View a markdown version of this page

GuardDuty Investigación (vista previa) - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

GuardDuty Investigación (vista previa)

GuardDuty La investigación proporciona un análisis de AI-powered seguridad de sus GuardDuty hallazgos y relatos. Al crear una investigación, GuardDuty analiza el contexto, la actividad relacionada de los últimos 90 días, los recursos afectados, la información sobre amenazas y los indicadores de amenazas mediante gráficos de conocimiento. Cada investigación proporciona una evaluación de la disposición de las amenazas con una puntuación de confianza, una clasificación técnica MITRE ATT&CK®, pruebas que las respaldan y recomendaciones prácticas.

Cada investigación arroja los siguientes datos:

  • Nivel de riesgo: una evaluación del riesgo general: informativo, bajo, medio, alto o crítico.

  • Confianza: el nivel de confianza de la evaluación: desconocido, bajo, medio o alto.

  • Resumen: descripción de los resultados de la investigación y de las observaciones clave.

  • Detalles de la investigación: información y contexto adicionales relacionados con la investigación.

  • Acciones recomendadas: acciones detalladas, incluidos los comandos CLI, que puede realizar para solucionar los problemas identificados.

nota

GuardDuty La investigación solo está disponible en las siguientes 10 AWS regiones comerciales: EE.UU. Este (Norte de Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón), Canadá (Central), Europa (Fráncfort), Europa (Irlanda), Europa (Londres), Europa (París), Europa (Estocolmo) y Asia Pacífico (Tokio).

Tipos de análisis

GuardDuty La investigación admite los tres tipos de análisis siguientes:

  • Análisis de búsqueda: analiza GuardDuty hallazgos específicos al especificar el ID de búsqueda (hexadecimal de 32 caracteres). Para obtener una vista previa, GuardDuty Investigation respalda todas las conclusiones de la detección extendida de amenazas (XTD) y selecciona las conclusiones de los planes base, S3 y Runtime.

  • Análisis de la cuenta: analiza la situación de amenaza de una AWS cuenta al proporcionar el ID de cuenta de 12 dígitos AWS .

  • Análisis de la organización: analiza la postura de su organización ante las amenazas. Para obtener una vista previa, analiza hasta 100 cuentas.

Cross-Region inferencia

GuardDuty La investigación utiliza el Servicio de Cross-Region Inferencias (CRIS), que selecciona automáticamente lo óptimo Región de AWS dentro de su zona geográfica para procesar el análisis de la investigación y generar el informe de la investigación. Esto maximiza los recursos informáticos disponibles, la disponibilidad de los modelos y ofrece la mejor experiencia al cliente.

Sus datos permanecen almacenados únicamente en la región en la que se origina la solicitud de investigación. Sin embargo, los datos de la investigación y los resultados resumidos pueden procesarse fuera de esa región. Todos los datos se transmiten cifrados a través de la red segura de Amazon.

GuardDuty La investigación dirige de forma segura las solicitudes de inferencia a los recursos informáticos disponibles en el área geográfica en la que se originó la solicitud, como se muestra en la siguiente tabla.

Cross-Region enrutamiento de inferencia
Geografía de compatible GuardDuty Región Regiones de inferencia
Estados Unidos Este de EE. UU. (Norte de Virginia) Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón)
Estados Unidos Este de EE. UU. (Ohio) Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón)
Estados Unidos Oeste de EE. UU. (Oregón) Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón)
Estados Unidos Canadá (centro) Canadá (centro), EE.UU. Este (Norte de Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón)
Europa Europa (Fráncfort) Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París)
Europa Europa (Irlanda) Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París)
Europa Europa (Londres) Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (Londres), Europa (París)
Europa Europa (París) Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París)
Europa Europa (Estocolmo) Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París)
Japón Asia-Pacífico (Tokio) Asia Pacífico (Tokio), Asia Pacífico (Osaka)

Requisitos previos

Antes de poder utilizar GuardDuty Investigation, asegúrate de que se cumplen los siguientes requisitos previos:

  • Debe tener un GuardDuty detector activo en el Región de AWS lugar donde desee crear las investigaciones. Para obtener más información sobre la activación GuardDuty, consulteEmpezar con GuardDuty.

  • Debe activar la función de GuardDuty investigación en su detector.

    Console
    1. Abre la GuardDuty consola.

    2. En el panel de navegación, seleccione Configuración.

    3. En Investigaciones impulsadas por IA: Vista previa, selecciona Activar.

    API/CLI

    Llama a la UpdateDetectorAPI y activa la AI_ANALYST función en tu detector.

    aws guardduty update-detector \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  • Su identidad de IAM debe tener los permisos necesarios para realizar acciones de investigación. Se requieren las siguientes acciones de IAM:

    • guardduty:CreateInvestigation— Necesario para crear una nueva investigación.

    • guardduty:GetInvestigation— Necesario para recuperar los resultados de la investigación.

    • guardduty:ListInvestigations— Necesario para enumerar las investigaciones de un detector.

El siguiente ejemplo de política de IAM concede permiso para utilizar todas las acciones de GuardDuty investigación:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateInvestigation", "guardduty:GetInvestigation", "guardduty:ListInvestigations" ], "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7" } ] }

Modelo de acceso para cuentas de administradores y miembros

Las siguientes reglas de acceso se aplican a GuardDuty Investigation en función de si utiliza una cuenta de administrador o una cuenta de miembro:

  • Cuentas de administrador: pueden crear, obtener y publicar investigaciones propias y de sus cuentas de miembros.

  • Cuentas de miembros: solo pueden obtener y enumerar las investigaciones de su propia cuenta. Las cuentas de los miembros no pueden iniciar investigaciones ni acceder a las investigaciones que pertenezcan a otras cuentas o a la cuenta del administrador.

Crear una investigación

Puede crear una investigación para analizar GuardDuty los hallazgos y los relatos de su AWS entorno. La investigación se lleva a cabo de forma asíncrona en segundo plano. Tras crear una investigación, utilice el identificador de la investigación para comprobar su estado y obtener los resultados.

importante

Durante la vista previa, puedes iniciar hasta 10 investigaciones por cuenta y día, con un límite total de 100 investigaciones por cuenta. Las investigaciones fallidas no se tienen en cuenta para estas cuotas. Si utiliza el API/CLI, el mensaje de activación puede tener un máximo de 2048 caracteres.

Elija el método de acceso que prefiera para iniciar una investigación.

Console
  1. Abre la GuardDuty consola y dirígete a Investigaciones en el panel de navegación de la izquierda.

  2. Selecciona Iniciar investigación.

  3. Seleccione el ámbito de la investigación:

    • Un hallazgo específico: introduzca el identificador del hallazgo que desee analizar.

    • Mi cuenta (solo independiente): no se requieren datos adicionales. GuardDuty analizará tu cuenta.

    • Una cuenta específica (solo para administradores): introduce el ID de AWS cuenta de 12 dígitos.

    • Todas las cuentas de la organización (solo para administradores): no es necesario introducir datos adicionales.

  4. Seleccione Iniciar investigación para iniciar el análisis.

API/CLI

Ejecute la operación de la CreateInvestigation API para iniciar una nueva investigación. Debe proporcionar el ID del detector y un mensaje de activación que describa lo que debe investigarse.

Para encontrar el detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

aws guardduty create-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --trigger-prompt "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"

En el comando anterior, sustitúyalo por tu propio identificador de detector y trigger-prompt por una descripción de lo que quieres investigar. detector-id

Si lo desea, puede incluir un --client-token parámetro para la idempotencia. Si vuelves a intentar la solicitud con el mismo token de cliente, GuardDuty devuelve la investigación existente en lugar de crear una duplicada.

Ejemplo de código de salida:

{ "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890" }

Activa los requisitos de aviso

El mensaje de activación debe describir lo que se va a investigar. GuardDuty determina el tipo de análisis en función del contenido de la solicitud:

  • Análisis de búsqueda: incluya exactamente un identificador de búsqueda (cadena hexadecimal de 32 caracteres) en la solicitud. El hallazgo debe existir y pertenecer a la cuenta de la persona que llama o a la cuenta de un miembro. No puedes incluir varios identificadores de búsqueda en una sola solicitud.

  • Análisis de la cuenta: incluye exactamente un identificador de AWS cuenta de 12 dígitos en la solicitud. La persona que llama debe ser el administrador de esa cuenta. No puedes incluir varios ID de cuenta en una sola solicitud.

  • Análisis de la organización: describe en tu mensaje un problema de seguridad que afecte a toda la organización. La investigación analiza las señales en toda la organización (hasta 100 cuentas).

GuardDuty utiliza la IA para interpretar su solicitud de formato libre y determinar el alcance del análisis adecuado. Si incluye un identificador de búsqueda, realiza un análisis de búsqueda. Si incluyes un identificador de cuenta, realiza un análisis de la cuenta. Si la solicitud describe un problema que afecta a toda la organización, realiza un análisis de la organización. Si el mensaje no coincide con un tipo de análisis específico, la investigación pasa por analizar de forma predeterminada la propia cuenta de la persona que llama.

A continuación, se muestran ejemplos de solicitudes de activación para cada tipo de análisis:

  • Búsqueda de análisis: "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"

  • Análisis de cuentas"Analyze findings in account with id 123456789012"

  • Análisis organizativo"Analyze findings in my organization"

Crear una investigación para la cuenta de un miembro

Si eres administrador de una cuenta, puedes iniciar una investigación para una cuenta de miembro incluyendo el ID de la cuenta de miembro en el mensaje de activación. Usa el identificador del detector de la cuenta de administrador en el comando. Los resultados de la investigación contendrán las conclusiones de la cuenta de miembro especificada.

aws guardduty create-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --trigger-prompt "Analyze findings in account with id 111122223333"

En el comando anterior, sustituya el por el detector-id ID de detector de su cuenta de administrador. El identificador de cuenta de 12 dígitos que aparece en la ventana de activación identifica la cuenta del miembro que se va a investigar.

Ver los resultados de la investigación

Tras crear una investigación, puede recuperar los resultados, incluidos el resumen, los detalles de la investigación, el nivel de confianza y la recomendación. Una investigación puede tener uno de los siguientes estados:

  • EN MARCHA: la investigación aún está en curso.

  • FINALIZADA: la investigación ha finalizado satisfactoriamente y los resultados están disponibles.

  • FALLIDO: la investigación detectó un error. Compruebe el campo de error para obtener más información.

Elija el método de acceso que prefiera para ver los resultados de la investigación.

AI-generated los análisis y las recomendaciones pueden contener errores o evaluaciones incompletas. Se recomienda la revisión por parte de un humano.

Console
  1. Abre la GuardDuty consola y dirígete a Investigaciones en el panel de navegación de la izquierda.

  2. En la tabla de investigaciones, busca la investigación finalizada que deseas revisar.

  3. Selecciona el enlace del título de la investigación para abrir la página de detalles.

nota

Solo se puede hacer clic en los títulos de las investigaciones cuando el estado es Completado.

API/CLI

Ejecute la operación de la GetInvestigation API para recuperar todos los detalles de una investigación finalizada.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

aws guardduty get-investigation \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --investigation-id a1b2c3d4-5678-90ab-cdef-ef1234567890

Ejemplo de resultado de una investigación finalizada:

{ "Investigation": { "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890", "Status": "COMPLETED", "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012", "TriggeredBy": "123456789012", "RiskLevel": "Critical", "Risk": "Detection logic is valid but no live resources are compromised.", "Confidence": "High", "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}", "Cloud": { "Provider": "AWS", "Region": "us-east-1", "Account": "123456789012" }, "Metadata": { "Product": { "Name": "Amazon GuardDuty AI Analyst", "Feature": "Investigation" }, "Version": "1.0.0" }, "StartTime": 1705319400.0, "EndTime": 1705319700.0 } }

El Summary campo contiene una cadena JSON con los resultados completos de la investigación, incluidas las observaciones clave, las contramedidas con comandos CLI y una evaluación de amenazas de MITRE ATT&CK®.

Interpretar los resultados de la investigación

En la siguiente tabla se describen los niveles de riesgo que puede arrojar una investigación:

Niveles de riesgo de investigación
Nivel de riesgo Description (Descripción)
Información Hallazgo informativo sin riesgo inmediato para el medio ambiente.
Bajo Riesgo menor que es poco probable que requiera una acción inmediata.
Medio Riesgo moderado que deba revisar y que pueda requerir una solución.
Alto Riesgo significativo que requiere una investigación y una solución rápidas.
Critico Riesgo grave que requiere una acción inmediata para evitar nuevos compromisos.

En la siguiente tabla se describen los niveles de confianza:

Niveles de confianza en la
Nivel de confianza Description (Descripción)
Desconocido Datos insuficientes para determinar la confianza en la evaluación.
Bajo Hay pruebas limitadas que respaldan la evaluación.
Medio Hay pruebas moderadas que respaldan la evaluación.
Alto Hay pruebas sólidas que respaldan la evaluación.

Enumerar las investigaciones

Puede enumerar todas las investigaciones de un detector, con clasificación y paginación opcionales. Esto le ayuda a revisar y realizar un seguimiento del estado de varias investigaciones.

Elija su método de acceso preferido para enumerar las investigaciones.

Console
  1. Abre la GuardDuty consola y dirígete a Investigaciones en el panel de navegación de la izquierda.

  2. La tabla de investigaciones muestra todas las investigaciones del detector actual con su estado, nivel de riesgo y fechas.

API/CLI

Ejecute la operación de la ListInvestigations API para enumerar los resúmenes de las investigaciones de un detector.

Para encontrar la detectorId correspondiente a tu cuenta y región actual, consulta la página de configuración de la https://console.aws.amazon.com/guardduty/consola o ejecuta la ListDetectorsAPI.

aws guardduty list-investigations \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --max-results 10

Puede ordenar los resultados especificando un --sort-criteria parámetro. En el siguiente ejemplo, se enumeran las investigaciones ordenadas por hora de inicio en orden descendente:

aws guardduty list-investigations \ --detector-id 2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7 \ --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \ --max-results 10

Los atributos de ordenación disponibles son START_TIMEEND_TIME, STATUSRISK_LEVEL, yCONFIDENCE. Puede ordenar en orden ASC (ascendente) o DESC (descendente).

Ejemplo de código de salida:

{ "Investigations": [ { "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890", "Status": "COMPLETED", "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012", "RiskLevel": "Critical", "Confidence": "High", "StartTime": 1705319400.0, "EndTime": 1705319700.0, "AccountId": "123456789012" }, { "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901", "Status": "COMPLETED", "TriggerPrompt": "Analyze findings in account with id 123456789012", "RiskLevel": "High", "Confidence": "High", "StartTime": 1705315800.0, "EndTime": 1705316100.0, "AccountId": "123456789012" }, { "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012", "Status": "COMPLETED", "TriggerPrompt": "Analyze findings in my organization", "RiskLevel": "Medium", "Confidence": "Medium", "StartTime": 1705312200.0, "EndTime": 1705312500.0, "AccountId": "123456789012" } ] }

Si la respuesta incluye un NextToken valor, pásalo en una solicitud posterior para recuperar la siguiente página de resultados. Puedes recuperar hasta 50 resultados por página.