Características de GuardDutyConformidad con DSS de PCI

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué es Amazon GuardDuty?

Amazon GuardDuty es un servicio de detección de amenazas que supervisa, analiza y procesa de forma continua registros y fuentes de AWS datos específicas de su AWS entorno. GuardDuty utiliza fuentes de inteligencia sobre amenazas, como listas de dominios y direcciones IP maliciosos, y modelos de aprendizaje automático (ML) para identificar actividades inesperadas y potencialmente no autorizadas en su AWS entorno. Esto incluye los siguientes problemas:

  • La escalada de privilegios, el uso de credenciales expuestas o la comunicación con direcciones IP y dominios maliciosos.

  • Presencia de malware en sus instancias de Amazon EC2 y cargas de trabajo de contenedores, y archivos recién cargados en sus buckets de Amazon S3.

  • Descubrimiento de patrones inusuales de eventos de inicio de sesión en su base de datos.

Por ejemplo, GuardDuty puede detectar instancias de EC2 y cargas de trabajo de contenedores potencialmente comprometidas, que sirven software malicioso o minan bitcoins. También supervisa el comportamiento de acceso a las AWS cuentas para detectar indicios de posibles riesgos, como despliegues de infraestructura no autorizados (instancias implementadas en una región que no se han utilizado anteriormente) o llamadas inusuales a la API que sugieren un cambio en la política de contraseñas para reducir la seguridad de las contraseñas.

Contenido

Características de GuardDuty

Estas son algunas de las formas clave en las que Amazon GuardDuty puede ayudarle a supervisar, detectar y gestionar las posibles amenazas en su AWS entorno.

Supervisa continuamente fuentes de datos y registros de eventos específicos

  • Supervisa automáticamente las fuentes de datos fundamentales: cuando habilitas GuardDuty una Cuenta de AWS, comienza a ingerir GuardDuty automáticamente las fuentes de datos fundamentales asociadas a esa cuenta. Estas fuentes de datos incluyen eventos AWS CloudTrail de administración, registros de AWS CloudTrail eventos, registros de flujo de VPC (de instancias de Amazon EC2) y registros de DNS. No necesita habilitar nada más para empezar GuardDuty a analizar y procesar estas fuentes de datos y generar las correspondientes conclusiones de seguridad. Para obtener más información, consulte Orígenes de datos fundamentales.

  • Habilite planes de GuardDuty protección opcionales: para mejorar la visibilidad del estado de seguridad de su AWS entorno, GuardDuty ofrece varios planes de protección que puede activar. Los planes de protección le ayudan a supervisar los registros y eventos de otros AWS servicios. Estas fuentes incluyen los registros de auditoría de EKS, la actividad de inicio de sesión de RDS, los registros de S3, los volúmenes de EBS, la supervisión del tiempo de ejecución y los registros de actividad de la red Lambda. GuardDutyconsolida estas fuentes de registros y eventos bajo el término Características. Puede activar uno o más planes de protección opcionales de forma compatible Región de AWS en cualquier momento. GuardDuty empezará a supervisar, procesar y analizar las actividades en función del plan de protección que active. Para obtener más información sobre cada plan de protección y su funcionamiento, consulte el documento del plan de protección correspondiente.

    nota

    GuardDuty ofrece flexibilidad para utilizar Malware Protection for S3 de forma independiente, sin necesidad de activar el GuardDuty servicio Amazon. Para obtener más información sobre cómo empezar a utilizar únicamente Malware Protection para S3, consulteGuardDuty Protección contra malware para S3. Para usar todos los demás planes de protección, debe habilitar el GuardDuty servicio.

Detecta la presencia de malware y genera datos de seguridad

Cuando GuardDuty detecta posibles amenazas de seguridad asociadas a sus AWS recursos, comienza a generar hallazgos de seguridad que proporcionan información sobre el recurso potencialmente comprometido. Puede explorar la posibilidad de generar Hallazgos de ejemplo y ver lo asociadoDetalles de los resultados. Para obtener información sobre una lista completa de los hallazgos de seguridad que se pueden generar para cada tipo de recurso identificado por GuardDuty, consulteTipos de resultados.

Gestione las conclusiones de seguridad generadas

Es posible que desees configurar Amazon EventBridge para que reciba notificaciones cuando GuardDuty genere un hallazgo, seguir los pasos recomendados para corregir el hallazgo, filtrar los hallazgos generados para identificar tendencias o exportar los hallazgos a un bucket de S3. Para obtener más información, consulte Gestionar GuardDuty los hallazgos.

Intégrelo con los servicios AWS de seguridad relacionados

Para seguir analizando e investigando las tendencias de seguridad de su AWS entorno, considere la posibilidad de utilizar los siguientes servicios AWS relacionados con la seguridad en combinación con. GuardDuty

  • Amazon Detective: este servicio le ayuda a analizar, investigar e identificar rápidamente la causa raíz de los hallazgos de seguridad o las actividades sospechosas. Detective recopila automáticamente los datos de registro de sus AWS recursos. A continuación, utiliza el machine learning, el análisis estadístico y la teoría de grafos para generar visualizaciones que lo ayuden a realizar investigaciones sobre la seguridad con mayor rapidez y de forma más eficaz. Las agregaciones de datos, los resúmenes y el contexto prediseñados de Detective le ayudan a analizar y determinar la naturaleza y el alcance de los posibles problemas de seguridad.

    Para obtener información sobre el uso GuardDuty conjunto de Detective, consulteIntegración GuardDuty con Amazon Detective. Para obtener más información sobre Detective, consulta la Guía del usuario de Amazon Detective.

  • AWS Security Hub— Este servicio le ofrece una visión completa del estado de seguridad de sus AWS recursos y le ayuda a comprobar si su AWS entorno se ajusta a los estándares y las mejores prácticas del sector de la seguridad. Esto lo consigue, en parte, consumiendo, agrupando, organizando y priorizando las conclusiones de seguridad de varios AWS servicios (incluido Amazon Macie) y de los productos AWS compatibles de Partner Network (APN). Security Hub le ayuda a analizar sus tendencias de seguridad e identificar los problemas de seguridad más prioritarios en todo su AWS entorno.

    Para obtener información sobre el uso GuardDuty conjunto de Security Hub, consulteIntegrarse GuardDuty con AWS Security Hub. Para obtener más información sobre Security Hub, consulte la AWS Security Hub Guía del usuario.

Administre un entorno de cuentas múltiples

Puede administrar un AWS entorno de varias cuentas mediante AWS Organizations (recomendado) o mediante el método de invitación. Para obtener más información, consulte Administración de varias cuentas .

Conformidad con DSS de PCI

GuardDuty admite el procesamiento, el almacenamiento y la transmisión de datos de tarjetas de crédito por parte de un comerciante o proveedor de servicios, y se ha comprobado que cumple con el estándar de seguridad de datos (DSS) de la industria de tarjetas de pago (PCI). Para obtener más información sobre PCI DSS, incluida la forma de solicitar una copia del PCI AWS Compliance Package, consulte PCI DSS Level 1.