

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# GuardDuty Investigación (vista previa)
<a name="guardduty-investigation"></a>

GuardDuty La investigación proporciona un análisis de AI-powered seguridad de sus GuardDuty hallazgos y relatos. Al crear una investigación, GuardDuty analiza el contexto, la actividad relacionada de los últimos 90 días, los recursos afectados, la información sobre amenazas y los indicadores de amenazas mediante gráficos de conocimiento. Cada investigación proporciona una evaluación de la disposición de las amenazas con una puntuación de confianza, una clasificación técnica MITRE ATT&CK®, pruebas que las respaldan y recomendaciones prácticas.

Cada investigación arroja los siguientes datos:
+ **Nivel de riesgo**: una evaluación del riesgo general: informativo, bajo, medio, alto o crítico.
+ **Confianza**: el nivel de confianza de la evaluación: desconocido, bajo, medio o alto.
+ **Resumen**: descripción de los resultados de la investigación y de las observaciones clave.
+ **Detalles de la investigación**: información y contexto adicionales relacionados con la investigación.
+ **Acciones recomendadas**: acciones detalladas, incluidos los comandos CLI, que puede realizar para solucionar los problemas identificados.

**nota**  
GuardDuty La investigación solo está disponible en las siguientes 10 AWS regiones comerciales: EE.UU. Este (Norte de Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón), Canadá (Central), Europa (Fráncfort), Europa (Irlanda), Europa (Londres), Europa (París), Europa (Estocolmo) y Asia Pacífico (Tokio).

## Tipos de análisis
<a name="guardduty-investigation-analysis-types"></a>

GuardDuty La investigación admite los tres tipos de análisis siguientes:
+ **Análisis de búsqueda**: analiza GuardDuty hallazgos específicos al especificar el ID de búsqueda (hexadecimal de 32 caracteres). Para obtener una vista previa, GuardDuty Investigation respalda todas las conclusiones de la detección extendida de amenazas (XTD) y selecciona las conclusiones de los planes base, S3 y Runtime.
+ **Análisis de la cuenta**: analiza la situación de amenaza de una AWS cuenta al proporcionar el ID de cuenta de 12 dígitos AWS .
+ **Análisis de la organización**: analiza la postura de su organización ante las amenazas. Para obtener una vista previa, analiza hasta 100 cuentas.

## Cross-Region inferencia
<a name="guardduty-investigation-cross-region-inference"></a>

GuardDuty La investigación utiliza el Servicio de Cross-Region Inferencias (CRIS), que selecciona automáticamente lo óptimo Región de AWS dentro de su zona geográfica para procesar el análisis de la investigación y generar el informe de la investigación. Esto maximiza los recursos informáticos disponibles, la disponibilidad de los modelos y ofrece la mejor experiencia al cliente.

Sus datos permanecen almacenados únicamente en la región en la que se origina la solicitud de investigación. Sin embargo, los datos de la investigación y los resultados resumidos pueden procesarse fuera de esa región. Todos los datos se transmiten cifrados a través de la red segura de Amazon.

GuardDuty La investigación dirige de forma segura las solicitudes de inferencia a los recursos informáticos disponibles en el área geográfica en la que se originó la solicitud, como se muestra en la siguiente tabla.


**Cross-Region enrutamiento de inferencia**  

| Geografía de compatible | GuardDuty Región | Regiones de inferencia | 
| --- | --- | --- | 
| Estados Unidos | Este de EE. UU. (Norte de Virginia) | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón) | 
| Estados Unidos | Este de EE. UU. (Ohio) | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón) | 
| Estados Unidos | Oeste de EE. UU. (Oregón) | Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Oregón) | 
| Estados Unidos | Canadá (centro) | Canadá (centro), EE.UU. Este (Norte de Virginia), EE.UU. Este (Ohio), EE.UU. Oeste (Oregón) | 
| Europa | Europa (Fráncfort) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París) | 
| Europa | Europa (Irlanda) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París) | 
| Europa | Europa (Londres) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (Londres), Europa (París) | 
| Europa | Europa (París) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París) | 
| Europa | Europa (Estocolmo) | Europa (Frankfurt), Europa (Estocolmo), Europa (Milán), Europa (España), Europa (Irlanda), Europa (París) | 
| Japón | Asia-Pacífico (Tokio) | Asia Pacífico (Tokio), Asia Pacífico (Osaka) | 

## Requisitos previos
<a name="guardduty-investigation-prerequisites"></a>

Antes de poder utilizar GuardDuty Investigation, asegúrate de que se cumplen los siguientes requisitos previos:
+ Debe tener un GuardDuty detector activo en el Región de AWS lugar donde desee crear las investigaciones. Para obtener más información sobre la activación GuardDuty, consulte[Empezar con GuardDuty](guardduty_settingup.md).
+ Debe activar la función de GuardDuty investigación en su detector.

------
#### [ Console ]

  1. Abre la GuardDuty consola.

  1. En el panel de navegación, seleccione **Configuración**.

  1. En **Investigaciones impulsadas por IA: Vista previa**, selecciona **Activar**.

------
#### [ API/CLI ]

  Llama a la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)API y activa la `AI_ANALYST` función en tu detector.

  ```
  aws guardduty update-detector \
      --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
      --features '[{"Name": "AI_ANALYST", "Status": "ENABLED"}]'
  ```

------
+ Su identidad de IAM debe tener los permisos necesarios para realizar acciones de investigación. Se requieren las siguientes acciones de IAM:
  + `guardduty:CreateInvestigation`— Necesario para crear una nueva investigación.
  + `guardduty:GetInvestigation`— Necesario para recuperar los resultados de la investigación.
  + `guardduty:ListInvestigations`— Necesario para enumerar las investigaciones de un detector.

El siguiente ejemplo de política de IAM concede permiso para utilizar todas las acciones de GuardDuty investigación:

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:CreateInvestigation",
                "guardduty:GetInvestigation",
                "guardduty:ListInvestigations"
            ],
            "Resource": "arn:aws:guardduty:us-west-2:123456789012:detector/2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7"
        }
    ]
}
```

### Modelo de acceso para cuentas de administradores y miembros
<a name="guardduty-investigation-access-model"></a>

Las siguientes reglas de acceso se aplican a GuardDuty Investigation en función de si utiliza una cuenta de administrador o una cuenta de miembro:
+ **Cuentas de administrador**: pueden crear, obtener y publicar investigaciones propias y de sus cuentas de miembros.
+ **Cuentas de miembros**: solo pueden obtener y enumerar las investigaciones de su propia cuenta. Las cuentas de los miembros no pueden iniciar investigaciones ni acceder a las investigaciones que pertenezcan a otras cuentas o a la cuenta del administrador.

## Crear una investigación
<a name="guardduty-investigation-create"></a>

Puede crear una investigación para analizar GuardDuty los hallazgos y los relatos de su AWS entorno. La investigación se lleva a cabo de forma asíncrona en segundo plano. Tras crear una investigación, utilice el identificador de la investigación para comprobar su estado y obtener los resultados.

**importante**  
Durante la vista previa, puedes iniciar hasta 10 investigaciones por cuenta y día, con un límite total de 100 investigaciones por cuenta. Las investigaciones fallidas no se tienen en cuenta para estas cuotas. Si utiliza el API/CLI, el mensaje de activación puede tener un máximo de 2048 caracteres.

Elija el método de acceso que prefiera para iniciar una investigación.

------
#### [ Console ]

1. Abre la GuardDuty consola y dirígete a **Investigaciones** en el panel de navegación de la izquierda.

1. Selecciona **Iniciar investigación**.

1. Seleccione el ámbito de la investigación:
   + **Un hallazgo específico**: introduzca el identificador del hallazgo que desee analizar.
   + **Mi cuenta** (solo independiente): no se requieren datos adicionales. GuardDuty analizará tu cuenta.
   + **Una cuenta específica** (solo para administradores): introduce el ID de AWS cuenta de 12 dígitos.
   + **Todas las cuentas de la organización** (solo para administradores): no es necesario introducir datos adicionales.

1. Seleccione **Iniciar investigación** para iniciar el análisis.

------
#### [ API/CLI ]

Ejecute la operación de la CreateInvestigation API para iniciar una nueva investigación. Debe proporcionar el ID del detector y un mensaje de activación que describa lo que debe investigarse.

Para encontrar el `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "{{Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012}}"
```

En el comando anterior, sustitúyalo por tu propio identificador de detector y {{trigger-prompt}} por una descripción de lo que quieres investigar. {{detector-id}}

Si lo desea, puede incluir un `--client-token` parámetro para la idempotencia. Si vuelves a intentar la solicitud con el mismo token de cliente, GuardDuty devuelve la investigación existente en lugar de crear una duplicada.

Ejemplo de código de salida:

```
{
    "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890"
}
```

**Activa los requisitos de aviso**

El mensaje de activación debe describir lo que se va a investigar. GuardDuty determina el tipo de análisis en función del contenido de la solicitud:
+ **Análisis de búsqueda**: incluya exactamente un identificador de búsqueda (cadena hexadecimal de 32 caracteres) en la solicitud. El hallazgo debe existir y pertenecer a la cuenta de la persona que llama o a la cuenta de un miembro. No puedes incluir varios identificadores de búsqueda en una sola solicitud.
+ **Análisis de la cuenta**: incluye exactamente un identificador de AWS cuenta de 12 dígitos en la solicitud. La persona que llama debe ser el administrador de esa cuenta. No puedes incluir varios ID de cuenta en una sola solicitud.
+ **Análisis de la organización**: describe en tu mensaje un problema de seguridad que afecte a toda la organización. La investigación analiza las señales en toda la organización (hasta 100 cuentas).

GuardDuty utiliza la IA para interpretar su solicitud de formato libre y determinar el alcance del análisis adecuado. Si incluye un identificador de búsqueda, realiza un análisis de búsqueda. Si incluyes un identificador de cuenta, realiza un análisis de la cuenta. Si la solicitud describe un problema que afecta a toda la organización, realiza un análisis de la organización. Si el mensaje no coincide con un tipo de análisis específico, la investigación pasa por analizar de forma predeterminada la propia cuenta de la persona que llama.

A continuación, se muestran ejemplos de solicitudes de activación para cada tipo de análisis:
+ **Búsqueda de análisis**: `"Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012"`
+ **Análisis de cuentas** — `"Analyze findings in account with id 123456789012"`
+ **Análisis organizativo** — `"Analyze findings in my organization"`

**Crear una investigación para la cuenta de un miembro**

Si eres administrador de una cuenta, puedes iniciar una investigación para una cuenta de miembro incluyendo el ID de la cuenta de miembro en el mensaje de activación. Usa el identificador del detector de la cuenta de administrador en el comando. Los resultados de la investigación contendrán las conclusiones de la cuenta de miembro especificada.

```
aws guardduty create-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --trigger-prompt "Analyze findings in account with id 111122223333"
```

En el comando anterior, sustituya el por el {{detector-id}} ID de detector de su cuenta de administrador. El identificador de cuenta de 12 dígitos que aparece en la ventana de activación identifica la cuenta del miembro que se va a investigar.

------

## Ver los resultados de la investigación
<a name="guardduty-investigation-get"></a>

Tras crear una investigación, puede recuperar los resultados, incluidos el resumen, los detalles de la investigación, el nivel de confianza y la recomendación. Una investigación puede tener uno de los siguientes estados:
+ **EN MARCHA**: la investigación aún está en curso.
+ **FINALIZADA**: la investigación ha finalizado satisfactoriamente y los resultados están disponibles.
+ **FALLIDO**: la investigación detectó un error. Compruebe el campo de error para obtener más información.

Elija el método de acceso que prefiera para ver los resultados de la investigación.

*AI-generated los análisis y las recomendaciones pueden contener errores o evaluaciones incompletas. Se recomienda la revisión por parte de un humano.*

------
#### [ Console ]

1. Abre la GuardDuty consola y dirígete a **Investigaciones** en el panel de navegación de la izquierda.

1. En la tabla de investigaciones, busca la investigación finalizada que deseas revisar.

1. Selecciona el enlace del título de la investigación para abrir la página de detalles.

**nota**  
Solo se puede hacer clic en los títulos de las investigaciones cuando el estado es **Completado**.

------
#### [ API/CLI ]

Ejecute la operación de la GetInvestigation API para recuperar todos los detalles de una investigación finalizada.

Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty get-investigation \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --investigation-id {{a1b2c3d4-5678-90ab-cdef-ef1234567890}}
```

Ejemplo de resultado de una investigación finalizada:

```
{
    "Investigation": {
        "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
        "Status": "COMPLETED",
        "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
        "TriggeredBy": "123456789012",
        "RiskLevel": "Critical",
        "Risk": "Detection logic is valid but no live resources are compromised.",
        "Confidence": "High",
        "Summary": "{\"keyObservations\":{\"title\":\"...\",\"narrative\":\"...\",\"observations\":[...]},\"countermeasures\":[...],\"threatAssessment\":{...}}",
        "Cloud": {
            "Provider": "AWS",
            "Region": "us-east-1",
            "Account": "123456789012"
        },
        "Metadata": {
            "Product": {
                "Name": "Amazon GuardDuty AI Analyst",
                "Feature": "Investigation"
            },
            "Version": "1.0.0"
        },
        "StartTime": 1705319400.0,
        "EndTime": 1705319700.0
    }
}
```

El `Summary` campo contiene una cadena JSON con los resultados completos de la investigación, incluidas las observaciones clave, las contramedidas con comandos CLI y una evaluación de amenazas de MITRE ATT&CK®.

------

### Interpretar los resultados de la investigación
<a name="guardduty-investigation-interpret-results"></a>

En la siguiente tabla se describen los niveles de riesgo que puede arrojar una investigación:


**Niveles de riesgo de investigación**  

| Nivel de riesgo | Description (Descripción) | 
| --- | --- | 
| Información | Hallazgo informativo sin riesgo inmediato para el medio ambiente. | 
| Bajo | Riesgo menor que es poco probable que requiera una acción inmediata. | 
| Medio | Riesgo moderado que deba revisar y que pueda requerir una solución. | 
| Alto | Riesgo significativo que requiere una investigación y una solución rápidas. | 
| Critico | Riesgo grave que requiere una acción inmediata para evitar nuevos compromisos. | 

En la siguiente tabla se describen los niveles de confianza:


**Niveles de confianza en la**  

| Nivel de confianza | Description (Descripción) | 
| --- | --- | 
| Desconocido | Datos insuficientes para determinar la confianza en la evaluación. | 
| Bajo | Hay pruebas limitadas que respaldan la evaluación. | 
| Medio | Hay pruebas moderadas que respaldan la evaluación. | 
| Alto | Hay pruebas sólidas que respaldan la evaluación. | 

## Enumerar las investigaciones
<a name="guardduty-investigation-list"></a>

Puede enumerar todas las investigaciones de un detector, con clasificación y paginación opcionales. Esto le ayuda a revisar y realizar un seguimiento del estado de varias investigaciones.

Elija su método de acceso preferido para enumerar las investigaciones.

------
#### [ Console ]

1. Abre la GuardDuty consola y dirígete a **Investigaciones** en el panel de navegación de la izquierda.

1. La tabla de investigaciones muestra todas las investigaciones del detector actual con su estado, nivel de riesgo y fechas.

------
#### [ API/CLI ]

Ejecute la operación de la ListInvestigations API para enumerar los resúmenes de las investigaciones de un detector.

Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --max-results 10
```

Puede ordenar los resultados especificando un `--sort-criteria` parámetro. En el siguiente ejemplo, se enumeran las investigaciones ordenadas por hora de inicio en orden descendente:

```
aws guardduty list-investigations \
    --detector-id {{2cb3d4e5f6a7b8c9d0e1f2a3b4c5d6e7}} \
    --sort-criteria '{"attributeName": "START_TIME", "orderBy": "DESC"}' \
    --max-results 10
```

Los atributos de ordenación disponibles son `START_TIME``END_TIME`, `STATUS``RISK_LEVEL`, y`CONFIDENCE`. Puede ordenar en orden `ASC` (ascendente) o `DESC` (descendente).

Ejemplo de código de salida:

```
{
    "Investigations": [
        {
            "InvestigationId": "a1b2c3d4-5678-90ab-cdef-ef1234567890",
            "Status": "COMPLETED",
            "TriggerPrompt": "Investigate finding 1ab2c3d4e5f6a7b8c9d0e1f2a3b4c5d6 in account 123456789012",
            "RiskLevel": "Critical",
            "Confidence": "High",
            "StartTime": 1705319400.0,
            "EndTime": 1705319700.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "b2c3d4e5-6789-01bc-def0-ef2345678901",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in account with id 123456789012",
            "RiskLevel": "High",
            "Confidence": "High",
            "StartTime": 1705315800.0,
            "EndTime": 1705316100.0,
            "AccountId": "123456789012"
        },
        {
            "InvestigationId": "c3d4e5f6-7890-12cd-ef01-ef3456789012",
            "Status": "COMPLETED",
            "TriggerPrompt": "Analyze findings in my organization",
            "RiskLevel": "Medium",
            "Confidence": "Medium",
            "StartTime": 1705312200.0,
            "EndTime": 1705312500.0,
            "AccountId": "123456789012"
        }
    ]
}
```

Si la respuesta incluye un `NextToken` valor, pásalo en una solicitud posterior para recuperar la siguiente página de resultados. Puedes recuperar hasta 50 resultados por página.

------