Seguridad

Detección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentes

Aprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.

約 8 分で読めます

Descripcion general de GuardDuty

GuardDuty es un servicio que detecta continuamente amenazas a tus cuentas y cargas de trabajo de AWS, identificando mas de 200 patrones de amenazas. Analiza automaticamente eventos de CloudTrail, VPC Flow Logs y consultas DNS para detectar llamadas API no autorizadas, mineria de criptomonedas, comunicacion con servidores C&C, ataques de fuerza bruta y mas. La habilitacion es con un solo clic sin cambios en la configuracion de logs existente. GuardDuty adquiere los datos de log de forma independiente, por lo que los usuarios no necesitan tener VPC Flow Logs o CloudTrail habilitados manualmente. El motor de deteccion combina dos enfoques: feeds de inteligencia de amenazas gestionados por AWS (direcciones IP maliciosas conocidas y listas de dominios) y modelos ML de linea base de comportamiento especificos de la cuenta.

Hallazgos y respuesta

Los hallazgos se clasifican en tipos como Recon (reconocimiento), UnauthorizedAccess, CryptoCurrency (mineria) y Trojan. Los hallazgos de alta severidad requieren accion inmediata. Puedes usar reglas de EventBridge para activar funciones Lambda que revoquen automaticamente credenciales IAM comprometidas o aislen instancias EC2. La integracion con Security Hub consolida los hallazgos de GuardDuty con resultados de otros servicios de seguridad para gestion centralizada de la postura de seguridad. Una arquitectura practica de remediacion automatizada implica: GuardDuty genera un hallazgo de alta severidad UnauthorizedAccess:IAMUser -> EventBridge -> Lambda deshabilita todas las claves de acceso del usuario IAM afectado y fuerza el restablecimiento de MFA ->SNS notifica al equipo de operaciones.

Planes de proteccion e integracion con Organizations

Ademas de la deteccion basica de amenazas, GuardDuty ofrece planes de proteccion incluyendo S3 Protection (analisis de eventos de datos de S3), EKS Protection (analisis de logs de auditoria de Kubernetes), Malware Protection (escaneo de malware en EC2 y ECS), RDS Protection (analisis de actividad de inicio de sesion de RDS), Lambda Protection (analisis de actividad de red de Lambda) y Runtime Monitoring (deteccion de amenazas en tiempo de ejecucion para EC2/ECS/EKS). La integracion con Organizations permite gestionar centralmente GuardDuty en todas las cuentas y configurar la habilitacion automatica para cuentas nuevas. Los hallazgos se agregan automaticamente en Security Hub. Runtime Monitoring despliega un agente de GuardDuty en hosts o contenedores para monitorear acceso a archivos, ejecucion de procesos y conexiones de red a nivel de kernel. Esto captura amenazas en tiempo de ejecucion como inyeccion de procesos y reverse shells que la deteccion a nivel de red sola no detectaria. Para un estudio sistematico de GuardDuty, consulta libros relacionados en Amazon.

Optimizacion de costos de GuardDuty

Los precios base de GuardDuty se basan en el volumen de eventos de gestion de CloudTrail y VPC Flow Logs analizados. Los eventos de CloudTrail cuestan aproximadamente $4 por millon de eventos, y los VPC Flow Logs cuestan aproximadamente $1 por GB. Los planes de proteccion se facturan por separado; S3 Protection cuesta aproximadamente $0,80 por millon de eventos de datos de S3. Usa la prueba gratuita de 30 dias para evaluar costos reales antes de habilitarlo. Malware Protection se cobra por volumen de datos escaneados, asi que limita los objetivos de escaneo a cargas criticas. Si los costos son mayores de lo esperado, revisa la pagina Usage en la consola de GuardDuty para ver el desglose por fuente de datos, deshabilita planes de proteccion innecesarios, o revisa patrones de acceso de buckets S3 con alta frecuencia de eventos.

Ajuste de precision de deteccion y gestion de falsos positivos

Inmediatamente despues de habilitar GuardDuty, los falsos positivos son comunes, por lo que se necesita un ajuste adecuado para la estabilidad operativa. Registrar las IPs globales corporativas y las IPs de salida VPN en Trusted IP Lists suprime automaticamente los hallazgos generados desde estas direcciones. Similarmente, puedes agregar inteligencia de amenazas personalizada a Threat IP Lists para mejorar la precision de deteccion. Los hallazgos repetitivos para recursos especificos se pueden ocultar usando Suppression Rules, pero reglas demasiado amplias arriesgan perder amenazas reales, asi que las condiciones deben ser lo mas estrechas posible (ID de cuenta especifica + ARN de recurso especifico + tipo de hallazgo especifico). Integrar hallazgos con Amazon Detective permite que GuardDuty muestre "que paso" mientras Detective visualiza "por que y como" a traves del historial de comportamiento de direcciones IP y lineas de tiempo de llamadas API, mejorando significativamente la eficiencia de investigacion.

Diferenciacion de roles con otros servicios de seguridad

Los servicios de seguridad de AWS difieren en objetivos de deteccion y propositos, haciendo que un enfoque de defensa en profundidad combinando multiples servicios alrededor de GuardDuty sea efectivo. El proposito principal de GuardDuty es la deteccion continua de anomalias en el comportamiento de cuentas y comunicaciones de red. Para investigacion post-incidente usa Amazon Detective, para escaneo de vulnerabilidades usa Amazon Inspector, y para misconfiguracion de politicas IAM usa IAM Access Analyzer. Security Hub sirve como hub central agregando hallazgos de todos estos servicios y proporciona verificaciones de cumplimiento basadas en estandares como AWS Foundational Security Best Practices. Un enfoque por fases de habilitar GuardDuty primero y luego agregar Detective o Inspector segun surjan hallazgos es racional desde la perspectiva de gestion de costos. En entornos multi-cuenta, el AWS Well-Architected Security Pillar recomienda designar una cuenta de seguridad como administrador delegado y agregar hallazgos de GuardDuty de todas las cuentas miembro en esta cuenta.

Resumen

GuardDuty es un servicio que detecta automaticamente amenazas en tu entorno AWS usando ML e inteligencia de amenazas. Sus planes de proteccion para S3, EKS, Lambda, RDS y Runtime Monitoring proporcionan deteccion de amenazas multicapa, mientras que la integracion con Organizations permite gestion centralizada de seguridad. La construccion de acciones de remediacion automatizada a traves de la integracion con EventBridge automatiza las operaciones de seguridad. Controlar falsos positivos con Trusted IP Lists y Suppression Rules, y mejorar la eficiencia de investigacion mediante la integracion con Detective, son claves para operaciones estables en produccion.

Servicios relacionados

Amazon GuardDutyUn servicio de detección de amenazas impulsado por aprendizaje automáticoAWS Security HubGestione centralmente la postura de seguridad de AWS y verifique automáticamente el cumplimiento de mejores prácticasAmazon DetectiveUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raíz

Artículos relacionados

Investigación de incidentes de seguridad con Amazon Detective - Identificación de causas raíz mediante análisis de grafosExplicamos la investigación de hallazgos de GuardDuty con Detective, perfiles de entidades y el uso de grafos de comportamiento.Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Escaneo automatizado de vulnerabilidades con Amazon Inspector - Evaluación continua de seguridad para EC2, Lambda y ECREscanea automáticamente instancias EC2, imágenes de contenedores ECR y funciones Lambda en busca de vulnerabilidades y priorízalas con puntuaciones de riesgo basadas en CVE. Aprende a lograr escaneo sin agente mediante integración con Systems Manager.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

Amazon GuardDutyServicio gestionado de detección de amenazas que monitorea y detecta continuamente amenazas en cuentas AWS y cargas de trabajo utilizando machine learning e inteligencia de amenazasInvestigación de incidentes de seguridad con Amazon Detective - Identificación de causas raíz mediante análisis de grafosExplicamos la investigación de hallazgos de GuardDuty con Detective, perfiles de entidades y el uso de grafos de comportamiento.Evaluación de vulnerabilidades y detección de amenazas - Monitoreo continuo de seguridad con Amazon Inspector y GuardDutyExplicamos el diseño y operación de la evaluación de vulnerabilidades y detección de amenazas utilizando Amazon Inspector y Amazon GuardDuty.Amazon DetectiveServicio que recopila y analiza automáticamente VPC Flow Logs, CloudTrail y hallazgos de GuardDuty para agilizar la investigación de la causa raíz de incidentes de seguridad