Detalles de los resultados - Amazon GuardDuty
Información general de los resultadosRecursoDetalles de los resultados de la secuencia de ataqueDetalles de usuario de la base de datos (DB) de RDSDetalles del resultado de la supervisión en tiempo de ejecuciónDetalles del análisis de volúmenes de EBSDetalles de los resultados de Malware Protection for EC2Detalles de los resultados de la protección contra malware para S3AcciónActor u objetivoDetalles de geolocalizaciónInformación adicionalEvidenciaComportamiento anómalo

Detalles de los resultados

Puede ver los detalles de los resultados en la sección de resumen en la consola de Amazon GuardDuty. Los detalles de los resultados varían según el tipo de resultado.

Hay dos detalles principales que determinarán qué tipo de información está disponibles para cualquier resultado. El primero es el tipo de recurso, que puede ser Instance, AccessKey, S3Bucket, S3Object, Kubernetes cluster, ECS cluster, Container, RDSDBInstance, RDSLimitlessDB o Lambda. El segundo detalle que determina la información de los resultados es el rol del recurso. El rol del recurso puede ser Target, lo que significa que el recurso fue el blanco de una actividad sospechosa. En el caso de resultados por tipo de instancia, el rol del recurso también puede ser Actor, lo que significa que el recurso fue el actor que ha llevado a cabo la actividad sospechosa. En este tema, se describen algunos de los detalles de los resultados que se encuentran disponibles con más frecuencia. Para Tipos de resultados de la supervisión en tiempo de ejecución de GuardDuty y Tipo de resultado de la protección contra malware para S3, no se ha completado el rol del recurso.

Información general de los resultados

La sección Información general de un resultado contiene las características identificativas más básicas del resultado, incluida la siguiente información:

  • ID de cuenta: el ID de la cuenta de AWS en la que se llevó a cabo la actividad que indicó a GuardDuty la generación del resultado.

  • Recuento: el número de veces que GuardDuty ha agregado una actividad que hace coincidir este patrón con este ID de resultado.

  • Hora de creación: fecha y hora en que se ha creado este resultado por primera vez. Si este valor difiere de Hora de actualización, indica que la actividad se ha producido varias veces y es un problema continuo.

    nota

    Las marcas de tiempo de los resultados de la consola de GuardDuty se muestran según la zona horaria local, mientras que las exportaciones JSON y las salidas de la CLI muestran las marcas de tiempo en UTC.

  • ID de resultado: un identificador único para este tipo de resultado y conjunto de parámetros. Las nuevas ocurrencias de actividad que coincidan con este patrón se añadirán al mismo ID.

  • Tipo de resultado: una cadena formateada que representa el tipo de actividad que ha desencadenado el resultado. Para obtener más información, consulte Formato de resultado de GuardDuty.

  • Región: la región de AWS en la que se ha generado el resultado. Para obtener más información acerca de las regiones admitidas, consulte Regiones y puntos de conexión

  • ID de recurso: el ID del recurso de AWS en el que tuvo lugar la actividad que indicó a GuardDuty la generación del resultado.

  • ID de análisis: se aplica a los resultados cuando la protección contra malware de GuardDuty para EC2 está habilitada, es un identificador del análisis de malware que se ejecuta en los volúmenes de EBS asociados a la instancia o carga de trabajo de contenedores de EC2 potencialmente comprometida. Para obtener más información, consulte Detalles de los resultados de Malware Protection for EC2.

  • Gravedad: un nivel de gravedad crítica, alta, mediana o baja asignado al resultado. Para obtener más información, consulte Niveles de gravedad de los resultados.

  • Hora de actualización: la última vez que se actualizó este resultado con una nueva actividad que coincidía con el patrón que llevó a GuardDuty a generar este resultado.

Recurso

El Recurso afectado proporciona detalles sobre el recurso de AWS donde se llevó a cabo la actividad desencadenante. La información disponible variará según el tipo de recurso y el tipo de acción.

Rol del recurso: el rol del recurso de AWS que inició el resultado. Este valor puede ser TARGET o ACTOR y representa si su recurso era el objetivo de la actividad sospechosa o si era el actor que ha llevado a cabo la actividad sospechosa, respectivamente.

Tipo de recurso: el tipo del recurso afectado. Si estuvieron involucrados varios recursos, un resultado puede incluir varios tipos de recursos. Los tipos de recursos son Instance, AccessKey, S3Bucket, S3Object, KubernetesCluster, ECSCluster, Container, RDSDBInstance, RDSLimitlessDB y Lambda. En función del tipo de recurso, habrá distintos detalles disponibles sobre el resultado. Seleccione una pestaña de opciones de recurso para obtener información sobre los detalles disponibles de ese recurso.

Instance

Detalles de la instancia:

nota

Es posible que falten algunos detalles de la instancia si esta ya se ha detenido o si la invocación a la API subyacente se ha originado en una instancia de EC2 en una región diferente al hacer una llamada a la API entre regiones.

  • ID de instancia: el ID de la instancia de EC2 implicada en la actividad que indicó a GuardDuty la generación del resultado.

  • Tipo de instancia: el tipo de instancia de EC2 implicada en el resultado.

  • Hora de lanzamiento: la fecha y hora en que se lanzó la instancia.

  • ARN de Outpost: el nombre de recurso de Amazon (ARN) de AWS Outposts. Solo se aplica a las instancias AWS Outposts. Para obtener más información, consulte ¿Qué es AWS Outposts? en la Guía del usuario de bastidores Outposts.

  • Nombre del grupo de seguridad: el nombre del grupo de seguridad asociado a la instancia en cuestión.

  • ID del grupo de seguridad: el ID del grupo de seguridad asociado a la instancia en cuestión.

  • Estado de la instancia: el estado actual de la instancia afectada.

  • Zona de disponibilidad: la zona de disponibilidad de la región de AWS en la que se encuentra la instancia en cuestión.

  • ID de imagen: el ID de la imagen de máquina de Amazon utilizada para crear la instancia implicada en la actividad.

  • Descripción de la imagen: una descripción del ID de la imagen de máquina de Amazon utilizada para crear la instancia implicada en la actividad.

  • Etiquetas: una lista de etiquetas adjuntas a este recurso, enumeradas en el formato de key-value.

AccessKey

Detalles de la clave de acceso:

  • ID de clave de acceso: el ID de la clave de acceso del usuario implicado en la actividad que indicó a GuardDuty la generación del resultado.

  • ID de entidad principal: el ID de entidad principal del usuario implicado en la actividad que indicó a GuardDuty la generación del resultado.

  • Tipo de usuario: el tipo de usuario implicado en la actividad que indicó a GuardDuty la generación del resultado. Para obtener más información, consulte Elemento userIdentity de CloudTrail.

  • Nombre de usuario: el nombre del usuario implicado en la actividad que indicó a GuardDuty la generación del resultado.

S3Bucket

Detalles del bucket de Amazon S:

  • Nombre: el nombre del bucket implicado en el resultado.

  • ARN: el ARN del bucket implicado en el resultado.

  • Propietario: el ID canónico del usuario propietario del bucket implicado en el resultado. Para más información acerca de los ID de usuario canónico, consulte AWS account identifiers.

  • Tipo: el tipo de resultado del bucket, que puede ser de Destino o de Origen.

  • Cifrado predeterminado del servidor: los detalles de cifrado del bucket.

  • Etiquetas del bucket: una lista de etiquetas asociadas a este recurso, enumeradas en el formato de key-value.

  • Permisos efectivos: una evaluación de todos los permisos y políticas efectivos del bucket que indica si el bucket en cuestión está expuesto públicamente. Los valores pueden ser Público o No público.

S3Object

  • Detalles del objeto de S3: incluye la siguiente información sobre el objeto de S3 analizado:

    • ARN: nombre de recurso de Amazon (ARN) del objeto de S3 analizado.

    • Clave: el nombre asignado al archivo cuando se creó en el bucket de S3.

    • ID de versión: si ha habilitado el control de versiones del bucket, este campo indica el identificador de versión asociado a la versión más reciente del objeto de S3 analizado. Para obtener más información, consulte Uso del control de versiones en buckets de S3 en la Guía de usuario de Amazon S3.

    • eTag: representa la versión específica del objeto de S3 analizado.

    • Hash: hash de la amenaza detectada en este resultado.

  • Detalles del bucket de S3: incluye la siguiente información sobre el bucket de Amazon S3 asociado al objeto de S3 analizado:

    • Nombre: indica el nombre del bucket de S3 que contiene el objeto.

    • ARN: el nombre de recurso de Amazon (ARN) del bucket de S3.

  • Propietario:ID canónico del propietario del bucket de S3.

EKSCluster

Detalles del clúster de Kubernetes:

  • Nombre: el nombre del clúster de Kubernetes.

  • ARN: el ARN que identifica al clúster.

  • Hora de creación: fecha y hora en que se ha creado este clúster.

    nota

    Las marcas de tiempo de los resultados de la consola de GuardDuty se muestran según la zona horaria local, mientras que las exportaciones JSON y las salidas de la CLI muestran las marcas de tiempo en UTC.

  • ID de VPC: el ID de la VPC asociada al clúster.

  • Estado: el estado actual del clúster.

  • Etiquetas: los metadatos que se aplican a los clústeres para ayudarle a categorizarlos y organizarlos. Cada etiqueta consta de una clave y un valor opcional, mostrada en el formato key-value. Puede definir tanto la clave como el valor.

    Las etiquetas del clúster no se propagan a ningún otro recurso asociado al clúster.

Detalles de la carga de trabajo de Kubernetes:

  • Tipo: el tipo de carga de trabajo de Kubernetes, como el pod, la implementación y el trabajo.

  • Nombre: el nombre de la carga de trabajo de Kubernetes.

  • Uid: el ID único de la carga de trabajo de Kubernetes.

  • Hora de creación: fecha y hora en que se ha creado esta carga de trabajo.

  • Etiquetas: los pares de clave-valor asociados a la carga de trabajo de Kubernetes.

  • Contenedores: los detalles del contenedor que se ejecuta como parte de la carga de trabajo de Kubernetes.

  • Espacio de nombres: la carga de trabajo pertenece a este espacio de nombres de Kubernetes.

  • Volúmenes: los volúmenes que utiliza la carga de trabajo de Kubernetes.

    • Ruta del host: representa un archivo o directorio preexistente en la máquina host al que se asigna el volumen.

    • Nombre: el nombre del volumen.

  • Contexto de seguridad del pod: define la configuración de privilegios y control de acceso para todos los contenedores de un pod.

  • Red de host: se establece como true si los pods se han incluido en la carga de trabajo de Kubernetes.

Detalles de usuario de Kubernetes:

  • Grupos: grupos de RBAC (control basado en el acceso a roles) de Kubernetes del usuario que ha participado en la actividad que generó el resultado.

  • ID: el ID única del usuario de Kubernetes.

  • Nombre de usuario: nombre del usuario de Kubernetes que ha participado en la actividad que generó el resultado.

  • Nombre de sesión: entidad que ha asumido el rol de IAM con los permisos de RBAC de Kubernetes.

ECSCluster

Detalles del clúster de ECS:

  • ARN: el ARN que identifica al clúster.

  • Nombre: el nombre del clúster.

  • Estado: el estado actual del clúster.

  • Recuento de servicios activos: la cantidad de servicios que se ejecutan en el clúster en un estado ACTIVE. Puede ver estos servicios con ListServices

  • Recuento de instancias de contenedor registradas: el número de instancias de contenedor registradas en el clúster. Esto incluye las instancias de contenedor tanto en estado ACTIVE como DRAINING.

  • Recuento de tareas en ejecución: el número de tareas del clúster que se encuentran en estado RUNNING.

  • Etiquetas: los metadatos que se aplican a los clústeres para ayudarle a categorizarlos y organizarlos. Cada etiqueta consta de una clave y un valor opcional, mostrada en el formato key-value. Puede definir tanto la clave como el valor.

  • Contenedores: los detalles sobre el contenedor asociado a la tarea:

    • Nombre del contenedor: el nombre del contenedor.

    • Imagen del contenedor: la imagen del contenedor.

  • Detalles de la tarea: los detalles de una tarea en un clúster.

    • ARN: el nombre de recurso de Amazon (ARN) de la tarea.

    • ARN de definición: el nombre de recurso de Amazon (ARN) de la definición de tarea que crea esta.

    • Versión: el contador de versiones de la tarea.

    • Hora de creación de la tarea: la marca de tiempo de Unix en la que se ha creado la tarea.

    • Hora de inicio de la tarea: la marca de tiempo de Unix cuando se ha iniciado la tarea.

    • Tarea iniciada por: la etiqueta especificada cuando se inicia una tarea.

Container

Detalles del contenedor:

  • Tiempo de ejecución del contenedor: el tiempo de ejecución del contenedor (por ejemplo, docker o containerd) utilizado para ejecutar el contenedor.

  • ID: el ID de la instancia de contenedor o las entradas de ARN completas de la instancia de contenedor.

  • Nombre: el nombre del contenedor.

  • Imagen: la imagen de la instancia de contenedor.

  • Monturas de volumen: lista de monturas de volumen de contenedores. Un contenedor puede montar un volumen en su sistema de archivos.

  • Contexto de seguridad: el contexto de seguridad de contenedor define la configuración de privilegios y control de acceso de un contenedor.

  • Detalles del proceso: describe los detalles del proceso asociado al resultado.

RDSDBInstance

Detalles de RDSDBInstance:

nota

Este recurso está disponible en los resultados de RDS Protection relacionados con la instancia de base de datos.

  • ID de instancia de base de datos: el identificador asociado a la instancia de base de datos implicada en el resultado de GuardDuty.

  • Motor: el nombre del motor de base de datos de la instancia de base de datos implicada en el resultado. Los valores posibles son Compatible con Aurora MySQL o Compatible con Aurora PostgreSQL.

  • Versión del motor: la versión del motor de base de datos que ha participado en el resultado de GuardDuty.

  • ID de clúster de base de datos: el identificador del clúster de base de datos que contiene el ID de instancia de base de datos implicada en el resultado de GuardDuty.

  • ARN de instancia de base de datos: el ARN que identifica la instancia de base de datos implicada en el resultado de GuardDuty.

RDSLimitlessDB

Detalles de RDSLimitlessDB:

Este recurso está disponible en los resultados de RDS Protection relacionados con la versión de motor compatible de Limitless Database.

  • Identificador del grupo de partición de base de datos: el nombre asociado al grupo de partición de base de datos Limitless.

  • ID de recurso del grupo de partición de base de datos: el identificador de recursos del grupo de partición de base de datos dentro de la base de datos Limitless.

  • ARN del grupo de partición de base de datos: nombre de recurso de Amazon (ARN) que identifica el grupo de partición de base de datos.

  • Motor: el identificador de la base de datos Limitless implicada en los resultados.

  • Versión de motor: la versión del motor de la base de datos Limitless.

  • Identificador del clúster de base de datos: nombre del clúster de base de datos que forma parte de la base de datos Limitless.

Para obtener información sobre los detalles de usuario y de autenticación de la base de datos potencialmente afectada, consulte Detalles de usuario de la base de datos (DB) de RDS.

Lambda
Detalles de la función de Lambda

  • Nombre de la función: el nombre de la función de Lambda implicada en el resultado.

  • Versión de la función: la versión de la función de Lambda implicada en el resultado.

  • Descripción de la función: una descripción de la función de Lambda implicada en el resultado.

  • ARN de la función: el nombre de recurso de Amazon (ARN) de la función de Lambda implicada en el resultado.

  • ID de revisión: el ID de revisión de la versión de la función de Lambda.

  • Rol: el rol de ejecución de la función de Lambda implicada en el resultado.

  • Configuración de VPC: la configuración de Amazon VPC, que incluye el ID de VPC, el grupo de seguridad y los ID de subred asociados a la función de Lambda.

    • ID de VPC: el ID de Amazon VPC asociada a la función de Lambda implicada en el resultado.

    • ID de subred: los ID de las subredes asociadas a la función de Lambda.

    • Grupo de seguridad: el grupo de seguridad asociado a la función de Lambda implicada. Esto incluye el nombre del grupo de seguridad y el ID de grupo.

  • Etiquetas: una lista de etiquetas adjuntas a este recurso, con el formato de pares de key-value.

Detalles de los resultados de la secuencia de ataque

GuardDuty proporciona detalles de cada resultado que genere en su cuenta. Estos detalles ayudan a entender los motivos del resultado. Esta sección se centra en los detalles relacionados con Tipos de resultados de secuencias de ataque. Esto incluye información como los recursos potencialmente afectados, el cronograma de los eventos, los indicadores, las señales y los puntos de conexión involucrados en el resultado.

Para ver los detalles asociados a las señales detectadas por GuardDuty, consulte las secciones correspondientes de esta página.

En la consola GuardDuty, al seleccionar un resultado de secuencia de ataque, el panel lateral de detalles se divide en las siguientes pestañas:

  • Descripción general: proporciona una vista compacta de los detalles de la secuencia de ataque, incluidas las señales, las tácticas de MITRE y los recursos potencialmente afectados.

  • Señales: muestra una cronología de los eventos que intervienen en una secuencia de ataque.

  • Recursos: proporciona información sobre los recursos potencialmente afectados o los recursos que están potencialmente en riesgo.

La siguiente lista proporciona descripciones asociadas a los detalles de resultados de la secuencia de ataque.

Señales de

Una señal podría ser una actividad de la API o un resultado que GuardDuty utiliza para detectar un resultado de secuencia de ataque. GuardDuty tiene en cuenta las señales débiles que no se presentan como una amenaza clara, las organiza y las correlaciona con los resultados generados individualmente. Para obtener más contexto, la pestaña Señales proporciona una cronología de las señales, según lo observado por GuardDuty.

Cada señal, que es un resultado de GuardDuty, tiene su propio nivel de gravedad y valor asignado. En la consola de GuardDuty, puede seleccionar cada señal para ver los detalles asociados.

Actores

Proporciona detalles sobre los actores de las amenazas en una secuencia de ataque. Para obtener más información, consulte Actor en Referencia de la API de Amazon GuardDuty.

puntos de conexión

Proporciona detalles sobre los puntos de conexión de la red que se utilizaron en esta secuencia de ataque. Para obtener más información, consulte NetworkEndpoint en Referencia de la API de Amazon GuardDuty. Para obtener información sobre cómo GuardDuty determina la ubicación, consulte Detalles de geolocalización.

Indicadores

Incluye datos observados que coinciden con el patrón de un problema de seguridad. Estos datos especifican por qué en GuardDuty hay indicios de una actividad potencialmente sospechosa. Por ejemplo, cuando el nombre del indicador es HIGH_RISK_API, esto indica que se trata de una acción que suelen utilizar los actores de amenazas o de una acción delicada que puede tener un impacto potencial en una Cuenta de AWS, como acceder a las credenciales o modificar un recurso.

En la siguiente tabla se incluye una lista de indicadores potenciales y sus descripciones:

Nombre del indicador Descripción

ATTACK_TACTIC

Las tácticas de MITRE, como Discovery e Impact.

ATTACK_TECHNIQUE

La técnica MITRE utilizada por el actor de la amenaza en una secuencia de ataque. Algunos ejemplos incluyen acceder a los recursos y utilizarlos de forma no deseada, y explotar las vulnerabilidades.

CRYPTOMINING_DOMAIN

Indica un nombre de dominio asociado a los grupos o a la infraestructura de minería de criptomonedas. Por ejemplo, las consultas de DNS o las conexiones a estos dominios desde entornos de contenedores o de Kubernetes pueden indicar una actividad de minería de criptomonedas no autorizada.

Indica que el número de sistema autónomo (ASN) se identificó como anómalo, en función de la línea base histórica del usuario. Para obtener más información, consulte Comportamiento anómalo.

CRYPTOMINING_IP

Indica una dirección IP asociada a los grupos o a la infraestructura de minería de criptomonedas. Por ejemplo, las conexiones a estas direcciones desde entornos de contenedores o de Kubernetes pueden indicar una actividad de minería de criptomonedas no autorizada.

Indica que el número de sistema autónomo (ASN) se identificó como anómalo, en función de la línea base histórica del usuario. Para obtener más información, consulte Comportamiento anómalo.

CRYPTOMINING_PROCESS

Indica un proceso identificado como software de minería de criptomonedas que se ejecuta en entornos de contenedores o de Kubernetes. Por ejemplo, estos procesos pueden consumir recursos de CPU excesivos.

Indica que el número de sistema autónomo (ASN) se identificó como anómalo, en función de la línea base histórica del usuario. Para obtener más información, consulte Comportamiento anómalo.

HIGH_RISK_API

La APIde AWS que incluye el nombre del Servicio de AWS y el eventName indica una acción que suelen utilizar los actores de amenazas o es una acción confidencial que puede tener un impacto potencial en una de ellas Cuenta de AWS, como el acceso a una credencial o la modificación de un recurso.

MALICIOUS_DOMAIN

Indica un nombre de dominio con información sobre posibles inteligencia de amenazas que indica una intención maliciosa. Por ejemplo, esto incluye los servidores de comando y control (C&C), los sitios de distribución de malware o los dominios de suplantación de identidad a los que se accede desde entornos de contenedores o de Kubernetes.

Indica que el número de sistema autónomo (ASN) se identificó como anómalo, en función de la línea base histórica del usuario. Para obtener más información, consulte Comportamiento anómalo.

MALICIOUS_IP

La dirección IP tiene inteligencia de amenazas confirmada que indica una intención maliciosa.

MALICIOUS_PROCESS

Indica un proceso sospechoso de ser malicioso en función de la inteligencia de amenazas o el análisis del comportamiento. Por ejemplo, esto incluye malware conocido, puertas traseras o herramientas no autorizadas que se ejecutan en entornos de contenedores o de Kubernetes con intenciones maliciosas.

Indica que el número de sistema autónomo (ASN) se identificó como anómalo, en función de la línea base histórica del usuario. Para obtener más información, consulte Comportamiento anómalo.

SUSPICIOUS_NETWORK

Se sabe que la red está asociada a puntajes de reputación bajos, como los proveedores de redes privadas virtuales (VPN) y los servicios proxy riesgosos.

SUSPICIOUS_PROCESS

Indica que el número de sistema autónomo (ASN) se identificó como anómalo, en función de la línea base histórica del usuario. Para obtener más información, consulte Comportamiento anómalo.

SUSPICIOUS_USER_AGENT

El agente de usuario está asociado a aplicaciones sospechosas o explotadas potencialmente conocidas, como los clientes de Amazon S3 y las herramientas de ataque.

TOR_IP

La dirección IP está asociada a un nodo de salida de Tor.

UNUSUAL_API_FOR_ACCOUNT

Indica que la API AWS se invocó de forma anómala, según la línea base histórica de la cuenta. Para obtener más información, consulte Comportamiento anómalo.

UNUSUAL_ASN_FOR_ACCOUNT

Indica que el número de sistema autónomo (ASN) se identificó como anómalo, en función de la línea de base histórica de la cuenta. Para obtener más información, consulte Comportamiento anómalo.

UNUSUAL_ASN_FOR_USER

Indica que el número de sistema autónomo (ASN) se identificó como anómalo, en función de la línea base histórica del usuario. Para obtener más información, consulte Comportamiento anómalo.

Tácticas de MITRE

Este campo especifica las tácticas de MITRE ATT&CK que el actor de la amenaza intenta utilizar a través de una secuencia de ataque. GuardDuty utiliza el marco de MITRE ATT&ACK que añade contexto a toda la secuencia de ataque. Los colores que utiliza la consola GuardDuty para especificar los fines de amenaza que ha utilizado el autor de la amenaza se alinean con los colores que indican Niveles de gravedad de los resultados crítico, alto, medio y bajo.

Indicadores de red

Los indicadores incluyen una combinación de valores de indicadores de red que explican por qué una red es indicativa de un comportamiento sospechoso. Esta sección es aplicable solo cuando el indicador incluye SUSPICIOUS_NETWORK oMALICIOUS_IP. El siguiente ejemplo muestra cómo se pueden asociar los indicadores de red a un indicador, donde:

  • AnyCompany es un Sistema Autónomo (AS).

  • TUNNEL_VPN, IS_ANONYMOUS y ALLOWS_FREE_ACCESS son los indicadores de la red. 

...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...

En la siguiente tabla se incluyen los valores de los indicadores de red y su descripción. Estas etiquetas se añaden en función de la inteligencia de amenazas que GuardDuty recopila de fuentes como Spur.

Valor de indicador de red Descripción

TUNNEL_VPN

La dirección IP o de red está asociada a un tipo de túnel VPN. Se refiere a un protocolo específico que ayuda a establecer una conexión segura y cifrada entre dos puntos a través de una red pública.

TUNNEL_PROXY

La dirección IP o de red está asociada a un tipo de túnel Proxy. Esto se refiere a un protocolo específico que ayuda a establecer una conexión a través de un servidor proxy.

TUNNEL_RDP

La dirección IP o de red está asociada al uso de un método de encapsulación del tráfico de escritorios remotos (RDP) dentro de otro protocolo para mejorar la seguridad, evitar las restricciones de la red o permitir el acceso remoto a través de firewalls.

IS_ANONYMOUS

La dirección IP o de red está asociada a un servicio anónimo o proxy conocido. Esto puede indicar posibles actividades sospechosas que se esconden detrás de redes anónimas.

KNOWN_THREAT_OPERATOR

La dirección IP o de red está asociada a un proveedor de túnel de riesgos conocido. Esto indica que se ha detectado actividad sospechosa en una dirección IP vinculada a una VPN, un proxy u otros servicios de tunelización que se utilizan con frecuencia con fines maliciosos.

ALLOWS_FREE_ACCESS

La dirección IP o de red está asociada a un operador de túnel que permite el acceso a su servicio sin necesidad de autenticación ni pago. También puede incluir cuentas de prueba o experiencias de uso limitado que ofrecen varios servicios en línea.

ALLOWS_CRYPTO

La dirección IP o de red está asociada a un proveedor de túneles (como una VPN o un servicio proxy) que acepta exclusivamente criptomonedas u otras monedas digitales como método de pago.

ALLOWS_TORRENTS

La dirección IP o de red está asociada a los servicios o las plataformas que permiten el tráfico de torrents. Estos servicios suelen estar relacionados con el apoyo y el uso de torrents y con actividades de evasión de derechos de autor.

RISK_CALLBACK_PROXY

La dirección IP o de red está asociada a dispositivos conocidos por enrutar el tráfico a servidores proxy residenciales, servidores proxy de malware u otras redes tipo proxy de devolución de llamadas. Esto no implica que toda la actividad de la red esté relacionada con los servidores proxy, sino que la red tiene la capacidad de enrutar el tráfico en nombre de estas redes proxy.

RISK_GEO_MISMATCH

Este indicador sugiere que el centro de datos o la ubicación del host de una red difieren de la ubicación esperada de los usuarios y dispositivos conectados a ella. Si el valor de este indicador no está presente, no significa que no haya discrepancia. Puede implicar que no hay datos suficientes para confirmar la discrepancia.

IS_SCANNER

La red o la dirección IP están asociadas a los intentos de inicio de sesión persistentes en los formularios web.

RISK_WEB_SCRAPING

La red de direcciones IP está asociada a los clientes web automatizados y a otras actividades web programáticas.

CLIENT_BEHAVIOR_FILE_SHARING

La red o la dirección IP están asociadas al comportamiento del cliente, lo que indica actividades de intercambio de archivos, como las redes punto a punto (P2P) o los protocolos de intercambio de archivos.

CATEGORY_COMMERCIAL_VPN

La red o la dirección IP están asociadas a un operador de túnel que se clasifica como un servicio de red privada virtual (VPN) comercial tradicional que opera dentro del espacio del centro de datos.

CATEGORY_FREE_VPN

La red o la dirección IP están asociadas a un operador de túnel que se clasifica como un servicio de VPN completamente gratuito.

CATEGORY_RESIDENTIAL_PROXY

La red o la dirección IP están asociadas a un operador de túnel que se clasifica como un SDK, un malware o un servicio proxy de origen gratuito.

OPERATOR_XXX

El nombre del proveedor de servicios que opera este túnel.

Detalles de usuario de la base de datos (DB) de RDS

nota

Esta sección se aplica a los resultados cuando se habilita la característica de protección de RDS en GuardDuty. Para obtener más información, consulte Protección de RDS de GuardDuty.

El resultado de GuardDuty proporciona los siguientes detalles de usuario y de autenticación de la base de datos potencialmente afectada:

  • Usuario: el nombre de usuario utilizado para llevar a cabo el intento de inicio de sesión anómalo.

  • Aplicación: el nombre de la aplicación utilizada para llevar a cabo el intento de inicio de sesión anómalo.

  • Base de datos: el nombre de la instancia de base de datos implicada en el intento de inicio de sesión anómalo.

  • SSL: la versión de capa de sockets seguros (SSL) utilizada para la red.

  • Método de autenticación: el método de autenticación utilizado por el usuario implicado en el resultado.

Para obtener información acerca del recurso potencialmente afectado, consulte Recurso.

Detalles del resultado de la supervisión en tiempo de ejecución

nota

Es posible que estos detalles solo estén disponibles si GuardDuty genera uno de los Tipos de resultados de la supervisión en tiempo de ejecución de GuardDuty.

Esta sección contiene los detalles del tiempo de ejecución, como los detalles del proceso y cualquier contexto necesario. Los detalles del proceso describen información sobre el proceso observado, y el contexto de ejecución describe cualquier información adicional sobre la actividad potencialmente sospechosa.

Detalles del proceso

  • Nombre: el nombre del proceso.

  • Ruta ejecutable: la ruta absoluta del archivo ejecutable del proceso.

  • SHA-256 ejecutable: el hash SHA256 del ejecutable del proceso.

  • PID del espacio de nombres: el ID del proceso en un espacio de nombres de PID secundario distinto del espacio de nombres de PID del host. En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor.

  • Directorio de trabajo actual: el directorio de trabajo actual del proceso.

  • ID del proceso: el ID asignado al proceso por el sistema operativo.

  • startTime: la hora en la que se ha iniciado el proceso. Está en formato de cadena de fecha UTC (2023-03-22T19:37:20.168Z).

  • UUID: el ID único asignado al proceso por GuardDuty.

  • UUID principal: el ID único del proceso principal. GuardDuty asigna este ID al proceso principal.

  • Usuario: el usuario que ha ejecutado el proceso.

  • ID del usuario: el ID del usuario que ha ejecutado el proceso.

  • ID del usuario efectivo: el ID del usuario efectivo del proceso en el momento del evento.

  • Linaje: información sobre los antepasados del proceso.

    • ID del proceso: el ID asignado al proceso por el sistema operativo.

    • UUID: el ID único asignado al proceso por GuardDuty.

    • Ruta ejecutable: la ruta absoluta del archivo ejecutable del proceso.

    • ID del usuario efectivo: el ID del usuario efectivo del proceso en el momento del evento.

    • UUID principal: el ID único del proceso principal. GuardDuty asigna este ID al proceso principal.

    • Hora de inicio: la hora en la que se ha iniciado el proceso.

    • PID del espacio de nombres: el ID del proceso en un espacio de nombres de PID secundario distinto del espacio de nombres de PID del host. En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor.

    • ID del usuario: el ID del usuario que ejecutó el proceso.

    • Nombre: el nombre del proceso.

Contexto del tiempo de ejecución

De los siguientes campos, un resultado generado puede incluir solo los campos que son relevantes para el tipo de resultado.

  • Origen de la montura: la ruta en el host que monta el contenedor.

  • Destino de la montura: la ruta del contenedor que está asignada al directorio del host.

  • Tipo de sistema de archivos: representa el tipo de sistema de archivos montado.

  • Marcas: representan las opciones que controlan el comportamiento del evento implicado en este resultado.

  • Proceso de modificación: información sobre el proceso que ha creado o modificado un binario, un script o una biblioteca dentro de un contenedor en tiempo de ejecución.

  • Modificado el: la marca de tiempo en la que el proceso ha creado o modificado un binario, un script o una biblioteca dentro de un contenedor en tiempo de ejecución. Este campo está en formato de cadena de fecha UTC (2023-03-22T19:37:20.168Z).

  • Ruta de la biblioteca: la ruta a la nueva biblioteca que se ha cargado.

  • Valor de precarga de LD: el valor de la variable de entorno LD_PRELOAD.

  • Ruta del socket: la ruta al socket de Docker al que se accedió.

  • Ruta al binario Runc: la ruta al binario runc.

  • Ruta del agente de lanzamiento: la ruta al archivo del agente de lanzamiento del cgroup.

  • Ejemplo de línea de comandos: ejemplo de la línea de comandos implicada en la actividad potencialmente sospechosa.

  • Categoría de herramienta: categoría a la que pertenece la herramienta. Algunos ejemplos son las herramientas de puerta trasera, prueba de penetración, analizador de red y rastreador de red.

  • Nombre de la herramienta: el nombre de la herramienta potencialmente sospechosa.

  • Ruta del script: la ruta al script ejecutado que generó el resultado.

  • Ruta del archivo de amenazas: la ruta sospechosa en la que se encontraron los detalles de la inteligencia de amenazas.

  • Nombre del servicio: el nombre del servicio de seguridad que se ha desactivado.

  • Nombre del módulo: nombre del módulo que se carga en el kernel.

  • Módulo SHA256: el hash SHA256 del módulo.

  • Ruta del archivo del módulo: ruta del módulo cargado en el kernel.

Detalles del análisis de volúmenes de EBS

nota

Esta sección se aplica a los resultados cuando se activa el análisis de malware iniciado por GuardDuty en Protección contra malware para EC2.

El análisis de volúmenes de EBS proporciona detalles sobre el volumen de EBS asociado a la carga de trabajo del contenedor o la instancia de EC2 potencialmente afectada.

  • ID de análisis: el identificador del análisis de malware.

  • Análisis iniciado el: la fecha y hora en que inició el análisis de malware.

  • Análisis completado el: la fecha y la hora en que se completó el análisis de malware.

  • ID de resultado desencadenador: el ID del resultado de GuardDuty que inició este análisis de malware.

  • Orígenes: los valores potenciales son Bitdefender y Amazon.

    Para obtener más información sobre el motor de análisis utilizado para detectar malware, consulte Motor de análisis de detección de malware de GuardDuty.

  • Detecciones de análisis: la vista completa de los detalles y los resultados de cada análisis de malware.

    • Recuento de elementos analizados: el número total de archivos analizados. Proporciona detalles como totalGb, files y volumes.

    • Recuento de elementos de amenazas detectadas: el número total de files maliciosos detectados durante el análisis.

    • Detalles de las amenazas de mayor gravedad: los detalles de la amenaza de mayor gravedad detectada durante el análisis y el número de archivos maliciosos. Proporciona detalles como severity, threatName y count.

    • Amenazas detectadas por nombre: el elemento del contenedor que agrupa las amenazas de todos los niveles de gravedad. Proporciona detalles como itemCount, uniqueThreatNameCount, shortened y threatNames.

Detalles de los resultados de Malware Protection for EC2

nota

Esta sección se aplica a los resultados cuando se activa el análisis de malware iniciado por GuardDuty en Protección contra malware para EC2.

Cuando el análisis de Malware Protection for EC2 detecta malware, podrá ver los detalles del análisis al seleccionar el resultado correspondiente en la página Resultados de la consola https://console.aws.amazon.com/guardduty/. La gravedad del resultado de Malware Protection for EC2 depende de la gravedad del resultado de GuardDuty.

La siguiente información está disponible en la sección Amenazas detectadas del panel de detalles.

  • Nombre: el nombre de la amenaza, obtenido al agrupar los archivos por detección.

  • Gravedad: el nivel de gravedad de la amenaza detectada.

  • Hash: el SHA-256 del archivo.

  • Ruta de archivo: la ubicación del archivo malicioso en el volumen de EBS.

  • Nombre de archivo: el nombre del archivo en el que se detectó la amenaza.

  • ARN del volumen: el ARN de los volúmenes de EBS analizados.

La siguiente información está disponible en la sección Detalles del análisis de malware del panel de detalles.

  • ID de análisis: el ID del análisis de malware.

  • Análisis iniciado el: la fecha y hora en que inició el análisis.

  • Análisis completado el: la fecha y la hora en que se completó el análisis.

  • Archivos analizados: el número total de archivos y directorios analizados.

  • Total de GB analizados: la cantidad de almacenamiento analizada durante el proceso.

  • ID de resultado desencadenador: el ID del resultado de GuardDuty que inició este análisis de malware.

  • La siguiente información está disponible en la sección Detalles del volumen del panel de detalles.

    • ARN del volumen: el nombre de recurso de Amazon (ARN) del volumen.

    • SnapshotARN: el ARN de la instantánea del volumen de EBS.

    • Estado: el estado de análisis del volumen, como Running, Skipped y Completed.

    • Tipo de cifrado: el tipo de cifrado utilizado en el volumen. Por ejemplo, CMCMK.

    • Nombre del dispositivo: el nombre del dispositivo. Por ejemplo, /dev/xvda.

Detalles de los resultados de la protección contra malware para S3

Los siguientes detalles de análisis de malware están disponibles al habilitar tanto GuardDuty como la protección contra malware para S3 en la Cuenta de AWS:

  • Amenazas: una lista de las amenazas detectadas durante el análisis de malware.

    Múltiples amenazas potenciales en archivos de archivo

    Si tiene un archivo de archivo con varias amenazas potenciales, la protección contra malware para S3 solo informa de la primera amenaza detectada. Tras ello, el estado del análisis se marca como completo. GuardDuty genera el tipo de resultado asociado y también envía los eventos de EventBridge que genera. Para obtener más información sobre la supervisión de los análisis de objetos de Amazon S3 mediante los eventos de EventBridge, consulte el esquema de notificaciones de muestra correspondiente a THREATS_FOUND en Producto del análisis del objeto S3.

  • Ruta del elemento: una lista de rutas de elementos anidados y detalles del hash del objeto de S3 analizado.

    • Ruta del elemento anidado: ruta del elemento del objeto de S3 analizado en el que se detectó la amenaza.

      El valor de este campo solo estará disponible si el objeto de nivel superior es un archivo y si se detecta una amenaza dentro de un archivo.

    • Hash: hash de la amenaza detectada en este resultado.

  • Orígenes: los valores potenciales son Bitdefender y Amazon.

    Para obtener más información sobre el motor de análisis utilizado para detectar malware, consulte Motor de análisis de detección de malware de GuardDuty.

Acción

La acción de un resultado proporciona detalles sobre el tipo de actividad que desencadenó el resultado. La información disponible variará en función del tipo de acción.

Tipo de acción: el tipo de actividad del resultado. Este valor puede ser NETWORK_CONNECTION, PORT_PROBE, DNS_REQUEST, AWS_API_CALL o RDS_LOGIN_ATTEMPT. La información disponible variará en función del tipo de acción:

  • NETWORK_CONNECTION: indica que hubo un intercambio de tráfico de la red entre la instancia de EC2 identificada y el host remoto. Este tipo de acción presenta la siguiente información adicional:

    • Dirección de conexión: la dirección de la conexión de red observada en la actividad que solicitó a GuardDuty la generación del resultado. Puede ser uno de los siguientes valores:

      • INBOUND: indica que un host remoto inició una conexión con un puerto local en la instancia de EC2 identificada en su cuenta.

      • OUTBOUND: indica que la instancia de EC2 identificada inició una conexión a un host remoto.

      • UNKNOWN indica que GuardDuty no pudo determinar la dirección de la conexión.

    • Protocolo: el protocolo de conexión de red observado en la actividad que solicitó a GuardDuty la generación del resultado.

    • IP local: la dirección IP de origen original del tráfico que activó el resultado. Se puede usar esta información para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, la dirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el pod EKS.

    • Bloqueado: indica si el puerto objetivo está bloqueado.

  • PORT_PROBE: indica que un host remoto sondeó la instancia de EC2 identificada en varios puertos abiertos. Este tipo de acción presenta la siguiente información adicional:

    • IP local: la dirección IP de origen original del tráfico que activó el resultado. Se puede usar esta información para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, la dirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el pod EKS.

    • Bloqueado: indica si el puerto objetivo está bloqueado.

  • DNS_REQUEST: indica que la instancia de EC2 identificada consultó un nombre de dominio. Este tipo de acción presenta la siguiente información adicional:

    • Protocolo: el protocolo de conexión de red observado en la actividad que solicitó a GuardDuty la generación del resultado.

    • Bloqueado: indica si el puerto objetivo está bloqueado.

  • AWS_API_CALL: indica que se ha invocado una API de AWS. Este tipo de acción presenta la siguiente información adicional:

    • API: el nombre de la operación de API a la que se invocó y que solicitó a GuardDuty la generación de este resultado.

      nota

      Estas operaciones también pueden incluir eventos que no pertenecen a la API capturados por AWS CloudTrail. Para más información, consulte Non-API events captured by CloudTrail.

    • Agente de usuario: el agente de usuario que hizo la solicitud de API. Este valor indica si la llamada se hizo desde la Consola de administración de AWS, un servicio de AWS, los AWS SDK o la AWS CLI.

    • CÓDIGO DE ERROR: si una llamada fallida a la API ha desencadenado el resultado, se muestra el código de error de esa llamada.

    • Nombre del servicio: el nombre de DNS del servicio que ha intentado hace la llamada a la API que desencadenó el resultado.

  • RDS_LOGIN_ATTEMPT: indica que se intentó iniciar sesión en la base de datos potencialmente afectada desde una dirección IP remota.

    • Dirección IP: la dirección IP remota que se utilizó para llevar a cabo el intento de inicio de sesión potencialmente sospechoso.

Actor u objetivo

Un resultado tendrá una sección Actor si el Rol de recurso era TARGET. Esto indica que su recurso fue objeto de actividad sospechosa y la sección Actor contendrá detalles sobre la entidad que tenía el recurso como objetivo.

Un resultado tendrá una sección Objetivo si el Rol de recurso era ACTOR. Esto indica que su recurso estuvo involucrado en actividad sospechosa contra un host remoto y esta sección contendrá información sobre la IP o el dominio que era el objetivo de su recurso.

La información disponible en la sección Actor u Objetivo puede incluir lo siguiente:

  • Afiliado: detalles sobre si la cuenta de AWS de la persona que llama a la API remota está relacionada con su entorno de GuardDuty. Si este valor es true, la persona que llama a la API está afiliada a su cuenta de alguna manera; si es false, la persona que llama a la API es ajena a su entorno.

  • ID de cuenta remota: el ID de cuenta propietaria de la dirección IP saliente que se utilizó para acceder al recurso en la red final.

  • Dirección IP: la dirección IP implicada en la actividad que solicitó a GuardDuty la generación del resultado.

  • Ubicación: la información de ubicación de la dirección IP implicada en la actividad que solicitó a GuardDuty la generación del resultado.

  • Organización: la información de la organización de ISP de la dirección IP implicada en la actividad que solicitó a GuardDuty la generación del resultado.

  • Puerto: el número del puerto implicado en la actividad que solicitó a GuardDuty la generación del resultado.

  • Dominio: el dominio implicado en la actividad que solicitó a GuardDuty la generación del resultado.

  • Dominio con sufijo: el dominio de segundo y primer nivel implicado en una actividad que posiblemente haya solicitado a GuardDuty la generación del resultado. Para obtener una lista de dominios de primer y segundo nivel, consulte la lista de sufijos públicos.

Detalles de geolocalización

GuardDuty determina la ubicación de las solicitudes mediante las bases de datos GeoIP de MaxMind. MaxMind informa de una precisión muy alta de sus datos a nivel de país, aunque la precisión varía según factores como el país y el tipo de dirección IP.

Para obtener más información sobre MaxMind, consulte Geolocalización IP de MaxMind. Si cree que alguno de los datos de GeoIP es incorrecto, puede enviar una solicitud de corrección a MaxMind en Corregir datos GeoIP2 de MaxMind.

Información adicional

Todos los resultados tienen una sección de Información adicional donde se puede encontrar la siguiente información:

  • Nombre de la lista de amenazas: el nombre de la lista de amenazas que incluye la dirección IP o el nombre de dominio implicado en la actividad para la que se solicitó a GuardDuty que generara el resultado.

  • Muestra: un valor verdadero o falso que indica si se trata de un resultado de muestra.

  • Archivado: un valor verdadero o falso que indica si el resultado se ha archivado.

  • Inusual: detalles de las actividades que no se han observado históricamente. Pueden incluir cualquier usuario, hora, ubicación, bucket, comportamiento de inicio de sesión u organización de ASN inusuales (no observados previamente).

  • Protocolo inusual: el protocolo de conexión de red implicado en la actividad que solicitó a GuardDuty la generación del resultado.

  • Detalles del agente: detalles sobre el agente de seguridad que está implementado actualmente en el clúster de EKS de su Cuenta de AWS. Esto solo se aplica a los tipos de resultados de la Supervisión en tiempo de ejecución de EKS.

    • Versión del agente: la versión del agente de seguridad de GuardDuty.

    • ID del agente: el identificador único del agente de seguridad de GuardDuty.

Evidencia

Los resultados que se obtienen mediante la inteligencia sobre amenazas tienen una sección de Evidencia que incluye la siguiente información:

  • Detalles de inteligencia de amenazas: el nombre de la lista de amenazas en la que aparece el Threat name reconocido.

  • Nombre de la amenaza: el nombre de la familia de malware u otro identificador asociado a la amenaza.

  • Archivo de amenaza SHA256: SHA256 del archivo que generó el resultado.

Comportamiento anómalo

Los tipos de resultados que terminan en AnomalousBehavior indican que el resultado se ha generado mediante el modelo de machine learning (ML) de detección de anomalías de GuardDuty. El modelo de ML evalúa todas las solicitudes de API a su cuenta e identifica los eventos anómalos relacionados con las tácticas utilizadas por los adversarios. El modelo de ML da seguimiento a varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó.

Los detalles sobre qué factores de la solicitud de API son inusuales para la identidad del usuario de CloudTrail que ha invocado la solicitud se encuentran en los detalles del resultado. Las identidades las define el elemento userIdentity de CloudTrail y los valores posibles son: Root, IAMUser, AssumedRole, FederatedUser, AWSAccount o AWSService.

Además de los detalles disponibles para todos los resultados de GuardDuty asociados con la actividad de la API, los resultados de AnomalousBehavior tienen detalles adicionales que se describen en la siguiente sección. Estos detalles se pueden ver en la consola y también están disponibles en el JSON de los resultados.

  • API anómalas: lista de solicitudes de API invocadas por la identidad del usuario cerca de la solicitud de API principal asociada al resultado. En este panel se desglosan en profundidad los detalles del evento de la API de las siguientes maneras.

    • La primera API de la lista es la API principal, que es la solicitud de API asociada a la actividad observada de mayor riesgo. Esta es la API que ha desencadenado el resultado y se correlaciona con la fase de ataque del tipo de resultado. Esta es también la API que se detalla en la sección Acción de la consola y en el JSON del resultado.

    • Todas las demás API de la lista son API anómalas adicionales a la identidad de usuario de la lista observadas cerca de la API principal. Si solo hay una API en la lista, el modelo de ML no ha identificado como anómala ninguna solicitud de API adicional procedente de esa identidad de usuario.

    • La lista de API se divide en función de si una API se llamó correctamente o si se llamó de forma incorrecta, lo que significa que se recibió una respuesta de error. El tipo de respuesta de error recibida aparece encima de cada API llamada incorrectamente. Los posibles tipos de respuesta de error son: access denied, access denied exception, auth failure, instance limit exceeded, invalid permission - duplicate, invalid permission - not found y operation not permitted.

    • Las API se clasifican según su servicio asociado.

    • Para obtener más contexto, seleccione API históricas para ver los detalles sobre las API principales, hasta un máximo de 20, que normalmente se muestran tanto para la identidad del usuario como para todos los usuarios de la cuenta. Las API se marcan como Raro (menos de una vez al mes), Poco frecuente (varias veces al mes) o Frecuente (diario o semanal), en función de la frecuencia con la que se usen en la cuenta.

  • Comportamiento inusual (cuenta): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado de su cuenta.

    Comportamiento perfilado

    GuardDuty aprende continuamente sobre las actividades dentro de la cuenta en función de los eventos entregados. Estas actividades y su frecuencia observada se conocen como comportamiento perfilado.

    La información rastreada en este panel incluye:

    • Organización de ASN: la organización de número de sistema autónomo (ASN) desde la que se realizó la llamada anómala a la API.

    • Nombre de usuario: el nombre del usuario que hizo la llamada anómala a la API.

    • Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, aws-cli o Botocore.

    • Tipo de usuario: el tipo de usuario que hizo la llamada anómala a la API. Los valores posibles son AWS_SERVICE, ASSUMED_ROLE, IAM_USER o ROLE.

    • Bucket: el nombre del bucket de S3 al que se ha accedido.

  • Comportamiento inusual (identidad de usuario): en esta sección se proporcionan detalles adicionales sobre el comportamiento perfilado de la identidad de usuario implicado en el resultado. Cuando un comportamiento no se identifica como histórico, significa que el modelo de ML de GuardDuty no había visto anteriormente que esta identidad de usuario hiciera esta llamada a la API de esta manera durante el periodo de entrenamiento. Los siguientes detalles adicionales sobre la identidad de usuario están disponibles:

    • Organización de ASN: la organización de ASN desde la que se hizo la llamada anómala a la API.

    • Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, aws-cli o Botocore.

    • Bucket: el nombre del bucket de S3 al que se ha accedido.

  • Comportamiento inusual (bucket): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado del bucket de S3 asociado al resultado. Cuando un comportamiento no se identifica como histórico, significa que el modelo de ML de GuardDuty no había visto anteriormente que se hicieran llamadas a la API desde este bucket, de esta manera, durante el periodo de entrenamiento. La información rastreada en esta sección incluye:

    • Organización de ASN: la organización de ASN desde la que se hizo la llamada anómala a la API.

    • Nombre de usuario: el nombre del usuario que hizo la llamada anómala a la API.

    • Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, aws-cli o Botocore.

    • Tipo de usuario: el tipo de usuario que hizo la llamada anómala a la API. Los valores posibles son AWS_SERVICE, ASSUMED_ROLE, IAM_USER o ROLE.

    nota

    Para más información sobre los comportamientos históricos, seleccione Comportamiento histórico en las secciones Comportamiento inusual (cuenta), ID de usuario o Bucket para ver detalles sobre el comportamiento esperado de su cuenta en cada una de las siguientes categorías: Raro (menos de una vez al mes), Poco frecuente (varias veces al mes) o Frecuente (diario o semanal), según la frecuencia con la que se usen en la cuenta.

  • Comportamiento inusual (base de datos): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado de la instancia de base de datos asociada al resultado. Cuando un comportamiento no se identifica como histórico, significa que el modelo de ML de GuardDuty no había visto anteriormente un intento de inicio de sesión a esta instancia de base de datos, de esta manera, durante el periodo de entrenamiento. La información recopilada en esta sección del panel de resultados incluye:

    • Nombre de usuario: el nombre de usuario utilizado para llevar a cabo el intento de inicio de sesión anómalo.

    • Organización de ASN: la organización de ASN desde la que se hizo el intento de inicio de sesión anómalo.

    • Nombre de la aplicación: el nombre de la aplicación utilizada para llevar a cabo el intento de inicio de sesión anómalo.

    • Nombre de base de datos: el nombre de la instancia de base de datos implicada en el intento de inicio de sesión anómalo.

    La sección Comportamiento histórico proporciona más contexto sobre los Nombres de usuario, Organizaciones de ASN, Nombres de las aplicaciones y Nombres de bases de datos observados anteriormente para la base de datos asociada. Cada valor único tiene un recuento asociado que representa el número de veces que se observó este valor en un evento de inicio de sesión exitoso.

  • Comportamiento inusual (clúster de Kubernetes de la cuenta, espacio de nombres de Kubernetes y nombre de usuario de Kubernetes): esta sección proporciona detalles adicionales sobre el comportamiento perfilado para el clúster de Kubernetes y el espacio de nombres asociados al resultado. Cuando un comportamiento no es identificado como histórico, significa que el modelo de ML de GuardDuty no ha observado previamente esta cuenta, clúster, espacio de nombres o nombre de usuario de esta manera. La información recopilada en esta sección del panel de resultados incluye:

    • Nombre de usuario: el usuario que llamó a la API de Kubernetes asociada al resultado.

    • Nombre de usuario suplantado: el usuario suplantado por username.

    • Espacio de nombres: el espacio de nombres de Kubernetes dentro del clúster de Amazon EKS en el que se produjo la acción.

    • Agente de usuario: el agente de usuario asociado a la llamada a la API de Kubernetes. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, kubectl.

    • API: la API de Kubernetes llamada por username dentro del clúster de Amazon EKS.

    • Información de ASN: la información de ASN, como la organización y el proveedor de servicios de Internet, asociada a la dirección IP del usuario que realiza esta llamada.

    • Día de la semana: el día de la semana en que se realizó la llamada a la API de Kubernetes.

    • Permiso: el verbo de Kubernetes y el recurso cuyo acceso se comprueba para indicar si el username puede o no utilizar la API de Kubernetes.

    • Nombre de la cuenta de servicio: la cuenta de servicio asociada a la carga de trabajo de Kubernetes que proporciona una identidad a la carga de trabajo.

    • Registro: el registro del contenedor asociado a la imagen del contenedor que se implementa en la carga de trabajo de Kubernetes.

    • Imagen: la imagen de contenedor, sin las etiquetas ni el resumen asociados, que se implementa en la carga de trabajo de Kubernetes.

    • Configuración del prefijo de la imagen: el prefijo de la imagen con la configuración de seguridad del contenedor y la carga de trabajo habilitada, por ejemplo hostNetwork o privileged para el contenedor que usa la imagen.

    • Nombre del sujeto: los sujetos, como un user, group, o serviceAccountName que están vinculados a un rol de referencia en un RoleBinding o ClusterRoleBinding.

    • Nombre del rol: el nombre del rol que participa en la creación o modificación de roles o en la API roleBinding.

Anomalías basadas en el volumen de S3

En esta sección, se detalla la información contextual de las anomalías basadas en el volumen de S3. El resultado basado en el volumen (Exfiltration:S3/AnomalousBehavior) supervisa un número inusual de llamadas a la API de S3 hechas por los usuarios a los buckets de S3, lo que indica una posible exfiltración de datos. Las siguientes llamadas a la API de S3 se supervisan para detectar anomalías basadas en el volumen.

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

Las siguientes métricas ayudarían a crear una referencia del comportamiento habitual cuando una entidad de IAM accede a un bucket de S3. Para detectar la exfiltración de datos, el resultado de la detección de anomalías basada en el volumen evalúa todas las actividades con respecto a la referencia de comportamiento habitual. Seleccione Comportamiento histórico en las secciones Comportamiento inusual (identidad de usuario), Volumen observado (identidad de usuario) y Volumen observado (bucket) para ver las siguientes métricas, respectivamente.

  • Número de llamadas a la API s3-api-name invocadas por el usuario de IAM o rol de IAM (depende de cuál se haya emitido) asociados al bucket de S3 afectado en las últimas 24 horas.

  • Número de llamadas a la API s3-api-name invocadas por el usuario de IAM o rol de IAM (depende de cuál se haya emitido) asociados a todos los buckets de S3 afectados en las últimas 24 horas.

  • Número de llamadas a la API s3-api-name en todos los usuarios de IAM o roles de IAM (depende de cuál se haya emitido) asociados al bucket de S3 afectado en las últimas 24 horas.

Anomalías basadas en la actividad de inicio de sesión en RDS

En esta sección, se detalla el recuento de los intentos de inicio de sesión de un actor inusual y se agrupa por el resultado de los intentos de inicio de sesión. Tipos de resultados de la protección de RDS identifica el comportamiento anómalo mediante la supervisión de los eventos de inicio de sesión para detectar patrones inusuales de successfulLoginCount, failedLoginCount y incompleteConnectionCount.

  • successfulLoginCount: este contador representa la suma de las conexiones correctas (combinación correcta de atributos de inicio de sesión) hechas a la instancia de base de datos por un actor inusual. Los atributos de inicio de sesión incluyen el nombre de usuario, la contraseña y el nombre de la base de datos.

  • failedLoginCount: este contador representa la suma de los intentos de inicio de sesión fallidos (incorrectos) hechos para establecer una conexión con la instancia de base de datos. Esto indica que uno o varios atributos de la combinación de inicio de sesión, como el nombre de usuario, la contraseña o el nombre de la base de datos, eran incorrectos.

  • incompleteConnectionCount: este contador representa el número de intentos de conexión que no se pueden clasificar como exitosos o fallidos. Estas conexiones se cierran antes de que la base de datos proporcione una respuesta. Por ejemplo, se analiza un puerto cuando el puerto de la base de datos está conectado, pero no se envía ningún dato a la base de datos o cuando la conexión se interrumpió antes de que se completara el inicio de sesión en un intento exitoso o fallido.