Ver los resultados generados en la consola de GuardDuty - Amazon GuardDuty
Navegación en la página Resultados

Ver los resultados generados en la consola de GuardDuty

Cuando GuardDuty detecta una actividad que coincide con el patrón de un problema de seguridad, GuardDuty genera un resultado. Este resultado está asociado a un tipo de recurso que puede haberse visto comprometido durante esta actividad. Puede ver los detalles asociados a cada tipo de resultado que GuardDuty genera.

Si utiliza una cuenta de administrador de GuardDuty, puede ver los resultados generados en nombre de las cuentas de miembro. Sin embargo, una cuenta de miembro puede ver los resultados generados en su propia cuenta. Una cuenta de miembro no puede ver los resultados generados por otras cuentas de miembro.

Pasos para ver los resultados en la consola de GuardDuty

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación izquierdo, elija Resultados.

    GuardDuty muestra los resultados en formato tabular. De forma predeterminada, esta tabla se ordena en orden decreciente según el valor de la columna Vista por última vez y muestra los resultados más recientes en la parte superior.

    Los resultados con el icono de una espada ( Sword icon that represents attack sequence finding in GuardDuty console. ) representan un resultado de la secuencia de ataque.

  3. Para ver los detalles asociados a un resultado, seleccione su título. Se abrirá el panel lateral de detalles del resultado. Para los resultados de una secuencia de ataque, este panel lateral incluye una versión resumida de la secuencia de ataque y, para ampliar esta vista, seleccione Ver detalles.

    Para obtener información acerca de los campos que aparecen en este panel lateral, consulte Detalles de los resultados.

  4. (Opcional) para descargar resultados JSON

    1. Seleccione el resultado y, a continuación, elija el menú Acciones.

    2. En el menú Acciones, elija Exportar.

    3. En la ventana Resultados JSON, seleccione Descargar.

      nota

      En algunos casos, GuardDuty se da cuenta de que algunos resultados son falsos positivos una vez que se han generado. GuardDuty proporciona un campo Confianza en el JSON del resultado y establece su valor en cero. De esta forma, GuardDuty le permite saber que puede ignorar estos resultados de forma segura.

      Los resultados sin el campo Confianza no se consideran falsos positivos.

Navegación en la página Resultados

Esta sección proporciona información clave sobre varios elementos de la página Resultados. Esto le ayudará a analizar los resultados generados para analizar las amenazas y responder a ellas.

En la siguiente lista se explican los elementos de la página Resultados que le ayudarán a comprender mejor los resultados generados:

  • Tipo de amenaza:

    El tipo de amenaza incluye los resultados individuales de GuardDuty y los resultados de la secuencia de ataque. De forma predeterminada, la página muestra Todos los resultados.

    Para filtrar la vista de la tabla de resultados, en el menú Tipo de amenaza, seleccione una de las opciones: Solo resultados de la secuencia de ataque o Solo resultados individuales.

  • Columnas de recursos y recuento:

    La columna Recursos de la tabla de resultados muestra el nombre del recurso de AWS potencialmente comprometido. En el caso de un resultado de una secuencia de ataque, esta columna muestra la cantidad de recursos de AWS potencialmente comprometidos. Para ver los nombres de los recursos, seleccione el número que aparece en la columna Recurso.

    La columna Recuento indica el número de veces que GuardDuty observa un resultado específico. Cuando GuardDuty detecta una actividad que coincide con un problema de seguridad identificado anteriormente, aumenta el recuento de ese resultado específico. En el caso de un resultado de la secuencia de un ataque, el valor de esta columna indica el número total de señales y resultados involucrados en la generación del resultado.

  • Clasificación de los resultados por columnas de la tabla:

    Si hay una flecha junto al encabezado de una columna, puede ordenar la tabla de resultados en función de la columna. Seleccione el encabezado de la columna para ordenar los resultados en orden creciente o decreciente según el valor de esa columna.

  • Filtrado de resultados:

    En función de atributos de propiedad específicos, como Account ID y Resource type, puede filtrar aún más la tabla de resultado. Para obtener más información sobre los tipos de filtros que puede utilizar, consulte Filtrar los resultados de GuardDuty.

  • Reglas de estado y guardadas:

    El menú Estado incluye dos valores: Actual y Archivado. La vista predeterminada es resultados actuales en la tabla.

    Cuando ya no desee que GuardDuty genere un resultado que coincida con un criterio específico, puede suprimir ese resultado. GuardDuty archiva ese resultado. Cuando GuardDuty vuelva a detectar este resultado, no se le notificará esta observación. Para ver específicamente los resultados archivados, en el menú de estado, seleccione Archivado.

    Las reglas guardadas son una característica que le ayuda a filtrar automáticamente los resultados que coinciden con un criterio específico y a tomar medidas al respecto. Las acciones pueden incluir archivar los resultados o suprimirlos de futuras notificaciones.

    Para obtener más información, consulte Reglas de supresión.