セキュリティ

Amazon GuardDuty

Servicio gestionado de detección de amenazas que monitorea y detecta continuamente amenazas en cuentas AWS y cargas de trabajo utilizando machine learning e inteligencia de amenazas

Unos 3 min de lectura

Descripción general

Amazon GuardDuty es un servicio de detección de amenazas que monitorea continuamente la actividad maliciosa y el comportamiento no autorizado en el entorno AWS. Analiza múltiples fuentes de datos como CloudTrail logs, VPC Flow Logs y DNS logs, utilizando machine learning, detección de anomalías e inteligencia de amenazas integrada para identificar actividades sospechosas.

Clasificación de tipos de detección y lectura de severidad

GuardDuty clasifica las detecciones en tipos que indican la naturaleza de la amenaza: Recon (reconocimiento), UnauthorizedAccess (acceso no autorizado), Trojan, CryptoCurrency (minería), Exfiltration (exfiltración de datos), entre otros. Cada hallazgo tiene una severidad (Low, Medium, High) que indica la urgencia de respuesta. Los hallazgos High requieren investigación inmediata (ej: credenciales comprometidas, comunicación con servidores C&C). Los Medium indican actividad sospechosa que merece revisión. Los Low son informativos y pueden indicar intentos de reconocimiento. La combinación de tipo y severidad guía la priorización de la respuesta.

Remediación automática con integración EventBridge

GuardDuty publica cada hallazgo como evento en EventBridge, permitiendo construir respuestas automatizadas. Patrones comunes incluyen: revocar automáticamente credenciales IAM comprometidas, aislar instancias EC2 sospechosas modificando su security group, bloquear IPs maliciosas en WAF, y notificar al equipo de seguridad vía SNS. Lambda funciona como el motor de remediación, ejecutando la lógica de respuesta apropiada según el tipo y severidad del hallazgo. Step Functions orquesta flujos de respuesta complejos que requieren múltiples pasos y aprobaciones humanas.

Entorno multi-cuenta y funciones de protección adicional

En entornos Organizations, GuardDuty se habilita centralmente desde la cuenta de administrador delegado, cubriendo automáticamente todas las cuentas miembro. Los hallazgos de todas las cuentas se agregan en la cuenta de seguridad para visibilidad centralizada. Las funciones de protección adicional incluyen: S3 Protection (monitoreo de acceso a datos en S3), EKS Audit Log Monitoring (detección de amenazas en clústeres Kubernetes), Malware Protection (escaneo de volúmenes EBS), y RDS Login Activity (detección de intentos de acceso anómalos a bases de datos). Cada protección adicional se habilita independientemente según las necesidades.

共有するXB!

Términos relacionados

AWS IAMAWS WAFAWS KMSAmazon Cognito

Servicios relacionados

AWS IAMAWS CloudTrailAmazon EventBridge

Artículos relacionados

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.El mecanismo de sincronización horaria interna de AWS - Amazon Time Sync Service y el diseño de smearing de segundos intercalaresExplicamos el mecanismo de Amazon Time Sync Service operado de forma independiente por AWS, la fuente de tiempo de alta precisión con GPS y relojes atómicos, la decisión de diseño de absorber los segundos intercalares mediante smearing y la importancia de la sincronización horaria en sistemas distribuidos.Integración de datos SaaS con Amazon AppFlow - Integración con Salesforce, Slack y Google AnalyticsSincroniza datos de Salesforce y Slack a S3 y Redshift sin código. Presenta triggers basados en eventos, enmascaramiento de PII y transferencia segura mediante PrivateLink.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.

Términos y artículos similares

Amazon GuardDutyUn servicio de detección de amenazas impulsado por aprendizaje automáticoDetección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentesAprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.Evaluación de vulnerabilidades y detección de amenazas - Monitoreo continuo de seguridad con Amazon Inspector y GuardDutyExplicamos el diseño y operación de la evaluación de vulnerabilidades y detección de amenazas utilizando Amazon Inspector y Amazon GuardDuty.Protección de privacidad de datos - Detección automática de datos confidenciales y defensa contra amenazas con Amazon Macie y GuardDutyDetección automática de datos confidenciales en S3 con Amazon Macie e inteligencia de amenazas con Amazon GuardDuty para protección integral de privacidad de datos. Desde identificación de información personal hasta detección de amenazas en tiempo real.El poder de integración de los servicios de seguridad de AWS - Detección nativa de amenazas sin SIEM, de GuardDuty a DetectiveExplicamos el mecanismo de detección nativa de amenazas mediante la integración de GuardDuty, Security Hub, Detective y Macie, comparando la diferencia de filosofía de diseño con Azure Sentinel.