Ejemplos de escenarios de amenazas de secuencia de ataque Cómo funciona la detección extendida de amenazas Habilitar planes de protección para maximizar la detección de amenazas Detección de amenazas ampliada en la GuardDuty consola Comprender y gestionar los hallazgos de la secuencia de ataques Recursos adicionales

GuardDuty Detección de amenazas extendida

GuardDuty La detección extendida de amenazas detecta automáticamente los ataques en varias etapas que abarcan fuentes de datos, varios tipos de AWS recursos y tiempo, en un Cuenta de AWS instante. Con esta capacidad, GuardDuty se centra en la secuencia de varios eventos que observa mediante la supervisión de diferentes tipos de fuentes de datos. La detección extendida de amenazas correlaciona estos eventos para identificar los escenarios que se presentan como una amenaza potencial para su AWS entorno y, a continuación, genera una búsqueda de la secuencia de ataque.

Temas

Ejemplos de escenarios de amenazas de secuencia de ataque
Funcionamiento
Habilitar planes de protección para maximizar la detección de amenazas
Detección de amenazas ampliada en la GuardDuty consola
Comprender y gestionar los hallazgos de la secuencia de ataques
Recursos adicionales

Ejemplos de escenarios de amenazas de secuencia de ataque

La detección extendida de amenazas cubre los escenarios de amenazas que implican compromisos relacionados con el uso indebido de AWS credenciales, intentos de comprometer datos en buckets de Amazon S3 y comprometer recursos de contenedores y Kubernetes en clústeres de Amazon EKS. Un único hallazgo puede abarcar una secuencia de ataque completa. Por ejemplo, en la siguiente lista se describen los escenarios que GuardDuty podrían detectarse:

Ejemplo 1: AWS las credenciales y los datos del bucket de Amazon S3 están comprometidos

Un actor de amenazas que obtiene acceso no autorizado a una carga de trabajo informática.
Luego, el actor realiza una serie de acciones, como aumentar los privilegios y establecer la persistencia.
Por último, el actor que extrae datos de un recurso de Amazon S3.

Ejemplo 2: Compromiso con el clúster de Amazon EKS

Un actor de amenazas intenta explotar una aplicación contenedora dentro de un clúster de Amazon EKS.
El actor usa ese contenedor comprometido para obtener tokens de cuentas de servicio privilegiadas.
Luego, el actor aprovecha estos privilegios elevados para acceder a secretos o AWS recursos confidenciales de Kubernetes a través de las identidades de los módulos.

Debido a la naturaleza de los escenarios de amenaza asociados, los GuardDuty considera todos como críticos. Tipos de búsqueda de secuencias de ataque

En el siguiente vídeo se muestra cómo utilizar la detección extendida de amenazas.

Funcionamiento

Cuando habilitas Amazon GuardDuty en tu cuenta en una cuenta específica Región de AWS, la detección extendida de amenazas también está habilitada de forma predeterminada. El uso de la Detección Ampliada de Amenazas no conlleva ningún coste adicional. De forma predeterminada, correlaciona los eventos en todos Orígenes de datos fundamentales ellos. Sin embargo, si habilita más planes de GuardDuty protección, como S3 Protection, EKS Protection y Runtime Monitoring, se abrirán nuevos tipos de detecciones de secuencias de ataques al ampliar la gama de fuentes de eventos. Esto podría ayudar a realizar un análisis de amenazas más exhaustivo y a detectar mejor las secuencias de ataque. Para obtener más información, consulte Habilitar planes de protección para maximizar la detección de amenazas.

GuardDuty correlaciona varios eventos, incluidas las actividades y los GuardDuty hallazgos de la API. Estos eventos se denominan señales. A veces, es posible que se produzcan eventos en su entorno que, por sí solos, no se presenten como una amenaza potencial clara. GuardDuty los califica de señales débiles. Con la detección ampliada de amenazas, GuardDuty identifica cuándo una secuencia de varias acciones se corresponde con una actividad potencialmente sospechosa y genera una secuencia de ataque detectada en tu cuenta. Estas múltiples acciones pueden incluir señales débiles y GuardDuty hallazgos ya identificados en tu cuenta.

nota

Al correlacionar los eventos con las secuencias de ataque, la Detección Ampliada de Amenazas no tiene en cuenta las conclusiones archivadas, incluidas las que se archivan automáticamente debido a ello. Reglas de supresión Este comportamiento garantiza que solo las señales activas y relevantes contribuyan a la detección de la secuencia de ataque. Para asegurarte de que esto no te afecte, consulta las normas de supresión vigentes en tu cuenta. Para obtener más información, consulte Uso de reglas de supresión con detección de amenazas ampliada.

GuardDuty también está diseñado para identificar posibles comportamientos de ataque recientes o en curso (en un plazo de 24 horas) en tu cuenta. Por ejemplo, un ataque podría iniciarse cuando un actor accediera involuntariamente a una carga de trabajo informática. Luego, el actor realizaría una serie de pasos, como la enumeración, el aumento de privilegios y la exfiltración de credenciales. AWS Estas credenciales podrían utilizarse para comprometer aún más los datos o acceder de forma malintencionada a ellos.

Para cualquier GuardDuty cuenta de una región, la función de detección ampliada de amenazas se activa automáticamente. De forma predeterminada, esta capacidad tiene en cuenta los múltiples eventos de todas ellasOrígenes de datos fundamentales. Para aprovechar esta capacidad, no es necesario activar todos los planes de GuardDuty protección centrados en los casos de uso. Por ejemplo, con la detección de amenazas básica, GuardDuty puede identificar una secuencia de ataque potencial a partir de la actividad de descubrimiento de privilegios de IAM en Amazon S3 APIs y detectar alteraciones posteriores en el plano de control de S3, como los cambios que hacen que la política de recursos de bucket sea más permisiva.

La detección ampliada de amenazas se ha diseñado de forma que, si se habilitan más planes de protección, se puedan GuardDuty correlacionar señales más diversas en distintas fuentes de datos. Esto podría aumentar la amplitud de las señales de seguridad para un análisis exhaustivo de las amenazas y la cobertura de las secuencias de ataques. Para identificar los hallazgos que podrían ser una de las múltiples etapas de una secuencia de ataque, GuardDuty recomienda habilitar planes de protección específicos: S3 Protection, EKS Protection y Runtime Monitoring (con el complemento EKS).

Temas

Detección de secuencias de ataque en clústeres de Amazon EKS
Detección de secuencias de ataques en buckets de Amazon S3

Detección de secuencias de ataque en clústeres de Amazon EKS

GuardDuty correlacionó varias señales de seguridad en los registros de auditoría de EKS, el comportamiento de los procesos en tiempo de ejecución y la actividad de las AWS API para detectar patrones de ataque sofisticados. Para beneficiarse de la detección ampliada de amenazas para EKS, debe habilitar al menos una de estas funciones: la protección de EKS o la supervisión del tiempo de ejecución (con el complemento EKS). EKS Protection supervisa las actividades del plano de control mediante registros de auditoría, mientras que Runtime Monitoring observa los comportamientos dentro de los contenedores.

Para obtener la máxima cobertura y una detección integral de amenazas, GuardDuty recomienda habilitar ambos planes de protección. Juntos, crean una vista completa de sus clústeres de EKS, lo que GuardDuty permite detectar patrones de ataque complejos. Por ejemplo, puede identificar un despliegue anómalo de un contenedor privilegiado (detectado con EKS Protection), seguido de intentos de persistencia, minería de criptomonedas y creación de shell inversos dentro de ese contenedor (detectados con Runtime Monitoring). GuardDuty representa estos eventos relacionados como un único hallazgo de gravedad crítica, denominado. AttackSequence:EKS/CompromisedCluster Al activar ambos planes de protección, la búsqueda de la secuencia de ataque cubre los siguientes escenarios de amenaza:

Compromiso de los contenedores que ejecutan aplicaciones web vulnerables
Acceso no autorizado mediante credenciales mal configuradas
Intentos de escalar los privilegios
Solicitudes de API sospechosas
Intenta acceder a los datos de forma malintencionada

La siguiente lista proporciona detalles sobre cuándo se activan estos planes de protección dedicados de forma individual:

Protección de EKS: La activación de EKS Protection permite GuardDuty detectar secuencias de ataques que involucran actividades en el plano de control del clúster de Amazon EKS. Esto permite correlacionar GuardDuty los registros de auditoría de EKS y la actividad de la AWS API. Por ejemplo, GuardDuty puede detectar una secuencia de ataque en la que un actor intenta acceder sin autorización a los secretos del clúster, modifica los permisos del control de acceso basado en roles (RBAC) de Kubernetes y crea grupos privilegiados. Para obtener más información sobre cómo habilitar este plan de protección, consulte. Protección de EKS
Supervisión del tiempo de ejecución de Amazon EKS: La activación de Runtime Monitoring para los clústeres de Amazon EKS permite GuardDuty mejorar la detección de secuencias de ataques de EKS con visibilidad a nivel de contenedor. Esto ayuda a GuardDuty detectar posibles procesos maliciosos, comportamientos sospechosos en tiempo de ejecución y posibles ejecuciones de malware. Por ejemplo, GuardDuty puede detectar una secuencia de ataque en la que un contenedor comienza a mostrar un comportamiento sospechoso, como procesos de minería criptográfica o establecimiento de conexiones con puntos finales maliciosos conocidos. Para obtener más información sobre cómo habilitar este plan de protección, consulte. Supervisión en tiempo de ejecución

Si no habilita la protección EKS o la supervisión del tiempo de ejecución, no GuardDuty podrá generar una Tipos de resultados de la protección de EKS o individualTipos de resultados de la supervisión en tiempo de ejecución. Por lo tanto, no GuardDuty podrá detectar secuencias de ataques en varias etapas que impliquen hallazgos asociados.

Detección de secuencias de ataques en buckets de Amazon S3

Al habilitar S3 Protection GuardDuty , podrá detectar secuencias de ataques que impliquen intentos de comprometer datos en sus buckets de Amazon S3. Sin S3 Protection, GuardDuty puede detectar cuándo su política de recursos de bucket de S3 se vuelve demasiado permisiva. Al activar S3 Protection, GuardDuty obtiene la capacidad de detectar posibles actividades de exfiltración de datos que puedan producirse después de que su depósito de S3 se vuelva demasiado permisivo.

Si S3 Protection no está habilitada, no GuardDuty podrá generar datos individuales. Tipos de resultados de la protección de S3 Por lo tanto, no GuardDuty podrá detectar secuencias de ataques en varias etapas que impliquen hallazgos asociados. Para obtener más información sobre cómo habilitar este plan de protección, consulteProtección de S3.

Detección de amenazas ampliada en la GuardDuty consola

De forma predeterminada, la página de detección extendida de amenazas de la GuardDuty consola muestra el estado activado. Con la detección de amenazas básica, el estado representa que GuardDuty puede detectar una posible secuencia de ataque que implique una actividad de descubrimiento de privilegios de IAM en Amazon S3 APIs y detectar alteraciones posteriores en el plano de control de S3.

Siga los siguientes pasos para acceder a la página de detección ampliada de amenazas de la consola: GuardDuty

Puede abrir la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
En el panel de navegación izquierdo, seleccione Detección de amenazas extendida.

Esta página proporciona detalles sobre los escenarios de amenazas que cubre la detección extendida de amenazas.
En la página de detección ampliada de amenazas, consulte la sección Planes de protección relacionados. Si desea habilitar planes de protección dedicados para mejorar la cobertura de detección de amenazas en su cuenta, seleccione la opción Configurar para ese plan de protección.

Comprender y gestionar los hallazgos de la secuencia de ataques

Los hallazgos de la secuencia de ataque son iguales a GuardDuty los demás hallazgos de su cuenta. Puede verlos en la página de resultados de la GuardDuty consola. Para obtener información sobre la visualización de los resultados, consultePágina de hallazgos en la GuardDuty consola.

Al igual que otros GuardDuty hallazgos, los hallazgos de la secuencia de ataque también se envían automáticamente a Amazon EventBridge. Según su configuración, los resultados de la secuencia de ataques también se exportan a un destino de publicación (bucket de Amazon S3). Para establecer un nuevo destino de publicación o actualizar uno existente, consulteExportar los resultados generados a Amazon S3.

Recursos adicionales

Consulte las siguientes secciones para comprender mejor las secuencias de ataque:

Tras obtener información sobre la detección extendida de amenazas y las secuencias de ataque, puede generar ejemplos de tipos de búsqueda de secuencias de ataque siguiendo los pasos que se indican enHallazgos de ejemplo.
Información sobre Tipos de búsqueda de secuencias de ataque.
Revise los hallazgos y explore los detalles de los hallazgos asociados conDetalles de búsqueda de la secuencia de ataque.
Priorice y aborde los tipos de búsqueda de secuencias de ataques siguiendo los pasos correspondientes a los recursos afectados asociados enCorrección de resultados.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Orígenes de datos fundamentales

Protección de EKS