Niveles de gravedad de los resultados de GuardDuty - Amazon GuardDuty
Gravedad críticaGravedad altaGravedad mediaGravedad baja

Niveles de gravedad de los resultados de GuardDuty

Cada resultado de GuardDuty tiene asignado un nivel de gravedad y un valor que refleja el riesgo potencial que el resultado podría tener para su entorno según lo determinado por nuestros ingenieros de seguridad. El valor de la gravedad puede estar comprendido en cualquier lugar dentro del intervalo de 1,0 a 10,0, donde los valores superiores indican un mayor riesgo de seguridad. Para ayudarle a determinar una respuesta a un posible problema de seguridad resaltado por un resultado, GuardDuty desglosa este intervalo en niveles de gravedad: Crítica, Alta, Media y Baja.

Un resultado de un tipo concreto puede tener una gravedad diferente según el contexto específico de dicho resultado. Para ver una lista consolidada de los niveles de gravedad predeterminados para todos los tipos de resultados de GuardDuty, consulte Tipos de resultados activos de GuardDuty.

En las siguientes secciones se explican los niveles de gravedad definidos para los resultados de GuardDuty.

Gravedad crítica

Rango de valores: 9,0 - 10,0

Descripción: un nivel de gravedad crítico indica que una secuencia de ataque puede estar en curso o haber ocurrido recientemente. Uno o más recursos de AWS, como las credenciales de inicio de sesión de los usuarios de IAM y el bucket de Amazon S3, pueden estar en peligro o ya lo están.

Recomendación: GuardDuty recomienda priorizar la clasificación y la corrección de todos los resultados de gravedad crítica, ya que estos problemas pueden formar parte de un ataque de ransomware y pueden agravarse en cualquier momento. Consulte los detalles sobre los recursos involucrados y comience a abordar los problemas de seguridad. Para obtener más información, consulte Corrección de resultados.

Gravedad alta

Rango de valores: 7,0 - 8,9

Descripción: un nivel de seguridad alto indica que el recurso en cuestión (una instancia de Amazon EC2 o un conjunto de credenciales de inicio de sesión de usuarios de IAM) está en peligro y que se está utilizando activamente para fines no autorizados.

Recomendación: GuardDuty recomeienda que trate cualquier problema de seguridad alto con un resultado de gravedad alta como una prioridad y que tome medidas de corrección inmediatas para evitar el uso no autorizado de sus recursos. Por ejemplo, limpie la instancia de Amazon EC2 o termínela, o rote las credenciales de IAM. Siga los pasos que se indican Corrección de resultados para corregir el resultado.

Gravedad media

Rango de valores: 4,0 - 6,9

Descripción: un nivel de gravedad mediano indica una actividad sospechosa que se desvía del comportamiento observado normalmente y, en función de su caso de uso, puede ser indicativo de un peligro para los recursos.

Recomendación: GuardDuty recomienda que investigue el recurso potencialmente afectado tan pronto como sea posible. Los pasos de corrección variarán según el recurso y la familia de resultados. Un enfoque establecido consiste en confirmar que la actividad está autorizada y es coherente con su caso de uso. Si no puede identificar la causa o confirmar que la actividad está autorizada, debería considerar el recurso como afectado. Siga los pasos que se indican Corrección de resultados para corregir el resultado.

Estas son algunas cosas a tener en cuenta al revisar un resultado de nivel mediano:

  • Compruebe si un usuario autorizado ha instalado nuevo software que haya cambiado el comportamiento de un recurso (por ejemplo, permitir un tráfico superior al normal o habilitar la comunicación en un nuevo puerto).

  • Verifique si un usuario autorizado cambió la configuración del plano de control; por ejemplo, si modificó la configuración de un grupo de seguridad.

  • Ejecute un examen antivirus en el recurso implicado para detectar software no autorizado.

  • Verifique los permisos asociados al rol de IAM, usuario, grupo o conjunto de credenciales implicados. Tal vez sea necesario cambiarlos o moverlos.

Gravedad baja

Rango de valores: 1,0 - 3,9

Descripción: un nivel de gravedad bajo indica un intento de actividad sospechosa que no puso en peligro el entorno; por ejemplo, un análisis de puerto o un intento fallido de intrusión.

Recomendación: no hay ninguna acción recomendada inmediata, pero vale la pena tomar nota de esta información ya que puede indicar que alguien busca puntos débiles en el entorno.