pruebas de intrusión que utilizan los profesionales de la seguridad para identificar puntosdébiles en las instancias EC2 que requieren la aplicación de parches. Los atacantes también utilizan estaherramienta para encontrar puntos débiles en la configuración de EC2 y obtener acceso no autorizado alentorno de AWS.



Persistence:IAMUser/AnomalousBehaviorAPI utilizada comúnmente para mantener el acceso noautorizado a unAWSentorno se invocó de forma anómala.Gravedad predeterminada: Medio


Este hallazgo le informa de que se ha observado una solicitud API anómala en su cuenta. Estehallazgo puede incluir una única API o una serie de solicitudes API relacionadas realizadas enproximidad por una solaIdentidad de usuario de. La API observada se asocia comúnmente con tácticasde persistencia en las que un adversario ha obtenido acceso a su entorno e intenta mantenerlo.Las API de esta categoría suelen ser operaciones de creación, importación o modificación, talescomo,CreateAccessKey,ImportKeyPair, o bienModifyInstanceAttribute.

Esta solicitud de API se identificó como anómala porGuardDutymodelo de aprendizaje automático (ML)de detección de anomalías. El modelo ML evalúa todas las solicitudes de API de su cuenta e identificaeventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo ML realiza un

68


Amazon GuardDuty Amazon GuardDuty Guía del usuario dePolicy:IAMUser/RootCredentialUsage

seguimiento de varios factores de la solicitud de API, como el usuario que realizó la solicitud, la ubicacióndesde la que se realizó la solicitud y la API específica solicitada. Los detalles sobre qué factores de lasolicitud de API son inusuales para la identidad del usuario que invocó la solicitud se pueden encontrar enelDetalles de resultados.



Policy:IAMUser/RootCredentialUsageSe ha invocado una API utilizando las credenciales raíz.Gravedad predeterminada: Baja

• Origen de datos:CloudTraileventos de administración oCloudTraileventos de datos

Este resultado le informa de que las credenciales raíz de la listaAWScuenta de su entorno se estáutilizando para realizar solicitudes aAWSServicios de . Se recomienda que los usuarios nunca utilicencredenciales raíz para accederAWSServicios de . En lugar de estoAWSse debe acceder a los serviciosutilizando credenciales temporales de menos privilegios desdeAWS Security Token Service(PTS). Parasituaciones en las queAWS STSno se admite, se recomiendan las credenciales de usuario de IAM. Paraobtener más información, consultePrácticas recomendadas de IAM

Note

Si la detección de amenazas de S3 está habilitada para la cuenta, esta búsqueda se puedegenerar en respuesta a los intentos de ejecutar operaciones de plano de datos de S3 en recursosde S3 utilizando las credenciales raíz delAWSaccount. La llamada a la API utilizada se mostraráen los detalles de resultado. Si la detección de amenazas de S3 no está habilitada, esta búsquedasolo se puede activar mediante API de registro de eventos. Para obtener más información sobre ladetección de amenazas de S3, consulteProtección de S3.



PrivilegeEscalation:IAMUser/AnomalousBehaviorAPI utilizada comúnmente para obtener permisos de alto nivelpara unAWSentorno se invocó de forma anómala.Gravedad predeterminada: Medio

• Origen de datos:CloudTraileventos de administración

Este hallazgo le informa de que se ha observado una solicitud API anómala en su cuenta. Este hallazgopuede incluir una única API o una serie de solicitudes API relacionadas realizadas en proximidad por unasolaIdentidad de usuario de. La API observada se asocia comúnmente con tácticas de escalamiento deprivilegios en las que un adversario intenta obtener permisos de nivel superior para un entorno. Las API

69


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html

s3-protection.html


Amazon GuardDuty Amazon GuardDuty Guía del usuario deRecon:IAMUser/MaliciousIPCaller

de esta categoría suelen implicar operaciones que cambian las políticas, los roles y los usuarios de IAM,como,AssociateIamInstanceProfile,AddUserToGroup, o bienPutUserPolicy.




Recon:IAMUser/MaliciousIPCallerSe ha invocado una API desde una dirección IP malintencionadaconocida.Gravedad predeterminada: Medio


Este resultado le informa de que una operación de la API que puede enumerar o describirAWSlos recursosde una cuenta de su entorno se han invocado desde una dirección IP que se incluye en una lista deamenazas. Un atacante puede utilizar credenciales robadas para realizar este tipo de reconocimiento desuAWSrecursos para encontrar credenciales más valiosas o determinar cuáles son las capacidades de lascredenciales que han caído en sus manos.



Recon:IAMUser/MaliciousIPCaller.CustomSe ha invocado una API desde una dirección IP malintencionadaconocida.Gravedad predeterminada: Medio


Este resultado le informa de que una operación de la API que puede enumerar o describirAWSlos recursosde una cuenta de su entorno se han invocado desde una dirección IP que se incluye en una lista deamenazas personalizada. La lista de amenazas utilizada se mostrará en los detalles del resultado. Unatacante podría utilizar credenciales robadas para realizar este tipo de reconocimiento de suAWSrecursospara encontrar credenciales más valiosas o determinar cuáles son las capacidades de las credencialesque han caído en sus manos.


70


Amazon GuardDuty Amazon GuardDuty Guía del usuario deRecon:IAMUser/TorIPCaller


Recon:IAMUser/TorIPCallerSe ha invocado una API desde una dirección IP de un nodo desalida de Tor.Gravedad predeterminada: Medio


Este resultado le informa de que una operación de la API que puede enumerar o describirAWSlos recursosde una cuenta de su entorno se han invocado desde una dirección IP de un nodo de salida de Tor. Tores un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria lascomunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denominanodo de salida. Un atacante usaría Tor para enmascarar su verdadera identidad.



Stealth:IAMUser/CloudTrailLoggingDisabledAWS CloudTrailse ha deshabilitado el registro.Gravedad predeterminada: Baja


Este hallazgo le informa de que unCloudTrailrastro dentro de tuAWSel entorno está deshabilitado. Puedetratarse del intento por parte de un atacante de desactivar el registro para cubrir sus huellas eliminandocualquier rastro de su actividad y obteniendo acceso al mismo tiempo a suAWSrecursos para finesmaliciosos. Este resultado se puede activar mediante una eliminación o actualización correcta de unregistro de seguimiento. También se puede activar cuando se detecta una eliminación correcta de unbucket de S3 que almacena los registros de un registro de seguimiento asociado a GuardDuty.



Stealth:IAMUser/PasswordPolicyChangeLa política de contraseñas de la cuenta se ha debilitado.Gravedad predeterminada: Baja

Note

La gravedad de este hallazgo puede ser Baja, Media o Alta en función de la gravedad de loscambios realizados en la política de contraseñas.

71

Amazon GuardDuty Amazon GuardDuty Guía del usuario deUnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B


LaAWSLa política de contraseñas de la cuenta se ha debilitado en la lista deAWSEntorno. Por ejemplo,se ha eliminado o actualizado para exigir menos caracteres, no requerir símbolos y números, o se harequerido la ampliación del período de vencimiento de la contraseña. Este hallazgo también se puedeactivar mediante un intento de actualización o eliminación de suAWSPolítica de contraseñas de cuentas.LaAWSLa política de contraseñas de cuenta define las reglas que determinan los tipos de contraseñas quese pueden establecer para los usuarios de IAM. Una política de contraseñas más débil permite la creaciónde contraseñas que son fáciles de recordar y potencialmente más fáciles de adivinar, y que suponen unriesgo para la seguridad.



UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.BSe han observado varios inicios de sesión correctos en laconsola desde distintos lugares del mundo.Gravedad predeterminada: Medio


Este resultado le informa de que se han observado varios inicios de sesión correctos en la consolapara el mismo usuario de IAM aproximadamente al mismo tiempo en diversas ubicaciones geográficas.Estos patrones de ubicación de acceso anómalo y arriesgado indican un posible acceso no autorizado asuAWSde AWS.



UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWSUnas credenciales creadas exclusivamente para una instanciaEC2 a través de un rol de lanzamiento de instancias se estánutilizando desde otra cuenta deAWS.Gravedad predeterminada: Alto*

Note

La gravedad predeterminada de este hallazgo es Alta. Sin embargo, si la API ha sido invocada poruna cuenta afiliada a tuAWSambiente, la gravedad es media.

72

Amazon GuardDuty Amazon GuardDuty Guía del usuario deUnauthorizedAccess:IAMUser/

InstanceCredentialExfiltration.OutsideAWS

• Origen de datos:CloudTraileventos de administración o eventos de datos de S3

Esta búsqueda le informa cuándo se utilizan las credenciales de instancia de EC2 para invocar API desdeuna dirección IP propiedad de otraAWScuenta que en la que se ejecuta la instancia EC2 asociada.

AWSno recomienda redistribuir credenciales temporales fuera de la entidad que las ha creado (porejemplo,AWSaplicaciones, EC2 o Lambda). Sin embargo, los usuarios autorizados pueden exportarcredenciales desde sus instancias EC2 para realizar llamadas a la API legítimas. Si el archivoderemoteAccountDetails.Affiliatedfield esTruela API se ha invocado desde una cuenta asociadaa suAWSEntorno. Para descartar un posible ataque y verificar la legitimidad de la actividad, póngase encontacto con el usuario de IAM al que se han asignado estas credenciales.


En respuesta a este hallazgo, puede utilizar el siguiente flujo de trabajo para determinar un curso deacción:

1. Identificar la cuenta remota involucrada desdeelservice.action.awsApiCallAction.remoteAccountDetails.accountId.

2. A continuación, determine si esa cuenta está afiliada a suGuardDutyentorno desdeelservice.action.awsApiCallAction.remoteAccountDetails.affiliated.

3. Si la cuenta está afiliada, póngase en contacto con el propietario de la cuenta remota y con elpropietario de las credenciales de la instancia EC2 para investigar.

4. Si la cuenta no está afiliada, primero evalúe que la cuenta está asociada a su organización pero noforma parte de suGuardDutyconfiguración de varias cuentas, o siGuardDutyaún no se ha habilitadoen la cuenta. De lo contrario, póngase en contacto con el propietario de las credenciales de EC2 paradeterminar si existe un caso de uso para que una cuenta remota utilice estas credenciales.

5. Si el propietario de las credenciales no reconoce la cuenta remota, las credenciales pueden habersevisto comprometidas por un agente de amenaza que opera dentro deAWS. Debe seguir los pasosrecomendados enSolución de una instancia EC2 comprometida (p. 131)para proteger su entorno.Además, puedesenviar un informe de abusoalAWSEquipo de confianza y seguridad para iniciar unainvestigación sobre la cuenta remota. Al enviar su informe aAWSConfianza y seguridad incluye losdetalles completos de JSON del resultado.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWSLas credenciales creadas exclusivamente para una instancia EC2a través de un rol de lanzamiento de instancias se utilizan desdeuna dirección IP externa.Gravedad predeterminada: Alta

• Origen de datos:CloudTraileventos de administración o eventos de datos de S3

Este hallazgo le informa de que un host fuera deAWSha intentado correrAWSOperaciones de APImediante temporalesAWScredenciales credenciales creadas en una instancia EC2 de suAWSEntorno.La instancia EC2 enumerada podría estar comprometida y las credenciales temporales de esta instanciapodrían haber sido suprimidas y enviadas a un host remoto fuera deAWS.AWSno recomienda redistribuircredenciales temporales fuera de la entidad que las ha creado (por ejemplo,AWSaplicaciones, EC2 o

73

https://support.aws.amazon.com/#/contacts/report-abuse

Amazon GuardDuty Amazon GuardDuty Guía del usuario deUnauthorizedAccess:IAMUser/MaliciousIPCaller

Lambda). Sin embargo, los usuarios autorizados pueden exportar credenciales desde sus instancias EC2para realizar llamadas a la API legítimas. Para descartar un posible ataque y verificar la legitimidad de laactividad, valide si se espera utilizar credenciales de instancia desde la IP remota en la búsqueda.


Este hallazgo se genera cuando la red de está configurada para enrutar el tráfico de Internet detal forma que salga por una gateway en las instalaciones en lugar de por una Internet GatewayVPC (IGW). Configuraciones comunes, como el usoAWS Outpostso conexiones de VPN de VPC,pueden generar tráfico enrutado de esta manera. Si se trata de un comportamiento previsto,le recomendamos utilizar reglas de supresión y crear una regla que conste de dos criterios defiltro. El primer criterio es Tipo de resultado, que debería ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. El segundo criterio de filtro esDirecciónIPv4 del intermediario de la APIcon la dirección IP o el rango CIDR de su gateway de Internet en lasinstalaciones. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas desupresión (p. 108).

Note

SiGuardDutyobserva la actividad continua desde una fuente externa; su modelo de aprendizajeautomático identificará este comportamiento como el comportamiento esperado y dejará degenerar este hallazgo para la actividad a partir de ese origen. GuardDutycontinuará generandohallazgos para nuevos comportamientos de otras fuentes y reevaluará las fuentes aprendidas amedida que el comportamiento cambia a lo largo del tiempo.


UnauthorizedAccess:IAMUser/MaliciousIPCallerSe ha invocado una API desde una dirección IP malintencionadaconocida.Gravedad predeterminada: Medio


Este resultado le informa de que una operación de la API (por ejemplo, un intento de lanzar una instanciaEC2, crear un nuevo usuario de IAM o modificar suAWSprivilegios) se ha invocado desde una dirección IPmalintencionada conocida. Esto puede indicar un acceso no autorizado aAWSrecursos de su entorno.



UnauthorizedAccess:IAMUser/MaliciousIPCaller.CustomSe ha invocado una API desde una dirección IP de una lista deamenazas personalizada.Gravedad predeterminada: Medio

74

https://docs.aws.amazon.com/outposts/latest/userguide/

Amazon GuardDuty Amazon GuardDuty Guía del usuario deUnauthorizedAccess:IAMUser/TorIPCaller


Este resultado le informa de que una operación de la API (por ejemplo, un intento de lanzar una instanciaEC2, crear un nuevo usuario de IAM o modificarAWSprivilegios) se ha invocado desde una dirección IPque se incluye en una lista de amenazas que se ha cargado. En , una lista de amenazas está formada pordirecciones IP malintencionadas conocidas. Esto puede indicar un acceso no autorizado aAWSrecursos desu entorno.



UnauthorizedAccess:IAMUser/TorIPCallerSe ha invocado una API desde una dirección IP de un nodo desalida de Tor.Gravedad predeterminada: Medio


Este resultado le informa de que una operación de la API (por ejemplo, un intento de lanzar una instanciaEC2, crear un nuevo usuario de IAM o modificar suAWSprivilegios) se ha invocado desde una dirección IPde un nodo de salida de Tor. Tor es un software que permite las comunicaciones anónimas. Cifra y hacerebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El últimonodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a suAWSrecursoscon la intención de ocultar la verdadera identidad del atacante.



GuardDuty Kubernetes busca tiposLos siguientes hallazgos son específicos de los recursos de Kubernetes y tienenunresource_typedeEKSCluster. La gravedad y los detalles de los resultados difieren en función del tipode resultado.

Para todos los hallazgos de tipo Kubernetes, le recomendamos que examine el recurso en cuestión paradeterminar si la actividad es esperada o potencialmente maliciosa. Para obtener orientación sobre cómocorregir un recurso Kubernetes comprometido identificado por un GuardDuty buscar, verSolución deproblemas de seguridad de Kubernetes detectados por GuardDuty (p. 134).

Temas• CredentialAccess:Kubernetes/MaliciousIPCaller (p. 76)• CredentialAccess:Kubernetes/MaliciousIPCaller.Custom (p. 77)• CredentialAccess:Kubernetes/SuccessfulAnonymousAccess (p. 77)• CredentialAccess:Kubernetes/TorIPCaller (p. 78)

75

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCredentialAccess:Kubernetes/MaliciousIPCaller

• DefenseEvasion:Kubernetes/MaliciousIPCaller (p. 78)• DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom (p. 79)• DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess (p. 79)• DefenseEvasion:Kubernetes/TorIPCaller (p. 80)• Discovery:Kubernetes/MaliciousIPCaller (p. 80)• Discovery:Kubernetes/MaliciousIPCaller.Custom (p. 81)• Discovery:Kubernetes/SuccessfulAnonymousAccess (p. 81)• Discovery:Kubernetes/TorIPCaller (p. 82)• Execution:Kubernetes/ExecInKubeSystemPod (p. 82)• Impact:Kubernetes/MaliciousIPCaller (p. 83)• Impact:Kubernetes/MaliciousIPCaller.Custom (p. 83)• Impact:Kubernetes/SuccessfulAnonymousAccess (p. 84)• Impact:Kubernetes/TorIPCaller (p. 84)• Persistence:Kubernetes/ContainerWithSensitiveMount (p. 85)• Persistence:Kubernetes/MaliciousIPCaller (p. 85)• Persistence:Kubernetes/MaliciousIPCaller.Custom (p. 86)• Persistence:Kubernetes/SuccessfulAnonymousAccess (p. 86)• Persistence:Kubernetes/TorIPCaller (p. 87)• Policy:Kubernetes/AdminAccessToDefaultServiceAccount (p. 87)• Policy:Kubernetes/AnonymousAccessGranted (p. 88)• Policy:Kubernetes/ExposedDashboard (p. 88)• Policy:Kubernetes/KubeflowDashboardExposed (p. 89)• PrivilegeEscalation:Kubernetes/PrivilegedContainer (p. 89)

Note

Antes de la versión 1.14 de Kubernetes,system:unauthenticatedgrupo se asocióasystem:discoveryysystem:basic-user Funciones de clústerde forma predeterminada.Esta asociación puede permitir el acceso no deseado de usuarios anónimos. Las actualizacionesde clúster no revocan estos permisos. Incluso si ha actualizado el clúster a la versión 1.14 osuperior, es posible que estos permisos sigan habilitados. Recomendamos desasociar estospermisos desystem:unauthenticatedgrupo. Para obtener información sobre la revocación deestos permisos, consulteRevisar y revocar el acceso anónimo innecesarioen la guía de mejoresprácticas de Amazon EKS.

CredentialAccess:Kubernetes/MaliciousIPCallerSe ha invocado una API utilizada comúnmente para accedera credenciales o secretos de un clúster de Kubernetes se hainvocado desde una dirección IP malintencionada conocida.Gravedad predeterminada: Alta

• origen de datos:Registros de auditoría de Kubernetes

Este resultado le informa de que una operación de la API se ha invocado desde una dirección IP asociadaa una actividad malintencionada conocida. La API observada suele asociarse a las tácticas de acceso

76

https://aws.github.io/aws-eks-best-practices/security/docs/iam/#review-and-revoke-unnecessary-anonymous-access

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCredentialAccess:Kubernetes/MaliciousIPCaller.Custom

a credenciales en las que un adversario intenta recopilar contraseñas, nombres de usuario y claves deacceso para su clúster de Kubernetes.


Si el usuario ha informado en el hallazgo en elKubernetesUserDetailssecciónessystem:anonymous, investigue por qué se permitió al usuario anónimo invocar la API yrevocaciónde permisossi es necesario. Si el usuario es un usuario autenticado, investigue para determinar si laactividad fue legítima o maliciosa. Si la actividad fue malintencionada, revoque el acceso del usuario yrevierta los cambios realizados por un adversario en su clúster. ConsulteCorrección de resultados deKubernetes (p. 134)para obtener orientación.

CredentialAccess:Kubernetes/MaliciousIPCaller.CustomSe ha invocado una API utilizada habitualmente para accedera credenciales o secretos de un clúster de Kubernetes se hainvocado desde una dirección IP de una lista de amenazaspersonalizada.Gravedad predeterminada: Alta


Este resultado le informa de que una operación de la API se ha invocado desde una dirección IP quese incluye en una lista de amenazas que ha cargado. La lista de amenazas asociada a este hallazgose muestra en elInformación adicionalsección de los detalles de un hallazgo. La API observada sueleasociarse a las tácticas de acceso a credenciales en las que un adversario intenta recopilar contraseñas,nombres de usuario y claves de acceso para su clúster de Kubernetes.



CredentialAccess:Kubernetes/SuccessfulAnonymousAccessUn usuario no autenticado invocó una API que se utilizahabitualmente para acceder a credenciales o secretos de unclúster de Kubernetes.Gravedad predeterminada: Alta


77





Amazon GuardDuty Amazon GuardDuty Guía del usuario deCredentialAccess:Kubernetes/TorIPCaller

Este hallazgo le informa de que la operación de API ha sido invocada correctamente porelsystem:anonymoususuario. Llamadas a la API realizadas porsystem:anonymousno estánautenticados. La API observada suele asociarse con las tácticas de acceso a credenciales en las queun adversario intenta recopilar contraseñas, nombres de usuario y claves de acceso para su clúster deKubernetes. Esta actividad indica que se permite el acceso anónimo o no autenticado en la acción de laAPI indicada en la búsqueda y puede permitirse en otras acciones. Si no se espera este comportamiento,puede indicar un error de configuración o que sus credenciales están comprometidas.


Debe examinar los permisos que se han concedido a lasystem:anonymoususuario del clúster yasegúrese de que se necesitan todos los permisos. Si los permisos se concedieron de forma erróneao malintencionada, debe revocar el acceso del usuario e invertir cualquier cambio realizado por unadversario en su clúster. ConsulteRevisar y revocar el acceso anónimo innecesariopara obtenerorientación.

CredentialAccess:Kubernetes/TorIPCallerSe ha invocado una API utilizada comúnmente para accedera credenciales o secretos de un clúster de Kubernetes se hainvocado desde una dirección IP de un nodo de salida de TorGravedad predeterminada: Alta


Este resultado le informa de que una API se ha invocado desde una dirección IP de un nodo de salida deTor. La API observada suele asociarse a las tácticas de acceso a credenciales en las que un adversariointenta recopilar contraseñas, nombres de usuario y claves de acceso para su entorno. Tor es un softwareque permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones através de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Estopuede indicar un acceso no autorizado a los recursos de un clúster de Kubernetes con la intención deocultar la verdadera identidad del atacante.



DefenseEvasion:Kubernetes/MaliciousIPCallerSe ha invocado una API utilizada comúnmente para evadirmedidas defensivas desde una dirección IP malintencionadaconocida.Gravedad predeterminada: Alta


78




Amazon GuardDuty Amazon GuardDuty Guía del usuario deDefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Este resultado le informa de que una operación de la API se ha invocado desde una dirección IP asociadaa una actividad malintencionada conocida. La API observada se asocia comúnmente con tácticas deevasión de defensa en las que un adversario intenta ocultar sus acciones para evitar la detección.



DefenseEvasion:Kubernetes/MaliciousIPCaller.CustomSe ha invocado una API utilizada comúnmente para evadirmedidas defensivas desde una dirección IP de una lista deamenazas personalizada.Gravedad predeterminada: Alta


Este resultado le informa de que una operación de la API se ha invocado desde una dirección IP quese incluye en una lista de amenazas que ha cargado. La lista de amenazas asociada a este hallazgo semuestra en elInformación adicionalsección de los detalles de un hallazgo. La API observada se asociacomúnmente con tácticas de evasión de defensa en las que un adversario intenta ocultar sus accionespara evitar la detección.



DefenseEvasion:Kubernetes/SuccessfulAnonymousAccessUn usuario no autenticado invocó una API utilizada comúnmentepara eludir medidas defensivas.Gravedad predeterminada: Alta


79





Amazon GuardDuty Amazon GuardDuty Guía del usuario deDefenseEvasion:Kubernetes/TorIPCaller

Este hallazgo le informa de que la operación de API ha sido invocada correctamente porelsystem:anonymoususuario. Llamadas a la API realizadas porsystem:anonymousno estánautenticados. La API observada se asocia comúnmente con tácticas de evasión de defensa en las queun adversario intenta ocultar sus acciones para evitar la detección. Esta actividad indica que se permite elacceso anónimo o no autenticado en la acción de la API indicada en la búsqueda y puede permitirse enotras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que suscredenciales están comprometidas.



DefenseEvasion:Kubernetes/TorIPCallerSe ha invocado una API utilizada comúnmente para evadirmedidas defensivas desde una dirección IP de un nodo de salidade Tor.Gravedad predeterminada: Alta


Este resultado le informa de que una API se ha invocado desde una dirección IP de un nodo de salidade Tor. La API observada se asocia comúnmente con tácticas de evasión de defensa en las que unadversario intenta ocultar sus acciones para evitar la detección. Tor es un software que permite lascomunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relésentre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicarun acceso no autorizado a su clúster de Kubernetes con la intención de ocultar la verdadera identidad deladversario.



Discovery:Kubernetes/MaliciousIPCallerSe ha invocado una API utilizada comúnmente para detectarrecursos de un clúster de Kubernetes se ha invocado desde unadirección IP de una lista de amenazas personalizada.Gravedad predeterminada: Medio


80




Amazon GuardDuty Amazon GuardDuty Guía del usuario deDiscovery:Kubernetes/MaliciousIPCaller.Custom

Este resultado le informa de que una operación de la API se ha invocado desde una dirección IP asociadaa una actividad malintencionada conocida. La API observada se utiliza comúnmente con la etapa dedescubrimiento de un ataque en la que un atacante está recopilando información para determinar si elclúster de Kubernetes es susceptible a un ataque más amplio.



Discovery:Kubernetes/MaliciousIPCaller.CustomSe ha invocado una API utilizada comúnmente para detectarrecursos de un clúster de Kubernetes se ha invocado desde unadirección IP de una lista de amenazas personalizada.Gravedad predeterminada: Medio


Este resultado le informa de que una API se ha invocado desde una dirección IP que se incluye enuna lista de amenazas que ha cargado. La lista de amenazas asociada a este hallazgo se muestra enelInformación adicionalsección de los detalles de un hallazgo. La API observada se utiliza comúnmentecon la etapa de descubrimiento de un ataque en la que un atacante está recopilando información paradeterminar si el clúster de Kubernetes es susceptible a un ataque más amplio.



Discovery:Kubernetes/SuccessfulAnonymousAccessUn usuario no autenticado invocó una API que se utilizacomúnmente para detectar recursos en un clúster de Kubernetes.Gravedad predeterminada: Medio


Este hallazgo le informa de que la operación de API ha sido invocada correctamente porelsystem:anonymoususuario. Llamadas a la API realizadas porsystem:anonymousno estánautenticados. La API observada se asocia comúnmente a la etapa de descubrimiento de un ataque cuando

81





Amazon GuardDuty Amazon GuardDuty Guía del usuario deDiscovery:Kubernetes/TorIPCaller

un adversario recopila información en el clúster de Kubernetes. Esta actividad indica que se permite elacceso anónimo o no autenticado en la acción de la API indicada en la búsqueda y puede permitirse enotras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que suscredenciales están comprometidas.



Discovery:Kubernetes/TorIPCallerSe ha invocado una API que se utiliza habitualmente paradetectar recursos de un clúster de Kubernetes se ha invocadodesde una dirección IP de un nodo de salidaGravedad predeterminada: Medio


Este resultado le informa de que una API se ha invocado desde una dirección IP de un nodo de salidade Tor. La API observada se utiliza comúnmente con la etapa de descubrimiento de un ataque en la queun atacante está recopilando información para determinar si el clúster de Kubernetes es susceptible a unataque más amplio. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar deforma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo deTor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a su clúster de Kubernetescon la intención de ocultar la verdadera identidad del adversario.



Execution:Kubernetes/ExecInKubeSystemPodSe ha ejecutado un comando dentro de un pod dentro delakube-systemEspacio de nombres deGravedad predeterminada: Medio


Estos resultados le informan de que se ha ejecutado un comando en un pod dentro de lakube-systemespacio de nombres usandoAPI de Kubernetes exec.kube-systemnamespace es un espaciode nombres predeterminado, que se utiliza principalmente para componentes de nivel de sistema, tales

82




Amazon GuardDuty Amazon GuardDuty Guía del usuario deImpact:Kubernetes/MaliciousIPCaller

comokube-dnsykube-proxy. Es muy raro ejecutar comandos dentro de pods o contenedores enkube-systemespacio de nombres y puede indicar actividad sospechosa.


Si la ejecución de este comando es inesperada, las credenciales de la identidad de usuario utilizada paraejecutar el comando pueden verse comprometidas. Revoca el acceso del usuario e invierte los cambiosrealizados por un adversario en tu clúster. ConsulteCorrección de resultados de Kubernetes (p. 134)paraobtener orientación.

Impact:Kubernetes/MaliciousIPCallerSe ha invocado una API utilizada comúnmente para manipularlos recursos de un clúster de Kubernetes se ha invocado desdeuna dirección IP malintencionada conocida.Gravedad predeterminada: Alta


Este resultado le informa de que una operación de la API se ha invocado desde una dirección IP asociadaa una actividad malintencionada conocida. La API observada se asocia comúnmente con tácticas deimpacto en las que un adversario intenta manipular, interrumpir o destruir datos dentro de suAWSentornode.



Impact:Kubernetes/MaliciousIPCaller.CustomSe ha invocado una API utilizada comúnmente para manipularlos recursos de un clúster de Kubernetes se ha invocado desdeuna dirección IP de una lista de amenazas personalizada.Gravedad predeterminada: Alta


Este resultado le informa de que una operación de la API se ha invocado desde una dirección IP quese incluye en una lista de amenazas que ha cargado. La lista de amenazas asociada a este hallazgo semuestra en elInformación adicionalsección de los detalles de un hallazgo. La API observada se asociacomúnmente con tácticas de impacto en las que un adversario intenta manipular, interrumpir o destruirdatos dentro de suAWSentorno de.


83



Amazon GuardDuty Amazon GuardDuty Guía del usuario deImpact:Kubernetes/SuccessfulAnonymousAccess


Impact:Kubernetes/SuccessfulAnonymousAccessUn usuario no autenticado invocó una API que se utilizacomúnmente para manipular los recursos de un clúster deKubernetes.Gravedad predeterminada: Alta


Este hallazgo le informa de que la operación de API ha sido invocada correctamente porelsystem:anonymoususuario. Llamadas a la API realizadas porsystem:anonymousno estánautenticados. La API observada se asocia comúnmente con la etapa de impacto de un ataque cuandoun adversario está manipulando los recursos del clúster. Esta actividad indica que se permite el accesoanónimo o no autenticado en la acción de la API indicada en la búsqueda y puede permitirse en otrasacciones. Si no se espera este comportamiento, puede indicar un error de configuración o que suscredenciales están comprometidas.



Impact:Kubernetes/TorIPCallerSe ha invocado una API utilizada comúnmente para manipularlos recursos de un clúster de Kubernetes se ha invocado desdeuna dirección IP de un nodo de salida de TorGravedad predeterminada: Alta


Este resultado le informa de que una API se ha invocado desde una dirección IP de un nodo de salida deTor. La API observada se asocia comúnmente con tácticas de impacto en las que un adversario intentamanipular, interrumpir o destruir datos dentro de suAWSentorno de. Tor es un software que permite lascomunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relésentre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicarun acceso no autorizado a su clúster de Kubernetes con la intención de ocultar la verdadera identidad deladversario.

84




Amazon GuardDuty Amazon GuardDuty Guía del usuario dePersistence:Kubernetes/ContainerWithSensitiveMount



Persistence:Kubernetes/ContainerWithSensitiveMountSe lanzó un contenedor con una ruta de host externa sensiblemontada en su interior.Gravedad predeterminada: Medio


Este hallazgo le informa de que se inició un contenedor con una configuración que incluía una ruta de hostsensible con acceso de escritura en elvolumeMountssección. Esto hace que la ruta de host confidencialsea accesible y se pueda grabar desde el interior del contenedor. Esta técnica la utilizan comúnmente losadversarios para obtener acceso al sistema de archivos del host.


Si el lanzamiento de este contenedor es inesperado, las credenciales de la identidad de usuarioutilizada para lanzar el contenedor pueden verse comprometidas. Revoca el acceso del usuario einvierte los cambios realizados por un adversario en tu clúster. ConsulteCorrección de resultadosde Kubernetespara obtener orientación. Si se espera el lanzamiento de este contenedor,se recomienda utilizar una regla de supresión que consiste en un criterio de filtro basado enelresource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix. Enlos criterios de filtro, elimagePrefixdebe ser el mismo que elimagePrefixespecificada en el hallazgo.Para obtener más información sobre la creación de reglas de supresión, consulteReglas de supresión.

Persistence:Kubernetes/MaliciousIPCallerSe ha invocado una API utilizada comúnmente para obtener unacceso persistente a un clúster de Kubernetes se ha invocadodesde una dirección IP malintencionada conocida.Gravedad predeterminada: Medio


Este resultado le informa de que una operación de la API se ha invocado desde una dirección IP asociadaa una actividad malintencionada conocida. La API observada se asocia comúnmente con tácticas depersistencia en las que un adversario ha obtenido acceso a su clúster de Kubernetes e intenta mantenerese acceso.


85



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-remediate-kubernetes


https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePersistence:Kubernetes/MaliciousIPCaller.Custom


Persistence:Kubernetes/MaliciousIPCaller.CustomSe ha invocado una API utilizada comúnmente para obtener unacceso persistente a un clúster de Kubernetes se ha invocadodesde una dirección IP de una lista de amenazas personalizada.Gravedad predeterminada: Medio


Este resultado le informa de que una operación de la API se ha invocado desde una dirección IP quese incluye en una lista de amenazas que ha cargado. La lista de amenazas asociada a este hallazgo semuestra en elInformación adicionalsección de los detalles de un hallazgo. La API observada se asociacomúnmente con tácticas de persistencia en las que un adversario ha obtenido acceso a su clúster deKubernetes e intenta mantener ese acceso.



Persistence:Kubernetes/SuccessfulAnonymousAccessUn usuario no autenticado invocó una API que se utilizahabitualmente para obtener permisos de alto nivel para un clústerde Kubernetes.Gravedad predeterminada: Alta


Este hallazgo le informa de que la operación de API ha sido invocada correctamente porelsystem:anonymoususuario. Llamadas a la API realizadas porsystem:anonymousno estánautenticados. La API observada se asocia comúnmente con las tácticas de persistencia en las que unadversario ha obtenido acceso a tu clúster e intenta mantenerlo. Esta actividad indica que se permite elacceso anónimo o no autenticado en la acción de la API indicada en la búsqueda y puede permitirse enotras acciones. Si no se espera este comportamiento, puede indicar un error de configuración o que suscredenciales están comprometidas.


86





Amazon GuardDuty Amazon GuardDuty Guía del usuario dePersistence:Kubernetes/TorIPCaller


Persistence:Kubernetes/TorIPCallerSe ha invocado una API que se utiliza habitualmente paraobtener un acceso persistente a un clúster de Kubernetes se hainvocado desde una dirección IP de un nodo de salidaGravedad predeterminada: Medio


Este resultado le informa de que una API se ha invocado desde una dirección IP de un nodo de salidade Tor. La API observada se asocia comúnmente con tácticas de persistencia en las que un adversarioha obtenido acceso a su clúster de Kubernetes e intenta mantener ese acceso. Tor es un software quepermite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a travésde relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puedeindicar un acceso no autorizado a suAWSrecursos con la intención de ocultar la verdadera identidad delatacante.



Policy:Kubernetes/AdminAccessToDefaultServiceAccountA la cuenta de servicio predeterminada se le han otorgadoprivilegios de administrador en un clúster de Kubernetes.Gravedad predeterminada: Alta


Esta búsqueda le informa de que a la cuenta de servicio predeterminada de un espacio de nombres desu clúster de Kubernetes se le han concedido privilegios de administrador. Kubernetes crea una cuentade servicio predeterminada para todos los espacios de nombres del clúster. Asigna automáticamente lacuenta de servicio predeterminada como identidad a los pods que no se han asociado explícitamente aotra cuenta de servicio. Si la cuenta de servicio predeterminada tiene privilegios de administrador, puedeprovocar que los pods se inicien involuntariamente con privilegios de administrador. Si no se espera estecomportamiento, puede indicar un error de configuración o que sus credenciales están comprometidas.

87




Amazon GuardDuty Amazon GuardDuty Guía del usuario dePolicy:Kubernetes/AnonymousAccessGranted


No debes usar la cuenta de servicio predeterminada para conceder permisos a los pods. En su lugar,debe crear una cuenta de servicio dedicada para cada carga de trabajo y conceder permiso a esa cuentasegún las necesidades. Para solucionar este problema, debes crear cuentas de servicio dedicadas paratodos tus pods y cargas de trabajo y actualizar los pods y las cargas de trabajo para migrar de la cuenta deservicio predeterminada a sus cuentas dedicadas. A continuación, debe quitar el permiso de administradorde la cuenta de servicio predeterminada. ConsulteCorrección de resultados de Kubernetes (p. 135)paraobtener más orientación y recursos.

Policy:Kubernetes/AnonymousAccessGrantedLasystem:anonymoususuario ha recibido permiso de API en unclúster de Kubernetes.Gravedad predeterminada: Alta


Esta búsqueda le informa de que un usuario de su clúster de Kubernetes ha creado correctamenteunClusterRoleBindingoRoleBindingpara vincular al usuariosystem:anonymousa un rol. Estopermite un acceso no autenticado a las operaciones de la API permitidas por el rol. Si no se espera estecomportamiento, puede indicar un error de configuración o que sus credenciales están comprometidas


Debe examinar los permisos que se han concedido a lasystem:anonymousUsuario deosystem:unauthenticatedagrupar en el clúster y revocar el acceso anónimo innecesario.ConsulteRevisar y revocar el acceso anónimo innecesariopara obtener orientación. Si los permisos seconcedieron de forma malintencionada, debe revocar el acceso del usuario que concedió los permisos yrevertir cualquier cambio realizado por un adversario en su clúster. ConsulteCorrección de resultados deKubernetespara obtener orientación.

Policy:Kubernetes/ExposedDashboardEl panel de control de un clúster de Kubernetes se expuso aInternetGravedad predeterminada: Medio


Este hallazgo le informa de que un servicio de Load Balancer expuso el panel de Kubernetes para suclúster a Internet. Un panel expuesto hace que la interfaz de administración del clúster sea accesible desdeInternet y permite a los adversarios explotar cualquier brecha de autenticación y control de acceso quepueda haber.


Debe asegurarse de que se apliquen una autenticación y autorización seguras en Kubernetes Dashboard.También debe implementar el control de acceso a la red para restringir el acceso al panel desdedirecciones IP específicas.

88


https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-remediate-kubernetes.html

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-remediate-kubernetes.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePolicy:Kubernetes/KubeflowDashboardExposed

Policy:Kubernetes/KubeflowDashboardExposedLaKubeflowel panel de un clúster de Kubernetes se expuso aInternetGravedad predeterminada: Medio


Este hallazgo le informa de queKubeflowel panel de control del clúster se ha expuesto a Internet medianteun servicio de equilibrador de carga. Un expuestoKubeflowpanel hace que la interfaz de administraciónde suKubeflowentorno accesible desde Internet y permite a los adversarios explotar cualquier brecha deautenticación y control de acceso que pueda haber.


Debe asegurarse de que se apliquen una autenticación y autorización sólidas enKubeflowPanel dedatos. También debe implementar el control de acceso a la red para restringir el acceso al panel desdedirecciones IP específicas.

PrivilegeEscalation:Kubernetes/PrivilegedContainerSe ha lanzado un contenedor privilegiado con acceso a nivel raízen el clúster de Kubernetes.Gravedad predeterminada: Medio


Esta búsqueda le informa de que se ha lanzado un contenedor con privilegios en el clúster de Kubernetesutilizando una imagen nunca antes utilizado para lanzar contenedores privilegiados en el clúster. Uncontenedor con privilegios tiene acceso a nivel raíz al host. Los adversarios pueden lanzar contenedoresprivilegiados como táctica de escalado de privilegios para obtener acceso al host y, a continuación,comprometer al host.


Si el lanzamiento de este contenedor es inesperado, las credenciales de la identidad de usuarioutilizada para lanzar el contenedor pueden verse comprometidas. Revoca el acceso del usuario einvierte los cambios realizados por un adversario en tu clúster. ConsulteCorrección de resultados deKubernetes (p. 134)para obtener orientación.

Tipos de resultados retiradosImportant

Para obtener más información acerca de cambios importantes en los tipos de resultado deGuardDuty, incluidos los retirados o añadidos recientemente, consulte Historial de revisión deAmazon GuardDuty (p. 204).

En la versión actual de GuardDuty se han retirado los siguientes tipos de resultados (ya no se generan) lossiguientes tipos de resultados. NO PUEDE reactivar tipos de resultados de GuardDuty retirados.

89

Amazon GuardDuty Amazon GuardDuty Guía del usuario deImpacto: modificación S3/permisos. Inusual

Temas• Impacto: modificación S3/permisos. Inusual (p. 90)• Impacto: S3/Objeto eliminado. Inusual (p. 90)• Descubrimiento: numeración S3/buckete. (p. 91)• Persistence:IAMUser/NetworkPermissions (p. 91)• Persistence:IAMUser/ResourcePermissions (p. 92)• Persistence:IAMUser/UserPermissions (p. 92)• PrivilegeEscalation:IAMUser/AdministrativePermissions (p. 93)• Recon:IAMUser/NetworkPermissions (p. 94)• Recon:IAMUser/ResourcePermissions (p. 94)• Recon:IAMUser/UserPermissions (p. 95)• ResourceConsumption:IAMUser/ComputeResources (p. 95)• Stealth:IAMUser/LoggingConfigurationModified (p. 96)• UnauthorizedAccess:IAMUser/ConsoleLogin (p. 96)• UnauthorizedAccess:EC2/TorIPCaller (p. 97)• Backdoor:EC2/XORDDOS (p. 97)• Behavior:IAMUser/InstanceLaunchUnusual (p. 97)• CryptoCurrency:EC2/BitcoinTool.A (p. 98)• UnauthorizedAccess:IAMUser/UnusualASNCaller (p. 98)

Impacto: modificación S3/permisos. InusualUna entidad de IAM invocó una API para modificar los permisosde uno o más recursos de S3.Gravedad predeterminada: Mediana

Note


Este hallazgo le informa de que una entidad de IAM está realizando llamadas a API diseñadas paramodificar los permisos de uno o varios depósitos u objetos de suAWSentorno de. Esta acción la puedellevar a cabo un atacante para permitir que la información se comparta fuera de la cuenta. Esta actividades sospechosa porque la forma en que la entidad de IAM invocó la API era inusual. Por ejemplo, estaentidad de IAM no tenía historial previo de invocar este tipo de API o la API se invocó desde una ubicacióninusual.



Impacto: S3/Objeto eliminado. InusualUna entidad de IAM invocó una API utilizada para eliminar datosde un bucket de S3.

90

Amazon GuardDuty Amazon GuardDuty Guía del usuario deDescubrimiento: numeración S3/buckete.

Gravedad predeterminada: Mediana

Note


Este hallazgo le informa de que una entidad de IAM específica en suAWSestá realizando llamadas a APIdiseñadas para eliminar datos en el bucket de S3 enumerado eliminando el propio bucket. Esta actividades sospechosa porque la forma en que la entidad de IAM invocó la API era inusual. Por ejemplo, estaentidad de IAM no tenía historial previo de invocar este tipo de API o la API se invocó desde una ubicacióninusual.



Descubrimiento: numeración S3/buckete.Una entidad de IAM invocó una API de S3 utilizada paradescubrir buckets de S3 dentro de su red.Gravedad predeterminada: Mediana

Note


Este hallazgo le informa de que una entidad de IAM ha invocado una API de S3 para descubrir bucketsde S3 en su entorno, comoListBuckets. Este tipo de actividad se asocia a la etapa de descubrimientode un ataque en la que un atacante está recopilando información para determinar si suAWSel entorno essusceptible a un ataque más amplio. Esta actividad es sospechosa porque la forma en que la entidad deIAM invocó la API era inusual. Por ejemplo, esta entidad de IAM no tenía historial previo de invocar estetipo de API o la API se invocó desde una ubicación inusual.



Persistence:IAMUser/NetworkPermissionsUna entidad de IAM invocó una API que se suele usar paracambiar los permisos de acceso de red de los grupos deseguridad, las rutas y las listas de control de acceso delasAWSaccount.Gravedad predeterminada: Mediana

91

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePersistence:IAMUser/ResourcePermissions

Note


Este hallazgo indica que un principal específico (AWSusuario raíz de la cuenta, rol de IAM o usuario deIAM) en suAWSenvironment está mostrando un comportamiento diferente al de la línea de referenciaestablecida. Esta entidad de seguridad nunca antes había invocado esta API.

Este resultado se activa cuando se cambia la configuración de red en circunstancias sospechosas, comocuando una entidad de seguridad invoca laCreateSecurityGroupAPI sin historial previo de hacerlo. Amenudo los atacantes intentan cambiar los grupos de seguridad para permitir que un volumen determinadode tráfico entre en varios puertos a fin de mejorar su capacidad para obtener acceso a una instancia EC2.



Persistence:IAMUser/ResourcePermissionsUna entidad de seguridad ha invocado una API que suele usarsepara cambiar las políticas de acceso de seguridad de variosrecursos de suAWSaccount.Gravedad predeterminada: Mediana

Note

La gravedad predeterminada de este resultado es media. Sin embargo, si se invoca la API seutiliza temporalmenteAWScredenciales creadas en una instancia, la gravedad del resultado esalta.


Este resultado se activa cuando se detecta un cambio en las políticas o los permisos asociadosaAWSrecursos, como cuando un director en suAWSEntorno invoca elPutBucketPolicyAPI sin historialprevio de hacerlo. Algunos servicios, como Amazon S3, admiten permisos asociados a recursos quepermiten a uno o varios agentes principales obtener acceso al recurso. Con las credenciales robadas, losatacantes pueden cambiar las políticas asociadas a un recurso para obtener acceso a dicho recurso.



Persistence:IAMUser/UserPermissionsUna entidad de seguridad ha invocado una API que suele usarsepara añadir, modificar o eliminar usuarios, grupos o políticas deIAM en suAWSaccount.

92

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePrivilegeEscalation:IAMUser/AdministrativePermissions

Gravedad predeterminada: Mediana

Note



Este resultado se activa cuando se producen cambios sospechosos en los permisos relacionados con elusuario enAWSentorno, como cuando un director en suAWSEntorno invoca elAttachUserPolicyAPI sinhistorial previo de hacerlo. Los atacantes pueden utilizar credenciales robadas para crear nuevos usuarios,añadir políticas de acceso para usuarios ya existentes o crear claves de acceso para sacar el máximoprovecho de su acceso a una cuenta, incluso si su punto de acceso original está cerrado. Por ejemplo, esposible que el propietario de la cuenta se dé cuenta de que le han robado una contraseña o un usuariodeterminado de IAM y eliminarlos de la cuenta. Sin embargo, es posible que no eliminen otros usuarioscreados por un administrador de administrador creado fraudulentamente, dejando suAWScuenta accesiblepara el atacante.



PrivilegeEscalation:IAMUser/AdministrativePermissionsUna entidad principal ha intentado asignarse una políticaexcesivamente permisiva.Gravedad predeterminada: Baja

Note

La gravedad de este resultado es baja si no se consigue realizar el intento de escalado deprivilegios o media si el intento se realiza con éxito.

Este hallazgo indica que una entidad de IAM específica en suAWSEl entorno está mostrando uncomportamiento que puede indicar un ataque de escalado de privilegios. Este resultado se activa cuandoun usuario o un rol de IAM intentan asignarse una política altamente permisiva. Si el usuario o el rol encuestión no debe tener privilegios administrativos, puede que las credenciales del usuario estén en riesgoo que los permisos del rol no se hayan configurado correctamente.

Los atacantes utilizarán credenciales robadas para crear nuevos usuarios, añadir políticas de accesopara usuarios ya existentes o crear claves de acceso para sacar el máximo provecho de su acceso a unacuenta incluso si se cierra su punto de acceso original. Por ejemplo, el propietario de la cuenta podríapercatarse de que le han robado una contraseña o un determinado usuario de IAM y eliminarlos de lacuenta, pero es posible que no eliminara otros usuarios creados por un administrador que se generó deforma fraudulenta, por lo que la cuenta deja suAWScuenta aún accesible para el atacante.



93

Amazon GuardDuty Amazon GuardDuty Guía del usuario deRecon:IAMUser/NetworkPermissions

Recon:IAMUser/NetworkPermissionsUna entidad de seguridad ha invocado una API que se sueleusar para cambiar los permisos de acceso de red de los gruposde seguridad, las rutas y las listas de control de acceso delasAWSaccount.Gravedad predeterminada: Mediana

Note



Este resultado se activa cuando se generan permisos de acceso a recursos enAWSse examinanen circunstancias sospechosas. Por ejemplo, si un director invocó elDescribeInstancesAPI sinhistorial previo de hacerlo. Un atacante podría utilizar credenciales robadas para realizar este tipo dereconocimiento de suAWSrecursos para encontrar credenciales más valiosas o determinar cuáles son lascapacidades de las credenciales que han caído en sus manos.



Recon:IAMUser/ResourcePermissionsUna entidad de seguridad ha invocado una API que suele usarsepara cambiar las políticas de acceso de seguridad de variosrecursos de suAWSaccount.Gravedad predeterminada: Mediana

Note



Este resultado se activa cuando se generan permisos de acceso a recursos enAWSse examinanen circunstancias sospechosas. Por ejemplo, si un director invocó elDescribeInstancesAPI sinhistorial previo de hacerlo. Un atacante podría utilizar credenciales robadas para realizar este tipo dereconocimiento de suAWSrecursos para encontrar credenciales más valiosas o determinar cuáles son lascapacidades de las credenciales que han caído en sus manos.


94

Amazon GuardDuty Amazon GuardDuty Guía del usuario deRecon:IAMUser/UserPermissions


Recon:IAMUser/UserPermissionsUna entidad de seguridad ha invocado una API que suele usarsepara añadir, modificar o eliminar usuarios, grupos o políticas deIAM en suAWSaccount.Gravedad predeterminada: Mediana

Note


Este resultado se activa cuando se producen permisos de usuario en suAWSse examinan encircunstancias sospechosas. Por ejemplo, si es un principal (AWSusuario raíz de cuenta, rol de IAMo usuario de IAM) invocó laListInstanceProfilesForRoleAPI sin historial previo de hacerlo. Unatacante podría utilizar credenciales robadas para realizar este tipo de reconocimiento de suAWSrecursospara encontrar credenciales más valiosas o determinar cuáles son las capacidades de las credencialesque han caído en sus manos.

Este hallazgo indica que un principal específico en suAWSenvironment está mostrando un comportamientodiferente al de la línea de referencia establecida. Esta entidad principal no tiene historial previo deinvocación de esta API de esta manera.



ResourceConsumption:IAMUser/ComputeResourcesUna entidad principal ha invocado una API que suele utilizarsepara lanzar recursos de computación como instancias EC2.Gravedad predeterminada: Mediana

Note


Este resultado se activa cuando hay instancias EC2 de la cuenta de lista dentro de suAWSse lanzanen circunstancias sospechosas. Este hallazgo indica que un principal específico en suAWSentornoestá mostrando un comportamiento diferente al de la línea de referencia establecida; por ejemplo,si una entidad principal (AWSusuario raíz de la cuenta, rol de IAM o usuario de IAM) ha invocadoelRunInstancesAPI sin historial previo de hacerlo. Esto podría ser señal de que un atacante estáutilizando credenciales robadas para robar tiempo de computación (posiblemente minería de criptomonedao violación de contraseñas). También puede ser señal de que un atacante está usando una instancia EC2en suAWSentorno y sus credenciales para mantener el acceso a su cuenta.


95

Amazon GuardDuty Amazon GuardDuty Guía del usuario deStealth:IAMUser/LoggingConfigurationModified


Stealth:IAMUser/LoggingConfigurationModifiedUna entidad de seguridad ha invocado una API que se sueleusar para detener el registro de CloudTrail, eliminar registrosexistentes y eliminar de cualquier otra forma los rastros deactividad deAWSaccount.Gravedad predeterminada: Mediana

Note


Este resultado se activa cuando se produce la configuración de registro de la listaAWSla cuenta dentrode su entorno se modifica en circunstancias sospechosas. Este resultado le informa de que una entidadde seguridad concreta delAWSentorno está mostrando un comportamiento diferente al de la línea dereferencia establecida; por ejemplo, si una entidad principal (AWSusuario raíz de cuenta, rol de IAM ousuario de IAM) invocó laStopLoggingAPI sin historial previo de hacerlo. Esto puede ser señal de que unatacante está intentando cubrir sus huellas eliminando cualquier rastro de su actividad.



UnauthorizedAccess:IAMUser/ConsoleLoginUn inicio de sesión de consola inusual deAWSse observó unacuenta.Gravedad predeterminada: Mediana

Note


Este resultado se activa cuando se detecta un inicio de sesión en la consola en circunstanciassospechosas. Por ejemplo, si una entidad de seguridad ha invocado anteriormente la API ConsoleLogindesde una ubicación o un cliente específicos cuando nunca antes lo había hecho. Esto podría ser unaindicación de que se utilizan credenciales robadas para obtener acceso a suAWSuna cuenta o un usuarioválido que está obteniendo acceso a la cuenta de forma no válida o menos segura (por ejemplo, no obtieneacceso mediante una VPN aprobada).

Este resultado le informa de que una entidad de seguridad concreta delAWSenvironment está mostrandoun comportamiento diferente al de la línea de referencia establecida. Esta entidad de seguridad nuncaantes había iniciado sesión con esta aplicación cliente desde esta ubicación específica.


96

Amazon GuardDuty Amazon GuardDuty Guía del usuario deUnauthorizedAccess:EC2/TorIPCaller


UnauthorizedAccess:EC2/TorIPCallerLa instancia EC2 recibe conexiones entrantes de un nodo desalida Tor.Gravedad predeterminada: Medio

Este resultado le informa de que una instancia EC2 delAWSentorno recibe conexiones entrantes de unnodo de salida Tor. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar deforma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo deTor se denomina nodo de salida. Este resultado puede indicar un acceso no autorizado a suAWSrecursoscon la intención de ocultar la verdadera identidad del atacante.



Backdoor:EC2/XORDDOSUna instancia EC2 está intentando comunicarse con unadirección IP relacionada con malware XorDDos.Gravedad predeterminada: Alta

Este resultado le informa de que una instancia EC2 delAWSentorno está intentando comunicarse conuna dirección IP relacionada con malware XorDDos. Esta instancia EC2 podría estar comprometida. XORDDoS es malware troyano que secuestra sistemas Linux. En un intento de obtener acceso al sistema,lanza un ataque de fuerza bruta para descubrir la contraseña de los servicios de Secure Shell (SSH) enLinux. Después de haber adquirido las credenciales de SSH y haber realizado correctamente el inicio desesión, utiliza privilegios raíz para ejecutar un script que descarga e instala XOR DDoS. A continuación,este malware se utiliza como parte de un botnet para lanzar ataques de denegación de servicio distribuido(DDoS) contra otros destinos.



Behavior:IAMUser/InstanceLaunchUnusualUn usuario de IAM lanzó una instancia EC2 de un tipo inusual.Gravedad predeterminada: Alta

Este resultado le informa de que un usuario concreto de IAM en suAWSenvironment está mostrando uncomportamiento diferente al de la línea de referencia establecida. Este usuario de IAM no tiene historialprevio de lanzamientos de una instancia EC2 de este tipo. Sus credenciales de usuario de IAM podríanestar comprometidas.



97

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCryptoCurrency:EC2/BitcoinTool.A

CryptoCurrency:EC2/BitcoinTool.ALa instancia EC2 se está comunicando con grupos de minería deBitcoin.Gravedad predeterminada: Alta

Este resultado le informa de que una instancia EC2 delAWSentorno se está comunicando con grupos deminería de Bitcoin. En el campo de la minería de criptomonedas, un grupo de minería es la agrupaciónde recursos por parte de mineros que comparten potencia de procesamiento a través de una red paradividir la compensación en función de la cantidad de trabajo con la que han contribuido para resolver unbloque. A menos que utilice esta instancia EC2 para la minería de Bitcoin, dicha instancia podría estarcomprometida.



UnauthorizedAccess:IAMUser/UnusualASNCallerSe ha invocado una API desde una dirección IP de una redinusual.Gravedad predeterminada: Alta

Este resultado le informa de que se ha invocado cierta actividad desde una dirección IP de una red inusual.Esta red no se ha observado nunca en todo elAWShistorial de uso del usuario descrito. Esta actividadpuede incluir un inicio de sesión en la consola, un intento de lanzar una instancia EC2, la creación deun nuevo usuario de IAM y la modificación de suAWSprivilegios, etc. Esto puede indicar un acceso noautorizado a suAWSde AWS.



Hallazgos por tipo de recursoLas páginas siguientes se desglosan por cada tipo de recurso GuardDuty genera actualmente hallazgospara. Las páginas contienen información detallada sobre todos los tipos de búsqueda de ese tipo derecursos.

• Tipos de resultados de EC2 (p. 36)• Tipos de resultados de IAM de (p. 63)• Tipos de resultados de S3 (p. 55)• Kubernetes de búsqueda de tipos (p. 75)

Tabla de resultadosEn la tabla siguiente se muestran todos los tipos de resultado por nombre, recurso, origen de datos ygravedad. Una gravedad mostrada con un asterisco (*) indica que los resultados tienen gravedad variable

98

Amazon GuardDuty Amazon GuardDuty Guía del usuario deTabla de resultados

en función de las circunstancias de los resultados, que se describen en los detalles de esos resultados.Elija el nombre de resultado para abrir más información sobre ese resultado.

TIPO DE RESULTADO RESOURCE ORIGEN DE DATOS GRAVEDAD

Backdoor:EC2/C&CActivity.B (p. 37)

EC2 Logs de flujo de VPC Alta

Backdoor:EC2/C&CActivity.B!DNS (p. 38)

EC2 Logs de DNS Alta

Backdoor:EC2/DenialOfService.Dns (p. 38)


Backdoor:EC2/DenialOfService.Tcp (p. 39)


Backdoor:EC2/DenialOfService.Udp (p. 39)


Backdoor:EC2/DenialOfService.UdpOnTcpPorts (p. 40)


Backdoor:EC2/DenialOfService.UnusualProtocol (p. 40)


Backdoor:EC2/Spambot (p. 41)

EC2 Logs de flujo de VPC Media

Behavior:EC2/NetworkPortUnusual (p. 41)


Behavior:EC2/TrafficVolumeUnusual (p. 42)


CredentialAccess:IAMUser/AnomalousBehavior (p. 64)

IAM Eventos de CloudTrailde

Media

CredentialAccess:Kubernetes/MaliciousIPCaller (p. 76)

Kubernetes Registros de auditoríade Kubernetes

Alta

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom (p. 77)


Alta

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess (p. 77)


Alta

CredentialAccess:Kubernetes/TorIPCaller (p. 78)


Alta

CryptoCurrency:EC2/BitcoinTool.B (p. 42)


CryptoCurrency:EC2/BitcoinTool.B!DNS (p. 42)


DefenseEvasion:IAMUser/AnomalousBehavior (p. 64)


Media

99



DefenseEvasion:Kubernetes/MaliciousIPCaller (p. 78)


Alta

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom (p. 79)


Alta

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess (p. 79)


Alta

DefenseEvasion:Kubernetes/TorIPCaller (p. 80)


Alta

Discovery:IAMUser/AnomalousBehavior (p. 65)


Baja

Discovery:Kubernetes/MaliciousIPCaller (p. 80)


Media

Discovery:Kubernetes/MaliciousIPCaller.Custom (p. 81)


Media

Discovery:Kubernetes/SuccessfulAnonymousAccess (p. 81)


Media

Discovery:Kubernetes/TorIPCaller (p. 82)


Media

Discovery:S3/MaliciousIPCaller (p. 56)

S3 Evento de datosCloudTrail S3

Alta

Discovery:S3/MaliciousIPCaller.Custom (p. 56)


Alta

Discovery:S3/TorIPCaller (p. 57)


Media

Execution:Kubernetes/ExecInKubeSystemPod (p. 82)


Media

Exfiltration:IAMUser/AnomalousBehavior (p. 65)


Alta

Exfiltration:S3/MaliciousIPCaller (p. 57)


Alta

Exfiltration:S3/ObjectRead.Unusual (p. 57)

S3 S3 CloudTraildataEventos de

Mediana

Impact:EC2/AbusedDomainRequest.Reputation (p. 43)

EC2 Logs de DNS Media

Impact:EC2/BitcoinDomainRequest.Reputation (p. 44)


Impact:EC2/MaliciousDomainRequest.Reputation (p. 44)


Impact:EC2/PortSweep (p. 45)


100



Impact:EC2/SuspiciousDomainRequest.Reputation (p. 45)

EC2 Logs de DNS Baja

Impact:EC2/WinRMBruteForce (p. 45)

EC2 Logs de flujo de VPC Baja

Impact:IAMUser/AnomalousBehavior (p. 66)


Alta

Impact:Kubernetes/MaliciousIPCaller (p. 83)


Alta

Impact:Kubernetes/MaliciousIPCaller.Custom (p. 83)


Alta

Impact:Kubernetes/SuccessfulAnonymousAccess (p. 84)


Alta

Impact:Kubernetes/TorIPCaller (p. 84)


Alta

Impact:S3/MaliciousIPCaller (p. 58)


Alta

InitialAccess:IAMUser/AnomalousBehavior (p. 66)


Media

PenTest:IAMUser/KaliLinux (p. 67)


Media

PenTest:IAMUser/ParrotLinux (p. 67)


Media

PenTest:IAMUser/PentooLinux (p. 68)


Media

PenTest:S3/KaliLinux (p. 58)


Media

PenTest:S3/ParrotLinux (p. 59)


Media

PenTest:S3/PentooLinux (p. 59)


Media

Persistence:IAMUser/AnomalousBehavior (p. 68)


Media

Persistence:Kubernetes/ContainerWithSensitiveMount (p. 85)


Media

Persistence:Kubernetes/MaliciousIPCaller (p. 85)


Media

Persistence:Kubernetes/MaliciousIPCaller.Custom (p. 86)


Media

Persistence:Kubernetes/SuccessfulAnonymousAccess (p. 86)


Alta

101



Persistence:Kubernetes/TorIPCaller (p. 87)


Media

Policy:IAMUser/RootCredentialUsage (p. 69)

IAM Eventos deadministración deCloudTrail o CloudTraileventos de datos

Baja

Policy:Kubernetes/AdminAccessToDefaultServiceAccount (p. 87)


Alta

Policy:Kubernetes/AnonymousAccessGranted (p. 88)


Alta

Policy:Kubernetes/KubeflowDashboardExposed (p. 89)


Media

Policy:Kubernetes/ExposedDashboard (p. 88)


Media

Policy:S3/AccountBlockPublicAccessDisabled (p. 60)

S3 Eventos de CloudTrailde

Baja

Policy:S3/BucketAnonymousAccessGranted (p. 60)


Alta

Policy:S3/BucketBlockPublicAccessDisabled (p. 61)


Baja

Policy:S3/BucketPublicAccessGranted (p. 61)


Alta

PrivilegeEscalation:IAMUser/AnomalousBehavior (p. 69)


Media

PrivilegeEscalation:Kubernetes/PrivilegedContainer (p. 89)


Media

Recon:EC2/PortProbeEMRUnprotectedPort (p. 46)


Recon:EC2/PortProbeUnprotectedPort (p. 46)


Recon:EC2/Portscan (p. 47)


Recon:IAMUser/MaliciousIPCaller (p. 70)


Media

Recon:IAMUser/MaliciousIPCaller.Custom (p. 70)


Media

Recon:IAMUser/TorIPCaller (p. 71)


Media

Stealth:IAMUser/CloudTrailLoggingDisabled (p. 71)


Baja

102



Stealth:IAMUser/PasswordPolicyChange (p. 71)


Baja

Stealth:S3/ServerAccessLoggingDisabled (p. 62)


Baja

Trojan:EC2/BlackholeTraffic (p. 48)


Trojan:EC2/BlackholeTraffic!DNS (p. 48)


Trojan:EC2/DGADomainRequest.B (p. 48)


Trojan:EC2/DGADomainRequest.C!DNS (p. 49)


Trojan:EC2/DNSDataExfiltration (p. 50)


Trojan:EC2/DriveBySourceTraffic!DNS (p. 50)


Trojan:EC2/DropPoint (p. 50)


Trojan:EC2/DropPoint!DNS (p. 51)


Trojan:EC2/PhishingDomainRequest!DNS (p. 51)


UnauthorizedAccess:EC2/MaliciousIPCaller.Custom (p. 52)


UnauthorizedAccess:EC2/MetadataDNSRebind (p. 52)


UnauthorizedAccess:EC2/RDPBruteForce (p. 53)


UnauthorizedAccess:EC2/SSHBruteForce (p. 53)


UnauthorizedAccess:EC2/TorClient (p. 54)


UnauthorizedAccess:EC2/TorRelay (p. 55)


UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B (p. 72)


Media

103



UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS (p. 72)


Alto*

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS (p. 73)

IAM Eventos deadministración deCloudTrail o eventos dedatos de S3

Alta

UnauthorizedAccess:IAMUser/MaliciousIPCaller (p. 74)


Media

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom (p. 74)


Media

UnauthorizedAccess:IAMUser/TorIPCaller (p. 75)


Media

UnauthorizedAccess:S3/MaliciousIPCaller.Custom (p. 62)


Alta

UnauthorizedAccess:S3/TorIPCaller (p. 62)


Alta

104

Amazon GuardDuty Amazon GuardDuty Guía del usuario deFiltrado de hallazgos

Gestión de resultados de AmazonGuardDuty

GuardDuty ofrece varias funciones importantes para ayudarle a ordenar, almacenar y gestionar sushallazgos. Estas características le ayudarán a adaptar los resultados a su entorno específico, reducir elruido de los resultados de bajo valor y le ayudarán a centrarse en amenazas para suAWSentorno de.Revise los temas de esta página para conocer cómo utilizar estas funciones para aumentar el valor de losresultados de GuardDuty.

Temas:

Filtrado de hallazgos (p. 105)

Aprenda a filtrar los resultados de GuardDuty en función de los criterios especificados.Reglas de supresión (p. 108)

Aprenda a filtrar automáticamente los hallazgos de los que GuardDuty le avisa mediante reglas desupresión. Las reglas de supresión archivan automáticamente los resultados en función de los filtros.

Trabajo con listas de IP de confianza y listas de amenazas (p. 112)

Personalice el ámbito de monitoreo de GuardDuty mediante listas de IP y listas de amenazas basadasen direcciones IP enrutables públicamente. Las listas de IP de confianza evitan que se generenresultados que no sean DNS a partir de IP que considere de confianza, mientras que las listas de Intelde amenazas provocarán que GuardDuty le avise de la actividad de las IP definidas por el usuario.

Exportación de hallazgos (p. 116)

Configure la exportación automática de sus hallazgos a un bucket de S3 para que pueda mantenerregistros pasados 30 días. Estos datos históricos se pueden utilizar para realizar un seguimiento de laactividad sospechosa de su cuenta y ayudarlo a evaluar si las acciones de corrección se han realizadocorrectamente.

Creación de respuestas personalizadas aGuardDutyhallazgos con AmazonCloudWatchEventos (p. 123)

Configure notificaciones automáticas para las conclusiones de GuardDuty mediante eventos deAmazon CloudWatch. También puede automatizar otras tareas a través de CloudWatch Events paraayudarle a responder a los hallazgos.

Filtrado de hallazgosUn filtro de búsqueda le permite ver los resultados que coinciden con los criterios especificados y filtrarcualquier hallazgo sin igual. Puede crear fácilmente filtros de búsqueda mediante la consola de AmazonGuardDuty o crearlos con elCreateFilterAPI que utiliza JSON. Revise las siguientes secciones paracomprender cómo crear un filtro en la consola. Para utilizar estos filtros para archivar automáticamente losresultados entrantes, consulteReglas de supresión (p. 108).

Creación de filtros en el GuardDuty consolaLos filtros de búsqueda se pueden crear y probar a través del GuardDuty consola de . Puede guardar losfiltros creados a través de la consola para su uso en reglas de supresión u operaciones de filtrado future.Un filtro se compone de al menos un criterio de filtro, que consiste en un atributo de filtro emparejado conal menos un valor.

Al crear filtros, tenga en cuenta lo siguiente:

105

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deatributos de filtro

• Los filtros no aceptan comodines.• Puede especificar un mínimo de un atributo y un máximo de 50 atributos como criterios para un

determinado filtro.• Cuando utiliza eligual queono igual acondición para filtrar por un valor de atributo, como el ID de cuenta,

se puede especificar un máximo de 50 valores.• Cada atributo de criterios de filtro se evalúa como unANDoperador. Varios valores para el mismo atributo

se evalúan comoAND/OR.

Para filtrar resultados (consola)

1. ElegirAñadir criterios de filtroencima de la lista que se muestra de GuardDuty hallazgos.2. En la lista ampliada de atributos, seleccione el atributo que desea especificar como criterios del filtro,

comoID de cuentaoTipo de acción.

Note

Consulte la tabla de atributos de filtro en esta página para obtener una lista de atributos quepuede usar para crear criterios de filtro.

3. En el campo de texto que se muestra, especifique un valor para cada atributo seleccionado y, acontinuación, elijaAplicar.

Note

Después de aplicar un filtro, puede convertirlo para excluir los resultados que coincidan conél eligiendo el punto negro que está a la izquierda del nombre del filtro. Lo que sucede enrealidad es que se crea un filtro "distinto de" para el atributo seleccionado.

4. Para guardar los atributos especificados y sus valores (criterios de filtro) como un filtro, seleccioneSave (Guardar). Introduzca el nombre y la descripción del filtro y, a continuación, elijaTerminado.

atributos de filtroAl crear filtros u ordenar los resultados mediante las operaciones de la API, debe especificar los criteriosde filtro en JSON. Estos criterios de filtro se correlacionan con los detalles del JSON de un hallazgo. Latabla siguiente contiene una lista de los nombres para mostrar de la consola de los atributos de filtro y susnombres de campo JSON equivalentes.

Nombre de campo de la consola Nombre del campo JSON

ID de cuenta accountId

Confianza confidence

ID del resultado id

Región region

Access Key ID resource.accessKeyDetails.accessKeyId

ID principal resource.accessKeyDetails.principalId

Nombre de usuario resource.accessKeyDetails.userName

Tipo de usuario resource.accessKeyDetails.userType

ID del perfil de instancia de IAM resource.instanceDetails.iamInstanceProfile.id

106

Amazon GuardDuty Amazon GuardDuty Guía del usuario deatributos de filtro


ID de instancia resource.instanceDetails.instanceId

Tipo de instancia resource.instanceDetails.instanceType

Hora de lanzamiento resource.instanceDetails.launchTime

ID de imagen de la instancia resource.instanceDetails.imageId

Dirección IPv6 resource.instanceDetails.networkInterfaces.ipv6Addresses

Dirección IPv4 privada resource.instanceDetails.networkInterfaces.privateIpAddresses.privateIpAddress

Nombre DNS público resource.instanceDetails.networkInterfaces.publicDnsName

IP pública resource.instanceDetails.networkInterfaces.publicIp

ID de grupo de seguridad resource.instanceDetails.networkInterfaces.securityGroups.groupId

Nombre del grupo de seguridad resource.instanceDetails.networkInterfaces.securityGroups.groupName

ID de subred resource.instanceDetails.networkInterfaces.subnetId

VPC ID resource.instanceDetails.networkInterfaces.vpcId

ARN de Outpost resource.instanceDetails.outpostARN

Clave de etiqueta resource.instanceDetails.tags.key

Valor de etiqueta resource.instanceDetails.tags.value

Tipo de recurso resource.resourceType

Permisos de bucket resource.s3BucketDetails.publicAccess.effectivePermissions

Nombre del bucket resource.s3BucketDetails.name

Clave de la etiqueta del bucket resource.s3BucketDetails.tags.key

valor de la etiqueta del bucket resource.s3BucketDetails.tags.value

Tipo de bucket resource.s3BucketDetails.type

Tipo de acción service.action.actionType

API llamada service.action.awsApiCallAction.api

Tipo de intermediario de la API service.action.awsApiCallAction.callerType

Código de error de la API service.action.awsApiCallAction.errorCode

Ciudad del intermediario de la API service.action.awsApiCallAction.remoteIpDetails.city.cityName

País del intermediario de la API service.action.awsApiCallAction.remoteIpDetails.country.countryName

Dirección IPv4 del intermediario de la API service.action.awsApiCallAction.remoteIpDetails.ipAddressV4

ID de ASN del intermediario de la API service.action.awsApiCallAction.remoteIpDetails.organization.asn

Nombre ASN del intermediario de la API service.action.awsApiCallAction.remoteIpDetails.organization.asnOrg

Nombre del servicio del intermediario de la API service.action.awsApiCallAction.serviceName

107

Amazon GuardDuty Amazon GuardDuty Guía del usuario deReglas de supresión


Dominio de la solicitud DNS service.action.dnsRequestAction.domain

Conexión de red bloqueada service.action.networkConnectionAction.blocked

Dirección de la conexión de red service.action.networkConnectionAction.connectionDirection

Puerto local de la conexión de red service.action.networkConnectionAction.localPortDetails.port

Protocolo de conexión de red service.action.networkConnectionAction.protocol

Ciudad de la conexión de red service.action.networkConnectionAction.remoteIpDetails.city.cityName

País de la conexión de red service.action.networkConnectionAction.remoteIpDetails.country.countryName

Dirección IPv4 remota de la conexión de red service.action.networkConnectionAction.remoteIpDetails.ipAddressV4

ID de ASN de la IP remota de la conexión de red service.action.networkConnectionAction.remoteIpDetails.organization.asn

Nombre ASN de la IP remota de la conexión de red service.action.networkConnectionAction.remoteIpDetails.organization.asnOrg

Puerto remoto de la conexión de red service.action.networkConnectionAction.remotePortDetails.port

Nombre de la lista de amenazas service.additionalInfo.threatListName

Archived service.archived

IP local service.localIpDetails.ipAddressV4

Rol de recurso service.resourceRole

Gravedad severity

Tipo de búsqueda type

Actualizado a las updatedAt

Cuenta remota afiliada Service.action.awsapicallaction.remoteAccountDetails.Affiliated

Reglas de supresiónUna regla de supresión es un conjunto de criterios, que consiste en un atributo de filtro emparejado con unvalor, que se utiliza para filtrar hallazgos archivando automáticamente los nuevos resultados que coincidancon los criterios especificados. Las reglas de supresión se pueden utilizar para filtrar los resultados de bajovalor, los resultados positivos falsos o las amenazas sobre las que no se pretende actuar, a fin de facilitarel reconocimiento de las amenazas de seguridad que tienen el mayor impacto en su entorno.

Después de crear una regla de supresión, los nuevos resultados que coincidan con los criterios definidosen la regla se archivan automáticamente siempre que la regla de supresión esté en su lugar. Puedeutilizar un filtro existente para crear una regla de supresión o crear una regla de supresión a partir de unnuevo filtro que defina. Puede configurar reglas de supresión para suprimir tipos de hallazgos completoso definir criterios de filtro más detallados para suprimir sólo instancias específicas de un tipo de hallazgodeterminado. Las reglas de supresión se pueden editar en cualquier momento.

Los hallazgos suprimidos no se envían aAWS Security Hub, Amazon S3, Detective o CloudWatch, lo quereduce el nivel de ruido de resultado si consume los resultados de GuardDuty a través de Security Hub, unSIEM de terceros u otras aplicaciones de alerta y venta de entradas.

108

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCasos de uso comunes de reglas y ejemplos de supresión

GuardDuty sigue generando hallazgos incluso cuando coinciden con las reglas de supresión; sin embargo,esos hallazgos se marcan automáticamente comoarchived. Los resultados archivados se almacenan enGuardDuty durante 90 días y se pueden consultar en cualquier momento durante ese periodo. Puede verlas conclusiones suprimidas en la consola de GuardDuty seleccionandoArchivedde la tabla de resultadoso a través de la API de GuardDuty mediante elListFindingsAPI con unfindingCriteriacriteriodeservice.archivedigual que verdadero.

Note

En un entorno de varias cuentas, solo el administrador de GuardDuty puede crear reglas desupresión.

Casos de uso comunes de reglas y ejemplos desupresiónLos siguientes tipos de hallazgos tienen casos de uso comunes para aplicar reglas de supresión,seleccionar el nombre de resultado para obtener más información sobre esa búsqueda o revisar lainformación para crear una regla de supresión para ese tipo de hallazgo desde la consola.

Important

GuardDuty recomienda crear reglas de supresión de forma reactiva y solo para los hallazgos paralos que haya identificado falsos positivos repetidamente.

• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS (p. 73): utilice una reglade supresión para archivar automáticamente los hallazgos generados cuando la red de VPC estáconfigurada para enrutar el tráfico de Internet de tal forma que salga por una gateway local en lugar depor una Internet Gateway VPC.

Este resultado se genera cuando la red de está configurada para enrutar el tráfico de Internetde tal forma que salga por una gateway local en lugar de por una Internet Gateway VPC (IGW).Configuraciones comunes, como usarAWS Outposts, o conexiones de VPN de VPC, pueden generartráfico enrutado de esta manera. Si se trata de un comportamiento esperado, se recomienda utilizarreglas de supresión en y crear una regla que conste de dos criterios de filtro. El primer criterio es Tipo deresultado, que debería ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.El segundo criterio de filtro esDirección IPv4 del intermediario de la APIcon la dirección IP o el rangoCIDR de su gateway de Internet en las instalaciones. El ejemplo siguiente representa el filtro queutilizaría para suprimir este tipo de búsqueda en función de la dirección IP de la persona que llama a laAPI.

Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration API caller IPv4 address: 198.51.100.6

Note

Para incluir varias IP de llamadas de API, puede agregar un nuevo filtro de direcciones IPv4 dela persona que llama a la API para cada una.

• Recon:EC2/Portscan (p. 47): utilice una regla de supresión para archivar automáticamente los hallazgoscuando se utiliza una aplicación de evaluación de vulnerabilidades.

La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizarel atributo Tipo de resultado con un valor de Recon:EC2/Portscan. El segundo criterio de filtrodebe coincidir con la instancia o instancias que albergan estas herramientas de evaluación devulnerabilidades. Puede utilizarID de imagen de la instanciaatributo oEtiquetarvalue (value) en funciónde los criterios que se identifiquen con las instancias que alojan estas herramientas. El ejemplo siguienterepresenta el filtro que utilizaría para suprimir este tipo de búsqueda en función de instancias con unadeterminada AMI.

109


https://docs.aws.amazon.com/outposts/latest/userguide/

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePara crear reglas de supresión en GuardDuty

Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999

• UnauthorizedAccess:EC2/SSHBruteForce (p. 53): utilice una regla de supresión para archivarautomáticamente los hallazgos cuando se dirige a instancias de bastión.

Si el objetivo del intento de fuerza bruta es un anfitrión de bastión, esto podría representar elcomportamiento esperado paraAWSentorno. Si este es el caso, le recomendamos que configureuna regla de supresión para este hallazgo. La regla de supresión debe constar de dos criteriosde filtro. Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor deUnauthorizedAccess:EC2/SSHBruteForce. El segundo criterio de filtro debe coincidircon la instancia o instancias que sirven como host de bastión. Puede utilizarID de imagen de lainstanciaatributo oEtiquetarvalue (value) en función de los criterios que se identifiquen con las instanciasque alojan estas herramientas. El ejemplo siguiente representa el filtro que utilizaría para suprimir estetipo de búsqueda en función de instancias con un determinado valor de etiqueta de instancia.

Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops

• Recon:EC2/PortProbeUnprotectedPort (p. 46): utilice una regla de supresión para archivarautomáticamente los hallazgos cuando se dirige a instancias expuestas intencionalmente.

Puede haber casos en los que las instancias se exponen de forma intencionada, por ejemplo, siestán alojando servidores web. Si este es el caso de suAWS, le recomendamos que configure unaregla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro.Los primeros criterios deben utilizar el atributo Tipo de resultado con un valor de Recon:EC2/PortProbeUnprotectedPort. El segundo criterio de filtro debe coincidir con la instancia o instanciasque sirven como host de bastión. Puede utilizarID de imagen de la instanciaatributo oEtiquetarvalue, enfunción de los criterios que se identifiquen con las instancias que alojan estas herramientas. El ejemplosiguiente representa el filtro que utilizaría para suprimir este tipo de búsqueda en función de instanciascon una clave de etiqueta de instancia determinada en la consola.

Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod

Para crear reglas de supresión en GuardDutyConsole

La consola de GuardDuty le permite visualizar, crear y administrar fácilmente reglas de supresión. Lasreglas de supresión se generan de la misma manera que los filtros y los filtros guardados existentes sepueden utilizar como reglas de supresión. Para obtener más información sobre la creación de filtros,consulteFiltrado de hallazgos (p. 105).

Para crear una regla de supresión con la consola:

1. On the GuardDutyHallazgospágina, elijaSupresión de hallazgospara abrir el panel de reglas desupresión.

2. SelectAñadir criterios de filtroen la barra de filtros para abrir el menú de criterios de filtro.Seleccione un criterio de la lista y, a continuación, introduzca un valor válido para ese criterio.Para determinar los valores correctos que se van a utilizar, puede seleccionar un hallazgoque desea suprimir de la tabla de hallazgos y revisar sus detalles desde la misma página dela consola. Puede seguir añadiendo criterios de filtro hasta que solo los hallazgos que deseasuprimir aparezcan en la tabla de resultados.

3. Escriba un nombre y una descripción para la regla de supresión.4. Elija Save (Guardar).

110

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePara crear reglas de supresión en GuardDuty

También puede crear una regla de supresión a partir de un filtro guardado existente. Para obtener másinformación sobre la creación de filtros, consulteFiltrado de hallazgos (p. 105).

Para crear una regla de supresión a partir de un filtro guardado:

1. On the GuardDutyHallazgospágina, elijaSupresión de hallazgospara abrir el panel de reglas desupresión.

2. desde lasReglas guardadasdesplegable selecciona un filtro guardado.3. Escriba un nombre y una descripción para la regla de supresión.4. Elija Save (Guardar).

Las reglas de supresión se pueden consultar, editar o eliminar en cualquier momento seleccionando laregla en el menú desplegable Reglas guardadas de la consola.

API

Para crear una regla de supresión con API:

1. Puede crear reglas de supresión a través deCreateFilterAPI. Para ello, especifique los criteriosde filtro en un archivo JSON siguiendo el formato del ejemplo que se detalla a continuación. Elsiguiente ejemplo suprimirá cualquier resultado no archivado en el que se haya realizado unasolicitud DNS para test.example.com.

{ "Criterion": { "service.archived": { "Eq": [ "false" ] }, "service.action.dnsRequestAction.domain": { "Eq": [ "test.example.com" ] } } }

Para obtener una lista de los nombres de campo JSON y su equivalente de consola, consulteatributos de filtro (p. 106).

Puede probar primero los criterios de filtro utilizando el mismo criterio JSON en elListFindingsAPIy confirmación de que se han seleccionado los hallazgos correctos o puede hacerlo a travésdelAWSCLI siguiendo el siguiente ejemplo utilizando su propio ID de detector y un archivo.json.

AWS guardduty list-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-criteria file://criteria.json

2. Cargue el filtro para utilizarlo como regla de supresión con elCreateFilterAPI o medianteelAWSCLI siguiendo el ejemplo siguiente con su propio ID de detector, un nombre para la reglade supresión y un archivo.json.

AWS guardduty create-filter --action ARCHIVE --detector-id 12abc34d567e8fa901bc2d34e56789f0 --name yourfiltername --finding-criteria file://criteria.json

111




Amazon GuardDuty Amazon GuardDuty Guía del usuario deListas de IP de confianza y de amenazas

Puede consultar una lista de sus filtros mediante programación con la API ListFilter, puede consultarlos detalles de un filtro individual suministrando el nombre del filtro a la API GetFilter. Actualizar filtrosusando UpdateFilter o eliminarlos con la API DeleteFilter.

Trabajo con listas de IP de confianza y listas deamenazas

Amazon GuardDuty supervisa la seguridad de suAWSentorno mediante el análisis y el procesamiento deregistros de flujo de VPC,AWS CloudTrailregistros de eventos y registros DNS. Puede personalizar esteámbito de supervisión configurando GuardDuty para detener las alertas de IP de confianza de las suyaspropiaslistas de IP de confianzay alerta sobre IP maliciosas conocidas desde tu propialistas de amenazas.

Las listas de IP de confianza y las listas de amenazas se aplican únicamente al tráfico destinado adirecciones IP direccionables públicamente. Los efectos de una lista se aplican a todos los registros deflujo de VPC y CloudTrail resultados, pero no se aplican a los resultados de DNS.

GuardDuty se puede configurar para utilizar los siguientes tipos de listas.

Lista de IP de confianza

Las listas de IP de confianza se componen de direcciones IP en las que ha confiado para facilitarla comunicación con laAWSinfraestructura y aplicaciones. GuardDuty no genera registro de flujo deVPC o CloudTrail resultados sobre las direcciones IP de las listas de IP de confianza. Puede incluir unmáximo de 2000 direcciones IP y rangos de CIDR en una única lista de IP de confianza. Solo puedetener una lista de IP de confianza cargada a la vezAWScuenta por región.

Lista de amenazas

Las listas de amenazas están formadas por direcciones IP malintencionadas conocidas. Esta listapuede proporcionarse mediante inteligencia de amenazas de terceros o crearse específicamente parasu organización. GuardDuty genera resultados basados en las listas de amenazas. Puede incluir unmáximo de 250 000 direcciones IP y rangos de CIDR en una única lista de amenazas. GuardDuty sologenera resultados basados en la actividad relacionada con las direcciones IP y los rangos CIDR enlas listas de amenazas, no se generarán resultados basados en nombres de dominio. Puede tener unmáximo de seis listas de amenazas cargadas a la vezAWScuenta por región.

Note

Si incluye la misma IP tanto en una lista de IP de confianza como en una lista de amenazas, laprocesará primero la lista de IP de confianza y no generará ninguna búsqueda.

En entornos de cuentas múltiples, solo los usuarios de GuardDuty Las cuentas de administrador puedencargar y administrar las listas de IP de confianza y las de amenazas. Las listas de IP de confianza y laslistas de amenazas que carga la cuenta de administrador se imponen a GuardDuty funcionalidad ensus cuentas de miembro. En otras palabras, en las cuentas de miembros GuardDuty genera resultadosbasados en la actividad que afecta a direcciones IP malintencionadas conocidas de las listas de amenazasdel administrador y no genera resultados basados en la actividad que afecte a las direcciones IP de laslistas de IP de confianza del administrador. Para obtener más información, consulte Administración devarias cuentas en Amazon GuardDuty (p. 139).

formatos de listaGuardDuty acepta listas en los siguientes formatos:

112

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePermisos necesarios para cargar listas

de IP de confianza y listas de amenazas

• TXT

• STIX

• OTX_CSV

• ALIEN_VAULT

• PROOF_POINT

• FIRE_EYE

El tamaño máximo del archivo que aloja la lista de IP de confianza o la lista de amenazas es de 35 MB.

En las listas de IP de confianza y las listas de amenazas, las direcciones IP y los rangos CIDR debenaparecer de uno en uno en cada línea. A continuación, se muestra una lista de ejemplo en texto sinformato (TXT):

54.20.175.217205.0.0.0/8

Permisos necesarios para cargar listas de IP deconfianza y listas de amenazasAlgunas identidades de IAM requieren permisos especiales para trabajar con listas de IP deconfianza y listas de amenazas en GuardDuty. Una identidad con la política administradaAmazonGuardDutyFullAccess asociada solo puede cambiar de nombre y desactivar las listas de IP deconfianza y las listas de amenazas cargadas.

Para conceder a diferentes identidades acceso completo para trabajar con listas de IP de confianza y listasde amenazas (además de cambiar de nombre y desactivar estas listas, esto incluye la carga, activación,eliminación y actualización de la ubicación de las listas), asegúrese de que las siguientes acciones esténpresentes en la política de permisos asociada a un usuario, grupo o rol de IAM:

{ "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }

Important

Estas acciones no se incluyen en laAmazonGuardDutyFullAccesspolítica administrada.

Uso del cifrado del servidor para listas de IP deconfianza y listas de amenazasGuardDuty admite los siguientes tipos de cifrado para listas: SSE-AES256 y SSE-KMS. No se admite SSE-C. Para obtener más información acerca de los tipos de cifrado para S3, consulteProteger los datos con elcifrado del lado del servidor.

113

https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePara cargar listas de IP de confianza y listas de amenazas

Si la lista está cifrada mediante el cifrado del servidor SSE-KMS, debe otorgar la GuardDuty Rol vinculadoal servicio deFunción de servicio de AWS para Amazon Guard Dutypermiso para descifrar el archivo paraactivar la lista. Añade la siguiente declaración a la política de claves de KMS y reemplaza el ID de cuentapor el tuyo propio:

{ "Sid": "AllowGuardDutyServiceRole", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" }, "Action": "kms:Decrypt*", "Resource": "*" }

Para cargar listas de IP de confianza y listas deamenazasEn el siguiente procedimiento, se describe cómo cargar listas de IP de confianza y listas de amenazasmediante la GuardDuty consola de .

Para cargar listas de IP de confianza y listas de amenazas (consola)

1. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.2. En el panel de navegación, en Settings, seleccione Lists.3. En la página List management, seleccione Add a trusted IP list o Add a threat list.4. En el cuadro de diálogo , haga lo siguiente:

• ParaNombre de una lista, escriba un nombre para la lista.• En Location, especifique la ubicación de la lista: se trata del bucket de S3 donde se guardan la lista

de IP de confianza o de amenazas y el archivo que contiene la lista.

Note

Puede especificar la URL de ubicación en los siguientes formatos:• https://s3.amazonaws.com/bucket.name/file.txt• https://s3-aws-region.amazonaws.com/bucket.name/file.txt• http://bucket.s3.amazonaws.com/file.txt• http://bucket.s3-aws-region.amazonaws.com/file.txt• s3: //bucket.name/file.txt

• En Format, seleccione el tipo de archivo de la lista.• Elija el iconoEstoy de acuerdo.• Elija Add list.

Activar o desactivar listas de IP de confianza y listasde amenazasA continuación se describen los procedimientos para activar o desactivar las listas de IP de confianza ylas de amenazas en GuardDuty una vez que se hayan subido. GuardDuty incluye las listas cargadas en lamonitorización deAWSentorno solo si están activos.

114


Amazon GuardDuty Amazon GuardDuty Guía del usuario dePara actualizar listas de IP de

confianza y listas de amenazas

Activar listas de IP de confianza y de amenazas (consola)

1. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.2. En el panel de navegación, en Settings, seleccione Lists.3. En la página List management (Administración de listas), identifique el conjunto de IP de confianza o la

lista de amenazas que desea activar y, a continuación, elija el botón de opción que se encuentra bajola columna Active (Activo).

Desactivar listas de IP de confianza y de amenazas (mediante la API o la CLI)

• Puede desactivar las listas de IP de confianza o listas de amenazas al ejecutar las operacionesUpdateThreatIntelSet y UpdateIPSet o los comandos de la CLI update-ip-set y update-threat-intel-set.

Por ejemplo, puede ejecutar el comando siguiente:

aws guardduty update-ip-set --detector-id <detector-id> --ip-set-id <ip-set-id> --no-activate

Asegúrese de reemplazar <detector-id> y <ip-set-id> con un ID de detector válido y un ID de listas deIP de confianza.

Para actualizar listas de IP de confianza y listas deamenazasSi realiza cambios en una lista de IP de confianza o en una lista de amenazas que ya estácargada y activada en GuardDuty (por ejemplo, cambie el nombre de la lista o agregue másdirecciones IP), debe actualizar esta lista en GuardDuty y reactivarlo para GuardDuty Para utilizarla versión más reciente de la lista en su ámbito de monitoreo de seguridad. Para actualizar unaIP de confianza o una lista de amenazas, puede utilizar el procedimiento siguiente o ejecutarlaUpdateThreatIntelSetyUpdateIPSetoperaciones del GuardDuty API.

Para actualizar listas de IP de confianza y listas de amenazas (consola)

1. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.2. En el panel de navegación, en Settings, seleccione Lists.3. En la página List management (Administración de listas), identifique el conjunto de IP de confianza o la

lista de amenazas que desea actualizar y, a continuación, elija el icono de lápiz que se encuentra bajola columna Active (Activo).

4. En la ventana emergente Update list (Actualizar lista), compruebe toda la información de la listaespecificada, elija I agree (Acepto) y, a continuación, elija Update list (Actualizar lista).

5. En la página List management (Administración de listas), identifique el conjunto de IP de confianzao la lista de amenazas que desea activar de nuevo y, a continuación, elija el botón de opción que seencuentra bajo la columna Active (Activo).

Para obtener información sobre cómo importar fuentes de información de amenazas medianteprogramación, consulte el artículo del blog How to automate the import of third-party threat intelligencefeeds.

115


https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html

https://docs.aws.amazon.com/cli/latest/reference/guardduty/update-ip-set.html

https://docs.aws.amazon.com/cli/latest/reference/guardduty/update-threat-intel-set.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html


http://aws.amazon.com/blogs/security/how-to-automate-import-third-party-threat-intelligence-feeds-into-amazon-guardduty/

http://aws.amazon.com/blogs/security/how-to-automate-import-third-party-threat-intelligence-feeds-into-amazon-guardduty/

Amazon GuardDuty Amazon GuardDuty Guía del usuario deExportación de hallazgos

Exportación de hallazgosGuardDuty admite la exportación de hallazgos activos a CloudWatch Eventos y, opcionalmente, a unbucket de Amazon S3. Nuevos hallazgos activos que GuardDuty genera se exportan automáticamenteunos 5 minutos después de haberse generado. Puede establecer la frecuencia con la que se exportan lasactualizaciones de los resultados activos a CloudWatch Eventos: . La frecuencia que selecciona se aplicaa la exportación de nuevos casos de hallazgos existentes a CloudWatch Eventos, el bucket de S3 (si estáconfigurado) y Detective (si está integrado). Para obtener más información acerca de las actualizacionesde los resultados existentes, consulteGuardDuty Agregación de resultados (p. 34)

Tenga en cuenta lo siguiente en relación con la configuración de exportación de resultados:

• Los ajustes de exportación son regionales, lo que significa que debe configurar las opciones deexportación para cada región en la que se utilice GuardDuty. Sin embargo, puede utilizar el mismobucket en una sola región que el destino de exportación de cada región que utilice. GuardDuty en.

• Los resultados archivados, incluidas las nuevas instancias de resultados suprimidos, no se exportan. Sidesarchiva un hallazgo, su estado se actualiza aActivo, y se exportará en el próximo intervalo.

• Si habilita la exportación de hallazgos en un GuardDuty cuenta de administrador todos los resultados delas cuentas miembro asociadas que se generen en en la región actual también se exportan a la mismaubicación que ha configurado para la cuenta de administrador.

Para configurar las opciones para exportar los resultados activos a un bucket de Amazon S3, necesitaráuna clave de KMS que GuardDuty se puede utilizar para cifrar hallazgos y un bucket de S3 con permisosque permiten GuardDuty Para cargar objetos. Consulte este tema para obtener información sobre cómoconfigurar la exportación y la frecuencia de los hallazgos.

Permisos necesarios para configurar la exportación deresultadosAl configurar las opciones para exportar los resultados, se selecciona un bucket en el que almacenarlos resultados y una clave de KMS para cifrar los datos. Además de los permisos para las acciones deGuardDuty , debe tener permisos para las siguientes acciones con el fin de configurar correctamente lasopciones de exportación de hallazgos.

• kms:ListAliases• s3:CreateBucket• s3:GetBucketLocation• s3:ListAllMyBuckets• s3:PutBucketAcl• s3:PutBucketPublicAccessBlock• s3:PutBucketPolicy• s3:PutObject

Important

Si su póliza lo niega explícitamenteputObjectAclNo podrá publicar hallazgos.

Concesión de GuardDuty permiso para una clave KMSGuardDuty cifra los datos de hallazgos en su bucket utilizando unAWS KMSclave. Para configurarcorrectamente la exportación de resultados, primero debe dar GuardDuty permiso para usar una clave deKMS. Los permisos se conceden cambiando la política de claves para la clave que utilice.

116

https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deConcesión de GuardDuty permiso para una clave KMS

Si planea utilizar una clave nueva para GuardDuty hallazgos,crear una claveantes de proceder. Si utilizauna clave en otra cuenta, debe iniciar sesión en la cuenta propietaria de la clave para aplicar la política declaves. También necesita la clave de ARN para una clave de otra cuenta al configurar los parámetros deexportación.

Para modificar la política de claves que permita GuardDuty para usar la llave

1. Abra la consola de AWS KMS en https://console.aws.amazon.com/kms.2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior

derecha de la página.3. Cree una nueva clave o elija una clave existente que va a utilizar para cifrar los resultados exportados.

La clave debe estar en la misma región que el depósito; sin embargo, puede utilizar este mismobucket y key pair para cada región desde la que desee exportar los hallazgos.

4. Seleccione su clave y, a continuación, copie el ARN de clave desde elConfiguración generalPanel de.5. UNDERPolítica de claves, eligeEditar.

Tip

Si se muestra la opción Switch to policy view (Cambiar a la vista de política) selecciónela paramostrar la política de claves y, a continuación, elija Edit (Editar).

6. Agregue la siguiente concesión de políticas clave GuardDuty acceso a tu llave. Sustituya los valoresen rojo para que coincidan con su entorno.

ReemplazarRegióncon la región en la que se encuentre la clave del KMS.Reemplazar111122223333conAWSnúmero de cuenta de la cuenta de origen propietaria delGuardDuty detector. ReemplazarKMSKeyIdcon el ID de clave de la clave que haya elegido para cifrary sustituirID del detector de origencon la cuenta de origen GuardDuty ID de detector de laregión actual.

Esta declaración permite GuardDuty para utilizar solo la clave cuya política ha cambiado. Al editar lapolítica de clave, asegúrese de que la sintaxis JSON sea válida; si agrega la instrucción antes de lasentencia final, debe agregar una coma después del corchete de cierre.

{ "Sid": "AllowGuardDutyKey", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "kms:GenerateDataKey", "Resource": "arn:aws:kms:Region:111122223333:key/KMSKeyId", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": "arn:aws:guardduty:Region:111122223333:detector/SourceDetectorID" } }}

Note

Si utiliza GuardDuty en una región habilitada manualmente, sustituya el valorde «Service» por el punto de enlace regional de esa región. Por ejemplo, siestá utilizando GuardDuty en la región del Oriente Medio (Baréin) (me-south-1),sustituya"Service": "guardduty.amazonaws.com"con"Service":"guardduty.me-south-1.amazonaws.com".

117

https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html

https://console.aws.amazon.com/kms

Amazon GuardDuty Amazon GuardDuty Guía del usuario deConcesión de permisos GuardDuty a un bucket

7. Seleccione Save (Guardar).8. (Opcional) Si planea utilizar un depósito existente, copie el ARN clave en un bloc de notas para

utilizarlo en pasos posteriores. Para localizar el ARN clave, consulteEncontrar el ID y el ARN de laclave.

Concesión de permisos GuardDuty a un bucketAl utilizar un depósito preexistente dentro de tu cuenta o en otroAWScuenta, debes conceder GuardDutypermiso para cargar objetos en ese bucket. Conceda estos permisos porAgregar una política de bucket deS3. Si utilizas un depósito preexistente, expanda la siguiente sección para step-by-step instrucciones sobrecómo agregar políticas de bucket.

Para agregar una política de bucket que permita GuardDuty paracargar objetos en tu depósito1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.2. Elija el bucket que va a utilizar para los resultados exportados.3. Elija Permissions (Permisos) y, a continuación, seleccione Bucket Policy (Política de bucket).4. Copie elPolítica de ejemploy péguelo en elEditor de políticas de bucket.5. Sustituya los valores de los marcadores de posición de la política de ejemplo por los valores

adecuados para su entorno.

ReemplazarmyBucketName. Reemplazar[Prefijo opcional]con una ubicación de carpetapara los resultados exportados (GuardDuty creará esta ubicación durante la configuración siaún no existe). ReemplazarRegióncon la región en la que se encuentre la clave del KMS.Reemplazar111122223333conAWSnúmero de cuenta de la cuenta donde GuardDuty estáconfigurado. ReemplazarKMSKeyIdcon el ID de clave de la clave que haya elegido para cifrar ysustituirID del detector de origencon la cuenta de origen GuardDuty ID de detector de laregión actual.

Política de ejemplo

En el ejemplo de política siguiente se muestra cómo conceder GuardDuty permiso para enviar resultados asu bucket de Amazon S3. Si cambia la ruta de acceso después de configurar la exportación de resultados,debe modificar la política para conceder permiso a la nueva ubicación.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowGuardDutygetBucketLocation", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:GetBucketLocation", "Resource": "arn:aws:s3:::myBucketName", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": "arn:aws:guardduty:Region:111122223333:detector/SourceDetectorID"

} } },

118

https://docs.aws.amazon.com/kms/latest/developerguide/viewing-keys.html#find-cmk-id-arn


https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/add-bucket-policy

https://console.aws.amazon.com/s3/

Amazon GuardDuty Amazon GuardDuty Guía del usuario deConcesión de permisos GuardDuty a un bucket

{ "Sid": "AllowGuardDutyPutObject", "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/*", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": "arn:aws:guardduty:Region:111122223333:detector/SourceDetectorID"

} } }, { "Sid": "DenyUnencryptedUploadsThis is optional", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "aws:kms" } } }, { "Sid": "DenyIncorrectHeaderThis is optional", "Effect": "Deny", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:Region:111122223333:key/KMSKeyId" } } }, { "Sid": "DenyNon-HTTPS", "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } } } ]}

119

Amazon GuardDuty Amazon GuardDuty Guía del usuario deExportación de los resultados a un depósito con la consola

Note

Si utiliza GuardDuty en una región habilitada manualmente, sustituya el valor de«Service» por el punto de enlace regional de la región. Por ejemplo, si está utilizandoGuardDuty en la región del Oriente Medio (Baréin) (me-south-1), sustituya"Service":"guardduty.amazonaws.com"con"guardduty.me-south-1.amazonaws.com".

Exportación de los resultados a un depósito con laconsolaAl configurar la exportación de resultados, puede elegir un bucket de S3 existente o tener GuardDutycree un nuevo bucket en el que almacenar los resultados exportados. Si decide utilizar un nuevo bucket,GuardDuty aplica todos los permisos necesarios al bucket creado. Si utiliza un bucket existente, primerodebe actualizar la política de bucket para permitir GuardDuty para poner los hallazgos en el cubo.

También puedes exportar los hallazgos a un depósito existente de otra cuenta.

Al elegir un depósito nuevo o existente en tu cuenta, puedes añadir un prefijo. Al configurar la exportaciónde hallazgos GuardDuty crea una nueva carpeta en el bucket de S3 para sus resultados. El prefijo incluirála estructura de carpetas predeterminada creada por GuardDuty, que es/AWSLogs/111122223333/GuardDuty/Region.

Important

La clave de KMS y el bucket de S3 deben estar en la misma región de.

Antes de completar estos pasos, asegúrese de haber configurado una clave KMS y, si utiliza un bucketexistente, ha agregado una política de bucket para permitir GuardDuty Para crear objetos.

New bucket in your account

Para configurar la exportación de hallazgos mediante un nuevo bucket

1. Agregar una política a la clave KMS GuardDuty se utilizará para cifrar los hallazgos. Para ver unapolítica de ejemplo, consulte.Concesión de GuardDuty permiso para una clave KMS (p. 116)

2. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.3. Elija Settings.

a. Elija New bucket (Nuevo bucket) para crear un nuevo bucket en el que almacenar losresultados exportados.

En el campo Name the bucket (Nombre del bucket), escriba un nombre para el bucket. Elnombre debe ser único en todos los buckets de S3. Los nombres de los buckets debencomenzar por una letra minúscula o un número.

b. Si utilizó un[optional prefix]en su política de bucket, debe introducir ese prefijoenPrefijo de archivos de registros, de lo contrario, esto es opcional. Al especificar un valor,la ruta de ejemplo situada debajo del campo se actualiza para reflejar la ruta de acceso a laubicación del bucket en la que se almacenarán los resultados exportados.

c. En KMS encryption (Cifrado de KMS), realice una de las siguientes acciones:• Seleccione Choose key from your account (Elegir una clave de su cuenta).

A continuación, elija el alias de clave de la clave cuya política ha cambiado en la listaKey alias (Alias de claves).

• Seleccione Choose key from another account (Elegir una clave de otra cuenta).

A continuación, especifique el ARN completo para la clave cuya política ha cambiado.

120


Amazon GuardDuty Amazon GuardDuty Guía del usuario deExportación de los resultados a un depósito con la consola

La clave que elija debe estar en la misma región que el bucket. Para obtener informaciónsobre cómo encontrar el ARN de la clave, consulteEncontrar el ID y el ARN de la clave.

d. Seleccione Save (Guardar).

Existing bucket in your account

Para configurar la exportación de hallazgos mediante un bucket existente


2. Adjuntar una política de concesión GuardDuty permiso para cargar objetos en el bucketde S3. Para ver una política de ejemplo, consulte.Concesión de permisos GuardDuty a unbucket (p. 118)

3. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.4. Elija Settings.

a. ElegirBucket existente en su cuenta.

En el navegadorPonga un nombre al bucketIntroduzca el nombre de su bucket.b. Opcional. UNDERPrefijo de archivos de registros, especifique un prefijo de ruta que

quiera usar. GuardDuty creará una nueva carpeta en el depósito con el nombre de prefijoespecificado. Al especificar un valor, la ruta de ejemplo situada debajo del campo se actualizapara reflejar la ruta de acceso a los resultados exportados en el bucket.

c. En KMS encryption (Cifrado de KMS), realice una de las siguientes acciones:• Seleccione Choose key from your account (Elegir una clave de su cuenta).

A continuación, elija el alias de clave de la clave cuya política ha cambiado en la listaKey alias (Alias de claves).

• Seleccione Choose key from another account (Elegir una clave de otra cuenta).

A continuación, especifique el ARN completo para la clave cuya política ha cambiado.



Existing bucket in another account

Para configurar la exportación de resultados mediante un bucket existente en otra cuenta


2. Adjuntar una política de concesión GuardDuty permiso para cargar objetos en el bucket de S3 deotra cuenta. Para ver una política de ejemplo, consulte.Concesión de permisos GuardDuty a unbucket (p. 118).

Note

Utilice el ID de cuenta de la cuenta propietaria del bucket de en la política3. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.4. Elija Settings.

a. Elija Existing bucket in another account (Bucket existente en otra cuenta)

121

https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html




Amazon GuardDuty Amazon GuardDuty Guía del usuario deError de acceso de exportación

b. En campo Bucket ARN (ARN del bucket), escriba el ARN del bucket de la otra cuenta que seva a utilizar.

c. UNDERCifrado de KMSespecifique el ARN completo de la clave cuya política ha cambiado.



Error de acceso de exportaciónDespués de configurar la búsqueda de opciones de exportación, si GuardDuty no puede exportar losresultados; se muestra un mensaje de error en elConfiguración(Se ha creado el certificado). Esto puedeocurrir cuando GuardDuty ya no puede acceder al recurso de destino, por ejemplo, cuando se elimina elbucket de S3 o se han modificado los permisos del bucket. Esto también puede ocurrir cuando la clave deKMS utilizada para cifrar los datos del bucket deja de estar accesible.

Cuando se produce un error en la exportación, GuardDuty envía una notificación al correo electrónicoasociado a la cuenta para informarle sobre el problema. Si no resuelve el problema, GuardDuty deshabilitala exportación de resultados en la cuenta. Puede actualizar la configuración para reiniciar la exportación deresultados en cualquier momento.

Si recibe este error, revise la información de este tema acerca de cómo habilitar y configurar la exportaciónde resultados. Por ejemplo, revise la política de claves y confirme que se esté aplicado la política correctaa la clave de KMS que eligió para el cifrado.

Establecimiento de la frecuencia para exportar lasconclusiones activas actualizadasConfigure la frecuencia para exportar los resultados activos actualizados según corresponda en suentorno. De forma predeterminada, los resultados actualizados se exportan cada 6 horas. Esto significaque cualquier dato que se actualice después de la exportación más reciente se incluirá en la siguienteexportación. Si los hallazgos actualizados se exportan cada 6 horas y la exportación se produce a las12:00, cualquier hallazgo que actualice después de las 12:00 se exportará a las 18:00.

Para establecer la frecuencia

1. Inicie sesión enAWS Management Consoley abra el GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.

2. Elija Settings.3. En la sección Findings export options (Opciones de exportación de hallazgos), seleccione el valor

de Frequency for updated findings (Frecuencia para obtener hallazgos actualizados). Con ello seestablece la frecuencia para exportar los resultados activos actualizados a ambos. CloudWatchEventos y Amazon S3. Puede elegir entre las siguientes opciones:

• Update CWE and S3 every 15 minutes (Actualizar CWE y S3 cada 15 minutos)• Update CWE and S3 every 1 hour (Actualizar CWE y S3 cada hora)• Update CWE and S3 every 6 hours (default) (Actualizar CWE y S3 cada 6 horas (predeterminado))

4. Seleccione Save (Guardar).

122

https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html



Amazon GuardDuty Amazon GuardDuty Guía del usuario deAutomatización de respuestas conCloudWatchEventos

Creación de respuestas personalizadasaGuardDutyhallazgos conAmazonCloudWatchEventos

GuardDutycrea un evento paraAmazonCloudWatchEventoscuando tiene lugar cualquier cambio en losresultados. Al buscar cambios, se creará un nuevo evento de CloudWatch si se encuentran resultados quese han generado o agregado recientemente. Los eventos se emiten en la medida de lo posible.

A cada resultado de GuardDuty se le asigna un ID de resultado. GuardDutycrea unCloudWatchpara cadaresultado con un ID de resultado único. Todas las ocurrencias posteriores de un resultado existente seagregarán al resultado original.

Note

Si tu cuenta es unGuardDutyadministrador delegadoCloudWatchlos eventos se publican en sucuenta además de la cuenta de miembro de la que se originó.

UsandoCloudWatcheventos conGuardDuty, puede automatizar tareas que le ayuden a responder a losproblemas de seguridad revelados porGuardDutyhallazgos.

Para recibir notificaciones sobreGuardDutyHallazgos basados enCloudWatchEventos, debe crearunCloudWatchRegla de eventos y objetivo paraGuardDuty. Esta regla habilitaCloudWatchenviarnotificaciones de hallazgos queGuardDutygenera en el destino especificado en la regla. Paraobtener más información, consulte Creación de un valorCloudWatchRegla de eventos y destinoparaGuardDuty(CLI) (p. 129).

Temas• CloudWatchFrecuencia de notificación de eventosGuardDuty (p. 123)• CloudWatchformato de evento paraGuardDuty (p. 124)• Creación de un valorCloudWatchRegla de eventos para notificarleGuardDutyhallazgos

(consola) (p. 125)• Creación de un valorCloudWatchRegla de eventos y destino paraGuardDuty(CLI) (p. 129)• CloudWatcheventos paraGuardDutyentornos de varias cuentas (p. 130)

CloudWatchFrecuencia de notificación deeventosGuardDutyNotificaciones sobre resultados generados recientemente con un ID de resultado único–GuardDutyenvíauna notificación basada en suCloudWatchevento dentro de los 5 minutos posteriores al hallazgo. Esteevento (y esta notificación) también contiene todos los casos posteriores de este resultado que seproducen en los primeros 5 minutos desde que se generó este resultado con un ID único.

Important

NO PUEDE personalizar la frecuencia predeterminada (5 minutos) con la que se envían lasnotificaciones acerca de los resultados generados.

Notificaciones de incidencias de búsqueda posteriores— De forma predeterminada, para cada resultadocon un ID de resultado único,GuardDutyle agrega todos los casos posteriores de un resultado concreto quese produzcan en intervalos de 6 horas de un solo evento. A continuación, GuardDuty envía una notificaciónsobre estos casos posteriores basada en este evento. Dicho de otro modo, de forma predeterminada, para

123

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCloudWatchformato de evento paraGuardDuty

los casos posteriores de resultados que ya se tienen, GuardDuty envía notificaciones basadas en eventosde CloudWatch cada 6 horas.

Important

Puede personalizar la frecuencia predeterminada con la que se envían las notificaciones acercade los casos de resultados posteriores. Los valores posibles son 15 minutos, una hora o seishoras, que es el valor predeterminado. Puede actualizar este valor con lasCreateDetectoroelUpdateDetectorOperaciones de la API de. También puede actualizar este valor con la consolade GuardDuty: seleccione Settings (Ajustes) y, a continuación, en CloudWatch Events (Eventosde CloudWatch), elija uno de los valores del menú desplegable Updated findings (Resultadosactualizados).Los usuarios de una cuenta de administrador son los únicos que pueden personalizar lafrecuencia predeterminada de envío de notificaciones sobre casos de resultado posterioresaCloudWatchEventos: . Los usuarios de las cuentas miembro NO PUEDEN personalizar estevalor de frecuencia. El valor de frecuencia establecido por la cuenta de administrador en su propiacuenta se impone aGuardDutyfuncionalidad en todas sus cuentas de miembro. En otras palabras,si un usuario de una cuenta de administrador establece este valor de frecuencia en 1 hora, entodas las cuentas miembro también se usará una frecuencia de 1 hora para las notificacionessobre casos de resultado posteriores enviadas aCloudWatchEventos: . Para obtener másinformación, consulte Administración de varias cuentas en Amazon GuardDuty (p. 139).

Supervisión archivadaGuardDutyHallazgosconCloudWatchEventosEl caso inicial y todos los casos posteriores de los resultados archivados manualmente (generados una vezque el archivado haya terminado) se envían aCloudWatchEventos por frecuencia descritos anteriormente.

El caso inicial y todos los casos posteriores de los resultados archivados automáticamente (generados unavez que el archivado haya terminado) sonnoenviado aCloudWatchEventos: .

CloudWatchformato de evento paraGuardDutyLaCloudWatch eventoparaGuardDutytiene el siguiente formato:

{ "version": "0", "id": "cd2d702e-ab31-411b-9344-793ce56b1bc7", "detail-type": "GuardDuty Finding", "source": "aws.guardduty", "account": "111122223333", "time": "1970-01-01T00:00:00Z", "region": "us-east-1", "resources": [], "detail": {GUARDDUTY_FINDING_JSON_OBJECT} }

Note

El valor de detalle devuelve los detalles JSON de una única búsqueda como objeto, en lugar dedevolver el valor de «hallazgos» que puede admitir varios hallazgos dentro de una matriz.

Para obtener una lista completa de todos los parámetros incluidos en laGUARDDUTY_FINDING_JSON_OBJECT, consulte GetFindings. El parámetro id que aparece en laGUARDDUTY_FINDING_JSON_OBJECT es el ID de resultado descrito anteriormente.

124



https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/CloudWatchEventsandEventPatterns.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCreación de un valorCloudWatchRegla de eventos

para notificarleGuardDutyhallazgos (consola)

Creación de un valorCloudWatchRegla de eventospara notificarleGuardDutyhallazgos (consola)Puede usarCloudWatchEventos conGuardDutypara configurar alertas de búsqueda automatizadasenviandoGuardDutybuscar eventos en un centro de mensajería para ayudar a aumentar la visibilidaddeGuardDutyhallazgos. En este tema se muestra cómo enviar alertas de hallazgos al correo electrónico,Slack o Amazon Chime configurando un tema de SNS y, a continuación, conectando ese tema aunCloudWatchRegla de eventos de.

Configuración de un tema y un punto de enlace de Amazon SNSPara empezar, primero debe configurar un tema en Amazon Simple Notification Service y agregar un puntode enlace. Para obtener más información sobre lasGuía de SNS.

Este procedimiento establece a dónde desea enviarGuardDutybúsqueda de datos. El tema SNS se puedeagregar a unCloudWatchRegla de eventos durante o después de la creación de la regla de evento.

Email setup

Creación de un tema de SNS

1. Inicie sesión en la consola de Amazon SNS, enhttps://console.aws.amazon.com/sns/v3/home.2. Seleccione Temas en el panel de navegación y después Crear un tema.3. En la sección «Crear un tema», seleccioneestándar. A continuación, escriba el nombre del tema;

por ejemplo,GuardDuty_to_Email. Lo demás datos son opcionales.4. Elija Create Topic (Crear tema). Se abrirán los detalles del nuevo tema.5. En la sección «Suscripciones», elija Crear suscripción.6. a. En el menú Protocolo, seleccione Correo electrónico.

b. En el campo Punto de enlace, agregue la dirección de correo electrónico en la que desearecibir las notificaciones.

Note

Una vez creada la suscripción, tendrá que confirmarla a través del cliente de correoelectrónico.

c. ElegirCrear una suscripción7. Busque el mensaje de suscripción en la bandeja de entrada y elija Confirmar suscripción.

Slack setup



por ejemplo,GuardDuty_to_Slack. Lo demás datos son opcionales. ElegirCrear un temadepara finalizar.

Configuración de unAWS Chatbotcliente

1. Vaya a la .AWS Chatbotconsola

125

https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html





2. Desde lasClientes configuradospanel, seleccioneConfiguración del nuevo cliente.3. Elige Slack y confirma con «Configurar».

Note

Al elegir Slack, debes confirmar los permisos paraAWS Chatbotpara acceder a tu canalseleccionando «permitir».

4. SelectConfiguración del nuevo canalpara abrir el panel de detalles de configuración.

a. Escriba un nombre para el canal.b. En Slack channel (Channel Slack), elija el canal que desea utilizar. Para utilizar un canal

privado de Slack conAWS Chatbot, selecciona Canal privado.c. En Slack, copia el ID de canal del canal privado haciendo clic con el botón derecho en el

nombre del canal y seleccionando Copiar enlace.d. En la páginaAWSManagement Console, en lasAWS Chatbot, pega el ID que copiaste de

slack en el campo ID de canal privado.e. EnPermisos, eligió crear un rol de IAM utilizando una plantilla, si aún no tiene un rol.f. ParaPolítica deplantillas, elija Notification permissions. Esta es la plantilla de política

de IAM paraAWS Chatbot. Proporciona los permisos de lectura y lista necesariosparaCloudWatchalarmas, eventos y registros y para temas de Amazon SNS.

g. Elige la región en la que creaste anteriormente el tema SNS y, a continuación, selecciona eltema de Amazon SNS que has creado para enviar notificaciones al canal de Slack.

5. Seleccione Configure (Configurar).

Chime setup



por ejemplo,GuardDuty_to_Chime. Lo demás datos son opcionales. ElegirCrear un temadepara finalizar.

Configuración de unAWS Chatbotcliente

1. Vaya a la .AWS Chatbotconsola2. Desde lasClientes configuradospanel, seleccioneConfiguración del nuevo cliente.3. Selecciona Chime y confirma con «Configurar».4. Desde lasDetalles de configuración, escriba un nombre para el canal.5. En Chime abre la sala de chat deseada

a. Elija el icono de engranaje en la esquina superior derecha y elija Manage webhooks and bots(Administrar webhooks y bots).

b. SelectCopiar URLpara copiar la URL del webhook en el portapapeles.6. En la páginaAWSManagement Console, en lasAWS Chatbot, pegue la URL que copió en elURL

de webhook.7. EnPermisos, eligió crear un rol de IAM utilizando una plantilla, si aún no tiene un rol.8. ParaPolítica deplantillas, elija Notification permissions. Esta es la plantilla de política

de IAM paraAWS Chatbot. Proporciona los permisos de lectura y lista necesariosparaCloudWatchalarmas, eventos y registros y para temas de Amazon SNS.

126




9. Elija la región en la que creó anteriormente el tema SNS y, a continuación, seleccione el tema deAmazon SNS que creó para enviar notificaciones a la sala Chime.

10. Seleccione Configure (Configurar).

Configuración de unCloudWatcheventoparaGuardDutyResultados de1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. Seleccione Reglas en el panel de navegación y después Crear una regla.3. Desde lasNombre del serviciomenú, elijaGuardDuty.4. Desde lasTipo de eventomenú, elijaGuardDutyDescubrimiento.5. En Vista previa del patrón de eventos, elija Editar.6. Pegue el siguiente código JSON en Vista previa del patrón de eventos y elija Guardar.

{ "source": [ "aws.guardduty" ], "detail-type": [ "GuardDuty Finding" ], "detail": { "severity": [ 4, 4.0, 4.1, 4.2, 4.3, 4.4, 4.5, 4.6, 4.7, 4.8, 4.9, 5, 5.0, 5.1, 5.2, 5.3, 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 6, 6.0, 6.1, 6.2, 6.3, 6.4, 6.5, 6.6, 6.7, 6.8, 6.9, 7, 7.0, 7.1,

127

https://console.aws.amazon.com/cloudwatch/



7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7.9, 8, 8.0, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, 8.9 ] }}

Note

El código anterior alertará de cualquier hallazgo de gravedad media o alta.7. En la sección Destinos, haga clic en Agregar destino.8. En el menú Seleccionar destinos, elija Tema de SNS.9. En Seleccionar un tema, elija el nombre del tema de SNS que creó en el paso 1.10. Configure la entrada del evento.

• Si está configurando notificaciones para Chime o Slack, vaya al paso 11, el tipo de entrada seestablece de forma predeterminada enEvento emparejado.

• Si está configurando notificaciones para correo electrónico a través de SNS, siga los pasos que seindican a continuación para personalizar el mensaje enviado a su bandeja de entrada siguiendo lossiguientes pasos:

a. Expanda Configurar entrada y elija Transformador de entrada.b. Copie el código siguiente y péguelo en el campo Ruta de entrada .

{ "severity": "$.detail.severity", "Account_ID": "$.detail.accountId", "Finding_ID": "$.detail.id", "Finding_Type": "$.detail.type", "region": "$.region", "Finding_description": "$.detail.description"}

c. Copie el código siguiente y péguelo en el campo Plantilla de entrada para dar formato al correoelectrónico.

"AWS <Account_ID> has a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region.""Finding Description:""<Finding_description>. "

128

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCreación de un valorCloudWatchRegla

de eventos y destino paraGuardDuty(CLI)

"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id=<Finding_ID>"

11. Haga clic en Configurar los detalles.12. En la página Configurar los detalles de la regla, escriba los valores que correspondan en los campos

Nombre y Descripción de la regla y elija Crear una regla.

Creación de un valorCloudWatchRegla de eventos ydestino paraGuardDuty(CLI)El siguiente procedimiento indica cómo utilizarAWS CLIcomandos para crear unCloudWatchRegla deeventos y destino paraGuardDuty. En concreto, el procedimiento muestra cómo crear una regla quepermite a CloudWatch enviar eventos para todos los resultados generados por GuardDuty, así como añadiruna función de AWS Lambda como destino para dicha regla.

Note

Además de las funciones Lambda,GuardDutyyCloudWatchadmite los siguientes tipos de destino:Instancias de Amazon EC2, transmisiones de Amazon Kinesis, tareas de Amazon ECS,AWS StepFunctionsmáquinas de estados, lasruncomando y destinos integrados.

También puede crear unCloudWatchRegla de eventos y destino paraGuardDutya través delasCloudWatchConsola de eventos. Para obtener más información y pasos detallados, consulteCreaciónde un valorCloudWatchRegla de eventos que se desencadena en función de un evento. En la secciónEvent Source (Origen de evento), seleccione GuardDuty para Service name (Nombre de servicio) yGuardDuty Finding para Event Type (Tipo de evento).

Para crear una regla y un destino

1. Para crear una regla que permita a CloudWatch enviar eventos para todos los resultados generadospor GuardDuty, ejecute el siguiente comando de la CLI de CloudWatch:

AWS events put-rule --name Test --event-pattern "{\"source\":[\"aws.guardduty\"]}"

Important

Puede seguir personalizando la regla de modo que indique a CloudWatch que envíe eventosúnicamente a un subconjunto de los resultados generados por GuardDuty. Este subconjuntose basa en los atributos de resultado o atributos especificados en la regla. Por ejemplo,utilice el siguiente comando de la CLI para crear una regla que permita a CloudWatch enviareventos únicamente para los resultados de GuardDuty con una gravedad de 5 u 8:AWS events put-rule --name Test --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"Para ello, puede utilizar cualquiera de los valores de propiedad que están disponibles en elarchivo JSON para obtener resultados de GuardDuty.

2. Para asociar una función Lambda como un destino de la regla creada en el paso 1, ejecute losiguienteCloudWatchCommand de la CLI.

AWS events put-targets --rule Test --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:<your_function>

Note

Asegúrese de reemplazar <your_function>en el comando anterior por la función Lambda realdeGuardDutyrápidamente.

129

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCloudWatcheventos

paraGuardDutyentornos de varias cuentas

3. Para agregar los permisos necesarios para invocar el destino, ejecute el siguiente comando de la CLIde Lambda.

AWS lambda add-permission --function-name <your_function> --statement-id 1--action 'lambda:InvokeFunction' --principal events.amazonaws.com

Note

Asegúrese de reemplazar <your_function>en el comando anterior por la función Lambda realdeGuardDutyrápidamente.

Note

En el procedimiento anterior, utilizamos una función Lambda como destino de la reglaque desencadenaCloudWatchEventos: . También puede configurar otrosAWSrecursoscomo destinos para activarCloudWatchEventos: . Para obtener más información,consultePutTargets.

CloudWatcheventos paraGuardDutyentornos de variascuentasComoGuardDutyadministradorCloudWatchLas reglas de eventos de tu cuenta se activarán según loshallazgos aplicables de tus cuentas de miembro. Esto significa que si configuras notificaciones debúsqueda a través deCloudWatchLos eventos de su cuenta de administrador, como se detalla en lasección anterior, se le notificará de los resultados de gravedad alta y media generados por sus cuentas demiembro además de las suyas propias.

Puede identificar la cuenta de miembroGuardDutyel hallazgo se originó con elaccountIdde los detallesJSON del hallazgo.

Para empezar a escribir una regla de evento personalizada para una cuenta de miembro específica delentorno de la consola, cree una nueva regla y pegue la siguiente plantilla en Vista previa del patrón deeventos, añadiendo el ID de cuenta de la cuenta de miembro que desea activar el evento.

{ "source": [ "aws.guardduty" ], "detail-type": [ "GuardDuty Finding" ], "detail": { "accountId": [ "123456789012" ] }}

Note

En este ejemplo se activará cualquier hallazgo del ID de cuenta enumerado. Se pueden agregarvarios ID, separados por una coma siguiendo la sintaxis JSON.

130

https://docs.aws.amazon.com/AmazonCloudWatchEvents/latest/APIReference/API_PutTargets.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deSolución de una instancia EC2 comprometida

Solución de problemas de seguridaddetectados por GuardDuty

Amazon GuardDuty generaResultados de (p. 22)que indican los posibles problemas de seguridad. Enesta versión de GuardDuty, los posibles problemas de seguridad indican una instancia EC2 comprometidao un conjunto de credenciales comprometidas en elAWSenvironment. En las siguientes seccionesse describen los pasos de corrección recomendados para estos escenarios. Si hay escenarios decorrección alternativos, se describirán en la entrada de ese tipo de búsqueda específico. Puede accedera la información completa sobre un tipo de búsqueda seleccionándolo en elTabla Tipos de hallazgosactivos (p. 36).

Temas• Solución de una instancia EC2 comprometida (p. 131)• Resolución de un bucket de S3 comprometido (p. 131)• Resolución comprometidaAWScredenciales (p. 133)• Solución de problemas de seguridad de Kubernetes detectados por GuardDuty (p. 134)

Solución de una instancia EC2 comprometidaSiga estos pasos recomendados para solucionar problemas en una instancia EC2 comprometida enelAWSenvironment:

1. Examine la instancia posiblemente comprometida en busca de malware y elimínelo. También puedeconsultar AWS Marketplace para ver si hay productos de socios que puedan ayudarle a identificar yeliminar el malware.

2. Si no puede identificar y detener la actividad no autorizada en la instancia EC2, le recomendamos quetermine la instancia EC2 comprometida y que la reemplace por una nueva según sea necesario. Acontinuación se enumeran recursos adicionales para proteger instancias EC2:• La sección «Seguridad y redes» enPrácticas recomendadas para Amazon EC2.• Grupos de seguridad de Amazon EC2 para instancias LinuxyGrupos de seguridad de Amazon EC2

para instancias de Windows.• Sugerencias para proteger la instancia EC2.• AWSPrácticas recomendadas de seguridad de• Incidentes de dominio de infraestructura enAWS

3. Busque ayuda adicional sobre elAWSforos para desarrolladores:https://forums.aws.amazon.com/index.jspa

4. Si es suscriptor del paquete Premium Support, puede enviar una solicitud de soporte técnico

Resolución de un bucket de S3 comprometidoSiga estos pasos recomendados para solucionar problemas en un bucket de S3 comprometido enelAWSenvironment:

131

http://aws.amazon.com/marketplace

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/using-network-security.html


http://aws.amazon.com/architecture/security-identity-compliance/

https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/infrastructure-domain-incidents.html

http://forums.aws.amazon.com/index.jspa

http://forums.aws.amazon.com/index.jspa

https://console.aws.amazon.com/support/home#/case/create?issueType=technical

Amazon GuardDuty Amazon GuardDuty Guía del usuario deResolución de un bucket de S3 comprometido

1. Identifique el recurso S3 afectado.

Un hallazgo de GuardDuty para S3 incluirá un bucket de S3, el número de recurso de Amazon (ARN)del bucket y un propietario del bucket en los detalles de la búsqueda.

2. Identifique el origen de la actividad sospechosa y la llamada a la API utilizada.

La llamada a la API utilizada se mostrará como API en los detalles de resultado. La fuente seráun principal de IAM (ya sea un usuario, un rol o una cuenta de IAM) y los detalles de identificaciónse enumerarán en la conclusión. Según el tipo de origen, la información de dominio de origen o IPremota estará disponible y puede ayudarlo a evaluar si se autorizó el origen. Si la búsqueda implicabacredenciales de una instancia EC2, también se incluirán los detalles de ese recurso.

3. Determine si la fuente de llamada está autorizada para acceder al recurso identificado.

Por ejemplo, considere lo siguiente:• Si un usuario de IAM participó, ¿es posible que sus credenciales se hayan visto comprometidas?

Consulte la siguiente sección sobre Resolución de problemas comprometidosAWSCredenciales de.• Si se ha invocado una API desde un principal que no tiene historial previo de invocar este tipo de API,

¿necesita este origen permisos de acceso para esta operación? ¿Se pueden restringir aún más lospermisos del bucket?

• Si el acceso se ha visto desde eluser name name ANONYMOUS_PRINCIPALconusertypedeAWSAccountindica que el depósito es público y se ha accedido a él. ¿Debería ser público estecubo? De lo contrario, revise las recomendaciones de seguridad que aparecen a continuación paraobtener soluciones alternativas para compartir recursos de S3.

• Si el acceso ha sido exitosoPreflightRequestllamada vista desde eluser namenameANONYMOUS_PRINCIPALconuser typedeAWSAccountindica que el bucket tiene un conjuntode políticas de uso compartido de recursos entre orígenes (CORS). ¿Debería este depósito teneruna política CORS? De lo contrario, asegúrese de que el bucket no sea público inadvertidamente yrevise las recomendaciones de seguridad que aparecen a continuación para encontrar solucionesalternativas para compartir recursos de S3. Para obtener más información sobre CORS, consulte.Usocompartido de recursos entre orígenes (CORS)en la guía del usuario de S3.

Si se autorizó el acceso, puede omitir este resultado de. Si determina que una parte no autorizada haexpuesto o ha accedido a sus datos de S3, revise las siguientes recomendaciones de seguridad de S3para reforzar los permisos y restringir el acceso. Las soluciones de corrección adecuadas dependerán delas necesidades de su entorno específico.

Estas son algunas recomendaciones basadas en necesidades de acceso específicas de S3:

• Para obtener una forma centralizada de limitar el acceso público a los datos de S3, utilice el bloqueo deacceso público de S3. La configuración de bloqueo de acceso público se puede habilitar para puntosde acceso, buckets yAWSCuentas a través de cuatro configuraciones diferentes para controlar lagranularidad del acceso. Para obtener más información, consulteConfiguración de Block Public Access.

• AWSLas políticas de acceso se pueden utilizar para controlar cómo los usuarios de IAM pueden accedera los recursos o cómo se puede acceder a los depósitos. Para obtener más información, consulteUso depolíticas de bucket y usuario.

Además, puede utilizar puntos de enlace de Virtual Private Cloud (VPC) con políticas de bucket de S3para restringir el acceso a puntos de enlace de la VPC específicos. Para obtener más información,consulteEjemplo de políticas de bucket para puntos de enlace de la VPC para Amazon S3

• Para permitir temporalmente el acceso a los objetos S3 a entidades de confianza ajenas a su cuenta,puede crear una URL prefirmada a través de S3. Este acceso se crea utilizando las credenciales desu cuenta y, según las credenciales utilizadas, puede durar de 6 horas a 7 días. Para obtener másinformación, consulteGeneración de URL prefirmadas con S3.

• En los casos de uso que requieren compartir objetos S3 entre diferentes orígenes, puede utilizar lospuntos de acceso de S3 para crear conjuntos de permisos que restringen el acceso solo a los de la

132

https://docs.aws.amazon.com/AmazonS3/latest/userguide/cors.html

https://docs.aws.amazon.com/AmazonS3/latest/userguide/cors.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html#access-control-block-public-access-options

https://docs.aws.amazon.com/AmazonS3/latest/dev/using-iam-policies.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/using-iam-policies.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies-vpc-endpoint.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/ShareObjectPreSignedURL.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deResolución comprometidaAWScredenciales

red privada. Para obtener más información, consulteAdministración del acceso a datos con puntos deacceso de Amazon S3.

• Para conceder acceso de forma segura a los recursos de S3 a otrosAWSCuentas que puede utilizar unalista de control de acceso (ACL), para obtener más información, consulte.Administración de acceso a S3con ACL.

Para obtener una descripción completa de las opciones de seguridad de S3, consultePrácticasrecomendadas de seguridad de S3.

Resolución comprometidaAWScredencialesSiga estos pasos recomendados para solucionar problemas de credenciales comprometidas enelAWSenvironment:

1. Identifique la entidad de IAM afectada y la llamada a la API utilizada.

La llamada a la API utilizada se mostrará como API en los detalles de resultado. La entidad de IAM(ya sea un usuario o rol de IAM) y su información de identificación se mostrarán en la sección Recursode los detalles de un resultado. El tipo de entidad de IAM implicada puede determinarse mediante elcampo Tipo de usuario, el nombre de la entidad de IAM estará en el campo Nombre de usuario. El tipode entidad de IAM implicada en el resultado también puede determinarse mediante el ID de clave deacceso utilizado.Para las claves que empiecen con AKIA:

Este tipo de clave es una credencial administrada por el cliente a largo plazo asociada a un usuariode IAM oAWSusuario raíz de la cuenta. Para obtener información sobre la administración de clavesde acceso para usuarios de IAM, consulte.Administración de las claves de acceso de los usuariosde IAM.

Para las claves que empiecen con ASIA:

Este tipo de clave es una credencial temporal a corto plazo generada por AWS Security TokenService. Estas claves existen solo durante un corto periodo de tiempo y no se pueden consultarni administrar en elAWSConsola de administración. Los roles de IAM siempre utilizaránAWSSTScredenciales de, pero también se pueden generar para usuarios de IAM, para obtener másinformación sobreAWS STSconsulteIAM: Credenciales de seguridad temporales.

Si se ha utilizado un rol, elUser name (Nombre de usuario):indicará el nombre del rolutilizado. Puede determinar cómo se solicitó la clave conAWS CloudTrailexaminandoelsessionIssuerelemento de la entrada de registro de CloudTrail, para obtener más información,consulteIAM yAWS STSinformación en CloudTrail.

2. Revise los permisos de la entidad de IAM.

Abra la consola de IAM, en función del tipo de entidad utilizada, elija la pestaña Usuarios o Roles ylocalice la entidad afectada escribiendo el nombre identificado en el campo de búsqueda. Utilice laspestañas Permisos y Acceso a Advisor para revisar los permisos efectivos para esa entidad.

3. Determine si las credenciales de entidad de IAM se utilizaron legítimamente.

Póngase en contacto con el usuario de las credenciales para determinar si la actividad fue intencionada.

Por ejemplo, averigüe si el usuario hizo lo siguiente:• Invocó la operación de la API que se muestra en el resultado de GuardDuty• Invocó la operación de la API en el momento que se muestra en el resultado de GuardDuty• Invocó la operación de la API desde la dirección IP que se muestra en el resultado de GuardDuty

133

https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/S3_ACLs_UsingACLs.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/S3_ACLs_UsingACLs.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html#sts-introduction

https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#iam-info-in-cloudtrail

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCorrección de resultados de Kubernetes

Si confirma que la actividad es un uso legítimo delAWScredenciales, puede ignorar la búsqueda deGuardDuty. De lo contrario, esta actividad podría deberse a un peligro a esa clave de acceso concreta,el ID de usuario y la contraseña del usuario de IAM, esa clave de acceso concreta o posiblemente todalaAWSaccount. Si sospecha que sus credenciales se han visto comprometidas, revise la informacióndelMiAWSla cuenta puede verse comprometidaartículo para remediar el problema.

Solución de problemas de seguridad de Kubernetesdetectados por GuardDuty

Amazon GuardDuty generaResultados de (p. 22)que indican posibles problemas de seguridad deKubernetes cuando la protección de Kubernetes está habilitada para su cuenta. Para obtener másinformación, consulte Protección de Kubernetes en Amazon GuardDuty (p. 14). En las siguientessecciones se describen los pasos a seguir recomendados para estos escenarios. Las acciones decorrección específicas se describen en la entrada de ese tipo de búsqueda específico. Puede accedera la información completa sobre un tipo de búsqueda seleccionándolo en elTabla Tipos de hallazgosactivos (p. 36).

Diferentes tipos de ataques y problemas de configuración pueden desencadenar hallazgos de GuardDutyKubernetes. Esta guía le ayuda a identificar las causas fundamentales de los hallazgos de GuardDutyen su clúster y describe las directrices correctivas adecuadas. Las siguientes son las principales causasprincipales que llevan a los hallazgos de GuardDuty Kubernetes:

• Problemas de configuración (p. 134)• Usuarios filtrados (p. 135)• Cápsulas filtradas (p. 137)• Nodos filtrados (p. 138)• Imágenes de contenedor atacadas (p. 137)

Note

Antes de la versión 1.14 de Kubernetes, elsystem:unauthenticatedgrupo se asocióasystem:discoveryysystem:basic-user Funciones de clústerde forma predeterminada.Esto puede permitir el acceso no deseado de usuarios anónimos. Las actualizaciones de clústerno revocan estos permisos, lo que significa que incluso si ha actualizado el clúster a la versión1.14 o posterior, es posible que estos permisos sigan vigentes. Recomendamos que desasocieestos permisos de lasystem:unauthenticatedgrupo. Para obtener instrucciones sobre cómoquitar estos permisos, consulteRevisar y revocar el acceso anónimo innecesario.

Problemas de configuraciónSi una búsqueda indica un problema de configuración, consulte la sección de corrección de dicho hallazgopara obtener orientación sobre la resolución de ese problema concreto. Para obtener más información,consulte los siguientes tipos de búsqueda que indican problemas de configuración:

• Policy:Kubernetes/AnonymousAccessGranted (p. 88)• Policy:Kubernetes/ExposedDashboard (p. 88)• Policy:Kubernetes/AdminAccessToDefaultServiceAccount (p. 87)• Policy:Kubernetes/KubeflowDashboardExposed (p. 89)• Cualquier hallazgo que termine en SuccesfulAnonyousAccess.

134

http://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/


Amazon GuardDuty Amazon GuardDuty Guía del usuario deUsuarios filtrados

Solución de usuarios de Kubernetes comprometidosUna búsqueda de GuardDuty puede indicar a un usuario de Kubernetes comprometido cuandoun usuario identificado en la búsqueda ha realizado una acción API inesperada. Puede identificaral usuario en laDatos de usuario de Kubernetesde una búsqueda de detalles en la consola o enelresources.eksClusterDetails.kubernetesDetails.kubernetesUserDetailsde loshallazgos JSON. Estos datos de usuario incluyenuser name,uidy los grupos de Kubernetes a los quepertenece el usuario.

Si el usuario estaba accediendo a la carga de trabajo mediante una entidad de IAM, puede utilizarelAccess Key detailspara identificar los detalles de un usuario o un rol de IAM. Consulte los siguientestipos de usuario y sus instrucciones de corrección.

Note

Puede utilizar Amazon Detective para investigar más a fondo el usuario o rol de IAM identificadoen la búsqueda. Al ver los detalles de búsqueda en la consola GuardDuty, haga clic enInvestigaren Detective. Después haga clic en laAWSusuario o rol de los elementos enumerados parainvestigarlo en Detective.

Administrador de Kubernetes incorporado— El usuario predeterminado asignado por Amazon EKSa la identidad de IAM que creó el clúster. Este tipo de usuario se identifica mediante el nombre deusuariokubernetes-admin.

Para revocar el acceso de un administrador integrado de Kubernetes:

• Identificación de lauserTypedesde lasAccess Key detailssección.• Si el archivo deuserTypeesRoly el rol pertenece a un rol de instancia EC2:

• Identifica esa instancia y siga las instrucciones enSolución de una instancia EC2comprometida (p. 131).

• Si el archivo deuserTypeesUsuario, o es unRolque asumió un usuario:1. Rotar la clave de accesode ese usuario.2. Rota cualquier secreto al que el usuario tenga acceso.3. Revise la información enMiAWSla cuenta puede verse comprometidapara obtener más

detalles.

Usuario autenticado de OIDC— Un usuario al que se ha concedido acceso a través de un proveedor OIDC.Normalmente, un usuario de OIDC tiene una dirección de correo electrónico como nombre de usuario.Puede comprobar si el clúster utiliza OIDC con el siguiente comando:aws eks list-identity-provider-configs --cluster-name your-cluster-name

Para revocar el acceso de un usuario autenticado de OIDC:1. Rote las credenciales de ese usuario en el proveedor OIDC.2. Rota cualquier secreto al que el usuario tenga acceso.

AWS-Auth ConfigMap definido usuario— Un usuario de IAM al que se le ha concedido acceso a travésde unAWS-auth ConfigMap. Para obtener más información, consulteAdministración de usuarios o rolesde IAM para su clústeren la guía del usuario de &EKS;. Puede revisar sus permisos mediante el comandosiguiente:kubectl edit configmaps aws-auth --namespace kube-system

Para revocar el acceso a unAWSUsuario de ConfigMap:1. Utilice el comando siguiente para abrir el ConfigMap.

kubectl edit configmaps aws-auth --namespace kube-system

135

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey


https://docs.aws.amazon.com/eks/latest/userguide/add-user-role.html

https://docs.aws.amazon.com/eks/latest/userguide/add-user-role.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deUsuarios filtrados

2. Identificar el rol o la entrada de usuario en laMap ProlesoUsuarios de mapascon el mismo nombrede usuario que el indicado en la sección de detalles de usuario de Kubernetes de su búsqueda deGuardDuty. Consulte el siguiente ejemplo, en el que se ha identificado al usuario administrador enuna búsqueda.

apiVersion: v1data: mapRoles: | - rolearn: arn:aws:iam::444455556666:role/eksctl-my-cluster-nodegroup-standard-wo-NodeInstanceRole-1WP3NUE3O6UCF user name: system:node:EC2_PrivateDNSName groups: - system:bootstrappers - system:nodes mapUsers: | - userarn: arn:aws:iam::123456789012:user/admin username: admin groups: - system:masters - userarn: arn:aws:iam::111122223333:user/ops-user username: ops-user groups: - system:masters

3. Elimina a ese usuario del ConfigMap. Consulte el siguiente ejemplo en el que se ha eliminado elusuario administrador.

apiVersion: v1data: mapRoles: | - rolearn: arn:aws:iam::111122223333:role/eksctl-my-cluster-nodegroup-standard-wo-NodeInstanceRole-1WP3NUE3O6UCF username: system:node:{{EC2PrivateDNSName}} groups: - system:bootstrappers - system:nodes mapUsers: | - userarn: arn:aws:iam::111122223333:user/ops-user username: ops-user groups: - system:masters

4. Si el archivo deuserTypeesUsuario, o es unRolque asumió un usuario:a. Rotar la clave de accesode ese usuario.b. Rota cualquier secreto al que el usuario tenga acceso.c. Revise la información enMiAWSla cuenta puede verse comprometidapara obtener más detalles.

Si el hallazgo no tiene unresource.accessKeyDetails, el usuario es una cuenta de servicio deKubernetes.

Cuenta de servicio— La cuenta de servicio proporciona una identidad para lospods y se puede identificar mediante un nombre de usuario con el siguienteformato:system:serviceaccount:namespace:service_account_name.

Para revocar el acceso a una cuenta de servicio:1. Rote las credenciales de la cuenta de servicio.2. Revise la guía sobre el compromiso de pods en la siguiente sección.

136

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey


Amazon GuardDuty Amazon GuardDuty Guía del usuario deCápsulas filtradas

Solución de pods Kubernetes comprometidosCuando GuardDuty especifica detalles de un pod o recurso de carga de trabajo dentrodelresource.kubernetesDetails.kubernetesWorkloadDetails, es probable que ese pod orecurso de carga de trabajo se vea comprometido. Un hallazgo de GuardDuty puede indicar que un solopod se ha visto comprometido o que varios pods se han visto comprometidos a través de un recurso denivel superior. Consulte los siguientes escenarios de compromiso para obtener información sobre cómoidentificar el pod o los pods que se han visto comprometidos.

Compromiso de un solo pod

Si el archivo detypedentro delaresource.kubernetesDetails.kubernetesWorkloadDetailssección esPod, el hallazgoidentifica un solo pod. El campo de nombre es elnamede la cápsula ynamespacees su espacio denombres. Utilice las instrucciones enIdentificar el pod y el nodo de trabajador infractorespara identificarel nodo de trabajador que ejecuta el pod.

Pods comprometidos a través de recursos de carga de trabajo

Si el archivo detypedentro delaresource.kubernetesDetails.kubernetesWorkloadDetailsla sección identificaunRecurso de carga de trabajo, tales comoDeployment, es probable que todos los pods de eserecurso de carga de trabajo se hayan visto comprometidos. Utilice las instrucciones enIdentificar lospods y los nodos de trabajo ofensivos mediante el nombre de la carga de trabajopara identificar todoslos pods del recurso de carga de trabajo y los nodos en los que se están ejecutando.

Pods comprometidos por cuenta de servicio

Si un hallazgo de GuardDuty identifica una cuenta de servicio enelresource.kubernetesDetails.kubernetesUserDetails, es probable que lospods que utilizan la cuenta de servicio identificada se vean comprometidos. El nombre deusuario notificado por una búsqueda es una cuenta de servicio si tiene el siguiente formato:system:serviceaccount:namespace:service_account_name. Utilice las instruccionesenIdentificar los pods y los nodos de trabajo infractores mediante el nombre de cuenta de servicioparaidentificar todos los pods utilizando la cuenta de servicio y los nodos en los que se están ejecutando.

Después de identificar todos los pods comprometidos y los nodos en los que se están ejecutando, siga lassiguientes instrucciones enla guía de mejores prácticas de EKSpara aislar el pod, rotar sus credenciales yrecopilar datos para análisis forenses.

Para corregir un pod comprometido:

1. Identifique la vulnerabilidad que ha comprometido los pods.2. Implemente la solución para esa vulnerabilidad e inicie nuevos pods de reemplazo.3. Elimine los pods vulnerables. Para obtener más información, consulteVolver a implementar recursos

de carga de trabajo o pod comprometidos.

Resolución de imágenes de contenedor filtradasCuando un hallazgo de GuardDuty indica un compromiso de pod, la imagenutilizada para lanzar el pod podría ser malintencionada o comprometida. Losresultados de GuardDuty identifican la imagen del contenedor dentro delresource.kubernetesDetails.kubernetesWorkloadDetails.containers.image. Puededeterminar si la imagen es maliciosa escaneándola en busca de malware.

137

https://aws.github.io/aws-eks-best-practices/security/docs/incidents/#identify-the-offending-pod-and-worker-node

https://aws.github.io/aws-eks-best-practices/security/docs/incidents/#identify-the-offending-pods-and-worker-nodes-using-workload-name

https://aws.github.io/aws-eks-best-practices/security/docs/incidents/#identify-the-offending-pods-and-worker-nodes-using-workload-name

https://aws.github.io/aws-eks-best-practices/security/docs/incidents/#identify-the-offending-pods-and-worker-nodes-using-service-account-name

https://aws.github.io/aws-eks-best-practices/security/docs/incidents/#isolate-the-pod-by-creating-a-network-policy-that-denies-all-ingress-and-egress-traffic-to-the-pod

https://github.com/aws/aws-eks-best-practices/blob/master/content/security/docs/incidents.md#redeploy-compromised-pod-or-workload-resource

https://github.com/aws/aws-eks-best-practices/blob/master/content/security/docs/incidents.md#redeploy-compromised-pod-or-workload-resource

Amazon GuardDuty Amazon GuardDuty Guía del usuario deNodos filtrados

Para corregir una imagen de contenedor comprometida:

1. Deja de usar la imagen inmediatamente y quítala del repositorio de imágenes.2. Identifica todos los pods utilizando la imagen. Para obtener más información, consulteIdentificar pods

con imágenes de contenedor vulnerables o comprometidas y nodos de trabajo.3. Aísle los pods comprometidos, gire las credenciales y recopile datos para su análisis. Para obtener

más información, consulte las siguientes instrucciones enla guía de mejores prácticas de EKS.4. Elimina todos los pods utilizando la imagen comprometida.

Solución de nodos Kubernetes comprometidosUna búsqueda de GuardDuty puede indicar un compromiso de nodo si el usuario identificado en labúsqueda representa una identidad de nodo o si la búsqueda indica el uso de un contenedor conprivilegios.

La identidad de usuario es un nodo de trabajador si elnombreDeUsuariotiene el siguiente formato:system:node:node name. Por ejemplo,system:node:ip-192-168-3-201.ec2.internal. Estoindica que el adversario ha obtenido acceso al nodo y utiliza las credenciales del nodo para comunicarsecon el extremo de la API de Kubernetes.

Una conclusión indica el uso de un contenedor privilegiado si unoo varios de los contenedores enumerados en la conclusión tienenelresource.kubernetesDetails.kubernetesWorkloadDetails.containers.securityContext.privilegedcampode búsqueda establecido enTrue.

Para corregir un nodo comprometido:

1. Utilice las instrucciones enla guía de mejores prácticas de EKSpara aislar el pod, rotar suscredenciales y recopilar datos para análisis forenses.

2. Identifique las cuentas de servicio utilizadas por todos los pods que se ejecutan en el nodo. Revise suspermisos y gire las cuentas de servicio si es necesario.

3. Termine el nodo.

138

https://aws.github.io/aws-eks-best-practices/security/docs/incidents/#identify-pods-with-vulnerable-or-compromised-images-and-worker-nodes

https://aws.github.io/aws-eks-best-practices/security/docs/incidents/#identify-pods-with-vulnerable-or-compromised-images-and-worker-nodes



Amazon GuardDuty Amazon GuardDuty Guía del usuario deAdministración de varias cuentas conAWS Organizations

Administración de varias cuentas enAmazon GuardDuty

Para administrar varias cuentas en Amazon GuardDuty, debe elegir una solaAWSpara que sea la cuentade administrador de GuardDuty. A continuación, puedes asociar a otrosAWScuentas con la cuenta deadministrador como cuentas de miembro. Existen dos formas de asociar cuentas con una cuenta deadministrador GuardDuty: a través de unAWS OrganizationsOrganización de de la que ambas cuentas sonmiembros o enviando una invitación a través de GuardDuty.

GuardDuty recomienda utilizar elAWS Organizationsmétodo de. Para obtener más información sobre laconfiguración de una organización, consulte Creación de una organización en la Guía del usuario de AWSOrganizations.

Administración de varias cuentas conAWSOrganizations

Si la cuenta que desea especificar como cuenta de administrador GuardDuty forma parte de unaorganización deAWS Organizations, puede especificar esa cuenta como administrador delegado dela organización para GuardDuty. La cuenta registrada como administrador delegado se convierteautomáticamente en la cuenta de administrador GuardDuty.

Puede utilizar esta cuenta de administrador para habilitar y administrar GuardDuty para cualquier cuentade la organización al agregar esa cuenta como cuenta miembro.

Si ya tiene una cuenta de administrador GuardDuty con cuentas miembro asociadas a través de unainvitación, puede registrar esa cuenta como administrador delegado de GuardDuty para la organización.Cuando lo haga, todas las cuentas de miembro asociadas siguen siendo miembros, lo que le permiteaprovechar al máximo la funcionalidad añadida de administrar sus cuentas GuardDuty conAWSOrganizations.

Para obtener más información sobre el uso de varias cuentas en GuardDuty a través de una organización,consulteAdministración GuardDuty cuentas conAWS Organizations (p. 141).

Administración de varias cuentas a través deinvitaciones

Si las cuentas que quieres asociar no forman parte de tuAWS Organizationsorganización, puedeespecificar una cuenta de administrador en GuardDuty y, a continuación, utilizar la cuenta de administradorpara invitar a otrosAWScuentas para convertirse en cuentas de miembro. Cuando una cuentainvitada acepta la invitación, se convierte en una cuenta miembro GuardDuty asociada a la cuenta deadministrador.

Para obtener más información sobre el uso de varias cuentas con invitaciones en GuardDuty,consulteAdministración GuardDuty cuentas por invitación (p. 147).

139

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_create.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deRelaciones de administrador ycuenta miembro de GuardDuty

Descripción de la relación entre el administrador deGuardDuty y las cuentas de miembro

Cuando se utiliza GuardDuty en un entorno con varias cuentas, la cuenta de administrador puedeadministrar algunos aspectos de GuardDuty en nombre de las cuentas miembro. Las principales funcionesque puede realizar la cuenta de administrador son las siguientes:

• Agregar y quitar cuentas miembro asociadas. El proceso por el que se realiza esta acción es distinto enfunción de si las cuentas se han asociado a través de una organización o de una invitación.

• Administración del estado de GuardDuty en las cuentas miembro asociadas, incluida la habilitación y lasuspensión de GuardDuty.

Note

Cuentas de administrador delegadas gestionadas conAWS Organizationshabilitarautomáticamente GuardDuty en las cuentas que se han agregado como miembros.

• Personalizar los resultados en la red GuardDuty a través de la creación y administración de reglas desupresión, listas de IP de confianza y listas de amenazas. Las cuentas miembro pierden el acceso aestas características en los entornos con varias cuentas.

En la tabla siguiente, se detalla la relación entre el administrador de GuardDuty y las cuentas miembro.

Las designaciones en las que aparece El mismo solo pueden realizar la acción indicada en sus propiascuentas. La designación Cualquiera indica que la cuenta puede realizar la acción descrita en cualquiercuenta asociada, mientras que Todos indica las acciones que se aplicarán a todas las cuentas asociadascuando las realice la cuenta designada. Las celdas de tabla con guiones (—) indican que una cuenta deesa designación no puede realizar la acción enumerada.

Designation

administrador administrador

Action (organizaciones) (por invitación)Miembro

Ver todoAWS Organizationscuentas de miembroindependientemente del estado de GuardDuty

Cualquiera – –

Habilitar automáticamente la protección S3 paracuentas nuevas

Todos

Activar GuardDuty Cualquiera El mismo –

Ver los resultados GuardDuty Cualquiera Cualquiera El mismo

Archivar resultados Cualquiera Cualquiera –

Aplicar reglas de supresión Todos Todos –

Generar resultados de ejemplo El mismo El mismo El mismo

Crear IP de confianza o listas de amenazas Todos Todos –

Actualizar IP de confianza o listas de amenazas Todos Todos –

Eliminar IP de confianza o listas de amenazas Todos Todos –

140

Amazon GuardDuty Amazon GuardDuty Guía del usuario deAdministración de cuentas de conAWS Organizations

Establecer frecuencia de notificación deCloudWatch

Todos Todos –

Establecer la ubicación de Amazon S3 paraexportar resultados

Todos Todos –

Suspender GuardDuty Cualquiera* Cualquiera* –

* Indica que esta acción debe realizarse en todas las cuentas asociadas antes que en la cuenta designada.

Administración GuardDuty cuentas conAWSOrganizations

Cuando utiliza GuardDuty con unAWS Organizationsorganización, puede designar cualquier cuenta dentrode la organización para ser la GuardDuty administrador delegado. Solo la cuenta de administración de laorganización puede designar GuardDuty administradores delegados.

Una cuenta designada como administrador delegado se convierte en GuardDuty cuenta de administrador,tiene GuardDuty habilitado automáticamente en la región designada y tiene permiso para habilitar yadministrar GuardDuty para todas las cuentas de la organización dentro de esa región. Las demás cuentasde la organización se pueden ver y agregar como GuardDuty Cuentas de miembro asociadas a la cuentade administrador delegado.

Si ya ha configurado un GuardDuty administrador con cuentas miembro asociadas por invitación, y lascuentas de miembro forman parte de la misma organización, susTipocambios depor Invitationaa travésde Organizationscuando configuras un GuardDuty administrador delegado de para su organización. Si elnuevo administrador delegado añadió previamente miembros mediante invitación que no forman parte dela misma organización, elTipoespor Invitation. En ambos casos, estas cuentas agregadas anteriormenteson cuentas miembro de la organización GuardDuty administrador delegado.

Puede seguir añadiendo cuentas como miembros aunque no pertenezcan a su organización. Para obtenermás información, consulte Designación de cuentas de administrador y miembro mediante invitación(consola) (p. 148) y Designación de GuardDuty cuentas de administrador y cuentas miembro a través deinvitación (API) (p. 149).

Consideraciones importantes para los administradoresdelegados de GuardDutyTome nota de los siguientes factores que definen cómo funciona el administrador delegado en GuardDuty:

Un administrador delegado puede administrar un máximo de 5000 miembros.

Hay un límite de 5000 cuentas miembro por GuardDuty administrador delegado. Sin embargo, puedehaber más de 5000 cuentas en su organización. El número deTodosLas cuentas de la organización semuestran en laCuentasPágina de la GuardDuty consola de .

Si supera las 5000 cuentas miembro, recibirá una notificación a través de CloudWatch,AWS HealthDashboardy en un correo electrónico a la cuenta de administrador delegado.

Un administrador delegado es Regional.

A diferencia deAWS Organizations, GuardDuty es un servicio regional. Esto significa que GuardDutyadministradores delegados y sus cuentas de miembro deben agregarse en cada región deseada para

141

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePermisos necesarios para designar

a un administrador delegado

la administración de cuentas medianteAWS Organizationspara estar activo en todas las regiones. Enotras palabras, si la cuenta de administración de la organización designa un administrador delegadopara GuardDuty solo en EE. UU. Este (N. Virginia) que el administrador delegado solo administrará lascuentas de los miembros añadidas a esa región. Para obtener más información sobre las regiones enGuardDuty consulteRegiones y puntos de enlace (p. 203).

Una organización solo puede tener un administrador delegado.

Solo puede tener un administrador delegado por cuenta. Si ha designado una cuenta comoadministrador delegado en una región, esa cuenta debe ser su administrador delegado en todas lasdemás regiones. Para cambiar el administrador delegado después de haber establecido uno, consulteel procedimiento para cancelar el registro de un administrador delegado.

No se recomienda configurar la cuenta de administración de la organización como administrador delegado.

La cuenta de administración de la organización puede ser el administrador delegado, pero esto nose recomienda segúnAWSPrácticas recomendadas de seguridad siguiendo el principio de privilegiosmínimos.

Cambiar un administrador delegado no se deshabilita GuardDuty para cuentas de miembros.

Si elimina al administrador delegado, todas las cuentas de miembro asociadas se eliminan comoGuardDuty miembros, pero GuardDuty no está deshabilitado en esas cuentas.

Permisos necesarios para designar a un administradordelegadoAl delegar un GuardDuty administrador delegado debe tener permisos para habilitar GuardDuty así comoalgunosAWS OrganizationsAcciones de la API que aparecen en la siguiente instrucción de política.

Puede agregar la siguiente instrucción al final de una política de IAM para conceder estos permisos:

{ "Sid": "PermissionsForGuardDutyAdmin", "Effect": "Allow", "Action": [ "guardduty:EnableOrganizationAdminAccount", "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*"}

Además, si desea designar suAWS Organizationscuenta de administración como administrador delegadode GuardDuty que la entidad necesitaráCreateServiceLinkedRolepermisos para inicializar GuardDuty.Esto se puede agregar a una política de IAM mediante la siguiente instrucción, reemplazando el ID decuenta por el ID de la cuenta de administración de la organización:

{ "Sid": "PermissionsToEnableGuardDuty" "Effect": "Allow", "Action": [

142

Amazon GuardDuty Amazon GuardDuty Guía del usuario deDesigne un GuardDuty administrador delegado

"iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } }}

Note

Si está utilizando GuardDuty en una región habilitada manualmente, sustituya elvalor de «Service» por el punto de enlace regional de la región. Por ejemplo, siestá utilizando GuardDuty en la región del Oriente Medio (Bahrein) (me-south-1),sustitúyase"Service": "guardduty.amazonaws.com"con"Service": "guardduty.me-south-1.amazonaws.com".

Designe un GuardDuty administrador delegadoLos procedimientos que se describen a continuación muestran cómo designar un administrador delegadopara suAWSorganización y agregue cuentas de miembro. Selecciona Consola o API y sigue los pasosproporcionados.

Console

Paso 1: registrar un GuardDuty administrador delegado de para su organización

1. Inicie sesión en elAWS Management Consoleutilizar la cuenta de administración para suAWSOrganizationsorganización.

2. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.

Es GuardDuty ¿ya está habilitado en su cuenta?

• Si GuardDuty aún no está habilitado, puede seleccionarIntroduccióny, a continuación,designar un GuardDuty administrador delegado en laBienvenido a GuardDuty(Se ha creado elcertificado).

Note

La cuenta de administración debe tener el rol vinculado al servicio GuardDuty paraque el administrador delegado pueda habilitar y administrar GuardDuty en esa cuenta.Puedes habilitar GuardDuty en cualquier región de la cuenta de administración paracrear este rol automáticamente.

• Si GuardDuty está habilitado, puede designar un GuardDuty administrador delegado enlaConfiguración(Se ha creado el certificado).

3. Introduzca los doce dígitosAWSID de cuenta de la cuenta que desea designar como GuardDutyadministrador delegado de para la organización.

4. Elija Delegate (Delegar). Si GuardDuty aún no está habilitado, la designación de un administradordelegado habilitará GuardDuty para esa cuenta en la región actual.

5. (Recomendado) Repita los pasos anteriores en cadaAWSRegión .

Después de designar el administrador delegado, solo tiene que usar la cuenta de administración de laorganización para cambiar o eliminar la cuenta de administrador delegado.

143



Important

Cuando se agrega una cuenta como miembro, GuardDuty se habilita automáticamente en esacuenta en la región actual. Este comportamiento difiere del método de invitación, en el queGuardDuty debe habilitarse antes de que la cuenta se agregue como miembro.

Para habilitar, debe agregar miembros de la organización en cada región GuardDuty para esasregiones.

Paso 2: Agregue cuentas de organización existentes como miembros

1. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.2. En el panel de navegación, elija Settings (Configuración) y Accounts (Cuentas).

En la tabla de cuentas aparecen todas las cuentas de la organización. El valor de Type (tipo) enestas cuentas es via organizations (A través de organizaciones). El estado de las cuentas que noson cuentas de miembro asociadas con la organización GuardDuty administrador delegado esNoes miembro.

3. Seleccione la cuenta o cuentas que desea agregar como miembros activada la casilla situadajunto al ID de la cuenta.

Note

Puedes habilitar GuardDuty en la región actual para todas las cuentas de la organizaciónseleccionandohabilitaren el banner en la parte superior de la página. Esta acción tambiéndesencadena la característica Auto-Enable (Habilitar automáticamente), que habilitaráGuardDuty en cualquier cuenta que se agregue en el futuro a la organización.También puede utilizar lafiltrocampo por el que filtrarEstado de la relación: No esmiembroy, a continuación, seleccione todas las cuentas que no tengan GuardDutyhabilitado en la región actual de.

4. Elija Actions (Acciones) y Add member (Agregar miembro).5. Confirme que desea agregar como miembros el número de cuentas seleccionadas. LaEstadopara

que las cuentas cambien aEnabled (Habilitado).

6. (Recomendado) Repita estos pasos en cadaAWSRegión para asegurarse de que el administradordelegado pueda administrar los resultados de las cuentas miembro de todas las regiones.

Paso 3: Automatice la incorporación de nuevas cuentas de organización como miembros

1. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola utilizando la cuenta deadministrador delegado.

2. En el panel de navegación, en Settings, seleccione Accounts. A continuación, seleccione Habilitarautomáticamente.

3. Seleccione el primer icono de alternancia para activar la activación automática, si deseahabilitar funciones de detección adicionales para sus nuevos miembros además de habilitarGuardDuty seleccione una de las opciones deS3 Protectiono elMonitorización de registros deauditoría de Kubernetesopciones. Para obtener más información sobre estas características,consulteConfiguración de la protección de S3 en entornos de cuentas múltiples (p. 19)oProtecciónde Kubernetes en Amazon GuardDuty (p. 14). Cuando hayas realizado actualizaciones,eligeConfiguración de la actualizaciónpara finalizar los cambios.

4. (Recomendado) Repita estos pasos en cadaAWSRegión para garantizar que GuardDuty sehabilita automáticamente en cualquier cuenta nueva, en cada región.

La función de habilitación automática habilita GuardDuty para todos los future miembros de suorganización. Esto permite que su GuardDuty administrador delegado para administrar los nuevos

144




miembros creados dentro de la organización o agregados a ella. Cuando el número de cuentasmiembro alcanza el límite de 5000, la característica de activación automática se deshabilitaautomáticamente. Si se elimina una cuenta y el número total de miembros disminuye por debajo de5000, la característica de activación automática se habilita de nuevo.

API

Designe un administrador delegado de y agregue cuentas miembro (API)

1. Ejecute laenableOrganizationAdminAccountOperación de la API utilizando las credenciales delaAWSCuenta de la cuenta de administración de la Organizations.

También puede utilizar laAWSLínea de comandos para hacerlo ejecutando el siguiente comandode la CLI. Asegúrese de especificar el ID de cuenta de la cuenta en la que desea crear GuardDutyadministrador delegado.

AWS guardduty enable-organization-admin-account --admin-account-id 11111111111

Este comando solo establece el administrador delegado de para su región actual. Si GuardDutyaún no está habilitado para esa cuenta en la región actual, se habilitará automáticamente.

Para establecer el administrador delegado de otras regiones, debe especificar la región quequiere administrar el administrador delegado. Para obtener más información, consulteCuotasy puntos de enlace de GuardDuty. En el siguiente ejemplo, se muestra cómo habilitar unadministrador delegado en EE. UU. Oeste (Oregón).

AWS guardduty enable-organization-admin-account --admin-account-id 11111111111 --region us-west-2

2. Ejecute laCreateMembersOperación de la API utilizando las credenciales de laAWScuenta que hadesignado como administrador delegado para GuardDuty en el paso anterior.

Debe especificar el ID del detector regional del administrador delegadoAWScuenta y los detallesde la cuenta, incluidos los ID de cuenta y las direcciones de correo electrónico de las cuentas quequiere convertir en GuardDuty miembros. Puede crear uno o varios miembros con esta operaciónde API.

Important

Las cuentas agregadas como miembros tendrán GuardDuty habilitado en esa región, conexcepción de la cuenta de administración de la organización, que debe habilitar primeroGuardDuty antes de agregarlo como cuenta de miembro.

También puede hacerlo a través deAWSHerramientas de línea de comandos ejecutando elsiguiente comando de la CLI. No olvide utilizar su propio ID de detector, ID de cuenta y correoelectrónico.

AWS guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,[email protected]

Para ver una lista de todos los miembros de la organización, ejecute la operación ListAccounts dela API o el siguiente comando de la CLI.

AWS organizations list-accounts

145

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html

https://docs.aws.amazon.com/general/latest/gr/guardduty.html


https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deConsolidación de GuardDuty cuentas de administradorbajo un único administrador delegado de organización

3. Ejecute laupdateOrganizationConfigurationOperación de la API utilizando las credenciales de laGuardDuty Cuenta de administrador delegado para habilitar automáticamente GuardDuty en esaregión para nuevas cuentas de miembros.

Debe especificar el ID del detector del administrador delegadoAWSaccount.

También puede hacerlo a través deAWSHerramientas de línea de comandos ejecutando elsiguiente comando de la CLI. No olvide utilizar su propio ID de detector.

AWS guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable

Para confirmar si ha habilitado la característica de activación auto de GuardDuty en una región,ejecute eldescribeOrganizationConfigurationOperación de la API o el siguiente comando de la CLIcon el ID del detector del administrador delegado de la región deseada.

AWS guardduty describe-organization-configuration —detector-id 12abc34d567e8fa901bc2d34e56789f0

4. (Recomendado) Repita estos pasos en cada región con el ID del detector exclusivo de esaregión para habilitar GuardDuty supervisión de la cobertura para todos los miembros detodosAWSRegiones.

Consolidación de GuardDuty cuentas de administradorbajo un único administrador delegado de organizaciónGuardDuty recomienda utilizar la asociación medianteAWS Organizationspara administrar cuentas demiembro en una cuenta de administrador delegado. Puede usar el proceso de ejemplo que se describea continuación para consolidar el administrador y el miembro asociado mediante invitación en unaorganización bajo una sola GuardDuty administrador delegado.

Note

Cuentas ya gestionadas por un GuardDuty las cuentas de administrador delegado o administradordelegado con miembros activos no se pueden agregar a otro GuardDuty cuenta de administradordelegado. Cada organización solo puede tener una GuardDuty cuenta de administrador delegadopor región y cada cuenta miembro solo puede tener un administrador delegado.

1. Asegúrese de que todas las cuentas que desea administrar GuardDuty for forman parte de suorganización. Para obtener información sobre cómo agregar una cuenta a su organización,consulteInvitar a unAWScuenta de para unirse a su organización.

2. Desasocie todas las cuentas de miembro de las cuentas de administrador preexistentes, excepto lasde la cuenta que desea designar como GuardDuty administrador delegado de para la organización.

3. Designe un GuardDuty administrador delegado de para la organización desde laConfiguración(Se hacreado el certificado).

4. Inicie sesión en la cuenta de administrador delegado designada.5. Siga añadiendo miembros de la organización.

Important

Recuerde que GuardDuty es un servicio regional. Se recomienda que designe su cuentade administrador delegado y añada todos sus miembros en cada región para maximizar laeficacia de GuardDuty.

146

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deAnular el registro de un GuardDuty administrador delegado

Anular el registro de un GuardDuty administradordelegado

Note

Solo la cuenta de administración de la Organizations puede anular el registro de un administradordelegado.

Seleccione Consola o API y siga los pasos proporcionados para cancelar el registro de su administradordelegado. Una vez finalizada la cancelación del registro, puede designar un nuevo administrador delegado.

Console

Cuando anula el registro de un administrador delegado de la consola, si su cuenta es también lacuenta de administración de Organizations, debe repetir este proceso en cada región en la que sedesignó su cuenta como administrador delegado.

Important

Si usted es la cuenta de administración de Organizations y ha designado una cuenta diferentecomo administrador delegado, se cancelará el registro en cada región.

1. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.2. Seleccione Settings.3. En la página Configuración, enAdministrador delegadoelegirRemove.4. Confirme el cambio seleccionandoEliminar administrador.

API

Cuando anula el registro de un administrador delegado de la API, debe hacerlo en cada región parapoder designar un nuevo administrador delegado.

1. Ejecute laDeshabilitar la cuenta de administrador de la organizaciónOperación de la API utilizandolas credenciales de la cuenta de administración de la Organizations.

aws guardduty disable-organization-admin-account ##admin-account-id "123456789012"

2. Repita el proceso en cada región administrada por ese administrador delegado.

Administración GuardDuty cuentas por invitaciónPara administrar cuentas que estén fuera de la organización, puede utilizar el método de invitaciónheredado. Con este método, su cuenta se transforma en cuenta de administrador cuando otra cuentaacepta la invitación para convertirse en miembro.

Si su cuenta no es una cuenta de administrador, puede aceptar una invitación de otra cuenta. Al aceptar,su cuenta se convierte en cuenta miembro. UnAWSla cuenta no puede ser un GuardDuty cuenta deadministrador y cuenta de miembro al mismo tiempo.

Las cuentas asociadas por invitación tienen el mismo conjunto administrator-to-member relación comocuentas asociadas porAWS Organizations, según se explica enDescripción de la relación entre eladministrador de GuardDuty y las cuentas de miembro (p. 140). Sin embargo, los usuarios de cuentas deadministrador de invitaciones no pueden GuardDuty en nombre de las cuentas miembro asociadas o verotras cuentas de terceros dentro de suAWS Organizationsorganización.

147


https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deDesignación de cuentas de administradory miembro mediante invitación (consola)

Important

La transferencia de datos entre regiones puede producirse cuando GuardDuty crea cuentasmiembro con este método. Con el fin de verificar las direcciones de correo electrónico de lascuentas miembro, GuardDuty utiliza un servicio de verificación de correo electrónico que solofunciona en la región EE. UU. Este (Norte de Virginia).

Designación de cuentas de administrador y miembromediante invitación (consola)Utilice los siguientes procedimientos para añadir una cuenta, invitar a una cuenta o aceptar una invitaciónde otra cuenta.

Paso 1: Añadir una cuenta1. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.2. En el panel de navegación, elija Accounts (Cuentas).3. Elija Add accounts by invitation (Agregar cuentas por invitación) en el panel superior.4. En la páginaAgregar cuentas de miembros depágina, enIntroducir cuentasintroduzca laAWSID de

cuenta y dirección de correo electrónico de la cuenta que desea añadir. A continuación, elija Add(Añadir).

Important

La dirección de correo electrónico que se especifique en este paso DEBE ser idéntica a ladirección de correo electrónico asociada a laAWScuenta que desea agregar como GuardDutycuenta de miembro.

Puede añadir más cuentas de una en una especificando sus ID y sus direcciones de correoelectrónico. También puede elegir Upload list (.csv) para añadir cuentas de forma masiva. Esto puederesultar útil si desea invitar a algunas de estas cuentas a habilitar GuardDuty de inmediato pero quieroretrasar para los demás.

Important

La primera línea del archivo CSV debe contener el siguiente encabezado, tal como semuestra en el ejemplo siguiente: Account ID,Email. Cada una de las líneas siguientesdebe contener el ID y la dirección de correo electrónico exclusivos de la cuenta que deseaagregar. En cada línea debe aparecer una sola cuenta; el ID y la dirección de correoelectrónico deben estar separados por una coma.

Account ID,Email111111111111,[email protected]

5. Cuando haya terminado de agregar las cuentas, elija Next (Siguiente).

Las cuentas añadidas aparecerán en una lista en la página Accounts. Cada cuenta añadida de estalista tiene un enlace Invite en la columna Status.

Paso 2: Invitar una cuenta1. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.2. En el panel de navegación, elija Accounts (Cuentas).3. Para la cuenta que desea invitar a habilitar GuardDuty, elige elInvitarenlace que aparece en

elEstadode la lista de cuentas añadidas.

148



Amazon GuardDuty Amazon GuardDuty Guía del usuario deDesignación de GuardDuty cuentas de administrador

y cuentas miembro a través de invitación (API)

4. En el navegadorInvitación a GuardDuty, cree un mensaje de invitación (opcional) y, a continuación,elijaSend notification.

Note

Si la cuenta invitada no tiene acceso a correo electrónico, seleccioneEnviar también unanotificación por correo electrónico al usuario raíz en elAWSy generar una alerta en elPersonal Health Dashboard del invitadoantes de enviar la invitación.

El valor de la columna Status para las cuentas invitadas cambia a Pending.

Paso 3: Aceptar una invitación1. Abra el icono GuardDuty Consola de enhttps://console.aws.amazon.com/guardduty/.2. Si todavía no ha habilitado GuardDuty, eligeHabilitar GuardDutyen elHabilitar GuardDuty(Se ha creado

el certificado).

Important

Debe habilitar GuardDuty antes de poder aceptar una invitación para hacerse miembro.3. Si ha habilitado GuardDuty, siga los pasos que se indican a continuación:

a. En el panel de navegación, seleccione Settings (Configuración).b. Elija Cuentas.c. Asegúrate de verificar al propietario de la cuenta que aceptas. ElegirACEPTARpara aceptar la

invitación de miembro.4. Después de aceptar la invitación, su cuenta se convierte en GuardDuty cuenta de miembro. La

cuenta cuyo propietario envió la invitación se convierte en la GuardDuty cuenta de administrador. Elpropietario de la cuenta de administrador sabría cuándo se encuentra el valor delEstadocolumna detu cuenta de miembro cambia aSupervisado. El propietario de la cuenta de administrador ahora puedever y administrar GuardDuty hallazgos de la cuenta de miembro.

Designación de GuardDuty cuentas de administrador ycuentas miembro a través de invitación (API)Puede designar administrador y miembro GuardDuty cuentas por invitación a través de las operaciones deAPI. Ejecute lo siguiente: GuardDuty Operaciones de API para designar las cuentas de administrador y lascuentas miembro de GuardDuty.

Realice el siguiente procedimiento con las credenciales delAWScuenta que desea designar como laGuardDuty cuenta de administrador.

1. Ejecute laCreateMembersOperación de la API con las credenciales delAWScuenta que tieneGuardDuty habilitado. Esta es la cuenta que desea designar como administrador de GuardDutyaccount.

Debe especificar el ID del detector de la actualAWScuenta y el ID de cuenta y la dirección de correoelectrónico de las cuentas en las que desea convertir en GuardDuty miembros de. Puede crear uno ovarios miembros con esta operación de API.

También puede utilizarAWSHerramientas de línea de comandos para designar una cuenta deadministrador con el siguiente comando de la CLI. No olvide utilizar su propio ID de detector, ID decuenta y correo electrónico.

149


https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deDesignación de GuardDuty cuentas de administrador

y cuentas miembro a través de invitación (API)

AWS guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=123456789012,[email protected]

2. Ejecute laInviteMembersOperación de la API con las credenciales delAWScuenta que tiene GuardDutyhabilitado. Esta es la cuenta que desea designar como administrador de GuardDuty account.

Debe especificar el ID del detector de la actualAWScuenta y los ID de cuenta de las cuentas quedesea convertir en GuardDuty miembros de. Con esta operación de la API, puede invitar a uno ovarios miembros.

Note

También puede especificar un mensaje de invitación opcional mediante el parámetro desolicitud message.

También puede utilizarAWSHerramientas de línea de comandos para designar las cuentas miembrocon el siguiente comando de la CLI. No olvide utilizar su propio ID de detector y unos ID válidos paralas cuentas a las que desea invitar.

AWS guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012

Realice el siguiente procedimiento con las credenciales de cadaAWScuenta que desea designar comoGuardDuty cuenta de miembro.

1. Ejecute laCreateDetectorOperación de la API para cadaAWScuenta que se invitó a convertirse enGuardDuty cuenta de miembro y desea aceptar una invitación.

Debe especificar si el recurso del detector se va a habilitar mediante el servicio GuardDuty. Debecrearse y habilitarse un detector para que GuardDuty para entrar en funcionamiento. En primer lugar,debe habilitar GuardDuty antes de aceptar una invitación.

También puede hacerlo a través deAWSHerramientas de línea de comandos con el siguientecomando de la CLI.

AWS guardduty create-detector --enable

2. Ejecute laAcceptInvitationOperación de la API para cadaAWScuenta que desea aceptar la invitaciónpara convertirse en cuenta miembro utilizando las credenciales de la cuenta.

Debe especificar el ID del detector de esteAWScuenta de la cuenta miembro, el ID de cuenta dela cuenta de administrador que envió la invitación y el ID de invitación de la invitación que estáaceptando. Puede consultar el ID de cuenta de la cuenta de administrador en el correo electrónico deinvitación o utilizando laListInvitationsfuncionamiento de la API.

También puedes aceptar una invitación usandoAWSHerramientas de línea de comandos ejecutandoel siguiente comando de la CLI. No olvide utilizar un ID de detector, un ID de cuenta de administradory un ID de invitación que sean válidos.

AWS guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --master-id 012345678901 --invitation-id 84b097800250d17d1872b34c4daadcf5

150

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html


https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptInvitation.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deHabilitar GuardDuty en varias cuentas simultáneamente

Habilitar GuardDuty en varias cuentassimultáneamenteUtilice el método siguiente para habilitar GuardDuty en varias cuentas al mismo tiempo.

Usar scripts de Python para habilitar GuardDuty en variascuentas simultáneamentePuede automatizar la habilitación o desactivación de GuardDuty en varias cuentas utilizando los scripts delrepositorio de ejemplo en GitHub ahttps://github.com/aws-samples/amazon-guardduty-multiaccount-scripts.Utilice el proceso de esta sección para habilitar GuardDuty para obtener una lista de cuentas miembro conAmazon EC2. Para obtener información acerca de cómo utilizar el script de desactivación o configurar elscript localmente, consulte la sección GitHub instrucciones.

El script enableguardduty.py habilita GuardDuty, envía invitaciones desde la cuenta de administrador yacepta invitaciones en todas las cuentas miembro. El resultado es un administrador GuardDuty cuenta quecontiene todos los resultados de seguridad de todas las cuentas miembro. Porque GuardDuty está aisladopor región, los resultados de cada cuenta miembro dependen de la región correspondiente en la cuenta deadministrador. Por ejemplo, la región us-east-1 de la GuardDuty La cuenta de administrador contiene todoslos resultados de seguridad de todos los resultados us-east-1 de todas las cuentas miembro asociadas.

Estos scripts dependen de un rol compartido de IAM que tiene la políticaadministrada.AmazonGuardDutyFullAccess. Esta política proporciona a las entidades acceso a GuardDutyy debe estar presente en la cuenta de administrador y en cada cuenta para la que desee habilitarGuardDuty.

El siguiente proceso permite GuardDuty en todas las regiones disponibles de forma predeterminada.Puedes habilitar GuardDuty en regiones especificadas solo mediante el uso de la opción--enabled_regionsy proporciona una lista de regiones separadas por comas. Si lo desea,también puede personalizar el mensaje de invitación que se envía a las cuentas miembro abriendoenableguardduty.py y editando la cadena gd_invite_message.

1. Cree un rol de IAM en la GuardDuty cuenta de administrador y adjunteelAmazonGuardDutyFullAccesspolítica administrada con los permisos siguientes:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "guardduty:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } } ]}

151

https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts

Amazon GuardDuty Amazon GuardDuty Guía del usuario deHabilitar GuardDuty en varias cuentas simultáneamente

2. Cree un rol de IAM en cada una de las cuentas miembro que desee administrar utilizando GuardDutycuenta de administrador. Este rol debe tener el mismo nombre que el rol creado en el paso 1,debe considerar la cuenta de administrador como una entidad de confianza y debe tener el mismonombre.AmazonGuardDutyFullAccesspolítica administrada descrita anteriormente.

3. Lance una nueva instancia de Amazon Linux con un rol asociado que tenga la siguiente relación deconfianza para permitir que la instancia adopte un rol de servicio.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

4. Inicie sesión en la nueva instancia y ejecute los siguientes comandos para configurarla.

sudo yum install git python sudo yum install python-pippip install boto3 AWS configure git clone https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts.gitcd amazon-guardduty-multiaccount-scripts sudo chmod +x disableguardduty.py enableguardduty.py

5. Cree un archivo CSV que contenga una lista con los ID y los correos electrónicos de las cuentasmiembro en las que agregó un rol en el paso 2. En cada línea debe aparecer una sola cuenta; el ID yla dirección de correo electrónico deben estar separados por una coma como en el siguiente ejemplo.

111111111111,[email protected]

Note

El archivo CSV debe estar en la misma ubicación que el script enableguardduty.py.Puede copiar un archivo CSV de Amazon S3 en el directorio actual con el siguiente método.

AWS s3 cp s3://my-bucket/my_key_name example.csv

6. Ejecute el script de Python. Asegúrese de suministrar su GuardDuty ID de cuenta de administrador, elnombre del rol creado en los primeros pasos y el nombre del archivo CSV como argumentos.

python enableguardduty.py --master_account 111111111111 --assume_role roleName accountID.csv

152

Amazon GuardDuty Amazon GuardDuty Guía del usuario deComprender cómo se calculan los costos de uso

Estimación del GuardDuty Costos dePuede utilizar el GuardDuty operaciones de consola y API para calcular cuánto GuardDuty le costará almes. Durante el período de prueba gratuita de 30 días, la estimación de costes proyecta cuáles serán suscostos estimados después del período de prueba gratuita. Si opera en un entorno de varias cuentas, suGuardDuty La cuenta de administrador puede supervisar las métricas de los costos de todas sus cuentasde miembros.

Puede ver la estimación de los costos en función de las siguientes métricas:

• ID de cuenta- Enumera el costo estimado de su cuenta o de sus cuentas de miembro si opera comoGuardDuty cuenta de administrador.

• Origen de datos- Muestra el coste estimado de la fuente de datos especificada para lo siguienteGuardDuty tipos de fuentes de datos: Logs de flujo de VPC, CloudTrailRegistros de administración,registros de sucesos de datos de S3 o registros DNS.

• Buckets de S3- Muestra el costo estimado de los eventos de datos de S3 en un bucket específico o losdepósitos más costosos para las cuentas de su entorno.

Note

Las estadísticas de bucket de S3 solo están disponibles si S3 Protection está habilitadapara la cuenta. Para obtener más información, consulteAmazon S3 Protection en AmazonGuardDuty (p. 18).

Comprender cómo se calculan los costos de usoCuando utiliza la función de supervisión de costes de GuardDuty, es importante entender cómo se calculanlas estimaciones. Las estimaciones que se muestran en GuardDuty Puede ser ligeramente diferente de losde la consola de Billing and Cost Management. Tenga en cuenta lo siguiente sobre cómo GuardDuty secalculan las estimaciones de costos.

• La GuardDuty la estimación de uso es solo para la región actual.• La GuardDuty la estimación de uso es un coste diario medio basado en los últimos 7 a 30 días de uso.

Note

Para detectores nuevos habilitados o fuentes de datos con menos de siete días de uso, el costose indica comoPendiente.

• La estimación de prueba gratuita refleja únicamente las fuentes de datos que se encuentran actualmenteen un período de prueba gratuita.

• La GuardDuty la estimación de uso incluye GuardDuty descuentos en precios por volumen por región,según se detalla en elAmazon GuardDutyPreciospero solo para cuentas individuales que cumplenlos niveles de precios por volumen. Los descuentos de precios por volumen no se incluyen en lasestimaciones para el uso total combinado entre cuentas de una organización. Para obtener informaciónsobre los precios de discount por volumen de uso combinado, consulteAWSFacturación: Descuentos porvolumen.

153

http://aws.amazon.com/guardduty/pricing/

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/useconsolidatedbilling-discounts.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/useconsolidatedbilling-discounts.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deReview (Revisar) GuardDuty estadísticas de uso (consola)

Review (Revisar) GuardDuty estadísticas de uso(consola)

1. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola mediante la GuardDuty cuentade administrador.

2. En el panel de navegación, elijaUso.3. GuardDuty cuentas de administrador con miembros ven una lista de todas las cuentas administradas.

Las cuentas individuales ven un desglose por origen de datos.

Si tiene cuentas de miembro, puede ver las estadísticas de una cuenta individual seleccionando esacuenta en la tabla Cuentas. Si la protección de S3 está habilitada para la cuenta seleccionada, losprincipales depósitos de S3 por coste de uso se muestran en elPor origen de datosPanel de.

Note

El punto verde indica que hay un período de prueba gratuita activo.

Review (Revisar) GuardDuty estadísticas de uso(API)

Para ver las métricas de costes, ejecute laGetUsageStatisticsOperación de la API utilizando lascredenciales del GuardDuty cuenta de administrador. Proporcione la información siguiente para ejecutar elcomando:

• (Obligatorio) Especifique la región GuardDuty ID del detector de la cuenta de la que desea recuperarestadísticas.

• (Obligatorio) Especifique el tipo de estadísticas que desea recuperar:SUM_BY_ACCOUNT |SUM_BY_DATA_SOURCE | SUM_BY_RESOURCE | TOP_RESOURCES.

• (Obligatorio) Especifique al menos un origen de datos para consultar desde las siguientesopciones:FLOW_LOGS | CLOUD_TRAIL | DNS_LOGS | S3_LOGS | KUBERNETES_AUDIT_LOGS.

• (Opcional) Especifique una lista de ID de cuenta para los que recuperar estadísticas de uso.

También puede utilizar laAWSLínea de comandos. Ejecute el siguiente comando, sustituyendo el ID deldetector de ejemplo por el tuyo propio, para obtener la suma del uso de todas las fuentes de datos. Paracuentas individuales, este comando devuelve el coste de los últimos 30 días solo para tu cuenta. Si seutiliza en GuardDuty administrador con cuentas de miembro, verá los costos listados por cuenta de todoslos miembros.

aws guardduty get-usage-statistics --detector-id 12abc34d567e8fa901bc2d34e56789f0 --usage-statistic-type SUM_BY_ACCOUNT --usage-criteria '{"DataSources":["FLOW_LOGS", "CLOUD_TRAIL", "DNS_LOGS", "S3_LOGS", "KUBERNETES_AUDIT_LOGS"]}'

154


https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetUsageStatistics.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deProtección de los datos

Seguridad en Amazon GuardDutyLa seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficia de unaarquitectura de red y un centro de datos que se han diseñado para satisfacer los requisitos de seguridadde las organizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. LaModelo de responsabilidadcompartidala describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta los serviciosde AWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura.Terceros clientes prueban y verifican periódicamente la eficacia de nuestra seguridad como parte delos Programas de conformidad de AWS. Para obtener más información acerca de los programas deconformidad que se aplican a GuardDuty, consulteAWSServicios incluidos en el ámbito por programa deconformidad.

• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. Tambiénes responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa yla legislación y los reglamentos vigentes.

Esta documentación le ayuda a comprender cómo puede aplicar el modelo de responsabilidad compartidacuando se utiliza GuardDuty. Le demostramos cómo configurar GuardDuty para satisfacer sus objetivosde seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS que lo ayuden amonitorear y proteger los recursos de GuardDuty .

Contenido• Protección de datos en Amazon GuardDuty (p. 155)• Registro de llamadas a la API de Amazon GuardDuty conAWS CloudTrail (p. 156)• Identity and Access Management para AWS GuardDuty (p. 158)• Uso de roles vinculados a servicios para Amazon GuardDuty (p. 176)• AWSpolíticas administradas de para Amazon GuardDuty (p. 180)• Validación de la conformidad para Amazon GuardDuty (p. 183)• Resiliencia en Amazon GuardDuty (p. 183)• Seguridad de la infraestructura de Amazon GuardDuty (p. 183)

Protección de datos en Amazon GuardDutyLaAWS modelo de responsabilidad compartidase aplica a la protección de datos en Amazon GuardDuty.Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecutatoda la Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en estainfraestructura. Este contenido incluye la configuración de seguridad y las tareas de administración parael que utiliza Servicios de AWS. Para obtener más información sobre la privacidad de los datos, consultelas Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección dedatos en Europa, consulte la publicación de blog AWSShared Responsability Model and GDPR en el Blogde seguridad de AWS.

Con fines de protección de datos, recomendamos proteger las credenciales de Cuenta de AWS yconfigurar cuentas de usuario individuales con AWS Identity and Access Management (IAM). De estamanera, solo se otorgan a cada usuario los permisos necesarios para cumplir con sus obligacioneslaborales. También recomendamos proteger sus datos de las siguientes formas:

155

http://aws.amazon.com/compliance/shared-responsibility-model/


http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/



http://aws.amazon.com/compliance/data-privacy-faq

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCifrado en reposo

• Utilice Multi-Factor Authentication (MFA) con cada cuenta.• Utilice SSL/TLS para comunicarse con los recursos de AWS. Recomendamos TLS 1.2 o una versión

posterior.• Configure la API y el registro de actividad del usuario con AWS CloudTrail.• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados

dentro de los servicios de AWS.• Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar

y proteger los datos personales almacenados en Amazon S3.• Si necesita módulos criptográficos validados FIPS 140-2 al acceder a AWS a través de una interfaz de

línea de comandos o una API, utilice un punto de enlace de FIPS. Para obtener más información sobrelos puntos de enlace de FIPS disponibles, consulte Estándar de procesamiento de la información federal(FIPS) 140-2.

Recomendamos encarecidamente que nunca introduzca información de identificación confidencial,como, por ejemplo, direcciones de email de sus clientes, en etiquetas o en los campos de formato libre,como el campo Name (Nombre). Esto incluye cuando trabaje con GuardDuty u otrosAWSservicios queutilizan la consola, API,AWS CLI, o bienAWSSDK. Los datos que ingresa en etiquetas o campos deformato libre utilizados para los nombres se pueden utilizar para los registros de facturación o diagnóstico.Si proporciona una URL a un servidor externo, le recomendamos encarecidamente que no incluyainformación de credenciales en la URL para validar la solicitud para ese servidor.

Cifrado en reposoTodos GuardDuty Los datos de los clientes se cifran en reposo medianteAWSsoluciones de cifrado.

Los datos de GuardDuty, como los resultados, se cifran en reposo medianteAWS Key ManagementService(AWS KMS) medianteAWSclaves administradas por el cliente propiedad.

Cifrado en tránsitoGuardDuty analiza los datos de registro de otros servicios. Cifra todos los datos en tránsito desde estosservicios mediante HTTPS y KMS. Una vez GuardDuty extrae la información que necesita de los registros,se descartan. Para obtener más información sobre cómo GuardDuty utiliza información de otros servicios,consulteOrígenes de datos Guard (p. 11).

Los datos de GuardDuty se cifran en el tránsito entre los servicios.

Registro de llamadas a la API de AmazonGuardDuty conAWS CloudTrail

Amazon GuardDuty está integrado conAWS CloudTrail, un servicio que proporciona un registro de lasacciones que realiza un usuario, un rol o unAWSservicio en GuardDuty. CloudTrail captura las llamadas ala API de GuardDuty como eventos, incluidas las llamadas procedentes de la consola de GuardDuty y lasllamadas de código a las API de GuardDuty. Si crea un registro de seguimiento, puede habilitar la entregacontinua de eventos de CloudTrail a un bucket de Amazon S3, incluidos los eventos de GuardDuty. Si noconfigura un registro de seguimiento, puede ver los eventos más recientes de la consola de CloudTrail enel Event history (Historial de eventos). Mediante la información recopilada por CloudTrail, puede determinarla solicitud que se realizó a GuardDuty, la dirección IP desde la que se realizó, quién la realizó, cuándo serealizó y otros detalles.

Para obtener más información acerca de CloudTrail, incluso cómo configurarlo y habilitarlo, consulte laGuía del usuario de AWS CloudTrail.

156

http://aws.amazon.com/compliance/fips/

http://aws.amazon.com/compliance/fips/

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/

Amazon GuardDuty Amazon GuardDuty Guía del usuario deInformación de GuardDuty de en CloudTrail

Información de GuardDuty de en CloudTrailCloudTrail se habilita en su cuenta de AWS cuando la crea. Cuando se produce una actividad de eventoscompatible en GuardDuty, esta se registra en un evento de CloudTrail junto con los demásAWSeventosde servicios de enHistorial de eventos. Puede ver, buscar y descargar los últimos eventos de la cuentade AWS. Para obtener más información, consulte Visualización de eventos con el historial de eventos deCloudTrail.

Para mantener un registro continuo de los eventos de laAWS, incluidos los eventos de GuardDuty, cree unregistro de seguimiento. Un registro de seguimiento permite a CloudTrail enviar archivos de registro a unbucket de Amazon S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola,el registro de seguimiento se aplica a todas las regiones de . El registro de seguimiento registra los eventosde todas las regiones de la partición de AWS y envía los archivos de registro al bucket de Amazon S3especificado. También es posible configurar otros servicios de AWS para analizar en profundidad yactuar en función de los datos de eventos recopilados en los registros de CloudTrail. Para obtener másinformación, consulte:

• Introducción a la creación de registros de seguimiento• Servicios e integraciones compatibles con CloudTrail• Configuración de notificaciones de Amazon SNS para CloudTrail• Recibir archivos de registro de CloudTrail de varias regiones y Recibir archivos de registro de CloudTrail

de varias cuentas

CloudTrail registra todas las acciones de GuardDuty y se documentan enReferencia de la API de Guard.

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información deidentidad del usuario le ayuda a determinar lo siguiente:

• Si la solicitud se realizó con las credenciales raíz o del usuario de IAM.• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado• Si la solicitud la realizó otro servicio de AWS.

Para obtener más información, consulte el elemento userIdentity de CloudTrail.

Ejemplo: Entradas de archivos de GuardDutyUn registro de seguimiento es una configuración que permite la entrega de eventos como archivos deregistros en un bucket de Amazon S3 que especifique. Los archivos log de CloudTrail pueden conteneruna o varias entradas de log. Un evento representa una solicitud específica realizada desde un origeny contiene información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de lasolicitud, etc. Los archivos de registro de CloudTrail no rastrean el orden en la pila de las llamadas públicasa la API, por lo que estas no aparecen en ningún orden específico.

En el ejemplo siguiente, se muestra una entrada de registro de CloudTrail que ilustra la acciónCreateIPThreatIntelSet.

{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::444455556666:user/Alice", "accountId": "444455556666", "accessKeyId": "AKIAI44QH8DHBEXAMPLE",

157



https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/guardduty/latest/APIReference/


Amazon GuardDuty Amazon GuardDuty Guía del usuario deIdentity and Access Management

"sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2018-06-14T22:54:20Z" }, "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::444455556666:user/Alice", "accountId": "444455556666", "userName": "Alice" } } }, "eventTime": "2018-06-14T22:57:56Z", "eventSource": "guardduty.amazonaws.com", "eventName": "CreateThreatIntelSet", "awsRegion": "us-west-2", "sourceIPAddress": "54.240.230.177", "userAgent": "console.amazonaws.com", "requestParameters": { "detectorId": "5ab04b1110c865eecf516eee2435ede7", "name": "Example", "format": "TXT", "activate": false, "location": "https://s3.amazonaws.com/bucket.name/file.txt" }, "responseElements": { "threatIntelSetId": "1ab200428351c99d859bf61992460d24" }, "requestID": "5f6bf981-7026-11e8-a9fc-5b37d2684c5c", "eventID": "81337b11-e5c8-4f91-b141-deb405625bc9", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "444455556666"}

A partir de la información de este evento, puede determinar que la solicitud se realizó para crear una listade amenazas.Exampleen GuardDuty. También puede ver que la solicitud la hizo una usuaria de IAMllamada Alice el 14 de junio de 2018.

Identity and Access Management para AWSGuardDuty

AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los administradores acontrolar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quiénpuede serautenticado(iniciado sesión) yautorizado(tienen permisos) para usar GuardDuty de AWS. IAM esun Servicio de AWS que se puede utilizar sin cargo adicional.

Temas• Público (p. 159)• Autenticación con identidades (p. 159)• Administración de acceso mediante políticas (p. 161)• Cómo AWS GuardDuty funciona con IAM (p. 163)• Ejemplos de políticas basadas en identidades de AWS GuardDuty (p. 168)

158

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePúblico

• Solución de problemas de identidades y accesos en AWS GuardDuty (p. 174)

PúblicoLa forma en que utilice AWS Identity and Access Management (IAM) difiere en función del trabajo querealice en GuardDuty.

Usuario de servicio— Si utiliza el GuardDuty servicio para realizar su trabajo y, a continuación, suadministrador le proporciona las credenciales y los permisos que necesita. A medida que utilizas másGuardDuty características para realizar su trabajo, es posible que necesite permisos adicionales. Entendercómo se administra el acceso puede ayudarle a solicitar los permisos correctos a su administrador. Sino puede acceder a una característica en GuardDuty, consulte Solución de problemas de identidades yaccesos en AWS GuardDuty (p. 174).

Administrador de servicios— Si estás a cargo de GuardDuty recursos en su empresa, probablementetenga acceso completo a GuardDuty. Su trabajo consiste en determinar cuál de GuardDuty característicasy recursos a los que deben acceder sus empleados. A continuación, debe enviar solicitudes a suadministrador de IAM para cambiar los permisos de los usuarios de su servicio. Revise la información deesta página para conocer los conceptos básicos de IAM. Para obtener más información sobre cómo suempresa puede utilizar IAM con GuardDuty, consulteCómo AWS GuardDuty funciona con IAM (p. 163).

Administrador de IAM: si es un administrador de IAM, es posible que quiera conocer más detalles sobrecómo escribir políticas para administrar el acceso a GuardDuty. Para ver un ejemplo de GuardDutypolíticas basadas en la identidad que puede utilizar en IAM, consulteEjemplos de políticas basadas enidentidades de AWS GuardDuty (p. 168).

Autenticación con identidadesLa autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Para obtenermás información acerca de cómo iniciar sesión con la AWS Management Console, consulte Inicio desesión en la AWS Management Console como usuario de IAM o usuario raíz en la Guía del usuario deIAM.

Debe estar autenticado (haber iniciado sesión en AWS) como el usuario raíz de la Cuenta de AWS, comoun usuario de IAM o asumiendo un rol de IAM. También puede utilizar la autenticación de inicio de sesiónúnico de la empresa o incluso iniciar sesión con Google o Facebook. En estos casos, su administradorhabrá configurado previamente la federación de identidad mediante roles de IAM. Cuando obtiene accesoa AWS mediante credenciales de otra empresa, asume un rol indirectamente.

Para iniciar sesión directamente en la AWS Management Console, utilice la contraseña con su dirección deemail de usuario raíz o con su nombre de usuario de IAM. Puede acceder a AWS mediante programaciónutilizando sus claves de acceso de usuario raíz o usuario de IAM. AWS proporciona SDK y herramientasde línea de comandos para firmar criptográficamente su solicitud con sus credenciales. Si no utiliza lasherramientas de AWS, debe firmar usted mismo la solicitud. Para ello, utilice Signature Version 4, unprotocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de cómoautenticar solicitudes, consulte Proceso de firma de Signature Version 4 en la Referencia general de AWS.

Independientemente del método de autenticación que utilice, es posible que también deba proporcionarinformación de seguridad adicional. Por ejemplo, AWS le recomienda el uso de la autenticación multifactor(MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte Uso de laautenticación multifactor (MFA) en AWS en la Guía del usuario de IAM.

Cuenta de AWS usuario raízCuando se crea una Cuenta de AWS por primera vez, se comienza con una única identidad de inicio desesión que tiene acceso completo a todos los recursos y Servicios de AWS de la cuenta. Esta identidadrecibe el nombre de usuario raíz de la Cuenta de AWS y se accede a ella iniciando sesión con el email y

159

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://console.aws.amazon.com/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html


Amazon GuardDuty Amazon GuardDuty Guía del usuario deAutenticación con identidades

la contraseña que utilizó para crear la cuenta. Recomendamos encarecidamente que no utilice el usuarioraíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En lugar de ello, es mejor ceñirse ala práctica recomendada de utilizar el usuario final exclusivamente para crear al primer usuario de IAM. Acontinuación, guarde las credenciales del usuario raíz en un lugar seguro y utilícelas tan solo para algunastareas de administración de cuentas y servicios.

Usuarios y grupos de IAMUn usuario de IAM es una identidad de la Cuenta de AWS que dispone de permisos específicos para unasola persona o aplicación. Un usuario de IAM puede tener credenciales a largo plazo, como un nombrede usuario y una contraseña o un conjunto de claves de acceso. Para obtener información sobre cómogenerar claves de acceso, consulte Administración de claves de acceso de los usuarios de IAM en la Guíadel usuario de IAM. Al generar claves de acceso para un usuario de IAM, asegúrese de ver y guardar deforma segura el par de claves. No puede recuperar la clave de acceso secreta en el futuro. En su lugar,debe generar un nuevo par de claves de acceso.

Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesióncomo grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los gruposfacilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, podría tener ungrupo cuyo nombre fuese IAMAdmins y conceder permisos a dicho grupo para administrar los recursos deIAM.

Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación,pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienencredenciales permanentes a largo plazo y los roles proporcionan credenciales temporales. Para obtenermás información, consulte Cuándo crear un usuario de IAM (en lugar de un rol) en la Guía del usuario deIAM.

IAM rolesUn rol de IAM es una identidad de la Cuenta de AWS que dispone de permisos específicos. Es similar a unusuario de IAM, pero no está asociado a una determinada persona. Puede asumir temporalmente un rol deIAM en la AWS Management Consolecambiando de roles. Puede asumir un rol llamando a una operaciónde la AWS CLI o de la API de AWS, o utilizando una URL personalizada. Para obtener más informaciónacerca de los métodos para el uso de roles, consulte Uso de roles de IAM en la Guía del usuario de IAM.

Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

• Permisos de usuario de IAM temporales: un usuario de IAM puede asumir un rol de IAM para recibirtemporalmente permisos distintos que le permitan realizar una tarea concreta.

• Acceso de usuarios federados: en lugar de crear un usuario de IAM, puede utilizar identidadesexistentes de AWS Directory Service, del directorio de usuarios de su empresa o de un proveedorde identidades web. A estas identidades se les llama usuarios federados. AWS asigna una función aun usuario federado cuando se solicita acceso a través de un proveedor de identidad. Para obtenermás información acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía delusuario de IAM.

• Acceso entre cuentas: puede utilizar un rol de IAM para permitir que alguien (una entidad principalde confianza) de otra cuenta acceda a los recursos de la cuenta. Los roles son la forma principalde conceder acceso entre cuentas. No obstante, con algunos Servicios de AWS se puede adjuntaruna política directamente a un recurso (en lugar de utilizar un rol como representante). Para obtenerinformación acerca de la diferencia entre los roles y las políticas basadas en recursos para el accesoentre cuentas, consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la Guíadel usuario de IAM.

• Acceso entre servicios: algunos Servicios de AWS utilizan características de otros Servicios de AWS.Por ejemplo, cuando realiza una llamada en un servicio, es común que ese servicio ejecute aplicacionesen Amazon EC2 o almacene objetos en Amazon S3. Es posible que un servicio haga esto usando lospermisos de la entidad principal, usando un rol de servicio o usando un rol vinculado a servicios.

160

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deAdministración de acceso mediante políticas

• Permisos principales: cuando utiliza un usuario o un rol de IAM para llevar a cabo acciones en AWS,se lo considera una entidad principal. Las políticas conceden permisos a una entidad principal.Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción enun servicio diferente. En este caso, debe tener permisos para realizar ambas acciones. Para ver siuna acción requiere acciones dependientes adicionales en una política, consulteAcciones, recursos yclaves de condición paraAWS GuardDutyen laReferencia de autorizaciones de servicio.

• Rol de servicio: un rol de servicio es un rol de IAM que adopta un servicio para realizar acciones en sunombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Paraobtener más información, consulte Creación de un rol para delegar permisos a un Servicio de AWS enla Guía del usuario de IAM.

• Rol vinculado a servicio: un rol vinculado a servicio es un tipo de rol de servicio que está vinculado aun Servicio de AWS. El servicio puede asumir el rol para realizar una acción en su nombre. Los rolesvinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador deIAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.

• Aplicaciones que se ejecutan en Amazon EC2: puede utilizar un rol de IAM que le permita administrarcredenciales temporales para las aplicaciones que se ejecutan en una instancia de EC2 y realizansolicitudes a la AWS CLI o a la API de AWS. Es preferible hacerlo de este modo a almacenar clavesde acceso en la instancia de EC2. Para asignar un rol de AWS a una instancia de EC2 y ponerla adisposición de todas las aplicaciones, cree un perfil de instancia adjuntado a la instancia. Un perfil deinstancia contiene el rol y permite a los programas que se ejecutan en la instancia de EC2 obtenercredenciales temporales. Para obtener más información, consulte Uso de un rol de IAM para concederpermisos a aplicaciones que se ejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Para obtener información sobre el uso de los roles de IAM, consulte Cuándo crear un rol de IAM (en lugarde un usuario) en la Guía del usuario de IAM.

Administración de acceso mediante políticasPara controlar el acceso en AWS, se crean políticas y se adjuntan a identidades de IAM o recursos deAWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, define suspermisos. Puede iniciar sesión como usuario raíz o usuario de IAM o puede asumir un rol de IAM. Cuandorealiza una solicitud, AWS evalúa las políticas relacionadas basadas en identidad o en recursos. Lospermisos en las políticas determinan si la solicitud se permite o se deniega. Las mayoría de las políticasse almacenan en AWS como documentos JSON. Para obtener más información sobre la estructura y elcontenido de los documentos de política JSON, consulte Información general de políticas JSON en la Guíadel usuario de IAM.

Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué.Es decir, qué entidad principal puede realizar acciones en qué recursos y bajo qué condiciones.

Cada entidad de IAM (usuario o rol) comienza sin permisos. En otras palabras, de forma predeterminada,los usuarios no pueden hacer nada, ni siquiera cambiar sus propias contraseñas. Para conceder permisoa un usuario para hacer algo, el administrador debe adjuntarle una política de permisos. O bien eladministrador puede agregar al usuario a un grupo que tenga los permisos necesarios. Cuando eladministrador concede permisos a un grupo, todos los usuarios de ese grupo obtienen los permisos.

Las políticas de IAM definen permisos para una acción independientemente del método que se utilicepara realizar la operación. Por ejemplo, suponga que dispone de una política que permite la accióniam:GetRole. Un usuario con dicha política puede obtener información del usuario de la AWSManagement Console, la AWS CLI o la API de AWS.

Políticas basadas en identidadLas políticas basadas en identidad son documentos de políticas de permisos JSON que puede adjuntara una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan quéacciones pueden realizar los usuarios y los roles, en qué recursos y bajo qué condiciones. Para obtener

161

https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

Amazon GuardDuty Amazon GuardDuty Guía del usuario deAdministración de acceso mediante políticas

más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAMen la Guía del usuario de IAM.

Las políticas basadas en identidad pueden clasificarse además como políticas insertadas o políticasadministradas. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Laspolíticas administradas son políticas independientes que puede adjuntar a varios usuarios, grupos y rolesde su Cuenta de AWS. Las políticas administradas incluyen las políticas administradas por AWS y laspolíticas administradas por el cliente. Para obtener más información acerca de cómo elegir una políticaadministrada o una política insertada, consulte Elegir entre políticas administradas y políticas insertadas enla Guía del usuario de IAM.

Políticas basadas en recursosLas políticas basadas en recursos son documentos de política JSON que se adjuntan a un recurso.Ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticasde bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradoresde servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que seadjunta la política, la política define qué acciones puede realizar una entidad principal especificada en eserecurso y en qué condiciones. Debe especificar una entidad principal en una política basada en recursos.Las entidades principales pueden incluir cuentas, usuarios, roles, usuarios federados o Servicios de AWS.

Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No se puedeutilizar políticas de IAM administradas por AWS en una política basada en recursos.

Listas de control de acceso (ACL)Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarioso roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas enrecursos, aunque no utilizan el formato de documento de política JSON.

Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten las ACL. Para obtener másinformación sobre las ACL, consulte Información general de Lista de control de acceso (ACL) en la Guíapara desarrolladores de Amazon Simple Storage Service.

Otros tipos de políticasAWS admite otros tipos de políticas adicionales menos frecuentes. Estos tipos de políticas puedenestablecer el máximo de permisos que los tipos de políticas más frecuentes le otorgan.

• Límites de permisos: un límite de permisos es una característica avanzada que le permite establecer lospermisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuarioo rol de IAM). Puede establecer un límite de permisos para una identidad. Los permisos resultantesson la intersección de las políticas basadas en identidad de la entidad y los límites de sus permisos.Las políticas basadas en recursos que especifiquen el usuario o rol en el campo Principal noestarán restringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticasanulará el permiso. Para obtener más información sobre los límites de los permisos, consulte Límites depermisos para las entidades de IAM en la Guía del usuario de IAM.

• Políticas de control de servicio (SCP): las SCP son políticas de JSON que especifican los permisosmáximos de una organización o una unidad organizativa en AWS Organizations. AWS Organizationses un servicio que le permite agrupar y administrar de manera centralizada varias Cuentas de AWS queposea su empresa. Si habilita todas las características en una organización, entonces podrá aplicarpolíticas de control de servicio (SCP) a una o todas sus cuentas. Las SCP limitan los permisos de lasentidades de las cuentas miembro, incluido cada usuario raíz de la Cuenta de AWS. Para obtener másinformación acerca de Organizations y las SCP, consulte Funcionamiento de las SCP en la Guía delusuario de AWS Organizations.

• Políticas de sesión: las políticas de sesión son políticas avanzadas que se pasan como parámetrocuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Los

162

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCómo AWS GuardDuty funciona con IAM

permisos de la sesión resultantes son la intersección de las políticas basadas en identidad del rol y laspolíticas de la sesión. Los permisos también pueden proceder de una política basada en recursos. Unadenegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información,consulte Políticas de sesión en la Guía del usuario de IAM.

Varios tipos de políticasCuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicadosde entender. Para obtener información acerca de cómo AWS decide si permitir o no una solicitud cuandohay varios tipos de políticas implicados, consulte Lógica de evaluación de políticas en la Guía del usuariode IAM.

Cómo AWS GuardDuty funciona con IAMAntes de utilizar IAM para administrar el acceso a GuardDuty, conozca qué características de IAM sepueden utilizar con GuardDuty.

Características de IAM que puede utilizar conAWS GuardDuty

Características de IAM GuardDuty Compatibilidad con

Políticas con base en identidad (p. 163) Sí

Políticas basadas en recursos (p. 164) No

Acciones de política (p. 164) Sí

Recursos de políticas (p. 165) Sí

Claves de condiciones de políticas (p. 165) Sí

ACL (p. 166) No

ABAC (etiquetas en políticas) (p. 166) Parcial

Credenciales temporales (p. 167) Sí

Permisos de entidades principales (p. 167) Sí

Roles de servicio (p. 167) Sí

Roles vinculados a servicios (p. 168) Sí

Para obtener una perspectiva general de cómo GuardDuty y otrosAWSlos servicios funcionan con lamayoría de las funciones de IAM, consulteAWSServicios que funcionan con IAMen laIAM User Guide.

Políticas de basadas en identidades GuardDuty

Compatibilidad con las políticas basadas enidentidad

Sí

Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede adjuntara una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué

163

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html


acciones pueden realizar los usuarios y los roles, en qué recursos y bajo qué condiciones. Para obtenermás información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAMen la Guía del usuario de IAM.

Con las políticas basadas en identidad de IAM, puede especificar las acciones y recursos permitidos odenegados, así como las condiciones en las que se permiten o deniegan las acciones. No es posibleespecificar la entidad principal en una política basada en identidad porque se aplica al usuario o rol al queestá asociado. Para obtener más información acerca de los elementos que puede utilizar en una políticade JSON, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario deIAM.

Ejemplos de políticas basadas en identidades de GuardDuty

Para ver ejemplos de GuardDuty Políticas de basadas en identidades, consulteEjemplos de políticasbasadas en identidades de AWS GuardDuty (p. 168).

Políticas de basadas en recursos GuardDuty

Compatibilidad con las políticas basadas enrecursos

No

Las políticas basadas en recursos son documentos de política JSON que se adjuntan a un recurso.Ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticasde bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradoresde servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que seadjunta la política, la política define qué acciones puede realizar una entidad principal especificada en eserecurso y en qué condiciones. Debe especificar una entidad principal en una política basada en recursos.Las entidades principales pueden incluir cuentas, usuarios, roles, usuarios federados o Servicios de AWS.

Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otracuenta como la entidad principal de una política basada en recursos. Añadir a una política basada enrecursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación deconfianza. Cuando la entidad principal y el recurso se encuentran en Cuentas de AWS diferentes, unadministrador de IAM de la cuenta de confianza también debe conceder a la entidad principal (usuario orol) permiso para acceder al recurso. Para conceder el permiso, asocie la entidad a una política basada enidentidad. Sin embargo, si la política basada en recursos concede el acceso a una entidad principal de lamisma cuenta, no es necesaria una política basada en identidad adicional. Para obtener más información,consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la Guía del usuario deIAM.

Acciones de política de GuardDuty

Admite acciones de política Sí

Los administradores pueden utilizar las políticas JSON de AWS para especificar quién tiene acceso a qué.Es decir, qué entidad principal puede llevar a cabo acciones en qué recursos y bajo qué condiciones.

El elemento Action de una política JSON describe las acciones que puede utilizar para permitir o denegarel acceso en una política. Las acciones de la política generalmente tienen el mismo nombre que laoperación de API de AWS asociada. Hay algunas excepciones, como acciones de solo permiso que notienen una operación de API coincidente. También hay algunas operaciones que requieren varias accionesen una política. Estas acciones adicionales se denominan acciones dependientes.

164

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html



Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.

Para ver una lista de GuardDuty acciones, consulteAcciones definidas porAWS GuardDutyen laReferenciade autorizaciones de servicio.

Acciones de política de GuardDuty Utilice el siguiente prefijo antes de la acción:

guardduty

Para especificar varias acciones en una única instrucción, sepárelas con comas.

"Action": [ "guardduty:action1", "guardduty:action2" ]


Recursos de políticas de GuardDuty

Admite recursos de políticas Sí


El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción.Las instrucciones deben contener un elemento Resource o NotResource. Como práctica recomendada,especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). Puede hacerlo para accionesque admitan un tipo de recurso específico, conocido como permisos de nivel de recurso.

Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción,utilice un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.

"Resource": "*"

Para ver una lista de GuardDuty tipos de recursos de y sus ARN, consulteRecursos definidos porAWSGuardDutyen laReferencia de autorizaciones de servicio. Para obtener más información acerca de con quéacciones puede especificar los ARN de cada recurso, consulteAcciones definidas porAWS GuardDuty.


Claves de condición de políticas GuardDuty

Admite claves de condición de política específicasdel servicio

Sí

165

https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-actions-as-permissions

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-resources-for-iam-policies

https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-resources-for-iam-policies




El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entraen vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionalesque utilicen operadores de condición, tales como igual o menor que, para que la condición de la políticacoincida con los valores de la solicitud.

Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento deCondition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para unaúnica clave de condición, AWS evalúa la condición con una operación lógica OR. Se deben cumplir todaslas condiciones antes de que se concedan los permisos de la instrucción.

También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedeconceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombrede usuario de IAM. Para obtener más información, consulte Elementos de la política de IAM: variables yetiquetas en la Guía del usuario de IAM.

AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas lasclaves de condición globales de AWS, consulte Claves de contexto de condición globales de AWS en laGuía del usuario de IAM.

Para ver una lista de GuardDuty claves de condición de, consulteClaves de condición deAWSGuardDutyen laReferencia de autorizaciones de servicio. Para obtener más información acerca de lasacciones y los recursos con los que puede utilizar una clave de condición, consulteAcciones definidasporAWS GuardDuty.


Listas de control de acceso (ACL) de GuardDuty

Admite las ACL No

Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarioso roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas enrecursos, aunque no utilizan el formato de documento de política JSON.

Control de acceso basado en atributos (ABAC) con GuardDuty

Admite ABAC (etiquetas en las políticas) Parcial

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisosbasados en atributos. En AWS, estos atributos se denominan etiquetas. Puede asociar etiquetas aentidades de IAM (usuarios o roles) y a muchos recursos de AWS. El etiquetado de entidades y recursoses el primer paso de ABAC. A continuación, designa las políticas de ABAC para permitir operacionescuando la etiqueta de la entidad principal coincida con la etiqueta del recurso al que se intenta acceder.

ABAC es útil en entornos que crecen con rapidez y ayuda en situaciones en las que la administración delas políticas resulta engorrosa.

Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en elelemento de condición de una política utilizando las claves de condición aws:ResourceTag/key-name,aws:RequestTag/key-name o aws:TagKeys.

166

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-policy-keys

https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonguardduty.html#amazonguardduty-policy-keys



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html


Para obtener más información sobre ABAC, consulte ¿Qué es ABAC? en la Guía del usuario de IAM. Paraver un tutorial con los pasos para configurar ABAC, consulte Uso del control de acceso basado en atributos(ABAC) en la Guía del usuario de IAM.

Uso de credenciales temporales con GuardDuty

Compatible con el uso de credenciales temporales. Sí

Algunos servicios de Servicios de AWS no funcionan cuando inicia sesión con credenciales temporales.Para obtener información adicional, incluida la información sobre qué servicios de Servicios de AWSfuncionan con credenciales temporales, consulte Servicios de Servicios de AWS que funcionan con IAM enla Guía del usuario de IAM.

Utiliza credenciales temporales si inicia sesión en la AWS Management Console con cualquier métodoexcepto un nombre de usuario y una contraseña. Por ejemplo, cuando accede a AWS utilizando elenlace de inicio de sesión único (SSO) de la empresa, ese proceso crea automáticamente credencialestemporales. También crea automáticamente credenciales temporales cuando inicia sesión en la consolacomo usuario y luego cambia de rol. Para obtener más información acerca del cambio de roles, consulteCambio a un rol (consola) en la Guía del usuario de IAM.

Puede crear credenciales temporales de forma manual mediante la AWS CLI o la API de AWS. Acontinuación, puede usar esas credenciales temporales para acceder a AWS. AWS recomienda generarcredenciales temporales de forma dinámica en lugar de usar claves de acceso a largo plazo. Para obtenermás información, consulte Credenciales de seguridad temporales en IAM.

Permisos de entidades principales entre servicios GuardDuty

Admite permisos de entidades principales Sí

Cuando utiliza un usuario o un rol de IAM para llevar a cabo acciones en AWS, se lo considera una entidadprincipal. Las políticas conceden permisos a una entidad principal. Cuando utiliza algunos servicios, esposible que realice una acción que desencadene otra acción en un servicio diferente. En este caso, debetener permisos para realizar ambas acciones. Para ver si una acción requiere acciones dependientesadicionales en una política, consulteAcciones, recursos y claves de condición paraAWS GuardDutyenlaReferencia de autorizaciones de servicio.

Roles de servicio para GuardDuty

Compatible con funciones del servicio Sí

Una función del servicio es un rol de IAM que asume un servicio para realizar acciones en su nombre.Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtenermás información, consulte Creación de roles para delegar permisos a un Servicio de AWS en la Guía delusuario de IAM.

Warning

Cambiar los permisos de un rol de servicio podría interrumpirse GuardDuty funcionalidad. Editelos roles de servicio solo cuando GuardDuty Proporciona orientación para hacerlo.

167

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deEjemplos de políticas basadas en identidad

Roles vinculados a servicios de GuardDuty

Compatible con roles vinculados a servicios Sí

Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un Servicio de AWS.El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a serviciosaparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero noeditar, los permisos de los roles vinculados a servicios.

Para obtener más información acerca de cómo crear o administrar GuardDuty Roles vinculados a serviciosde, consulteUso de roles vinculados a servicios para Amazon GuardDuty (p. 176).

Para obtener más información acerca de cómo crear o administrar roles vinculados a servicios de,consulteAWSServicios que funcionan con IAM. Busque un servicio en la tabla que incluya unYesenlaFunción vinculada al serviciocolumn. Elija el vínculo Sí para ver la documentación acerca del rolvinculado al servicio en cuestión.

Ejemplos de políticas basadas en identidades de AWSGuardDutyDe forma predeterminada, los usuarios y los roles de IAM no tienen permiso para crear, ver ni modificarrecursos de GuardDuty. Tampoco pueden realizar tareas mediante la AWS Management Console, la AWSCLI, o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedan a los usuariosy a los roles permiso para realizar acciones en los recursos que necesitan. El administrador debe adjuntaresas políticas a los usuarios o grupos de IAM que necesiten esos permisos.

Para obtener información acerca de cómo crear una política basada en identidades de IAM con estosdocumentos de políticas JSON de ejemplo, consulte Creación de políticas de IAM en la Guía del usuariode IAM.

Temas• Prácticas recomendadas relativas a políticas (p. 168)• Mediante la consola de GuardDuty (p. 169)• Permisos requeridos para habilitar GuardDuty (p. 169)• Permitir a los usuarios consultar sus propios permisos (p. 170)• Política de IAM personalizada para conceder acceso de solo lectura a GuardDuty (p. 170)• Denegación del acceso a GuardDuty Resultados de (p. 171)• Utilización de una política de IAM personalizada para limitar el acceso a GuardDuty recursos (p. 172)

Prácticas recomendadas relativas a políticasLas políticas basadas en identidad son muy eficaces. Determinan si alguien puede crear, acceder oeliminar GuardDuty recursos de su cuenta de. Estas acciones pueden generar costes adicionales para suCuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidad:

• Empiece a trabajar conAWSpolíticas administradas— Para empezar a usar GuardDuty rápido,useAWSpolíticas administradas para proporcionar a los empleados los permisos necesarios. Estaspolíticas ya están disponibles en su cuenta, y las mantiene y actualiza AWS. Para obtener másinformación, consulte Introducción sobre el uso de permisos con políticas administradas por AWS en laGuía del usuario de IAM.

• Conceder privilegios mínimos: al crear políticas personalizadas, conceda solo los permisos necesariospara llevar a cabo una tarea. Comience con un conjunto mínimo de permisos y conceda permisos

168


https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies


adicionales según sea necesario. Por lo general, es más seguro que comenzar con permisos que sondemasiado tolerantes e intentar hacerlos más estrictos más adelante. Para obtener más información,consulte Conceder privilegios mínimos en la Guía del usuario de IAM.

• Habilitar la MFA para operaciones confidenciales: para mayor seguridad, obligue a los usuarios de IAM autilizar la autenticación multifactor (MFA) para acceder a recursos u operaciones de API confidenciales.Para obtener más información, consulte Uso de la autenticación multifactor (MFA) en AWS en la Guíadel usuario de IAM.

• Utilizar condiciones de política para mayor seguridad: en la medida en que sea práctico, defina lascondiciones en las que las políticas basadas en identidad permitan el acceso a un recurso. Por ejemplo,puede escribir condiciones para especificar un rango de direcciones IP permitidas desde el que debeproceder una solicitud. También puede escribir condiciones para permitir solicitudes solo en un intervalode hora o fecha especificado o para solicitar el uso de SSL o MFA. Para obtener más información,consulteElemento de la política de JSON de IAM: Condiciónen laIAM User Guide.

Mediante la consola de GuardDutyPara acceder a Amazon GuardDuty consola, debe tener un conjunto mínimo de permisos. Estos permisosdeben permitirle mostrar y consultar los detalles acerca de los GuardDuty recursos de suCuenta de AWS.Si crea una política basada en identidad que sea más restrictiva que el mínimo de permisos necesarios,la consola no funcionará del modo esperado para las entidades (usuarios o roles de IAM) que tengan esapolítica.

No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadasa la AWS CLI o a la API de AWS. En su lugar, permite acceso únicamente a las acciones que coincidancon la operación de API que intenta realizar.

Para garantizar que los usuarios y las funciones puedan seguir utilizando el GuardDuty consola, tambiénconecte el GuardDuty ConsoleAccessoReadOnly AWSadministrada de a las entidades de. Para obtenermás información, consulte Adición de permisos a un usuario en la Guía del usuario de IAM:

Permisos requeridos para habilitar GuardDutyEn esta sección se describen los permisos que deben tener las diferentes identidades de IAM (usuarios,grupos y roles) para habilitar inicialmente. GuardDuty a través de la consola o mediante programación (conel GuardDuty API o la GuardDuty Comandos de en laAWSCLI).

Para conceder los permisos requeridos para habilitar GuardDuty, asocie la siguiente política a un usuario,un grupo o un rol de IAM:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": {

169

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console


"iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::1234567890123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ]}

Permitir a los usuarios consultar sus propios permisosEn este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver laspolíticas administradas e insertadas que se adjuntan a la identidad de sus usuarios. Esta política incluyepermisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la APIde AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]}

Política de IAM personalizada para conceder acceso de sololectura a GuardDutyPara conceder acceso de solo lectura a GuardDuty Puede utilizarelAmazonGuardDutyReadOnlyAccesspolítica administrada.

170


Para crear una política personalizada que conceda a un usuario, rol o grupo de IAM, acceso de solo lecturaa GuardDuty Puede utilizar la siguiente instrucción:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:ListMembers", "guardduty:GetMembers", "guardduty:ListInvitations", "guardduty:ListDetectors", "guardduty:GetDetector", "guardduty:ListFindings", "guardduty:GetFindings", "guardduty:ListIPSets", "guardduty:GetIPSet", "guardduty:ListThreatIntelSets", "guardduty:GetThreatIntelSet", "guardduty:GetMasterAccount", "guardduty:GetInvitationsCount", "guardduty:GetFindingsStatistics" ], "Resource": "*" } ]}

Denegación del acceso a GuardDuty Resultados deUtilice la siguiente política para denegar a un usuario, rol o grupo de IAM, acceso a un usuario, rol o grupode IAM a GuardDuty hallazgos. Los usuarios no pueden ver los resultados ni los detalles pero tienenacceso al resto de los resultados pero tienen acceso al resto de GuardDuty operaciones:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateDetector", "guardduty:DeleteDetector", "guardduty:UpdateDetector", "guardduty:GetDetector", "guardduty:ListDetectors", "guardduty:CreateIPSet", "guardduty:DeleteIPSet", "guardduty:UpdateIPSet", "guardduty:GetIPSet", "guardduty:ListIPSets", "guardduty:CreateThreatIntelSet", "guardduty:DeleteThreatIntelSet", "guardduty:UpdateThreatIntelSet", "guardduty:GetThreatIntelSet", "guardduty:ListThreatIntelSets", "guardduty:ArchiveFindings", "guardduty:UnarchiveFindings", "guardduty:CreateSampleFindings", "guardduty:CreateMembers", "guardduty:InviteMembers", "guardduty:GetMembers", "guardduty:DeleteMembers",

171


"guardduty:DisassociateMembers", "guardduty:StartMonitoringMembers", "guardduty:StopMonitoringMembers", "guardduty:ListMembers", "guardduty:GetMasterAccount", "guardduty:DisassociateFromMasterAccount", "guardduty:AcceptInvitation", "guardduty:ListInvitations", "guardduty:GetInvitationsCount", "guardduty:DeclineInvitations", "guardduty:DeleteInvitations" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ]}

Utilización de una política de IAM personalizada para limitar elacceso a GuardDuty recursosPara definir el acceso de un usuario a GuardDuty basado en el identificador del detector, puedesusar todoGuardDuty Acciones de APIen sus políticas de IAM personalizadas,exceptoLas siguientesoperaciones:

• guardduty:CreateDetector

• guardduty:DeclineInvitations

• guardduty:DeleteInvitations

• guardduty:GetInvitationsCount

• guardduty:ListDetectors

• guardduty:ListInvitations

Utilice las siguientes operaciones en una política de IAM para definir el acceso de un usuario aGuardDutybasado en el ID de IPSet y ThreatIntelSet ID:

• guardduty:DeleteIPSet

• guardduty:DeleteThreatIntelSet

172

https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Operations.html


• guardduty:GetIPSet

• guardduty:GetThreatIntelSet

• guardduty:UpdateIPSet

• guardduty:UpdateThreatIntelSet

En los siguientes ejemplos se muestra cómo crear políticas con algunas de las operaciones anteriores:

• Esta política de permite a un usuario ejecutar elguardduty:UpdateDetector, utilizando el ID dedetector 1234567 en la región us-east-1:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:UpdateDetector", ], "Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/1234567" } ]}

• Esta política de permite a un usuario ejecutar elguardduty:UpdateIPSet, utilizando el ID de detector1234567 y el ID de IPSet 000000 en la región us-east-1:

Note

Asegúrese de que el usuario tiene los permisos necesarios para obtener acceso a laslistas de IP de confianza y a las listas de amenazas de GuardDuty. Para obtener másinformación, consulte Permisos necesarios para cargar listas de IP de confianza y listas deamenazas (p. 113).

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:UpdateIPSet", ], "Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/1234567/ipset/000000" } ]}

• Esta política de permite a un usuario ejecutar elguardduty:UpdateIPSet, utilizando cualquier ID dedetector y el ID de IPSet 000000 en la región us-east-1:

Note


{ "Version": "2012-10-17",

173

Amazon GuardDuty Amazon GuardDuty Guía del usuario deSolución de problemas

"Statement": [ { "Effect": "Allow", "Action": [ "guardduty:UpdateIPSet", ], "Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/*/ipset/000000" } ]}

• Esta política de permite a un usuario ejecutar elguardduty:UpdateIPSet, utilizando el ID de detector1234567 y cualquier ID de IPSet en la región us-east-1:

Note


{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:UpdateIPSet", ], "Resource": "arn:aws:guardduty:us-east-1:012345678910:detector/1234567/ipset/*" } ]}

Solución de problemas de identidades y accesos enAWS GuardDutyUtilice la siguiente información para diagnosticar y solucionar los problemas comunes que puedan surgircuando trabaje con GuardDuty e IAM.

Temas• No tengo autorización para realizar una acción en GuardDuty (p. 174)• No tengo autorización para realizar la operación iam:PassRole (p. 175)• Quiero ver mis claves de acceso (p. 175)• Soy administrador y deseo permitir que otros obtengan acceso a GuardDuty (p. 176)• Quiero permitir que personas se alejen de miCuenta de AWSpara acceder a mi GuardDuty

recursos (p. 176)

No tengo autorización para realizar una acción en GuardDutySi la AWS Management Console le indica que no está autorizado para llevar a cabo una acción, debeponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que le facilitósu nombre de usuario y contraseña.

174

Amazon GuardDuty Amazon GuardDuty Guía del usuario deSolución de problemas

En el siguiente ejemplo, el error se produce cuando el usuario de IAM mateojackson intenta utilizar laconsola para consultar los detalles acerca de un recurso ficticio my-example-widget, pero no tiene lospermisos ficticios guardduty:GetWidget.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: guardduty:GetWidget on resource: my-example-widget

En este caso, Mateo pide a su administrador que actualice sus políticas de forma que pueda obteneracceso al recurso my-example-widget mediante la acción guardduty:GetWidget.

No tengo autorización para realizar la operación iam:PassRoleSi recibe un error que indica que no está autorizado para llevar a cabo la acción iam:PassRole, debeponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que le facilitósu nombre de usuario y contraseña. Pida a la persona que actualice sus políticas de forma que puedatransferir un rol a GuardDuty.

Algunos servicios de Servicios de AWS le permiten transferir un rol existente a dicho servicio en lugar decrear un nuevo rol de servicio o uno vinculado al servicio. Para ello, debe tener permisos para transferir elrol al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado marymajor intentautilizar la consola para realizar una acción en GuardDuty. Sin embargo, la acción requiere que el serviciocuente con permisos otorgados por un rol de servicio. Mary no tiene permisos para transferir el rol alservicio.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

En este caso, Mary pide a su administrador que actualice sus políticas para que pueda realizar la accióniam:PassRole.

Quiero ver mis claves de accesoDespués de crear sus claves de acceso de usuario de IAM, puede ver su ID de clave de acceso encualquier momento. Sin embargo, no puede volver a ver su clave de acceso secreta. Si pierde la clave deacceso secreta, debe crear un nuevo par de claves de acceso.

Las claves de acceso se componen de dos partes: un ID de clave de acceso (por ejemplo,AKIAIOSFODNN7EXAMPLE) y una clave de acceso secreta (por ejemplo, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). El ID de clave de acceso y la clave de acceso secreta se utilizan juntos, como unnombre de usuario y contraseña, para autenticar sus solicitudes. Administre sus claves de acceso con elmismo nivel de seguridad que para el nombre de usuario y la contraseña.

Important

No proporcione las claves de acceso a terceros, ni siquiera para que le ayuden a buscar el ID deusuario canónico. Si lo hace, podría conceder a otra persona acceso permanente a su cuenta.

Cuando cree un par de claves de acceso, se le pide que guarde el ID de clave de acceso y la clave deacceso secreta en un lugar seguro. La clave de acceso secreta solo está disponible en el momento desu creación. Si pierde la clave de acceso secreta, debe agregar nuevas claves de acceso a su usuariode IAM. Puede tener un máximo de dos claves de acceso. Si ya cuenta con dos, debe eliminar un par declaves antes de crear uno nuevo. Para consultar las instrucciones, consulte Administración de claves deacceso en la Guía del usuario de IAM.

175

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

Amazon GuardDuty Amazon GuardDuty Guía del usuario deUso de roles vinculados a servicios

Soy administrador y deseo permitir que otros obtengan acceso aGuardDutyPara permitir que otros tengan acceso GuardDuty, debe crear una entidad de IAM (usuario o rol) parala persona o aplicación que necesita acceso. Esta persona utilizará las credenciales de la entidad paraacceder a AWS. A continuación, debe asociar una política a la entidad que le conceda los permisoscorrectos en GuardDuty.

Para comenzar de inmediato, consulte Creación del primer grupo y usuario delegado de IAM en la Guía delusuario de IAM.

Quiero permitir que personas se alejen de miCuenta de AWSparaacceder a mi GuardDuty recursosPuede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedanutilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol.En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso(ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.

Para obtener más información, consulte lo siguiente:

• Para saber si GuardDuty admite estas características, consulteCómo AWS GuardDuty funciona conIAM (p. 163).

• Para obtener información acerca de cómo proporcionar acceso a los recursos de las Cuentas de AWSde su propiedad, consulte Proporcionar acceso a un usuario de IAM a otra Cuenta de AWS de la que espropietario en la Guía del usuario de IAM.

• Para obtener información acerca de cómo proporcionar acceso a los recursos a Cuentas de AWS deterceros, consulte Proporcionar acceso a Cuentas de AWS que son propiedad de terceros en la Guía delusuario de IAM.

• Para obtener información sobre cómo proporcionar acceso mediante una identidad federada, consulteProporcionar acceso a usuarios autenticados externamente (identidad federada) en la Guía del usuariode IAM.

• Para obtener información sobre la diferencia entre los roles y las políticas basadas en recursos para elacceso entre cuentas, consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en laGuía del usuario de IAM.

Uso de roles vinculados a servicios para AmazonGuardDuty

Amazon GuardDuty utilizaAWS Identity and Access Management(IAM.)roles vinculados a servicios. Un rolvinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a GuardDuty. Losroles vinculados a servicios están predefinidos por GuardDuty e incluye todos los permisos que GuardDutyrequiere llamar a otrosAWSservicios de en su nombre.

Un rol vinculado a un servicio hace que la configuración de GuardDuty más fácil porque no tiene queagregar manualmente los permisos necesarios. GuardDuty define los permisos de su rol vinculado a unservicio y, a menos que los permisos estén definidos de otra manera, solo GuardDuty puede asumir el rol.Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos nose puede adjuntar a ninguna otra entidad de IAM.

GuardDuty admite el uso de roles vinculados a servicios en todas las regiones en las que GuardDuty estádisponible. Para obtener más información, consulte Regiones y puntos de enlace (p. 203).

176

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePermisos de roles vinculados a servicios para GuardDuty

Puede eliminar el GuardDuty Rol vinculado al servicio solo después de deshabilitar GuardDuty en todaslas regiones en las que está habilitado. De esta forma se protege su GuardDuty recursos porque no puedeeliminar accidentalmente permisos de acceso a ellos.

Para obtener información sobre otros servicios que admiten los roles vinculados a servicios,consulteAWSServicios que funcionan con IAMen laIAM User Guidey busca los servicios que tienenSíenlaRol vinculado a servicio decolumn. Seleccione una opción Sí con un enlace para ver la documentaciónacerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios paraGuardDutyGuardDuty usa el rol vinculado al servicio denominadoAWSServiceRoleForAmazonGuardDuty.Este rol vinculado a un servicio permite GuardDuty para recuperar metadatos de las instancias EC2de suAWSentorno que participa en actividades potencialmente sospechosas. También permiteGuardDuty para incluir los metadatos recuperados de la instancia de EC2 en los resultados deque GuardDuty genera sobre actividades potencialmente sospechosas. El rol vinculado a serviciosAWSServiceRoleForAmazonGuardDuty confía en el servicio guardduty.amazonaws.com paraasumir el rol.

La política de permisos del rol permite GuardDuty Para realizar tareas como:

• Utilice las acciones de Amazon EC2 para recuperar información sobre las instancias e imágenes deEC2.

• Utilice las acciones de Amazon EC2 para recuperar información sobre los componentes de red de EC2,tales como VPC, subredes y puertas de enlace de tránsito.

• Utilice las acciones de Amazon S3 para recuperar información sobre los depósitos y objetos de S3.• UsarAWS Organizationsacciones para describir cuentas asociadas.

El rol se configura con lo siguiente:AWSpolítica administrada, con elnombreAWSServiceRoleForAmazonGuardDuty.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments" "organizations:ListAccounts", "organizations:DescribeAccount", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", ], "Resource": "*" }

177


https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCreación de un rol vinculado a un servicio para GuardDuty

]}

A continuación se presenta la política de confianza que se asocia al rol vinculado a servicioAWSServiceRoleForAmazonGuardDuty:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

Creación de un rol vinculado a un servicio paraGuardDutyLaAWSServiceRoleForAmazonGuardDutyEl rol vinculado al servicio se crea automáticamente cuandose habilita GuardDuty por primera vez o habilitar GuardDuty en una región compatible en la que no estabaactivada. También puede crear elAWSServiceRoleForAmazonGuardDutyEl rol vinculado al serviciomanualmente mediante la consola de IAM, la CLI de IAM o la API de IAM.

Important

El rol vinculado al servicio que se crea para el GuardDuty la cuenta de administrador delegado nose aplica al miembro GuardDuty cuentas.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editaro eliminar un rol vinculado a servicios. Para el registroAWSServiceRoleForAmazonGuardDutyEl rolvinculado al servicio que se cree correctamente, la identidad de IAM que usa GuardDuty Con debe tenerlos permisos necesarios. Para conceder los permisos necesarios, asocie la siguiente política a esteusuario, grupo o rol de IAM:

Note

Reemplaza el ID de la cuenta de ejemplo del siguiente ejemplo por el siguiente ejemploAWSID deCuenta de.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [

178

Amazon GuardDuty Amazon GuardDuty Guía del usuario deModificación de un rol vinculado al servicio para GuardDuty

"iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ]}

Para obtener más información acerca de la creación manual del rol de, consulteCrear un rol vinculado a unservicio ()en laIAM User Guide.

Modificación de un rol vinculado al servicio paraGuardDutyGuardDuty no le permite modificar elAWSServiceRoleForAmazonGuardDutyrol vinculado al servicio.Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidadespueden hacer referencia a él. Sin embargo, puede editar la descripción del rol utilizando IAM. Para obtenermás información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio paraGuardDutySi ya no necesita utilizar una característica o servicio que requiere un rol vinculado a servicios,recomendamos que elimine dicho rol. De esta forma no conservará una entidad no utilizada que no semonitoree ni se mantenga de forma activa.

Important

Debes desactivar primero GuardDuty en todas las regiones en las que está habilitado paraeliminar elAWSServiceRoleForAmazonGuardDuty.Si el archivo de GuardDuty El servicio de está habilitado cuando intenta eliminar el rol vinculado alservicio, el servicio no se eliminará. Para obtener más información, consulte Suspender o detenerGuardDuty (p. 195).

Cuando deshabilitas GuardDuty, elAWSServiceRoleForAmazonGuardDutyNO se eliminaautomáticamente. Si, a continuación, habilita GuardDuty De nuevo, comenzará a utilizar eldisponibleAWSServiceRoleForAmazonGuardDuty.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a serviciosAWSServiceRoleForAmazonGuardDuty. Para obtener más información, consulte Eliminar un rolvinculado a un servicio en la Guía del usuario de IAM.

179

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

Amazon GuardDuty Amazon GuardDuty Guía del usuario dePolíticas administradas por AWS

AWSpolíticas administradas de para AmazonGuardDuty

Para agregar permisos a usuarios, grupos y roles, es más fácil utilizar las políticas administradas de AWSque escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas de IAM administradaspor el cliente que proporcionen a su equipo solo los permisos necesarios. Para comenzar a hacerlo conrapidez, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de usocomunes y están disponibles en su Cuenta de AWS. Para obtener más información acerca de las políticasadministradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Los servicios de AWS mantienen y actualizan las políticas administradas por AWS. No puede cambiarlos permisos en las políticas administradas por AWS. En ocasiones, los servicios agregan permisosadicionales a una política administrada por AWS para admitir características nuevas. Este tipo deactualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Esmás probable que los servicios actualicen una política administrada por AWS cuando se lanza una nuevacaracterística o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan permisos deuna política administrada por AWS, por lo que las actualizaciones de políticas no deteriorarán los permisosexistentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios.Por ejemplo, a la acciónReadOnlyAccess AWSLa política administrada proporciona acceso de sololectura a todosAWSservicios y recursos de. Cuando un servicio lanza una nueva característica, AWSagrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista ydescripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS parafunciones de trabajo en la Guía del usuario de IAM.

Política administrada por AWS:AmazonGuardDutyFullAccessPuede adjuntar la política AmazonGuardDutyFullAccess a las identidades de IAM.

Esta política otorga permisos administrativos que brindan a un usuario acceso completo a todos GuardDutyacciones.

Detalles sobre los permisos

Esta política incluye los siguientes permisos.

• GuardDuty— Permite a los usuarios acceso completo a todos GuardDuty acciones.• IAM— Permite a los usuarios crear GuardDuty Rol vinculado al servicio de. Esto permite un GuardDuty

administrador para habilitar GuardDuty para cuentas de miembros de.• Organizations— Permite a los usuarios designar un administrador delegado y administrar miembros

de un GuardDuty organization.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "guardduty:*", "Resource": "*"

180



https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deAmazonGuardDutyReadOnlyAccess

}, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ]}

Política administrada por AWS:AmazonGuardDutyReadOnlyAccessPuede adjuntar la política AmazonGuardDutyReadOnlyAccess a las identidades de IAM.

Esta política otorga permisos de solo lectura que permiten a un usuario ver GuardDuty hallazgos y detallesde su GuardDuty organization.

Detalles sobre los permisos

Esta política incluye los siguientes permisos.

• GuardDuty— Permite a los usuarios ver GuardDuty hallazgos y realización de operaciones de API queempiezan porGet,List, o bienDescribe.

• Organizations— Permite a los usuarios recuperar información acerca de su GuardDuty configuraciónde la organización, incluidos los detalles de la cuenta de administrador delegada.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:Describe*", "guardduty:Get*", "guardduty:List*" ], "Resource": "*" }, {

181

Amazon GuardDuty Amazon GuardDuty Guía del usuario deAWSServiceRoleForAmazonGuardDuty

"Effect": "Allow", "Action": [ "organizations:ListDelegatedAdministrators", "organizations:ListAWSServiceAccessForOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } ]}

Política administrada por AWS:AWSServiceRoleForAmazonGuardDutyNo puede adjuntar AWSServiceRoleForAmazonGuardDuty a sus entidades IAM. EsteAWSLa políticaadministrada está adjunta a un rol vinculado a servicio que permite GuardDuty para realizar acciones en sunombre. Para obtener más información, consulteUso de roles vinculados a servicios (p. 176).

GuardDuty actualizaciones deAWSpolíticasadministradas

Muestra los detalles sobre las actualizaciones deAWSPolíticas administradas de para GuardDuty debido aque este servicio comenzó a realizar un seguimiento de estos cambios. Para obtener alertas automáticassobre cambios en esta página, suscríbase a la fuente RSS en GuardDuty Página de historial de revisión.

Cambio Descripción Fecha

AWSServiceRoleForAmazonGuardDuty (p. 177):actualización de una políticaactual

GuardDuty Se han agregadopermisos nuevos para permitirGuardDuty utilizar las accionesde redes de Amazon EC2 paramejorar los resultados.

GuardDuty ahora puede realizarlas siguientes acciones deEC2 para obtener informaciónsobre cómo se comunicanlas instancias de EC2. Estainformación se utiliza paramejorar la precisión de labúsqueda.

• ec2:DescribeVpcEndpoints

• ec2:DescribeSubnets

• ec2:DescribeVpcPeeringConnections

• ec2:DescribeTransitGatewayAttachments

3 de ago. de 2021

GuardDuty comenzó a realizarseguimientos de

GuardDuty comenzó a realizarun seguimiento de los cambiosdeAWSpolíticas administradas.

3 de ago. de 2021

182

Amazon GuardDuty Amazon GuardDuty Guía del usuario deValidación de conformidad

Validación de la conformidad para AmazonGuardDuty

Auditores externos evalúan la seguridad y la conformidad de GuardDuty como parte devariosAWSProgramas de conformidad. Estos incluyen SOC, PCI, FedRAMP, HIPAA y otros.

Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos,consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulte Descarga de informes en AWS Artifact.

Su responsabilidad de conformidad al utilizar GuardDuty se determina en función de la confidencialidadde los datos, los objetivos de conformidad de su empresa, así como de la legislación y los reglamentosaplicables.AWSproporciona los siguientes recursos para ayudar con la conformidad:

• Guías de inicio rápido de seguridad y conformidad: estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.

• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA: en este documentotécnico, se describe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes conHIPAA.

• Recursos de conformidad de AWS: este conjunto de manuales y guías podría aplicarse a su sector yubicación.

• Evaluación de recursos con reglas en la Guía para desarrolladores deAWS Config: AWS Configevalúaen qué medida las configuraciones de sus recursos cumplen las prácticas internas, las directrices delsector y las normativas.

• AWS Security Hub: este servicio de AWS proporciona una vista integral de su estado de seguridad enAWS que lo ayuda a verificar la conformidad con los estándares y las prácticas recomendadas del sectorde seguridad. GuardDuty se integra con Security Hub para consolidar los hallazgos.

Resiliencia en Amazon GuardDutyLa infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS.Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas quese encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además debaja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas dedisponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructurastradicionales de centros de datos únicos o múltiples.

Para obtener más información sobre las zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.

Seguridad de la infraestructura de AmazonGuardDuty

Al tratarse de un servicio administrado, GuardDuty está protegido porAWSprocedimientos de seguridadde red globales de que se describen enAmazon Web Services: Información general sobre procesos deseguridaddocumento técnico.

183


http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

http://aws.amazon.com/about-aws/global-infrastructure/

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

Amazon GuardDuty Amazon GuardDuty Guía del usuario deSeguridad de infraestructuras

UsaAWSpublicadas en para obtener acceso a GuardDuty a través de la red. Los clientes deben sercompatibles con Transport Layer Security (TLS) 1.0 o una versión posterior. Recomendamos TLS1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado conconfidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve EphemeralDiffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatiblescon estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de accesosecreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security TokenService (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

184

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deIntegración de GuardDuty conAWS Security Hub

AWSIntegraciones de servicios decon GuardDuty

GuardDuty se puede integrar con otrosAWSservicios de seguridad. Estos servicios pueden ingerir datosde GuardDuty para permitirle ver los hallazgos de nuevas formas. Consulte las siguientes opcionesde integración para obtener más información sobre cómo se configura ese servicio para funcionar conGuardDuty.

Integración de GuardDuty conAWS Security HubAWS Security Hubrecopila datos de seguridad de todo suAWScuentas, servicios y productos desocios externos compatibles para evaluar el estado de seguridad de su entorno de acuerdo con losestándares y las mejores prácticas del sector. Además de evaluar su postura de seguridad, SecurityHub crea una ubicación central para los hallazgos en todas sus instalaciones integradasAWSservicios,yAWSProductos de socios. La activación de Security Hub con GuardDuty permitirá que Security Hubingiera automáticamente los datos de hallazgos de GuardDuty.

Para obtener más información sobre cómo usar Security Hub con GuardDuty, consulteIntegración conAWS Security Hub (p. 185).

Integración de GuardDuty con Amazon DetectiveAmazon Detective utiliza datos de registro de todo suAWScuentas para crear visualizaciones de datospara sus recursos y direcciones IP que interactúan con su entorno. Las visualizaciones de detectives leayudan a investigar de forma rápida y sencilla los problemas de seguridad. Puede cambiar de los detallesde búsqueda de GuardDuty a la información de la consola Detective una vez habilitados ambos servicios.

Para obtener más información sobre cómo usar Detective con GuardDuty, consulteIntegración con AmazonDetective (p. 193).

Integración con AWS Security HubAWS Security Hub le proporciona una visión completa de su estado de seguridad en AWS y lo ayuda acomprobar su entorno con las prácticas recomendadas y los estándares del sector de seguridad. SecurityHub recopila datos de seguridad de todas las cuentas de AWS, de los servicios y de los productos deterceros compatibles y le ayuda a analizar sus tendencias de seguridad y a identificar los problemas deseguridad de mayor prioridad.

Amazonía GuardDuty integración con Security Hub le permite enviar hallazgos desde GuardDuty aSecurity Hub. Security Hub puede incluir esos resultados en su análisis de la posición de seguridad.

Contenido• Cómo Amazon GuardDuty envía los hallazgos aAWS Security Hub (p. 186)

• Tipos de hallazgos que GuardDuty envía a Security Hub (p. 186)• Latencia para el envío de hallazgos (p. 186)

185

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deCómo Amazon GuardDuty envíalos hallazgos aAWS Security Hub

• Reintento cuando Security Hub no está disponible (p. 186)• Actualización de los resultados existentes en Security Hub (p. 186)

• Visualización de GuardDuty hallazgos enAWS Security Hub (p. 187)• Interpretar GuardDuty encontrar nombres enAWS Security Hub (p. 187)• Hallazgo típico de GuardDuty (p. 190)

• Habilitación y configuración de la integración (p. 192)• Detener la publicación de hallazgos en Security Hub (p. 192)

Cómo Amazon GuardDuty envía los hallazgos aAWSSecurity HubEn AWS Security Hub, los problemas de seguridad se rastrean como hallazgos. Algunos resultadosprovienen de problemas detectados por otros servicios de AWS o por socios terceros. Security Hubtambién cuenta con un conjunto de reglas que utiliza para detectar problemas de seguridad y generarresultados.

Security Hub proporciona herramientas para administrar los resultados de todas estas fuentes. Puedever y filtrar listas de resultados y ver los detalles de una búsqueda. Consulte Visualización de hallazgosen la Guía del usuario de AWS Security Hub. También puede realizar un seguimiento del estado de unainvestigación de un hallazgo. Consulte Adopción de medidas sobre los hallazgos en la Guía del usuario deAWS Security Hub.

Todos los resultados en Security Hub usan un formato JSON estándar denominado AWS Security FindingFormat (ASFF). El ASFF incluye detalles sobre el origen del problema, los recursos afectados y el estadoactual del hallazgo. Consulte Formato de hallazgo de seguridad de AWS (ASFF) en la Guía del usuario deAWS Security Hub.

Amazon GuardDuty es uno de losAWSservicios que envía los resultados a Security Hub

Tipos de hallazgos que GuardDuty envía a Security HubUna vez que la integración está habilitada, GuardDuty envía todos los hallazgos que genera a SecurityHub. Los resultados se envían a Security Hub mediante elAWSFormato de los hallazgos de seguridad de(ASFF). En ASFF, el campo Types proporciona el tipo de hallazgo.

Latencia para el envío de hallazgos

Cuando GuardDuty crea un nuevo hallazgo, generalmente se envía a Security Hub dentro de cincominutos.

Reintento cuando Security Hub no está disponible

Si Security Hub no está disponible, GuardDuty vuelve a intentar enviar los hallazgos hasta que se reciban.

Actualización de los resultados existentes en Security Hub

Después de enviar un hallazgo a Security Hub, GuardDuty envía actualizaciones para reflejarobservaciones adicionales de la actividad de búsqueda a Security Hub. El ritmo al que se actualizan lasconclusiones agregadas se basa en elExportación de frecuencia de actualización (p. 122)especificada.

Archivado o anulación de archivado de un GuardDuty la búsqueda no actualizará la búsqueda en SecurityHub. Esto significa que los hallazgos no archivados manualmente que se activan en GuardDuty no seenviará a Security Hub

186

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-viewing.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-taking-action.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html



Amazon GuardDuty Amazon GuardDuty Guía del usuario deVisualización de GuardDuty hallazgos enAWS Security Hub

Visualización de GuardDuty hallazgos enAWSSecurity HubPara ver los GuardDuty Hallazgos en Security HubConsulte los resultadosUNDERAmazon GuardDutydela página de resumen de. Alternativamente, puede seleccionarHallazgosdesde el panel de navegación yfiltre los resultados para que se muestren únicamente GuardDuty conclusiones seleccionando laNombrede producto:campo con un valor deGuardDuty.

Interpretar GuardDuty encontrar nombres enAWS Security HubGuardDuty envía los resultados a Security Hub medianteAWSFormato de los hallazgos de seguridad de(ASFF). En ASFF, el campo Types proporciona el tipo de hallazgo. Los tipos ASFF utilizan un esquemade nomenclatura diferente al de los tipos GuardDuty. En la tabla siguiente se detallan todos los GuardDutybuscar tipos con su homólogo de ASFF tal como aparecen en Security Hub.

Note

Para algunos GuardDuty tipos de búsqueda Security Hub asigna diferentes nombres de búsquedade ASFF en función de si los detalles de la búsquedaRol de recursoeraACTORoTARGET. Paraobtener más información, consulteDetalles de resultados (p. 22).

Tipo de búsqueda GuardDuty Tipo de hallazgo de ASFF

Backdoor:EC2/C&C&C.Activity.B TTPS/comando y control/puerta trasera: EC2-C&Cactivity.b

Backdoor:EC2/C&CActivity.B!DNS TTPS/comando y control/puerta trasera: EC2-C&CActivity.B! DNS

Backdoor:EC2/DenialOfService.Dns TTPS/comando y control/puerta trasera: EC2-denegación de service.dns

Backdoor:EC2/DenialOfService.Tcp TTPS/comando y control/puerta trasera: EC2-denegación de servicio.tcp

Backdoor:EC2/DenialOfService.Udp TTPS/comando y control/puerta trasera: EC2-denegación de service.udp

Backdoor:EC2/DenialOfService.UdpOnTcpPorts TTPS/comando y control/puerta trasera: EC2-denegación de service.udpontPuertos TCP

Backdoor:EC2/DenialOfService.UnusualProtocol TTPS/comando y control/puerta trasera: EC2 -Denegación de servicio. Protocolo inusual

Backdoor:EC2/Spambot TTPS/comando y control/puerta trasera: EC2-Spambot

Behavior:EC2/NetworkPortUnusual Comportamientos inusuales/VM/Comportamiento:EC2 - Puerto de red Inusual

Behavior:EC2/TrafficVolumeUnusual Comportamientos inusuales/VM/comportamiento:Volumen de tráfico EC2 Inusual

CryptoCurrency:EC2/BitcoinTool.B TTPS/comando y control/Criptomoneda: EC2-BitcoinTool.b

CryptoCurrency:EC2/BitcoinTool.B!DNS TTPs/Comando y Control/CryptoCurrency:EC2-BitcoinTool.B! DNS

187





Descubrimiento: enumeración S3/bucket. TTPS/Descubrimiento: Umeración de 3 cubos S3.

Discovery:S3/MaliciousIPCaller.Custom TTPS/Discovery: S3 - Llamador IP malicioso.Custom

Descubrimiento: Llamador S3/Torip TTPS/Descubrimiento: Llamador S3 a IP

Descubrimiento: Llamador IP malicioso S3 TTPS/Discovery: Llamador IP malicioso S3

Exfiltración: S3/lectura de objetos. Inusual TTPS/exfiltración: lectura de objetos S3-inusual

Exfiltración: llamador IP malicioso S3 TTPS/exfiltración: S3 - Llamador IP malicioso

Impacto: EC2/barrido de puertos TTPS/impacto/impacto: barrido de puertos EC2

Impacto: EC2/WinRM Brute Force TTPS/Impacto/Impacto: EC2-WinRM Bruteforce

Impacto: S3/Objeto eliminado. Inusual TTPS/Impact: Eliminación de objetos S3-inusual

Impacto: modificación S3/permisos. Inusual TTPS/Impact: modificación de 3 permisos S3.

Impacto: Llamador IP malicioso S3 TTPS/Impact: Llamador IP malicioso S3

PenTest:IAMUser/KaliLinux TTPS/PenTest:IAMUser/KaliLinux

PenTest:IAMUser/ParrotLinux TTPS/PenTest:IAMUser/ParrotLinux

PenTest:IAMUser/PentooLinux TTPS/PenTest:IAMUser/PentooLinux

Pentest: S3/Kalilinux TTPS/Pen Test: S3 - Kalilinux

Lápiz: S3/Parrot Linux TTPS/Pentest: S3-loro Linux

Lápiz: S3/Pen Toolinux TTPS/Pen Test: S3-Pentoolinux

Persistence:IAMUser/NetworkPermissions TTPS/persistencia/persistencia: permisos de redde usuario de IAM

Persistence:IAMUser/ResourcePermissions TTPS/persistencia/persistencia: permisos derecursos de usuario de IAM

Persistence:IAMUser/UserPermissions TTPS/persistencia/persistencia: permisos deusuario de IAM

Policy:IAMUser/RootCredentialUsage TTPS/Policy: Uso de credenciales de usuario raízde IAM

Policy:S3/Account BlockPublicAccessDisabled TTPS/Policy:S3-AccountBlockPublicAccessDisabled

Policy:S3/Bucket Concedido de acceso anónimo TTPS/Policy:S3-BucketAccessAnonymous

Policy:S3/BucketBlockPublicAccessDisabled Efectos/Exposición de datos/Política: S3-BucketBlock Public Access Disabled

Policy:S3/BucketPublicAccessConceder TTPS/Policy:S3-BucketAccessPublicAccessDisabled

188



PrivilegeEscalation:IAMUser/AdministrativePermissions

TTPS/escalación de privilegios/escalación deprivilegios: permisos administrativos de usuario deIAM

Recon:EC2/PortProbeEMRUnprotectedPort TTPS/Discovery/Recon: EC2 puertos de sonda deEjecución de Puerto

Recon:EC2/PortProbeUnprotectedPort TTPS/Discovery/Recon: puerto no protegido desonda de 2 puertos

Recon:EC2/Portscan TTPS/Discovery/Recon:EC2 Puertos Scan

Recon:IAMUser/MaliciousIPCaller TTPS/Discovery/Recon: IAMUser-MaliciousIPCaller:IAMUser:IAMUser/

Recon:IAMUser/MaliciousIPCaller.Custom TTPS/Discovery/Recon: IAMUser-MaliciousIPCaller.Custom

Recon:IAMUser/NetworkPermissions TTPS/Discovery/Recon:IAMUser-NetworkPermisos

Recon:IAMUser/ResourcePermissions TTPS/Discovery/Recon: Permisos de User-ResourcePermisos

Recon:IAMUser/TorIPCaller TTPS/Discovery/Recon: IAMUser-TIPCaller:IAMUser/IPCaller:

Recon:IAMUser/UserPermissions TTPS/Discovery/Recon:IAMUserPermisos deusuario

ResourceConsumption:IAMUser/ComputeResources

Comportamientos inusuarios/Consumo de recursosinusuarios/: Usuario de IAM - Computer Sources

Stealth:IAMUser/CloudTrailLoggingDisabled TTPs/Evasión de defensa/sigilón de defensa/IAMUser-CloudTrailStoled

Stealth:IAMUser/LoggingConfigurationModified TTPs/Evasión de defensa/sigilo/Evasión dedefensa/sigilo:Configuración de registro deusuarios de IAM

Stealth:IAMUser/PasswordPolicyChange TTPs/Evasión de defensa/sigilón de defensa/IAMUser-Password

Stealth:S3/ServerAccessLoggingDisabled TTPs/Evasión de defensa/Evasión de defensa/Stealth:S3-ServerAccessLoggingDisabled

Trojan:EC2/BlackholeTraffic TTPS/comando y control/Trojan: EC2-BlackholeTraffic

Trojan:EC2/BlackholeTraffic!DNS TTPS/comando y control/troyano: EC2-BlackholeTraffic! DNS

Trojan:EC2/DGADomainRequest.B TTPS/comando y control/troyano: EC2-DGDomainRequest.b

Trojan:EC2/DGADomainRequest.C!DNS TTPS/Command and Control/Trojan:EC2-DGADOmainRequest.C! DNS

Trojan:EC2/DNSDataExfiltration TTPS/comando y control/troyano: Exfiltración dedatos EC2-DNS! DNS

189



Trojan:EC2/DriveBySourceTraffic!DNS TTPS/Acceso inicial/Trojan: EC2 ¡DrivebySourceTraffic! DNS

Trojan:EC2/DropPoint Effects/Data Exfiltration/Trojan:EC2-Droppoint

Trojan:EC2/DropPoint!DNS Effects/Data Exfiltration/Trojan:EC2-Droppoint!DNS

Trojan:EC2/PhishingDomainRequest!DNS TTPS/comando y control/troyano: EC2-solicitud dedominio de phishing! DNS

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

TTPS/comando y control/Acceso no autorizado:EC2-MaliciousIPCaller.custom

UnauthorizedAccess:EC2/MetadataDNSRebind TTPS/UnauthorizedAccess:EC2-MetadataDNSRebind

UnauthorizedAccess:EC2/RDPBruteForce TTPS/acceso inicial/acceso no autorizado: EC2-RDP Brute Force

UnauthorizedAccess:EC2/SSHBruteForce TTPS/acceso inicial/acceso no autorizado: EC2-SSH Brute Force

UnauthorizedAccess:EC2/TorClient Efectos/Consumo de recursos/Acceso noautorizado: EC2-TORclient

UnauthorizedAccess:EC2/TorRelay Efectos/Consumo de recursos/Acceso noautorizado: EC2-Torrelay

UnauthorizedAccess:IAMUser/ConsoleLogin Comportamientos inusuarios/acceso no autorizado:IAM User-ConsoleLogin

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

TTPS/UnauthorizedAccess:IAMUser-ConsoleLoginSuccess.B

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

Efectos/Exfiltración de datos/Acceso NoAutorizado: IAM User-Instance Credential Filtration

UnauthorizedAccess:IAMUser/MaliciousIPCaller TTPS/acceso no autorizado: usuario de IAM -Llamador IP malicioso

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

TTPS/UnauthorizedAccess:IAMUser-MaliciousIPCaller.Custom

UnauthorizedAccess:IAMUser/TorIPCaller TTPS/comando y control/Acceso no autorizado:IAMUser-torIPCaller

UnauthorizedAccess:S3/MaliciousIPCaller.Custom TTPS/acceso no autorizado: S3 - Llamadora IPmaliciosa. Custom

Acceso no autorizado: llamador S3/TO IP TTPS/acceso no autorizado: llamador de S3 a IP

Hallazgo típico de GuardDutyGuardDuty envía los resultados a Security Hub medianteAWSFormato de los hallazgos de seguridad de(ASFF).

Aquí hay un ejemplo de un hallazgo típico de GuardDuty.

190




{ "SchemaVersion": "2018-10-08", "Id": "arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "ProductArn": "arn:aws::securityhub:us-east-1:product/aws/guardduty", "GeneratorId": "arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64", "AwsAccountId": "193043430472", "Types": [ "TTPs/Initial Access/UnauthorizedAccess:EC2-SSHBruteForce" ], "FirstObservedAt": "2020-08-22T09:15:57Z", "LastObservedAt": "2020-09-30T11:56:49Z", "CreatedAt": "2020-08-22T09:34:34.146Z", "UpdatedAt": "2020-09-30T12:14:00.206Z", "Severity": { "Product": 2, "Label": "MEDIUM", "Normalized": 40 }, "Title": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356.", "Description": "199.241.229.197 is performing SSH brute force attacks against i-0c10c2c7863d1a356. Brute force attacks are used to gain unauthorized access to your instance by guessing the SSH password.", "SourceUrl": "https://us-east-1.console.aws.amazon.com/guardduty/home?region=us-east-1#/findings?macros=current&fId=46ba0ac2845071e23ccdeb2ae03bfdea", "ProductFields": { "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/portName": "Unknown", "aws/guardduty/service/archived": "false", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asnOrg": "CENTURYLINK-US-LEGACY-QWEST", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lat": "42.5122", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/ipAddressV4": "199.241.229.197", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/geoLocation/lon": "-90.7384", "aws/guardduty/service/action/networkConnectionAction/blocked": "false", "aws/guardduty/service/action/networkConnectionAction/remotePortDetails/port": "46717", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/country/countryName": "United States", "aws/guardduty/service/serviceName": "guardduty", "aws/guardduty/service/evidence": "", "aws/guardduty/service/action/networkConnectionAction/localIpDetails/ipAddressV4": "172.31.43.6", "aws/guardduty/service/detectorId": "d4b040365221be2b54a6264dc9a4bc64", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/org": "CenturyLink", "aws/guardduty/service/action/networkConnectionAction/connectionDirection": "INBOUND", "aws/guardduty/service/eventFirstSeen": "2020-08-22T09:15:57Z", "aws/guardduty/service/eventLastSeen": "2020-09-30T11:56:49Z", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/portName": "SSH", "aws/guardduty/service/action/actionType": "NETWORK_CONNECTION", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/city/cityName": "Dubuque", "aws/guardduty/service/additionalInfo": "", "aws/guardduty/service/resourceRole": "TARGET", "aws/guardduty/service/action/networkConnectionAction/localPortDetails/port": "22", "aws/guardduty/service/action/networkConnectionAction/protocol": "TCP", "aws/guardduty/service/count": "74",

191

Amazon GuardDuty Amazon GuardDuty Guía del usuario deHabilitación y configuración de la integración

"aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/asn": "209", "aws/guardduty/service/action/networkConnectionAction/remoteIpDetails/organization/isp": "CenturyLink", "aws/securityhub/FindingId": "arn:aws::securityhub:us-east-1::product/aws/guardduty/arn:aws::guardduty:us-east-1:193043430472:detector/d4b040365221be2b54a6264dc9a4bc64/finding/46ba0ac2845071e23ccdeb2ae03bfdea", "aws/securityhub/ProductName": "GuardDuty", "aws/securityhub/CompanyName": "Amazon" }, "Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws::ec2:us-east-1:193043430472:instance/i-0c10c2c7863d1a356", "Partition": "aws", "Region": "us-east-1", "Tags": { "Name": "kubectl" }, "Details": { "AwsEc2Instance": { "Type": "t2.micro", "ImageId": "ami-02354e95b39ca8dec", "IpV4Addresses": [ "18.234.130.16", "172.31.43.6" ], "VpcId": "vpc-a0c2d7c7", "SubnetId": "subnet-4975b475", "LaunchedAt": "2020-08-03T23:21:57Z" } } } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ACTIVE"}

Habilitación y configuración de la integraciónPara utilizar la integración conAWS Security Hub, debe habilitar Security Hub. Para obtener informaciónacerca de cómo habilitar Security Hub, consulte la Configuración de Security Hub en la Guía del usuario deAWS Security Hub.

Cuando habilitas ambos GuardDuty y Security Hub, la integración se activa automáticamente. GuardDutycomienza a enviar inmediatamente los hallazgos a Security Hub.

Detener la publicación de hallazgos en Security HubPara dejar de enviar resultados a Security Hub, puede utilizar la consola de Security Hub o la API.

ConsulteDesactivación y habilitación del flujo de resultados desde una integración (consola)oDesactivacióndel flujo de resultados desde una integración (API de Security Hub,AWSCLI)en laAWS Security HubGuíadel usuario de.

192

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-console

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-disable-api

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integration-findings-flow-disable-api

Amazon GuardDuty Amazon GuardDuty Guía del usuario deIntegración Detective

Integración con Amazon DetectiveAmazon Detectivele ayuda a analizar e investigar rápidamente los eventos de seguridad en uno ovariosAWSmediante la generación de visualizaciones de datos que representan la forma en que losrecursos se comportan e interactúan a lo largo del tiempo. Detective crea visualizaciones de GuardDutyhallazgos.

Detective inserta detalles de búsqueda para todos los tipos de búsqueda y proporciona acceso a losperfiles de entidad para investigar las distintas entidades que participan en el hallazgo. Una entidad puedeser unAWSCuenta, unAWSrecurso dentro de una cuenta o una dirección IP externa que ha interactuadocon sus recursos. La GuardDuty la consola admite pivotar a Amazon Detective desde las siguientesentidades, según el tipo de búsqueda:AWScuenta, usuario de IAM, sesión de rol o rol de IAM, agente deusuario, usuario federado, instancia de Amazon EC2 o dirección IP.

Contenido• Habilitación de la integración (p. 193)• Pivotando a Amazon Detective desde un GuardDuty descubrimiento (p. 193)• Uso de la integración con un GuardDuty entorno de varias cuentas (p. 194)

Habilitación de la integraciónPara utilizar Amazon Detective con GuardDuty primero debe habilitar Amazon Detective. Para obtenerinformación acerca de cómo habilitar Detective, consulteConfiguración de Amazon Detectiveen laGuía deadministración de Amazon Detective.

Cuando habilitas ambos GuardDuty y Detective, la integración se activa automáticamente. Una vezhabilitado, Detective ingerirá inmediatamente su GuardDuty datos de hallazgos.

Note

GuardDuty envía los hallazgos a Detective basándose en el GuardDuty resultados de lafrecuencia de exportación de De forma predeterminada, la frecuencia de exportación para lasactualizaciones de los hallazgos existentes es de 6 horas. Para asegurarse de que Detectivereciba las actualizaciones más recientes de sus hallazgos, se recomienda cambiar la frecuenciade exportación a 15 minutos en cada región en la que utilice Detective con GuardDuty. Paraobtener más información, consulteEstablecimiento de la frecuencia para exportar las conclusionesactivas actualizadas (p. 122).

Pivotando a Amazon Detective desde un GuardDutydescubrimiento1. Inicie sesión en elhttps://console.aws.amazon.com/guardduty/consola de .2. Elija un único hallazgo de la tabla de hallazgos.3. ElegirInvestigar con Detectivedesde el panel de detalles de búsqueda.4. Elija un aspecto del hallazgo que desea investigar con Amazon Detective. Esto abre la consola

Detective para esa búsqueda o entidad.

Si el pivote no se comporta según lo esperado, consulteSolución de problemas del pivoteen laGuía delusuario de Amazon Detective.

Note

Si archivas un GuardDuty buscar en la consola Detective, ese hallazgo se archiva en elGuardDuty consola también.

193

https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html

https://docs.aws.amazon.com/detective/latest/adminguide/detective-setup.html


https://docs.aws.amazon.com/detective/latest/userguide/profile-pivot-from-service.html#profile-pivot-troubleshooting

Amazon GuardDuty Amazon GuardDuty Guía del usuario deUso de la integración con un

GuardDuty entorno de varias cuentas

Uso de la integración con un GuardDuty entorno devarias cuentasSi está administrando un entorno de varias cuentas en GuardDuty, debe agregar sus cuentas de miembroa Amazon Detective para ver las visualizaciones de datos de Detective para los hallazgos y entidades deesas cuentas.

Se recomienda utilizar el mismo GuardDuty Cuenta de administrador como cuenta de administrador deDetective. Para obtener más información acerca de cómo agregar cuentas de miembros en Detective,consulteInvitación a cuentas de miembros.

Note

Detective es un servicio regional, lo que significa que debe habilitar Detective y agregar suscuentas de miembro en cada región en la que desee utilizar la integración.

194

https://docs.aws.amazon.com/detective/latest/adminguide/graph-master-add-member-accounts.html


Suspender o detener GuardDutyPuede utilizar el GuardDuty consola para suspender o detener el GuardDuty servicioservicio No se tecobra por usar GuardDuty cuando se suspende el servicio.

• Todas las fuentes de datos opcionales deben disociarse de todos los detectores de todas las regionesantes de poder suspender o detener GuardDuty.

• Todas las cuentas miembro deben desvincularse o eliminarse antes de poder suspender o detenerGuardDuty.

• Si suspende GuardDuty, dejará de monitorizar la seguridad delAWSentorno o genera nuevos hallazgos.Los resultados existentes permanecerán intactos y no se verán afectados por el GuardDuty suspensión.Puede elegir volver a habilitar GuardDuty más tarde.

• Si detiene GuardDuty, los resultados existentes y el GuardDuty la configuración se pierde y no se puederecuperar. Si desea guardar los resultados, debe exportarlos antes de suspender GuardDuty.

Para suspender o detener GuardDuty

1. Abra el icono GuardDuty Consola dehttps://console.aws.amazon.com/guardduty/.2. En el panel de navegación, elijaConfiguración.3. Dentro delSuspender GuardDutysección, elijaSuspender GuardDutyoDeshabilitar GuardDutyy, a

continuación, confirma tu acción en el siguiente panel.

195



Suscripción a Amazon SNSGuardDuty anuncios

En esta sección se proporciona información sobre la suscripción a Amazon SNS (Simple NotificationService) para GuardDuty anuncios para recibir notificaciones sobre nuevos tipos de resultados publicados,actualizaciones para los tipos de resultados existentes u otros cambios en funcionalidades. Lasnotificaciones están disponibles en todos los formatos que admite Amazon SNS.

La GuardDuty SNS envía un anuncio sobre actualizaciones al GuardDuty servicio en todos losAWSacualquier cuenta suscrita. Para recibir notificaciones sobre los hallazgos de tu cuenta, consultaCreación derespuestas personalizadas aGuardDutyhallazgos con AmazonCloudWatchEventos (p. 123).

Note

Tu cuenta de usuario debe tenersns::subscribePermisos de IAM para suscribirse a un SNS.

Puede suscribir una cola de Amazon SQS a este tema de notificación, pero debe utilizar un ARN de temaque esté en la misma región. Para obtener más información, consulteTutorial: Suscripción de una colade Amazon SQS a un tema de Amazon SNSen laGuía para desarrolladores de Amazon Simple QueueService.

También puede utilizar unAWS Lambdapara activar eventos cuando se reciban notificaciones. Paraobtener más información, consulteInvocación de funciones Lambda mediante notificaciones de AmazonSNSen laGuía para desarrolladores de Amazon Simple Queue Service.

Los ARN de tema de Amazon SNS para cada región se muestran a continuación.

Región de AWS ARN de tema de Amazon SNS

us-east-1 arn:aws:sns:us-east-1:242987662583:GuardDutyAnnouncements

us-east-2 arn:aws:sns:us-east-2:118283430703:GuardDutyAnnouncements

us-west-1 arn:aws:sns:us-west-1:144182107116:GuardDutyAnnouncements

us-west-2 arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements

ca-central-1 arn:aws:sns:ca-central-1:107430051933:GuardDutyAnnouncements

eu-north-1 arn:aws:sns:eu-north-1:973841112453:GuardDutyAnnouncements

eu-west-1 arn:aws:sns:eu-west-1:965013871422:GuardDutyAnnouncements



196

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-subscribe-queue-sns-topic.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqs-subscribe-queue-sns-topic.html

https://docs.aws.amazon.com/sns/latest/dg/sns-lambda-as-subscriber.html

https://docs.aws.amazon.com/sns/latest/dg/sns-lambda-as-subscriber.html


Región de AWS ARN de tema de Amazon SNS

eu-central-1 arn:aws:sns:eu-central-1:378365507264:GuardDutyAnnouncements

ap-east-1 arn:aws:sns:ap-east-1:646602203151:GuardDutyAnnouncements

ap-northeast-1 arn:aws:sns:ap-northeast-1:741172661024:GuardDutyAnnouncements


ap-southeast-1 arn:aws:sns:ap-southeast-1:476419727788:GuardDutyAnnouncements

ap-southeast-2 arn:aws:sns:ap-southeast-2:457615622431:GuardDutyAnnouncements

ap-south-1 arn:aws:sns:ap-south-1:926826061926:GuardDutyAnnouncements

sa-east-1 arn:aws:sns:sa-east-1:955633302743:GuardDutyAnnouncements

us-gov-west-1 arn:aws-us-gov:sns:us-gov-west-1:430639793359:GuardDutyAnnouncements

cn-north-1 arn:aws-cn:sns:cn-north-1:002991280229:GuardDutyAnnouncements

cn-northwest-1 arn:aws-cn:sns:cn-northwest-1:003033775354:GuardDutyAnnouncements

me-south-1 arn:aws:sns:me-south-1:552740612889:GuardDutyAnnouncements

eu-south-1 arn:aws:sns:eu-south-1:188461706213:GuardDutyAnnouncements

us-gov-east-1 arn:aws:sns:us-gov-east-1:143972945659:GuardDutyAnnouncements


ap-southeast-3 arn:aws:sns:ap-sourtheast-3:225965583551:GuardDutyAnnouncements

Para suscribirse al GuardDuty Actualización de correo electrónico de notificación en laAWSManagement Console

1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.2. En la lista de regiones, elija la misma región que la del ARN del tema al que desea suscribirse. En este

ejemplo se utiliza la región us-west-2.3. En el panel de navegación izquierdo, elija Subscriptions (Suscripciones), Create subscription (Crear

suscripción).

197


Amazon GuardDuty Amazon GuardDuty Guía del usuario deFormato de los mensajes de Amazon SNS

4. En el cuadro de diálogo Create Subscription (Crear suscripción), en Topic ARN (ARN del tema), pegueel ARN del tema: arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements.

5. En Protocol (Protocolo), elija Email (Correo electrónico). En Endpoint (Punto de enlace), escriba unadirección de correo electrónico que pueda utilizar para recibir la notificación.

6. Elija Create subscription (Crear suscripción).7. En su aplicación de correo electrónico, abra el mensaje deAWSNotificaciones de y abra el enlace para

confirmar la suscripción.

El navegador web muestra una respuesta de confirmación de Amazon SNS.

Para suscribirse al GuardDuty Actualización de correo electrónico de notificación con laAWS CLI

1. Ejecute el siguiente comando con la AWS CLI:

aws sns --region us-west-2 subscribe --topic-arn arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements --protocol email --notification-endpoint your_email@your_domain.com

2. En su aplicación de correo electrónico, abra el mensaje deAWSNotificaciones de y abra el enlace paraconfirmar la suscripción.

El navegador web muestra una respuesta de confirmación de Amazon SNS.

Formato de los mensajes de Amazon SNSUn ejemplo GuardDuty A continuación, se muestra un mensaje de notificación de actualización de sobrelos nuevos resultados:

{ "Type" : "Notification", "MessageId" : "9101dc6b-726f-4df0-8646-ec2f94e674bc", "TopicArn" : "arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements", "Message" : "{\"version\":\"1\",\"type\":\"NEW_FINDINGS\",\"findingDetails\":[{\"link\":\"https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_unauthorized.html\",\"findingType\":\"UnauthorizedAccess:EC2/TorClient\",\"findingDescription\":\"This finding informs you that an EC2 instance in your AWS environment is making connections to a Tor Guard or an Authority node. Tor is software for enabling anonymous communication. Tor Guards and Authority nodes act as initial gateways into a Tor network. This traffic can indicate that this EC2 instance is acting as a client on a Tor network. A common use for a Tor client is to circumvent network monitoring and filter for access to unauthorized or illicit content. Tor clients can also generate nefarious Internet traffic, including attacking SSH servers. This activity can indicate that your EC2 instance is compromised.\"}]}", "Timestamp" : "2018-03-09T00:25:43.483Z", "SignatureVersion" : "1", "Signature" : "XWox8GDGLRiCgDOXlo/fG9Lu/88P8S0FL6M6oQYOmUFzkucuhoblsdea3BjqdCHcWR7qdhMPQnLpN7y9iBrWVUqdAGJrukAI8athvAS+4AQD/V/QjrhsEnlj+GaiW+ozAu006X6GopOzFGnCtPMROjCMrMonjz7Hpv/8KRuMZR3pyQYm5d4wWB7xBPYhUMuLoZ1V8YFs55FMtgQV/YLhSYuEu0BP1GMtLQauxDkscOtPP/vjhGQLFx1Q9LTadcQiRHtNIBxWL87PSI+BVvkin6AL7PhksvdQ7FAgHfXsit+6p8GyOvKCqaeBG7HZhR1AbpyVka7JSNRO/6ssyrlj1g==", "SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-433026a4050d206028891664da859041.pem", "UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements:9225ed2b-7228-4665-8a01-c8a5db6859f4"}

198


El valor Mensaje analizado (sin las comillas de escape) se muestra a continuación:

{ "version": "1", "type": "NEW_FINDINGS", "findingDetails": [{ "link": "https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_unauthorized.html", "findingType": "UnauthorizedAccess:EC2/TorClient", "findingDescription": "This finding informs you that an EC2 instance in your AWS environment is making connections to a Tor Guard or an Authority node. Tor is software for enabling anonymous communication. Tor Guards and Authority nodes act as initial gateways into a Tor network. This traffic can indicate that this EC2 instance is acting as a client on a Tor network. A common use for a Tor client is to circumvent network monitoring and filter for access to unauthorized or illicit content. Tor clients can also generate nefarious Internet traffic, including attacking SSH servers. This activity can indicate that your EC2 instance is compromised." }]}

Un ejemplo GuardDuty Mensaje de notificación de actualización de GuardDuty A continuación se muestranlas actualizaciones de funcionalidades:

{ "Type" : "Notification", "MessageId" : "9101dc6b-726f-4df0-8646-ec2f94e674bc", "TopicArn" : "arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements", "Message" : "{\"version\":\"1\",\"type\":\"NEW_FEATURES\",\"featureDetails\":[{\"featureDescription\":\"Customers with high-volumes of global CloudTrail events should see a net positive impact on their GuardDuty costs.\",\"featureLink\":\"https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_data-sources.html#guardduty_cloudtrail\"}]}", "Timestamp" : "2018-03-09T00:25:43.483Z", "SignatureVersion" : "1", "Signature" : "XWox8GDGLRiCgDOXlo/fG9Lu/88P8S0FL6M6oQYOmUFzkucuhoblsdea3BjqdCHcWR7qdhMPQnLpN7y9iBrWVUqdAGJrukAI8athvAS+4AQD/V/QjrhsEnlj+GaiW+ozAu006X6GopOzFGnCtPMROjCMrMonjz7Hpv/8KRuMZR3pyQYm5d4wWB7xBPYhUMuLoZ1V8YFs55FMtgQV/YLhSYuEu0BP1GMtLQauxDkscOtPP/vjhGQLFx1Q9LTadcQiRHtNIBxWL87PSI+BVvkin6AL7PhksvdQ7FAgHfXsit+6p8GyOvKCqaeBG7HZhR1AbpyVka7JSNRO/6ssyrlj1g==", "SigningCertURL" : "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-433026a4050d206028891664da859041.pem", "UnsubscribeURL" : "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements:9225ed2b-7228-4665-8a01-c8a5db6859f4"}


{ "version": "1", "type": "NEW_FEATURES", "featureDetails": [{ "featureDescription": "Customers with high-volumes of global CloudTrail events should see a net positive impact on their GuardDuty costs.", "featureLink": "https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_data-sources.html#guardduty_cloudtrail" }]}

Un ejemplo GuardDuty A continuación, se muestra un mensaje de notificación de actualización de sobrelos resultados actualizados:

199


{ "Type": "Notification", "MessageId": "9101dc6b-726f-4df0-8646-ec2f94e674bc", "TopicArn": "arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements", "Message": "{\"version\":\"1\",\"type\":\"UPDATED_FINDINGS\",\"findingDetails\":[{\"link\":\"https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_unauthorized.html\",\"findingType\":\"UnauthorizedAccess:EC2/TorClient\",\"description\":\"Increased severity value from 5 to 8.\"}]}", "Timestamp": "2018-03-09T00:25:43.483Z", "SignatureVersion": "1", "Signature": "XWox8GDGLRiCgDOXlo/fG9Lu/88P8S0FL6M6oQYOmUFzkucuhoblsdea3BjqdCHcWR7qdhMPQnLpN7y9iBrWVUqdAGJrukAI8athvAS+4AQD/V/QjrhsEnlj+GaiW+ozAu006X6GopOzFGnCtPMROjCMrMonjz7Hpv/8KRuMZR3pyQYm5d4wWB7xBPYhUMuLoZ1V8YFs55FMtgQV/YLhSYuEu0BP1GMtLQauxDkscOtPP/vjhGQLFx1Q9LTadcQiRHtNIBxWL87PSI+BVvkin6AL7PhksvdQ7FAgHfXsit+6p8GyOvKCqaeBG7HZhR1AbpyVka7JSNRO/6ssyrlj1g==", "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-433026a4050d206028891664da859041.pem", "UnsubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=Unsubscribe&SubscriptionArn=arn:aws:sns:us-west-2:934957504740:GuardDutyAnnouncements:9225ed2b-7228-4665-8a01-c8a5db6859f4"}


{ "version": "1", "type": "UPDATED_FINDINGS", "findingDetails": [{ "link": "https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_unauthorized.html", "findingType": "UnauthorizedAccess:EC2/TorClient", "description": "Increased severity value from 5 to 8." }]}

200


Cuotas de Amazon GuardDutyLa cuenta de AWS tiene cuotas predeterminadas para cada servicio de AWS (estas cuotas anteriormentese denominaban "límites"). A menos que se indique otra cosa, cada cuota es específica de la región.Puede solicitar el aumento de algunas cuotas, pero otras no se pueden aumentar.

Para consultar las cuotas de GuardDuty, abra elConsola de Service Quotas. En el panel de navegación,elijaAWSServicios dey seleccioneAmazon GuardDuty.

Para solicitar un aumento de cuota, consulte Solicitud de aumento de cuota en la Guía del usuario deService Quotas.

SusAWScuenta de incluye las siguientes cuotas para Amazon GuardDuty por región.

Recurso Valor predeterminado Comentarios

Detectores 1 Cantidad máxima derecursos del detectorque puede crearporAWScuenta porregión.

No puede solicitar unaumento de cuota.

Filtros 100 Cantidad máximade filtros guardadosporAWScuenta porregión.


Periodo de conservación de hallazgos 90 días El número máximo dedías que se guarda unhallazgo.


Direcciones IP y rangos de CIDR por lista de IP deconfianza

2,000 Número máximo dedirecciones IP y rangosde CIDR que se puedenincluir en una mismalista de IP de confianza.


Direcciones IP y rangos de CIDR por lista deamenazas

250.000 Número máximo dedirecciones IP y rangosde CIDR que se puedenincluir en una lista deamenazas.


201

https://console.aws.amazon.com/servicequotas/home

https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html


Recurso Valor predeterminado Comentarios

Tamaño máximo de archivo 35 MB Tamaño máximo delarchivo utilizado paracargar una lista dedirecciones IP o rangosde CIDR con el fin deincluirlos en una listade IP de confianza o enuna lista de amenazas.


Cuentas de miembros 5000 Cantidad máxima decuentas de miembrosasociadas a una cuentade administrador. Puedetener una cuenta deadministrador pordetector.

Conjuntos de información de amenazas 6 Cantidad máximade conjuntos deinformación deamenazas que puedeañadir porAWScuentapor región.

Conjuntos de IP de confianza 1 Cantidad máximade conjuntos de IPde confianza que sepueden cargar y activarenAWScuenta porregión.


202


Regiones y puntos de enlacePara ver las regiones en las que Amazon GuardDuty está disponible, consultePuntos de enlace deAmazon GuardDutyen laReferencia general de Amazon Web Services.

Recomendamos habilitar GuardDuty en todos los admitidosAWSRegiones. Esto permite a GuardDutygenerar resultados sobre la actividad no autorizada o inusual incluso en las regiones que no usa de formaactiva. Esto también permite que GuardDuty monitoreeAWS CloudTraileventos de globalAWSserviciostales comoAWS Identity and Access Management(IAM). Si GuardDuty no está habilitado en todas lasregiones admitidas, se reduce su capacidad de detectar la actividad de los servicios globales.

Si está utilizando GuardDuty enAWSGovCloud (US), existen diferencias. Para obtener más información,consulteAmazon GuardDutyen laAWS GovCloud (US)Guía del usuario de.

203



https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-guardduty.html


Historial de revisión de AmazonGuardDuty

update-history-change update-history-description update-history-date

Se ha añadido contenido deprotección de Kubernetes paraGuardDuty

GuardDuty ahora puede generarhallazgos para sus recursosde Amazon EKS mediante lasupervisión de los registrosde auditoría de Kubernetes.Para obtener informaciónacerca de cómo configurar estafunción, consulteProtecciónde Kubernetes en AmazonGuardDuty. Para obtener unalista de los hallazgos queGuardDuty puede generarpara los recursos de AmazonEKS, consulteConclusionesde Kubernetes. Se hanañadido nuevas directrices deremediación para apoyar lacorrección de estos hallazgosen elGuía de corrección debúsqueda de Kubernetes.

25 de enero de 2022

Se agregó 1 nuevo hallazgo Un nuevohallazgoUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWSSeha agregado. Esta búsquedale informa cuándo se accedea las credenciales de instanciamediante unAWScuenta fuera detuAWSentorno de.

20 de enero de 2022

Se han actualizado los tiposde búsqueda para ayudara identificar problemasrelacionados con log4j (p. 36)

Amazon GuardDuty haactualizado los siguientestipos de búsqueda paraayudar a identificar y priorizarlos problemas relacionadoscon CVE-2021-44228 yCVE-2021-45046: Puertatrasera: EC2/C&C Activity.B;Puerta trasera: EC2/C&CActivity.B! DNS; Behavior:EC2/NetworkPortUnusual.

22 de diciembre de 2021

Búsqueda de cambios UnauthorizedAccess:IAMUser/InstanceCredentialExfiltrationse ha cambiadoaUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS.

7 de septiembre de 2021

204

https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html



https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-kubernetes

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-kubernetes



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html


Esta versión mejorada dela búsqueda aprende lasubicaciones típicas de las quese utilizan sus credencialespara reducir los hallazgos deltráfico enrutado a través de redeslocales.UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

Actualización a GuardDuty SLR La SLR GuardDuty se haactualizado con nuevas accionespara mejorar la precisión de labúsqueda.

3 de agosto de 2021

Se ha añadido información deorigen de datos para cada tipo debúsqueda.

Las descripciones de búsquedaahora contienen informaciónsobre la fuente de datos queGuardDuty utiliza para generaresa búsqueda.

10 de mayo de 2021

Se retiraron 13 tipos dehallazgos.

Se han retirado 13 resultadospara sustituirlos por nuevoshallazgos de comportamientoanómalo. Persistence:IAMUser/NetworkPermissions,Persistence:IAMUser/ResourcePermissions,Persistence:IAMUser/UserPermissions,PrivilegeEscalation:IAMUser/AdministrativePermissions,Recon:IAMUser/NetworkPermissions,Recon:IAMUser/ResourcePermissions,Recon:IAMUser/UserPermissions,ResourceConsumption:IAMUser/ComputeResources,Stealth:IAMUser/LoggingConfigurationModified,Descubrimiento:Umeración S3/Buckete.,Impacto:S3/Object Delete.Inusual,Impacto: modificación S3/permisos. Inusual.

12 de marzo de 2021

Se han añadido 8 nuevostipos de hallazgos paracomportamientos anómalos.

Se han añadido 8 nuevostipos de búsqueda de IAMUserbasados en el comportamientoanómalo de los directores deIAM. Acceso a credenciales:usuario de IAM/comportamientoanómalo,Evasión de defensa:soy usuario/comportamientoanómalo,Descubrimiento:Comportamiento anómalo ousuario/de IAM,Exfiltración:Comportamiento anómaloo usuario/de IAM,Impacto:Comportamiento anómalo ousuario/de IAM,Acceso inicial:usuario de IAM o comportamientoanómalo,Persistence:IAMUser/AnormalBehavior:IAM,PrivilegeEscalation:IAMUser/Anomalous Behavior/Anor.

12 de marzo de 2021

205

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws

https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol.html

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html


https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#persistence-iam-networkpermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#persistence-iam-networkpermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#persistence-iam-resourcepermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#persistence-iam-resourcepermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#persistence-iam-userpermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#persistence-iam-userpermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#privilegeescalation-iam-administrativepermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#privilegeescalation-iam-administrativepermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#recon-iam-networkpermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#recon-iam-networkpermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#recon-iam-resourcepermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#recon-iam-resourcepermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#recon-iam-userpermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#recon-iam-userpermissions

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#resourceconsumption-iam-computeresources

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#resourceconsumption-iam-computeresources

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#stealth-iam-loggingconfigurationmodified

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#stealth-iam-loggingconfigurationmodified

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#discovery-s3-bucketenumerationunusual

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#discovery-s3-bucketenumerationunusual

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#impact-s3-objectdeleteunusual



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#impact-s3-permissionsmodificationunusual

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#impact-s3-permissionsmodificationunusual




https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#credentialaccess-iam-anomalousbehavior



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#defenseevasion-iam-anomalousbehavior



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#discovery-iam-anomalousbehavior



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#exfiltration-iam-anomalousbehavior



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#impact-iam-anomalousbehavior



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#initialaccess-iam-anomalousbehavior



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#persistence-iam-anomalousbehavior



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#privilegeescalation-iam-anomalousbehavior

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#privilegeescalation-iam-anomalousbehavior


Se han añadido los resultadosde EC2 basados en la reputacióndel dominio.

Se han añadido 4 nuevostipos de búsqueda de impactobasados en la reputacióndel dominio. Impacto:EC2/solicitud de dominioabusado. Reputación,Impacto:solicitud de dominio EC2/Bitcoin.reputación,Impacto:EC2/solicitud de dominiomalicio.reputación. También seha añadido un nuevo hallazgo deEC2 para C&cActivity. Impacto:EC2/Solicitud de dominiosospechoso. Reputación

27 de enero de 2021

Se han añadido 4 nuevos tiposde búsqueda.

Se han añadido 3 nuevoshallazgos de S3 MaliciousIPCaller. Descubrimiento:Llamador IP maliciosoS3/,Exfiltración: S3/Llamador IPmalicioso,Impacto: S3/LlamadorIP malicioso. También se haañadido un nuevo hallazgode EC2 para C&cActivity.Backdoor:EC2/C&CActivity.B


Se ha retirado eltipo de resultadoUnauthorizedAccess:EC2/TorIPCaller.

El tipo de resultadoUnauthorizedAccess:EC2/TorIPCaller ya se ha retirado deGuardDuty. Más información.

1 de octubre de 2020

Se ha añadido el tipo deresultado Impact:EC2/WinRMBruteForce.

Se ha añadido un nuevoresultado Impact, Impact:EC2/WinRMbruteForce. Másinformación.


Se ha añadido el tipo deresultado Impact:EC2/PortSweep.

Se ha añadido un nuevoresultado Impact, Impact:EC2/PortSweep. Más información.


GuardDuty ahora está disponibleen las regiones de África (Ciudaddel Cabo) y Europa (Milán).

Se ha añadido África (Ciudaddel Cabo) y Europa (Milán) a lalista deAWSRegiones en las queGuardDuty está disponible. Másinformación

31 de julio de 2020

Se han añadido nuevos detallesde uso para supervisar los costesde GuardDuty.

Ahora puedes usar nuevasmétricas para consultar losdatos de costes de uso deGuardDuty de tu cuenta ycuentas que administras. Unanueva descripción general de loscostes de uso está disponibleen la consola enhttps://console.aws.amazon.com/guardduty/. Se puede accedera información más detallada através de la API.

31 de julio de 2020

206

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-acive.html



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-abuseddomainrequestreputation



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#Impact:EC2/BitcoinDomainRequest.Reputation



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-bitcoindomainrequestreputation



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-suspiciousdomainrequestreputation





https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#discovery-s3-maliciousipcaller



https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-maliciousipcaller

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-maliciousipcaller

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#impact-s3-maliciousipcaller

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#impact-s3-maliciousipcaller

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-ccactivityb

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#unauthorizedaccess-ec2-toripcaller





https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-winrmbruteforce





https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-portsweep




https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_regions.html





https://docs.aws.amazon.com/guardduty/latest/ug/monitoring_costs.html







Contenido añadido que cubrela protección de S3 mediante lasupervisión de eventos de datosde S3 en GuardDuty.

GuardDuty S3 Protection yaestá disponible mediante lasupervisión de eventos de planosde datos de S3 como nuevafuente de datos. Las cuentasnuevas tendrán esta funciónhabilitada automáticamente. Si yaestá utilizando GuardDuty, puedehabilitar la nueva fuente de datospara usted o para sus cuentas demiembro.

31 de julio de 2020

Se han añadido 14 nuevoshallazgos de S3.

Se han agregado 14 nuevostipos de búsqueda de S3 para losorígenes de plano de control yplano de datos de S3.

31 de julio de 2020

Se añadió soporte adicionalpara las búsquedas de S3 y secambiaron 2 nombres de tipos debúsqueda existentes.

Los resultados de GuardDutyahora incluyen más detalles paralas búsquedas relacionadascon buckets de S3. Se hacambiado el nombre de lostipos de búsqueda existentesrelacionados con la actividadde S3: Policy:IAMUser/S3BlockPublicAccessDisabledse ha cambiado a Policy:S3/BucketBlockPublicAccessDisabled.Stealth:IAMUser/S3ServerAccessLoggingDisabledse ha cambiado a Stealth:S3/ServerAccessLoggingDisabled.

28 de mayo de 2020

Se ha añadidocontenido paraAWSOrganizationsIntegración de.

GuardDuty ahorase integra conAWSOrganizationsadministradoresdelegados de, lo que permiteadministrar cuentas deGuardDuty en la organización.Si establece un administradordelegado como cuenta deadministrador de GuardDuty de,puede habilitar automáticamenteGuardDuty para que cualquierorganización miembro puedaadministrarse desde la cuenta deadministrador delegada. Tambiénpuede habilitar GuardDutyautomáticamente en nuevoAWSOrganizationscuentas miembrode. Más información.

20 de abril de 2020

Se ha añadido contenido parala función de resultados deexportación.

Se ha añadido contenido paradescribir laResultados de laexportaciónCaracterística deGuardDuty.

14 de noviembre de 2019

207

https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html




https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html#guardduty_working-with-findings




https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html




https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html




Se ha añadido eltipo de resultadoUnauthorizedAccess:EC2/MetadataDNSRebind.

Se ha añadido un nuevoresultado Unauthorized,UnauthorizedAccess:EC2/MetadataDNSRebind. Másinformación.


Se ha añadido el tipo deresultado Stealth:IAMUser/S3ServerAccessLoggingDisabled.

Se ha añadido unnuevo resultado Stealth,Stealth:IAMUser/S3ServerAccessLoggingDisabled.Más información.


Se ha añadido el tipo deresultado Policy:IAMUser/S3BlockPublicAccessDisabled

Se ha añadido un nuevoresultado Policy, Policy:IAMUser/S3BlockPublicAccessDisabled.Más información.


Se ha retirado el tipo deresultado Backdoor:EC2/XORDDOS.

El tipo de resultadoBackdoor:EC2/XORDDOS ya seha retirado de GuardDuty.Másinformación

12 de junio de 2019

Se ha añadido el tipo deresultado PrivilegeEscalation.

El tipo de resultadoPrivilegeEscalation detectacuando los usuarios intentaasignar privilegios escalados ymás permisivos a sus cuentas.Más información

14 de mayo de 2019

GuardDuty ya está disponible enla región Europa (Estocolmo).

Se ha añadido Europa(Estocolmo) a la listadeAWSRegiones en las queGuardDuty está disponible. Másinformación

9 de mayo de 2019

Se ha añadido un nuevo tipode resultado, Recon:EC2/PortProbeEMRUnprotectedPort.

Este resultado le informa de queun puerto sensible relacionadocon ERM en una instancia EC2no está bloqueado y se estásondeando activamente. Másinformación

8 de mayo de 2019

Se han añadido cinco tipos deresultado nuevos que detectansi las instancias EC2 se estánutilizado posiblemente para llevara cabo ataques de denegaciónde servicio (DoS).

Estos resultados le informan delas instancias EC2 de su entornocuyo comportamiento puedeindicar que se están utilizandopara llevar a cabo ataques dedenegación de servicio (DoS).Más información

8 de marzo de 2019

Se ha añadido un nuevo tipode resultado: Policy:IAMUser/RootCredentialUsage

El tipo de resultadoPolicy:IAMUser/RootCredentialUsage le informade que las credenciales raíz desuAWSse están utilizando pararealizar solicitudes programáticasaAWSServicios de . Másinformación

24 de enero de 2019

208

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_unauthorized.html#ec2-metadatadnsrebind






https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_stealth.html#stealth4




https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_policy.html#policy2




https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-retired.html#backdoor2





https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_privilegeescalation.html







https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_recon.html#PortProbeEMRUnprotectedPort





https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_backdoor.html













El tipo de resultadoUnauthorizedAccess:IAMUser/UnusualASNCaller se haretirado.

El tipo de resultadoUnauthorizedAccess:IAMUser/UnusualASNCaller se ha retirado.Ahora, se utilizaran otros tipos deresultados de GuardDuty activospara informarle de cualquieractividad que se invoque desderedes poco habituales. El tipo deresultado generado dependeráde la categoría de la API que seinvocó desde una red inusual.Más información


Se han añadido dos nuevos tiposde búsqueda: PenTest:IAMUser/ParrotLinux y PenTest:IAMUser/PentooLinux

El tipo de resultadoPenTest:IAMUser/ParrotLinuxle informa de que un equipoque ejecuta Parrot SecurityLinux está realizando llamadasa la API utilizando unascredenciales que pertenecena suAWSaccount. El tipo deresultado PenTest:IAMUser/PentooLinux le informa deque una máquina que ejecutaPentoo Linux está realizandollamadas a la API utilizando unascredenciales que pertenecen asuAWSaccount. Más información


Se ha agregado compatibilidadcon el tema SNS de anuncios deAmazon GuardDuty

Ahora se puede suscribiral tema SNS de anunciosde GuardDuty para recibirnotificaciones sobre nuevostipos de resultados publicados,actualizaciones para los tiposde resultados existentes u otroscambios en funcionalidades. Lasnotificaciones están disponiblesen todos los formatos que admiteAmazon SNS. Más información


Se han añadido dosnuevos tipos de búsqueda:UnauthorizedAccess:EC2/TorClient yUnauthorizedAccess:EC2/TorRelay

El tipo de resultadoUnauthorizedAccess:EC2/TorClient le informa de queuna instancia EC2 delAWSestáestableciendo conexionescon un guardia Tor o un nodoAuthority. El tipo de resultadoUnauthorizedAccess:EC2/TorRelay le informa de queuna instancia EC2 delAWSestáestableciendo conexiones conuna red Tor de una forma quesugiere que actúa como unrepetidor Tor. Más información


209






https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_pentest.html





https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_sns.html




https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_unauthorized.html








Se ha añadido un nuevo tipo deresultado: CryptoCurrency:EC2/BitcoinTool.B

Este resultado le informa de queuna instancia EC2 delAWSestáconsultando un nombre dedominio asociado con Bitcoinu otra actividad relacionadacon una criptomoneda. Másinformación


Se ha agregado compatibilidadcon la actualización de lafrecuencia de las notificacionesenviadas a eventos deCloudWatch

Ahora puede actualizar lafrecuencia de las notificacionesenviadas a CloudWatch Eventsde las apariciones posterioresde resultados ya obtenidos. Losvalores posibles son 15 minutos,una hora o seis horas, que esel valor predeterminado. Másinformación


Se añadió compatibilidad conregiones

Compatibilidad con regionesadicionales paraAWSGovCloud(EE. UU. Oeste)Más información

25 de julio de 2018

Se ha agregadocompatibilidad paraAWSCloudFormationStackSets enGuardDuty

Puede utilizar la plantillaEnable Amazon GuardDuty(Habilitar Amazon GuardDuty)para habilitar este serviciosimultáneamente en variascuentas. Más información

25 de junio de 2018

Compatibilidad adicional para lasreglas de archivado automáticode GuardDuty

Los clientes ya pueden crearreglas de archivado automáticodetalladas para la supresiónde resultados. GuardDutymarca automáticamente comoarchivados los resultados quecoincidan con una regla dearchivado automático. Estopermite a los clientes configurarGuardDuty para que conserveúnicamente los resultados de latabla de resultados actual. Másinformación

4 de mayo de 2018

GuardDuty está disponible en laregión Europa (París)

GuardDuty ahora está disponibleen Europa (París), lo que lepermite ampliar el servicio demonitorización de seguridad ydetección de amenazas continuoen esta región. Más información

29 de marzo de 2018

Creación de cuentas deadministrador y miembro deGuardDuty medianteAWSCloudFormationahora escompatible.

Para obtener másinformación, consulteAWS::GuardDuty::master yAWS::GuardDuty::member.

6 de marzo de 2018

210

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_crypto.html





https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html










https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html





https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html#guardduty_filter-findings








https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-guardduty-master.html






https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-guardduty-member.html

Amazon GuardDuty Amazon GuardDuty Guía del usuario deActualizaciones anteriores

Se han añadido nueve nuevasdetecciones de anomalíasbasadas en CloudTrail.

Estos nuevos tipos de resultadosse habilitan automáticamente enGuardDuty en todas las regionesadmitidas. Más información

28 de febrero de 2018

Se han añadido nuevasdetecciones de inteligencia deamenazas (tipos de resultados).

Estos nuevos tipos de resultadosse habilitan automáticamente enGuardDuty en todas las regionesadmitidas. Más información

5 de febrero de 2018

Incremento del límite de cuentasmiembro de GuardDuty.

En esta versión, puede añadirhasta 1000 cuentas miembrode GuardDuty porAWScuenta(cuenta de administrador deGuardDuty). Más información

25 de enero de 2018

Cambios en la carga yadministración de listas de IP deconfianza y listas de amenazasen las cuentas miembro de yadministrador de GuardDuty.

Con esta versión, los usuariosde las cuentas de GuardDutydel administrador pueden cargary administrar listas de IP deconfianza y listas de amenazas.Los usuarios de cuentasmiembro de GuardDuty NOPUEDEN cargar ni administrarlistas. En la funcionalidad deGuardDuty, las listas de IPde confianza y las listas deamenazas que carga la cuentade administrador se imponena sus cuentas miembro. Másinformación

25 de enero de 2018

En la siguiente tabla se describen los cambios importantes en cada versión delGuardDutyGuía del usuariode .

Actualizaciones anterioresCambio Descripción Fecha

Publicación inicial Publicación inicial de la Guía delusuario de Amazon GuardDuty.


211

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types.html











https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html








Las traducciones son generadas a través de traducción automática. En caso de conflicto entre latraducción y la version original de inglés, prevalecerá la version en inglés.

ccxii

amazon guardduty - guía del usuario de amazonguardduty

Documents