Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Gestión de los GuardDuty hallazgos de Amazon
GuardDuty ofrece varias funciones importantes que le ayudarán a clasificar, almacenar y gestionar sus hallazgos. Estas funciones le ayudarán a adaptar los resultados a su entorno específico, a reducir el ruido que generan los hallazgos de bajo valor y a centrarse en las amenazas que afectan a su AWS entorno específico. Revise los temas que aparecen en esta página para comprender cómo puede utilizar estas características para aumentar el valor de los resultados de seguridad en el entorno.
**Temas:**
[Panel de resumen en Amazon GuardDuty](guardduty-summary.md)
Obtenga información sobre los componentes del panel de resumen disponible en la GuardDuty consola.
[Filtrar los hallazgos en GuardDuty](guardduty_filter-findings.md)
Aprenda a filtrar las GuardDuty conclusiones en función de los criterios que especifique.
[Reglas de supresión en GuardDuty](findings_suppression-rule.md)
Aprenda a filtrar automáticamente las GuardDuty alertas de los hallazgos mediante las reglas de supresión. Las reglas de supresión archivan automáticamente los resultados en función de los filtros.
[Personalización de la detección de amenazas con listas de entidades y listas de direcciones IP](guardduty_upload-lists.md)
Personalice el alcance GuardDuty de la supervisión mediante listas de IP y listas de amenazas basadas en direcciones IP enrutables públicamente. Las listas de direcciones IP fiables impiden que se generen datos ajenos al DNS a partir de direcciones IP que considera fiables, mientras que las listas de información sobre amenazas permiten GuardDuty avisarle de actividades definidas por el usuario. IPs
[Exportar los resultados generados a Amazon S3](guardduty_exportfindings.md)
Exporte los hallazgos generados a un bucket de Amazon S3 para poder mantener registros después del período de retención de hallazgos de 90 días. GuardDuty Utilice estos datos históricos para monitorear posibles actividades sospechosas en la cuenta y evaluar la efectividad de las medidas correctivas implementadas.
[Procesando GuardDuty las conclusiones con Amazon EventBridge](guardduty_findings_eventbridge.md)
Configura notificaciones automáticas para GuardDuty los hallazgos a través de los EventBridge eventos de Amazon. También puedes automatizar otras tareas EventBridge para ayudarte a responder a los hallazgos.
[Descripción de CloudWatch los registros y los motivos por los que se omiten recursos durante el escaneo de EC2 con Malware Protection](malware-protection-auditing-scan-logs.md)
Descubra cómo puede auditar los CloudWatch registros de protección contra GuardDuty malware de EC2 y cuáles son los motivos por los que la instancia de Amazon EC2 o los volúmenes de Amazon EBS afectados pueden haberse omitido durante el proceso de escaneo.
[Denunciar falsos positivos en Malware Protection para EC2](malware-protection-false-positives.md)
Descubra cómo puede denunciar posibles detecciones de amenazas por falsos positivos en Malware Protection for EC2.
[Reportar el producto del análisis de objetos de S3 como falso positivo en la protección contra malware para S3Reportar un producto de análisis de objetos de S3 como falso positivo](report-malware-protection-s3-false-positives.md)
Obtenga información sobre cómo informar de posibles falsos positivos en detecciones de amenazas en la protección contra malware para S3.
[Notificación de falsos positivos en Malware Protection for Backup](malware-protection-backup-false-positives.md)
Descubra cómo puede informar sobre posibles detecciones de amenazas de falsos positivos en Malware Protection for Backup.
# Panel de resumen en Amazon GuardDuty
El panel de GuardDuty **resumen** proporciona una vista agregada de los GuardDuty hallazgos generados en usted Cuenta de AWS en la actualidad Región de AWS.
Si utilizas una cuenta de GuardDuty administrador, el panel proporciona estadísticas y datos agregados de tu cuenta y de las cuentas de los miembros de tu organización.
**Visualización del panel Resumen**
1. Abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
GuardDuty muestra el panel de **resumen** de forma predeterminada al abrir la consola.
1. En la página de **resumen**, elija lo que desee en el selector Región de AWS de regiones situado en la esquina superior derecha de la consola.
1. En el menú selector de intervalos de fechas, elija el intervalo de fechas del que desee ver el resumen. De forma predeterminada, el panel muestra los datos del día actual, **Hoy**.
**nota**
Si no se generaron resultados durante el intervalo de fechas seleccionado, el panel no tendrá ningún dato que mostrar. Puede actualizar el panel o ajustar el intervalo de fechas.
**Topics**
+ [Descripción general de](#understanding-guardduty-summary-overview)
+ [Hallazgos](#understanding-guardduty-summary-findings-widget)
+ [Tipos de resultados más comunes](#understanding-guardduty-summary-most-common-finding-types)
+ [Resultados por gravedad](#understanding-guardduty-summary-findings-by-sev)
+ [Cuentas con la mayoría de los resultados](#understanding-guardduty-summary-account-with-findings)
+ [Recursos con resultados](#understanding-guardduty-summary-resources-with-findings)
+ [Resultados menos frecuentes](#understanding-guardduty-summary-least-occurring-findings)
+ [Cobertura de los planes de protección](#understanding-guardduty-summary-protection-plans-coverage)
## Descripción general de
En esta sección se proporcionan los siguientes datos:
+ Secuencias de **ataque: indica el número de hallazgos de secuencias** de ataque que GuardDuty se generaron en tu cuenta en la región actual.
GuardDuty detecta posibles ataques en varias etapas en tu cuenta. Puede seleccionar el *número* en **Secuencias de ataque** para ver sus detalles en la página **Resultados**.
+ **Resultados totales**: indica el número total de resultados generados en su cuenta en la región actual. Esto incluye tanto los resultados individuales como los resultados de la secuencia de ataque.
+ **Recursos con resultados**: indica el número de recursos que están asociados a un resultado y que están potencialmente en peligro.
+ **Cuentas con resultados**: indica el número de cuentas en las que se generó al menos un resultado. Si es una cuenta independiente, el valor de este campo es **1**.
En el caso de los intervalos de tiempo **7 últimos días** y **30 últimos días**, en el panel **Información general** se puede mostrar la diferencia porcentual entre los resultados generados semana tras semana (WoW) o mes tras mes (MoM), respectivamente. Si no se generó ningún resultado la semana o el mes anterior y no hay datos para comparar, es posible que la diferencia porcentual no esté disponible.
![\[Sección de información general en el panel de GuardDuty resumen.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/attack-sequence-summary-overview-console.png)
Si eres GuardDuty administrador de una cuenta, todos estos campos proporcionan los datos resumidos de todas las cuentas de los miembros de tu organización.
## Hallazgos
El widget **Resultados** muestra hasta ocho resultados principales. Estos resultados se enumeran en función de su nivel de gravedad, y los resultados *críticos* se muestran primero.
De forma predeterminada, puede ver todos los resultados. Para ver solo los datos de los resultados de las secuencias de ataque, active **Solo las secuencias de ataque principales**.
En esta lista, puede seleccionar cualquier resultado para ver sus detalles.
![\[Widget de hallazgos en el panel de GuardDuty resumen.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/attack-sequence-summary-finding-widget-console.png)
## Tipos de resultados más comunes
En esta sección se muestra un gráfico circular de los cinco tipos de resultados más comunes generados en la región actual. Al pasar el cursor sobre cada sector del gráfico circular, puede observar lo siguiente:
+ **Recuento de resultados**: indica el número de veces que se ha generado este resultado en el intervalo de tiempo elegido.
+ **Gravedad**: indica el nivel de gravedad del resultado.
+ **Porcentaje**: indica la proporción de este tipo de resultado en relación con el total.
+ **Generado más recientemente**: indica cuánto tiempo ha pasado desde que se detectó este tipo de resultado por última vez.
## Resultados por gravedad
En esta sección se muestra un gráfico de barras que muestra el número total de resultados en el intervalo de fechas seleccionado. El gráfico desglosa los resultados por gravedad (*crítica*, *alta*, *media* y *baja*) y le ayuda a ver el número de resultados en fechas específicas dentro del rango.
Para ver los recuentos de cada nivel de gravedad en una fecha específica, coloque el cursor sobre la barra correspondiente del gráfico.
## Cuentas con la mayoría de los resultados
En esta sección se proporcionan los siguientes datos:
+ **Cuenta**: indica el Cuenta de AWS ID en el que se generó el hallazgo.
+ **Recuento de resultados**: indica el número de veces que se generó un resultado para este ID de cuenta.
+ **Generado más recientemente**: indica cuánto tiempo ha pasado desde que se generó un tipo de resultado por última vez para este ID de cuenta.
+ **Filtro de gravedad**: de forma predeterminada, los datos se muestran para los tipos de resultados de gravedad alta. Las opciones posibles para este campo son **Todas las gravedades**, **Gravedad crítica**, **Gravedad alta** y **Gravedad media**.
## Recursos con resultados
En esta sección se proporcionan los siguientes datos:
+ **Recurso**: muestra el tipo de recurso potencialmente afectado y, si este recurso pertenece a su cuenta, puede acceder al enlace rápido para ver los detalles del recurso. Si es GuardDuty administrador de una cuenta, puede ver los detalles del recurso potencialmente afectado accediendo a la GuardDuty consola con las credenciales de la cuenta del miembro propietario.
+ **Cuenta**: indica el Cuenta de AWS ID al que pertenece este recurso.
+ **Recuento de resultados**: indica el número de veces que este recurso se asoció a un resultado.
+ **Generado más recientemente**: indica cuánto tiempo ha pasado desde que se generó por última vez un tipo de resultado asociado a este recurso.
+ **Filtro de tipos de recursos**: de forma predeterminada, los datos se muestran para todos los tipos de recursos. Con este filtro, puede elegir ver los datos de un tipo de recurso específico, como **Instance **AccessKey****, **Lambda** y otros.
+ **Filtro de gravedad**: de forma predeterminada, los datos se muestran para **todos los niveles de gravedad**. Al usar este filtro, puede elegir ver los datos de otros niveles de gravedad. Las opciones posibles son **Gravedad crítica**, **Gravedad alta**, **Gravedad media** y **Todos los niveles de gravedad**.
## Resultados menos frecuentes
En esta sección, se destacan los tipos de búsqueda que se producen con poca frecuencia en su AWS entorno. Este widget está diseñado para ayudarle a identificar e investigar posibles patrones de amenazas emergentes.
El widget muestra los siguientes datos:
+ **Tipo de resultado**: muestra el nombre del tipo de resultado.
+ **Recuento de resultados**: indica el número de veces que se generó este tipo de resultado en el intervalo de tiempo elegido.
+ **Generado más recientemente**: indica cuánto tiempo ha pasado desde que se generó este tipo de resultado por última vez.
+ **Filtro de gravedad**: de forma predeterminada, los datos se muestran para los tipos de resultados de gravedad alta. Las opciones posibles para este campo son **Gravedad crítica**, **Gravedad alta**, **Gravedad media** y **Todas las gravedades**.
## Cobertura de los planes de protección
En esta sección se muestran las estadísticas de las cuentas de miembro de su organización. Muestra el número de cuentas de miembros que están habilitadas GuardDuty (detección de amenazas básica) en la región actual. Solo un GuardDuty administrador delegado puede ver las estadísticas de las cuentas de los miembros de su organización. Al crear una nueva AWS organización, es posible que se tarden hasta 24 horas en generar las estadísticas de toda la organización.
**Cómo usar este widget**
+ **Configuración**: si un plan de protección no está configurado, elija **Configurar** en la columna **Acciones**.
+ **Visualización de las cuentas habilitadas**: coloque el cursor sobre la barra de la columna **Cuentas habilitadas** para ver cuántas cuentas ha activado cada plan de protección. Para ver más detalles de la cuenta, seleccione la barra verde y elija **Ver cuentas**.
![\[Consulte el estado de la activación de los planes de protección para las cuentas de los miembros en el panel de GuardDuty resumen.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/guardduty-summary-protection-plans-console.png)
# Filtrar los hallazgos en GuardDuty
Un filtro de resultado le permite ver los resultados que coinciden con los criterios que especifique y filtrar los resultados que no coincidan. Puedes crear fácilmente filtros de búsqueda con la GuardDuty consola de Amazon o puedes crearlos con la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API mediante JSON. Consulte las siguientes secciones para entender cómo crear un filtro en la consola. Para utilizar estos filtros con el objetivo de archivar automáticamente los resultados entrantes, consulte [Reglas de supresión en GuardDuty](findings_suppression-rule.md).
Cuando cree filtros, tenga en cuenta la siguiente lista:
+ Puede especificar un mínimo de un atributo y un máximo de 50 atributos como criterios para un determinado filtro.
+ Cuando se utiliza el operador **igual que** o **no es igual que** para filtrar por un valor de atributo, como ID de cuenta, se puede especificar un máximo de 50 valores.
+ Cada atributo de los criterios de filtro se evalúa como un operador `AND`. Se evalúan varios valores para el mismo atributo como `AND/OR`.
+ Para obtener información sobre el número máximo de filtros guardados que puedes crear Cuenta de AWS en cada uno de ellos Región de AWS, consulta[GuardDuty cuotas](guardduty_limits.md).
En las siguientes secciones se proporcionan instrucciones sobre cómo crear y guardar filtros mediante la GuardDuty consola y los comandos de API y CLI. Elija su método de acceso preferido para continuar.
## Crear y guardar el conjunto de filtros en la GuardDuty consola
Los filtros de búsqueda se pueden crear y probar a través de la GuardDuty consola. Puede guardar los filtros creados a través de la consola para utilizarlos en reglas de supresión o futuras operaciones de filtro. Un filtro se compone de al menos un criterio de filtro, que consiste en un atributo de filtro emparejado con al menos un valor.
**Para crear y guardar criterios de filtro (consola)**
1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación izquierdo, elija **Resultados**.
1. En la página **Resultados**, seleccione la barra *Filtrar resultados* situada junto al menú **Reglas guardadas**. Aparecerá una lista ampliada de **filtros de propiedades**.
![\[Seleccionar filtros de propiedades para filtrar los resultados en la GuardDuty consola.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/guardduty-findings-page-console.png)
1. En la lista ampliada de filtros, seleccione un atributo en función del cual desee filtrar la tabla de resultados.
Por ejemplo, para ver los resultados en los que el recurso potencialmente afectado es un **S3Bucket**, elija el **tipo de recurso**.
1. En el caso de los **operadores**, elija uno que ayude a filtrar los resultados para obtener el resultado deseado. Para continuar con el ejemplo del paso anterior, elija **Tipo de recurso =**. Esto mostrará una lista de tipos de recursos GuardDuty.
![\[Al seleccionar el operador igual o no igual a igual para filtrar los resultados en GuardDuty la consola.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/guardduty-findings-page-filters-operator-console.png)
Si su caso de uso requiere excluir resultados específicos, puede elegir el operador **no es igual que** o **\$1=**.
1. Especifique el valor del filtro de propiedades seleccionado. Si es necesario, seleccione **Aplicar**. Para continuar con el ejemplo del paso anterior, puede elegir **S3Bucket**.
Esto mostrará los resultados que coinciden con los filtros aplicados.
1. Para agregar más de un criterio de filtro, repita los pasos del 3 al 6.
Para obtener una lista completa de los atributos, consulte [La propiedad filtra GuardDuty](#filter_criteria).
1.
**(Opcional) Guardar los atributos y valores especificados como filtros**
Para volver a aplicar esta combinación de filtros en el futuro, puede guardar los atributos especificados y sus valores como un conjunto de filtros.
1. Tras crear un criterio de filtro con uno o más filtros de propiedades, seleccione la *flecha* en el menú **Borrar filtros**.
![\[Guardar un conjunto de filtros en la GuardDuty consola para poder volver a filtrar los resultados.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/guardduty-findings-page-filters-console.png)
1. Introduzca el **nombre** del conjunto de filtros. El nombre debe tener entre 3 y 64 caracteres. Los caracteres válidos son a-z, A-Z, 0-9, punto (.), (guion) (-) y (guion bajo).
1. La **descripción** es opcional. Si introduce una descripción, puede tener 512 caracteres como máximo.
1. Seleccione **Crear**.
## Crear y guardar un conjunto de filtros mediante GuardDuty API y CLI
Puede crear y probar los filtros de resultados mediante comandos de API o CLI. Un filtro se compone de al menos un criterio de filtro, que consiste en un atributo de filtro emparejado con al menos un valor. Puede guardar los filtros para crear [Reglas de supresión](findings_suppression-rule.md) o realizar otras operaciones de filtrado más adelante.
**Para crear filtros de resultados mediante API/CLI**
+ Ejecute la [CreateFilter](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html)API utilizando el ID del detector regional del Cuenta de AWS lugar donde desea crear un filtro.
Para encontrar el `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
+ Como alternativa, puede usar la CLI [create-filter](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/create-filter.html) para crear y guardar el filtro. Puede utilizar uno o más criterios de filtrado de [La propiedad filtra GuardDuty](#filter_criteria).
Utilice los siguientes ejemplos al sustituir los valores de los marcadores de posición que se muestran en rojo.
**Ejemplo 1**: Cree un filtro nuevo para ver todos los resultados que coincidan con un tipo de resultado específico
En el siguiente ejemplo se crea un filtro que coincide con todos los resultados de `PortScan` para una instancia creada a partir de una imagen específica. Los valores de los marcadores de posición se muestran en rojo. Sustituya estos valores por valores adecuados para su cuenta. Por ejemplo, *12abc34d567e8fa901bc2d34EXAMPLE* sustitúyalo por el ID de tu detector regional.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"type": {"Equals": ["Recon:EC2/Portscan"]}, "resource.instanceDetails.imageId": {"Equals":["ami-0a7a207083example"]}} }'
```
**Ejemplo 2**: cree un filtro nuevo para ver todos los resultados que coincidan con los niveles de gravedad
En el siguiente ejemplo, se crea un filtro que coincide con todos los resultados asociados a los niveles de gravedad `HIGH`. Los valores de los marcadores de posición se muestran en rojo. Sustituya estos valores por valores adecuados para su cuenta. Por ejemplo, *12abc34d567e8fa901bc2d34EXAMPLE* sustitúyalo por el ID de tu detector regional.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34EXAMPLE \
--name FilterExampleName \
--finding-criteria '{"Criterion": {"severity": {"Equals": ["7", "8"]}} }'
```
+ Para API/CLI, [Niveles de gravedad de los resultados](guardduty_findings-severity.md) se representan como números. Para filtrar los resultados en función de los niveles de gravedad, utilice los siguientes valores:
+ Para los niveles de gravedad `LOW`, utilice `{ "severity": { "Equals": ["1", "2", "3"] } }`
+ Para los niveles de gravedad `MEDIUM`, utilice `{ "severity": { "Equals": ["4", "5", "6"] } }`
+ Para los niveles de gravedad `HIGH`, utilice `{ "severity": { "Equals": ["7", "8"] } }`
+ Para los niveles de gravedad `CRITICAL`, utilice `{ "severity": { "Equals": ["9", "10"] } }`
+ Para resultados con varios niveles de gravedad, utilice valores de marcador de posición similares a los del siguiente ejemplo: `{ "severity": { "Equals": ["7", "8", "9", "10"] } }`
En este ejemplo, se mostrarán los resultados que tienen niveles de gravedad `HIGH` o `CRITICAL`.
**nota**
Si se especifica un ejemplo con un solo valor numérico en lugar de todos los valores numéricos asociados a un nivel de gravedad, es posible que la API y la CLI muestren los resultados filtrados. Cuando utilice este conjunto de filtros guardado en la GuardDuty consola, no funcionará como se esperaba. Esto se debe a que la GuardDuty consola considera los valores del filtro como `CRITICAL``HIGH`,`MEDIUM`, y`LOW`. Por ejemplo, se espera que un filtro creado con un comando CLI que incluye `{ "severity": { "Equals": ["9"] } }` muestre un resultado adecuado en API/CLI. Sin embargo, este filtro guardado incluye un nivel de gravedad parcial cuando se usa en la GuardDuty consola y no mostrará el resultado esperado. Esto hace que sea necesario que la API y la CLI especifiquen todos los valores asociados a cada nivel de gravedad.
## La propiedad filtra GuardDuty
Al crear filtros u ordenar los resultados mediante las operaciones de la API, debe especificar los criterios de filtro en JSON. Estos criterios de filtro se correlacionan con el JSON de los detalles de un resultado. La siguiente tabla contiene una lista de los nombres que se muestran en la consola para los atributos del filtro y sus nombres de campo JSON equivalentes.
| Nombre de campo de la consola | Nombre del campo JSON |
| --- | --- |
| ID de cuenta | accountId |
| ID del resultado | id |
| Región | region |
| Gravedad | severity Puede filtrar los tipos de resultados en función de sus niveles de gravedad. Para obtener más información sobre los valores de gravedad, consulte [Niveles de gravedad de GuardDuty los hallazgos](guardduty_findings-severity.md). Si lo usa `severity` con la API AWS CLI, o CloudFormation, se le asigna un valor numérico. Para obtener más información, consulta [FindingCriteria](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html#guardduty-CreateFilter-request-findingCriteria) en la *Amazon GuardDuty * API Reference. |
| Tipo de resultado | type |
| Actualizado a las | updatedAt |
| ID de clave de acceso | recurso. accessKeyDetails. accessKeyId |
| ID principal | recurso. accessKeyDetails. ID principal |
| Nombre de usuario | recurso. accessKeyDetails.nombre de usuario |
| Tipo de usuario | recurso. accessKeyDetails.Tipo de usuario |
| ID del perfil de instancia de IAM | Resource.Detalles de la instancia. iamInstanceProfile.id |
| ID de instancia | resource.instanceDetails.instanceId |
| ID de imagen de la instancia | resource.instanceDetails.imageId |
| Clave de etiqueta de instancia | resource.instanceDetails.tags.key |
| Valor de etiqueta de instancia | resource.instanceDetails.tags.value |
| IPv6 dirección | resource.instanceDetails.networkInterfaces.ipv6Addresses |
| IPv4 Dirección privada | Resource.InstanceDetails.NetworkInterfaces. privateIpAddresses. privateIpAddress |
| Nombre DNS público | Resource.InstanceDetails.Interfaces de red. publicDnsName |
| IP pública | resource.instanceDetails.networkInterfaces.publicIp |
| ID de grupo de seguridad | resource.instanceDetails.networkInterfaces.securityGroups.groupId |
| Nombre del grupo de seguridad | resource.instanceDetails.networkInterfaces.securityGroups.groupName |
| ID de subred | resource.instanceDetails.networkInterfaces.subnetId |
| ID de VPC | resource.instanceDetails.networkInterfaces.vpcId |
| ARN de Outpost | resource.instanceDetails.outpostARN |
| Tipo de recurso | resource.resourceType |
| Permisos de bucket | resource.s3BucketDetails. Acceso público. Permiso efectivo |
| Nombre del bucket | recurso.s3 BucketDetails .name |
| Clave de la etiqueta del bucket | recurso.s3 BucketDetails .tags.key |
| valor de la etiqueta del bucket | recurso.s3 BucketDetails .tags.value |
| Tipo de bucket | recursos.s3 BucketDetails .type |
| Tipo de acción | service.action.actionType |
| API llamada | servicio.acción. awsApiCallAcción.api |
| Tipo de intermediario de la API | servicio.acción. awsApiCallAction.CallerType |
| Código de error de la API | servicio.acción. awsApiCallAcción. Código de error |
| Ciudad del intermediario de la API | servicio.acción. awsApiCallAcción. remoteIpDetails.city.CityName |
| País del intermediario de la API | service.action. awsApiCallAcción. remoteIpDetails.país.Nombre del país |
| Dirección de la API que llama IPv4 | service.action. awsApiCallAcción. remoteIpDetails.Dirección IP V4 |
| Dirección de la API que llama IPv6 | service.action. awsApiCallAcción. remoteIpDetails.Dirección IP V6 |
| ID de ASN del intermediario de la API | servicio.acción. awsApiCallAcción. remoteIpDetails.organization.asn |
| Nombre ASN del intermediario de la API | servicio.acción. awsApiCallAcción. remoteIpDetails.Organización. Asnorg |
| Nombre del servicio del intermediario de la API | servicio.acción. awsApiCallAction.serviceName |
| Dominio de la solicitud DNS | servicio.acción. dnsRequestAction.dominio |
| Sufijo de dominio de solicitud de DNS | service.action. dnsRequestAction. domainWithSuffix |
| Conexión de red bloqueada | servicio.acción. networkConnectionAction.bloqueado |
| Dirección de la conexión de red | servicio.acción. networkConnectionAction. Dirección de conexión |
| Puerto local de la conexión de red | servicio.acción. networkConnectionAction. localPortDetails.port |
| Protocolo de conexión de red | servicio.acción. networkConnectionAction.protocolo |
| Ciudad de la conexión de red | servicio.acción. networkConnectionAction. remoteIpDetails.city.nombre de la ciudad |
| País de la conexión de red | service.action. networkConnectionAction. remoteIpDetails. País. Nombre del país |
| Dirección remota de conexión de red IPv4 | service.action. networkConnectionAction. remoteIpDetails.Dirección IP V4 |
| Dirección remota de conexión de red IPv6 | service.action. networkConnectionAction. remoteIpDetails.Dirección IP V6 |
| ID de ASN de la IP remota de la conexión de red | servicio.acción. networkConnectionAction. remoteIpDetails.organization.asn |
| Nombre ASN de la IP remota de la conexión de red | servicio.acción. networkConnectionAction. remoteIpDetails. Organización. Asnorg |
| Puerto remoto de la conexión de red | servicio.acción. networkConnectionAction. remotePortDetails.port |
| Cuenta remota afiliada | servicio.acción. awsApiCallAcción. remoteAccountDetails... afiliado |
| Dirección de la persona que llama a la API de Kubernetes IPv4 | service.action. kubernetesApiCallAcción. remoteIpDetails.Dirección IP V4 |
| Dirección de la persona que llama a la API de Kubernetes IPv6 | service.action. kubernetesApiCallAcción. remoteIpDetails.Dirección IP V6 |
| Espacio de nombres de Kubernetes | servicio.acción. kubernetesApiCallAction.namespace |
| ID de ASN de quien realiza la llamada a la API de Kubernetes | servicio.acción. kubernetesApiCallAcción. remoteIpDetails.organization.asn |
| URI de solicitud de llamada a la API de Kubernetes | servicio.acción. kubernetesApiCallAcción.URI de solicitud |
| Código de estado de la API de Kubernetes | servicio.acción. kubernetesApiCallAcción. Código de estado |
| Dirección local de conexión de red IPv4 | service.action. networkConnectionAction. localIpDetails.Dirección IP V4 |
| Dirección local de conexión de red IPv6 | service.action. networkConnectionAction. localIpDetails.Dirección IP V6 |
| Protocolo | servicio.acción. networkConnectionAction.protocolo |
| Nombre del servicio de llamada a la API | servicio.acción. awsApiCallAction.serviceName |
| ID de cuenta de la persona que llama a la API | servicio.acción. awsApiCallAcción. remoteAccountDetails. ID de cuenta |
| Nombre de la lista de amenazas | Servicio. Información adicional. threatListName |
| Rol de recurso | service.resourceRole |
| Nombre del clúster de EKS | recurso. eksClusterDetails.nombre |
| Nombre de la carga de trabajo de Kubernetes | resource.Detalles de Kubernetes. kubernetesWorkloadDetails.nombre |
| Nombre de espacio de la carga de trabajo de Kubernetes | resource.Detalles de Kubernetes. kubernetesWorkloadDetails.espacio de nombres |
| Nombre de usuario de Kubernetes | Resource.Detalles de Kubernetes. kubernetesUserDetails.nombre de usuario |
| Imagen del contenedor de Kubernetes | Resource.Detalles de Kubernetes. kubernetesWorkloadDetails.contenedores.imagen |
| Prefijo de la imagen del contenedor de Kubernetes | Resource.Detalles de Kubernetes. kubernetesWorkloadDetails.containers.prefijo de imagen |
| ID de análisis | servicio. ebsVolumeScanDetalles. Scanid |
| Nombre de la amenaza de análisis de volúmenes de EBS | servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.ThreatNames.name |
| Nombre de la amenaza de análisis de objetos de S3 | servicio. malwareScanDetails.threats.name |
| Gravedad de la amenaza | servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.ThreatNames.Severity |
| SHA de archivo | servicio. ebsVolumeScanDetalles. Detecciones de escaneo. threatDetectedByNombre.threatnames.filepaths.hash |
| Nombre del clúster de ECS | recurso. ecsClusterDetails.nombre |
| Imagen del contenedor de ECS | recurso. ecsClusterDetails.taskDetails.Containers.Image |
| ARN de definición de tarea de ECS | recurso. ecsClusterDetails.taskDetails.definitionARN |
| Imagen de contenedor independiente | resource.containerDetails.image |
| ID de instancia de base de datos | recurso. rdsDbInstanceDetalles. dbInstanceIdentifier |
| ID de clúster de base de datos | recurso. rdsDbInstanceDetalles. dbClusterIdentifier |
| Motor de base de datos | recurso. rdsDbInstanceDetalles. Motor |
| Usuario de base de datos | recurso. rdsDbUserDetalles. Usuario |
| Clave de etiqueta de instancia de base de datos | recurso. rdsDbInstanceDetails.tags.key |
| Valor de etiqueta de instancia de base de datos | recurso. rdsDbInstanceDetalles.Etiquetas.Valor |
| SHA-256 ejecutable | service.runtimeDetails.process.executableSha256 |
| Process name (Nombre del proceso) | service.runtimeDetails.process.name |
| Ruta de ejecución | service.runtimeDetails.process.executablePath |
| Nombre de la función Lambda | resource.lambdaDetails.functionName |
| ARN de la función Lambda | resource.lambdaDetails.functionArn |
| Clave de etiqueta de la función de Lambda | resource.lambdaDetails.tags.key |
| Valor de etiqueta de la función de Lambda | resource.lambdaDetails.tags.value |
| Dominio de la solicitud DNS | servicio.acción. dnsRequestAction. domainWithSuffix |
# Reglas de supresión en GuardDuty
Una regla de supresión es un conjunto de criterios, que consta de un atributo de filtro emparejado con un valor, utilizado para filtrar resultados mediante el archivado automático de resultados nuevos que coinciden con los criterios especificados. Las reglas de supresión se pueden utilizar para filtrar los resultados de bajo valor, los resultados positivos falsos o las amenazas sobre las que no se pretende actuar, a fin de facilitar el reconocimiento de las amenazas de seguridad que tienen el mayor impacto en su entorno.
Después de crear una regla de supresión, los nuevos resultados que coincidan con los criterios definidos en la regla se archivan automáticamente siempre que la regla de supresión esté en su lugar. Puede utilizar un filtro existente para crear una regla de supresión o crear una regla de supresión a partir de una nuevo filtro que defina. Puede configurar reglas de supresión para suprimir tipos de hallazgos completos o definir criterios de filtro más detallados para suprimir sólo instancias específicas de un tipo de hallazgo determinado. Puede editar las reglas de supresión en cualquier momento.
Los hallazgos suprimidos no se envían a AWS Security Hub CSPM Amazon Simple Storage Service, Amazon Detective ni Amazon EventBridge, lo que reduce el ruido de las búsquedas si se consumen GuardDuty los hallazgos a través de Security Hub CSPM, un SIEM de terceros u otras aplicaciones de alerta y emisión de tickets. Si la has activado[Malware Protection for EC2](malware-protection.md), los GuardDuty resultados suprimidos no iniciarán un análisis de software malicioso.
GuardDuty sigue generando hallazgos incluso cuando se ajustan a tus reglas de supresión; sin embargo, esos hallazgos se marcan automáticamente como **archivados.** El hallazgo archivado se almacena GuardDuty durante 90 días y se puede ver en cualquier momento durante ese período. Para ver los hallazgos suprimidos en la GuardDuty consola, selecciona **Archivado** en la tabla de hallazgos o a través de la GuardDuty API utilizando la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)API con un `findingCriteria` criterio de `service.archived` igual a verdadero.
**nota**
En un entorno con varias cuentas, solo el GuardDuty administrador puede crear reglas de supresión.
## Uso de reglas de supresión con Detección Extendida de Amenazas
GuardDuty La detección extendida de amenazas detecta automáticamente los ataques en varias etapas que abarcan fuentes de datos, varios tipos de AWS recursos y tiempo, en un mismo momento. Cuenta de AWS Correlaciona los eventos en diferentes orígenes de datos para identificar los escenarios que se presentan como una amenaza potencial para su entorno AWS y, a continuación, genera un resultado de la secuencia de ataque. Para obtener más información, consulte [Cómo funciona la Detección Extendida de Amenazas](guardduty-extended-threat-detection.md#extended-threat-detection-how-it-works).
Al crear reglas de supresión que archivan los resultados, la Detección Extendida de Amenazas no puede usar estos resultados archivados para correlacionar los eventos para las secuencias de ataque. Las normas de supresión amplias pueden afectar a la capacidad de detectar comportamientos GuardDuty relacionados con la detección de ataques en varias etapas. Los resultados que se archivan debido a las reglas de supresión no se consideran señales para las secuencias de ataque. Por ejemplo, si crea una regla de supresión que archive todos los hallazgos relacionados con los clústeres de EKS en lugar de centrarse en actividades específicas conocidas, GuardDuty no podrá utilizar esos hallazgos para detectar una secuencia de ataque en la que un actor de amenazas explote un contenedor, obtenga fichas privilegiadas y acceda a recursos confidenciales.
Ten en cuenta las siguientes recomendaciones de: GuardDuty
+ Siga utilizando las reglas de supresión para reducir las alertas procedentes de actividades de confianza conocidas.
+ Mantenga las reglas de supresión centradas en comportamientos específicos sobre los que no GuardDuty desee generar una conclusión.
## Casos de uso comunes para reglas de supresión y ejemplos
Los siguientes tipos de resultados tienen casos de uso comunes para la aplicación de reglas de supresión. Seleccione el nombre del resultado para obtener más información sobre el mismo. Revise la descripción del caso de uso para decidir si desea crear una regla de supresión para ese tipo de resultado.
**importante**
GuardDuty recomienda que cree reglas de supresión de forma reactiva y solo para los hallazgos en los que haya identificado repetidamente falsos positivos en su entorno.
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws): utilice una regla de supresión para archivar automáticamente resultados generados cuando se configuran las redes de la VPC para dirigir el tráfico de Internet a fin de que salga desde una puerta de enlace en las instalaciones en lugar de una puerta de enlace de Internet de VPC.
Este resultado se genera cuando la red está configurada para dirigir el tráfico de Internet de tal forma que salga por una puerta de enlace en las instalaciones y no por una puerta de enlace de Internet (IGW) de la VPC. Las configuraciones comunes, como el uso de [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) o de conexiones de VPN de la VPC, pueden generar tráfico dirigido de esta manera. Si el comportamiento es el previsto, se recomienda utilizar reglas de supresión y crear una regla que conste de dos criterios de filtrado. El primer criterio es **Tipo de resultado**, que debería ser `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`. El segundo criterio de filtro es la dirección de la **API que llama con la IPv4 dirección** IP o el rango de CIDR de su puerta de enlace a Internet local. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de la dirección IP de la persona que llama a la API.
```
Finding type: UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS API caller IPv4 address: 198.51.100.6
```
**nota**
Para incluir varias llamadas a la API, IPs puedes añadir un nuevo filtro de direcciones de las personas que llaman a la API para cada una. IPv4
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan): utilice una regla de supresión para archivar automáticamente los resultados cuando utilice una aplicación de evaluación de vulnerabilidades.
La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo **Tipo de resultado** con un valor de `Recon:EC2/Portscan`. El segundo criterio de filtro debe coincidir con la instancia o instancias que alojan estas herramientas de evaluación de vulnerabilidades. Puede utilizar el atributo **ID de imagen de instancia** o el atributo de valor **Etiqueta** en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con una determinada AMI.
```
Finding type: Recon:EC2/Portscan Instance image ID: ami-999999999
```
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce): utilice una regla de supresión para archivar automáticamente los resultados cuando tengan como objetivo las instancias de bastión.
Si el objetivo del intento de fuerza bruta es un host bastión, esto puede representar el comportamiento esperado de su entorno. AWS Si este es el caso, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo **Tipo de resultado** con un valor de `UnauthorizedAccess:EC2/SSHBruteForce`. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host bastión. Puede utilizar el atributo **ID de imagen de la instancia** o el atributo de valor **Etiqueta** en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con un determinado valor de etiqueta de instancia.
```
Finding type: UnauthorizedAccess:EC2/SSHBruteForce Instance tag value: devops
```
+ [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport): utilice una regla de supresión para archivar automáticamente los resultados cuando tengan como objetivo las instancias que se hayan visto expuestas de manera intencional.
Puede haber casos en los que las instancias se expongan de forma intencionada, por ejemplo, si están alojando servidores web. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este hallazgo. La regla de supresión debe constar de dos criterios de filtro. Los primeros criterios deben utilizar el atributo **Tipo de resultado** con un valor de `Recon:EC2/PortProbeUnprotectedPort`. El segundo criterio de filtro debe coincidir con la instancia o instancias que sirven como host bastión. Puede utilizar el atributo **ID de imagen de instancia** o el atributo de valor **Etiqueta** en función de los criterios que se identifiquen con las instancias que alojan estas herramientas. En el siguiente ejemplo, se representa el filtro que utilizaría para suprimir este tipo de resultado en función de las instancias con una determinada clave de etiqueta de instancia en la consola.
```
Finding type: Recon:EC2/PortProbeUnprotectedPort Instance tag key: prod
```
### Reglas de supresión recomendadas para los resultados de la Supervisión en tiempo de ejecución
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) se genera cuando un proceso dentro de un contenedor se comunica con el socket de Docker. Es posible que haya contenedores de su entorno que necesiten acceso al socket de Docker por motivos legítimos. El acceso desde dichos contenedores generará resultados PrivilegeEscalation:Runtime/DockerSocketAccessed. Si este es el caso de su AWS entorno, le recomendamos que configure una regla de supresión para este tipo de hallazgo. Los primeros criterios deben utilizar el campo **Tipo de resultado** con un valor equivalente a `PrivilegeEscalation:Runtime/DockerSocketAccessed`. El segundo criterio de filtro es el campo **Ruta ejecutable** con un valor igual al `executablePath` del proceso en el resultado generado. De manera alternativa, el segundo criterio de filtro puede utilizar el campo **SHA-256 ejecutable** con un valor igual al `executableSha256` del proceso en el resultado generado.
+ Los clústeres de Kubernetes ejecutan sus propios servidores DNS como pods; por ejemplo, `coredns`. Por lo tanto, para cada búsqueda de DNS desde un pod, GuardDuty captura dos eventos de DNS: uno del pod y otro del pod del servidor. Esto puede generar duplicados para los siguientes resultados de DNS:
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
Los resultados duplicados incluirán los detalles del pod, el contenedor y el proceso que corresponden al pod de su servidor DNS. Puede configurar una regla de supresión para suprimir estos resultados duplicados utilizando estos campos. El primer criterio de filtro debe utilizar el campo **Tipo de resultado** con un valor igual a un tipo de resultado de DNS de la lista de resultados proporcionada anteriormente en esta sección. El segundo criterio de filtro puede ser **Ruta ejecutable** con un valor igual al `executablePath` del servidor DNS o **SHA-256 ejecutable** con un valor igual al `executableSHA256` del servidor DNS en el resultado generado. Como tercer criterio de filtro opcional, puede utilizar el campo **Imagen del contenedor de Kubernetes** con un valor igual al de la imagen del contenedor del pod del servidor DNS en el resultado generado.
# Crear reglas de supresión en GuardDuty
Una regla de supresión es un conjunto de criterios que incluye el uso de atributos de filtro y el suministro de valores para los que no se GuardDuty desea generar un tipo de búsqueda. Los tipos de resultados que cumplen estos criterios se archivan automáticamente. Para reducir el ruido, los resultados suprimidos no se envían a ninguno de los dispositivos Servicios de AWS con los que se pueda realizar la integración. Para obtener más información sobre los casos de uso comunes para la creación de reglas de supresión, consulte [Reglas de supresión](findings_suppression-rule.md).
Puede visualizar, crear y gestionar las reglas de supresión mediante la página de **reglas de supresión** de la GuardDuty consola. Las reglas de supresión también se pueden generar a partir de los filtros guardados existentes. Para obtener más información acerca de la creación de filtros, consulte [Filtrar los hallazgos en GuardDuty](guardduty_filter-findings.md).
Los criterios de filtrado pueden incluir una coincidencia exacta mediante **iguales** y **NotEquals**operadores, una **coincidencia comodín** con las **coincidencias** y **NotMatches**los operadores o una **coincidencia comparativa** con **GreaterThan**LessThanEquals****los operadores **LessThan**y. **GreaterThanEquals** Puede encontrar más información sobre los operadores disponibles en la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Condition.html)página.
Elija el método de acceso que prefiera para crear una regla de supresión para GuardDuty buscar tipos.
------
#### [ Console ]
**Para crear una regla de supresión mediante la consola:**
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En la página de **reglas de supresión**, haga clic en **Crear regla de supresión** para abrir el formulario **Crear regla de supresión**.
1. Introduzca un **nombre** para la regla de supresión. El nombre debe tener entre 3 y 64 caracteres. Los caracteres válidos son a-z, A-Z, 0-9, punto (.), (guion) (-) y (guion bajo).
1. La **descripción** es opcional. Si introduce una descripción, puede tener 512 caracteres como máximo. Los caracteres válidos son a-z, A-Z, 0-9, punto (.), guion (-), dos puntos (:), corchetes (\$1\$1()[]), barra inclinada (/) y espacio.
1. El **rango** es opcional. Puede ser un valor numérico desde 1 hasta el recuento total de filtros y reglas de supresión, más 1.
1. En la sección **Atributos**, seleccione una **clave** y un **operador** en el menú desplegable.
1. Introduzca el valor «cadena» o «fecha» en el selector de fechas en función de la clave seleccionada. Si se trata de un valor de cadena, escriba el texto y pulse enter. Se pueden añadir varios valores en el caso de valores de cadena.
1. Para añadir criterios adicionales, seleccione **Añadir criterio** para añadir otro conjunto de **claves**, **operadores** y **valores**.
1. Seleccione **Crear regla de supresión** para crear y guardar la regla de supresión.
También puede crear una regla de supresión a partir de un filtro guardado existente. Para obtener más información acerca de la creación de filtros, consulte [Filtrar los hallazgos en GuardDuty](guardduty_filter-findings.md).
**Para crear una regla de supresión a partir de un filtro guardado:**
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En la página **Resultados**, en el menú **Reglas guardadas**, seleccione una regla de conjunto de filtros guardada. Esto mostrará automáticamente el conjunto de filtros y los resultados que coincidan con los criterios.
1. También puede agregar más criterios de filtro a esta regla guardada. Puede omitir este paso si no necesita criterios de filtro adicionales. Para añadir uno o más criterios de filtrado, siga los pasos 3 a 7 en [Adding filters on Findings page](guardduty_filter-findings.md#guardduty-add-filters-findings-page), a continuación, continúe con los pasos siguientes.
1. Una vez que haya agregado los criterios de filtro y haya confirmado que los resultados filtrados cumplen sus requisitos, elija **Crear regla de supresión**.
1. Introduzca un **nombre** para la regla de supresión. El nombre debe tener entre 3 y 64 caracteres. Los caracteres válidos son a-z, A-Z, 0-9, punto (.), (guion) (-) y (guion bajo).
1. La **descripción** es opcional. Si introduce una descripción, puede tener 512 caracteres como máximo.
1. Seleccione **Crear**.
1. Si no necesita añadir criterios de filtro adicionales a la regla guardada, siga los pasos 4 a 7 para crear el filtro.
------
#### [ API/CLI ]
**Para crear una regla de supresión mediante una API:**
1. También puede crear reglas de supresión a través de la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html). Para ello, especifique los criterios de filtro en un archivo JSON según el formato del ejemplo que se detalla a continuación. El siguiente ejemplo suprimirá cualquier resultado de baja gravedad no archivado que contenga una solicitud de DNS al dominio `test.example.com`. Para los resultados de gravedad media, la lista de entrada será `["4", "5", "7"]`. Para los resultados de gravedad alta, la lista de entrada será `["6", "7", "8"]`. Para los resultados de gravedad crítica, la lista de entrada será `["9", "10"]`. También puede filtrar en función de cualquier valor de la lista.
En el siguiente ejemplo, se agrega un filtro para los hallazgos de baja gravedad para las funciones lambda con el prefijo «MyFunc» y la etiqueta de la función con el prefijo no como «» TestTag
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
Puede crear reglas de supresión utilizando los caracteres comodín \$1 y? . Los caracteres comodín en los filtros solo se admiten si se utilizan **coincidencias** y **NotMatches**operadores. Para hacer coincidir cualquier número de caracteres, puede usar \$1 en el valor del atributo y, para hacer coincidir un solo carácter, ¿puede usar? en el valor del atributo. Los filtros admiten un máximo de 5 atributos en una sola condición de comodín y un máximo de 5 caracteres comodín dentro de un solo atributo. En el siguiente ejemplo, se agrega un filtro para el nombre de Lambda que coincide con el prefijo «MyFunc», pero no para las funciones Lambda con etiquetas con «TestTag» como prefijo seguido de 0 a 2 caracteres.
```
{
"Criterion": {
"resource.lambdaDetails.functionName": {
"Matches": [
"MyFunc*"
]
},
"resource.lambdaDetails.tags.key": {
"NotMatches": [
"TestTag??"
]
}
}
}
```
Para obtener una lista de los nombres de campo JSON y su equivalente de consola, consulte [La propiedad filtra GuardDuty](guardduty_filter-findings.md#filter_criteria).
Para probar sus criterios de filtro, utilice el mismo criterio de JSON en la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) y confirme que se hayan seleccionado los resultados correctos. Para probar tus criterios de filtro, AWS CLI sigue el ejemplo con tu propio DetectoriD y un archivo.json.
Para encontrar los `detectorId` de tu cuenta y región actuales, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la API. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)
```
aws guardduty list-detector
```
```
aws guardduty list-findings \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--finding-criteria file://criteria.json
```
**nota**
La coincidencia de comodines no está disponible para ListFindings y GetFindingsStatistics. Los criterios que contienen caracteres comodín no se pueden validar mediante ListFindings y. GetFindingsStatistics
1. Cargue el filtro para utilizarlo como regla de supresión con la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateFilter.html) o mediante la CLI de AWS según el ejemplo siguiente con su propio ID de detector, un nombre para la regla de supresión y un archivo .json.
Para encontrar los `detectorId` de su cuenta y región actuales, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty create-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--name yourfiltername \
--finding-criteria file://criteria.json
```
Puede ver una lista de sus filtros mediante programación con la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFilter.html). Para ver los detalles de un filtro individual, proporcione el nombre del filtro a la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFilter.html). Actualice los filtros mediante la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateFilter.html) o elimínelos con ayuda de la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html).
------
# Actualización de las reglas de supresión en GuardDuty
En esta sección se proporcionan los pasos para actualizar una regla de supresión Cuenta de AWS en una específica Región de AWS.
Puede actualizar las reglas de supresión existentes desde la página de **reglas de supresión** de la GuardDuty consola. GuardDuty admite la actualización de la descripción, el rango y los criterios de filtro del filtro de supresión desde la GuardDuty consola o mediante la GuardDuty CLI/API. La regla de supresión de actualizaciones sigue las mismas restricciones en cuanto a los valores de campo de descripción, clasificación y criterios que. [Crear reglas de supresión](create-suppression-rules-guardduty.md)
Si se trata de una cuenta de miembro, la cuenta de administrador puede realizar esta acción en su nombre. Para obtener más información, consulte [Relaciones entre la cuenta de administrador y la cuenta de miembro](administrator_member_relationships.md).
Elija el método de acceso que prefiera para eliminar una regla de supresión para GuardDuty buscar tipos.
------
#### [ Console ]
1. Abre la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. En la página de **reglas de supresión**, seleccione la regla de supresión que desee actualizar.
1. En el menú desplegable **Acciones**, selecciona **Actualizar la regla de supresión**.
1. Esto abre el formulario de regla de supresión existente.
1. Realice los cambios necesarios en la sección de **descripción**, **rango** y **atributos**.
1. Seleccione **Actualizar regla de supresión** para actualizar la regla de supresión.
------
#### [ API/CLI ]
**Para actualizar una regla de supresión mediante la API:**
1. Puedes actualizar las reglas de supresión a través de la UpdateFilter API. Solo la **descripción**, el **rango** y **los criterios** se pueden actualizar mediante la UpdateFilter API. Todos estos tres campos son opcionales.
1. Para actualizar un filtro existente, necesitará el nombre del filtro que planea actualizar.
1. Si desea actualizar los criterios existentes, cree un archivo JSON con los criterios actualizados de forma similar a como creó el filtro por primera vez. Un ejemplo de criterio para suprimir cualquier hallazgo de baja gravedad no archivado que contenga una solicitud de DNS al dominio test.example.com. Para los resultados de gravedad media, la lista de entrada será ["4", «5", «7"]. Para los hallazgos de gravedad alta, la lista de entrada será ["6", «7", «8"]. En el caso de los hallazgos de gravedad crítica, la lista de entrada será ["9", «10"]. También puede filtrar en función de cualquier valor de la lista. En el siguiente ejemplo, se añade un filtro para los resultados de gravedad baja.
```
{
"Criterion": {
"service.action.dnsRequestAction.domain": {
"Equals": [
"test.example.com"
]
},
"severity": {
"Equals": [
"1",
"2",
"3"
]
}
}
}
```
Para obtener una lista de los nombres de campo JSON y su equivalente de consola, consulte [La propiedad filtra GuardDuty](guardduty_filter-findings.md#filter_criteria).
Para probar sus criterios de filtro, utilice el mismo criterio de JSON en la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) y confirme que se hayan seleccionado los resultados correctos. Para probar tus criterios de filtro, AWS CLI sigue el ejemplo con tu propio DetectoriD y un archivo.json.
Para encontrar los `detectorId` de tu cuenta y región actuales, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la API. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)
```
aws guardduty list-detectors --region us-east-1
```
1. Si desea actualizar la descripción, puede incluir el parámetro de descripción en la llamada CLI.
1. Si desea actualizar la clasificación, puede incluir el parámetro de clasificación en la llamada CLI.
1. Si desea pasar de un filtro de supresión a un filtro normal, utilice el parámetro de acción y el valor **ARCHIVE** en la llamada CLI.
1. Actualice su API de filtro existente o utilice el AWS CLI siguiente ejemplo con su propio ID de detector, un nombre para la regla de supresión y un archivo.json.
1. El siguiente es un ejemplo de CLI que actualiza todos los parámetros descritos anteriormente. Puede seleccionar los parámetros específicos que desea actualizar para su caso de uso con el comando -
```
aws guardduty update-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--region us-east-1 \
--action ARCHIVE \
--rank 1 \
--description "Updated description" \
--finding-criteria file://criteria.json
```
------
# Eliminar las reglas de supresión en GuardDuty
En esta sección se proporcionan los pasos para eliminar una regla de supresión Cuenta de AWS en una específica Región de AWS.
Es posible que desee eliminar una regla de supresión que ya no represente un comportamiento esperado en el entorno. Ya no desea suprimir el tipo de búsqueda asociado para GuardDuty poder generar un tipo de búsqueda.
Si se trata de una cuenta de miembro, la cuenta de administrador puede realizar esta acción en su nombre. Para obtener más información, consulte [Relaciones entre la cuenta de administrador y la cuenta de miembro](administrator_member_relationships.md).
Elija el método de acceso que prefiera para eliminar una regla de supresión de tipos de GuardDuty búsqueda.
------
#### [ Console ]
1. Abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En la página de **reglas de supresión**, seleccione la regla de supresión que desee eliminar.
1. En el menú desplegable **Acciones**, selecciona **Eliminar regla de supresión**.
1. Aparece una ventana emergente de confirmación. Seleccione **Eliminar** para continuar con la eliminación. O bien, seleccione **Cancelar** para cancelar la operación.
------
#### [ API/CLI ]
Ejecute la API [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteFilter.html). Especifique el nombre del filtro y el ID del detector asociado para la región en cuestión.
Como alternativa, puede utilizar el siguiente AWS CLI ejemplo sustituyendo los valores formateados en*red*:
```
aws guardduty delete-filter \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--filter-name filterName \
--region us-east-1
```
Para encontrar los `detectorId` valores de tu cuenta y región actuales, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
------
# Personalización de la detección de amenazas con listas de entidades y listas de direcciones IP
Amazon GuardDuty supervisa la seguridad de su AWS entorno mediante el análisis y el procesamiento de los registros de flujo de VPC, los registros de AWS CloudTrail eventos y los registros de DNS. Al habilitar uno o más planes de [ GuardDuty protección centrados en los casos de uso (excepto los planes](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty))[Supervisión en tiempo de ejecución](runtime-monitoring.md), puede ampliar las capacidades de monitoreo que ofrecen. GuardDuty
Con listas, le GuardDuty ayuda a personalizar el alcance de la detección de amenazas en su entorno. Puede configurarlo GuardDuty para que deje de generar hallazgos a partir de sus fuentes confiables y genere hallazgos de fuentes maliciosas conocidas a partir de sus listas de amenazas. GuardDuty sigue siendo compatible con las listas de direcciones IP antiguas y amplía el soporte a las listas de entidades (se recomienda) que pueden contener direcciones IP, dominios o ambos.
**Topics**
+ [Comprender las listas de entidades y listas de direcciones IP](#guardduty-threat-intel-list-entity-sets)
+ [Consideraciones importantes para GuardDuty las listas](#guardduty-lists-entity-sets-considerations)
+ [Formatos de las listas](#prepare_list)
+ [Explicación de los estados de las listas](#guardduty-entity-list-statuses)
+ [Configuración de requisitos previos para las listas de entidades y las listas de direcciones IP](guardduty-lists-prerequisites.md)
+ [Añadir y activar una lista de entidades o una lista de IP](guardduty-lists-create-activate.md)
+ [Actualización de una lista de entidades o una lista de direcciones IP](guardduty-lists-update-procedure.md)
+ [Desactivar la lista de entidades o la lista de direcciones IP](guardduty-lists-deactivate-procedure.md)
+ [Eliminar la lista de entidades o la lista de direcciones IP](guardduty-lists-delete-procedure.md)
## Comprender las listas de entidades y listas de direcciones IP
GuardDuty ofrece dos enfoques de implementación: listas de entidades (recomendadas) y listas de IP. Ambos enfoques le ayudan a especificar fuentes confiables, que dejan GuardDuty de generar hallazgos y las amenazas conocidas, que GuardDuty utilizan para generar hallazgos.
Las **listas de entidades** admiten tanto direcciones IP como nombres de dominio. Utilizan el acceso directo a Amazon Simple Storage Service (Amazon S3) con un único permiso de IAM que no afecta a los límites de tamaño de las políticas de IAM en múltiples regiones.
Las **listas de IP** solo admiten direcciones IP y utilizan [GuardDuty rol vinculado a un servicio (SLR)](slr-permissions.md) (SLR), por lo que es necesario actualizar las políticas de IAM por región, lo que puede afectar a los límites de tamaño de las políticas de IAM.
Las listas de confianza (tanto listas de entidades como listas de direcciones IP) incluyen entradas en las que puede confiar para una comunicación segura con su AWS infraestructura. GuardDuty no genera resultados para las entradas incluidas en fuentes confiables. En un momento dado, solo puede añadir una lista de entidades de confianza y una lista de direcciones IP de confianza Cuenta de AWS por región.
Las listas de amenazas (tanto listas de entidades como listas de direcciones IP) incluyen entradas que haya identificado como fuentes maliciosas conocidas. Cuando GuardDuty detecta una actividad relacionada con estas fuentes, genera resultados que le avisan de posibles problemas de seguridad. Puede crear sus propias listas de amenazas o incorporar fuentes de inteligencia de amenazas de terceros. La inteligencia sobre amenazas de terceros puede ofrecer esta lista, que también se puede crear específicamente para su organización. Además de generar hallazgos debido a una actividad potencialmente sospechosa, GuardDuty también genera hallazgos basados en una actividad que implica entradas de sus listas de amenazas. En cualquier momento, puede cargar hasta seis listas de entidades de amenazas y listas de direcciones IP de amenazas Cuenta de AWS por región.
**nota**
Para migrar de las listas de direcciones IP a las listas de entidades, siga [Requisitos previos para las listas de entidades](guardduty-lists-prerequisites.md#guardduty-entity-list-prerequisites) y, a continuación, añada y active la lista de entidades requerida. Después de esto, puede optar por desactivar o eliminar la lista de direcciones IP correspondiente.
## Consideraciones importantes para GuardDuty las listas
Antes de comenzar a trabajar con listas, lea las siguientes consideraciones:
+ Las listas de IP y de entidades se aplican únicamente al tráfico destinado a dominios y direcciones IP enrutables públicamente.
+ En una lista de entidades, las entradas se aplican a CloudTrail los registros de flujo de VPC en Amazon VPC y a los resultados de los registros de consultas DNS de Route53 Resolver.
En una lista de direcciones IP, las entradas se aplican a CloudTrail los hallazgos de los registros de flujo de VPC incluidos en Amazon VPC, pero no a los hallazgos de los registros de consultas de DNS de Route53 Resolver.
+ Si incluye la misma dirección IP o dominio en las listas de confianza y de amenazas, prevalecerá esta entrada de la lista de confianza. GuardDuty no generará ningún resultado si hay una actividad asociada a esta entrada.
+ En un entorno con varias cuentas, solo la cuenta de GuardDuty administrador puede administrar las listas. Esta configuración se aplica automáticamente a las cuentas de los miembros. GuardDuty genera hallazgos basados en una actividad que involucra direcciones IP (y dominios) maliciosos conocidos de las fuentes de amenazas de la cuenta de administrador, y no genera hallazgos basados en actividades que involucran direcciones IP (y dominios) de las fuentes de confianza de la cuenta de administrador. Para obtener más información, consulte [Varias cuentas en Amazon GuardDuty](guardduty_accounts.md).
+ Solo se aceptan IPv4 direcciones. IPv6 no se admiten direcciones.
+ Tras activar, desactivar o eliminar una lista de entidades o una lista de direcciones IP, se estima que el proceso se completará en 15 minutos. En algunos casos, este proceso puede tardar hasta 40 minutos en completarse.
+ GuardDuty utiliza una lista para la detección de amenazas solo cuando el estado de la lista pasa a ser **Activo**.
+ Siempre que añada o actualice una entrada en la ubicación del bucket S3 de la lista, debe volver a activar la lista. Para obtener más información, consulte [Actualización de una lista de entidades o una lista de direcciones IP](guardduty-lists-update-procedure.md).
+ Las listas de entidades y las direcciones IP tienen cuotas diferentes. Para obtener más información, consulte [GuardDuty cuotas](guardduty_limits.md).
## Formatos de las listas
GuardDuty acepta varios formatos de archivo para sus listas y listas de entidades, con un máximo de 35 MB por archivo. Cada formato tiene requisitos y capacidades específicos.
### Texto sin formato (TXT)
Este formato admite direcciones IP, rangos de CIDR y nombres de dominio. Cada entrada debe aparecer en una línea independiente.
**Example **Ejemplo de lista de entidades****
```
192.0.2.1
192.0.2.0/24
example.com
example.org
*.example.org
```
**Example **Ejemplo de lista de direcciones IP****
```
192.0.2.0/24
198.51.100.1
203.0.113.1
```
### Structured Threat Information Expression (STIX)
Este formato admite direcciones IP, bloques de CIDR y nombres de dominio. STIX le permite incluir contexto adicional en su inteligencia sobre amenazas. GuardDuty procesa las direcciones IP, los rangos de CIDR y los nombres de dominio a partir de los indicadores STIX.
**Example **Ejemplo de una lista de entidades****
```
Malicious domain observed Example
Domain Watchlist
bad.example.com
```
**Example **Ejemplo de una lista de direcciones IP****
```
192.0.2.0##comma##192.0.2.255
198.51.100.1
203.0.113.1
```
### CSV de Open Threat Exchange (OTX)TM
Este formato admite direcciones IP individuales, bloques de CIDR y dominios. Este formato de archivo tiene valores separados por comas.
**Example **Ejemplo de lista de entidades****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
Domain name, example.net, example
```
**Example **Ejemplo de lista de direcciones IP****
```
Indicator type, Indicator, Description
CIDR, 192.0.2.0/24, example
IPv4, 198.51.100.1, example
IPv4, 203.0.113.1, example
```
### FireEyeTM iSight Threat Intelligence (CSV)
Este formato admite direcciones IP individuales, bloques de CIDR y dominios. En las siguiente listas de ejemplo se utiliza un formato de CSV de `FireEyeTM`.
**Example **Ejemplo de lista de entidades****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
01-00000002, Malicious domain observed in test, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002,https://www.example.com/report/01-00000002,,,,,,,,,,,,,,,,,,,,,,,, 203.0.113.0/24, example.com,, Related, 203.0.113.0, 8080, UDP,,, network,, Ursnif, fc13984c-c767-40c9-8329-f4c59557f73b,,, 1494944400
```
**Example **Ejemplo de lista de direcciones IP****
```
reportId, title, threatScape, audience, intelligenceType, publishDate, reportLink, webLink, emailIdentifier, senderAddress, senderName, sourceDomain, sourceIp, subject, recipient, emailLanguage, fileName, fileSize, fuzzyHash, fileIdentifier, md5, sha1, sha256, description, fileType, packer, userAgent, registry, fileCompilationDateTime, filePath, asn, cidr, domain, domainTimeOfLookup, networkIdentifier, ip, port, protocol, registrantEmail, registrantName, networkType, url, malwareFamily, malwareFamilyId, actor, actorId, observationTime
01-00000001, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000001, https://www.example.com/report/01-00000001, , , , , , , , , , , , , , , , , , , , , , , , 192.0.2.0/24, , , Related, , , , , , network, , Ursnif, 21a14673-0d94-46d3-89ab-8281a0466099, , , 1494944400
01-00000002, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000002, https://www.example.com/report/01-00000002, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 198.51.100.1, , , , , network, , Ursnif, 12ab7bc4-62ed-49fa-99e3-14b92afc41bf, , ,1494944400
01-00000003, Example, Test, Operational, threat, 1494944400, https://www.example.com/report/01-00000003, https://www.example.com/report/01-00000003, , , , , , , , , , , , , , , , , , , , , , , , , , , Related, 203.0.113.1, , , , , network, , Ursnif, 8a78c3db-7bcb-40bc-a080-75bd35a2572d, , , 1494944400
```
### CSV de ProofpointTM ET Intelligence Feed
En formato ProofPoint CSV, puede añadir direcciones IP o nombres de dominio en una lista. En la siguiente lista de ejemplo se utiliza el formato de CSV de `Proofpoint`. Proporcionar un valor para el parámetro `ports` es opcional. Si no lo proporciona, deje una coma (,) al final.
**Example **Ejemplo de lista de entidades****
```
domain, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
**Example **Ejemplo de lista de direcciones IP****
```
ip, category, score, first_seen, last_seen, ports (|)
198.51.100.1, 1, 100, 2000-01-01, 2000-01-01,
203.0.113.1, 1, 100, 2000-01-01, 2000-01-01, 80
```
### AlienVaultFuente de reputación de TM
En la siguiente lista de ejemplo se utiliza el formato `AlienVault`.
**Example **Ejemplo de lista de entidades****
```
192.0.2.1#4#2#Malicious Host#KR##37.5111999512,126.974098206#3
192.0.2.2#4#2#Scanning Host#IN#Gurgaon#28.4666996002,77.0333023071#3
192.0.2.3#4#2##CN#Guangzhou#23.1166992188,113.25#3
www.test.org#4#2#Malicious Host#CA#Brossard#45.4673995972,-73.4832000732#3
www.example.com#4#2#Malicious Host#PL##52.2393989563,21.0361995697#3
```
**Example **Ejemplo de lista de direcciones IP****
```
198.51.100.1#4#2#Malicious Host#US##0.0,0.0#3
203.0.113.1#4#2#Malicious Host#US##0.0,0.0#3
```
## Explicación de los estados de las listas
Al añadir una lista de entidades o una lista de direcciones IP, GuardDuty muestra el estado de esa lista. La columna **Estado** indica si la lista está en vigor y si es necesario realizar acciones. En la lista siguiente se describen los valores de estado válidos:
+ **Activa**: indica que la lista se está utilizando actualmente para la detección personalizada de amenazas.
+ **Inactiva**: indica que la lista no está en uso actualmente. GuardDuty Para utilizar esta lista para detectar amenazas en su entorno, consulte el paso 3: Activar una lista de entidades o una lista de direcciones IP en[Añadir y activar una lista de entidades o una lista de IP](guardduty-lists-create-activate.md).
+ **Error**: indica que hay un problema con la lista. Pase el cursor sobre el estado para ver los detalles del error.
+ **Activación**: indica que GuardDuty se ha iniciado el proceso de activación de la lista. Puede seguir supervisando el estado de esta lista. Si no hay ningún error, el estado debería actualizarse a **Activa**. Mientras el estado siga siendo **Activación**, no podrá realizar ninguna acción de esta lista. El estado de la lista puede tardar unos minutos en pasar a **Activo**.
+ **Desactivar**: indica que se GuardDuty ha iniciado el proceso de desactivación de la lista. Puede seguir supervisando el estado de esta lista. Si no hay ningún error, el estado debería actualizarse a **Inactivo**. Mientras el estado siga siendo **Desactivación**, no podrá realizar ninguna acción de esta lista.
+ **Eliminación pendiente**: indica que la lista está en proceso de eliminarse. Mientras el estado siga siendo **Eliminar pendientes**, no podrá realizar ninguna acción de esta lista.
# Configuración de requisitos previos para las listas de entidades y las listas de direcciones IP
GuardDuty utiliza listas de entidades y listas de direcciones IP para personalizar la detección de amenazas en su AWS entorno. Las listas de entidades (recomendado) admiten direcciones IP y nombres de dominio, mientras que las listas de direcciones IP solo admiten direcciones IP. Antes de comenzar a crear estas listas, debe agregar los permisos necesarios para el tipo de lista que desea usar.
## Requisitos previos para las listas de entidades
Al añadir listas de entidades, GuardDuty lee las listas de confianza y de inteligencia sobre amenazas de los buckets de S3. El rol que utilice para crear las listas de entidades debe tener el permiso `s3:GetObject` para los buckets de S3 que contienen estas listas.
**nota**
En un entorno con varias cuentas, solo la cuenta de GuardDuty administrador puede administrar las listas, que se aplican automáticamente a las cuentas de los miembros.
Si aún no tiene el `s3:GetObject` permiso para la ubicación del bucket de S3, utilice la siguiente política de ejemplo y *amzn-s3-demo-bucket* sustitúyalo por su ubicación de bucket de S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
}
]
}
```
------
## Requisitos previos para las listas de direcciones IP
Varias identidades de IAM requieren permisos especiales para funcionar con listas de IP confiables y listas de amenazas. GuardDuty Una identidad con la política administrada [AmazonGuardDutyFullAccess\$1v2 (recomendado)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) adjunta solo puede cambiar de nombre y desactivar las listas de IP de confianza y las listas de amenazas cargadas.
Para conceder a diferentes identidades acceso completo para trabajar con listas de IP de confianza y listas de amenazas (además de cambiar de nombre y desactivar estas listas, esto incluye la adición, activación, eliminación y actualización de la ubicación o el nombre de las listas), asegúrese de que las siguientes acciones estén presentes en la política de permisos adjunta a un usuario, grupo o rol:
```
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
```
**importante**
Estas acciones no se incluyen en la política administrada `AmazonGuardDutyFullAccess`.
### Uso del cifrado SSE-KMS con listas de entidades y listas de IP
GuardDuty admite el cifrado SSE AES256 y SSE-KMS para sus listas. No se admite SSE-C. Para obtener más información sobre los tipos de cifrado para S3, consulte [Protección de los datos con el cifrado del servidor](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html).
Independientemente de si utiliza listas de entidades o listas de IP, si utiliza SSE-KMS, añada la siguiente declaración a su política. AWS KMS key *123456789012*Sustitúyala por tu propia ID de cuenta.
```
{
"Sid": "AllowGuardDutyServiceRole",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
},
"Action": "kms:Decrypt*",
"Resource": "*"
}
```
# Añadir y activar una lista de entidades o una lista de IP
Las listas de entidades y las listas de direcciones IP le ayudan a personalizar las capacidades de detección de amenazas en GuardDuty. Para obtener más información sobre estas listas, consulte [Comprender las listas de entidades y listas de direcciones IP](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets). Para gestionar los datos fiables y de inteligencia sobre amenazas de su AWS entorno, GuardDuty recomienda utilizar listas de entidades. Antes de comenzar, consulte [Configuración de requisitos previos para las listas de entidades y las listas de direcciones IP](guardduty-lists-prerequisites.md).
Elija uno de los siguientes métodos de acceso para agregar y activar una lista de entidades, una lista de entidades de amenazas, una lista de IP de confianza o una lista de IP de amenazas.
------
#### [ Console ]
**(Opcional) Paso 1: obtención de la URL de ubicación de la lista**
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En el panel de navegación, elija **Buckets**.
1. Elija el nombre del bucket de Amazon S3 que contiene la lista específica que desea agregar.
1. Elija el nombre del objeto (lista) para consultar sus detalles.
1. En la pestaña **Propiedades**, copie el **URI de S3** de este objeto.
**Paso 2: Añadir datos de inteligencia de amenazas o de confianza**
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Listas**.
1. En la página **Listas**, seleccione la pestaña **Listas de entidades** o **Listas de direcciones IP**.
1. En función de la pestaña seleccionada, elija agregar una lista de confianza o una lista de amenazas.
1. En el cuadro de diálogo para agregar una lista de confianza o una lista de amenazas, haga lo siguiente.
1. En **Nombre de la lista**, ingrese un nombre para la lista.
**Restricciones de nombre de la lista**: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (\$1).
En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una región Cuenta de AWS y.
1. En **Ubicación**, indique la ubicación en la que ha cargado la lista. Si aún no la tiene, consulte [Step 1: Fetching location URL of your list](#fetch-location-URL-list-manage).
Solo se aplica a conjuntos personalizados de amenazas y entidades de confianza personalizadas. Si proporciona una URL de ubicación que no coincide con los siguientes formatos admitidos, recibirá un mensaje de error durante la adición y activación de la lista.
**Formato de la URL de ubicación:**
+ https://s3.amazonaws.com/bucket.name/file.txt
+ https://s3-aws-region.amazonaws.com/bucket.name/file.txt
+ http://bucket.s3.amazonaws.com/file.txt
+ http://bucket.s3-aws-region.amazonaws.com/file.txt
+ s3://bucket.name/file.txt
1. (Opcional) Para el **propietario esperado del bucket**, puede introducir el Cuenta de AWS ID propietario del bucket de Amazon S3 especificado en el campo **Ubicación**.
Si no especificas un propietario de Cuenta de AWS ID, se GuardDuty comporta de forma diferente para las listas de entidades y las listas de direcciones IP. En el caso de las listas de entidades, GuardDuty validará que la cuenta del miembro actual sea propietaria del bucket de S3 especificado en el campo **Ubicación**. En el caso de las listas de direcciones IP, si no especificas un propietario de Cuenta de AWS ID, GuardDuty no realizará ninguna validación.
Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar la lista.
1. Active la casilla **I agree**.
1. Elija **Add list**. De forma predeterminada, el **estado** de la lista agregada es **Inactivo**. Para que la lista sea efectiva, debe activarla.
**Paso 3: Activar una lista de entidades o una lista de direcciones IP**
1. Abre la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Listas**.
1. En la página **Listas**, seleccione la pestaña en la que desee activar la lista: **Listas de entidades** o **Listas de direcciones IP**.
1. Seleccione una lista que desea activar. Esto habilitará el menú **Acción** y **Edición**.
1. Elija **Acción** y, a continuación, elija **Activar**.
------
#### [ API/CLI ]
**Para añadir y activar una lista de entidades de confianza**
1. Ejecute [CreateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateTrustedEntitySet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea crear esta lista de entidades de confianza. Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restricciones de nombre de la lista**: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (\$1).
1. También puede ejecutar el siguiente comando AWS Command Line Interface para hacerlo.
```
aws guardduty create-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Sustitúyelo por el identificador de la cuenta de miembro para la que va a crear la lista de entidades de confianza y por otros valores de marcador de posición que lo sean*shown in red*.
Si no desea activar esta lista recién creada, sustituya el parámetro `--activate` por. `--no-activate`
El parámetro `expected-bucket-owner` es opcional. Independientemente de que especifique o no el valor de este parámetro, GuardDuty valida que el Cuenta de AWS ID asociado a este `--detector-id` valor sea propietario del bucket de S3 especificado en el `--location` parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.
Solo se aplica a conjuntos personalizados de amenazas y entidades de confianza personalizadas. Si proporciona una URL de ubicación que no coincide con los siguientes formatos admitidos, recibirá un mensaje de error durante la adición y activación de la lista.
**Para añadir y activar listas de entidades de amenazas**
1. Ejecute [CreateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatEntitySet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea crear esta lista de entidades de amenazas. Para encontrar el `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restricciones de nombre de la lista**: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (\$1).
1. También puede ejecutar el siguiente comando AWS Command Line Interface para hacerlo.
```
aws guardduty create-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Sustitúyelo por el identificador de la cuenta de miembro para la que va a crear la lista de entidades de confianza y por otros valores de marcador de posición que lo sean*shown in red*.
Si no desea activar esta lista recién creada, sustituya el parámetro `--activate` por. `--no-activate`
El parámetro `expected-bucket-owner` es opcional. Independientemente de que especifique o no el valor de este parámetro, GuardDuty valida que el Cuenta de AWS ID asociado a este `--detector-id` valor sea propietario del bucket de S3 especificado en el `--location` parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.
Solo se aplica a conjuntos personalizados de amenazas y entidades de confianza personalizadas. Si proporciona una URL de ubicación que no coincide con los siguientes formatos admitidos, recibirá un mensaje de error durante la adición y activación de la lista.
**Creación y activación de una lista de direcciones IP de confianza**
1. Ejecuta [Create IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea crear esta lista de direcciones IP de confianza. Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una Cuenta de AWS región.
**Restricciones de nombre de la lista**: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (\$1).
1. Como alternativa, puede ejecutar el siguiente comando de la AWS Command Line Interface y asegurarse de sustituir `detector-id` por el ID de detector de la cuenta de miembro para la que actualizará la lista de direcciones IP de confianza.
```
aws guardduty create-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Sustitúyelo por el identificador de la cuenta de miembro para la que va a crear la lista de IP de confianza y por otros valores de marcador de posición que lo sean*shown in red*.
Si no desea activar esta lista recién creada, sustituya el parámetro `--activate` por. `--no-activate`
El parámetro `expected-bucket-owner` es opcional. Si no especificas el ID de cuenta propietario del bucket de S3, GuardDuty no realiza ninguna validación. Al especificar el ID de cuenta para el `expected-bucket-owner` parámetro, GuardDuty valida que este Cuenta de AWS ID sea propietario del bucket de S3 especificado en el `--location` parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.
**Para añadir y activar listas de IP de amenazas**
1. Ejecute [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Asegúrese de proporcionar el valor de `detectorId` de la cuenta de miembro para la que desea crear esta lista de direcciones IP de amenazas. Para encontrar el `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restricciones de nombre de la lista**: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (\$1).
En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una Cuenta de AWS región.
1. Como alternativa, puede ejecutar el siguiente comando de la AWS Command Line Interface y asegurarse de sustituir `detector-id` por el ID de detector de la cuenta de miembro para la que actualizará la lista de IP de amenazas.
```
aws guardduty create-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--format TXT \
--location "https://s3.amazonaws.com/amzn-s3-demo-bucket/DOC-EXAMPLE-SOURCE-FILE.format" \
--activate
```
`detector-id`Sustitúyelo por el identificador de la cuenta de miembro para la que va a crear la lista de direcciones IP amenazantes y otros valores de marcador de posición que lo sean*shown in red*.
Si no desea activar esta lista recién creada, sustituya el parámetro `--activate` por. `--no-activate`
El parámetro `expected-bucket-owner` es opcional. Si no especificas el ID de cuenta propietario del bucket de S3, GuardDuty no realiza ninguna validación. Al especificar el ID de cuenta para el `expected-bucket-owner` parámetro, GuardDuty valida que este Cuenta de AWS ID sea propietario del bucket de S3 especificado en el `--location` parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.
------
Después de activar una lista de entidades o de direcciones IP, es posible que la lista tarde unos minutos en surtir efecto. Para obtener más información, consulte [Consideraciones importantes para GuardDuty las listas](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
# Actualización de una lista de entidades o una lista de direcciones IP
Las listas de entidades y las listas de direcciones IP le ayudan a personalizar las capacidades de detección de amenazas en GuardDuty. Para obtener más información sobre estas listas, consulte [Comprender las listas de entidades y listas de direcciones IP](guardduty_upload-lists.md#guardduty-threat-intel-list-entity-sets).
Puede actualizar el nombre de una lista, la ubicación del bucket en S3, el identificador de cuenta del propietario previsto del bucket y las entradas de una lista existente. Si actualiza las entradas de una lista, debe seguir los pasos para GuardDuty volver a activar la lista y utilizar la última versión de la lista. Es posible que, después de actualizar o activar una lista de entidades o de direcciones IP, se necesiten unos minutos para que se encuentre efectiva. Para obtener más información, consulte [Consideraciones importantes para GuardDuty las listas](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
**nota**
Si el estado de una lista es **Activación**, **Desactivación** o **Eliminación de datos pendientes**, debe esperar unos minutos antes de realizar cualquier acción. Para obtener información sobre estos estados, consulte [Explicación de los estados de las listas](guardduty_upload-lists.md#guardduty-entity-list-statuses).
Elija uno de los métodos de acceso de la para actualizar una lista de entidades o de direcciones IP.
------
#### [ Console ]
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Listas**.
1. En la página **Listas**, seleccione la pestaña correspondiente: **Listas de entidades** o **Listas de direcciones IP**.
1. Seleccione una lista (de confianza o de amenazas) que desee actualizar. Esto habilitará el menú **Acción** y **Edición**.
1. Elija **Edit (Edición de)**.
1. En el cuadro de diálogo para actualizar la lista, especifique los detalles que desee actualizar.
**Restricciones de nombre de la lista**: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (\$1).
En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una región Cuenta de AWS y.
Solo se aplica a conjuntos personalizados de amenazas y entidades de confianza personalizadas. Si proporciona una URL de ubicación que no coincide con los siguientes formatos admitidos, recibirá un mensaje de error durante la adición y activación de la lista.
1. (Opcional) Para el **propietario esperado del bucket**, puede introducir el Cuenta de AWS ID propietario del bucket de Amazon S3 especificado en el campo **Ubicación**.
Si no especificas un propietario de Cuenta de AWS ID, se GuardDuty comporta de forma diferente para las listas de entidades y las listas de direcciones IP. En el caso de las listas de entidades, GuardDuty validará que la cuenta del miembro actual sea propietaria del bucket de S3 especificado en el campo **Ubicación**. En el caso de las listas de direcciones IP, si no especificas un propietario de Cuenta de AWS ID, GuardDuty no realizará ninguna validación.
Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar la lista.
1. Seleccione la casilla **Estoy de acuerdo** y, a continuación, elija **Actualizar lista**.
------
#### [ API/CLI ]
Para empezar con los siguientes procedimientos, necesitará el identificador, como `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet` o `threatIpSet`, que esté asociado al recurso de lista que desee actualizar.
**Para actualizar y activar una lista de entidades de confianza**
1. Ejecute [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea crear esta lista de entidad de confianza. Para encontrar el `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restricciones de nombre de la lista**: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (\$1).
1. Como alternativa, puede ejecutar el siguiente comando AWS Command Line Interface que actualizará el `name` de la lista de la y también la activará:
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Sustitúyelo por el identificador de la cuenta de miembro para la que va a crear la lista de entidades de confianza y por otros valores de marcador de posición que lo sean*shown in red*.
Si no desea activar esta lista recién creada, sustituya el parámetro `--activate` por. `--no-activate`
El parámetro `expected-bucket-owner` es opcional. Independientemente de que especifique o no el valor de este parámetro, GuardDuty valida que el Cuenta de AWS ID asociado a este `--detector-id` valor sea propietario del bucket de S3 especificado en el `--location` parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.
Solo se aplica a conjuntos personalizados de amenazas y entidades de confianza personalizadas. Si proporciona una URL de ubicación que no coincide con los siguientes formatos admitidos, recibirá un mensaje de error durante la adición y activación de la lista.
**Para actualizar y activar una lista de entidades de amenazas**
1. Ejecute [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea crear esta lista de entidades de amenazas. Para encontrar el `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restricciones de nombre de la lista**: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (\$1).
1. Como alternativa, puede ejecutar el siguiente comando AWS Command Line Interface que actualizará el `name` de la lista de la y también la activará:
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Sustitúyalo por el ID de detector de la cuenta de miembro para la que crearás la lista de entidades amenazantes y otros valores de marcador de posición que lo sean*shown in red*.
Si no desea activar esta lista recién creada, sustituya el parámetro `--activate` por. `--no-activate`
El parámetro `expected-bucket-owner` es opcional. Si especifica o no el valor de este parámetro, GuardDuty valida que el Cuenta de AWS ID asociado a este `--detector-id` valor sea propietario del bucket de S3 especificado en el `--location` parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.
Solo se aplica a conjuntos personalizados de amenazas y entidades de confianza personalizadas. Si proporciona una URL de ubicación que no coincide con los siguientes formatos admitidos, recibirá un mensaje de error durante la adición y activación de la lista.
**Para actualizar y activar una lista de direcciones IP de confianza**
1. Ejecuta [Create IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateIPSet.html). Asegúrese de proporcionar el valor de `detectorId` de la cuenta de miembro para la que desea crear esta lista de direcciones IP de confianza. Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restricciones de nombre de la lista**: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (\$1).
En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una Cuenta de AWS región.
1. También puede ejecutar el siguiente comando AWS Command Line Interface que también activa la lista.
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--ip-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Sustitúyelo por el identificador de la cuenta de miembro para la que vaya a actualizar la lista de IP de confianza y por otros valores de marcador de posición que lo sean*shown in red*.
Si no desea activar esta lista recién creada, sustituya el parámetro `--activate` por. `--no-activate`
El parámetro `expected-bucket-owner` es opcional. Si no especificas el ID de cuenta propietario del bucket de S3, GuardDuty no realiza ninguna validación. Al especificar el ID de cuenta para el `expected-bucket-owner` parámetro, GuardDuty valida que este Cuenta de AWS ID sea propietario del bucket de S3 especificado en el `--location` parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.
**Para añadir y activar listas de IP de amenazas**
1. Ejecute [CreateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateThreatIntelSet.html). Asegúrese de proporcionar el valor de `detectorId` de la cuenta de miembro para la que desea crear esta lista de direcciones IP de amenazas. Para encontrar el `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**Restricciones de nombre de la lista**: el nombre de la lista puede incluir letras minúsculas, mayúsculas, números, guión (-) y guión bajo (\$1).
En el caso de una lista de direcciones IP, el nombre de la lista debe ser único dentro de una Cuenta de AWS región.
1. También puede ejecutar el siguiente comando AWS Command Line Interface que también activa la lista.
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--name "AnyOrganization ListEXAMPLE" \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--activate
```
`detector-id`Sustitúyelo por el identificador de la cuenta de miembro para la que vaya a actualizar la lista de direcciones IP peligrosas y por otros valores de marcador de posición que lo sean*shown in red*.
Si no desea activar esta lista recién creada, sustituya el parámetro `--activate` por. `--no-activate`
El parámetro `expected-bucket-owner` es opcional. Si no especificas el ID de cuenta propietario del bucket de S3, GuardDuty no realiza ninguna validación. Al especificar el ID de cuenta para el `expected-bucket-owner` parámetro, GuardDuty valida que este Cuenta de AWS ID sea propietario del bucket de S3 especificado en el `--location` parámetro. Si GuardDuty descubre que este bucket de S3 no pertenece al ID de cuenta especificado, aparecerá un mensaje de error al activar esta lista.
------
# Desactivar la lista de entidades o la lista de direcciones IP
Cuando ya no quieras GuardDuty usar una lista, puedes desactivarla. El proceso puede tardar unos minutos en completarse. Para obtener más información, consulte [Consideraciones importantes para GuardDuty las listas](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations). Una vez desactivada la lista, las entradas de la lista de entidades o de la lista de direcciones IP no afectarán a la detección de amenazas en ella. GuardDuty
Elija uno de los métodos de acceso para desactivar la lista.
------
#### [ Console ]
**Para desactivar la lista de entidades o la lista de direcciones IP**
1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. En el panel de navegación, elija **Listas**.
1. En la página **Lista**, seleccione la pestaña en la que desee desactivar la lista: **Listas de entidades** o **Lista de direcciones IP**.
1. En la pestaña seleccionada, elija la lista que desee desactivar.
1. Elija **Acciones** y, a continuación, elija **Desactivar**.
1. Confirme la acción y elija **Desactivar**.
------
#### [ API/CLI ]
Para empezar con los siguientes procedimientos, necesitará el identificador, por ejemplo, `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet` o `threatIpSet`, que esté asociado al recurso de la lista que desee desactivar.
**Para desactivar una lista de entidades de confianza**
1. Ejecute [UpdateTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateTrustedEntitySet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea crear esta lista de entidades de confianza. Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. También puede ejecutar el siguiente comando AWS Command Line Interface para hacerlo.
```
aws guardduty update-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`Sustitúyelo por el identificador de la cuenta de miembro para la que va a desactivar la lista de entidades de confianza y otros valores de marcador de posición que lo sean. *shown in red*
**Para desactivar las listas de entidades de amenazas**
1. Ejecute [UpdateThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatEntitySet.html). Asegúrese de proporcionar el valor de `detectorId` de la cuenta de miembro para la que desea desactivar esta lista de entidades de amenazas. Para encontrar el correspondiente `detectorId` a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. También puede ejecutar el siguiente comando AWS Command Line Interface para hacerlo.
```
aws guardduty update-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
`detector-id`Sustitúyalo por el ID de detector de la cuenta de miembro para la que crearás la lista de entidades amenazantes y otros valores de marcador de posición que lo sean*shown in red*.
**Para desactivar una lista de direcciones IP de confianza**
1. Ejecute la [actualización IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateIPSet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea crear esta lista de direcciones IP de confianza. Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Como alternativa, puede ejecutar el siguiente comando de la AWS Command Line Interface y asegurarse de sustituir `detector-id` por el ID de detector de la cuenta de miembro para la que actualizará la lista de direcciones IP de confianza.
```
aws guardduty update-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
**Para desactivar la lista de IP de amenazas**
1. Ejecute [UpdateThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateThreatIntelSet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea desactivar esta lista de direcciones IP de amenazas. Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Como alternativa, puede ejecutar el siguiente comando de la AWS Command Line Interface y asegurarse de sustituir `detector-id` por el ID de detector de la cuenta de miembro para la que desactivará la lista de IP de amenazas.
```
aws guardduty update-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example \
--no-activate
```
------
# Eliminar la lista de entidades o la lista de direcciones IP
Cuando ya no desee mantener una entrada de la lista en su conjunto de entidades o de direcciones IP, puede eliminarla. El proceso puede tardar unos minutos en completarse. Para obtener más información, consulte [Consideraciones importantes para GuardDuty las listas](guardduty_upload-lists.md#guardduty-lists-entity-sets-considerations).
Si el estado de la lista es **Activación** o **Desactivación**, debe esperar unos minutos antes de realizar cualquier acción. Para obtener más información, consulte [Explicación de los estados de las listas](guardduty_upload-lists.md#guardduty-entity-list-statuses).
Elija uno de los métodos de acceso para eliminar la lista.
------
#### [ Console ]
**Para eliminar la lista de entidades o la lista de direcciones IP**
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, elija **Listas**.
1. En la página **Lista**, seleccione la pestaña en la que desee eliminar la lista: **Listas de entidades** o **Lista de direcciones IP**.
1. En la pestaña seleccionada, elija la lista que desee eliminar.
1. Elija **Acciones** y, a continuación, elija **Eliminar**.
El estado de la lista cambiará a **Eliminar pendiente**. Es posible que se tarde unos minutos en eliminar la lista.
------
#### [ API/CLI ]
Para empezar con los siguientes procedimientos, necesitará el identificador, por ejemplo, `trustedEntitySetId`, `threatEntitySetId`, `trustedIpSet` o `threatIpSet`, que esté asociado al recurso de la lista que desee eliminar.
**Para eliminar una lista de entidades de confianza**
1. Ejecute [DeleteTrustedEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteTrustedEntitySet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea eliminar esta lista de entidades de confianza. Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. También puede ejecutar el siguiente comando AWS Command Line Interface para hacerlo.
```
aws guardduty delete-trusted-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--trusted-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Sustitúyalo por el identificador de la cuenta de miembro de la que vas a eliminar la lista de entidades de confianza y otros valores de marcador de posición que lo sean*shown in red*.
**Para desactivar las listas de entidades de amenazas**
1. Ejecute [DeleteThreatEntitySet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatEntitySet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea eliminar esta lista de entidades de amenazas. Para encontrar el `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. También puede ejecutar el siguiente comando AWS Command Line Interface para hacerlo.
```
aws guardduty delete-threat-entity-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-entity-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Sustitúyalo por el ID de detección de la cuenta del miembro cuya lista de entidades amenazantes vaya a eliminar, junto con otros marcadores de posición. *shown in red*
**Para eliminar una lista de direcciones IP de confianza**
1. Ejecute [Eliminar IPSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteIPSet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea crear esta lista de direcciones IP de confianza. Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Como alternativa, puede ejecutar el siguiente comando de la AWS Command Line Interface y asegurarse de sustituir el `detector-id` por el ID de detector de la cuenta de miembro para la que actualizará la lista de direcciones IP de confianza.
```
aws guardduty delete-ip-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--ip-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Sustitúyalo por el ID de detección de la cuenta del miembro cuya lista de entidades amenazantes vaya a eliminar, junto con otros marcadores de posición. *shown in red*
**Para eliminar la lista de IP de amenazas**
1. Ejecute [DeleteThreatIntelSet](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteThreatIntelSet.html). Asegúrese de proporcionar el `detectorId` de la cuenta de miembro para la que desea crear esta lista de direcciones IP de amenazas. Para encontrar el `detectorId` correspondiente a su cuenta y región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Como alternativa, puede ejecutar el siguiente comando de la AWS Command Line Interface y asegurarse de sustituir `detector-id` por el ID de detector de la cuenta de miembro para la que eliminará la lista de IP de amenazas.
```
aws guardduty delete-threat-intel-set \
--detector-id 12abc34d567e8fa901bc2d34e56789f0 \
--threat-intel-set-id d4b94fc952d6912b8f3060768example
```
`detector-id`Sustitúyalo por el ID de detección de la cuenta del miembro cuya lista de entidades amenazantes vaya a eliminar, junto con otros marcadores de posición. *shown in red*
------
# Exportación de GuardDuty los hallazgos generados a buckets de Amazon S3
GuardDuty conserva los hallazgos generados durante un período de 90 días. GuardDuty exporta los resultados activos a Amazon EventBridge (EventBridge). Opcionalmente, puede exportar los resultados generados a un bucket de Amazon Simple Storage Service (Amazon S3). Esto ayudará a realizar un seguimiento de los datos históricos de actividades potencialmente sospechosas en la cuenta y a evaluar si las medidas de corrección recomendadas han tenido éxito.
Todos los nuevos hallazgos activos que se GuardDuty generen se exportan automáticamente unos 5 minutos después de generarse el hallazgo. Puede establecer la frecuencia con la que se exportan las actualizaciones de los hallazgos activos EventBridge. La frecuencia que seleccione se aplica a la exportación de nuevas apariciones de hallazgos existentes a EventBridge su bucket de S3 (cuando está configurado) y a Detective (cuando está integrado). Para obtener información sobre cómo GuardDuty se agregan varias apariciones de hallazgos existentes, consulte[GuardDuty encontrar agregación](finding-aggregation.md).
Cuando configura los ajustes para exportar los hallazgos a un bucket de Amazon S3, GuardDuty utiliza AWS Key Management Service (AWS KMS) para cifrar los datos de los hallazgos en su bucket de S3. Esto requiere que añada permisos a su bucket de S3 y a la AWS KMS clave para GuardDuty poder utilizarlos para exportar los resultados a su cuenta.
**Topics**
+ [Consideraciones](#guardduty-export-findings-considerations)
+ [Paso 1: Permisos necesarios para la exportación de resultados](#guardduty_exportfindings-permissions)
+ [Paso 2: Asociar la política a la clave de KMS](#guardduty-exporting-findings-kms-policy)
+ [Paso 3: Asociar la política al bucket de Amazon S3](#guardduty_exportfindings-s3-policies)
+ [Paso 4: Exportar resultados a un bucket de S3 (consola)](#guardduty_exportfindings-new-bucket)
+ [Paso 5: Establecer la frecuencia de exportación de los resultados activos actualizados](#guardduty_exportfindings-frequency)
## Consideraciones
Antes de seguir con los requisitos previos y los pasos para exportar los resultados, considere los siguientes conceptos clave:
+ La **configuración de exportación es regional**: debe configurar las opciones de exportación en cada región en la que las utilice GuardDuty.
+ **Exportación de los resultados a buckets de Amazon S3 en diferentes regiones Regiones de AWS (entre regiones)**: GuardDuty admite la siguiente configuración de exportación:
+ El bucket u objeto de Amazon S3 y la AWS KMS clave deben pertenecer al mismo sitio Región de AWS.
+ En el caso de los resultados generados en una región comercial, puede optar por exportar esos resultados a un bucket de S3 en cualquier región comercial. Sin embargo, no puede exportar estos resultados a un bucket de S3 en una región de inscripción.
+ En el caso de los resultados generados en una región de inscripción, puede optar por exportarlos a la misma región de inscripción en la que se generaron o a cualquier región comercial. Sin embargo, no puede exportar los resultados de una región de inscripción a otra región de inscripción.
+ **Permisos para exportar los hallazgos**: para configurar los ajustes de exportación de los hallazgos activos, su bucket de S3 debe tener permisos que le GuardDuty permitan cargar objetos. También debe tener una AWS KMS clave que GuardDuty pueda utilizar para cifrar los hallazgos.
+ **Los resultados archivados no se exportan**: el comportamiento predeterminado es que no se exportan los resultados archivados, incluidas las nuevas instancias de resultados suprimidos.
Cuando un GuardDuty hallazgo se genere como *archivado*, tendrás que *desarchivarlo*. **Esto cambia el **estado de búsqueda del filtro a Activo**.** GuardDuty exporta las actualizaciones de los hallazgos no archivados existentes en función de la configuración. [Paso 5: Frecuencia de exportación de los resultados](#guardduty_exportfindings-frequency)
+ GuardDuty la **cuenta de administrador puede exportar las conclusiones generadas en las cuentas de los miembros asociadas**: al configurar la exportación en una cuenta de administrador, todas las conclusiones de las cuentas de los miembros asociadas que se generan en la misma región también se exportan a la misma ubicación que configuró para la cuenta de administrador. Para obtener más información, consulte [Comprender la relación entre la cuenta de GuardDuty administrador y las cuentas de los miembros](administrator_member_relationships.md).
## Paso 1: Permisos necesarios para la exportación de resultados
Al configurar los ajustes para la exportación de los resultados, selecciona un depósito de Amazon S3 en el que puede almacenar los hallazgos y una AWS KMS clave para usarla para el cifrado de datos. Además de los permisos para GuardDuty las acciones, también debe tener permisos para las siguientes acciones a fin de configurar correctamente los ajustes de exportación de los hallazgos:
+ `s3:GetBucketLocation`
+ `s3:PutObject`
Si necesita exportar los resultados a un prefijo específico de su bucket de Amazon S3, también debe añadir los siguientes permisos al rol de IAM:
+ `s3:GetObject`
+ `s3:ListBucket`
## Paso 2: Asociar la política a la clave de KMS
GuardDuty cifra los datos de los hallazgos de su depósito mediante AWS Key Management Service. Para configurar correctamente los ajustes, primero debe dar GuardDuty permiso para usar una clave KMS. Para conceder los permisos, [adjunte la política](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) a su clave de KMS.
Cuando usas una clave KMS de otra cuenta, debes aplicar la política de claves iniciando sesión en el Cuenta de AWS propietario de la clave. Al configurar los ajustes para exportar los resultados, también necesitará el ARN de la clave de la cuenta a la que pertenece la clave.
**Para modificar la política de claves de KMS GuardDuty para cifrar los hallazgos exportados**
1. Abra la AWS KMS consola en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. Seleccione una clave de KMS existente o siga los pasos para [Crear una nueva clave](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la *Guía para desarrolladores de AWS Key Management Service *, que utilizará para cifrar los resultados exportados.
**nota**
La clave Región de AWS de KMS y el bucket de Amazon S3 deben ser iguales.
Puede utilizar el mismo bucket de S3 y el mismo par de claves de KMS para exportar los resultados de cualquier región aplicable. Para obtener más información, consulte [Consideraciones](#guardduty-export-findings-considerations) para exportar los resultados entre regiones.
1. En la sección **Key policy** (Política de claves), elija **Edit** (Editar).
Si aparece **Cambiar a vista de política**, elíjala para mostrar la **Política de claves** y, a continuación, elija **Editar**.
1. Copia el siguiente bloque de políticas a tu política de claves de KMS para conceder GuardDuty permiso para usar tu clave.
```
{
"Sid": "AllowGuardDutyKey",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "KMS key ARN",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:Region2:123456789012:detector/SourceDetectorID"
}
}
}
```
1. Edite la política sustituyendo los siguientes valores que están formateados **red**en el ejemplo de política:
1. *KMS key ARN*Sustitúyala por el nombre de recurso de Amazon (ARN) de la clave KMS. Para localizar el ARN de la clave, consulte [Encontrar el ID y el ARN de la clave](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) en la *Guía para desarrolladores de AWS Key Management Service *.
1. *123456789012*Sustitúyalo por el Cuenta de AWS ID propietario de la GuardDuty cuenta que exporta los resultados.
1. *Region2*Sustitúyalo por el Región de AWS lugar donde se generan los GuardDuty hallazgos.
1. *SourceDetectorID*Sustitúyalo por el `detectorID` de la GuardDuty cuenta de la región específica en la que se generaron los hallazgos.
Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
**nota**
Si la utilizas GuardDuty en una región con suscripción voluntaria, sustituye el valor del «Servicio» por el punto final regional de esa región. Por ejemplo, si utilizas GuardDuty la región de Oriente Medio (Baréin) (me-south-1), sustitúyala por. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` [Para obtener información sobre los puntos de conexión de cada región que se haya suscrito, consulta GuardDuty los puntos de conexión y las cuotas.](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)
1. Si ha agregado la instrucción de política antes de la instrucción final, agregue una coma antes de agregar esta instrucción. Asegúrese de que la sintaxis JSON de la política de la clave de KMS es válida.
Seleccione **Save**.
1. (Opcional) copie la clave de ARN en un bloc de notas para utilizarla en los pasos posteriores.
## Paso 3: Asociar la política al bucket de Amazon S3
Añada permisos al depósito de Amazon S3 al que exportará los resultados para GuardDuty poder cargar objetos en este depósito de S3. Independientemente de si utiliza un bucket de Amazon S3 que pertenezca a su cuenta o a una diferente Cuenta de AWS, debe añadir estos permisos.
Si en algún momento decide exportar los resultados a un bucket de S3 diferente, para continuar con la exportación de resultados deberá agregar permisos a ese bucket de S3 y volver a configurar los ajustes de exportación de resultados.
Si aún no dispone de un bucket de Amazon S3 al que desee exportar estos resultados, consulte [Crear un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) en la *Guía del usuario de Amazon S3*.
### Para asociar permisos a la política del bucket de S3
1. Siga los pasos descritos en [Para crear o editar una política de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) en la *Guía del usuario de Amazon S3*, hasta que aparezca la página **Editar política de bucket**.
1. La **política de ejemplo** muestra cómo conceder GuardDuty permisos para exportar los resultados a su bucket de Amazon S3. Si cambia la ruta después de configurar la exportación de resultados, deberá modificar la política para conceder permiso a la nueva ubicación.
Copie la siguiente **política de ejemplo** y péguela en el **Editor de políticas de bucket**.
Si ha agregado la instrucción de política antes de la instrucción final, agregue una coma antes de agregar esta instrucción. Asegúrese de que la sintaxis JSON de la política de la clave de KMS es válida.
**Política de ejemplo de bucket de S3**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow GetBucketLocation",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:GetBucketLocation",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Allow PutObject",
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012",
"aws:SourceArn": "arn:aws:guardduty:us-east-2:123456789012:detector/SourceDetectorID"
}
}
},
{
"Sid": "Deny unencrypted object uploads",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "Deny incorrect encryption header",
"Effect": "Deny",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-2:111122223333:key/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
}
},
{
"Sid": "Deny non-HTTPS access",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket[optional prefix]/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
1. Edite la política sustituyendo los siguientes valores que están formateados **red**en el ejemplo de política:
1. *Amazon S3 bucket ARN*Sustitúyalo por el nombre de recurso de Amazon (ARN) del bucket de Amazon S3. Puedes encontrar el ARN del **bucket** en la página de **edición de la política del bucket de** la [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)consola.
1. *123456789012*Sustitúyalo por el Cuenta de AWS ID propietario de la GuardDuty cuenta que exporta los resultados.
1. *us-east-2*Sustitúyalo por el Región de AWS lugar donde se generan los GuardDuty hallazgos.
1. *SourceDetectorID*Sustitúyalo por el `detectorID` de la GuardDuty cuenta de la región específica en la que se generaron los hallazgos.
Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
1. Sustituya *[optional prefix]* parte del valor del *S3 bucket ARN/[optional prefix]* marcador de posición por una ubicación de carpeta opcional a la que desee exportar los resultados. Para obtener más información sobre el uso de prefijos, consulte [Organizar objetos mediante prefijos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) en la *Guía del usuario de Amazon S3*.
Si proporciona una ubicación de carpeta opcional que aún no existe, la GuardDuty creará solo si la cuenta asociada al depósito de S3 es la misma que la cuenta que exporta los resultados. Al exportar resultados a un bucket de S3 que pertenece a otra cuenta, la ubicación de la carpeta ya debe existir.
1. *KMS key ARN*Sustitúyala por el nombre de recurso de Amazon (ARN) de la clave de KMS asociada al cifrado de los hallazgos exportados al bucket de S3. Para localizar el ARN de la clave, consulte [Encontrar el ID y el ARN de la clave](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) en la *Guía para desarrolladores de AWS Key Management Service *.
**nota**
Si la utiliza GuardDuty en una región con suscripción voluntaria, sustituya el valor del «Servicio» por el punto final regional de esa región. Por ejemplo, si utilizas GuardDuty la región de Oriente Medio (Baréin) (me-south-1), sustitúyala por. `"Service": "guardduty.amazonaws.com"` `"Service": "guardduty.me-south-1.amazonaws.com"` [Para obtener información sobre los puntos de conexión de cada región que se haya suscrito, consulta GuardDuty los puntos de conexión y las cuotas.](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)
1. Seleccione **Save**.
## Paso 4: Exportar resultados a un bucket de S3 (consola)
GuardDuty permite exportar los resultados a un depósito existente en otro. Cuenta de AWS
Al elegir un bucket nuevo o existente en su cuenta, puede agregar un prefijo. Al configurar las conclusiones de exportación, GuardDuty crea una nueva carpeta en el depósito de S3 para guardar las conclusiones. El prefijo se añadirá a la estructura de carpetas predeterminada que se GuardDuty creó. Por ejemplo, el formato del prefijo opcional `/AWSLogs/123456789012/GuardDuty/Region`.
La ruta completa del objeto de S3 será `amzn-s3-demo-bucket/prefix-name/UUID.jsonl.gz`. El `UUID` se genera aleatoriamente y no representa el ID del detector ni el ID del resultado.
**importante**
La clave de KMS y el bucket de S3 deben estar en la misma región.
Antes de completar estos pasos, asegúrese de que ha asociado las políticas respectivas a la clave de KMS y al bucket de S3 existente.
**Configuración de la opción de exportación de resultados**
1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. En el panel de navegación, seleccione **Configuración**.
1. En la página **Configuración**, bajo **Opciones de exportación de resultados**, en **Bucket de S3**, elija **Configurar ahora** (o **Editar**, según sea necesario).
1. En **ARN del bucket de S3**, ingrese el ****bucket ARN****. Para encontrar el ARN del bucket, consulte [Ver las propiedades de un bucket de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html) en la *Guía del usuario de Amazon S3*.
1. En **ARN de la clave de KMS**, ingrese el ****key ARN****. Para localizar el ARN de la clave, consulte [Encontrar el ID y el ARN de la clave](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html) en la *Guía para desarrolladores de AWS Key Management Service *.
1.
**Asociar políticas**
+ Siga los pasos para asociar la política del bucket de S3. Para obtener más información, consulte [Paso 3: Asociar la política al bucket de Amazon S3](#guardduty_exportfindings-s3-policies).
+ Siga los pasos para asociar la política de clave de KMS. Para obtener más información, consulte [Paso 2: Asociar la política a la clave de KMS](#guardduty-exporting-findings-kms-policy).
1. Seleccione **Save**.
## Paso 5: Establecer la frecuencia de exportación de los resultados activos actualizados
Configure la frecuencia para exportar los resultados activos actualizados según convenga al entorno. De forma predeterminada, los resultados actualizados se exportan cada 6 horas. Esto significa que cualquier dato que se actualice después de la exportación más reciente se incluirá en la siguiente exportación. Si los hallazgos actualizados se exportan cada 6 horas y la exportación se produce a las 12:00, cualquier hallazgo que actualice después de las 12:00 se exportará a las 18:00.
**Establecimiento de la frecuencia**
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Seleccione **Configuración**.
1. En la sección **Opciones de exportación de resultados**, seleccione **Frecuencia de los resultados actualizados**. Esto establece la frecuencia de exportación de los hallazgos activos actualizados tanto EventBridge a Amazon S3 como a Amazon S3. Puede elegir entre las siguientes opciones:
+ **Actualice EventBridge y S3 cada 15 minutos**
+ **Actualice EventBridge y S3 cada 1 hora**
+ **Actualice EventBridge y S3 cada 6 horas (predeterminado)**
1. Seleccione **Save changes (Guardar cambios)**.
# Procesando GuardDuty las conclusiones con Amazon EventBridge
GuardDuty publica (envía) automáticamente los resultados como eventos a Amazon EventBridge (anteriormente Amazon CloudWatch Events), un servicio de bus de eventos sin servidor. EventBridge ofrece un flujo de datos prácticamente en tiempo real desde aplicaciones y servicios a destinos como temas AWS Lambda , funciones y transmisiones de Amazon Kinesis del Amazon Simple Notification Service (Amazon SNS). Para obtener más información, consulta la [Guía EventBridge del usuario de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html).
EventBridge permite la supervisión y el procesamiento automatizados de GuardDuty los hallazgos mediante la recepción de [eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/aws-events.html). EventBridge recibe eventos tanto para los hallazgos recién generados como para los hallazgos agregados, donde las apariciones posteriores de un hallazgo existente se combinan con el original. A cada GuardDuty hallazgo se le asigna un identificador de hallazgo y GuardDuty crea un EventBridge evento para cada hallazgo con un identificador de hallazgo único. Para obtener información sobre cómo funciona la agregación GuardDuty, consulte[GuardDuty encontrar agregación](finding-aggregation.md).
Además de la supervisión y el procesamiento automatizados, el uso de EventBridge permite conservar los datos de sus hallazgos a más largo plazo. GuardDuty almacena los resultados durante 90 días. Con EventBridge él, puede enviar los datos de los hallazgos a su plataforma de almacenamiento preferida y almacenar los datos durante el tiempo que desee. Para conservar los hallazgos durante más tiempo, GuardDuty apoya[Exportar los resultados generados a Amazon S3](guardduty_exportfindings.md).
**Topics**
+ [EventBridge frecuencia de notificación en GuardDuty](#eventbridge-freq-notifications-gdu)
+ [Configuración de un punto de conexión y un tema de Amazon SNS](#guardduty-eventbridge-set-up-sns-and-endpoint)
+ [Utilizándolo EventBridge con GuardDuty](#eventbridge_events)
+ [Creación de una regla de EventBridge](#guardduty_eventbridge_severity_notification)
+ [EventBridge regla para entornos con varias cuentas](#guardduty_findings_eventbridge_multiaccount)
## Comprender la frecuencia EventBridge de las notificaciones en GuardDuty
En esta sección se explica la frecuencia con la que se reciben notificaciones de búsqueda EventBridge y cómo se actualiza la frecuencia para que se produzcan búsquedas posteriores.
**Notificaciones de resultados recién generados con un identificador de resultado único**
GuardDuty envía estas notificaciones prácticamente en tiempo real cuando genera un hallazgo con un identificador de hallazgo único. La notificación incluye todas las apariciones posteriores de este identificador de resultados durante el proceso de generación de la notificación.
La frecuencia de notificación de los resultados recién generados es casi en tiempo real. De forma predeterminada, no se puede modificar esta frecuencia.
**Notificaciones de casos de resultados subsiguientes**
GuardDuty agrupa todas las incidencias posteriores de un tipo de hallazgo concreto que se produzcan en intervalos de 6 horas en un único evento. Solo una cuenta de administrador puede actualizar la frecuencia de EventBridge notificaciones para que se produzcan búsquedas posteriores. Una cuenta de miembro no puede actualizar esta frecuencia para su propia cuenta. Por ejemplo, si la cuenta de GuardDuty administrador delegado actualiza la frecuencia a una hora, todas las cuentas de los miembros también tendrán una frecuencia de notificación de una hora sobre las siguientes búsquedas que EventBridge se envíen. Para obtener más información, consulte [Varias cuentas en Amazon GuardDuty](guardduty_accounts.md).
Como cuenta de administrador, puede personalizar la frecuencia predeterminada de las notificaciones sobre las incidencias de resultados posteriores. Los valores posibles son 15 minutos, una hora o seis horas, que es el valor predeterminado. Para obtener información acerca de la configuración de la frecuencia de estas notificaciones, consulte [Paso 5: Establecer la frecuencia de exportación de los resultados activos actualizados](guardduty_exportfindings.md#guardduty_exportfindings-frequency).
Para obtener más información sobre cómo las cuentas de administrador reciben EventBridge notificaciones para las cuentas de los miembros, consulte[EventBridge regla para entornos con varias cuentas](#guardduty_findings_eventbridge_multiaccount).
## Configuración de un tema y un punto de conexión de Amazon SNS (correo electrónico, Slack y Amazon Chime)
Amazon Simple Notification Service (Amazon SNS) es un servicio totalmente administrado que proporciona la entrega de mensajes de los publicadores a los suscriptores. Los publicadores se comunican de forma asíncrona con los suscriptores mediante el envío mensajes a un *tema*. Un tema es un punto de acceso lógico y un canal de comunicación que le permite agrupar varios puntos de enlace AWS Lambda, como Amazon Simple Queue Service (Amazon SQS), HTTP/S y una dirección de correo electrónico.
**nota**
Puedes añadir un tema de Amazon SNS a la regla de EventBridge eventos que prefieras durante o después de la creación de la regla.
**Crear un tema de Amazon SNS**
Para empezar, antes se debe configurar un tema en Amazon SNS y agregar un punto de conexión. Para crear un tema, siga los pasos indicados en [Paso 1: Crear un tema](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*. Después de crear el tema, copie el ARN del tema en el portapeles. Utilizará este ARN del tema para continuar con una de las configuraciones preferidas.
Elija el método que prefiera para establecer a dónde quiere enviar los datos de GuardDuty búsqueda.
------
#### [ Email setup ]
**Para configurar un punto de conexión de correo electrónico**
Después de [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), el siguiente paso es crear una suscripción a este tema. Siga los pasos indicados en [Paso2: Creación de una suscripción a un tema de Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) en la *Guía para desarrolladores de Amazon Simple Notification Service*.
1. Para el **ARN del tema**, utilice el ARN del tema creado en el paso [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge). El ARN de tema tiene un aspecto similar al siguiente:
```
arn:aws:sns:us-east-2:123456789012:your_topic
```
1. En **Protocol**, seleccione **Email**.
1. En **Punto de conexión**, escriba la dirección de correo electrónico donde desee que se reciban las notificaciones de Amazon SNS.
Después de creada la suscripción, tendrá que confirmarla a través del cliente de correo electrónico.
------
#### [ Slack setup ]
**Configuración de un Amazon Q Developer en el cliente de aplicaciones de chat - Slack**
Después de [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), el siguiente paso es configurar el cliente para Slack.
Siga los pasos en [Tutorial: Primeros pasos con Slack](https://docs.aws.amazon.com/chatbot/latest/adminguide/slack-setup.html) en la *Guía del administrador de aplicaciones de chat de Amazon Q Developer*.
------
#### [ Chime setup ]
**Configuración de un Amazon Q Developer en el cliente de aplicaciones de chat - Chime**
Después de [Create an Amazon SNS topic](#guardduty-set-up-sns-topic-eventbridge), el siguiente paso es configurar Amazon Q Developer para Chime.
Siga los pasos en [Tutorial: Primeros pasos con Amazon Chime](https://docs.aws.amazon.com/chatbot/latest/adminguide/chime-setup.html.html) en la *Guía del administrador de aplicaciones de chat de Amazon Q Developer*.
------
## Uso de Amazon EventBridge para GuardDuty encontrar
Con EventBridge, puede crear reglas para especificar los eventos que desea supervisar. Estas reglas también especifican los servicios y aplicaciones de destino que pueden realizar acciones automatizadas si se producen estos eventos. Un [objetivo](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) es un destino (un recurso o un punto final) EventBridge al que se envía un evento cuando el evento coincide con el patrón de eventos definido en la regla. Cada evento es un objeto JSON que se ajusta al EventBridge esquema de AWS eventos y contiene una representación en JSON de un hallazgo. Puede personalizar la regla para que envíe solo los eventos que cumplan determinados criterios. Para obtener más información, consulte [tema sobre el esquema de JSON]. Como los datos de los hallazgos están estructurados como un [EventBridgeevento](https://docs.aws.amazon.com/eventbridge/latest/userguide/eventbridge-and-event-patterns.html), puedes monitorizarlos, procesarlos y actuar en consecuencia mediante el uso de otras aplicaciones, servicios y herramientas.
Para recibir notificaciones sobre GuardDuty los hallazgos basados en eventos, debe crear una EventBridge regla y un objetivo para GuardDuty. Esta regla permite EventBridge enviar notificaciones de los hallazgos que se GuardDuty generen al objetivo especificado en la regla.
**nota**
EventBridge y CloudWatch Events son el mismo servicio y API subyacentes. Sin embargo, EventBridge incluye funciones adicionales que le ayudan a recibir eventos de aplicaciones de software como servicio (SaaS) y de sus propias aplicaciones. Como el servicio y la API subyacentes son los mismos, el esquema de eventos para GuardDuty los hallazgos también es el mismo.
**Cómo funcionan los hallazgos archivados y no archivados con GuardDuty EventBridge**
En el caso de las conclusiones que se archivan manualmente, las apariciones iniciales y todas las posteriores (generadas una vez finalizado el archivado) se envían en EventBridge función de una frecuencia de notificación específica. Para obtener más información, consulte [Comprender la frecuencia EventBridge de las notificaciones en GuardDuty](#eventbridge-freq-notifications-gdu).
En el caso de las conclusiones que se archivan automáticamente[Reglas de supresión](findings_suppression-rule.md), no se envían a la carpeta *ni* a todas las incidencias posteriores (generadas una vez finalizado el archivado). EventBridge Puede ver estas conclusiones archivadas automáticamente en la consola. GuardDuty
### Esquema de evento
Un [patrón de eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) define los datos que se EventBridge utilizan para determinar si se debe enviar el evento al objetivo. El EventBridge evento para GuardDuty tiene el siguiente formato:
```
{
"version": "0",
"id": "cd2d702e-ab31-411b-9344-793ce56b1bc7",
"detail-type": "GuardDuty Finding",
"source": "aws.guardduty",
"account": "111122223333",
"time": "1970-01-01T00:00:00Z",
"region": "us-east-1",
"resources": [],
"detail": {GUARDDUTY_FINDING_JSON_OBJECT}
}
```
El valor de `detail` devuelve los detalles en formato JSON de un solo resultado como objeto, en lugar de devolver toda la sintaxis de la respuesta *resultados*, que puede respaldar varios resultados dentro de una matriz.
Para obtener una lista completa de todos los parámetros incluidos en`GUARDDUTY_FINDING_JSON_OBJECT`, consulte [GetFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_GetFindings.html#API_GetFindings_ResponseSyntax). El parámetro `id` que aparece en la `GUARDDUTY_FINDING_JSON_OBJECT` es el ID de resultado descrito anteriormente.
## Crear una EventBridge regla para los GuardDuty hallazgos
En los siguientes procedimientos se explica cómo utilizar la EventBridge consola de Amazon y el [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) para crear una EventBridge regla para GuardDuty los hallazgos. La regla detecta EventBridge los eventos que utilizan el esquema y el patrón de eventos para los GuardDuty hallazgos y los envía a una AWS Lambda función para su procesamiento.
AWS Lambda es un servicio informático que puede utilizar para ejecutar código sin aprovisionar ni administrar servidores. Empaqueta el código y lo carga AWS Lambda como una función *Lambda*. AWS Lambda luego ejecuta la función cuando se invoca la función. Una función se puede invocar manualmente, automáticamente en respuesta a eventos o en respuesta a solicitudes de aplicaciones o servicios. Para obtener más información acerca de cómo crear e invocar funciones de Lambda, consulte la [Guía para desarrolladores de AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html).
Elige el método que prefieras para crear una EventBridge regla que envíe tu GuardDuty hallazgo a un objetivo.
------
#### [ Console ]
Siga estos pasos para usar la EventBridge consola de Amazon y crear una regla que envíe automáticamente todos los eventos de GuardDuty búsqueda a una función de Lambda para su procesamiento. La regla usa la configuración predeterminada para las reglas que se ejecutan cuando se reciben eventos específicos. Para obtener más información sobre la configuración de las reglas o para aprender a crear una regla que utilice una configuración personalizada, consulta [Crear reglas que reaccionen a los eventos](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) en la *Guía del EventBridge usuario de Amazon*.
Antes de crear la regla, cree la función de Lambda que quiere que la regla utilice como destino. Cuando cree la regla, tendrá que especificar esta función como destino. Su destino también puede ser el tema de SNS que creó anteriormente. Para obtener más información, consulte [Configuración de un tema y un punto de conexión de Amazon SNS (correo electrónico, Slack y Amazon Chime)](#guardduty-eventbridge-set-up-sns-and-endpoint).
**Crear una regla para un evento con la consola**
1. Inicia sesión en la EventBridge consola de Amazon Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/).
1. En el panel de navegación, en **Buses**, elija **Reglas**.
1. En la sección **Reglas**, elija **Crear regla**.
1. En la página **Definir detalle de la regla**, haga lo siguiente:
1. En **Nombre**, ingrese el nombre de la regla.
1. (Opcional) En **Descripción**, ingrese una breve descripción de la regla de autorización.
1. En el caso del **Bus de eventos**, asegúrese de que esté seleccionada la opción **predeterminada** y que esté activada la opción **Habilitar la regla en el bus de eventos seleccionado**.
1. En **Tipo de regla**, elija **Regla con un patrón de evento**.
1. Cuando haya terminado, elija **Siguiente**.
1. En la página **Crear patrón de evento**, realice una de las siguientes acciones:
1. **En Origen del evento**, selecciona **AWS eventos o eventos EventBridge asociados**.
1. (Opcional) En el caso de un **evento** de muestra, consulta un ejemplo de evento de búsqueda GuardDuty para saber qué puede contener un evento. Para ello, seleccione **AWS eventos**. A continuación, en **Ejemplos de eventos**, selecciona **GuardDutyBuscar**.
1.
**Opción 1: usar el formulario de patrón, una plantilla que EventBridge proporciona**
En la sección **Patrón de eventos**, realice una de las siguientes acciones:
1. En **Método de creación**, seleccione **Usar forma de patrón**.
1. En **Origen del evento**, elija **Servicios de AWS**.
1. En **Servicio de AWS**, elija **GuardDuty**.
1. **En Tipo de evento**, elija **GuardDuty Buscar**.
Cuando haya terminado, elija **Siguiente**.
1.
**Opción 2: Uso de un patrón de eventos personalizado en JSON**
En la sección **Patrón de eventos**, realice una de las siguientes acciones:
1. En **Método de creación**, elija **Patrón personalizado (editor JSON)**.
1. En el **patrón de eventos**, pegue el siguiente JSON personalizado para crear una alerta con los resultados medios, altos y críticos. Para obtener más información, consulte [Niveles de gravedad de los resultados](guardduty_findings-severity.md).
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"severity": [
4,
4.0,
4.1,
4.2,
4.3,
4.4,
4.5,
4.6,
4.7,
4.8,
4.9,
5,
5.0,
5.1,
5.2,
5.3,
5.4,
5.5,
5.6,
5.7,
5.8,
5.9,
6,
6.0,
6.1,
6.2,
6.3,
6.4,
6.5,
6.6,
6.7,
6.8,
6.9,
7,
7.0,
7.1,
7.2,
7.3,
7.4,
7.5,
7.6,
7.7,
7.8,
7.9,
8,
8.0,
8.1,
8.2,
8.3,
8.4,
8.5,
8.6,
8.7,
8.8,
8.9,
9,
9.0,
9.1,
9.2,
9.3,
9.4,
9.5,
9.6,
9.7,
9.8,
9.9,
10,
10.0
]
}
}
```
Cuando haya terminado, elija **Siguiente**.
1.
**Opción A: Seleccionar Servicio de AWS - AWS Lambda como objetivo**
En la página **Seleccionar destino(s)**, haga lo siguiente:
1. Para los **tipos de destino**, seleccione **Servicio de AWS**.
1. En **Seleccione destino**, elija **Función de Lambda**. Luego, en **Función**, elija la función de Lambda a la que quiera enviar los eventos de resultados.
1. En **Configurar version/alias**, ingrese la configuración de versión o alias de la función de Lambda de destino.
1. (Opcional) En **Configuración adicional**, introduzca una configuración personalizada para especificar qué datos de eventos desea enviar a la función de Lambda. También puede especificar cómo gestionar los eventos que no se envíen correctamente a la función.
1. Cuando haya terminado, elija **Siguiente**.
1.
**Opción B: Selección del tema de SNS como destino**
En la página **Seleccionar destino(s)**, haga lo siguiente:
1. Para los **tipos de destino**, seleccione **Servicio de AWS**.
1. Para **Seleccione un destino**, elija **Tema de SNS**. A continuación, en **Ubicación de destino**, seleccione la opción adecuada en función de la ubicación de destino. En la lista **Tema**, seleccione el nombre del tema de SNS que creó.
1. Amplíe **Configuración adicional**. En **Configurar entrada de destino**, seleccione **Transformador de entrada)**.
1. Elija **Configurar transformador de entrada**.
1. Copie el siguiente código en el campo **Ruta de entrada** de la sección **Transformador de entrada de destino**.
```
{
"severity": "$.detail.severity",
"Account_ID": "$.detail.accountId",
"Finding_ID": "$.detail.id",
"Finding_Type": "$.detail.type",
"region": "$.region",
"Finding_description": "$.detail.description"
}
```
1. Copie el código siguiente y péguelo en el campo **Plantilla** para dar formato al correo electrónico.
```
"You have a severity GuardDuty finding type in the Region."
"Finding Description:"
". "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=#/findings?search=id%3D"
```
1. En la página **Configurar etiquetas**, si lo desea, introduzca una o más etiquetas para asignarlas a la regla. A continuación, elija **Siguiente**.
1. En la página **Revisar y crear**, revise cada configuración y compruebe que es correcta.
Para cambiar una configuración, elija **Editar** en la sección que contiene la configuración y, a continuación, escriba la configuración adecuada. También puede usar las pestañas de navegación para ir a la página que contiene una configuración.
1. Cuando termine de verificar la configuración, elija **Crear regla**.
------
#### [ API ]
El siguiente procedimiento muestra cómo utilizar AWS CLI los comandos para crear una EventBridge regla y un destino para GuardDuty. En concreto, el procedimiento muestra cómo crear una regla que permita EventBridge enviar eventos para todos los hallazgos que se GuardDuty generen a una AWS Lambda función como destino de la regla.
**nota**
En este ejemplo, utilizamos una función Lambda como objetivo de la regla que se activa. EventBridge También puedes configurar otros AWS recursos como objetivos para EventBridge activarlos. GuardDuty y EventBridge admiten los siguientes tipos de objetivos: instancias de Amazon EC2, transmisiones de Amazon Kinesis, tareas de Amazon ECS AWS Step Functions , máquinas de estado, comandos y `run` destinos integrados. Para obtener más información, consulta [PutTargets](https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutTargets.html)la *referencia de la EventBridge API de Amazon*.
**Creación de una regla y un destino**
1. Para crear una regla que permita EventBridge enviar eventos para todos los hallazgos que se GuardDuty generen, ejecute el siguiente comando EventBridge CLI.
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"]}"
```
Puede personalizar aún más la regla para que indique que solo se EventBridge envíen eventos para un subconjunto de los hallazgos GuardDuty generados. Este subconjunto se basa en los atributos de resultado o atributos especificados en la regla. Por ejemplo, utilice el siguiente comando CLI para crear una regla que EventBridge permita enviar solo eventos para los GuardDuty hallazgos con una gravedad de 5 u 8:
```
aws events put-rule --name your-rule-name --event-pattern "{\"source\":[\"aws.guardduty\"],\"detail-type\":[\"GuardDuty Finding\"],\"detail\":{\"severity\":[5,8]}}"
```
Para ello, puede utilizar cualquiera de los valores de propiedad que estén disponibles en el JSON para GuardDuty los hallazgos.
1. Para adjuntar una función Lambda como destino para la regla que creó en el paso 1, ejecute el siguiente comando CloudWatch CLI.
```
aws events put-targets --rule your-target-name --targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:your_function
```
Asegúrese de reemplazar `your-target-name` el comando anterior por su función Lambda real para los GuardDuty eventos.
1. Para agregar los permisos necesarios para invocar el destino, ejecute el siguiente comando de la CLI de Lambda.
```
aws lambda add-permission --function-name your-target-name --statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
```
Asegúrese de reemplazar `your_function` el comando anterior por su función Lambda real para los GuardDuty eventos.
------
## EventBridge regla para entornos con GuardDuty varias cuentas
Al utilizar una cuenta de GuardDuty administrador delegado, puede ver los eventos generados en las cuentas de los miembros y tomar medidas mediante otras aplicaciones y servicios. EventBridge las reglas de su cuenta de administrador se activarán en función de las conclusiones aplicables de sus cuentas de miembros. Si configuras la búsqueda de notificaciones a través EventBridge de tu cuenta de administrador, recibirás notificaciones de los hallazgos tanto de tu cuenta como de las cuentas de los miembros. Por ejemplo, puede utilizar EventBridge para enviar tipos específicos de resultados a una función Lambda que procesa y envía los datos a su sistema de gestión de incidentes y eventos de seguridad (SIEM).
Puede identificar la cuenta del miembro en la que se originó el GuardDuty hallazgo mediante el `accountId` campo de los detalles JSON del hallazgo. Para crear una regla de eventos personalizada para cuentas de miembros específicas, cree una nueva regla y use la siguiente plantilla en **Patrón de eventos**. *123456789012*Sustitúyala por la `accountId` de la cuenta de miembro para la que quieres activar el evento.
```
{
"source": [
"aws.guardduty"
],
"detail-type": [
"GuardDuty Finding"
],
"detail": {
"accountId": [
"123456789012"
]
}
}
```
**nota**
En este ejemplo, se crea una regla que coincide con todos los resultados del identificador de cuenta especificado. Puedes incluir varias cuentas IDs separándolas con comas, siguiendo la sintaxis JSON.
# Descripción de CloudWatch los registros y los motivos por los que se omiten recursos durante el escaneo de EC2 con Malware Protection
GuardDuty Malware Protection for EC2 publica los eventos en su grupo de CloudWatch registros de Amazon**/aws/guardduty/malware-scan-events**. Para cada uno de los eventos relacionados con el análisis de malware, puede supervisar el estado y el resultado del análisis de los recursos afectados. Es posible que se hayan omitido determinados recursos de Amazon EC2 y volúmenes de Amazon EBS durante el análisis de Malware Protection for EC2.
## CloudWatch Los registros de auditoría en GuardDuty Malware Protection for EC2
El grupo de registros**/aws/guardduty/malware CloudWatch -scan-events** admite tres tipos de eventos de análisis.
| Nombre del evento de análisis de Malware Protection for EC2 | Explicación |
| --- | --- |
| `EC2_SCAN_STARTED` | Se crea cuando una protección contra GuardDuty malware para EC2 inicia el proceso de escaneo de malware, por ejemplo, cuando se prepara para tomar una instantánea de un volumen de EBS. |
| `EC2_SCAN_COMPLETED` | Se crea cuando GuardDuty Malware Protection for EC2 escanea al menos uno de los volúmenes de EBS del recurso afectado. Este evento también incluye el valor de `snapshotId` que pertenece al volumen de EBS analizado. Una vez finalizado el análisis, el resultado será `CLEAN`, `THREATS_FOUND` o `NOT_SCANNED`. |
| `EC2_SCAN_SKIPPED` | Se crea cuando el escaneo de GuardDuty Malware Protection for EC2 omite todos los volúmenes de EBS del recurso afectado. Para identificar el motivo de la omisión, seleccione el evento correspondiente y consulte los detalles. Para obtener más información sobre los motivos de la omisión, consulte [Motivos para omitir un recurso durante el análisis de malware](#mp-scan-skip-reasons) a continuación. |
**nota**
Si utilizas una AWS Organizations, los eventos de CloudWatch registro de las cuentas de los miembros de Organizations se publican tanto en la cuenta del administrador como en el grupo de registro de la cuenta de miembro.
Elige el método de acceso que prefieras para ver y consultar CloudWatch los eventos.
------
#### [ Console ]
1. Inicie sesión en Consola de administración de AWS y abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, en **Registros**, seleccione **Grupos de registros**. Elija el grupo de registros**/aws/guardduty/malware-scan-events** para ver los eventos de escaneo de GuardDuty Malware Protection for EC2.
Para ejecutar una consulta, elija **Información de registros**.
Para obtener información sobre cómo ejecutar una consulta, consulte [Análisis de datos de registro con CloudWatch Logs Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AnalyzingLogData.html) en la *Guía del CloudWatch usuario de Amazon*.
1. Elija **ID de análisis** para supervisar los detalles del recurso afectado y los resultados de malware. Por ejemplo, puede ejecutar la siguiente consulta para filtrar los eventos del CloudWatch registro mediante`scanId`. Asegúrese de usar su propia versión válida*scan-id*.
```
fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
```
------
#### [ API/CLI ]
+ Para trabajar con grupos de registros, consulte [Buscar entradas de registro utilizando AWS CLI la](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/SearchDataFilterPattern.html#search-log-entries-cli) *Guía del CloudWatch usuario de Amazon*.
Elija el grupo de registros**/aws/guardduty/malware-scan-events** para ver los eventos de escaneo de GuardDuty Malware Protection for EC2.
+ Para ver y filtrar los eventos de registro, consulte [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html)y [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html), respectivamente, en la *referencia de la CloudWatch API de Amazon*.
------
## GuardDuty Protección contra malware para la retención de registros de EC2
El período de retención de registros predeterminado para el grupo de registros**/aws/guardduty/malware-scan-events** es de 90 días, tras los cuales los eventos de registro se eliminan automáticamente. Para cambiar la política de retención de registros de tu grupo de CloudWatch registros, consulta [Cambiar la retención de datos de registro en CloudWatch los registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention) en la *Guía del CloudWatch usuario de Amazon* o [https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutRetentionPolicy.html)en la *Referencia de la CloudWatch API de Amazon*.
## Motivos para omitir un recurso durante el análisis de malware
En los eventos relacionados con el análisis de malware, es posible que se hayan omitido algunos recursos de EC2 y volúmenes de EBS durante el proceso de análisis. En la siguiente tabla se enumeran los motivos por los que GuardDuty Malware Protection for EC2 puede no analizar los recursos. Si procede, siga los pasos propuestos para resolver estos problemas y analice estos recursos la próxima vez que GuardDuty Malware Protection for EC2 inicie un análisis de malware. Los demás problemas se utilizan para informarle sobre el curso de los eventos y no son procesables.
| Razones de omisión | Explicación | Pasos propuestos |
| --- | --- | --- |
| `RESOURCE_NOT_FOUND` | La `resourceArn` información proporcionada para iniciar el análisis de malware bajo demanda no se encontró en su AWS entorno. | Valide el valor de `resourceArn` de la carga de trabajo de su instancia o contenedor de Amazon EC2 e inténtelo de nuevo. |
| `ACCOUNT_INELIGIBLE` | El ID de AWS cuenta desde el que intentó iniciar un análisis de malware bajo demanda no está activado GuardDuty. | Comprueba que GuardDuty esté activado para esta AWS cuenta. Cuando GuardDuty habilitas una nueva Región de AWS , la sincronización puede tardar hasta 20 minutos. |
| `UNSUPPORTED_KEY_ENCRYPTION` | GuardDuty Malware Protection for EC2 admite volúmenes cifrados y no cifrados con una clave gestionada por el cliente. No admite el análisis de volúmenes de EBS cifrados con el [cifrado de Amazon EBS](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/EBSEncryption.html). Actualmente, existe una diferencia regional por la que no se aplica este motivo de omisión. Para obtener más información al respecto Regiones de AWS, consulte. [Disponibilidad de características específicas por región](guardduty_regions.md#gd-regional-feature-availability) | Sustituya la clave de cifrado por una clave administrada por el cliente. Para obtener más información sobre los tipos de cifrado GuardDuty compatibles, consulte[Volúmenes de Amazon EBS compatibles con el análisis de malware](gdu-malpro-supported-volumes.md). |
| `EXCLUDED_BY_SCAN_SETTINGS` | La instancia de EC2 o el volumen de EBS se excluyó durante el análisis de malware. Hay dos posibilidades: la etiqueta se agregó a la lista de inclusión, pero el recurso no está asociado a esta etiqueta, la etiqueta se agregó a la lista de exclusión y el recurso está asociado a esta etiqueta o la etiqueta `GuardDutyExcluded` está establecida en `true` para este recurso. | Actualice las opciones de análisis o las etiquetas asociadas a su recurso de Amazon EC2. Para obtener más información, consulte [Opciones de análisis con etiquetas definidas por el usuario](malware-protection-customizations.md#mp-scan-options). |
| `UNSUPPORTED_VOLUME_SIZE` | El volumen es mayor que 2048 GB. | No se puede procesar. |
| `NO_VOLUMES_ATTACHED` | GuardDuty Malware Protection for EC2 encontró la instancia en su cuenta, pero no se adjuntó ningún volumen de EBS a esta instancia para continuar con el escaneo. | No se puede procesar. |
| `UNABLE_TO_SCAN` | Se trata de un error de servicio interno. | No se puede procesar. |
| `SNAPSHOT_NOT_FOUND` | No se encontraron las instantáneas creadas a partir de los volúmenes de EBS y compartidas con la cuenta de servicio, y GuardDuty Malware Protection for EC2 no pudo continuar con el escaneo. | Asegúrese de que CloudTrail las instantáneas no se hayan eliminado de forma intencionada. |
| `SNAPSHOT_QUOTA_REACHED` | Ha alcanzado el volumen máximo permitido de instantáneas para cada región. Esto impide no solo retener, sino también crear nuevas instantáneas. | Puede eliminar las instantáneas antiguas o solicitar un aumento de cuota. Puede ver el límite predeterminado de instantáneas por región y consultar cómo solicitar un aumento de cuota en el apartado [Service quotas](https://docs.aws.amazon.com/general/latest/gr/ebs-service.html#limits_ebs) en la *Guía de referencia general de AWS *. |
| `MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED` | Se adjuntaron más de 11 volúmenes de EBS a una instancia EC2. GuardDuty Malware Protection for EC2 escaneó los primeros 11 volúmenes de EBS y los obtuvo ordenándolos alfabéticamente. `deviceName` | No se puede procesar. |
| `UNSUPPORTED_PRODUCT_CODE_TYPE` | GuardDuty puede escanear la mayoría de las instancias con as. `productCode` `marketplace` Es posible que algunas instancias del mercado no sean aptas para el escaneo. GuardDuty omitirá esas instancias y registrará el motivo como`UNSUPPORTED_PRODUCT_CODE_TYPE`. Esta compatibilidad varía en AWS GovCloud (US) y en las regiones de China. Para obtener más información, consulte [Disponibilidad de características específicas por región](guardduty_regions.md#gd-regional-feature-availability). Para obtener más información, consulte [Pagado AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/paid-amis.html) en la Guía del *usuario de Amazon EC2*. Para obtener más información sobre `productCode`, consulte [https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ProductCode.html) en la *Referencia de la API de Amazon EC2*. | No se puede procesar. |
# Denunciar falsos positivos en Malware Protection para EC2
GuardDuty La protección contra malware para EC2 escaneos puede identificar un archivo inofensivo en la carga de trabajo de su EC2 instancia o contenedor de Amazon como malicioso o dañino. Para mejorar tu experiencia con Malware Protection EC2 y con el GuardDuty servicio, puedes denunciar resultados falsos positivos si crees que un archivo identificado como malicioso o dañino durante un análisis no contiene en realidad software malicioso.
**Denunciar el resultado de un análisis de EC2 malware de Amazon como falso positivo**
Para iniciar el proceso, póngase en contacto con Soporte. Siga los siguientes pasos para proporcionar detalles sobre el recurso escaneado:
1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Elige **escaneos de EC2 malware**.
1. Elija un análisis para ver su **ID de resultado**.
1. Proporcione el **ID de resultado**. También debe proporcionar el hash SHA-256 del archivo. Esto es necesario para garantizar que GuardDuty Malware Protection for EC2 haya recibido el archivo correcto.
1. El Soporte equipo le proporcionará una URL prefirmada de Amazon Simple Storage Service (Amazon S3) que podrá utilizar para cargar el archivo potencialmente malicioso y el hash SHA-256. Para obtener información sobre los pasos para cargar el objeto escaneado, consulte [Carga de objetos con prefirmado URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) en la Guía del *usuario de Amazon S3*.
1. Una vez que haya subido el archivo, informe al Soporte equipo.
Soporte Proporcionarán un acuse de recibo después de recibir el archivo. Los miembros del equipo de GuardDuty servicio analizarán su envío y tomarán las medidas adecuadas para mejorar su experiencia con Malware Protection EC2 y con el GuardDuty servicio. El Soporte equipo seguirá proporcionando información actualizada sobre el estado de su caso. GuardDuty conserva su objeto S3 durante un máximo de 30 días.
# Reportar el producto del análisis de objetos de S3 como falso positivo en la protección contra malware para S3
Un análisis de protección contra malware para S3 puede identificar un objeto como potencialmente malicioso o dañino. Si cree que el objeto de S3 indicado no contiene malware, reporte este resultado de análisis de malware como falso positivo.
Puede enviar un informe de falso positivo, aunque utilice la protección contra malware para S3 de forma independiente. En este caso, no GuardDuty está diseñado para generar un hallazgo. Para obtener información sobre cómo verificar el estado del análisis y el estado del producto, consulte [Supervisión de los análisis de objetos de S3](monitoring-malware-protection-s3-scans-gdu.md).
**Para reportar un producto de análisis de objetos de S3 como falso positivo**
Para iniciar el proceso, póngase en contacto con Soporte. Utilice los siguientes pasos para proporcionar detalles sobre el objeto de S3 analizado:
1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Según el caso de uso, elija los pasos apropiados:
------
#### [ Using Malware Protection for S3 with GuardDuty ]
1. En el panel de navegación, seleccione **Resultados**.
1. En la página **Resultados**, seleccione el resultado falso positivo para ver sus detalles.
1. Revise los detalles del resultado y proporcione el **ID del resultado**, la **región**, el **nombre** del bucket de S3 protegido y la **clave** del objeto analizado.
En los detalles **Ruta del elemento**, proporcione el **Hash** del objeto. Esto es necesario para garantizar que se GuardDuty ha recibido el archivo correcto.
------
#### [ Using Malware Protection for S3 independently ]
Proporcione el nombre del bucket de S3 protegido, el nombre del objeto analizado y la Región de AWS.
------
1. El Soporte equipo le proporcionará una URL prefirmada de Amazon Simple Storage Service (Amazon S3) que podrá utilizar para cargar el archivo y el hash potencialmente maliciosos. Para obtener información sobre los pasos para cargar el objeto escaneado, consulte [Carga de objetos con prefirmado URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) en la Guía del *usuario de Amazon S3*.
1. Tras cargar el objeto de S3, informa al equipo. Soporte
Soporte Proporcionarán un acuse de recibo de la recepción del objeto. Los miembros del equipo de GuardDuty servicio analizarán su envío y tomarán las medidas adecuadas para mejorar su experiencia con Malware Protection for S3 y el GuardDuty servicio. El Soporte equipo seguirá proporcionando información actualizada sobre el estado de su caso. GuardDuty conserva su objeto S3 durante un máximo de 30 días.
# Notificación de falsos positivos en Malware Protection for Backup
Para mejorar su experiencia con GuardDuty Malware Protection for Backup, puede denunciar posibles falsos positivos y falsos negativos.
****Para denunciar un posible falso positivo o falso negativo identificado en Malware Protection for Backup****
Para iniciar el proceso, póngase en contacto con Soporte. Siga los siguientes pasos para proporcionar detalles sobre el recurso escaneado:
1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Elija **Análisis de malware**.
1. Elija un análisis para ver su **ID de resultado**.
1. Proporcione el **ID de resultado**. También debe proporcionar el hash SHA-256 del archivo. Esto es necesario para garantizar que se GuardDuty ha recibido el archivo correcto. Indique también la región desde la que proporcionará la muestra.
1. El Soporte equipo le proporcionará una URL prefirmada de Amazon Simple Storage Service (Amazon S3) que utilizará para cargar el archivo potencialmente malicioso y el hash SHA-256. Para obtener información sobre los pasos para cargar el recurso escaneado, consulte [Carga de objetos con prefirmado URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/PresignedUrlUploadObject.html) en la Guía del *usuario de Amazon S3*.
1. Una vez que haya subido el archivo, informe al Soporte equipo.
Soporte Proporcionarán un acuse de recibo después de recibir el archivo. Los miembros del equipo de GuardDuty servicio analizarán su envío y tomarán las medidas adecuadas para mejorar su experiencia con Malware Protection for EC2. El Soporte equipo seguirá proporcionando información actualizada sobre el estado de su caso. GuardDuty conserva su objeto S3 durante un máximo de 30 días.