- Seguridad, identidad y conformidad›
- Amazon GuardDuty›
- Preguntas frecuentes
Preguntas frecuentes sobre Amazon GuardDuty
Temas de la página
Información general del servicioInformación general del servicio
¿Qué es Amazon GuardDuty?
GuardDuty es un servicio inteligente de detección de amenazas que supervisa de forma continua las cuentas, las cargas de trabajo, la actividad del tiempo de ejecución y los datos de AWS para detectar actividades maliciosas. Si se detecta una posible actividad malintencionada, como comportamiento anómalo, filtración de credenciales o comunicación de infraestructura de comando y control (C2), GuardDuty genera resultados de seguridad detallados que se pueden usar para la visibilidad de la seguridad y ayudar en la reparación.
¿Cuáles son los beneficios clave de GuardDuty?
GuardDuty facilita la supervisión continua de las cuentas de AWS, las cargas de trabajo y la actividad del tiempo de ejecución. GuardDuty está diseñado para funcionar de forma completamente independiente de sus recursos y no tener ningún impacto en el rendimiento o la disponibilidad de sus cargas de trabajo. El servicio está completamente administrado con inteligencia de amenazas integrada, detección de anomalías de machine learning (ML) y escaneo de malware. GuardDuty provee alertas detalladas y procesables que están diseñadas para integrarse con sistemas de flujo de trabajo y administración de eventos existentes. No se aplican costos iniciales y solo paga por los eventos analizados, sin software adicional para implementar ni la necesidad de suscribirse a fuentes de inteligencia de amenazas.
¿Cuánto cuesta GuardDuty?
GuardDuty es un servicio de pago por uso donde solo se paga por el uso que se incurre. Los precios de GuardDuty se basan en el volumen de registros de servicios analizados, las CPU virtuales (vCPU) o las unidades de capacidad de Aurora (ACU) de la instancia Aurora v2 sin servidor para analizar eventos de Amazon RDS, la cantidad y el tamaño de las cargas de trabajo de Amazon Elastic Kubernetes Service (Amazon EKS) o Amazon Elastic Container Service (Amazon ECS) que se monitorizan en la versión ejecutable y el volumen de datos analizados en busca de malware.
Los registros de servicio analizados se filtran para optimizar los costos y se integran directamente con GuardDuty, lo que significa que no tiene que activarlos ni pagarlos por separado. Si el monitoreo del tiempo de ejecución de EKS está activado en su cuenta, no se le cobrará por analizar los registros de flujo de VPC de las instancias en las que el agente de GuardDuty esté desplegado y activo. El agente de seguridad de la versión ejecutable nos proporciona datos de telemetría de red similares (y más contextuales). Por lo tanto, para evitar un cobro por duplicado a los clientes, no cobraremos por los registros de flujo de VPC de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en las que esté instalado el agente.
Consulte Precios de Amazon GuardDuty para obtener detalles adicionales y ejemplos de precios.
¿El costo estimado en la cuenta de pago de GuardDuty muestra los costos agregados totales de las cuentas vinculadas o solo los de esa cuenta de pago individual?
El costo estimado representa el costo para la cuenta de pago individual, y verá el uso facturado y el costo diario promedio para cada cuenta miembro en la cuenta de administrador de GuardDuty. Debe ir a la cuenta individual si quiere ver la información de uso detallada.
¿Hay una prueba gratuita de GuardDuty?
Sí, cualquier cuenta nueva de GuardDuty puede probar el servicio durante 30 días sin costo. Tiene acceso al conjunto de características completo y a las detecciones durante la prueba gratuita. Durante el periodo de prueba, puede ver la estimación de costos en la página de uso de la consola de GuardDuty luego de la prueba. Si es administrador de GuardDuty, verá los costos estimados de las cuentas miembro. Después de 30 días, puede ver los costos reales de esta característica en la Consola de facturación de AWS.
Los titulares de cuentas de GuardDuty nuevos y existentes que aún no hayan habilitado una característica de GuardDuty pueden probarla durante 30 días sin coste alguno en el nivel gratuito de AWS (para la función de protección contra software malicioso, la prueba gratuita está disponible para los análisis de software malicioso iniciados por GuardDuty solo para volúmenes de datos de Amazon EBS. No hay una versión de prueba gratuita de la protección contra software malicioso para Amazon S3). Durante el período de prueba gratuito y posteriormente, siempre podrá controlar el gasto mensual estimado en la página de uso de la consola GuardDuty, desglosada por origen de datos.
¿Cuáles son las diferencias entre GuardDuty y Amazon Macie?
GuardDuty proporciona un amplio monitoreo de seguridad de las cuentas, cargas de trabajo y datos de AWS para ayudar a identificar amenazas, como el reconocimiento de atacantes; instancias, cuentas, buckets o clústeres de Amazon EKS vulnerados; y malware. Macie es un servicio de detección de datos confidenciales completamente administrado que usa ML y coincidencia de patrones para detectar datos confidenciales en Amazon Simple Storage Service (Amazon S3).
¿GuardDuty es un servicio regional o global?
GuardDuty es un servicio regional. Inclusive cuando se habilitan varias cuentas y se utilizan diferentes regiones de AWS, los resultados relacionados con seguridad de GuardDuty permanecen en las mismas regiones en las que se generaron los datos subyacentes. De esta manera, se garantiza que todos los datos analizados permanezcan en las regiones y no transgredan los límites regionales de AWS. Sin embargo, puede elegir agregar resultados de seguridad producidos por GuardDuty para todas las Regiones usando Amazon EventBridge o llevando los resultados a su almacén de datos (como Amazon S3) y agregando los resultados como lo considere conveniente. También puede enviar los resultados de GuardDuty a AWS Security Hub y utilizar su capacidad de agregación entre regiones.
¿Qué regiones admite GuardDuty?
La disponibilidad regional de GuardDuty se encuentra detallada en la Lista de servicios regionales de AWS. Para obtener una lista completa de las regiones en las que está disponible la característica de GuardDuty, consulte la disponibilidad de la función por región específica.
¿Qué socios trabajan con GuardDuty?
Muchos socios tecnológicos han integrado GuardDuty y trabajado con él. También hay proveedores de servicios de consultoría, integradores de sistemas y de seguridad administrada con experiencia en GuardDuty. Para obtener detalles, consulte la página de los socios de Amazon GuardDuty.
¿GuardDuty ayuda a abordar los requisitos del Estándar de seguridad de datos del sector de pagos con tarjeta (PCI DSS)?
Foregenix publicó un documento técnico que ofrece una evaluación detallada de la eficacia de GuardDuty para ayudar a cumplir con los requisitos, como el requisito 11.4 del PCI DSS, que requiere técnicas de detección de intrusos en puntos críticos de la red.
Activación de GuardDuty
¿Cómo se habilita GuardDuty?
GuardDuty se puede configurar e implementar en unos pocos pasos en la Consola de administración de AWS. Una vez habilitado, GuardDuty comienza inmediatamente a analizar flujos continuos de actividad de cuentas y red casi en tiempo real y a escala. No es necesario implementar ni administrar software de seguridad, sensores ni dispositivos de red adicionales. La inteligencia de amenazas se encuentra integrada previamente en el servicio y se actualiza y mantiene de forma continua.
¿Es posible administrar varias cuentas con GuardDuty?
Sí, GuardDuty tiene una característica para administrar varias cuentas que permite asociar y administrar múltiples cuentas de AWS a partir de una única cuenta de administrador. Cuando se utiliza, todos los hallazgos de seguridad se agregan a la cuenta de administrador para que se revisen y reparen. Los eventos de EventBridge también se agregan a la cuenta de administrador de GuardDuty cuando se utiliza esta configuración. Además, GuardDuty se integra con AWS Organizations, con lo que es posible delegar una cuenta de administrador de GuardDuty para la organización. Esta cuenta de administrador delegado (DA) se trata de una cuenta centralizada que consolida todos los hallazgos y es capaz de configurar todas las cuentas de los miembros.
¿Qué orígenes de datos analiza GuardDuty?
Entre los orígenes de datos fundamentales que GuardDuty analiza se encuentran los registros de eventos de administración de AWS CloudTrail, los eventos de administración de CloudTrail, los registros de flujo de Amazon EC2 VPC y los registros de consultas de DNS. Los planes de protección opcionales de GuardDuty monitorizan otros tipos de recursos, incluidos los eventos de datos de CloudTrail S3 (protección para S3), los registros de auditoría de Amazon EKS y la actividad de la versión ejecutable de Amazon EKS (protección para EKS), la actividad de la versión ejecutable de Amazon ECS (monitorización de la versión ejecutable de ECS), la actividad de la versión ejecutable de Amazon EC2 (monitorización de la versión ejecutable de EC2), los datos de volumen de Amazon EBS (protección contra malware), los eventos de inicio de sesión de Amazon Aurora (protección para RDS) y los registros de actividad de red (protección para Lambda). El servicio está optimizado para incorporar grandes volúmenes de datos para el procesamiento casi en tiempo real de detecciones de seguridad. GuardDuty le brinda acceso a técnicas de detección integradas que se desarrollaron y optimizaron para la nube, que se mantienen y mejoran de manera continua con ingeniería de GuardDuty.
¿Cuán pronto comienza a funcionar GuardDuty?
Una vez habilitado, GuardDuty comienza a analizar actividad malintencionada o sin autorización. El plazo para empezar a recibir hallazgos depende del nivel de actividad de su cuenta. GuardDuty no analiza datos históricos, solo la actividad posterior a su habilitación. Si GuardDuty identifica posibles amenazas, recibirá un hallazgo en la consola de GuardDuty.
¿Tengo que habilitar CloudTrail, los registros de flujo de VPC, los registros de consulta de DNS o los registros de auditoría de Amazon EKS para que GuardDuty funcione?
No, GuardDuty obtiene secuencias de datos independientes directamente de CloudTrail, los registros de flujo de VPC y los registros de consulta de DNS y Amazon EKS. No tiene que administrar políticas de bucket de Amazon S3 ni modificar la manera en la que recopila y almacena los registros. Los permisos de GuardDuty se administran como roles vinculados al servicio. Puede deshabilitar GuardDuty en cualquier momento, lo que eliminará todos los permisos de GuardDuty. Esto facilita la habilitación del servicio, ya que evita configuraciones complejas. Los roles vinculados al servicio también eliminan la posibilidad de que una configuración incorrecta de permisos de AWS Identity and Access Management (IAM) o un cambio en la política del bucket de Amazon S3 afecten el funcionamiento del servicio. Por último, los roles vinculados al servicio hacen que GuardDuty sea extremadamente eficiente al incorporar altos volúmenes de datos casi en tiempo real sin impacto o con un impacto mínimo en el rendimiento y la disponibilidad de su cuenta o cargas de trabajo.
¿Existe algún impacto en el rendimiento o la disponibilidad al habilitar GuardDuty en la cuenta?
Cuando habilita GuardDuty por primera vez, funciona de forma completamente independiente de sus recursos de AWS. Si configura la monitorización de la versión ejecutable de GuardDuty para desplegar de manera automática el agente de seguridad de GuardDuty, esto podría generar un uso adicional de recursos y también crear puntos de enlace de VPC en las VPC que se utilizan para ejecutar las cargas de trabajo monitorizadas.
¿GuardDuty administra o conserva mis registros?
No, GuardDuty no administra ni retiene sus registros. Todos los datos que GuardDuty incorpora se analizan casi en tiempo real y luego se descartan. Esto permite que GuardDuty sea muy eficiente, rentable y logre reducir el riesgo de remanencia de datos. Para entregar y conservar registros, debe usar los servicios de monitoreo y registro de AWS, que ofrecen opciones de retención y entrega completos.
¿Cómo evitar que GuardDuty vea los registros y orígenes de datos?
Puede evitar que GuardDuty analice sus orígenes de datos en cualquier momento en la configuración general si elige suspender el servicio. Esto detendrá inmediatamente el servicio, que dejará de analizar datos, pero no eliminará los hallazgos ni las configuraciones existentes. También puede deshabilitar el servicio en la configuración general. Esta opción eliminará los datos restantes, incluidos los hallazgos y las configuraciones existentes antes de ceder los permisos del servicio y restablecer el servicio. También puede desactivar de forma selectiva capacidades como la protección de GuardDuty para S3 o la protección de GuardDuty para EKS a través de la consola de administración o mediante la AWS CLI.
Activación de GuardDuty
¿Qué puede detectar GuardDuty?
GuardDuty le da acceso a técnicas de detección integradas desarrolladas y optimizadas para la nube. Los ingenieros de GuardDuty conservan y mejoran de manera continua los algoritmos de detección. Entre las principales categorías de detección se incluyen las siguientes:
- Reconocimiento: actividad que sugiere un reconocimiento por parte de un atacante, como una actividad de API inusual, el análisis de puertos en el interior de una VPC, patrones inusuales de solicitudes de inicio de sesión incorrectas o el sondeo de puertos no bloqueados a partir de una IP maliciosa conocida.
- Vulnerabilidad de instancias: actividad que indica la vulnerabilidad de una instancia, como la minería de criptomonedas, el malware que utiliza algoritmos de generación de dominios (DGA), la actividad de salida de denegación de servicios, un volumen alto inusual del tráfico de red, protocolos de red inusuales, comunicación de salida de instancias con una IP malintencionada conocida, las credenciales temporales de Amazon EC2 utilizadas por una dirección IP externa y la exfiltración de datos con DNS.
- Vulnerabilidad de cuentas: algunos patrones comunes que indican la vulnerabilidad de cuentas incluyen llamadas a la API desde una ubicación geográfica inusual o un proxy anónimo, intentos de desactivar los registros de AWS CloudTrail, lanzamientos inusuales de infraestructuras o de instancias, implementaciones de infraestructuras en una región inusual, la exfiltración de credenciales, actividad sospechosa de inicio de sesión en bases de datos y llamadas a la API desde direcciones IP malintencionadas conocidas.
- Vulnerabilidad de buckets: actividad que indica la vulnerabilidad de un bucket, como los patrones sospechosos de acceso a datos que muestran un mal uso de credenciales, actividad inusual de la API de Amazon S3 desde un host remoto, acceso a Amazon S3 no autorizado desde direcciones IP confirmadas como malintencionadas y llamadas a la API para recuperar datos en buckets de Amazon S3 de un usuario que no cuenta con un historial previo de acceso al bucket o invocadas desde una ubicación inusual. GuardDuty monitorea y analiza de manera continua eventos de datos de S3 de CloudTrail (como GetObject, ListObjects y DeleteObject) para detectar actividad sospechosa en todos los buckets de Amazon S3.
- Software malintencionado: GuardDuty puede detectar la presencia de software malintencionado (como troyanos, gusanos, mineros criptográficos, rootkits o bots), que puede utilizarse para comprometer las cargas de trabajo de las instancias o los contenedores de Amazon EC2 o que se carga en los buckets de Amazon S3.
- Vulnerabilidad de contenedores: la actividad que identifica posibles comportamientos maliciosos o sospechosos en cargas de trabajo de contenedores se detecta mediante la supervisión y elaboración de perfiles de los clústeres de Amazon EKS de forma continua a través del análisis de los registros de auditoría de Amazon EKS y la actividad de la versión ejecutable del contenedor en Amazon EKS o Amazon ECS.
Esta es una lista completa de los tipos de resultados de GuardDuty.
¿Qué es la inteligencia de amenazas de GuardDuty?
La inteligencia de amenazas de GuardDuty está conformada por dominios y direcciones IP que se sabe que utilizan los atacantes. AWS y proveedores de terceros, como Proofpoint y CrowdStrike, proveen la inteligencia de amenazas de GuardDuty. Estas fuentes de inteligencia de amenazas vienen integradas con anterioridad y se actualizan continuamente en GuardDuty sin costo adicional.
¿Es posible suministrar inteligencia sobre amenazas propia?
Sí, GuardDuty permite cargar inteligencia sobre amenazas propia o una lista de direcciones IP de confianza. Cuando se usa esta característica, las listas se aplican únicamente a su cuenta y no se comparten con otros clientes.
¿Cómo se entregan los hallazgos de seguridad?
Cuando se detecta una posible amenaza, GuardDuty envía un hallazgo de seguridad detallado a la consola de GuardDuty y a EventBridge. Esto hace que las alertas sean más procesables y se integren más fácilmente en los sistemas de administración de eventos o de flujo de trabajo existentes. Los hallazgos incluyen la categoría, el recurso afectado y los metadatos asociados con el recurso, como un nivel de gravedad.
¿Cuál es el formato de los hallazgos de GuardDuty?
Los resultados de Amazon GuardDuty tienen un formato de JSON común que también utilizan los servicios Macie y Amazon Inspector. Esto facilita que los clientes y los socios utilicen los hallazgos de seguridad de los tres servicios y los incorporen en soluciones de seguridad, flujos de trabajo o administración de eventos más amplias.
¿Durante cuánto tiempo se encuentran disponibles los hallazgos de seguridad en GuardDuty?
Los hallazgos de seguridad se retienen y permanecen disponibles mediante las API y la consola de Amazon GuardDuty durante 90 días. Una vez transcurridos 90 días, los resultados se eliminan. Para retener los resultados durante más de 90 días, puede habilitar EventBridge para que envíe automáticamente los resultados a un bucket de Amazon S3 de su cuenta o a otro almacén de datos para su conservación a largo plazo.
¿Es posible agregar los hallazgos de GuardDuty?
Sí, puede elegir acumular los resultados de seguridad producidos por GuardDuty en todas las regiones mediante EventBridge o enviando los resultados a su almacén de datos (como Amazon S3) y agregándolos como mejor le parezca. Además, es posible enviar los hallazgos de GuardDuty a Security Hub y utilizar su capacidad de agregación entre regiones.
¿Se pueden tomar acciones preventivas automatizadas con GuardDuty?
Con GuardDuty, EventBridge y AWS Lambda, tiene la flexibilidad de configurar acciones de corrección automatizadas basadas en un hallazgo de seguridad. Por ejemplo, puede crear una función de Lambda que modifique reglas de grupos de seguridad de AWS en función de resultados de seguridad. Si recibe un resultado de GuardDuty que indica que una de sus instancias de Amazon EC2 está siendo sondeada por una IP maliciosa conocida, puede solucionar dicho problema con una regla de EventBridge, la cual inicia una función de Lambda para modificar de forma automática las reglas de sus grupos de seguridad y restringir el acceso en ese puerto.
¿Cómo se desarrollan y administran las detecciones de GuardDuty?
GuardDuty cuenta con un equipo enfocado en el desarrollo, la administración y la iteración de detecciones. Esto genera una cadencia estable de nuevas detecciones en el servicio, así como iteración continua en detecciones existentes. Existen varios mecanismos de retroalimentación en el servicio, como el pulgar hacia arriba o abajo en cada hallazgo de seguridad encontrado en la interfaz del usuario (UI) de GuardDuty. Esto permite que brinde opiniones que se pueden incorporar en futuras iteraciones de las detecciones de GuardDuty.
¿Se pueden escribir detecciones personalizadas en Amazon GuardDuty?
No, GuardDuty se encarga de la tediosa tarea y la complejidad del desarrollo y el mantenimiento de sus propios conjuntos de reglas personalizadas. Las detecciones nuevas se agregan de forma continua en función de las opiniones de los clientes, junto con la investigación realizada por los ingenieros en seguridad de AWS y el equipo de ingeniería de GuardDuty. Sin embargo, las personalizaciones configuradas por los clientes incluyen la incorporación de sus propias listas de amenazas y listas de direcciones IP de confianza.
Protección de GuardDuty para S3
¿Cómo se puede comenzar a utilizar la protección para S3 si actualmente se utiliza GuardDuty?
Para las cuentas de GuardDuty actuales, S3 Protection se puede activar en la consola, en la página de S3 Protection, o mediante la API. Esto comenzará un periodo de prueba gratuita de 30 días de la protección de GuardDuty para S3.
¿Existe una prueba gratuita de la protección de GuardDuty para S3?
Sí, hay una prueba gratuita de 30 días. Cada cuenta, de cada región, obtiene una prueba gratuita de 30 días de GuardDuty que incluye la característica de protección para S3. Las cuentas que ya tienen habilitado GuardDuty también obtendrán una prueba gratuita de 30 días de la característica de protección para S3 cuando la activen por primera vez.
Si soy un nuevo usuario de GuardDuty, ¿está la protección para S3 habilitada de forma predeterminada para las cuentas?
Sí. Todas las cuentas nuevas que habiliten GuardDuty desde la consola o la API también tendrán habilitada la protección para S3 de forma predeterminada. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán la protección para S3 activada a menos que la opción de habilitación automática para S3 esté activada.
¿Se puede utilizar la protección de GuardDuty para S3 sin habilitar el servicio completo de GuardDuty (incluido el análisis de registros de flujo de la VPC, registros de consultas de DNS y eventos de administración de CloudTrail)?
No, el servicio GuardDuty debe estar habilitado para poder usar la protección para S3. Las cuentas actuales de GuardDuty tienen la opción de habilitar la protección para S3, y las nuevas cuentas de GuardDuty tendrán la característica de forma predeterminada una vez que se habilite el servicio GuardDuty.
¿GuardDuty supervisa todos los buckets de la cuenta para ayudar a proteger la implementación de Amazon S3?
Sí, la protección para Amazon S3 monitorea de forma predeterminada todos los buckets de S3 de su entorno.
¿Es necesario que active el registro de eventos de datos de S3 en CloudTrail para la protección de S3?
No, GuardDuty tiene acceso directo a los registros de eventos de datos de S3 en CloudTrail. No es necesario que habilite el registro de eventos de datos de S3 en CloudTrail y, por lo tanto, no incurrirá en los costos asociados. Tenga en cuenta que GuardDuty no almacena los registros y solo los usa para su análisis.
Protección de GuardDuty para EKS
¿Cómo funciona la protección de GuardDuty para EKS?
Protección de GuardDuty para EKS es una característica de GuardDuty que supervisa la actividad del plano de control de clústeres de Amazon EKS mediante el análisis de los registros de auditoría de Amazon EKS. GuardDuty está integrado con Amazon EKS, lo cual le brinda acceso directo a los registros de auditoría de Amazon EKS sin que tenga que activar o almacenar dichos registros. Estos registros de auditoría son registros cronológicos relativos a la seguridad, que documentan la secuencia de acciones llevadas a cabo en el plano de control de Amazon EKS. Estos registros de auditoría de Amazon EKS dan a GuardDuty la visibilidad necesaria para realizar la supervisión continua de la actividad de API de Amazon EKS, y aplican la inteligencia sobre amenazas y la detección de anomalías para identificar actividad malintencionada o cambios de configuración que puedan exponer un clúster de Amazon EKS a un acceso no autorizado. Cuando se detectan amenazas, GuardDuty genera hallazgos de seguridad que incluyen el tipo de amenaza, el nivel de gravedad y detalles del contenedor (como el identificador del pod, el identificador de la imagen de contenedor y las etiquetas asociadas).
¿Qué tipos de amenazas puede detectar la protección de GuardDuty para EKS en mi carga de trabajo de Amazon EKS?
La protección de GuardDuty para EKS puede detectar amenazas relacionadas con la actividad de usuarios y aplicaciones capturada por los registros de auditoría de Amazon EKS. Las detecciones de amenazas de Amazon EKS incluyen clústeres de Amazon EKS a los que acceden actores maliciosos conocidos o a los que se accede desde nodos Tor, operaciones de API realizadas por usuarios anónimos que podrían indicar una configuración errónea y configuraciones erróneas que pueden dar lugar a accesos no autorizados a clústeres de Amazon EKS. Además, mediante el uso de modelos de ML, GuardDuty puede identificar patrones constantes con técnicas de escalado de privilegios, como un lanzamiento sospechoso de un contenedor con acceso de nivel raíz al host de Amazon EC2 subyacente. Consulte Amazon GuardDuty Finding types (Tipos de resultados de Amazon GuardDuty) para obtener una lista completa de todas las nuevas detecciones.
¿Debo activar los registros de auditoría de Amazon EKS?
No, GuardDuty tiene acceso directo a los registros de auditoría de Amazon EKS. Tenga en cuenta que GuardDuty solo usa estos registros para análisis; no los almacena, ni tiene que habilitar ni pagar para compartir estos registros de auditoría de Amazon EKS con GuardDuty. Para optimizar los costos, GuardDuty aplica filtros inteligentes a fin de incorporar únicamente un subconjunto de los registros de auditoría que son pertinentes para la detección de amenazas de seguridad.
¿Hay una prueba gratuita de la protección de GuardDuty para EKS?
Sí, hay una prueba gratuita de 30 días. Cada nueva cuenta de GuardDuty en cada región recibe una prueba gratuita de 30 días de GuardDuty, incluida la característica de protección de GuardDuty para EKS. Las cuentas existentes de GuardDuty reciben una prueba gratuita de 30 días de la protección de GuardDuty para EKS sin costo adicional. Durante el periodo de prueba, puede ver la estimación de costos en la página de uso de la consola de GuardDuty luego de la prueba. Si es administrador de GuardDuty, verá los costos estimados de las cuentas miembro. Después de 30 días, puede ver los costos reales de esta característica en la Consola de facturación de AWS.
¿Cómo puedo comenzar con la protección de GuardDuty para EKS si actualmente estoy utilizando GuardDuty?
La protección de GuardDuty para EKS tiene que estar encendida para cada cuenta individual. Puede activar la característica para sus cuentas con una sola acción en la consola de GuardDuty desde la página de la consola de la protección de GuardDuty para EKS. Si trabaja en una configuración de varias cuentas de GuardDuty, puede activar la protección de GuardDuty para EKS en toda la organización desde la cuenta de administrador de GuardDuty en la página de la característica. Con esto, se activará el monitoreo continuo para Amazon EKS en todas las cuentas miembro individuales. Para las cuentas de GuardDuty creadas con la característica de activación automática de AWS Organizations, debe activar de manera explícita la activación automática para Amazon EKS. Una vez que se active para una cuenta, se monitorearán todos los clústeres de Amazon EKS existentes y futuros en la cuenta en busca de amenazas, sin realizar ninguna configuración en los clústeres de Amazon EKS.
¿La protección de GuardDuty para EKS está habilitada de forma predeterminada para mis cuentas si soy un nuevo usuario de GuardDuty?
Sí, todas las cuentas nuevas que activen GuardDuty desde la consola o la API también tendrán activada la protección de GuardDuty para EKS de forma predeterminada. Para las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations, tendrá que activar de manera explícita la habilitación automática para la opción de protección de EKS.
¿Cómo se desactiva la protección de GuardDuty para EKS?
Puede deshabilitar la característica en la consola o mediante la API. En la consola de GuardDuty, puede desactivar la protección de GuardDuty para EKS de sus cuentas en la página de la consola de la característica. Si tiene una cuenta de administrador de GuardDuty, también puede desactivar dicha característica para las cuentas miembro.
Si desactivo la protección de GuardDuty para EKS, ¿cómo la vuelvo a habilitar?
Si anteriormente desactivó la protección de GuardDuty para EKS, puede volver a habilitar la característica en la consola o mediante la API. En la consola de GuardDuty, puede habilitar la protección de GuardDuty para EKS de sus cuentas en la página de la consola de la característica.
¿Tengo que habilitar la protección de GuardDuty para EKS en cada cuenta de AWS y clúster de EKS individualmente?
La protección de GuardDuty para EKS tiene que estar habilitada para cada cuenta individual. Si trabaja en una configuración de varias cuentas de GuardDuty, puede habilitar la detección de amenazas para Amazon EKS en toda la organización con un solo clic en la página de la consola de la protección de GuardDuty para EKS de la cuenta de administrador de GuardDuty. Con esto, se habilitará la detección de amenazas de Amazon EKS en todas las cuentas miembro individuales. Una vez que se habilite para una cuenta, se supervisarán todos los clústeres de Amazon EKS existentes y futuros en la cuenta en busca de amenazas, y no se requiere ninguna configuración manual en los clústeres de Amazon EKS.
¿Me cobrarán si no uso Amazon EKS y habilito la protección de GuardDuty para EKS en GuardDuty?
No incurrirá en ningún cargo de protección de GuardDuty para EKS si no usa Amazon EKS y tiene la protección de GuardDuty para EKS habilitada. Sin embargo, cuando comience a usar Amazon EKS, GuardDuty supervisará automáticamente sus clústeres y generará hallazgos para los problemas identificados, y se le cobrará por este monitoreo.
¿Puedo habilitar la protección de GuardDuty para EKS sin habilitar el servicio GuardDuty completo (incluido el análisis de registros de flujo de VPC, registros de consultas de DNS y eventos de administración de CloudTrail)?
No, el servicio GuardDuty debe estar habilitado para que la protección de GuardDuty para EKS esté disponible.
¿La protección de GuardDuty para EKS supervisa los registros de auditoría de EKS en relación con las implementaciones de EKS en AWS Fargate?
Sí, GuardDuty para la protección de EKS monitorea los registros de auditoría tanto de los clústeres de Amazon EKS implementados en instancias de Amazon EC2 como en clústeres de Amazon EKS implementados en Fargate.
¿GuardDuty supervisa Amazon EKS no administrado en Amazon EC2 o Amazon EKS Anywhere?
Actualmente, esta funcionalidad solo admite implementaciones de Amazon EKS que se ejecutan en instancias de Amazon EC2 en su cuenta o en Fargate.
¿Usar la protección de GuardDuty para EKS afectará el rendimiento o los costes de ejecución de contenedores en Amazon EKS?
No, la protección de GuardDuty para EKS está diseñada para no tener implicaciones de rendimiento, disponibilidad ni costo para los despliegues de cargas de trabajo de Amazon EKS.
¿Tengo que habilitar la protección de GuardDuty para EKS en cada región de AWS individual?
Sí, GuardDuty es un servicio regional y, por lo tanto, la protección de GuardDuty para EKS debe habilitarse en cada región de AWS por separado.
Supervisión del tiempo de ejecución de GuardDuty
¿Cómo funciona la supervisión del tiempo de ejecución de GuardDuty?
La supervisión del tiempo de ejecución de GuardDuty utiliza un agente de seguridad ligero y totalmente administrado que agrega visibilidad a la actividad del tiempo de ejecución, como el acceso a archivos, la ejecución de procesos y las conexiones de red de nivel de pod o instancia para los recursos cubiertos. El agente de seguridad se implementa automáticamente como un conjunto de daemon que recopila los eventos del tiempo de ejecución y los envía a GuardDuty para el procesamiento de los análisis de seguridad. Esto permite a GuardDuty identificar instancias o contenedores específicos dentro de su entorno de AWS que puedan estar comprometidos y detectar los intentos de escalar los privilegios a un entorno de AWS más amplio. Cuando GuardDuty detecta una posible amenaza, se genera un resultado de seguridad que incluye el contexto de los metadatos que incluye la instancia, el contenedor, el pod y los detalles del proceso.
¿Qué servicios de AWS admite la supervisión del tiempo de ejecución de GuardDuty?
La supervisión del tiempo de ejecución está disponible para los recursos de Amazon EKS que se ejecutan en Amazon EC2, los clústeres de Amazon ECS que se ejecutan en Amazon EC2 o AWS Fargate y las instancias de Amazon EC2.
¿Cómo puedo empezar a utilizar la supervisión del tiempo de ejecución si actualmente utilizo GuardDuty?
Para las cuentas de GuardDuty actuales, la característica se puede activar desde la consola de GuardDuty en la página Supervisión del tiempo de ejecución o mediante la API. Obtenga más información sobre la supervisión del tiempo de ejecución de GuardDuty.
Si soy un nuevo usuario de GuardDuty, ¿la supervisión del tiempo de ejecución está activada de forma predeterminada para las cuentas?
No. La supervisión del tiempo de ejecución de GuardDuty es el único plan de protección que no está habilitado de forma predeterminada cuando se activa GuardDuty por primera vez. La característica se puede activar desde la consola de GuardDuty, en la página Supervisión del tiempo de ejecución, o mediante la API. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán la supervisión del tiempo de ejecución activada a menos que la opción de habilitación automática para la supervisión del tiempo de ejecución esté activada.
¿Cuáles son mis opciones de implementación para el agente de seguridad de GuardDuty?
Cuando habilita la supervisión del tiempo de ejecución de Amazon ECS, GuardDuty está preparado para consumir los eventos del tiempo de ejecución de una tarea. Estas tareas se ejecutan en los clústeres de Amazon ECS, que a su vez se ejecutan en instancias de AWS Fargate. Para que GuardDuty reciba estos eventos del tiempo de ejecución, debe usar la configuración automatizada del agente.
Cuando habilita la supervisión del tiempo de ejecución para Amazon EC2 o Amazon EKS, tiene la opción de implementar el agente de seguridad de GuardDuty manualmente o permitir que GuardDuty lo administre en su nombre con la configuración automatizada del agente.
Visite Key concepts - Approaches to manage GuardDuty security agent en la Guía del usuario de GuardDuty para obtener más información.
¿Puedo utilizar la supervisión del tiempo de ejecución de GuardDuty sin activar el servicio GuardDuty completo?
No, el servicio GuardDuty debe habilitarse para poder utilizar la supervisión del tiempo de ejecución de GuardDuty.
¿Está disponible la supervisión del tiempo de ejecución de GuardDuty en todas las regiones donde ya se encuentra el servicio GuardDuty?
Para obtener una lista completa de las regiones en las que está disponible la supervisión del tiempo de ejecución, consulte Region-specific feature availability.
¿Tengo que activar la supervisión del tiempo de ejecución de GuardDuty en cada cuenta de AWS de forma individual?
La supervisión del tiempo de ejecución de GuardDuty debe estar habilitada para cada cuenta individual. Si trabaja en una configuración de varias cuentas de GuardDuty, puede activarla en toda la organización con un solo paso en la página de la consola Supervisión del tiempo de ejecución de GuardDuty de la cuenta de administrador de GuardDuty. Con esto, se activará la supervisión del tiempo de ejecución de las cargas de trabajo deseadas en todas las cuentas miembro individuales. Una vez que se active para una cuenta, se supervisará el tiempo de ejecución de todas las cargas de trabajo existentes y futuras que se han seleccionado en la cuenta en busca de amenazas, y no se requiere ninguna configuración manual.
¿Puedo modificar la forma en que superviso clústeres específicos en Amazon EKS o Amazon ECS?
La monitorización de la versión ejecutable de GuardDuty permite la configuración selectiva en la que los clústeres de Amazon EKS o los clústeres de Amazon ECS se monitorizarán para la detección de amenazas. Con esta capacidad de configuración adicional de nivel de clústeres, los clientes ahora pueden supervisar selectivamente los clústeres para detectar amenazas o seguir utilizando la capacidad de configuración de nivel de cuentas para supervisar todos los clústeres de EKS o ECS, respectivamente, en una cuenta y región determinadas.
¿El uso de la supervisión del tiempo de ejecución de GuardDuty afectará el rendimiento o los costos de ejecución de cargas de trabajo de AWS?
Al igual que todos los casos de seguridad, observabilidad y otros casos de uso que requieren un agente en el host, el agente de seguridad de GuardDuty introduce una sobrecarga de utilización de recursos. El agente de seguridad de GuardDuty está diseñado para ser liviano y GuardDuty lo supervisa cuidadosamente para minimizar la utilización y el impacto en los costos de las cargas de trabajo cubiertas. Las métricas exactas de utilización de los recursos estarán disponibles para que los equipos de aplicaciones y seguridad las supervisen en Amazon CloudWatch.
Si configura la supervisión del tiempo de ejecución de GuardDuty para implementar automáticamente el agente de seguridad de GuardDuty, esto podría generar un uso adicional de recursos y también crear puntos de conexión de VPC en las VPC que se utilizan para ejecutar las cargas de trabajo de AWS.
¿Se me cobrará por la supervisión del tiempo de ejecución de GuardDuty si no uso Amazon EKS, Amazon ECS o Amazon EC2 y activo la supervisión del tiempo de ejecución de GuardDuty para una de esas cargas de trabajo?
No se le cobrará por la supervisión del tiempo de ejecución de GuardDuty si la tiene habilitada para una carga de trabajo que no está ejecutando. Sin embargo, cuando comience a usar Amazon EKS, Amazon ECS o Amazon EC2 y la supervisión del tiempo de ejecución de GuardDuty esté habilitada para esa carga de trabajo, se le cobrará cuando GuardDuty supervise automáticamente sus clústeres, tareas e instancias y genere resultados para los problemas identificados.
¿Cómo deshabilito la supervisión del tiempo de ejecución de GuardDuty?
La supervisión del tiempo de ejecución de GuardDuty se puede deshabilitar para una cuenta u organización de AWS en la página Supervisión del tiempo de ejecución de la consola de GuardDuty. Si GuardDuty implementó automáticamente el agente de seguridad, también lo eliminará cuando la característica esté deshabilitada.
Si optó por implementar el agente de GuardDuty de forma manual (aplicable solo a la supervisión del tiempo de ejecución de EKS y la supervisión del tiempo de ejecución de EC2), tendrá que eliminarlo manualmente y cualquier punto de conexión de VPC que se haya creado se debe eliminar manualmente. Los pasos para la eliminación manual de la supervisión del tiempo de ejecución de EKS y la supervisión del tiempo de ejecución de EC2 se detallan en la Guía del usuario de GuardDuty.
Protección de GuardDuty contra malware
¿Cómo funciona Protección contra malware de Amazon GuardDuty?
Volúmenes de datos de Amazon EBS: si tiene este origen de datos habilitado para la protección contra software malintencionado, GuardDuty inicia un análisis de detección de software malintencionado cuando identifica un comportamiento sospechoso indicativo de software malintencionado en las cargas de trabajo de instancias o contenedores de Amazon EC2. Escanea un volumen de réplica de Amazon EBS que GuardDuty genera en función de la instantánea de su volumen de Amazon EBS en busca de troyanos, gusanos, criptomineros, rootkits, bots y más. La protección contra malware de GuardDuty genera resultados contextualizados que pueden ayudar a validar el origen del comportamiento sospechoso. Estos resultados también se pueden enrutar a los administradores adecuados e iniciar la reparación automatizada.
Escaneo de objetos de S3: una vez que se configura un bucket para la protección contra el software malintencionado, GuardDuty escanea automáticamente los archivos recién cargados y, si se detecta software malintencionado, genera una notificación de Amazon EventBridge con detalles sobre el software malintencionado, lo que permite la integración con los sistemas de flujo de trabajo o gestión de eventos de seguridad existentes. Puedes configurar la cuarentena automática del software malintencionado moviendo el objeto a un bucket aislado de tu cuenta o usar etiquetas de objetos para agregar la disposición del resultado del análisis, lo que permite identificar y clasificar mejor los objetos analizados en función de las etiquetas.
¿Qué tipos de resultados de GuardDuty para Amazon EC2 iniciarán un análisis de malware?
Los resultados de GuardDuty para Amazon EC2 que iniciarán un análisis de malware se encuentran en la Guía del usuario de GuardDuty.
¿Qué recursos y tipos de archivos puede escanear la protección contra malware de GuardDuty?
La protección contra malware admite la detección de archivos malintencionados mediante el escaneo de Amazon EBS adjunto a las instancias Amazon EC2. Los tipos de sistemas de archivos compatibles se encuentran en la Guía del usuario de GuardDuty.
La protección contra software malintencionado para S3 puede analizar archivos que pertenecen a la mayoría de las clases de almacenamiento S3 sincrónico, como S3 Standard, S3 Intelligent-Tiering, S3 Standard-IA, S3 One Zone-IA y Amazon S3 Glacier Instant Retrieval, con el motor de análisis de software malintencionado de GuardDuty. Analizará los formatos de archivo que se sabe que se utilizan para propagar o contener archivos malintencionados, incluidos ejecutables, archivos.pdf, archivos archivados, archivos binarios, archivos empaquetados, scripts, instaladores, bases de datos de correo electrónico, correos electrónicos simples, imágenes y objetos codificados.
¿Qué tipos de amenazas puede detectar la protección contra software malintencionado de GuardDuty?
La protección contra software malintencionado busca amenazas como troyanos, gusanos, criptomineros, rootkits y bots, que pueden usarse para vulnerar cargas de trabajo, reutilizar recursos para uso malintencionado y obtener acceso no autorizado a datos.
Consulte la Guía del usuario de GuardDuty para obtener una lista completa de los tipos de resultado.
¿Necesito activar el registro para que la protección contra software malintencionado de GuardDuty funcione?
No es necesario habilitar el registro de servicios para que GuardDuty o la característica de protección contra software malintencionado funcionen. La característica de protección contra software malintencionado es parte de GuardDuty, que es un servicio de AWS que utiliza inteligencia de fuentes internas y externas integradas.
¿Cómo realiza el análisis sin agentes la protección contra malware de GuardDuty?
En lugar de usar agentes de seguridad, la protección contra malware de GuardDuty creará y escaneará una réplica basada en la instantánea de los volúmenes de Amazon EBS adjuntos a la carga de trabajo de contenedores o la instancia Amazon EC2 potencialmente infectada en su cuenta. Los permisos que otorgó a GuardDuty a través de un rol vinculado al servicio permiten que el servicio cree una réplica de volumen cifrada en la cuenta de servicio de GuardDuty a partir de esa instantánea que permanece en su cuenta. Entonces, la protección contra software malintencionado de GuardDuty escaneará la réplica del volumen en busca de software malintencionado.
En el caso de los objetos de Amazon S3, GuardDuty comienza a leer, descifrar y analizar los objetos cargados en los buckets que ha configurado para la protección contra software malintencionado de GuardDuty. Puede limitar el alcance de los objetos que se van a analizar en un bucket al definir que solo se analicen los objetos con ciertos prefijos. GuardDuty analizará los objetos cargados que coincidan con estos prefijos definidos y generará un resultado de seguridad y una notificación de Amazon EventBridge con un resultado detallado del análisis: infectado, limpio, omitido o fallido. La notificación también incluirá las métricas de análisis relacionadas con la cantidad de objetos y bytes analizados. También puede definir las acciones posteriores al análisis que GuardDuty ejecutará en el objeto en función del resultado del análisis, como la cuarentena automática o el etiquetado de objetos.
¿Hay una prueba gratuita de la protección contra software malintencionado de GuardDuty?
Sí, cada nueva cuenta de GuardDuty en cada región recibe una prueba gratuita de 30 días de GuardDuty, que incluye la característica de protección contra malware (disponible únicamente para el análisis iniciado por GuardDuty de volúmenes de datos de EBS; no hay una prueba gratuita de la protección contra software malintencionado de GuardDuty para Amazon S3). Las cuentas de GuardDuty existentes reciben una prueba de 30 días de protección contra software malintencionado sin cargo adicional la primera vez que se habilita en una cuenta. Durante el periodo de prueba, puede ver la estimación de costos en la página de uso de la consola de GuardDuty luego de la prueba. Si es administrador de GuardDuty, verá los costos estimados de las cuentas miembro. Después de 30 días, puede ver los costos reales de esta característica en la Consola de facturación de AWS.
Si en este momento estoy utilizando GuardDuty, ¿cómo puedo comenzar con la protección de software malintencionado de GuardDuty?
Puede habilitar la protección contra software malintencionado en la consola de GuardDuty a través de la página de la protección contra software malintencionado o mediante la API. Si está trabajando con una configuración de varias cuentas de GuardDuty, puede habilitar la característica en toda su organización en la página de la consola de la protección contra software malintencionado de la cuenta de administrador de GuardDuty. Esto habilitará el monitoreo de software malintencionado en todas las cuentas miembro individuales. Para las cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations, debe habilitar de manera explícita la habilitación automática para la opción de protección contra software malintencionado.
En el caso de la protección contra software malintencionado para S3, puede integrar el análisis de software malintencionado en sus aplicaciones siguiendo dos pasos. En primer lugar, como propietario de una aplicación, debe configurar la protección del bucket en los buckets que desea supervisar. Puede configurarlo en la consola de GuardDuty mediante programación para un bucket existente o al crear un bucket nuevo. GuardDuty enviará las métricas de escaneo a tus eventos de EventBridge para cada bucket de S3 protegido, lo que te permitirá configurar alarmas y definir las acciones posteriores al escaneo, como etiquetar el objeto o copiar el objeto malintencionado a un bucket de cuarentena que GuardDuty ejecutará en función del resultado del escaneo. Si GuardDuty está habilitado para su cuenta, también se generará un resultado de seguridad en GuardDuty.
Si soy un nuevo usuario de GuardDuty, ¿la protección contra software malintencionado para EC2 está habilitado de forma predeterminada para mis cuentas?
Sí, cualquier cuenta nueva que habilite GuardDuty mediante la consola o la API también tendrá a protección contra software malintencionado de GuardDuty habilitado de forma predeterminada (para el análisis de volúmenes de EBS). Para las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations, tendrá que activar de manera explícita la habilitación automática para la opción de protección contra software malintencionado.
¿Cómo se desactiva la protección contra software malintencionado de GuardDuty?
Puede deshabilitar la característica en la consola o mediante la API. Verá una opción para deshabilitar la protección contra software malintencionado de sus cuentas en la consola de GuardDuty, en la página de la consola de la característica. Si tiene una cuenta de administrador de GuardDuty, también puede deshabilitar la protección contra software malintencionado para las cuentas miembro.
Si desactivo la protección contra software malintencionado de GuardDuty, ¿cómo la vuelvo a habilitar?
Si la protección contra software malintencionado se ha deshabilitado, puede habilitar la característica en la consola o mediante la API. Puede habilitar la protección contra software malintencionado para sus cuentas en la consola de GuardDuty, en la página de la consola de la característica.
Si no se realizan análisis de software malintencionado de GuardDuty durante un periodo de facturación, ¿habrá cargos?
No, no habrá cargos por la protección de software malintencionado si no hay análisis de software malintencionado durante un periodo de facturación. Puede ver los costos de esta característica en la Consola de facturación de AWS.
¿La protección contra software malintencionado de GuardDuty admite la administración de varias cuentas?
Sí, GuardDuty tiene una característica para administrar varias cuentas que permite asociar y administrar múltiples cuentas de AWS a partir de una única cuenta de administrador. GuardDuty permite la administración de varias cuentas a través de la integración con AWS Organizations. Esta integración ayuda a los equipos de seguridad y conformidad a asegurar la cobertura total de GuardDuty, incluida la protección contra software malintencionado, en todas las cuentas de una organización.
¿Debo realizar algún cambio en la configuración, implementar algún software o modificar mis despliegues de AWS para empezar a usar la protección contra software malintencionado para EC2?
No. Una vez que la característica está habilitada, la protección contra software malintencionado de GuardDuty iniciará un análisis de software malintencionado en respuesta a los resultados relevantes de Amazon EC2. No tiene que implementar ningún agente, no hay orígenes de registro que habilitar ni tampoco hay que hacer otros cambios de configuración.
¿El uso de la protección contra software malintencionado de GuardDuty afectará el rendimiento de la ejecución de mis cargas de trabajo?
La protección contra malware de GuardDuty está diseñada para no afectar el rendimiento de sus cargas de trabajo. Por ejemplo, las instantáneas de volumen de Amazon EBS creadas para el análisis de malware solo se pueden generar una vez en un periodo de 24 horas, y la protección contra malware de Amazon GuardDuty retiene las réplicas cifradas y las instantáneas durante unos minutos después de completar un análisis. Además, la protección contra malware de GuardDuty utiliza los recursos informáticos de GuardDuty para el análisis de malware en lugar de los recursos informáticos del cliente.
¿Es necesario habilitar la protección contra malware de GuardDuty en cada región de AWS individualmente?
Sí, GuardDuty es un servicio regional y se debe habilitar la protección contra software malintencionado en cada región de AWS por separado.
¿Cómo funciona la protección contra malware de GuardDuty?
La protección contra malware de GuardDuty escanea una réplica basada en la instantánea de los volúmenes de Amazon EBS adjuntos a la carga de trabajo de contenedores o la instancia Amazon EC2 potencialmente infectada en su cuenta. Si los volúmenes de Amazon EBS están cifrados con una clave administrada por el cliente, tiene la opción de compartir su clave de AWS Key Management Service (KMS) con GuardDuty y el servicio utiliza la misma clave para cifrar el volumen de réplica de Amazon EBS. En el caso de volúmenes de Amazon EBS no cifrados, GuardDuty utiliza su propia clave para cifrar el volumen de réplica de Amazon EBS.
¿La réplica del volumen de Amazon EBS se analizará en la misma región del volumen original?
Sí, todos los datos del volumen de réplica de Amazon EBS (y la instantánea en la que se basa el volumen de réplica) permanecen en la misma región que el volumen de Amazon EBS original.
¿Cómo puedo calcular y controlar el gasto de la protección contra malware de GuardDuty?
Cada nueva cuenta de GuardDuty, en cada región, recibe una prueba gratuita de 30 días de GuardDuty, que incluye la característica de protección contra malware (solo para los análisis de volúmenes de datos de EBS iniciados por GuardDuty; no hay una prueba gratuita de la protección contra software malintencionado para Amazon S3). Las cuentas de GuardDuty existentes reciben una prueba de 30 días de protección contra software malintencionado sin cargo adicional la primera vez que se habilita en una cuenta. Durante el periodo de prueba, puede estimar los costos en la página de uso de la consola de GuardDuty luego de la prueba. Si es administrador de GuardDuty, verá los costos estimados de las cuentas miembro. Después de 30 días, puede ver los costos reales de esta característica en la Consola de facturación de AWS.
El precio del análisis de volúmenes de EBS con malware se basa en los GB de datos analizados en un volumen. Puede aplicar personalizaciones a través de las opciones de análisis de la consola para marcar algunas instancias de Amazon EC2, mediante etiquetas, a fin de incluirlas o excluirlas del análisis, y así controlar los costos. Además, GuardDuty solo analizará una instancia Amazon EC2 una vez cada 24 horas. Si GuardDuty genera múltiples resultados de Amazon EC2 para una instancia Amazon EC2 dentro de las 24 horas, solo se realizará un análisis para el primer resultado de Amazon EC2 relevante. Si los resultados de Amazon EC2 continúan para una instancia 24 horas después del último análisis de malware, se iniciará un nuevo análisis de malware para esa instancia.
El precio del análisis de objetos de almacenamiento con malware en buckets de S3 se basa en los GB de datos analizados, así como en la cantidad de archivos analizados en un bucket de S3 designado que está configurado para el análisis de malware. GuardDuty solo analizará los archivos recién cargados en los buckets configurados y no analizará los archivos existentes ni los archivos de los buckets no diseñados para el análisis de malware.
¿Puedo conservar las instantáneas de Amazon EBS tomadas por la protección contra software malintencionado de GuardDuty?
Sí, hay una configuración en la que puede habilitar la retención de instantáneas cuando el análisis de la protección de software malintencionado detecta software malintencionado. Puede habilitar esta configuración desde la consola de GuardDuty, en la página de configuración. De forma predeterminada, las instantáneas se eliminan unos minutos después de completar un análisis y después de 24 horas si el análisis no se completó.
De forma predeterminada, ¿cuál es el tiempo máximo que se retendrá un volumen de réplica de Amazon EBS?
La protección contra malware de GuardDuty retendrá cada volumen de réplica de Amazon EBS que genere y analice durante un máximo de 24 horas. De forma predeterminada, los volúmenes de réplica de Amazon EBS se eliminan unos minutos después de que la protección contra malware de GuardDuty complete un análisis. Sin embargo, en algunos instancias, es posible que la protección contra malware de GuardDuty deba retener un volumen de réplica de Amazon EBS durante más de 24 horas si una interrupción del servicio o un problema de conexión interfiere con el análisis de malware. Cuando esto ocurre, la protección contra malware de GuardDuty retiene el volumen de réplica de Amazon EBS durante un máximo de siete días para que el servicio tenga tiempo de clasificar y abordar la interrupción o el problema de conexión. La protección contra malware de GuardDuty eliminará el volumen de réplica de Amazon EBS después de que se resuelva la interrupción o falla o una vez que venza el periodo de retención extendido.
¿Los múltiples resultados de GuardDuty para una sola instancia de Amazon EC2 o carga de trabajo de contenedores que indiquen un posible software malintencionado iniciarán múltiples análisis de software malintencionado?
No, GuardDuty solo escanea una réplica basada en la instantánea de los volúmenes de EBS adjuntos a la carga de trabajo de contenedores o la instancia de Amazon EC2 posiblemente infectada en su cuenta, una vez cada 24 horas. Incluso si GuardDuty genera múltiples resultados que califican para iniciar un análisis de malware, no iniciará análisis adicionales si han pasado menos de 24 horas desde un análisis anterior. Si GuardDuty genera un hallazgo calificado después de 24 horas desde el último análisis de software malintencionado, la protección contra software malintencionado de GuardDuty iniciará un nuevo análisis de software malintencionado para esa carga de trabajo.
Si desactivo GuardDuty, ¿también tengo que desactivar la característica de protección contra software malintencionado?
No, al desactivar el servicio GuardDuty también se desactiva la característica de protección contra software malintencionado.
¿Tengo que habilitar GuardDuty para usar la protección contra software malintencionado de GuardDuty para Amazon S3?
No, la protección contra software malintencionado de GuardDuty S3 le brinda flexibilidad, ya que permite a los propietarios de las aplicaciones configurar la protección contra software malintencionado para sus buckets de S3 incluso cuando GuardDuty base no esté habilitado para la cuenta. Base GuardDuty incluye la supervisión predeterminada de las fuentes fundamentales, como los eventos de administración de AWS CloudTrail, los registros de flujo de VPC y los registros de consultas de DNS.
Protección de GuardDuty para RDS
¿Cómo funciona la protección de GuardDuty para RDS?
La protección de GuardDuty para RDS se puede activar con una sola acción en la consola de GuardDuty, sin necesidad de implementar agentes de forma manual, sin tener que activar origen de datos ni configurar permisos. Por medio de modelos de ML personalizados, la protección de GuardDuty para RDS comienza por analizar y perfilar los intentos de inicio de sesión a las bases de datos existentes y nuevas de Amazon Aurora. Cuando se identifican comportamientos sospechosos o intentos de actores maliciosos conocidos, GuardDuty emite resultados de seguridad procesables a las consolas de GuardDuty y al servicio de Amazon Relational Database Service (RDS), Security Hub y Amazon EventBridge, lo que permite la integración con los sistemas de administración de eventos de seguridad o de flujos de trabajo existentes. Más información sobre cómo utilizar Protección de GuardDuty para RDS la supervisión de la actividad de inicio de sesión de RDS.
¿Cómo puedo comenzar con la detección de amenazas para las bases de datos de Aurora si ya uso GuardDuty?
Para las cuentas de GuardDuty actuales, la característica se puede activar desde la consola de GuardDuty en la página de protección para RDS o mediante la API. Más información sobre Protección de GuardDuty para RDS.
Si soy un nuevo usuario de GuardDuty, ¿la detección de amenazas para las bases de datos de Aurora se habilita de manera predeterminada para mis cuentas?
Sí. Todas las cuentas nuevas que activen GuardDuty desde la consola o la API también tendrán habilitada la protección para RDS de forma predeterminada. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán la protección para RDS activada a menos que la opción de habilitación automática para RDS esté activada.
¿Puedo utilizar la protección de RDS de GuardDuty sin activar el servicio completo de GuardDuty (que incluye el análisis de los registros de flujo de Amazon Virtual Private Cloud [Amazon VPC], los registros de consulta de DNS y los eventos de administración de AWS CloudTrail)?
No, el servicio GuardDuty debe habilitarse para poder utilizar la protección de RDS de GuardDuty.
¿Está disponible la protección de GuardDuty para RDS en todas las regiones donde ya se encuentra el servicio de GuardDuty?
Para obtener una lista completa de las regiones en las que está disponible la protección de RDS, consulte la Disponibilidad de características específicas para cada región.
¿Qué versiones de Amazon Aurora admite la Protección de GuardDuty para RDS?
Consulte la lista de versiones de bases de datos de Amazon Aurora compatibles.
¿El uso de la protección de GuardDuty para RDS afectará el rendimiento o el coste de la ejecución de las bases de datos de Aurora?
No, la detección de amenazas de GuardDuty para las bases de datos de Aurora está diseñada para no tener implicaciones de rendimiento, disponibilidad o costo para sus bases de datos de Amazon Aurora.
Protección de GuardDuty para Lambda
¿Cómo funciona la protección de Amazon GuardDuty para Lambda?
Protección de GuardDuty para Lambda monitorea continuamente la actividad de la red. Comienza con los registros de flujo de VPC, desde sus cargas de trabajo sin servidor para detectar amenazas como funciones de Lambda reutilizadas maliciosamente para la minería de criptomonedas no autorizada, o funciones de Lambda vulneradas que se comunican con servidores de autores de amenazas conocidos. Protección de GuardDuty para Lambda se puede habilitar con unos pocos pasos en la consola de GuardDuty y, mediante AWS Organizations, se puede habilitar de forma centralizada para todas las cuentas existentes y nuevas en una organización. Una vez activada la característica, empieza a monitorear automáticamente los datos de actividad de red de todas las funciones de Lambda existentes y nuevas en una cuenta.
¿Cómo se puede comenzar a utilizar la protección de GuardDuty para Lambda si actualmente se utiliza GuardDuty?
Para las cuentas de GuardDuty actuales, la característica se puede activar desde la consola de GuardDuty en la página de protección para Lambda o mediante la API. Obtenga más información sobre la protección de GuardDuty para Lambda.
Si soy un nuevo usuario de GuardDuty, ¿está la protección de GuardDuty para Lambda habilitada de forma predeterminada para las cuentas?
Sí. Todas las cuentas nuevas que activen GuardDuty desde la consola o la API también tendrán habilitada la protección para Lambda de forma predeterminada. Las nuevas cuentas de GuardDuty creadas con la característica de habilitación automática de AWS Organizations no tendrán la protección para Lambda activada de manera predeterminada, a menos que la opción de habilitación automática para Lambda esté activada.
¿La protección de GuardDuty para Lambda se encuentra disponible en todas las regiones en las que GuardDuty está disponible actualmente?
Para obtener una lista completa de las regiones en las que está disponible la protección para Lambda, consulte la Disponibilidad de características específicas para cada región.
¿El uso de Protección de GuardDuty para Lambda afectará el rendimiento o el coste de la ejecución de las cargas de trabajo de Lambda?
No, Protección de GuardDuty para Lambda está diseñada para no repercutir en el rendimiento, la disponibilidad ni los costos de las cargas de trabajo de Lambda.