Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
GuardDuty Investigación (vista previa)
GuardDuty La investigación proporciona un análisis de AI-powered seguridad de sus GuardDuty hallazgos y relatos. Al crear una investigación, GuardDuty analiza el contexto, la actividad relacionada de los últimos 90 días, los recursos afectados, la información sobre amenazas y los indicadores de amenazas mediante gráficos de conocimiento. Cada investigación proporciona una evaluación de la disposición de las amenazas con una puntuación de confianza, una clasificación técnica MITRE ATT&CK®, pruebas que las respaldan y recomendaciones prácticas.
Cada investigación arroja los siguientes datos:
-
Nivel de riesgo: una evaluación del riesgo general: informativo, bajo, medio, alto o crítico.
-
Confianza: el nivel de confianza de la evaluación: desconocido, bajo, medio o alto.
-
Resumen: descripción de los resultados de la investigación y de las observaciones clave.
-
Detalles de la investigación: información y contexto adicionales relacionados con la investigación.
-
Acciones recomendadas: acciones detalladas, incluidos los comandos CLI, que puede realizar para solucionar los problemas identificados.
nota
GuardDuty La investigación solo está disponible en las siguientes 10 AWS regiones comerciales: EE.UU. Este (Norte de Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón), Canadá (Central), Europa (Fráncfort), Europa (Irlanda), Europa (Londres), Europa (París), Europa (Estocolmo) y Asia Pacífico (Tokio).
Tipos de análisis
GuardDuty La investigación admite los tres tipos de análisis siguientes:
-
Análisis de búsqueda: analiza GuardDuty hallazgos específicos al especificar el ID de búsqueda (hexadecimal de 32 caracteres). Para obtener una vista previa, GuardDuty Investigation respalda todas las conclusiones de la detección extendida de amenazas (XTD) y selecciona las conclusiones de los planes base, S3 y Runtime.
-
Análisis de la cuenta: analiza la situación de amenaza de una AWS cuenta al proporcionar el ID de cuenta de 12 dígitos AWS .
-
Análisis de la organización: analiza la postura de su organización ante las amenazas. Para obtener una vista previa, analiza hasta 100 cuentas.
Cross-Region inferencia
GuardDuty La investigación utiliza el Servicio de Cross-Region Inferencias (CRIS), que selecciona automáticamente lo óptimo Región de AWS dentro de su zona geográfica para procesar el análisis de la investigación y generar el informe de la investigación. Esto maximiza los recursos informáticos disponibles, la disponibilidad de los modelos y ofrece la mejor experiencia al cliente.
Sus datos permanecen almacenados únicamente en la región en la que se origina la solicitud de investigación. Sin embargo, los datos de la investigación y los resultados resumidos pueden procesarse fuera de esa región. Todos los datos se transmiten cifrados a través de la red segura de Amazon.
GuardDuty La investigación dirige de forma segura las solicitudes de inferencia a los recursos informáticos disponibles en el área geográfica en la que se originó la solicitud, como se muestra en la siguiente tabla.
| Geografía de compatible | GuardDuty Región | Regiones de inferencia |
|---|---|---|
| Estados Unidos | Este de EE. UU. (Norte de Virginia) | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón) |
| Estados Unidos | Este de EE. UU. (Ohio) | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón) |
| Estados Unidos | Oeste de EE. UU. (Oregón) | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón) |
| Estados Unidos | Canadá (centro) | Canadá (centro), EE.UU. Este (Norte de Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón) |
| Europa | Europa (Fráncfort) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París) |
| Europa | Europa (Irlanda) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París) |
| Europa | Europa (Londres) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (Londres), Europa (París) |
| Europa | Europa (París) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París) |
| Europa | Europa (Estocolmo) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París) |
| Japón | Asia-Pacífico (Tokio) | Asia Pacífico (Tokio), Asia Pacífico (Osaka) |
Requisitos previos
Antes de poder utilizar GuardDuty Investigation, asegúrate de que se cumplen los siguientes requisitos previos:
-
Debe tener un GuardDuty detector activo en el Región de AWS lugar donde desee crear las investigaciones. Para obtener más información sobre la activación GuardDuty, consulteEmpezar con GuardDuty.
-
Debe activar la función de GuardDuty investigación en su detector.
-
Su identidad de IAM debe tener los permisos necesarios para realizar acciones de investigación. Se requieren las siguientes acciones de IAM:
-
guardduty:CreateInvestigation— Necesario para crear una nueva investigación. -
guardduty:GetInvestigation— Necesario para recuperar los resultados de la investigación. -
guardduty:ListInvestigations— Necesario para enumerar las investigaciones de un detector.
-
El siguiente ejemplo de política de IAM concede permiso para utilizar todas las acciones de GuardDuty investigación:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:CreateInvestigation", "guardduty:GetInvestigation", "guardduty:ListInvestigations" ], "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7" } ] }
Modelo de acceso para cuentas de administradores y miembros
Las siguientes reglas de acceso se aplican a GuardDuty Investigation en función de si utiliza una cuenta de administrador o una cuenta de miembro:
-
Cuentas de administrador: pueden crear, obtener y publicar investigaciones propias y de sus cuentas de miembros.
-
Cuentas de miembros: solo pueden obtener y enumerar las investigaciones de su propia cuenta. Las cuentas de los miembros no pueden iniciar investigaciones ni acceder a las investigaciones que pertenezcan a otras cuentas o a la cuenta del administrador.
Crear una investigación
Puede crear una investigación para analizar GuardDuty los hallazgos y los relatos de su AWS entorno. La investigación se lleva a cabo de forma asíncrona en segundo plano. Tras crear una investigación, utilice el identificador de la investigación para comprobar su estado y obtener los resultados.
importante
Durante la vista previa, puedes iniciar hasta 10 investigaciones por cuenta y día, con un límite total de 100 investigaciones por cuenta. Las investigaciones fallidas no se tienen en cuenta para estas cuotas. Si utiliza el API/CLI, el mensaje de activación puede tener un máximo de 2048 caracteres.
Elija el método de acceso que prefiera para iniciar una investigación.
Ver los resultados de la investigación
Tras crear una investigación, puede recuperar los resultados, incluidos el resumen, los detalles de la investigación, el nivel de confianza y la recomendación. Una investigación puede tener uno de los siguientes estados:
-
EN MARCHA: la investigación aún está en curso.
-
FINALIZADA: la investigación ha finalizado satisfactoriamente y los resultados están disponibles.
-
FALLIDO: la investigación detectó un error. Compruebe el campo de error para obtener más información.
Elija el método de acceso que prefiera para ver los resultados de la investigación.
AI-generated los análisis y las recomendaciones pueden contener errores o evaluaciones incompletas. Se recomienda la revisión por parte de un humano.
Interpretar los resultados de la investigación
En la siguiente tabla se describen los niveles de riesgo que puede arrojar una investigación:
| Nivel de riesgo | Description (Descripción) |
|---|---|
| Información | Hallazgo informativo sin riesgo inmediato para el medio ambiente. |
| Bajo | Riesgo menor que es poco probable que requiera una acción inmediata. |
| Medio | Riesgo moderado que deba revisar y que pueda requerir una solución. |
| Alto | Riesgo significativo que requiere una investigación y una solución rápidas. |
| Critico | Riesgo grave que requiere una acción inmediata para evitar nuevos compromisos. |
En la siguiente tabla se describen los niveles de confianza:
| Nivel de confianza | Description (Descripción) |
|---|---|
| Desconocido | Datos insuficientes para determinar la confianza en la evaluación. |
| Bajo | Hay pruebas limitadas que respaldan la evaluación. |
| Medio | Hay pruebas moderadas que respaldan la evaluación. |
| Alto | Hay pruebas sólidas que respaldan la evaluación. |
Enumerar las investigaciones
Puede enumerar todas las investigaciones de un detector, con clasificación y paginación opcionales. Esto le ayuda a revisar y realizar un seguimiento del estado de varias investigaciones.
Elija su método de acceso preferido para enumerar las investigaciones.