Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Niveles de gravedad de GuardDuty los hallazgos

Cada GuardDuty hallazgo tiene un nivel de gravedad y un valor asignados que reflejan el riesgo potencial que el hallazgo podría suponer para su entorno, según lo determinen nuestros ingenieros de seguridad. El valor de la gravedad puede estar comprendido en cualquier lugar dentro del intervalo de 1,0 a 10,0, donde los valores superiores indican un mayor riesgo de seguridad. Para ayudarlo a determinar la respuesta a un posible problema de seguridad que se destaque en un hallazgo, GuardDuty desglosa este rango en niveles de gravedad crítica, alta, media y baja.

Un resultado de un tipo concreto puede tener una gravedad diferente según el contexto específico del resultado. Para ver una lista consolidada de los niveles de gravedad predeterminados para todos los tipos de GuardDuty hallazgos, consulteGuardDuty tipos de búsqueda activos.

En las siguientes secciones se explican los niveles de gravedad definidos para los GuardDuty hallazgos.

Gravedad crítica

Rango de valores: 9,0 - 10,0

Descripción: un nivel de gravedad crítico indica que una secuencia de ataque puede estar en curso o haber ocurrido recientemente. Uno o más AWS recursos, como las credenciales de inicio de sesión de los usuarios de IAM y el bucket de Amazon S3, pueden estar en peligro o ya lo están.

Recomendación: GuardDuty recomienda priorizar la clasificación y la corrección de todos los hallazgos de gravedad crítica, ya que estos problemas pueden ser parte de un ataque de ransomware y agravarse en cualquier momento. Consulte los detalles sobre los recursos involucrados y comience a abordar los problemas de seguridad. Para obtener más información, consulte Corrección de resultados.

Gravedad alta

Rango de valores: 7,0 - 8,9

Descripción: Un nivel de gravedad alto indica que el recurso en cuestión (una EC2 instancia de Amazon o un conjunto de credenciales de inicio de sesión de usuario de IAM) está comprometido y se está utilizando activamente para fines no autorizados.

Recomendación: le GuardDuty recomienda que dé prioridad a cualquier problema de seguridad relacionado con la detección de problemas de seguridad de alta gravedad y que tome medidas correctivas de inmediato para evitar un mayor uso no autorizado de sus recursos. Por ejemplo, limpia tu EC2 instancia de Amazon, ciérrala o rota las credenciales de IAM. Siga los pasos que se indican Corrección de resultados para corregir el resultado.

Gravedad media

Rango de valores: 4,0 - 6,9

Descripción: un nivel de gravedad mediano indica una actividad sospechosa que se desvía del comportamiento observado normalmente y, en función de su caso de uso, puede ser indicativo de un peligro para los recursos.

Recomendación: GuardDuty recomienda investigar el recurso potencialmente afectado lo antes posible. Los pasos de corrección variarán según el recurso y la familia de resultados. Un enfoque establecido consiste en confirmar que la actividad está autorizada y es coherente con su caso de uso. Si no puede identificar la causa o confirmar que la actividad está autorizada, debería considerar el recurso como afectado. Siga los pasos que se indican Corrección de resultados para corregir el resultado.

Estas son algunas cosas a tener en cuenta al revisar un resultado de nivel mediano:

Gravedad baja

Rango de valores: 1,0 - 3,9

Descripción: un nivel de gravedad bajo indica un intento de actividad sospechosa que no puso en peligro el entorno; por ejemplo, un análisis de puerto o un intento fallido de intrusión.

Recomendación: no hay ninguna acción recomendada inmediata, pero vale la pena tomar nota de esta información ya que puede indicar que alguien busca puntos débiles en el entorno.