Introducción a GuardDuty - Amazon GuardDuty
Antes de empezarPaso 1: habilitación de Amazon GuardDutyPaso 2: generación de resultados de muestra y exploración de las operaciones básicasPaso 3: configuración de la exportación de los resultados de GuardDuty a un bucket de Amazon S3 Paso 4: configuración de alertas de resultados de GuardDuty a través de SNS Pasos a seguir a continuación

Introducción a GuardDuty

En este tutorial, encontrará una introducción práctica acerca de GuardDuty. Los requisitos mínimos para habilitar GuardDuty como una cuenta independiente o como administrador de GuardDuty con AWS Organizations se describen en el paso 1. Los pasos del 2 a 5 incluyen el uso de las características adicionales recomendadas por GuardDuty para aprovechar al máximo sus resultados.

Antes de empezar

GuardDuty es un servicio de detección de amenazas que monitorea Orígenes de datos fundamentales como eventos de administración de AWS CloudTrail, registros de flujo de Amazon VPC y registros de consulta de DNS Amazon Route 53 Resolver. GuardDuty también analiza las características asociadas a sus tipos de protección solo si las habilita por separado. Las características incluyen los registros de auditoría de Kubernetes, la actividad de inicio de sesión de RDS, los eventos de datos de AWS CloudTrail de Amazon S3, los volúmenes de Amazon EBS, el monitoreo del tiempo de ejecución y los registros de actividad de la red de Lambda. Con estos orígenes de datos y características (si se han habilitado), GuardDuty genera resultados de seguridad para su cuenta.

Después de activar GuardDuty, comienza a monitorear su cuenta en busca de amenazas potenciales en función de las actividades en los orígenes de datos fundamentales. De forma predeterminada, Detección Extendida de Amenazas está habilitada para todas las Cuentas de AWS que tienen GuardDuty activado. Esta capacidad detecta secuencias de ataques en varias etapas que abarcan varios orígenes de datos fundamentales, recursos de AWS y el tiempo en su cuenta. Para detectar posibles amenazas a recursos de AWS específicos, puede optar por habilitar los planes de protección centrados en casos de uso que ofrece GuardDuty. Para obtener más información, consulte Características de GuardDuty.

No necesita habilitar ninguno de los orígenes de datos fundamentales de forma explícita. Al habilitar la S3 Protection, no es necesario habilitar explícitamente el registro de eventos de datos de Amazon S3. Del mismo modo, al habilitar EKS Protection, no es necesario habilitar explícitamente los registros de auditoría de Amazon EKS. Amazon GuardDuty extrae secuencias independientes de datos directamente de estos servicios.

En el caso de una cuenta nueva de GuardDuty, algunos de los tipos de protección disponibles que son admitidos en una Región de AWS están habilitados e incluidos de forma predeterminada en el periodo de prueba gratuito de 30 días. Puede excluirse voluntariamente de uno o de todos ellos. Si ya tiene una Cuenta de AWS existente con GuardDuty habilitado, puede elegir habilitar cualquiera o todos los planes de protección disponibles en la región. Para obtener información general sobre los planes de protección y qué planes de protección se habilitarán de forma predeterminada, consulte Precios en GuardDuty.

Al habilitar GuardDuty, tenga en cuenta lo siguiente:

  • GuardDuty es un servicio regional, lo que significa que cualquiera de los procedimientos de configuración que siga en esta página debe repetirse en cada región que desee supervisar con ayuda de GuardDuty.

    Se recomienda que habilite GuardDuty en todas las regiones de AWS compatibles. Esto permite a GuardDuty generar resultados sobre la actividad no autorizada o inusual incluso en las regiones que no utiliza de forma activa. Esto también permite a GuardDuty supervisar los eventos de AWS CloudTrail de los servicios globales de AWS, como IAM. Si GuardDuty no está habilitado en todas las regiones admitidas, se reduce su capacidad para detectar la actividad que involucra servicios globales. Para obtener una lista de las regiones en las que GuardDuty está disponible, consulte Regiones y puntos de conexión.

  • Cualquier usuario con privilegios de administrador en una cuenta de AWS puede habilitar GuardDuty; sin embargo, según la práctica recomendada de seguridad de privilegios mínimos, se recomienda crear un rol de IAM, usuario o grupo para administrar GuardDuty de manera específica. Para más información acerca de los permisos necesarios para habilitar GuardDuty, consulte Permisos necesarios para habilitar GuardDuty.

  • Al habilitar GuardDuty por primera vez en cualquier Región de AWS, de forma predeterminada, también se habilitan todos los tipos de protección disponibles que se admiten en esa región, incluida Malware Protection for EC2. GuardDuty crea un rol vinculado a un servicio para su cuenta denominado AWSServiceRoleForAmazonGuardDuty. Este rol incluye los permisos y las políticas de confianza que permiten a GuardDuty consumir y analizar eventos directamente desde los Orígenes de datos fundamentales de GuardDuty para generar resultados de seguridad. Malware Protection for EC2 crea otro rol vinculado al servicio para la cuenta denominado AWSServiceRoleForAmazonGuardDutyMalwareProtection. Este rol incluye los permisos y políticas de confianza que permiten a Malware Protection for EC2 realizar análisis sin agentes para detectar malware en la cuenta de GuardDuty. Permite a GuardDuty crear una instantánea del volumen de EBS en su cuenta y compartirla con la cuenta de servicio de GuardDuty. Para obtener más información, consulte Permisos de roles vinculados a servicios de GuardDuty. Para más información acerca de los roles vinculados a un servicio, consulte Uso de roles vinculados a servicios.

  • Cuando habilita GuardDuty por primera vez en cualquier región, su cuenta de AWS se inscribirá automáticamente en una prueba gratuita de GuardDuty de 30 días en esa región.

En el siguiente video se explica como una cuenta de administrador puede comenzar a utilizar GuardDuty y habilitarlo en múltiples cuentas de miembro.

Paso 1: habilitación de Amazon GuardDuty

El primer paso para utilizar GuardDuty es habilitarlo en su cuenta. Una vez activado, GuardDuty comenzará inmediatamente a supervisar las amenazas de seguridad en la región actual.

Si desea administrar los resultados de GuardDuty en otras cuentas dentro de su organización como administrador de GuardDuty, debe agregar las cuentas de miembro y habilitar GuardDuty también para ellos.

nota

Si desea habilitar la protección contra malware para S3 de GuardDuty sin habilitar GuardDuty, consulte los pasos a seguir en Protección contra malware para S3 de GuardDuty.

Standalone account environment

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/

  2. Seleccione la opción Amazon GuardDuty: todas las características.

  3. Elija Comenzar.

  4. Consulte las condiciones del servicio en la página Bienvenido a GuardDuty. Elija Enable GuardDuty (Habilitar GuardDuty).

Multi-account environment
importante

Como requisitos previos para este proceso, debe estar en la misma organización que todas las cuentas que desee administrar y tener acceso a la cuenta de administración de AWS Organizations para delegar un administrador para GuardDuty en su organización. Es posible que se necesiten permisos adicionales para delegar un administrador. Para más información, consulte Permisos necesarios para designar una cuenta de administrador delegado de GuardDuty.

Para designar una cuenta de administrador delegado de GuardDuty

  1. Abra la consola de AWS Organizations en https://console.aws.amazon.com/organizations/ mediante la cuenta de administración.

  2. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    ¿GuardDuty ya está habilitado en la cuenta?

    • Si GuardDuty aún no se ha activado, seleccione Comenzar y, a continuación, designe un administrador delegado de GuardDuty en la página de Bienvenido a GuardDuty.

    • Si GuardDuty está habilitado, puede designar un administrador delegado del servicio en la página Configuración.

  3. Introduzca los doce dígitos del ID de cuenta de AWS correspondiente a la cuenta que desea designar como administrador delegado de GuardDuty en la organización y seleccione Delegar.

    nota

    Si GuardDuty aún no está habilitado, cuando se designe un administrador delegado, el servicio se habilitará para esa cuenta en la región actual.

Agregación de cuentas de miembro

Este procedimiento cubre la agregación de cuentas de miembro a una cuenta de administrador delegado de GuardDuty mediante AWS Organizations. También existe la opción de agregar miembros mediante invitación. Para obtener más información sobre ambos métodos para asociar miembros en GuardDuty, consulte Múltiples cuentas en Amazon GuardDuty.

  1. Inicie sesión en la cuenta de administrado delegado

  2. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  3. En el panel de navegación, elija Settings (Configuración) y Accounts (Cuentas).

    En la tabla de cuentas aparecen todas las cuentas de la organización.

  4. Para elegir las cuentas que desea agregar como miembros, seleccione la casilla situada junto al ID de la cuenta. A continuación, en el menú Acción, seleccione Agregar miembro.

    sugerencia

    Puede automatizar la adición de nuevas cuentas como miembros activando la característica Habilitación automática; sin embargo, esto solo se aplica a las cuentas que se unen a su organización una vez habilitada la característica.

Paso 2: generación de resultados de muestra y exploración de las operaciones básicas

Cuando GuardDuty descubre un problema de seguridad, genera un resultado. Un resultado de GuardDuty es un conjunto de datos que contiene detalles relacionados con ese problema de seguridad único. Los detalles del resultado se pueden utilizar para ayudarle a investigar el problema.

GuardDuty permite generar resultados de muestra con valores de marcador de posición, que se pueden utilizar para probar la funcionalidad de GuardDuty y familiarizarse con los resultados antes de tener que responder a un problema de seguridad real descubierto por GuardDuty. Siga la guía que aparece a continuación para generar resultados de muestra para cada tipo de resultado disponible en GuardDuty. Para ver otras formas de generar resultados de muestra, incluida la generación de un evento de seguridad simulado en su cuenta, consulte Hallazgos de ejemplo.

Creación y exploración de los resultados de muestra

  1. En el panel de navegación, seleccione Configuración.

  2. En la página Settings, en Sample findings, elija Generate sample findings.

  3. En el panel de navegación, seleccione Resumen para ver la información sobre los resultados generados en su entorno de AWS. Para obtener más información acerca de los componentes del panel de resumen, consulte Panel de resumen en Amazon GuardDuty.

  4. En el panel de navegación, seleccione Resultados. Los resultados de muestra se muestran en la página Resultados actuales con el prefijo [SAMPLE].

  5. Seleccione un resultado de la lista para ver sus detalles.

    1. Puede revisar los distintos campos de información disponibles en el panel de detalles del resultado. Los distintos tipos de resultados pueden tener campos diferentes. Para obtener más información acerca de los campos disponibles en todos los tipos de resultados, consulte Detalles de los resultados. Puede llevar a cabo las siguientes acciones en el panel de detalles:

      • Seleccione el ID de resultado en la parte superior del panel para abrir los detalles JSON completos del resultado. El archivo JSON completo también se puede descargar desde este panel. El JSON contiene información adicional que no se incluye en la vista de consola y es el formato que pueden incorporar otras herramientas y servicios.

      • Consulte la sección Recurso afectado. Si se trata de un resultado real, la información que aparece aquí le ayudará a identificar un recurso de su cuenta que debería investigarse e incluirá enlaces a la Consola de administración de AWS adecuada para consultar recursos procesables.

      • Seleccione los iconos de la lupa con el signo + o - para crear un filtro inclusivo o exclusivo para ese detalle. Para obtener más información acerca de los filtros de resultados, consulte Filtrado de resultados en GuardDuty.

  6. Archivado de todos los resultados de muestra

    1. Para seleccionar todos los resultados, marque la casilla de verificación situada en la parte superior de la lista.

    2. Anule la selección de los resultados que desee conservar.

    3. Seleccione el menú Acciones y, a continuación, seleccione Archivar para ocultar los resultados de muestra.

      nota

      Para ver los resultados archivados, seleccione Actual y, a continuación, Archivado para cambiar la vista de los resultados.

Paso 3: configuración de la exportación de los resultados de GuardDuty a un bucket de Amazon S3

GuardDuty recomienda configurar los ajustes para exportar los resultados, ya que le permiten exportar los resultados a un bucket de S3 para su almacenamiento indefinido más allá del periodo de retención de 90 días de GuardDuty. Esto le permite mantener un registro de los resultados o hacer un seguimiento de los problemas en su entorno de AWS a lo largo del tiempo. GuardDuty cifra los datos de los resultados en el bucket S3 mediante el uso de AWS Key Management Service (AWS KMS key). Para configurar los ajustes, deberá dar permiso a GuardDuty para utilizar una clave de KMS. Para ver más pasos detallados, consulte Exportar los resultados generados a Amazon S3.

Para exportar los resultados de GuardDuty a buckets de Amazon S3
  1. Adjunte la política a la clave de KMS

    1. Inicie sesión en la Consola de administración de AWS y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

    2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

    3. En el panel de navegación, elija Claves administradas por el cliente.

    4. Seleccione una clave de KMS existente o siga los pasos para crear una clave de KMS de cifrado simétrico que se indican en la Guía para desarrolladores de AWS Key Management Service.

      La región de su clave de KMS y de su bucket de Amazon S3 debe ser la misma.

      Copie la clave de ARN en un bloc de notas para utilizarla en los pasos posteriores.

    5. En la sección Política de claves, elija Editar. Si aparece Cambiar a vista de política, elíjala para mostrar la Política de claves y, a continuación, elija Editar.

    6. Copie el siguiente bloque de política en la política de clave de KMS:

      {    
    "Sid": "AllowGuardDutyKey",
    "Effect": "Allow",
    "Principal": {
        "Service": "guardduty.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "KMS key ARN",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "123456789012",
            "aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"	
        }
    }
}

      Para editar la política, sustituya los siguientes valores formateados en rojo en el ejemplo de la política:

      1. Sustituya el ARN de la clave de KMS por el nombre de recurso de Amazon (ARN) de la clave de KMS. Para localizar el ARN de la clave, consulte Encontrar el ID y el ARN de la clave en la Guía para desarrolladores de AWS Key Management Service.

      2. Sustituya 123456789012 por el ID de Cuenta de AWS que posee la cuenta de GuardDuty que exporta los resultados.

      3. Sustituya Region2 por la Región de AWS donde se generan los resultados de GuardDuty.

      4. Sustituya SourceDetectorID por el detectorID de la cuenta de GuardDuty en la región específica donde se generaron los resultados.

        Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

  2. Asociar la política al bucket de Amazon S3

    Si aún no dispone de un bucket de Amazon S3 al que desee exportar estos resultados, consulte Crear un bucket en la Guía del usuario de Amazon S3.

    1. Siga los pasos descritos en Para crear o editar una política de bucket en la Guía del usuario de Amazon S3, hasta que aparezca la página Editar política de bucket.

    2. La política de ejemplo muestra cómo conceder a GuardDuty permiso para exportar resultados al bucket de Amazon S3. Si cambia la ruta después de configurar la exportación de resultados, deberá modificar la política para conceder permiso a la nueva ubicación.

      Copie la siguiente política de ejemplo y péguela en el Editor de políticas de bucket.

      Si ha agregado la instrucción de política antes de la instrucción final, agregue una coma antes de agregar esta instrucción. Asegúrese de que la sintaxis JSON de la política de la clave de KMS es válida.

      Política de ejemplo de bucket de S

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Allow GetBucketLocation",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:GetBucketLocation",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Allow PutObject",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"	

                }
            }
        },
        {
            "Sid": "Deny unencrypted object uploads",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "Deny incorrect encryption header",
            "Effect": "Deny",
            "Principal": {
                "Service": "guardduty.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "StringNotEquals": {
                "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
                }
            }
        },
        {
            "Sid": "Deny non-HTTPS access",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

    3. Para editar la política, sustituya los siguientes valores formateados en rojo en el ejemplo de la política:

      1. Sustituya el ARN del bucket de Amazon S3 por el nombre de recurso de Amazon (ARN) del bucket de Amazon S3. Encontrará el ARN del bucket en la página Editar política de bucket de la consola https://console.aws.amazon.com/s3/.

      2. Sustituya 123456789012 por el ID de Cuenta de AWS que posee la cuenta de GuardDuty que exporta los resultados.

      3. Sustituya Region2 por la Región de AWS donde se generan los resultados de GuardDuty.

      4. Sustituya SourceDetectorID por el detectorID de la cuenta de GuardDuty en la región específica donde se generaron los resultados.

        Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

      5. Sustituya la parte [prefijo opcional] del valor del marcador de posición ARN/[prefijo opcional] del bucket de S3 por una ubicación de carpeta opcional a la que desee exportar los resultados. Para obtener más información sobre el uso de prefijos, consulte Organizar objetos mediante prefijos en la Guía del usuario de Amazon S3.

        Al proporcionar una ubicación de carpeta opcional que aún no existe, GuardDuty creará esa ubicación solamente si la cuenta asociada al bucket de S3 es la misma que la cuenta que exporta los resultados. Al exportar resultados a un bucket de S3 que pertenece a otra cuenta, la ubicación de la carpeta ya debe existir.

      6. Sustituye el ARN de la clave de KMS por el nombre de recurso de Amazon (ARN) de la clave de KMS asociada al cifrado de los resultados exportados al bucket de S3. Para localizar el ARN de la clave, consulte Encontrar el ID y el ARN de la clave en la Guía para desarrolladores de AWS Key Management Service.

  3. Pasos en la consola de GuardDuty

    1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

    2. En el panel de navegación, seleccione Configuración.

    3. En la página Configuración, bajo Opciones de exportación de resultados, en Bucket de S3, elija Configurar ahora (o Editar, según sea necesario).

    4. Para el ARN del bucket S3, introduzca el lugar bucket ARN al que desea enviar los resultados. Para ver el ARN del bucket, consulte Ver las propiedades de un bucket de S3 en la Guía del usuario de Amazon S3.

    5. En ARN de la clave de KMS, ingrese el key ARN. Para localizar el ARN de la clave, consulte Encontrar el ID y el ARN de la clave en la Guía para desarrolladores de AWS Key Management Service.

    6. Seleccione Save.

Mostrar másMostrar menos

Paso 4: configuración de alertas de resultados de GuardDuty a través de SNS

GuardDuty se integra con Amazon EventBridge, que se puede utilizar para enviar los datos de los resultados a otras aplicaciones y servicios para su procesamiento. Con EventBridge, puede utilizar los resultados de GuardDuty para iniciar respuestas automáticas a sus resultados. Para ello, conecte los eventos de resultados con destinos como las funciones de AWS Lambda, la automatización de Systems Manager en Amazon EC2, Amazon Simple Notification Service (SNS), etc.

En este ejemplo, creará un tema de SNS para que sea el destino de una regla de EventBridge y, a continuación, utilizará EventBridge para crear una regla que capture los datos de los resultados de GuardDuty. La regla resultante reenvía los detalles de los resultados a una dirección de correo electrónico. Para obtener información sobre cómo enviar resultados a Slack o Amazon Chime y cómo modificar los tipos de resultados por los que se envían las alertas, consulte Configuración de un punto de conexión y un tema de Amazon SNS.

Creación de un tema de SNS para sus alertas de resultados

  1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home.

  2. En el panel de navegación, elija Temas.

  3. Elija Create Topic (Crear tema).

  4. En Tipo, seleccione Estándar.

  5. En Nombre, escriba GuardDuty.

  6. Elija Create Topic (Crear tema). Se abrirán los detalles del nuevo tema.

  7. En la sección Suscripciones, elija Crear suscripción.

  8. En Protocolo, elige Correo electrónico.

  9. En Punto de conexión, introduzca la dirección de correo electrónico a la que desea enviar notificaciones.

  10. Elija Crear suscripción.

    Después de crear su suscripción, debe confirmarla a través de su dirección de correo electrónico.

  11. Para comprobar si hay un mensaje de suscripción, vaya a la bandeja de entrada de su correo electrónico y, en el mensaje de suscripción, seleccione Confirmar suscripción.

    nota

    Para comprobar el estado de la confirmación de correo electrónico, vaya a la consola de SNS y seleccione Suscripciones.

Para crear una regla de EventBridge para capturar resultados de GuardDuty y darles formato

  1. Abra la consola de EventBridge en https://console.aws.amazon.com/events/.

  2. En el panel de navegación, seleccione Reglas.

  3. Elija Creación de regla.

  4. Escriba un nombre y una descripción para la regla.

    Una regla no puede tener el mismo nombre que otra regla de la misma región y del mismo bus de eventos.

  5. En Bus de eventos, elija Predeterminado.

  6. En Tipo de regla, elija Regla con un patrón de evento.

  7. Seleccione Siguiente.

  8. En Origen de eventos, seleccione (Eventos de AWS).

  9. En la sección Patrón de eventos, seleccione Formulario de patrón de eventos.

  10. En Origen de evento, seleccione Servicios de AWS.

  11. En Servicio de AWS, elija GuardDuty.

  12. En Tipo de evento, elija Resultado de GuardDuty.

  13. Elija Siguiente.

  14. En Tipos de destino, seleccione Servicio de AWS.

  15. En Seleccionar un destino, elija Tema de SNS y, en Tema, elija el nombre del tema de SNS que creó anteriormente.

  16. En la sección Additional settings, en Configurar la entrada de destino, elija Transformador de entrada.

    Al agregar un transformador de entrada, se da un formato a los datos de resultados de JSON enviados desde GuardDuty que los convierte en un mensaje legible para las personas.

  17. Elija Configurar transformador de entrada.

  18. En la sección Transformador de entrada de destino, en Ruta de entrada, pegue el siguiente código:

    
{
  "severity": "$.detail.severity",
  "Finding_ID": "$.detail.id",
  "Finding_Type": "$.detail.type",
  "region": "$.region",
  "Finding_description": "$.detail.description"
}

  19. Para formatear el correo electrónico, en Plantilla, pegue el siguiente código y asegúrese de sustituir el texto que aparece en rojo por los valores que correspondan a la región:

    
"You have a severity severity GuardDuty finding type Finding_Type in the Region_Name Region."
"Finding Description:"
"Finding_Description."
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=region#/findings?search=id%3DFinding_ID"

  20. Seleccione Confirmar.

  21. Elija Siguiente.

  22. (Opcional) Introduzca una o varias etiquetas para la regla. Para obtener más información, consulte Etiquetas de Amazon EventBridge en la Guía del usuario de Amazon EventBridge.

  23. Elija Siguiente.

  24. Revise los detalles de la regla y seleccione Creación de regla.

  25. (Opcional) Pruebe la nueva regla generando resultados de muestra con el proceso descrito en el paso 2. Recibirá un correo electrónico por cada resultado de muestra que se genere.

Pasos a seguir a continuación

A medida que siga utilizando GuardDuty, comprenderá los tipos de resultados que son relevantes para su entorno. Cada vez que reciba un nuevo resultado, podrá encontrar información, como recomendaciones para corregir dicho resultado, al seleccionar Más información en la descripción del resultado en el panel de detalles del resultado o al buscar el nombre del resultado en Tipos de resultados de GuardDuty.

Las siguientes características le ayudarán a ajustar GuardDuty para que pueda proporcionar los resultados más relevantes para su entorno de AWS:

  • Para ordenar fácilmente los resultados en función de criterios específicos, como el ID de instancia, el ID de cuenta, el nombre del bucket de S3, etc., puede crear y guardar filtros en GuardDuty. Para obtener más información, consulte Filtrado de resultados en GuardDuty.

  • Si recibe resultados sobre el comportamiento esperado de su entorno, puede archivarlos automáticamente en función de los criterios que defina con las reglas de supresión.

  • Para evitar que se generen resultados a partir de un subconjunto de IP confiables, o para que GuardDuty supervise las IP fuera de su alcance de supervisión normal, puede configurar listas de IP confiables y de amenazas.