Controles de Security Hub para Amazon GuardDuty
Estos controles de AWS Security Hub CSPM evalúan el servicio y los recursos de Amazon GuardDuty. Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[GuardDuty.1] Debe habilitarse GuardDuty
Requisitos relacionados: NIST.800-53.r5 AC-2(12), NIST.800-53.r5 AU-6(1), NIST.800-53.r5 AU-6(5), NIST.800-53.r5 CA-7, NIST.800-53.r5 CM-8(3), NIST.800-53.r5 RA-3(4), NIST.800-53.r5 SA-11(1), NIST.800-53.r5 SA-11(6), NIST.800-53.r5 SA-15(2), NIST.800-53.r5 SA-15(8), NIST.800-53.r5 SA-8(19), NIST.800-53.r5 SA-8(21), NIST.800-53.r5 SA-8(25), NIST.800-53.r5 SC-5, NIST.800-53.r5 SC-5(1), NIST.800-53.r5 SC-5(3), NIST.800-53.r5 SI-20, NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4(1), NIST.800-53.r5 SI-4(13), NIST.800-53.r5 SI-4(2), NIST.800-53.r5 SI-4(22), NIST.800-53.r5 SI-4(25), NIST.800-53.r5 SI-4(4), NIST.800-53.r5 SI-4(5), NIST.800-171.r2 3.4.2, NIST.800-171.r2 3.14.6, NIST.800-171.r2 3.14.7, PCI DSS v3.2.1/11.4, PCI DSS v4.0.1/11.5.1
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::::Account
AWS Config Regla de: guardduty-enabled-centralized
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si Amazon GuardDuty está habilitado en su cuenta de GuardDuty y en su región.
Se recomienda ampliamente que habilite GuardDuty en todas las regiones de AWS compatibles. Esto permite a generar resultados sobre la actividad no autorizada o inusual incluso en las regiones que no usa de forma activa. Esto también permite a GuardDuty monitorear los eventos de CloudTrail de Servicios de AWS global, como IAM.
Corrección
Para habilitar GuardDuty, consulte Introducción a GuardDuty en la Guía del usuario de Amazon GuardDuty.
[GuardDuty.2] Los filtros GuardDuty deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::GuardDuty::Filter
Regla de AWS Config: tagged-guardduty-filter (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList: (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. |
No default value
|
Este control comprueba si un filtro de Amazon GuardDuty tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control falla si el filtro no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el filtro no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un filtro de GuardDuty, consulte TagResource en la Referencia de la API de Amazon GuardDuty.
[GuardDuty.3] Los IPSets de GuardDuty deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::GuardDuty::IPSet
Regla de AWS Config: tagged-guardduty-ipset (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList: (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. |
No default value
|
Este control comprueba si un IPSet de Amazon GuardDuty tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control falla si el IPSet no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el IPSet no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un IPSet de GuardDuty, consulte TagResource en la Referencia de la API de Amazon GuardDuty.
[GuardDuty.4] Los detectores de GuardDuty deben estar etiquetados
Categoría: Identificar > Inventario > Etiquetado
Gravedad: baja
Tipo de recurso: AWS::GuardDuty::Detector
Regla de AWS Config: tagged-guardduty-detector (regla personalizada de Security Hub)
Tipo de horario: provocado por un cambio
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Lista de claves de etiquetas que no corresponden al sistema que debe contener el recurso evaluado. Las claves de etiqueta distinguen entre mayúsculas y minúsculas. | StringList: (máximo de 6 elementos) | De 1 a 6 claves de etiquetas que cumplan los requisitos de AWS. |
No default value
|
Este control comprueba si un detector de Amazon GuardDuty tiene etiquetas con las claves específicas definidas en el parámetro requiredTagKeys. El control falla si el detector no tiene ninguna clave de etiqueta o si no tiene todas las claves especificadas en el parámetro requiredTagKeys. Si no se proporciona el parámetro requiredTagKeys, el control solo comprueba la existencia de una clave de etiqueta y falla si el detector no está etiquetado con ninguna clave. Las etiquetas del sistema, que se aplican automáticamente y comienzan con aws:, se ignoran.
Las etiquetas se pueden asignar a los recursos de AWS y constan de una clave y un valor opcional. Puede crear etiquetas para clasificar los recursos según su finalidad, propietario, entorno u otro criterio. Las etiquetas pueden ayudarlo a identificar, organizar, buscar y filtrar recursos. El etiquetado también ayuda a realizar un seguimiento de las acciones y las notificaciones de los propietarios responsables de los recursos. Cuando utiliza el etiquetado, puede implementar el control de acceso basado en atributos (ABAC) como estrategia de autorización, el cual define permisos en función de las etiquetas. Puede asociar etiquetas a entidades de IAM (usuarios o roles) y a recursos de AWS. Puede crear una única política de ABAC o un conjunto independiente de políticas para sus entidades principales de IAM. Puede diseñar estas políticas de ABAC de manera que permitan operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso. Para obtener más información, consulte ¿Qué es ABAC para AWS? en la Guía del usuario de IAM.
nota
No agregue información de identificación personal (PII) ni otra información confidencial en las etiquetas. Las etiquetas son accesibles para muchos Servicios de AWS, incluido AWS Billing. Para conocer más prácticas recomendadas para el etiquetado, consulte Etiquetado de recursos de AWS en la Referencia general de AWS.
Corrección
Para agregar etiquetas a un detector de GuardDuty, consulte TagResource en la Referencia de la API de Amazon GuardDuty.
[GuardDuty.5] La supervisión de registros de auditoría de EKS en GuardDuty debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regla de: guardduty-eks-protection-audit-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la supervisión de registros de auditoría de EKS en GuardDuty está activada. En el caso de una cuenta independiente, el control falla si la supervisión de registros de auditoría de EKS en GuardDuty está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si ni la cuenta de administrador delegado de GuardDuty ni ninguna de las cuentas de los miembros tienen habilitada la supervisión de registros de auditoría de EKS.
En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de GuardDuty. Solo el administrador delegado puede activar o desactivar la característica de la supervisión de registros de auditoría de EKS para las cuentas de los miembros en la organización. Las cuentas de miembros de GuardDuty no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado de GuardDuty tiene una cuenta de miembro suspendida que no tiene habilitada la supervisión de registros de auditoría de EKS. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en GuardDuty.
La supervisión de registros de auditoría de EKS en GuardDuty lo ayuda a detectar actividades potencialmente sospechosas en los clústeres de Amazon Elastic Kubernetes Service (Amazon EKS). La supervisión de registros de auditoría de EKS utiliza los registros de auditoría de Kubernetes para capturar las actividades cronológicas de los usuarios, las aplicaciones que utilizan la API de Kubernetes y el plano de control.
Corrección
Para activar la supervisión de registros de auditoría de EKS en GuardDuty, consulte Supervisión de registros de auditoría de EKS en la Guía del usuario de Amazon GuardDuty.
[GuardDuty.6] La protección de Lambda en GuardDuty debe habilitarse
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regla de: guardduty-lambda-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la protección de Lambda en GuardDuty está activada. En el caso de una cuenta independiente, el control falla si la protección de Lambda en GuardDuty está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si ni la cuenta de administrador delegado de GuardDuty ni ninguna de las cuentas de los miembros tienen habilitada la protección de Lambda.
En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de GuardDuty. Solo el administrador delegado puede activar o desactivar la característica de la protección de Lambda para las cuentas de los miembros en la organización. Las cuentas de miembros de GuardDuty no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado de GuardDuty tiene una cuenta de miembro suspendida que no tiene habilitada la protección de Lambda en GuardDuty. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en GuardDuty.
La protección de Lambda en GuardDuty lo ayuda a identificar posibles amenazas de seguridad cuando se invoca una función de AWS Lambda. Después de activar la protección de Lambda, GuardDuty comienza a supervisar los registros de actividad de red de Lambda asociados a las funciones de Lambda de su Cuenta de AWS. Cuando una función de Lambda se invoca y GuardDuty identifica tráfico de red sospechoso que indica la presencia de un fragmento de código potencialmente malintencionado en su función de Lambda, GuardDuty genera un resultado.
Corrección
Para activar la protección de Lambda en GuardDuty, consulte Configuración de la protección de Lambda en la Guía del usuario de Amazon GuardDuty.
[GuardDuty.7] La supervisión en tiempo de ejecución de EKS en GuardDuty debe estar habilitada
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoría: Detectar - Servicios de detección
Gravedad: media
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regla de: guardduty-eks-protection-runtime-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la supervisión en tiempo de ejecución de EKS en GuardDuty con administración automática de agentes está habilitada. En el caso de una cuenta independiente, el control falla si la supervisión en tiempo de ejecución de EKS en GuardDuty con administración automática de agentes está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si ni la cuenta de administrador delegado de GuardDuty ni ninguna de las cuentas de los miembros tienen habilitada la supervisión en tiempo de ejecución de EKS con administración automática de agentes.
En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de GuardDuty. Solo el administrador delegado puede activar o desactivar la característica de la supervisión en tiempo de ejecución de EKS con administración automática de agentes para las cuentas de los miembros en la organización. Las cuentas de miembros de GuardDuty no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado de GuardDuty tiene una cuenta de miembro suspendida que no tiene habilitada la supervisión en tiempo de ejecución de EKS. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en GuardDuty.
La protección de EKS en Amazon GuardDuty proporciona una cobertura de detección de amenazas para ayudarlo a proteger los clústeres de Amazon EKS en su entorno de AWS. La supervisión en tiempo de ejecución de EKS utiliza los eventos de nivel de sistema operativo para ayudarlo a detectar posibles amenazas en los nodos y contenedores de EKS de sus clústeres de EKS.
Corrección
Para habilitar la supervisión en tiempo de ejecución de EKS con administración automática de agentes, consulte Habilitar la supervisión en tiempo de ejecución de GuardDuty en la Guía del usuario de Amazon GuardDuty.
[GuardDuty.8] La protección contra malware para EC2 en GuardDuty debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regla de: guardduty-malware-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la protección contra malware en GuardDuty está activada. En el caso de una cuenta independiente, el control falla si la protección contra malware en GuardDuty está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si ni la cuenta de administrador delegado de GuardDuty ni ninguna de las cuentas de los miembros tienen habilitada la protección contra malware.
En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de GuardDuty. Solo el administrador delegado puede activar o desactivar la característica de la protección contra malware para las cuentas de los miembros en la organización. Las cuentas de miembros de GuardDuty no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado de GuardDuty tiene una cuenta de miembro suspendida que no tiene habilitada la protección contra malware en GuardDuty. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en GuardDuty.
La protección contra malware para EC2 en GuardDuty ayuda a detectar la presencia potencial de malware mediante el análisis de los volúmenes de Amazon Elastic Block Store (Amazon EBS) adjuntados a las instancias y cargas de trabajo de contenedores de Amazon Elastic Compute Cloud (Amazon EC2). La protección contra malware ofrece opciones de análisis en las que puede decidir si desea incluir o excluir instancias y cargas de trabajo de contenedores específicas de EC2 en el momento del análisis. También ofrece la opción de retener las instantáneas de los volúmenes de EBS adjuntos a las instancias o cargas de trabajo de contenedores de EC2 en sus cuentas de GuardDuty. Las instantáneas se conservan solo cuando se encuentra malware y se generan los resultados de la protección contra malware.
Corrección
Para activar la protección contra malware para EC2 en GuardDuty, consulte Configuración del análisis de malware iniciado por GuardDuty en la Guía del usuario de Amazon GuardDuty.
[GuardDuty.9] La protección de RDS en GuardDuty debe habilitarse
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regla de: guardduty-rds-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la protección de RDS en GuardDuty está activada. En el caso de una cuenta independiente, el control falla si la protección de RDS en GuardDuty está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si ni la cuenta de administrador delegado de GuardDuty ni ninguna de las cuentas de miembros tienen habilitada la protección de RDS.
En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de GuardDuty. Solo el administrador delegado puede activar o desactivar la característica de la protección de RDS para las cuentas de los miembros en la organización. Las cuentas de miembros de GuardDuty no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado de GuardDuty tiene una cuenta de miembro suspendida que no tiene habilitada la protección de RDS en GuardDuty. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en GuardDuty.
La Protección de RDS en GuardDuty analiza y perfila la actividad de inicio de sesión en RDS para detectar posibles amenazas de acceso a sus bases de datos de Amazon Aurora (Aurora edición compatible con MySQL y Aurora edición compatible con PostgreSQL). Esta característica le permite identificar comportamientos de inicio de sesión potencialmente sospechosos. La protección de RDS no requiere infraestructura adicional; está diseñada para no afectar al rendimiento de las instancias de bases de datos. Cuando la protección de RDS detecta un intento de inicio de sesión sospechoso o anómalo que implica una amenaza para su base de datos, GuardDuty genera un nuevo resultado con detalles de la base de datos que está potencialmente afectada.
Corrección
Para habilitar la protección de RDS en GuardDuty, consulte Protección de RDS en GuardDuty en la Guía del usuario de Amazon GuardDuty.
[GuardDuty.10] La protección de S3 en GuardDuty debe habilitarse
Requisitos relacionados: PCI DSS v4.0.1/11.5.1
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regla de: guardduty-s3-protection-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si la protección de S3 en GuardDuty está activada. En el caso de una cuenta independiente, el control falla si la protección de S3 en GuardDuty está deshabilitada en la cuenta. En un entorno con varias cuentas, el control falla si ni la cuenta de administrador delegado de GuardDuty ni ninguna de las cuentas de los miembros tienen habilitada la protección de S3.
En un entorno con varias cuentas, el control genera resultados solo en la cuenta de administrador delegado de GuardDuty. Solo el administrador delegado puede activar o desactivar la característica de la protección de S3 para las cuentas de los miembros en la organización. Las cuentas de miembros de GuardDuty no pueden modificar esta configuración desde sus cuentas. Este control genera resultados FAILED si el administrador delegado de GuardDuty tiene una cuenta de miembro suspendida que no tiene habilitada la protección de S3 en GuardDuty. Para recibir un resultado PASSED, el administrador delegado debe desvincular estas cuentas suspendidas en GuardDuty.
La protección de S3 permite que GuardDuty supervise las operaciones de la API de nivel de objeto para identificar los posibles riesgos de seguridad para los datos de los buckets de Amazon Simple Storage Service (Amazon S3). GuardDuty supervisa las amenazas contra los recursos de S3 mediante el análisis de eventos de administración de AWS CloudTrail y eventos de datos de S3 CloudTrail.
Corrección
Para habilitar la protección de S3 en GuardDuty, consulte Protección de Amazon S3 en Amazon GuardDuty en la Guía del usuario de Amazon GuardDuty.
[GuardDuty.11] La supervisión en tiempo de ejecución de GuardDuty debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: alta
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regla de: guardduty-runtime-monitoring-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si la supervisión en tiempo de ejecución está habilitada en Amazon GuardDuty. En una cuenta independiente, el control falla si la supervisión en tiempo de ejecución de GuardDuty está desactivada para la cuenta. En un entorno con varias cuentas, el control falla si la supervisión en tiempo de ejecución de GuardDuty está desactivada tanto para la cuenta de administrador delegado de GuardDuty como para todas las cuentas de miembro.
En un entorno con varias cuentas, solo el administrador delegado de GuardDuty puede habilitar o desactivar la supervisión en tiempo de ejecución de GuardDuty para las cuentas de la organización. Además, solo el administrador de GuardDuty puede configurar y administrar los agentes de seguridad que GuardDuty utiliza para la supervisión en tiempo de ejecución de cargas de trabajo y recursos de AWS para las cuentas de la organización. Las cuentas de miembro de GuardDuty no pueden habilitar, configurar ni desactivar la supervisión en tiempo de ejecución para sus propias cuentas.
La supervisión en tiempo de ejecución de GuardDuty observa y analiza los eventos a nivel de sistema operativo, red y archivos para ayudar a detectar posibles amenazas en cargas de trabajo específicas del entorno de AWS. Utiliza agentes de seguridad de GuardDuty que aportan visibilidad sobre el comportamiento en tiempo de ejecución, como el acceso a archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar en busca de amenazas potenciales, como los clústeres de Amazon EKS y las instancias de Amazon EC2.
Corrección
Para obtener información sobre cómo configurar y habilitar la supervisión en tiempo de ejecución de GuardDuty, consulte Supervisión en tiempo de ejecución de GuardDuty y Habilitación de la supervisión en tiempo de ejecución de GuardDuty en la Guía del usuario de Amazon GuardDuty.
[GuardDuty.12] Se debe habilitar la supervisión en tiempo de ejecución de GuardDuty para ECS
Categoría: Detectar - Servicios de detección
Gravedad: media
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regla de: guardduty-ecs-protection-runtime-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control verifica si el agente de seguridad automatizado de Amazon GuardDuty está habilitado para la supervisión en tiempo de ejecución de clústeres de Amazon ECS en AWS Fargate. En una cuenta independiente, el control falla si el agente de seguridad está desactivado para dicha cuenta. En un entorno con varias cuentas, el control falla si el agente de seguridad está desactivado tanto para la cuenta del administrador delegado de GuardDuty como para todas las cuentas de miembro.
En un entorno con varias cuentas, este control genera resultados únicamente en la cuenta del administrador delegado de GuardDuty. Esto se debe a que solo el administrador delegado de GuardDuty puede habilitar o desactivar la supervisión en tiempo de ejecución de los recursos de ECS Fargate para las cuentas de su organización. Las cuentas de miembro de GuardDuty no pueden realizar esta acción en sus propias cuentas. Además, este control genera resultados de FAILED si GuardDuty se suspende para una cuenta de miembro y la supervisión en tiempo de ejecución de los recursos de ECS Fargate está desactivada para la cuenta de miembro. Para recibir un resultado PASSED, el administrador de GuardDuty debe desasociar la cuenta de miembro suspendida de su cuenta de administrador mediante GuardDuty.
La supervisión en tiempo de ejecución de GuardDuty observa y analiza los eventos a nivel de sistema operativo, red y archivos para ayudar a detectar posibles amenazas en cargas de trabajo específicas del entorno de AWS. Utiliza agentes de seguridad de GuardDuty que aportan visibilidad sobre el comportamiento en tiempo de ejecución, como el acceso a archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar en busca de amenazas potenciales. Esto incluye los clústeres de Amazon ECS en AWS Fargate.
Corrección
Para habilitar y administrar el agente de seguridad para la supervisión en tiempo de ejecución de GuardDuty en los recursos de ECS Fargate, debe usar GuardDuty directamente. No puede habilitarlo ni administrarlo manualmente para los recursos de ECS Fargate. Para obtener información sobre cómo habilitar y administrar el agente de seguridad, consulte Requisitos de compatibilidad de AWS Fargate (solo Amazon ECS) y Administración del agente de seguridad automatizado para AWS Fargate (solo Amazon ECS) en la Guía del usuario de Amazon GuardDuty.
[GuardDuty.13] La supervisión en tiempo de ejecución de EC2 en GuardDuty debe estar habilitada
Categoría: Detectar - Servicios de detección
Gravedad: media
Tipo de recurso: AWS::GuardDuty::Detector
AWS Config Regla de: guardduty-ec2-protection-runtime-enabled
Tipo de programa: Periódico
Parámetros: ninguno
Este control comprueba si el agente de seguridad automatizado de Amazon GuardDuty está habilitado para la supervisión en tiempo de ejecución de instancias de Amazon EC2. En una cuenta independiente, el control falla si el agente de seguridad está desactivado para dicha cuenta. En un entorno con varias cuentas, el control falla si el agente de seguridad está desactivado tanto para la cuenta del administrador delegado de GuardDuty como para todas las cuentas de miembro.
En un entorno con varias cuentas, este control genera resultados únicamente en la cuenta del administrador delegado de GuardDuty. Esto se debe a que solo el administrador delegado de GuardDuty puede habilitar o desactivar la supervisión en tiempo de ejecución de instancias de Amazon EC2 para las cuentas de su organización. Las cuentas de miembro de GuardDuty no pueden realizar esta acción en sus propias cuentas. Además, este control genera resultados FAILED si GuardDuty está suspendido para una cuenta de miembro y la supervisión en tiempo de ejecución de instancias de EC2 está desactivada para dicha cuenta. Para recibir un resultado PASSED, el administrador de GuardDuty debe desasociar la cuenta de miembro suspendida de su cuenta de administrador mediante GuardDuty.
La supervisión en tiempo de ejecución de GuardDuty observa y analiza los eventos a nivel de sistema operativo, red y archivos para ayudar a detectar posibles amenazas en cargas de trabajo específicas del entorno de AWS. Utiliza agentes de seguridad de GuardDuty que aportan visibilidad sobre el comportamiento en tiempo de ejecución, como el acceso a archivos, la ejecución de procesos, los argumentos de la línea de comandos y las conexiones de red. Puede habilitar y administrar el agente de seguridad para cada tipo de recurso que desee supervisar en busca de amenazas potenciales. Esto incluye instancias de Amazon EC2.
Corrección
Para obtener información sobre cómo configurar y administrar el agente de seguridad automatizado para la supervisión en tiempo de ejecución de instancias de EC2 mediante GuardDuty, consulte Requisitos previos para la compatibilidad con instancias de Amazon EC2 y Habilitación del agente de seguridad automatizado para instancias de Amazon EC2 en la Guía del usuario de Amazon GuardDuty.
