Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# GuardDuty tipos de búsqueda de secuencias de ataques
<a name="guardduty-attack-sequence-finding-types"></a>

GuardDuty detecta una secuencia de ataque cuando una secuencia específica de múltiples acciones se alinea con una actividad potencialmente sospechosa. Una secuencia de ataque incluye **señales como las** actividades y los GuardDuty hallazgos de la API. Cuando GuardDuty observa un grupo de señales en una secuencia específica que indican una amenaza a la seguridad en curso, en curso o reciente, GuardDuty genera una detección de la secuencia de ataque. GuardDuty considera que las actividades individuales de la API se deben [weak signals](guardduty_concepts.md#guardduty-weak-signals-attack-sequence) a que no representan una amenaza potencial.

Las detecciones de secuencias de ataques se centran en la posibilidad de comprometer los datos de Amazon S3 (que pueden formar parte de un ataque de ransomware más amplio), AWS las credenciales comprometidas, los clústeres de Amazon EKS comprometidos, los clústeres de Amazon ECS comprometidos y los grupos de instancias de Amazon EC2 comprometidos. En las siguientes secciones, se proporciona información sobre cada una de las secuencias de ataque. 

**Topics**
+ [AttackSequence:EKS/CompromisedCluster](#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:ECS/CompromisedCluster](#attack-sequence-ecs-compromised-cluster)
+ [AttackSequence:EC2/CompromisedInstanceGroup](#attack-sequence-ec2-compromised-instance-group)
+ [AttackSequence:IAM/CompromisedCredentials](#attack-sequence-iam-compromised-credentials)
+ [AttackSequence:S3/CompromisedData](#attack-sequence-s3-compromised-data)

## AttackSequence:EKS/CompromisedCluster
<a name="attack-sequence-eks-compromised-cluster"></a>

### Secuencia de acciones sospechosas realizadas por un clúster Amazon EKS potencialmente comprometido.
<a name="attack-sequence-eks-compromised-cluster-description"></a>
+ Gravedad predeterminada: crítica
+ Orígenes de datos:
  + [Eventos de registro de auditoría de EKS](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html#guardduty_k8s-audit-logs)
  + [Runtime Monitoring de Amazon EKS](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-eks.html)
  + [Detección de malware de Amazon EKS para Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
  + [AWS CloudTrail eventos de datos para S3](s3-protection.md#guardduty_s3dataplane)
  + [AWS CloudTrail eventos de gestión](guardduty_data-sources.md#guardduty_controlplane)
  + [Logs de flujo de VPC](guardduty_data-sources.md#guardduty_vpc)
  + [Registros de consultas de DNS de Route53 Resolver](guardduty_data-sources.md#guardduty_dns)

Este hallazgo le informa de que GuardDuty ha detectado una secuencia de acciones sospechosas que indican un clúster de Amazon EKS potencialmente comprometido en su entorno. Se observaron varios comportamientos de ataque sospechosos y anómalos, como procesos maliciosos o conexiones con puntos de conexión maliciosos, en el mismo clúster de Amazon EKS.

GuardDuty utiliza sus algoritmos de correlación patentados para observar e identificar la secuencia de acciones realizadas mediante la credencial de IAM. GuardDuty evalúa los resultados de los planes de protección y otras fuentes de señales para identificar patrones de ataque comunes y emergentes. GuardDuty utiliza varios factores para detectar las amenazas, como la reputación de la IP, las secuencias de API, la configuración de los usuarios y los recursos potencialmente afectados.

**Medidas correctivas**: si este comportamiento es inesperado en su entorno, es posible que su clúster de Amazon EKS esté en peligro. Para obtener una guía completa de correcciones, consulte [Corregir los resultados de EKS Protection](guardduty-remediate-kubernetes.md) y [Corregir los resultados de la Supervisión en tiempo de ejecución](guardduty-remediate-runtime-monitoring.md)

Además, dado que es posible que AWS las credenciales se hayan visto comprometidas a través del clúster de EKS, consulte[Corregir las credenciales potencialmente comprometidas AWS](compromised-creds.md). Para ver los pasos a seguir para corregir otros recursos que podrían haberse visto afectados, consulte [Corregir los hallazgos de GuardDuty seguridad detectados](guardduty_remediate.md).

## AttackSequence:ECS/CompromisedCluster
<a name="attack-sequence-ecs-compromised-cluster"></a>

### Secuencia de acciones sospechosas realizadas por un clúster de Amazon ECS potencialmente comprometido.
<a name="attack-sequence-ecs-compromised-cluster-description"></a>
+ Gravedad predeterminada: crítica
+ Orígenes de datos:
  + [Supervisión del tiempo de ejecución para Amazon ECS Fargate](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ecs-fargate.html)
  + [Supervisión del tiempo de ejecución de instancias EC2 en Amazon ECS](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
  + [ GuardDuty Protección contra malware para Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)

Este hallazgo le informa de que GuardDuty ha detectado una secuencia de señales sospechosas que indican un clúster de Amazon ECS potencialmente comprometido en su entorno. Estas señales pueden incluir procesos maliciosos, comunicaciones con puntos de conexión maliciosos o comportamientos relacionados con la minería de criptomonedas.

GuardDuty utiliza algoritmos de correlación patentados y varios factores de detección para identificar secuencias de acciones sospechosas dentro de los clústeres de Amazon ECS. Mediante el análisis de los planes de protección y diversas fuentes de señales, GuardDuty identifica los patrones de ataque comunes y emergentes, lo que permite detectar con gran fiabilidad los posibles riesgos.

**Medidas correctivas**: si este comportamiento es inesperado en su entorno, su clúster de Amazon ECS podría estar en peligro. Para obtener recomendaciones de contención de amenazas, consulte. [Corregir un clúster de ECS potencialmente comprometido](compromised-ecs.md) Tenga en cuenta que el compromiso puede extenderse a una o más tareas de ECS o cargas de trabajo de contenedores, que podrían haberse utilizado para crear o modificar AWS recursos. Para obtener una guía completa de remediación que abarque los recursos potencialmente afectados, consulte. [Corregir los hallazgos de GuardDuty seguridad detectados](guardduty_remediate.md)

## AttackSequence:EC2/CompromisedInstanceGroup
<a name="attack-sequence-ec2-compromised-instance-group"></a>

### Secuencia de acciones sospechosas que indican instancias de Amazon EC2 potencialmente comprometidas.
<a name="attack-sequence-ec2-compromised-instance-group-description"></a>
+ Gravedad predeterminada: crítica
+ Orígenes de datos:
  + [Supervisión del tiempo de ejecución para Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
  + [Detección de malware para Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
  + [Logs de flujo de VPC](guardduty_data-sources.md#guardduty_vpc)
  + [Registros de consultas de DNS de Route53 Resolver](guardduty_data-sources.md#guardduty_dns)

Este hallazgo indica que GuardDuty se detectó una secuencia de acciones sospechosas que sugieren un posible riesgo en un grupo de instancias de Amazon EC2 de su entorno. Los grupos de instancias suelen representar aplicaciones administradas mediante infraestructura como código y que comparten configuraciones similares, como Auto-scaling grupo, rol de perfil de instancia de IAM, pila, plantilla de lanzamiento de AWS CloudFormation Amazon EC2, AMI o ID de VPC. GuardDuty observó varios comportamientos sospechosos en una o más instancias, entre los que se incluyen los siguientes:
+ Procesos maliciosos
+ Archivos maliciosos
+ Conexiones de red sospechosas
+ Actividades mineras de criptomonedas
+ Uso sospechoso de las credenciales de instancia de Amazon EC2

**Método de detección**: GuardDuty emplea algoritmos de correlación patentados para identificar secuencias de acciones sospechosas en las instancias de Amazon EC2. Al evaluar los resultados de los planes de protección y diversas fuentes de señales, GuardDuty identifica los patrones de ataque utilizando varios factores, como la reputación de la IP y el dominio y los procesos en ejecución sospechosos.

**Medidas correctivas**: si este comportamiento es inesperado en su entorno, sus instancias de Amazon EC2 podrían verse comprometidas. El compromiso podría implicar:
+ Múltiples procesos
+ Credenciales de instancia que pueden haberse utilizado para modificar instancias de Amazon EC2 u otros recursos AWS 

Para obtener recomendaciones de contención de amenazas, consulte. [Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida](compromised-ec2.md) Tenga en cuenta que el compromiso puede extenderse a una o más instancias de Amazon EC2 e implicar procesos o credenciales de instancia comprometidos que podrían haberse utilizado para crear o modificar instancias de Amazon EC2 u otros recursos. AWS Para obtener una guía completa de remediación que abarque los recursos potencialmente afectados, consulte. [Corregir los hallazgos de GuardDuty seguridad detectados](guardduty_remediate.md)

## AttackSequence:IAM/CompromisedCredentials
<a name="attack-sequence-iam-compromised-credentials"></a>

### Secuencia de solicitudes de API que se invocaron mediante AWS credenciales potencialmente comprometidas.
<a name="attack-sequence-iam-compromised-credentials-description"></a>
+ Gravedad predeterminada: crítica
+ Origen de datos: [AWS CloudTrail eventos de gestión](guardduty_data-sources.md#guardduty_controlplane)

Este hallazgo le informa de que GuardDuty ha detectado una secuencia de acciones sospechosas realizadas mediante el uso de AWS credenciales que afectan a uno o más recursos de su entorno. Se observaron varios comportamientos de ataque sospechosos y anómalos con las mismas credenciales, lo que aumentó la confianza en que se estaba haciendo un uso indebido de las credenciales.

GuardDuty utiliza sus algoritmos de correlación patentados para observar e identificar la secuencia de acciones realizadas mediante la credencial de IAM. GuardDuty evalúa los resultados de los planes de protección y otras fuentes de señales para identificar patrones de ataque comunes y emergentes. GuardDuty utiliza varios factores para detectar las amenazas, como la reputación de la IP, las secuencias de API, la configuración de los usuarios y los recursos potencialmente afectados.

**Medidas correctivas**: si este comportamiento es inesperado en su entorno, es posible que sus AWS credenciales se hayan visto comprometidas. Para obtener información sobre los pasos necesarios para solucionarlo, consulte [Corregir las credenciales potencialmente comprometidas AWS](compromised-creds.md). Es posible que las credenciales comprometidas se hayan utilizado para crear o modificar recursos adicionales en su entorno, como buckets de Amazon S3, funciones de AWS Lambda o instancias Amazon EC2. Para ver los pasos a seguir para corregir otros recursos que podrían haberse visto afectados, consulte [Corregir los hallazgos de GuardDuty seguridad detectados](guardduty_remediate.md).

## AttackSequence:S3/CompromisedData
<a name="attack-sequence-s3-compromised-data"></a>

### Se invocó una secuencia de solicitudes de API en un posible intento de filtrar o destruir datos en Amazon S3.
<a name="attack-sequence-s3-compromised-data-description"></a>
+ Gravedad predeterminada: crítica
+ Orígenes de datos: [AWS CloudTrail eventos de datos para S3](s3-protection.md#guardduty_s3dataplane) y [AWS CloudTrail eventos de gestión](guardduty_data-sources.md#guardduty_controlplane)

Este hallazgo le informa de que GuardDuty detectó una secuencia de acciones sospechosas indicativas de que los datos estaban en peligro en uno o más buckets de Amazon Simple Storage Service (Amazon S3), mediante el uso de credenciales potencialmente comprometidas. AWS Se observaron varios comportamientos de ataque sospechosos y anómalos (solicitudes de API), lo que aumentó la confianza en el uso indebido de las credenciales.

GuardDuty utiliza sus algoritmos de correlación para observar e identificar la secuencia de acciones realizadas mediante la credencial de IAM. GuardDuty a continuación, evalúa los resultados de los planes de protección y otras fuentes de señales para identificar patrones de ataque comunes y emergentes. GuardDuty utiliza varios factores para detectar las amenazas, como la reputación de la IP, las secuencias de API, la configuración de los usuarios y los recursos potencialmente afectados.

**Medidas correctivas**: si esta actividad es inesperada en su entorno, es posible que sus AWS credenciales o los datos de Amazon S3 se hayan filtrado o destruido. Para ver los pasos a seguir para solucionarlo, consulte [Corregir las credenciales potencialmente comprometidas AWS](compromised-creds.md) y [Corregir un bucket de S3 potencialmente comprometido](compromised-s3.md).