Conceptos y términos clave de Amazon GuardDuty

Cuenta estándar de Amazon Web Services (AWS) que contiene los recursos de AWS. Puede iniciar sesión en AWS con su cuenta y habilitar GuardDuty.

También puede invitar a otras cuentas a habilitar GuardDuty y asociarse con su cuenta de AWS en GuardDuty. Si se aceptan las invitaciones, la cuenta se designa como cuenta de administrador de GuardDuty, y las cuentas agregadas se convierten en las cuentas de miembro. A continuación, podrá ver y administrar los resultados de GuardDuty de estas cuentas en su nombre.

Los usuarios de la cuenta de administrador pueden configurar GuardDuty, así como ver y administrar los resultados de este servicio en sus propias cuentas y todas las cuentas de sus miembros. Para obtener información sobre la cantidad de cuentas de miembro que puede administrar la cuenta de administrador, consulte Cuotas de GuardDuty.

Los usuarios de las cuentas de miembro pueden configurar GuardDuty y pueden ver y administrar los resultados de este servicio en su cuenta (ya sea a través de la consola de administración o la API de GuardDuty). Los usuarios de cuentas de miembros no pueden ver ni administrar los resultados de las cuentas de otros miembros.

Una Cuenta de AWS no puede ser cuenta de administrador y cuenta de miembro de GuardDuty al mismo tiempo. Una Cuenta de AWS solo puede aceptar una invitación de membresía. La aceptación de una invitación de suscripción es opcional.

Para obtener más información, consulte Múltiples cuentas en Amazon GuardDuty.

Una secuencia de ataque es una correlación de varios eventos que, como observó GuardDuty, ocurrieron en una secuencia específica que coincide con el patrón de una actividad sospechosa. GuardDuty utiliza su capacidad Detección Extendida de Amenazas para detectar estos ataques en varias etapas que abarcan los orígenes de datos, los recursos de AWS y el cronograma fundamentales de su cuenta.

La siguiente lista explica brevemente los términos clave asociados a las secuencias de ataque:

Amazon GuardDuty es un servicio regional. Al habilitar GuardDuty en una determinada Región de AWS, un ID de detector se asocia a la Cuenta de AWS. Este identificador alfanumérico de 32 caracteres es único para la cuenta en esa región. Por ejemplo, al habilitar GuardDuty para la misma cuenta en una región diferente, un ID de detector diferente se asociará a la cuenta. El formato de un detectorId es 12abc34d567e8fa901bc2d34e56789f0.

Todos los resultados, cuentas y acciones de GuardDuty relacionadas con la administración de resultados y el servicio de GuardDuty utilizan el ID del detector para ejecutar una operación de la API.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

Algunas funcionalidades de GuardDuty se configuran a través del detector, como la configuración de la frecuencia de las notificaciones de Eventos de CloudWatch, y la habilitación o desactivación de planes de protección opcionales para que GuardDuty los procese.

El origen o la ubicación de un conjunto de datos. Para detectar una actividad no autorizada o inesperada en su entorno de AWS. GuardDuty analiza y procesa datos de registros de eventos de AWS CloudTrail, eventos de administración de AWS CloudTrail, eventos de datos de AWS CloudTrail para S3, registros de flujo de VPC, registros de DNS. Consulte Orígenes de datos fundamentales de GuardDuty.

Un objeto de característica configurado para su plan de protección de GuardDuty ayuda a detectar una actividad no autorizada o inesperada en su entorno de AWS. Cada plan de protección de GuardDuty configura el objeto de característica correspondiente para analizar y procesar datos. Algunos de los objetos de características son los registros de auditoría de EKS, la supervisión de la actividad de inicio de sesión en RDS, los registros de actividad de red de Lambda y los volúmenes de EBS. Para obtener más información, consulte Nombres de características para planes de protección en la API de GuardDuty.

Un problema de seguridad potencial detectado por GuardDuty. Para obtener más información, consulte Comprender y generar resultados de Amazon GuardDuty.

Los resultados se muestran en la consola de GuardDuty y contienen una descripción detallada del problema de seguridad. También puede recuperar los resultados generados al llamar a las operaciones de la API GetFindings y ListFindings.

También puede ver los resultados de GuardDuty en los eventos de Amazon CloudWatch. GuardDuty envía los resultados a Amazon CloudWatch mediante el protocolo HTTPS. Para obtener más información, consulte Procesamiento de resultados de GuardDuty con Amazon EventBridge.

Este es el rol de IAM con los permisos requeridos para analizar el objeto de S3. Cuando el etiquetado de objetos analizados está habilitado, los permisos de IAM PassRole ayudan a GuardDuty a agregar etiquetas al objeto analizado.

Después de habilitar la protección contra malware para S3 para un bucket, GuardDuty crea un recurso del plan de protección contra malware. Este recurso está asociado al ID del plan de protección contra malware, que es un identificador único del bucket protegido. Utilice el recurso del plan de protección contra malware para realizar operaciones de la API en un recurso protegido.

Se considera que un bucket de Amazon S3 está protegido cuando habilita la protección contra malware para S3 para este bucket y su estado de protección cambia a Activo.

GuardDuty admite únicamente un bucket de S3 como recurso protegido.

El estado asociado al recurso del plan de protección contra malware. Después de habilitar la protección contra malware para S3 para el bucket, este estado representa si el bucket está configurado correctamente o no.

En un bucket de Amazon Simple Storage Service (Amazon S3), puede utilizar prefijos para organizar el almacenamiento. Un prefijo es una agrupación lógica de los objetos de un bucket de S3. Para obtener más información, consulte Organización y enumeración de objetos en la Guía del usuario de Amazon S3.

Cuando Malware Protection for EC2 de GuardDuty está habilitada, permite especificar qué instancias de Amazon EC2 y volúmenes de Amazon Elastic Block Store (EBS) debe analizar u omitir. Esta característica le permite agregar las etiquetas existentes que están asociadas a las instancias de EC2 y al volumen de EBS a una lista de etiquetas de inclusión o a una lista de etiquetas de exclusión. Los recursos asociados a las etiquetas que agregue a una lista de etiquetas de inclusión se analizan en busca de malware y los que se agregan a una lista de etiquetas de exclusión no se analizan. Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.

Cuando Malware Protection for EC2 de GuardDuty está habilitada, brinda la opción de retener las instantáneas de los volúmenes de EBS en la cuenta de AWS. GuardDuty genera las réplicas de los volúmenes de EBS en función de las instantáneas de dichos volúmenes. Puede retener las instantáneas de los volúmenes de EBS solo si el análisis de Malware Protection for EC2 detecta malware en las réplicas de los volúmenes de EBS. Si no se detecta ningún malware en las réplicas de los volúmenes de EBS, GuardDuty elimina automáticamente las instantáneas de dichos volúmenes, independientemente de la configuración de retención de instantáneas. Para obtener más información, consulte Retención de instantáneas.

Las reglas de supresión permiten crear combinaciones de atributos muy específicas para suprimir los resultados. Por ejemplo, puede definir una regla a través del filtro de GuardDuty para archivar automáticamente Recon:EC2/Portscan solo de aquellas instancias que estén en una VPC determinada, que ejecuten una AMI específica o con una etiqueta de EC2 específica. Esta regla daría lugar a que los resultados del escaneo de puertos se archivaran automáticamente desde las instancias que cumplan los criterios. Sin embargo, sigue permitiendo la generación de alertas si GuardDuty detecta que esas instancias están llevando a cabo otras actividades maliciosas; por ejemplo, la extracción de criptomonedas.

Las reglas de supresión definidas en la cuenta de administrador de GuardDuty se aplican a las cuentas de miembro de este servicio. Las cuentas de miembro de GuardDuty no pueden modificar las reglas de supresión.

Con las reglas de supresión, GuardDuty sigue generando todos los resultados. Las reglas de supresión facilitan la eliminación de resultados, mientras mantienen un historial completo e inmutable de todas las actividades.

Normalmente, las reglas de supresión se utilizan para ocultar los hallazgos del entorno que se consideran falsos positivos y reducir así el ruido de los resultados con poco valor para que pueda centrarse en amenazas más importantes. Para obtener más información, consulte Reglas de supresión en GuardDuty.

Una lista de direcciones IP de confianza para facilitar una comunicación de gran seguridad con el entorno de AWS. GuardDuty no genera resultados en función de las listas de IP de confianza. Para obtener más información, consulte Personalización de la detección de amenazas con listas de entidades y listas de direcciones IP.

Una lista de direcciones IP maliciosas conocidas. Además de generar resultados debido a una actividad potencialmente sospechosa, GuardDuty también genera resultados en función de estas listas de amenazas. Para obtener más información, consulte Personalización de la detección de amenazas con listas de entidades y listas de direcciones IP.