Agregación de resultados de GuardDuty - Amazon GuardDuty

Agregación de resultados de GuardDuty

GuardDuty actualiza los resultados generados de forma dinámica. Si GuardDuty detecta nueva actividad relacionada con el mismo problema de seguridad, en lugar de crear un resultado nuevo, actualizará el resultado original con los detalles más recientes. Este comportamiento le permite identificar problemas en curso sin necesidad de revisar varios informes similares y reduce el volumen general de los resultados de seguridad que ya conoce.

Por ejemplo, para un resultado UnauthorizedAccess:EC2/SSHBruteForce, se agregarán varios intentos de acceso contra la instancia al mismo ID de resultado, lo que aumentará el número de recuento en los detalles del resultado. Esto se debe a que ese resultado representa un único problema de seguridad con la instancia que indica que el puerto SSH de la instancia no está protegido adecuadamente contra este tipo de actividad. Sin embargo, si GuardDuty detecta actividad de acceso SSH dirigida a una nueva instancia en su entorno, creará un nuevo resultado con un ID de resultado único para alertarle sobre el hecho de que hay un problema de seguridad asociado con el nuevo recurso.

Cuando se agrega un resultado, se actualiza con la información del último caso de esa actividad. Esto significa que, en el ejemplo anterior, si su instancia es el objetivo de un intento de fuerza bruta de un nuevo actor, los detalles del resultado se actualizarán para reflejar la IP remota del origen más reciente y se sustituirá la información más antigua. La información completa sobre los intentos de actividad individuales seguirá estando disponible en los registros de CloudTrail o de flujo de la VPC.

Los criterios que alertan a GuardDuty para que genere un nuevo resultado en lugar de agregar uno existente dependen del tipo de resultado. Nuestros ingenieros de seguridad determinan los criterios de agregación para cada tipo de resultado para proporcionarle la mejor información general de los distintos problemas de seguridad dentro de su cuenta.

Cuando GuardDuty genere un tipo de resultados de secuencia de ataque en su cuenta, el resultado solo se agregará cuando GuardDuty identifique las señales similares en la misma secuencia en su cuenta. De lo contrario, GuardDuty generará otra secuencia de ataque.