Amazon GuardDuty: Análisis en profundidad

---

1. Introducción

Amazon GuardDuty es un servicio de monitoreo de seguridad continuo que analiza y procesa las siguientes fuentes de datos:

• Registros de eventos de administración de AWS CloudTrail,
• Eventos de datos de AWS CloudTrail para S3,
• Registros DNS,
• Registros de auditoría de EKS,
• y registros de flujo de VPC.

Utiliza fuentes de inteligencia de amenazas, como listas de direcciones IP y dominios maliciosos, y aprendizaje automático para identificar actividad inesperada y potencialmente no autorizada y maliciosa dentro de tu entorno de AWS.

Habilitar este servicio es OBLIGATORIO y una victoria rápida para mejorar tu postura de seguridad. Con un solo clic, Amazon GuardDuty reduce el riesgo utilizando detección de amenazas inteligente y continua de tus cuentas, datos y cargas de trabajo de AWS.

1.1. Primeros pasos

GuardDuty es un servicio regional, lo que significa que cualquiera de los procedimientos de configuración que sigas debe repetirse en cada región que desees monitorear con GuardDuty.

AWS recomienda encarecidamente que habilites GuardDuty en todas las regiones de AWS compatibles. Esto permite a GuardDuty generar hallazgos sobre actividad no autorizada o inusual incluso en regiones que no estás utilizando activamente.

El primer paso para usar GuardDuty es habilitarlo en tu cuenta. Una vez habilitado, GuardDuty comenzará inmediatamente a monitorear amenazas de seguridad en la región actual.

1.2. Entorno multi-cuenta

Cuando usas GuardDuty con AWS Organizations, puedes designar cualquier cuenta dentro de la organización para que sea el administrador delegado de GuardDuty. Solo la cuenta de administración de la organización puede designar administradores delegados de GuardDuty.

Una cuenta que se designa como administrador delegado se convierte en una cuenta de administrador de GuardDuty, tiene GuardDuty habilitado automáticamente en la región designada y se le otorga permiso para habilitar y administrar GuardDuty para todas las cuentas de la organización dentro de esa región.

1.3. Entorno de cuenta independiente

Habilitar GuardDuty es una acción de un solo clic:

1.4. Estimación de costos

Precios (USD), por cuenta, por mes, por región

Análisis de eventos de administración de AWS CloudTrail
Por un millón de eventos / mes	$4.00 por un millón de eventos

Análisis de eventos de datos S3 de AWS CloudTrail
Primeros 500 millones de eventos / mes	$0.80 por un millón de eventos
Siguientes 4,500 millones de eventos / mes	$0.40 por un millón de eventos
Más de 5,500 millones de eventos / mes	$0.20 por un millón de eventos

Registros de auditoría de Amazon EKS
No hay datos en la página oficial	No hay datos en la página oficial

Análisis de registros de flujo de VPC y consultas DNS
Primeros 500 GB / mes	$1.00 por GB
Siguientes 2,000 GB / mes	$0.50 por GB
Siguientes 7,500 GB / mes	$0.25 por GB
Más de 10,000 GB / mes	$0.15 por GB

Puedes usar la consola de GuardDuty y las operaciones de API para estimar cuánto te costará GuardDuty. Durante el período de prueba gratuita de 30 días, la estimación de costos proyecta cuáles serán tus costos estimados después del período de prueba gratuita.

2. Práctica con Amazon GuardDuty

2.1. Hallazgos de muestra

GuardDuty admite la generación de hallazgos de muestra con valores de marcador de posición, que se pueden usar para probar la funcionalidad de GuardDuty y familiarizarte con los hallazgos antes de necesitar responder a un problema de seguridad real descubierto por GuardDuty.

Estos son los hallazgos de GuardDuty generados:

2.2. Filtrado de hallazgos

Podemos filtrar los resultados por muchos criterios usando la barra de filtros o podemos filtrar usando los botones de colores en la sección superior derecha.

También puedes guardar tus filtros personalizados y usarlos más tarde.

2.3. Reglas de supresión

Si estás recibiendo hallazgos de comportamiento esperado en tu entorno, puedes archivar automáticamente hallazgos basándote en criterios que definas con reglas de supresión. Las reglas de supresión son reglas que envían automáticamente los hallazgos coincidentes al archivo.

Hay algunos casos en los que es deseable usar reglas de supresión, para facilitar el reconocimiento de amenazas de seguridad con el mayor impacto en tu entorno:

• hallazgos de bajo valor
• hallazgos de falsos positivos
• amenazas sobre las que no tienes intención de actuar

Los hallazgos suprimidos no se envían a AWS Security Hub, Amazon S3, Detective o CloudWatch, reduciendo el nivel de ruido de hallazgos si consumes hallazgos de GuardDuty a través de Security Hub, un SIEM de terceros u otras aplicaciones de alertas y tickets.

2.4. Información del hallazgo

Selecciona un hallazgo de la tabla para ver sus detalles. En el panel de detalles del hallazgo puedes ver toda la información asociada con el hallazgo:

Contiene la información relacionada con el hallazgo: sección de descripción general, recurso afectado, acción, actor e información adicional.

Amazon GuardDuty se integra con Amazon Detective y si haces clic en el enlace Investigate with Detective puedes ver más información y los enlaces al servicio Detective para investigarlo.

2.5. Respuestas personalizadas con EventBridge

GuardDuty crea un evento para EventBridge cuando se produce cualquier cambio en los hallazgos (hallazgos recién generados o hallazgos recién agregados).

Al usar eventos de EventBridge con GuardDuty, puedes automatizar tareas para ayudarte a responder a problemas de seguridad revelados por los hallazgos de GuardDuty.

Más información

2.6. Suscripción a anuncios de Amazon SNS GuardDuty

GuardDuty crea un tema de Amazon SNS (no puedes verlo desde la consola de SNS) y puedes suscribirte para recibir notificaciones sobre tipos de hallazgos recién lanzados, actualizaciones de los tipos de hallazgos existentes y otros cambios de funcionalidad.

Más información sobre cómo hacerlo

2.7. Remediación de problemas de seguridad

En este enlace externo encontrarás toda la información sobre la remediación de hallazgos de seguridad detectados por GuardDuty.

Esta es la lista de los hallazgos incluidos:

• Remediación de una instancia de Amazon EC2 potencialmente comprometida
• Remediación de un bucket de S3 potencialmente comprometido
• Remediación de un objeto de S3 potencialmente malicioso
• Remediación de un clúster de ECS potencialmente comprometido
• Remediación de credenciales de AWS potencialmente comprometidas
• Remediación de un contenedor independiente potencialmente comprometido
• Remediación de hallazgos de EKS Protection
• Remediación de hallazgos de Runtime Monitoring
• Remediación de una base de datos potencialmente comprometida
• Remediación de una función Lambda potencialmente comprometida

3. Bueno saber

• Servicio regional
• Prueba gratuita de 30 días cuando lo habilitas por primera vez, y durante la prueba gratuita GuardDuty proporciona una estimación de cuál sería el gasto, para que puedas evaluar tu gasto más allá de la prueba gratuita.
• Todos los hallazgos se almacenan en GuardDuty durante 90 días. GuardDuty recomienda configurar la exportación de hallazgos, que te permite exportar tus hallazgos a un bucket de S3 para almacenamiento indefinido.
• Los eventos se entregan a EventBridge en tiempo casi real y con el mejor esfuerzo.
• Amazon GuardDuty consume eventos de administración de CloudTrail y eventos de datos de S3 directamente desde CloudTrail a través de un flujo de eventos independiente y duplicado (sin costo adicional)
• Los eventos globales en CloudTrail (IAM, AWS Security Token Service, Amazon S3, Amazon CloudFront y Route 53) se entregan a cualquier trail que incluya servicios globales y se registran como ocurridos en la región US East (N. Virginia).
• Cuando habilitas GuardDuty, comienza inmediatamente a analizar los datos de tus registros de flujo de VPC. Consume eventos de registros de flujo de VPC directamente desde la función de registros de flujo de VPC a través de un flujo de registros independiente y duplicado, por lo que no es necesario activar los registros de flujo para las VPC para generar hallazgos.
• Todos los hallazgos son dinámicos, lo que significa que, si GuardDuty detecta nueva actividad relacionada con el mismo problema de seguridad, actualizará el hallazgo original con la nueva información, en lugar de generar un nuevo hallazgo
• Tipos de hallazgos (4): EC2, IAM, S3 y Kubernetes. La documentación oficial tiene una explicación completa sobre cada categoría y cada hallazgo dentro, puedes encontrarla aquí
• Las listas de GuardDuty te permiten personalizar las direcciones IP enrutables públicamente para las que GuardDuty genera hallazgos. Puedes crear una Lista de IP de confianza y una Lista de amenazas.

4. Más información sobre GuardDuty

• Documentación oficial
• Amazon GuardDuty Workshop
• Administración de cuentas de GuardDuty con AWS Organizations
• Precios de Amazon GuardDuty
• Reglas de supresión en GuardDuty
• Detalles de hallazgos