Ejemplos de escenarios de amenazas en la secuencia de ataque Cómo funciona la Detección Extendida de Amenazas Habilitar planes de protección para maximizar la detección de amenazas Detección extendida de amenazas en la consola de GuardDuty Descripción y administración de resultados de secuencias de ataques Recursos adicionales

Detección Extendida de Amenazas de GuardDuty

La Detección Extendida de Amenazas GuardDuty detecta automáticamente los ataques en varias etapas que abarcan fuentes de datos, varios tipos de recursos de AWS y tiempo, en una Cuenta de AWS. Con esta capacidad, GuardDuty se centra en la secuencia de varios eventos que observa mediante la supervisión de diferentes tipos de orígenes de datos. La Detección Extendida de Amenazas correlaciona estos eventos para identificar los escenarios que se presentan como una amenaza potencial para su entorno de AWS y, a continuación, genera resultados de la secuencia de ataque.

Temas

Ejemplos de escenarios de amenazas en la secuencia de ataque
Funcionamiento
Habilitar planes de protección para maximizar la detección de amenazas
Detección extendida de amenazas en la consola de GuardDuty
Descripción y administración de resultados de secuencias de ataques
Recursos adicionales

Ejemplos de escenarios de amenazas en la secuencia de ataque

La Detección Extendida de Amenazas cubre los escenarios de amenazas que implican compromisos relacionados con el uso indebido de credenciales de AWS, intentos de comprometer datos en buckets de Amazon S3 y comprometer recursos de contenedores y Kubernetes en clústeres de Amazon EKS. Un único resultado puede abarcar una secuencia de ataque completa. Por ejemplo, en la siguiente lista se describen los escenarios que GuardDuty puede detectar:

Ejemplo 1: las credenciales de AWS y los datos del bucket de Amazon S3 están comprometidos

Un actor de amenazas que obtiene acceso no autorizado a una carga de trabajo informática.
Luego, el actor realiza una serie de acciones, como aumentar los privilegios y establecer la persistencia.
Por último, el actor que extrae datos de un recurso de Amazon S3.

Ejemplo 2: Compromiso con el clúster de Amazon EKS

Un actor de amenazas intenta explotar una aplicación contenedora dentro de un clúster de Amazon EKS.
El actor usa ese contenedor comprometido para obtener tokens de cuentas de servicio privilegiadas.
Luego, el actor aprovecha estos privilegios elevados para acceder a secretos de Kubernetes o recursos de AWS confidenciales a través de las identidades de los pods.

Debido a la naturaleza de los escenarios de amenaza asociados, GuardDuty considera todos los Tipos de resultados de secuencias de ataque como Críticos.

En el siguiente vídeo se muestra cómo utilizar la Detección Extendida de Amenazas.

Funcionamiento

Cuando se habilita Amazon GuardDuty en su cuenta en una Región de AWS específica, la Detección Extendida de Amenazas también está habilitada de forma predeterminada. El uso de Detección Extendida de Amenazas no conlleva ningún costo adicional. De forma predeterminada, correlaciona los eventos en todos los Orígenes de datos fundamentales. Sin embargo, si se habilitan más planes de protección de GuardDuty, como S3 Protection, EKS Protection y Runtime Monitoring, se abrirán tipos adicionales de detecciones de secuencias de ataques al ampliar la gama de fuentes de eventos. Esto podría ayudar a realizar un análisis de amenazas más exhaustivo y a detectar mejor las secuencias de ataque. Para obtener más información, consulte Habilitar planes de protección para maximizar la detección de amenazas.

GuardDuty correlaciona varios eventos, incluidas las actividades de la API y los resultados de GuardDuty. Estos eventos se denominan señales. A veces, es posible que se produzcan eventos en su entorno que, por sí solos, no se presenten como una amenaza potencial clara. GuardDuty las denomina señales débiles. Con la Detección Extendida de Amenazas, GuardDuty identifica cuándo una secuencia de varias acciones se alinea con una actividad potencialmente sospechosa y genera un resultado de secuencia de ataque en su cuenta. Estas múltiples acciones pueden incluir señales débiles y resultados de GuardDuty ya identificados en su cuenta.

nota

Al correlacionar los eventos con las secuencias de ataque, la Detección Extendida de Amenazas no tiene en cuenta las conclusiones archivadas, incluidas las que se archivan automáticamente debido a Reglas de supresión. Este comportamiento garantiza que solo las señales activas y relevantes contribuyan a la detección de la secuencia de ataque. Para asegurarse de que esto no lo afecte, consulte las normas de supresión vigentes en su cuenta. Para obtener más información, consulte Uso de reglas de supresión con Detección Extendida de Amenazas.

GuardDuty también está diseñado para identificar posibles comportamientos de ataque recientes o en curso (dentro de un período de 24 horas) en su cuenta. Por ejemplo, un ataque podría comenzar cuando un actor accede involuntariamente a una carga de trabajo de cómputo. Luego, el actor realizaría una serie de pasos, como la enumeración, el aumento de privilegios y la exfiltración de credenciales de AWS. Estas credenciales podrían utilizarse para comprometer aún más los datos o acceder de forma malintencionada a ellos.

Para cualquier cuenta de GuardDuty de una región, la función de Detección Extendida de Amenazas se activa automáticamente. De forma predeterminada, esta capacidad tiene en cuenta los múltiples eventos de todas las Orígenes de datos fundamentales. Para beneficiarse de esta capacidad, no es necesario activar todos los planes de protección GuardDuty centrados en los casos de uso. Por ejemplo, con la detección de amenazas básica, GuardDuty puede identificar una posible secuencia de ataque a partir de la actividad de descubrimiento de privilegios de IAM en las API de Amazon S3 y detectar las alteraciones posteriores en el plano de control de S3, como los cambios que hacen que la política de recursos de bucket sea más permisiva.

La Detección Extendida de Amenazas está diseñada de tal manera que, si habilita más planes de protección, ayuda a GuardDuty a correlacionar señales más diversas en múltiples orígenes de datos. Esto podría aumentar la amplitud de las señales de seguridad para un análisis exhaustivo de las amenazas y la cobertura de las secuencias de ataque. Para identificar los resultados que podrían ser una de las múltiples etapas de una secuencia de ataque, GuardDuty recomienda habilitar planes de protección específicos: S3 Protection, EKS Protection y Runtime Monitoring (con el complemento EKS).

Temas

Detección de secuencias de ataque en clústeres de Amazon EKS
Detección de secuencias de ataques en los buckets de Amazon S3

Detección de secuencias de ataque en clústeres de Amazon EKS

GuardDuty correlacionó varias señales de seguridad en los registros de auditoría de EKS, el comportamiento de los procesos en tiempo de ejecución y la actividad de la API de AWS para detectar patrones de ataque sofisticados. Para beneficiarse de la Detección Extendida de Amenazas para EKS, debe habilitar al menos una de estas funciones: EKS Protection o el monitoreo del tiempo de ejecución (con el complemento EKS). EKS Protection supervisa las actividades del plano de control mediante registros de auditoría, mientras que Runtime Monitoring observa los comportamientos dentro de los contenedores.

Para obtener la máxima cobertura y una detección integral de amenazas, GuardDuty recomienda habilitar ambos planes de protección. En conjunto, crean una vista completa de sus clústeres de EKS, lo que permite a GuardDuty detectar patrones de ataque complejos. Por ejemplo, puede identificar una implementación anómala de un contenedor privilegiado (detectado con EKS Protection), seguido de intentos de persistencia, minería de criptomonedas y creación de intérpretes de comandos inversos dentro de ese contenedor (detectados con Runtime Monitoring). GuardDuty representa estos eventos relacionados como un único resultado de gravedad crítica, denominado AttackSequence:EKS/CompromisedCluster. Al activar ambos planes de protección, los resultados de la secuencia de ataque abarca los siguientes escenarios de amenaza:

Compromiso de los contenedores que ejecutan aplicaciones web vulnerables
Acceso no autorizado mediante credenciales mal configuradas
Intentos de escalar los privilegios
Solicitudes de la API sospechosas
Intentos para acceder a los datos de forma malintencionada

La siguiente lista proporciona detalles sobre cuándo se activan estos planes de protección dedicados de forma individual:

EKS Protection: Al habilitar EKS Protection, GuardDuty puede detectar secuencias de ataques que involucren actividades en el plano de control del clúster de Amazon EKS. Esto permite a GuardDuty correlacionar los registros de auditoría de EKS y la actividad de la API de AWS. Por ejemplo, GuardDuty puede detectar una secuencia de ataque en la que un actor intenta acceder sin autorización a los secretos de un clúster, modifica los permisos del control de acceso basado en roles (RBAC) de Kubernetes y crea grupos privilegiados. Para obtener información sobre cómo habilitar este plan de protección, consulte EKS Protection.
Runtime Monitoring de Amazon EKS: Al habilitar Runtime Monitoring para los clústeres de Amazon EKS, GuardDuty puede mejorar la detección de secuencias de ataques de EKS con visibilidad a nivel de contenedor. Esto ayuda a GuardDuty a detectar posibles procesos maliciosos, comportamientos sospechosos en tiempo de ejecución y posibles ejecuciones de malware. Por ejemplo, GuardDuty puede detectar una secuencia de ataque en la que un contenedor comienza a mostrar un comportamiento sospechoso, como procesos de minería de criptomonedas o establecer conexiones con puntos de conexión maliciosos conocidos. Para obtener información sobre cómo habilitar este plan de protección, consulte Supervisión en tiempo de ejecución.

Si no se habilita la protección fr EKS o Runtime Monitoring, GuardDuty no podrá generar Tipos de resultados de la protección de EKS individual ni Tipos de resultados de la supervisión en tiempo de ejecución. Por lo tanto, GuardDuty no podrá detectar secuencias de ataque en varias etapas que impliquen resultados asociados.

Detección de secuencias de ataques en los buckets de Amazon S3

Al habilitar la S3 Protection, GuardDuty puede detectar secuencias de ataques que implican intentos de comprometer datos en sus buckets de Amazon S3. Sin la S3 Protection, GuardDuty puede detectar cuándo su política de recursos de bucket de S3 se vuelve demasiado permisiva. Al habilitar la S3 Protection, GuardDuty adquiere la capacidad de detectar posibles actividades de exfiltración de datos que pueden producirse después de que su bucket de S3 se vuelva demasiado permisivo.

Si la S3 Protection no está habilitada, GuardDuty no podrá generar Tipos de resultados de la S3 Protection individuales. Por lo tanto, GuardDuty no podrá detectar secuencias de ataque en varias etapas que impliquen resultados asociados. Para obtener información sobre cómo habilitar este plan de protección, consulte Protección de S3.

Detección extendida de amenazas en la consola de GuardDuty

De forma predeterminada, la página Detección Extendida de Amenazas de la consola GuardDuty muestra el estado como Activado. Con la detección de amenazas básica, el estado indica que GuardDuty puede detectar una posible secuencia de ataque que implique una actividad de descubrimiento de privilegios de IAM en las API de Amazon S3 y detectar alteraciones posteriores en el plano de control de S3.

Siga los siguientes pasos para acceder a la página Detección Extendida de Amenazas en la consola GuardDuty:

Puede abrir la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.
En el panel de navegación izquierdo, elija Detección Extendida de Amenazas.

Esta página proporciona detalles sobre los escenarios de amenazas que cubre la Detección Extendida de Amenazas.
En la página Detección Extendida de Amenazas, consulte la sección Planes de protección relacionados. Si desea habilitar planes de protección dedicados para mejorar la cobertura de detección de amenazas en su cuenta, seleccione la opción Configurar para ese plan de protección.

Descripción y administración de resultados de secuencias de ataques

Los resultados de la secuencia de ataque son como otros resultados de GuardDuty en su cuenta. Puede verlos en la página Resultados en la consola de GuardDuty. Para obtener información sobre cómo ver los resultados, consulte Página de resultados en la consola de GuardDuty.

Al igual que otros resultados de GuardDuty, los resultados de la secuencia de ataque también se envían automáticamente a Amazon EventBridge. Según su configuración, los resultados de la secuencia de ataques también se exportan a un destino de publicación (bucket de Amazon S3). Para establecer un nuevo destino de publicación o actualizar uno existente, consulte .Exportar los resultados generados a Amazon S3

Recursos adicionales

Consulte las siguientes secciones para comprender mejor las secuencias de ataque:

Tras obtener más información sobre la Detección Extendida de Amenazas y las secuencias de ataque, puede generar ejemplos de tipos de resultados de secuencias de ataque siguiendo los pasos que se indican en Hallazgos de ejemplo.
Información sobre Tipos de resultados de secuencias de ataque.
Revise los resultados y explore los detalles de los resultados asociados con Detalles de los resultados de la secuencia de ataque.
Priorice y aborde los tipos de resultados de secuencias de ataques siguiendo los pasos correspondientes a los recursos afectados asociados en Corrección de resultados.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Orígenes de datos fundamentales

EKS Protection