Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Comprender y generar los GuardDuty hallazgos de Amazon
Un GuardDuty hallazgo representa un posible problema de seguridad detectado en Cuentas de AWS las cargas de trabajo y los datos. GuardDuty genera un hallazgo cada vez que detecta una actividad inesperada y potencialmente maliciosa en su AWS entorno.
Puede ver y gestionar sus GuardDuty hallazgos en la página **Hallazgos** de la GuardDuty consola o mediante las AWS CLI operaciones de la API. Para obtener información sobre cómo gestionar GuardDuty los hallazgos, consulte[Gestión de los GuardDuty hallazgos de Amazon](findings_management.md).
**Temas:**
[GuardDuty formato de búsqueda](guardduty_finding-format.md)
Comprenda el formato de los tipos de GuardDuty búsqueda y los diferentes propósitos de amenazas que GuardDuty rastrea.
[Ejemplos de hallazgos](sample_findings.md)
Genere ejemplos de resultados en la GuardDuty consola o mediante la GuardDuty API o AWS CLI los comandos. Los resultados de las muestras generadas incluyen detalles ficticios para ayudarle a comprender los detalles de los hallazgos asociados a cada GuardDuty hallazgo. Estos resultados llevan el prefijo **[MUESTRA]**.
[Pruebe GuardDuty los resultados en cuentas dedicadas](guardduty_findings-scripts.md)
Puede probar GuardDuty hallazgos específicos en su entorno. Ejecute el script `guardduty-tester` en una Cuenta de AWS dedicada que no sea de producción. GuardDuty Para detectar y simular los hallazgos, desplegará ciertos recursos en su entorno. Esta experiencia es diferente de la generación de resultados de muestra.
[Visualización de los hallazgos generados en la consola GuardDuty](guardduty_working-with-findings.md)
Aprenda a revisar los hallazgos generados en la GuardDuty consola.
[Niveles de gravedad de GuardDuty los hallazgos](guardduty_findings-severity.md)
Cada GuardDuty hallazgo tiene un nivel de gravedad asociado que refleja el riesgo potencial en su AWS entorno. En esta sección se explica el significado de cada nivel de gravedad.
[Detalles de los resultados](guardduty_findings-summary.md)
Obtén información sobre los detalles relacionados con GuardDuty los hallazgos que se generan en tu cuenta. En este tema se incluyen los detalles relacionados con la detección básica de amenazas, la detección ampliada de amenazas y los planes de protección dedicados. GuardDuty
[GuardDuty encontrar agregación](finding-aggregation.md)
Obtenga información sobre cómo GuardDuty se gestionan varias incidencias del mismo tipo de hallazgo. Al agregar los mismos tipos de hallazgos detectados, GuardDuty actualiza el tipo de hallazgo original con los detalles más recientes.
[GuardDuty buscar tipos](guardduty_finding-types-active.md)
En esta sección se enumeran los tipos de GuardDuty búsqueda por el o asociado[Orígenes de datos fundamentales](guardduty_data-sources.md). [Función mapeada GuardDuty](guardduty-feature-object-api-changes-march2023.md#guardduty-feature-enablement-datasource-relation) Para obtener más información sobre cada tipo de resultado, selecciónelo para obtener más detalles, como su descripción y las posibles medidas para corregirlo.
# GuardDuty formato de búsqueda
Cuando GuardDuty detecta un comportamiento sospechoso o inesperado en su AWS entorno, genera un hallazgo. Un hallazgo es una notificación que contiene los detalles sobre un posible problema de seguridad que se GuardDuty descubre. [Visualización de los hallazgos generados en la consola GuardDuty](guardduty_working-with-findings.md)Incluyen información sobre lo que ocurrió, qué AWS recursos estuvieron involucrados en la actividad sospechosa, cuándo se llevó a cabo e información relacionada que puede ayudarle a entender la causa raíz.
Uno de los datos más útiles de los detalles de los resultados es el **tipo de resultado**. El objetivo del tipo de resultado es proporcionar una descripción concisa pero comprensible del posible problema de seguridad. Por ejemplo, el tipo de PortProbeUnprotectedPort búsqueda GuardDuty *Recon:EC2/*le informa rápidamente de que, en algún lugar de su AWS entorno, una EC2 instancia tiene un puerto desprotegido que un posible atacante está investigando.
GuardDuty utiliza el siguiente formato para nombrar los distintos tipos de hallazgos que genera:
**ThreatPurpose:ResourceTypeAffected/ThreatFamilyName. DetectionMechanism\$1 Artefacto**
Cada parte de este formato representa un aspecto de un tipo de resultado. Estos aspectos tienen las siguientes explicaciones:
+ **ThreatPurpose**- describe el objetivo principal de una amenaza, el tipo de ataque o la fase de un posible ataque. Consulte la siguiente sección para obtener una lista completa de los propósitos de las GuardDuty amenazas.
+ **ResourceTypeAffected**- describe qué tipo de AWS recurso se identifica en este hallazgo como el objetivo potencial de un adversario. Actualmente, GuardDuty puede generar resultados para los tipos de recursos que se enumeran en el[GuardDuty tipos de búsqueda activos](guardduty_finding-types-active.md#findings-table).
+ **ThreatFamilyName**- describe la amenaza general o la posible actividad maliciosa que GuardDuty se está detectando. Por ejemplo, un valor de **NetworkPortUnusual**indica que una EC2 instancia identificada en el GuardDuty hallazgo no tiene un historial previo de comunicaciones en un puerto remoto concreto que también esté identificado en el hallazgo.
+ **DetectionMechanism**- describe el método con el que GuardDuty se detectó el hallazgo. Se puede usar para indicar una variación de un tipo de hallazgo común o un hallazgo que GuardDuty utilizó un mecanismo específico para detectarlo. Por ejemplo, **Backdoor:EC2/DenialOfService.Tcp** indica que se detectó una denegación de servicio (DoS) a través de TCP. La variante UDP es **Backdoor: EC2**/.UDP. DenialOfService
Un valor de **.Custom** indica que GuardDuty se detectó el hallazgo en función de sus listas de amenazas personalizadas. Para obtener más información, consulte [Listas de entidades y listas de direcciones IP](guardduty_upload-lists.md).
Un valor de **.Reputation** indica que GuardDuty se detectó el hallazgo mediante un modelo de puntuación de reputación de dominio. Para obtener más información, consulte [Cómo AWS rastrea las principales amenazas de seguridad de la nube y ayuda a eliminarlas.](https://aws.amazon.com/blogs/security/how-aws-tracks-the-clouds-biggest-security-threats-and-helps-shut-them-down/)
+ **Artefacto**: describe un recurso específico que es propiedad de una herramienta que se utiliza en la actividad maliciosa. Por ejemplo, el **DNS** del tipo de búsqueda [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns) indica que una EC2 instancia de Amazon se está comunicando con un dominio conocido relacionado con Bitcoin.
**nota**
El artefacto es opcional y puede que no esté disponible para todos los tipos de GuardDuty búsqueda.
## Propósitos de amenaza
En GuardDuty una *amenaza, el propósito* describe el objetivo principal de una amenaza, un tipo de ataque o la fase de un posible ataque. Por ejemplo, algunos propósitos de amenaza, como **Backdoor**, indican un tipo de ataque. Sin embargo, algunos propósitos de amenaza, como **Impact**, se alinean con las [tácticas de MITRE ATT&CK](https://attack.mitre.org/tactics/TA0010/). Las tácticas de MITRE ATT&CK indican distintas fases del ciclo de ataque del adversario. En la versión actual de GuardDuty, ThreatPurpose puede tener los siguientes valores:
**Backdoor**
Este valor indica que un adversario ha puesto en peligro un AWS recurso y lo ha modificado para que pueda ponerse en contacto con su servidor de comando y control (C&C) local y recibir más instrucciones sobre una actividad maliciosa.
**Comportamiento**
Este valor indica que GuardDuty ha detectado una actividad o patrones de actividad diferentes de la línea base establecida para los AWS recursos involucrados.
**CredentialAccess**
Este valor indica que GuardDuty ha detectado patrones de actividad que un adversario podría utilizar para robar credenciales, como contraseñas, nombres de usuario y claves de acceso, de su entorno. Este propósito de amenaza se basa en las [tácticas de MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Cryptocurrency**
Este valor indica que GuardDuty ha detectado que un AWS recurso de su entorno aloja software asociado a criptomonedas (por ejemplo, Bitcoin).
**DefenseEvasion**
Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar para evitar ser detectado mientras se infiltra en su entorno. Este propósito de amenaza se basa en las [tácticas de MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Discovery**
Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar para ampliar su conocimiento de sus sistemas y redes internas. Este propósito de amenaza se basa en las [tácticas de MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Execution**
Este valor indica que GuardDuty ha detectado que un adversario puede intentar ejecutar o ya ha ejecutado un código malicioso para explorar el AWS entorno o robar datos. Este propósito de amenaza se basa en las [tácticas de MITRE ATT&CK](https://attack.mitre.org/tactics/TA0002/).
**Exfiltration**
Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar al intentar robar datos de su entorno. Este propósito de amenaza se basa en las [tácticas de MITRE ATT&CK](https://attack.mitre.org/tactics/TA0010/).
**Impact**
Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que sugieren que un adversario está intentando manipular, interrumpir o destruir sus sistemas y datos. Este propósito de amenaza se basa en las [tácticas de MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**InitialAccess**
Este valor generalmente se asocia con la etapa de acceso inicial de un ataque cuando un adversario intenta establecer acceso al entorno. Este propósito de amenaza se basa en las [tácticas de MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Pentest**
A veces, los propietarios de AWS los recursos o sus representantes autorizados realizan pruebas intencionadas en las AWS aplicaciones para detectar vulnerabilidades, como grupos de seguridad abiertos o claves de acceso demasiado permisivas. Estas pruebas de intrusión son un intento de identificar y bloquear los recursos vulnerables antes de que los descubran los adversarios. Sin embargo, algunas de las herramientas que se utilizan para las pruebas de intrusión autorizadas están disponibles de forma gratuita y, por tanto, los usuarios no autorizados o los adversarios pueden utilizarlas para llevar a cabo pruebas de sondeo. Si bien no GuardDuty puede identificar el verdadero propósito de dicha actividad, el valor de **Pentest** indica que GuardDuty se está detectando dicha actividad, que es similar a la que generan las conocidas herramientas de prueba con lápiz óptico y que podría indicar que se está realizando un sondeo malintencionado de la red.
**Persistencia**
Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar para intentar mantener el acceso a sus sistemas aunque su ruta de acceso inicial esté cortada. Por ejemplo, esto podría incluir la creación de un nuevo usuario de IAM después de obtener acceso a través de las credenciales afectadas de un usuario existente. Cuando se eliminen las credenciales del usuario existente, el adversario retendrá el acceso al nuevo usuario que no se haya detectado como parte del evento original. Este propósito de amenaza se basa en las [tácticas de MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Política**
Este valor indica que su Cuenta de AWS comportamiento va en contra de las mejores prácticas de seguridad recomendadas. Por ejemplo, la modificación no intencionada de las políticas de permisos asociadas a los recursos o el entorno de AWS , y el uso de cuentas privilegiadas cuyo uso debería ser escaso o nulo.
**PrivilegeEscalation**
Este valor le informa de que la entidad principal implicada dentro de su entorno de AWS presenta un comportamiento que un adversario podría utilizar para obtener permisos de nivel superior para acceder a su red. Este propósito de amenaza se basa en las [tácticas de MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Recon**
Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar al realizar un reconocimiento de su entorno para determinar cómo puede ampliar su acceso o utilizar sus recursos. Por ejemplo, esta actividad puede incluir la búsqueda de vulnerabilidades en el entorno de AWS mediante el sondeo de puertos, la realización de llamadas a API, la enumeración de usuarios y la enumeración de tablas de bases de datos, entre otras cosas.
**Stealth**
Este valor indica que un adversario está intentando ocultar sus acciones de forma activa. Por ejemplo, podrían utilizar un servidor proxy anonimizador, lo que dificultaría enormemente evaluar la verdadera naturaleza de la actividad.
**Trojan**
Este valor indica que un ataque está utilizando programas troyanos que llevan a cabo actividad maliciosa sigilosamente. En ocasiones, este software tiene el aspecto de un programa legítimo. A veces, los usuarios ejecutan accidentalmente este software. Otras veces, este software puede ejecutarse automáticamente mediante la explotación de una vulnerabilidad.
**UnauthorizedAccess**
Este valor indica que GuardDuty se está detectando una actividad sospechosa o un patrón de actividad sospechoso por parte de una persona no autorizada.
# GuardDuty motor de escaneo de detección de malware
Amazon GuardDuty tiene un motor de escaneo creado y administrado internamente y un [proveedor externo](https://www.bitdefender.com/blog/businessinsights/bitdefender-and-amazon-web-services-strengthen-cloud-security/). Ambos utilizan indicadores de compromiso (IoCs) procedentes de varios feeds internos que permiten ver los distintos tipos de malware a los que pueden dirigirse AWS. GuardDuty también incluye definiciones de detección basadas en las reglas de YARA añadidas por nuestros ingenieros de seguridad, y detecciones basadas en modelos heurísticos y de aprendizaje automático (ML). Al escanear objetos de Amazon S3, GuardDuty Malware Protection produce resultados consistentes al escanear el mismo objeto varias veces con las mismas definiciones y motores de escaneo. La detección basada en firmas no se limita a la coincidencia de bytes, sino que también incluye fragmentos de código potencialmente complejos, lo que permite al escáner analizar el contenido y tomar decisiones.
El motor de análisis de malware no realiza análisis de comportamiento en vivo, en los que la detonación de malware supervisa la muestra mientras se ejecuta en un sistema real. La GuardDuty solución consiste principalmente en una detección basada en archivos. Para detectar malware sin archivos, GuardDuty proporciona una solución basada en agentes, como Amazon EKS, [Supervisión en tiempo de ejecución](runtime-monitoring.md) Amazon EC2 y Amazon ECS (incluidas). AWS Fargate
Sin restricciones en cuanto a los formatos de archivo que GuardDuty escanean en busca de malware, los motores de escaneo que utiliza pueden detectar diferentes tipos de malware, como los criptomineros, el ransomware y los webshells. El motor de GuardDuty análisis, totalmente gestionado, actualiza continuamente la lista de firmas de malware cada 15 minutos.
El motor de escaneo forma parte del sistema de inteligencia de GuardDuty amenazas que utiliza un componente interno de detonación de malware. Esto permite generar nueva inteligencia sobre amenazas mediante la recopilación autónoma de muestras de malware y archivos benignos provenientes de diversos orígenes. El tipo de IoC de hash de archivo del sistema de inteligencia de amenazas se integra además con el motor de análisis de malware para detectar malware basado en hashes de archivos maliciosos conocidos.
# Generación de hallazgos de muestra en GuardDuty
Amazon le GuardDuty ayuda a generar muestras de resultados para visualizar y comprender los distintos tipos de hallazgos que puede generar. Al generar muestras de resultados, GuardDuty rellena la lista de hallazgos actual con una muestra por cada tipo de hallazgo admitido, incluidos los tipos de búsqueda de secuencias de ataques.
Las muestras generadas son aproximaciones rellenadas con valores de marcador de posición. Es posible que estas muestras tengan un aspecto diferente al de los resultados reales de su entorno, pero puede utilizarlas para probar distintas configuraciones GuardDuty, como los EventBridge eventos o los filtros. Para consultar la lista de valores disponibles para los tipos de resultados, consulte la tabla [GuardDuty buscar tipos](guardduty_finding-types-active.md).
## Generar ejemplos de resultados a través de la GuardDuty consola o la API
Elija el método de acceso que prefiera para generar resultados de muestra.
**nota**
La GuardDuty consola le ayuda a generar uno para cada tipo de hallazgo. Para generar uno o más tipos de búsqueda específicos, lleve a cabo los API/CLI pasos correspondientes.
------
#### [ Console ]
Use el procedimiento siguiente para generar resultados de muestra. Este proceso genera un hallazgo de muestra para cada tipo de GuardDuty hallazgo.
****
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, seleccione **Configuración**.
1. En la página **Settings**, en **Sample findings**, elija **Generate sample findings**.
1. En el panel de navegación, seleccione **Resultados**. Los resultados de muestra se muestran en la página **Resultados actuales** con el prefijo **[SAMPLE]**.
------
#### [ API/CLI ]
Puede generar una única búsqueda de muestra que coincida con cualquiera de los tipos de GuardDuty búsqueda a través de la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html)API; los valores disponibles para los tipos de búsqueda se muestran en [GuardDuty buscar tipos](guardduty_finding-types-active.md) la tabla.
Esto resulta útil para probar las reglas de los CloudWatch eventos o para automatizarlas en función de los resultados. En el siguiente ejemplo, se muestra cómo generar un solo resultado de muestra del tipo `Backdoor:EC2/DenialOfService.Tcp` con la AWS CLI.
Para encontrar las `detectorId` correspondientes a tu cuenta y a la región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp
```
------
El título de los resultados de muestra generados mediante estos métodos siempre comienza con **[SAMPLE]** en la consola. Los resultados de muestra tienen un valor `"sample": true` en la sección **additionalInfo** de los detalles de los resultados de JSON.
Para comprender los detalles del resultado, como la gravedad del resultado y el recurso potencialmente comprometido, asociados a los resultados generados, consulte [Niveles de gravedad de GuardDuty los hallazgos](guardduty_findings-severity.md) y [Detalles de los resultados](guardduty_findings-summary.md).
Para obtener algunos resultados comunes basados en una actividad simulada en un entorno específico y aislado Cuenta de AWS , consulte[Pruebe GuardDuty los resultados en cuentas dedicadas](guardduty_findings-scripts.md).
# Pruebe GuardDuty los resultados en cuentas dedicadas
Utilice este documento para ejecutar un script de prueba que genere GuardDuty resultados a partir de los recursos de prueba que se desplegarán en su Cuenta de AWS ordenador. Puede realizar estos pasos si desea comprender y obtener información sobre determinados tipos de GuardDuty hallazgos y cómo los detalles de la búsqueda buscan los recursos reales de su cuenta. Esta experiencia es diferente a la de generar [Ejemplos de hallazgos](sample_findings.md). Para obtener más información sobre la experiencia de probar GuardDuty los resultados, consulte[Consideraciones](#considerations-generate-gdu-findings-tester).
**Topics**
+ [Consideraciones](#considerations-generate-gdu-findings-tester)
+ [GuardDuty hallazgos que el script del probador puede generar](#gdu-findings-tester-generates)
+ [Paso 1: Requisitos previos](#prerequisites-gdu-tester-script)
+ [Paso 2: Despliegue AWS los recursos](#deploy-gdu-tester-script)
+ [Paso 3: Ejecute los scripts de la herramienta de pruebas](#run-gdu-tester-script)
+ [Paso 4: Limpiar los recursos AWS de prueba](#clean-gdu-tester-script-resources)
+ [Solución de problemas comunes de](#troubleshooting-gdu-tester-script-issues)
## Consideraciones
Antes de continuar, tenga en cuenta las siguientes consideraciones:
+ GuardDuty recomienda implementar el comprobador en un lugar dedicado que no sea Cuenta de AWS de producción. Este enfoque garantizará que pueda identificar adecuadamente los GuardDuty hallazgos generados por el evaluador. Además, el GuardDuty evaluador despliega una variedad de recursos que pueden requerir permisos de IAM más allá de lo permitido en otras cuentas. Al utilizar una cuenta dedicada, se garantiza que los permisos se puedan delimitar correctamente con un límite de cuenta claro.
+ El script del evaluador genera más de 100 GuardDuty resultados con diferentes combinaciones de recursos. AWS Actualmente, esto no incluye todos los [GuardDuty buscar tipos](guardduty_finding-types-active.md). Para obtener una lista de los tipos de resultados que puede generar con este script de la herramienta de pruebas, consulte [GuardDuty hallazgos que el script del probador puede generar](#gdu-findings-tester-generates).
**Nota**
Para visualizar los *tipos de búsqueda de secuencias de ataque*, el script del probador genera solo [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster) y [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data). Para visualizar y comprender las [AttackSequence:IAM/CompromisedCredentials](guardduty-attack-sequence-finding-types.md#attack-sequence-iam-compromised-credentials), puedes generar los [Ejemplos de hallazgos](sample_findings.md) en su cuenta.
+ Para que el GuardDuty evaluador funcione como se espera, GuardDuty debe estar habilitado en la cuenta en la que se despliegan los recursos del evaluador. En función de las pruebas que se ejecuten, el evaluador evalúa si los planes de GuardDuty protección adecuados están habilitados o no. En el caso de cualquier plan de protección que no esté activado, GuardDuty solicitará permiso para activar los planes de protección necesarios durante el tiempo suficiente GuardDuty para realizar las pruebas que generen resultados. Más adelante, GuardDuty desactivará el plan de protección una vez que se hayan completado las pruebas.
**Habilitando GuardDuty por primera vez**
Cuando GuardDuty se active en tu cuenta dedicada por primera vez en una región específica, tu cuenta se inscribirá automáticamente en una prueba gratuita de 30 días.
GuardDuty ofrece planes de protección opcionales. En el momento de la activación GuardDuty, algunos planes de protección también se habilitan y se incluyen en la prueba gratuita de GuardDuty 30 días. Para obtener más información, consulte [Uso de una GuardDuty prueba gratuita de 30 días](guardduty-pricing.md#using-guardduty-30-day-free-trial).
**GuardDuty ya estaba activado en su cuenta antes de ejecutar el script de prueba**
Cuando ya GuardDuty esté activado, el script del comprobador comprobará, en función de los parámetros, el estado de la configuración de determinados planes de protección y otros ajustes a nivel de cuenta necesarios para generar los resultados.
Al ejecutar este script de la herramienta de pruebas, es posible que ciertos planes de protección se habiliten por primera vez en la cuenta dedicada en una región. Esto iniciará la prueba gratuita de 30 días para ese plan de protección. Para obtener información sobre la prueba gratuita asociada a cada plan de protección, consulte [Uso de una GuardDuty prueba gratuita de 30 días](guardduty-pricing.md#using-guardduty-30-day-free-trial).
+ Mientras la infraestructura del GuardDuty comprobador esté implementada, es posible que ocasionalmente reciba [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient) los resultados de la PenTest instancia.
## GuardDuty hallazgos que el script del probador puede generar
Actualmente, el script de la herramienta de pruebas genera los siguientes tipos de resultados relacionados con los registros de auditoría de Amazon EC2, Amazon EKS, Amazon S3, IAM y EKS:
+ [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)
+ [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation)
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-maliciousipcallercustom)
+ [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce)
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce)
+ [PenTest:IAMUser/KaliLinux](guardduty_finding-types-iam.md#pentest-iam-kalilinux)
+ [Recon:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#recon-iam-maliciousipcallercustom)
+ [Recon:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#recon-iam-toripcaller)
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](guardduty_finding-types-iam.md#stealth-iam-cloudtrailloggingdisabled)
+ [Stealth:IAMUser/PasswordPolicyChange](guardduty_finding-types-iam.md#stealth-iam-passwordpolicychange)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcallercustom)
+ [UnauthorizedAccess:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-toripcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcallercustom)
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-successfulanonymousaccess)
+ [Discovery:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-containerwithsensitivemount)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted)
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privilegeescalation-kubernetes-privilegedcontainer)
+ [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](lambda-protection-finding-types.md#unauthorized-access-lambda-maliciousIPcaller-custom)
+ [Discovery:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#discovery-s3-maliciousipcallercustom)
+ [Discovery:S3/TorIPCaller](guardduty_finding-types-s3.md#discovery-s3-toripcaller)
+ [PenTest:S3/KaliLinux](guardduty_finding-types-s3.md#pentest-s3-kalilinux)
+ [Policy:S3/AccountBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-accountblockpublicaccessdisabled)
+ [Policy:S3/BucketAnonymousAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketanonymousaccessgranted)
+ [Policy:S3/BucketBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-bucketblockpublicaccessdisabled)
+ [Policy:S3/BucketPublicAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketpublicaccessgranted)
+ [Stealth:S3/ServerAccessLoggingDisabled](guardduty_finding-types-s3.md#stealth-s3-serveraccessloggingdisabled)
+ [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#unauthorizedaccess-s3-maliciousipcallercustom)
+ [UnauthorizedAccess:S3/TorIPCaller](guardduty_finding-types-s3.md#unauthorizedaccess-s3-toripcaller)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [DefenseEvasion:Runtime/ProcessInjection.Ptrace](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionptrace)
+ [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionvirtualmemw)
+ [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
## Paso 1: Requisitos previos
Para preparar el entorno de prueba, necesitará los siguientes elementos:
+ **Git**: instale la herramienta de línea de comandos git en función del sistema operativo que utilice.
Esto se necesita para clonar el [repositorio de `amazon-guardduty-tester`](https://github.com/awslabs/amazon-guardduty-tester).
+ **AWS Command Line Interface**— Una herramienta de código abierto que permite interactuar con ella Servicios de AWS mediante comandos de la consola de la línea de comandos. Para obtener más información, consulte [Introducción a AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) en la *Guía del usuario de AWS Command Line Interface *.
+ **AWS Systems Manager**— Para iniciar sesiones del administrador de sesiones con los nodos gestionados mediante el uso, AWS CLI debe instalar el complemento del administrador de sesiones en su máquina local. Para obtener más información, consulte [Instalar el complemento del Administrador de sesiones para AWS CLI](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html) en la *Guía del usuario de AWS Systems Manager *
+ **Administrador de paquetes de nodos (NPM)**: instale el NPM para instalar todas las dependencias.
+ **Docker**: debe tener Docker instalado. Para obtener instrucciones de instalación, consulte el [sitio web de Docker](https://docs.docker.com/get-docker/).
Para verificar que Docker ha sido instalado, ejecute el siguiente comando y confirme que hay una salida similar a la siguiente:
```
$ docker --version
Docker version 19.03.1
```
+ Suscríbase a la imagen de [Kali Linux](https://aws.amazon.com/marketplace/pp/prodview-fznsw3f7mq7to) en el *AWS Marketplace*.
## Paso 2: Despliegue AWS los recursos
Esta sección proporciona una lista de conceptos clave y los pasos para implementar determinados recursos de AWS en la cuenta dedicada.
### Conceptos
En la siguiente lista se ofrecen conceptos clave relacionados con los comandos que sirven para implementar los recursos:
+ **AWS Cloud Development Kit (AWS CDK)**— CDK es un marco de desarrollo de software de código abierto para definir la infraestructura de la nube en el código y aprovisionarla mediante ella. CloudFormation CDK admite un par de lenguajes de programación para definir componentes en la nube reutilizables conocidos como constructos. Puedes combinarlos en pilas y aplicaciones. Luego, puede implementar sus aplicaciones de CDK para aprovisionar o CloudFormation actualizar sus recursos. Para obtener más información, consulte [¿Qué es? AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/home.html) en la *Guía para AWS Cloud Development Kit (AWS CDK) desarrolladores*.
+ **Bootstrapping**: es el proceso de preparar el AWS entorno para su uso con. AWS CDK Antes de implementar una pila de CDK en un AWS entorno, primero se debe iniciar el entorno. Este proceso de aprovisionamiento de AWS los recursos específicos de su entorno que AWS CDK utiliza forma parte de los pasos que realizará en la siguiente sección:. [Pasos para implementar los recursos AWS](#steps-deploy-resource-test-guardduty-findings)
Para obtener más información sobre cómo funciona el arranque, consulte [Arranque](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html) en la *Guía del desarrollador de AWS Cloud Development Kit (AWS CDK) *.
### Pasos para implementar los recursos AWS
Siga los siguientes pasos para comenzar a implementar los recursos:
1. Configure su cuenta y región AWS CLI predeterminadas, a menos que las variables de región de la cuenta dedicada se configuren manualmente en el `bin/cdk-gd-tester.ts` archivo. Para obtener más información, consulte [Entornos](https://docs.aws.amazon.com/cdk/v2/guide/environments.html) en la *Guía para desarrolladores de AWS Cloud Development Kit (AWS CDK) *.
1. Ejecute los siguientes comandos para implementar los recursos:
```
git clone https://github.com/awslabs/amazon-guardduty-tester && cd amazon-guardduty-tester
npm install
cdk bootstrap
cdk deploy
```
El último comando (`cdk deploy`) crea una CloudFormation pila en tu nombre. El nombre de esta pila es **GuardDutyTesterStack**.
Como parte de este script, GuardDuty crea nuevos recursos para generar GuardDuty resultados en tu cuenta. Además, agrega el siguiente par de clave y valor de etiqueta a las instancias de Amazon EC2:
`CreatedBy`:`GuardDuty Test Script`
Las instancias de Amazon EC2 también incluyen las instancias de EC2 que alojan nodos de EKS y clústeres de ECS.
**Tipos de instancias**
GuardDuty está diseñado para utilizar tipos de instancias rentables que proporcionen el rendimiento mínimo necesario para llevar a cabo las pruebas satisfactoriamente. Debido a los requisitos de vCPU, el grupo de nodos de Amazon EKS requiere `t3.medium`, y debido al aumento de la capacidad de red requerida para las pruebas de resultados de DenialOfService, el nodo controlador requiere `m6i.large`. Para todas las demás pruebas, GuardDuty utiliza el tipo de `t3.micro` instancia. Para obtener más información sobre los tipos de instancias, consulte [Tamaños disponibles](https://docs.aws.amazon.com/ec2/latest/instancetypes/gp.html#gp_sizes) en la *Guía de tipos de instancias de Amazon EC2*.
## Paso 3: Ejecute los scripts de la herramienta de pruebas
Se trata de un proceso de dos pasos en el que primero hay que iniciar una sesión con el controlador de prueba y, a continuación, ejecutar los scripts para generar GuardDuty resultados con combinaciones de recursos específicas.
### Parte A: Iniciar una sesión con el controlador de la prueba
1. Una vez implementados los recursos, guarde el código de la región en una variable de la sesión de terminal actual. Usa el siguiente comando y *us-east-1* sustitúyelo por el código de región en el que desplegaste los recursos:
```
$ REGION=us-east-1
```
1. El script de prueba solo está disponible a través de AWS Systems Manager (SSM). Para iniciar un shell interactivo en la instancia host del probador, consulte el host. **InstanceId**
1. Utilice el siguiente comando para iniciar la sesión para el script de la herramienta de pruebas:
```
aws ssm start-session
--region $REGION
--document-name AWS-StartInteractiveCommand
--parameters command="cd /home/ssm-user/py_tester && bash -l"
--target $(aws ec2 describe-instances
--region $REGION
--filters "Name=tag:Name,Values=Driver-GuardDutyTester"
--query "Reservations[].Instances[?State.Name=='running'].InstanceId"
--output text)
```
### Parte B: Generar resultados
El script de la herramienta de pruebas es un programa basado en Python que crea dinámicamente un script bash para generar resultados en función de los datos introducidos. Dispone de flexibilidad para generar conclusiones en función de uno o más tipos de AWS recursos, planes de GuardDuty protección [Propósitos de amenaza](guardduty_finding-format.md#guardduty_threat_purposes) (tácticas) o[GuardDuty hallazgos que el script del probador puede generar](#gdu-findings-tester-generates). [Orígenes de datos fundamentales](guardduty_data-sources.md)
Utilice los siguientes ejemplos de comandos como referencia y ejecute uno o varios comandos para generar los resultados que desee explorar:
```
python3 guardduty_tester.py
python3 guardduty_tester.py --all
python3 guardduty_tester.py --s3
python3 guardduty_tester.py --tactics discovery
python3 guardduty_tester.py --ec2 --eks --tactics backdoor policy execution
python3 guardduty_tester.py --eks --runtime only
python3 guardduty_tester.py --ec2 --runtime only --tactics impact
python3 guardduty_tester.py --log-source dns vpc-flowlogs
python3 guardduty_tester.py --finding 'CryptoCurrency:EC2/BitcoinTool.B!DNS'
```
Para obtener más información sobre los parámetros válidos, puede ejecutar el siguiente comando de ayuda:
```
python3 guardduty_tester.py --help
```
### Parte C: Revise los resultados generados
Elija el método que prefiera para ver los resultados generados en la cuenta.
------
#### [ GuardDuty console ]
1. Inicie sesión en Consola de administración de AWS y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación, seleccione **Resultados**.
1. En la tabla de resultados, seleccione el resultado del que desea ver los detalles. Se abrirá el panel de detalles del resultado. Para obtener información, consulte [Comprender y generar los GuardDuty hallazgos de Amazon](guardduty_findings.md).
1. Si desea filtrar estos resultados, utilice la clave y el valor de la etiqueta del recurso. Por ejemplo, para filtrar los resultados generados para las instancias de Amazon EC2, utilice el par de clave y valor de etiqueta `CreatedBy`:`GuardDuty Test Script` para la **Clave de etiqueta de instancia** y **Clave de etiqueta de instancia**.
------
#### [ API ]
+ Corre [ListFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)para ver los resultados de un identificador de detector específico. Puede especificar parámetros para filtrar resultados.
Para encontrar el `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
------
#### [ AWS CLI ]
+ Ejecuta el siguiente AWS CLI comando para ver los resultados generados *us-east-1* y sustitúyelos *12abc34d567e8fa901bc2d34EXAMPLE* por los valores adecuados:
```
aws guardduty list-findings --region us-east-1 --detector-id 12abc34d567e8fa901bc2d34EXAMPLE
```
Para encontrar el `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
Para obtener más información sobre los parámetros que puede utilizar para filtrar los resultados, consulte [list-findings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/list-findings.html) en la *Referencia de comandos de AWS CLI *.
------
## Paso 4: Limpiar los recursos AWS de prueba
La configuración a nivel de cuenta y otras actualizaciones del estado de la configuración realizadas durante [Paso 3: Ejecute los scripts de la herramienta de pruebas](#run-gdu-tester-script) vuelven al estado original cuando finaliza el script de la herramienta de pruebas.
Después de ejecutar el script del probador, puede optar por limpiar los recursos de la AWS prueba. Para ello, puede optar por uno de los siguientes métodos:
+ Use el siguiente comando:
```
cdk destroy
```
+ Elimine la CloudFormation pila con el nombre **GuardDutyTesterStack**. Para obtener información sobre los pasos, consulte [Eliminar una pila en la CloudFormation consola](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html).
## Solución de problemas comunes de
GuardDuty ha identificado los problemas más comunes y recomienda los siguientes pasos para solucionarlos:
+ `Cloud assembly schema version mismatch`— Actualice la AWS CDK CLI a una versión compatible con la versión de ensamblaje en la nube requerida o a la última versión disponible. Para obtener más información, consulte [Compatibilidad de la CLI con AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/versioning.html#cdk_toolkit_versioning).
+ `Docker permission denied`: agregue el usuario de la cuenta dedicada a los **docker** o **docker-users** de modo que la cuenta dedicada pueda ejecutar los comandos. Para obtener más información sobre los pasos, consulte la [opción de socket Daemon](https://docs.docker.com/reference/cli/dockerd/#daemon-socket-option).
+ `Your requested instance type is not supported in your requested Availability Zone`: algunas zonas de disponibilidad no admiten determinados tipos de instancias. Para identificar qué zonas de disponibilidad son compatibles con el tipo de instancia que prefiera y volver a intentar implementar AWS los recursos, lleve a cabo los siguientes pasos:
1. Elija el método que prefiera para determinar qué zonas de disponibilidad admiten el tipo de instancia:
------
#### [ Console ]
**Para identificar las zonas de disponibilidad que admiten el tipo de instancia de su preferencia**
1. Inicie sesión en la consola Amazon EC2 Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Con el selector de AWS regiones situado en la esquina superior derecha de la página, elija la región en la que desee lanzar la instancia.
1. En el panel de navegación, en **Instancias**, seleccione **Tipos de instancias**.
1. Elija el tipo de instancia de su preferencia de la tabla **Tipos de instancias**.
1. En **Redes**, consulte las regiones enumeradas en **Zonas de disponibilidad**.
Según esta información, es posible que tenga que elegir una nueva región en la que implementar los recursos.
------
#### [ AWS CLI ]
Ejecute el siguiente comando para ver una lista de las zonas de disponibilidad. Asegúrese de especificar el tipo de instancia que prefiera y la región ()*us-east-1*.
```
aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=instance-type,Values=Preferred instance type --region us-east-1 --output table
```
Para obtener más información sobre este comando, consulte [describe-instance-type-offerings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-instance-type-offerings.html) en la *Referencia de comandos de la AWS CLI *.
Al ejecutar este comando, si se produce un error, asegúrese de que utiliza la versión más reciente de la AWS CLI. Para obtener más información, consulte [Solución de problemas](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html) en la *Guía del usuario de AWS Command Line Interface *.
------
1. Intente volver a implementar los AWS recursos y especifique una zona de disponibilidad que sea compatible con el tipo de instancia que prefiera.
**Para volver a intentar implementar AWS los recursos**
1. Configure la región predeterminada en el archivo `bin/cdk-gd-tester.ts`.
1. Para especificar la zona de disponibilidad, abra el archivo `amazon-guardduty-tester/lib/common/network/vpc.ts`.
1. En este archivo, sustituya `maxAzs: 2,` por `availabilityZones: ['us-east-1a', 'us-east-1c'],` donde debe especificar las zonas de disponibilidad para el tipo de instancia.
1. Continúe con los pasos restantes en [Pasos para implementar los recursos AWS](#steps-deploy-resource-test-guardduty-findings).
# Visualización de los hallazgos generados en la consola GuardDuty
Cuando GuardDuty detecta una actividad que coincide con el patrón de un problema de seguridad, GuardDuty genera un hallazgo. Este resultado está asociado a un tipo de recurso que puede haberse visto comprometido durante esta actividad. Puede ver los detalles asociados a cada hallazgo que se GuardDuty genere.
Si utiliza una cuenta de GuardDuty administrador, puede ver los resultados generados en nombre de las cuentas de los miembros. Sin embargo, una cuenta de miembro puede ver los resultados generados en su propia cuenta. Una cuenta de miembro no puede ver los resultados generados por otras cuentas de miembro.
**Pasos para ver los resultados en la GuardDuty consola**
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. En el panel de navegación izquierdo, elija **Resultados**.
GuardDuty muestra los resultados en formato tabular. De forma predeterminada, esta tabla se ordena en orden decreciente según el valor de la columna **Vista por última vez** y muestra los resultados más recientes en la parte superior.
Los resultados con el icono de una espada (![\[Sword icon that represents attack sequence finding in GuardDuty console.\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/attack-sequences-icon.PNG)) representan un resultado de la secuencia de ataque.
1. Para ver los detalles asociados a un resultado, seleccione su **título**. Se abrirá el panel lateral de detalles del resultado. Para los resultados de una secuencia de ataque, este panel lateral incluye una *versión resumida* de la secuencia de ataque y, para ampliar esta vista, seleccione **Ver detalles**.
Para obtener información acerca de los campos que aparecen en este panel lateral, consulte [Detalles de los resultados](guardduty_findings-summary.md).
1.
**(Opcional) para descargar resultados JSON**
1. Seleccione el resultado y, a continuación, elija el menú **Acciones**.
1. En el menú **Acciones**, elija **Exportar**.
1. En la ventana **Resultados JSON**, seleccione **Descargar**.
**nota**
En algunos casos, GuardDuty se da cuenta de que algunos resultados son falsos positivos una vez generados. GuardDuty proporciona un campo de **confianza** en el JSON del hallazgo y establece su valor en cero. De esta GuardDuty forma, sabrá que puede ignorar estos hallazgos de forma segura.
Los resultados sin el campo **Confianza** no se consideran falsos positivos.
## Navegación en la página Resultados
Esta sección proporciona información clave sobre varios elementos de la página **Resultados**. Esto le ayudará a analizar los resultados generados para analizar las amenazas y responder a ellas.
En la siguiente lista se explican los elementos de la página **Resultados** que le ayudarán a comprender mejor los resultados generados:
+ **Tipo de amenaza**:
El tipo de amenaza incluye GuardDuty los hallazgos individuales y los hallazgos de la secuencia de ataque. De forma predeterminada, la página muestra **Todos los resultados**.
Para filtrar la vista de la tabla de resultados, en el menú **Tipo de amenaza**, seleccione una de las opciones: **Solo resultados de la secuencia de ataque** o **Solo resultados individuales**.
+ **Columnas de recursos y recuento**:
La columna **Recursos** de la tabla de hallazgos muestra el nombre del AWS recurso potencialmente comprometido. Para encontrar una secuencia de ataque, esta columna muestra la cantidad de AWS recursos potencialmente comprometidos. Para ver los nombres de los recursos, seleccione el *número* que aparece en la columna **Recurso**.
La columna **Recuento** indica el número de veces GuardDuty que se observa un hallazgo específico. Cuando GuardDuty detecta que una actividad coincide con un problema de seguridad identificado anteriormente, aumenta el recuento de ese hallazgo específico. En el caso de un resultado de la secuencia de un ataque, el valor de esta columna indica el número total de señales y resultados involucrados en la generación del resultado.
+ **Clasificación de los resultados por columnas de la tabla**:
Si hay una *flecha* junto al encabezado de una columna, puede ordenar la tabla de resultados en función de la columna. Seleccione el encabezado de la columna para ordenar los resultados en orden creciente o decreciente según el valor de esa columna.
+ **Filtrado de resultados**:
En función de atributos de propiedad específicos, como `Account ID` y `Resource type`, puede filtrar aún más la tabla de resultado. Para obtener más información sobre los tipos de filtros que puede utilizar, consulte [Filtrar GuardDuty los hallazgos](guardduty_filter-findings.md).
+ **Reglas de estado y guardadas**:
El menú **Estado** incluye dos valores: **Actual** y **Archivado.** La vista predeterminada es resultados **actuales** en la tabla.
Cuando ya no desee GuardDuty generar un resultado que coincida con un criterio específico, puede suprimirlo. GuardDuty archiva ese hallazgo. Cuando vuelva a GuardDuty detectar este hallazgo, no se le notificará esta observación. Para ver específicamente los resultados archivados, en el menú de **estado**, seleccione **Archivado**.
Las **reglas guardadas** son una característica que le ayuda a filtrar automáticamente los resultados que coinciden con un criterio específico y a tomar medidas al respecto. Las acciones pueden incluir archivar los resultados o suprimirlos de futuras notificaciones.
Para obtener más información, consulte [Reglas de supresión](findings_suppression-rule.md).
# Niveles de gravedad de GuardDuty los hallazgos
Cada GuardDuty hallazgo tiene un nivel de gravedad y un valor asignados que reflejan el riesgo potencial que el hallazgo podría suponer para su entorno, según lo determinen nuestros ingenieros de seguridad. El valor de la gravedad puede estar comprendido en cualquier lugar dentro del intervalo de 1,0 a 10,0, donde los valores superiores indican un mayor riesgo de seguridad. Para ayudarlo a determinar la respuesta a un posible problema de seguridad que se destaque en un hallazgo, GuardDuty desglosa este rango en niveles de gravedad *crítica*, *alta*, *media* y *baja*.
Un resultado de un tipo concreto puede tener una gravedad diferente según el contexto específico del resultado. Para ver una lista consolidada de los niveles de gravedad predeterminados para todos los tipos de GuardDuty hallazgos, consulte[GuardDuty tipos de búsqueda activos](guardduty_finding-types-active.md#findings-table).
En las siguientes secciones se explican los niveles de gravedad definidos para los GuardDuty hallazgos.
**Topics**
+ [Gravedad crítica](#guardduty-finding-severity-level-critical)
+ [Gravedad alta](#guardduty-finding-severity-level-high)
+ [Gravedad media](#guardduty-finding-severity-level-medium)
+ [Gravedad baja](#guardduty-finding-severity-level-low)
## Gravedad crítica
**Rango de valores**: 9,0 - 10,0
**Descripción**: un nivel de gravedad crítico indica que una secuencia de ataque puede estar en curso o haber ocurrido recientemente. Uno o más AWS recursos, como las credenciales de inicio de sesión de los usuarios de IAM y el bucket de Amazon S3, pueden estar en peligro o ya lo están.
**Recomendación**: GuardDuty recomienda priorizar la clasificación y la corrección de todos los hallazgos de gravedad crítica, ya que estos problemas pueden ser parte de un ataque de ransomware y agravarse en cualquier momento. Consulte los detalles sobre los recursos involucrados y comience a abordar los problemas de seguridad. Para obtener más información, consulte [Corrección de resultados](guardduty_remediate.md).
## Gravedad alta
**Rango de valores**: 7,0 - 8,9
**Descripción**: un nivel de seguridad alto indica que el recurso en cuestión (una instancia de Amazon EC2 o un conjunto de credenciales de inicio de sesión de usuarios de IAM) está en peligro y que se está utilizando activamente para fines no autorizados.
**Recomendación**: le GuardDuty recomienda que dé prioridad a cualquier problema de seguridad grave relacionado con la detección de problemas de seguridad y que tome medidas correctivas de inmediato para evitar un mayor uso no autorizado de sus recursos. Por ejemplo, limpie la instancia de Amazon EC2 o termínela, o rote las credenciales de IAM. Siga los pasos que se indican [Corrección de resultados](guardduty_remediate.md) para corregir el resultado.
## Gravedad media
**Rango de valores**: 4,0 - 6,9
**Descripción**: un nivel de gravedad mediano indica una actividad sospechosa que se desvía del comportamiento observado normalmente y, en función de su caso de uso, puede ser indicativo de un peligro para los recursos.
**Recomendación**: GuardDuty recomienda investigar el recurso potencialmente afectado lo antes posible. Los pasos de corrección variarán según el recurso y la familia de resultados. Un enfoque establecido consiste en confirmar que la actividad está autorizada y es coherente con su caso de uso. Si no puede identificar la causa o confirmar que la actividad está autorizada, debería considerar el recurso como afectado. Siga los pasos que se indican [Corrección de resultados](guardduty_remediate.md) para corregir el resultado.
Estas son algunas cosas a tener en cuenta al revisar un resultado de nivel mediano:
+ Compruebe si un usuario autorizado ha instalado nuevo software que haya cambiado el comportamiento de un recurso (por ejemplo, permitir un tráfico superior al normal o habilitar la comunicación en un nuevo puerto).
+ Verifique si un usuario autorizado cambió la configuración del plano de control; por ejemplo, si modificó la configuración de un grupo de seguridad.
+ Ejecute un examen antivirus en el recurso implicado para detectar software no autorizado.
+ Verifique los permisos asociados al rol de IAM, usuario, grupo o conjunto de credenciales implicados. Tal vez sea necesario cambiarlos o moverlos.
## Gravedad baja
**Rango de valores**: 1,0 - 3,9
**Descripción:** un nivel de gravedad bajo indica un intento de actividad sospechosa que no puso en peligro el entorno; por ejemplo, un análisis de puerto o un intento fallido de intrusión.
**Recomendación**: no hay ninguna acción recomendada inmediata, pero vale la pena tomar nota de esta información ya que puede indicar que alguien busca puntos débiles en el entorno.
# Detalles de los resultados
En la GuardDuty consola de Amazon, puedes ver los detalles de búsqueda en la sección de resumen de búsquedas. Los detalles de los resultados varían según el tipo de resultado.
Hay dos detalles principales que determinarán qué tipo de información está disponibles para cualquier resultado. El primero es el tipo de recurso, que puede ser `Instance`, `AccessKey`, `S3Bucket`, `S3Object`, `Kubernetes cluster`, `ECS cluster`, `Container`, `RDSDBInstance`, `RDSLimitlessDB` o `Lambda`. El segundo detalle que determina la información de los resultados es el **rol del recurso**. El rol del recurso puede ser `Target`, lo que significa que el recurso fue el blanco de una actividad sospechosa. En el caso de resultados por tipo de instancia, el rol del recurso también puede ser `Actor`, lo que significa que el recurso fue el actor que ha llevado a cabo la actividad sospechosa. En este tema, se describen algunos de los detalles de los resultados que se encuentran disponibles con más frecuencia. Para [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md) y [Tipo de resultado de la protección contra malware para S3](gdu-malware-protection-s3-finding-types.md), no se ha completado el rol del recurso.
**Topics**
+ [Información general de los resultados](#findings-summary-section)
+ [Recurso](#findings-resource-affected)
+ [Detalles de los resultados de la secuencia de ataque](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [Detalles de usuario de la base de datos (DB) de RDS](#rds-pro-db-user-details)
+ [Detalles del resultado de la supervisión en tiempo de ejecución](#runtime-monitoring-runtime-details)
+ [Detalles del análisis de volúmenes de EBS](#mp-ebs-volumes-scan-details)
+ [Detalles de los resultados de Malware Protection for EC2](#malware-protection-scan-details)
+ [Detalles de los resultados de la protección contra malware para S3](#gdu-malware-protection-for-s3-finding-details)
+ [Action](#finding-action-section)
+ [Actor u objetivo](#finding-actor-target)
+ [Detalles de geolocalización](#guardduty-finding-details-geolocation)
+ [Información adicional](#finding-additional-info)
+ [Evidencia](#finding-evidence)
+ [Comportamiento anómalo](#finding-anomalous)
## Información general de los resultados
La sección **Información general** de un resultado contiene las características identificativas más básicas del resultado, incluida la siguiente información:
+ **ID de cuenta**: el ID de la AWS cuenta en la que se llevó GuardDuty a cabo la actividad que provocó la generación de este hallazgo.
+ **Recuento**: el número de veces que GuardDuty se ha agregado una actividad que coincide con este patrón con este identificador de búsqueda.
+ **Hora de creación**: fecha y hora en que se ha creado este resultado por primera vez. Si este valor difiere de **Hora de actualización**, indica que la actividad se ha producido varias veces y es un problema continuo.
**nota**
Las marcas de tiempo de las búsquedas en la GuardDuty consola aparecen en la zona horaria local, mientras que las exportaciones de JSON y las salidas de CLI muestran las marcas de tiempo en UTC.
+ **ID de resultado**: un identificador único para este tipo de resultado y conjunto de parámetros. Las nuevas ocurrencias de actividad que coincidan con este patrón se añadirán al mismo ID.
+ **Tipo de resultado**: una cadena formateada que representa el tipo de actividad que ha desencadenado el resultado. Para obtener más información, consulte [GuardDuty formato de búsqueda](guardduty_finding-format.md).
+ **Región**: la AWS región en la que se generó el hallazgo. Para obtener más información acerca de las regiones admitidas, consulte [Regiones y puntos de conexión](guardduty_regions.md)
+ **ID de recurso**: el ID del AWS recurso con el que se llevó GuardDuty a cabo la actividad que provocó la generación de este hallazgo.
+ **ID de escaneo**: se aplica a los hallazgos cuando la protección contra GuardDuty malware para EC2 está habilitada y es un identificador del análisis de malware que se ejecuta en los volúmenes de EBS conectados a la carga de trabajo de la instancia de EC2 o del contenedor potencialmente comprometida. Para obtener más información, consulte [Detalles de los resultados de Malware Protection for EC2](#malware-protection-scan-details).
+ **Gravedad**: un nivel de gravedad crítica, alta, mediana o baja asignado al resultado. Para obtener más información, consulte [Niveles de gravedad de los resultados](guardduty_findings-severity.md).
+ **Actualizado** el: la última vez que se actualizó este hallazgo con una nueva actividad que coincidía con el patrón que llevó GuardDuty a generarlo.
## Recurso
El **recurso afectado** proporciona detalles sobre el AWS recurso al que se dirigió la actividad iniciadora. La información disponible variará según el tipo de recurso y el tipo de acción.
**Función de recurso**: la función del AWS recurso que inició la búsqueda. Este valor puede ser **TARGET** o **ACTOR** y representa si su recurso era el objetivo de la actividad sospechosa o si era el actor que ha llevado a cabo la actividad sospechosa, respectivamente.
**Tipo de recurso**: el tipo del recurso afectado. Si estuvieron involucrados varios recursos, un resultado puede incluir varios tipos de recursos. **Los tipos de recursos son **Instance **AccessKey****, **S3Bucket**, **S3Object**,,, **Container **KubernetesCluster**ECSCluster**RDSDBInstanceRDSLimitless********,** DB** y Lambda.** En función del tipo de recurso, habrá distintos detalles disponibles sobre el resultado. Seleccione una pestaña de opciones de recurso para obtener información sobre los detalles disponibles de ese recurso.
------
#### [ Instance ]
**Detalles de la instancia:**
**nota**
Es posible que falten algunos detalles de la instancia si esta ya se ha detenido o si la invocación a la API subyacente se ha originado en una instancia de EC2 en una región diferente al hacer una llamada a la API entre regiones.
+ **ID de instancia**: el ID de la instancia de EC2 implicada en la actividad que provocó la generación del hallazgo. GuardDuty
+ **Tipo de instancia**: el tipo de instancia de EC2 implicada en el resultado.
+ **Hora de lanzamiento**: la fecha y hora en que se lanzó la instancia.
+ **Outpost ARN:** el nombre del recurso de Amazon (ARN) de. AWS Outposts Solo se aplica a las instancias. AWS Outposts Para obtener más información, consulte [¿Qué es AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html) en la *Guía del usuario de bastidores Outposts*.
+ **Nombre del grupo de seguridad**: el nombre del grupo de seguridad asociado a la instancia en cuestión.
+ **ID del grupo de seguridad**: el ID del grupo de seguridad asociado a la instancia en cuestión.
+ **Estado de la instancia**: el estado actual de la instancia afectada.
+ **Zona de disponibilidad**: la zona de disponibilidad de la región de AWS en la que se encuentra la instancia en cuestión.
+ **ID de imagen**: el ID de la imagen de máquina de Amazon utilizada para crear la instancia implicada en la actividad.
+ **Descripción de la imagen**: una descripción del ID de la imagen de máquina de Amazon utilizada para crear la instancia implicada en la actividad.
+ **Etiquetas**: una lista de etiquetas adjuntas a este recurso, enumeradas en el formato de `key`-`value`.
------
#### [ AccessKey ]
**Detalles de la clave de acceso:**
+ **ID de clave** de acceso: ID de clave de acceso del usuario que participó en la actividad GuardDuty que provocó la generación del hallazgo.
+ **ID principal**: el ID principal del usuario que participó en la actividad que provocó GuardDuty la generación del hallazgo.
+ **Tipo de usuario**: el tipo de usuario que participó en la actividad que provocó GuardDuty la generación del hallazgo. Para obtener más información, consulte [Elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields).
+ **Nombre de usuario**: el nombre del usuario que participó en la actividad que provocó GuardDuty la generación del hallazgo.
------
#### [ S3Bucket ]
**Detalles del bucket de Amazon S3:**
+ **Nombre**: el nombre del bucket implicado en el resultado.
+ **ARN**: el ARN del bucket implicado en el resultado.
+ **Propietario**: el ID canónico del usuario propietario del bucket implicado en el resultado. Para obtener más información sobre el usuario canónico, IDs consulte los identificadores de [AWS cuenta](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html).
+ **Tipo**: el tipo de resultado del bucket, que puede ser de **Destino** o de **Origen**.
+ **Cifrado predeterminado del servidor**: los detalles de cifrado del bucket.
+ **Etiquetas del bucket**: una lista de etiquetas asociadas a este recurso, enumeradas en el formato de `key`-`value`.
+ **Permisos efectivos**: una evaluación de todos los permisos y políticas efectivos del bucket que indica si el bucket en cuestión está expuesto públicamente. Los valores pueden ser **Público** o **No público**.
------
#### [ S3Object ]
+ **Detalles del objeto de S3**: incluye la siguiente información sobre el objeto de S3 analizado:
+ **ARN**: nombre de recurso de Amazon (ARN) del objeto de S3 analizado.
+ **Clave**: el nombre asignado al archivo cuando se creó en el bucket de S3.
+ **ID de versión**: si ha habilitado el control de versiones del bucket, este campo indica el identificador de versión asociado a la versión más reciente del objeto de S3 analizado. Para obtener más información, consulte [Uso del control de versiones en buckets de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) en la *Guía de usuario de Amazon S3*.
+ **eTag**: representa la versión específica del objeto de S3 analizado.
+ **Hash**: hash de la amenaza detectada en este resultado.
+ **Detalles del bucket de S3**: incluye la siguiente información sobre el bucket de Amazon S3 asociado al objeto de S3 analizado:
+ **Nombre**: indica el nombre del bucket de S3 que contiene el objeto.
+ **ARN**: el nombre de recurso de Amazon (ARN) del bucket de S3.
+ **Propietario**:ID canónico del propietario del bucket de S3.
------
#### [ EKSCluster ]
**Detalles del clúster de Kubernetes:**
+ **Nombre**: el nombre del clúster de Kubernetes.
+ **ARN**: el ARN que identifica al clúster.
+ **Hora de creación**: fecha y hora en que se ha creado este clúster.
**nota**
Las marcas de tiempo de las búsquedas en la GuardDuty consola aparecen en la zona horaria local, mientras que las exportaciones de JSON y las salidas de CLI muestran las marcas de tiempo en UTC.
+ **ID de VPC**: el ID de la VPC asociada al clúster.
+ **Estado**: el estado actual del clúster.
+ **Etiquetas**: los metadatos que se aplican a los clústeres para ayudarle a categorizarlos y organizarlos. Cada etiqueta consta de una clave y un valor opcional, mostrada en el formato `key`-`value`. Puede definir tanto la clave como el valor.
Las etiquetas del clúster no se propagan a ningún otro recurso asociado al clúster.
**Detalles de la carga de trabajo de Kubernetes:**
+ **Tipo**: el tipo de carga de trabajo de Kubernetes, como el pod, la implementación y el trabajo.
+ **Nombre**: el nombre de la carga de trabajo de Kubernetes.
+ **Uid**: el ID único de la carga de trabajo de Kubernetes.
+ **Hora de creación**: fecha y hora en que se ha creado esta carga de trabajo.
+ **Etiquetas**: los pares de clave-valor asociados a la carga de trabajo de Kubernetes.
+ **Contenedores**: los detalles del contenedor que se ejecuta como parte de la carga de trabajo de Kubernetes.
+ **Espacio de nombres**: la carga de trabajo pertenece a este espacio de nombres de Kubernetes.
+ **Volúmenes**: los volúmenes que utiliza la carga de trabajo de Kubernetes.
+ **Ruta del host**: representa un archivo o directorio preexistente en la máquina host al que se asigna el volumen.
+ **Nombre**: el nombre del volumen.
+ **Contexto de seguridad del pod**: define la configuración de privilegios y control de acceso para todos los contenedores de un pod.
+ **Red de host**: se establece como `true` si los pods se han incluido en la carga de trabajo de Kubernetes.
**Detalles de usuario de Kubernetes:**
+ **Grupos**: grupos de RBAC (control basado en el acceso a roles) de Kubernetes del usuario que ha participado en la actividad que generó el resultado.
+ **ID**: el ID única del usuario de Kubernetes.
+ **Nombre de usuario**: nombre del usuario de Kubernetes que ha participado en la actividad que generó el resultado.
+ **Nombre de sesión**: entidad que ha asumido el rol de IAM con los permisos de RBAC de Kubernetes.
------
#### [ ECSCluster ]
**Detalles del clúster de ECS:**
+ **ARN**: el ARN que identifica al clúster.
+ **Nombre**: el nombre del clúster.
+ **Estado**: el estado actual del clúster.
+ **Recuento de servicios activos**: la cantidad de servicios que se ejecutan en el clúster en un estado `ACTIVE`. Puedes ver estos servicios con [ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html)
+ **Recuento de instancias de contenedor registradas**: el número de instancias de contenedor registradas en el clúster. Esto incluye las instancias de contenedor tanto en estado `ACTIVE` como `DRAINING`.
+ **Recuento de tareas en ejecución**: el número de tareas del clúster que se encuentran en estado `RUNNING`.
+ **Etiquetas**: los metadatos que se aplican a los clústeres para ayudarle a categorizarlos y organizarlos. Cada etiqueta consta de una clave y un valor opcional, mostrada en el formato `key`-`value`. Puede definir tanto la clave como el valor.
+ **Contenedores**: los detalles sobre el contenedor asociado a la tarea:
+ **Nombre del contenedor**: el nombre del contenedor.
+ **Imagen del contenedor**: la imagen del contenedor.
+ **Detalles de la tarea**: los detalles de una tarea en un clúster.
+ **ARN**: el nombre de recurso de Amazon (ARN) de la tarea.
+ **ARN de definición**: el nombre de recurso de Amazon (ARN) de la definición de tarea que crea esta.
+ **Versión**: el contador de versiones de la tarea.
+ **Hora de creación de la tarea**: la marca de tiempo de Unix en la que se ha creado la tarea.
+ **Hora de inicio de la tarea**: la marca de tiempo de Unix cuando se ha iniciado la tarea.
+ **Tarea iniciada por**: la etiqueta especificada cuando se inicia una tarea.
------
#### [ Container ]
**Detalles del contenedor:**
+ **Tiempo de ejecución del contenedor**: el tiempo de ejecución del contenedor (por ejemplo, `docker` o `containerd`) utilizado para ejecutar el contenedor.
+ **ID**: el ID de la instancia de contenedor o las entradas de ARN completas de la instancia de contenedor.
+ **Nombre**: el nombre del contenedor.
+ **Imagen**: la imagen de la instancia de contenedor.
+ **Monturas de volumen**: lista de monturas de volumen de contenedores. Un contenedor puede montar un volumen en su sistema de archivos.
+ **Contexto de seguridad**: el contexto de seguridad de contenedor define la configuración de privilegios y control de acceso de un contenedor.
+ **Detalles del proceso**: describe los detalles del proceso asociado al resultado.
------
#### [ RDSDBInstance ]
**RDSDBInstance detalles:**
**nota**
Este recurso está disponible en los resultados de RDS Protection relacionados con la instancia de base de datos.
+ **ID de instancia de base** de datos: el identificador asociado a la instancia de base de datos implicada en la GuardDuty búsqueda.
+ **Motor**: el nombre del motor de base de datos de la instancia de base de datos implicada en el resultado. Los valores posibles son Compatible con Aurora MySQL o Compatible con Aurora PostgreSQL.
+ **Versión del motor**: la versión del motor de base de datos que participó en la GuardDuty búsqueda.
+ **ID del clúster de base** de datos: el identificador del clúster de base de datos que contiene el ID de la instancia de base de datos implicada en la GuardDuty búsqueda.
+ **ARN de instancia de base** de datos: el ARN que identifica la instancia de base de datos implicada en el hallazgo. GuardDuty
------
#### [ RDSLimitlessDB ]
**RDSLimitlessDetalles de la base de datos:**
Este recurso está disponible en los resultados de RDS Protection relacionados con la versión de motor compatible de Limitless Database.
+ **Identificador del grupo de partición de base de datos**: el nombre asociado al grupo de partición de base de datos Limitless.
+ **ID de recurso del grupo de partición de base de datos**: el identificador de recursos del grupo de partición de base de datos dentro de la base de datos Limitless.
+ **ARN del grupo de partición de base de datos**: nombre de recurso de Amazon (ARN) que identifica el grupo de partición de base de datos.
+ **Motor**: el identificador de la base de datos Limitless implicada en los resultados.
+ **Versión de motor**: la versión del motor de la base de datos Limitless.
+ **Identificador del clúster de base de datos**: nombre del clúster de base de datos que forma parte de la base de datos Limitless.
Para obtener información sobre los detalles de usuario y de autenticación de la base de datos potencialmente afectada, consulte [Detalles de usuario de la base de datos (DB) de RDS](#rds-pro-db-user-details).
------
#### [ Lambda ]
**Detalles de la función de Lambda**
+ **Nombre de la función**: el nombre de la función de Lambda implicada en el resultado.
+ **Versión de la función**: la versión de la función de Lambda implicada en el resultado.
+ **Descripción de la función**: una descripción de la función de Lambda implicada en el resultado.
+ **ARN de la función**: el nombre de recurso de Amazon (ARN) de la función de Lambda implicada en el resultado.
+ **ID de revisión**: el ID de revisión de la versión de la función de Lambda.
+ **Rol**: el rol de ejecución de la función de Lambda implicada en el resultado.
+ Configuración de **VPC: la configuración** de Amazon VPC, que incluye el ID de VPC, el grupo de seguridad y la subred asociados a la función de Lambda. IDs
+ **ID de VPC**: el ID de Amazon VPC asociada a la función de Lambda implicada en el resultado.
+ **Subred IDs**: el ID de las subredes asociadas a la función Lambda.
+ **Grupo de seguridad**: el grupo de seguridad asociado a la función de Lambda implicada. Esto incluye el nombre del grupo de seguridad y el ID de grupo.
+ **Etiquetas**: una lista de etiquetas adjuntas a este recurso, con el formato de pares de `key`-`value`.
------
## Detalles de los resultados de la secuencia de ataque
GuardDuty proporciona detalles de cada hallazgo que genere en su cuenta. Estos detalles ayudan a entender los motivos del resultado. Esta sección se centra en los detalles relacionados con [Tipos de resultados de secuencias de ataque](guardduty-attack-sequence-finding-types.md). Esto incluye información como los recursos potencialmente afectados, el cronograma de los eventos, los indicadores, las señales y los puntos de conexión involucrados en el resultado.
Para ver los detalles asociados a las señales que son GuardDuty hallazgos, consulta las secciones correspondientes de esta página.
En la GuardDuty consola, al seleccionar una secuencia de ataque, el panel lateral de detalles se divide en las siguientes pestañas:
+ **Descripción general**: proporciona una vista compacta de los detalles de la secuencia de ataque, incluidas las señales, las tácticas de MITRE y los recursos potencialmente afectados.
+ **Señales**: muestra una cronología de los eventos que intervienen en una secuencia de ataque.
+ **Recursos**: proporciona información sobre los recursos potencialmente afectados o los recursos que están potencialmente en riesgo.
La siguiente lista proporciona descripciones asociadas a los detalles de resultados de la secuencia de ataque.
**Señales**
Una señal puede ser una actividad de la API o un hallazgo que se GuardDuty utiliza para detectar una secuencia de ataque. GuardDuty analiza las señales débiles que no se presentan como una amenaza clara, las agrupa y las correlaciona con los hallazgos generados individualmente. Para obtener más contexto, la pestaña **Señales** proporciona una cronología de las señales, tal y como se observa en. GuardDuty
Cada señal, es decir, un GuardDuty hallazgo, tiene su propio nivel de gravedad y valor asignado. En la GuardDuty consola, puede seleccionar cada señal para ver los detalles asociados.
**Actores**
Proporciona detalles sobre los actores de las amenazas en una secuencia de ataque. Para obtener más información, consulte [Actor](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html) in *Amazon GuardDuty API Reference*.
**Puntos de conexión**
Proporciona detalles sobre los puntos de conexión de la red que se utilizaron en esta secuencia de ataque. Para obtener más información, consulta [NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)*Amazon GuardDuty API Reference*. Para obtener información sobre cómo se GuardDuty determina la ubicación, consulte[Detalles de geolocalización](#guardduty-finding-details-geolocation).
**Indicadores**
Incluye datos observados que coinciden con el patrón de un problema de seguridad. Estos datos especifican por qué GuardDuty hay indicios de una actividad potencialmente sospechosa. Por ejemplo, cuando el nombre del indicador es`HIGH_RISK_API`, indica que se trata de una acción que suelen utilizar los actores de amenazas o de una acción delicada que puede tener un impacto potencial en una Cuenta de AWS persona, como acceder a las credenciales o modificar un recurso.
En la siguiente tabla se incluye una lista de indicadores potenciales y sus descripciones:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/guardduty_findings-summary.html)
**Tácticas de MITRE**
Este campo especifica las tácticas de MITRE ATT&CK que el actor de la amenaza intenta utilizar a través de una secuencia de ataque. GuardDuty utiliza el marco [MITRE ATT&ACK](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes), que añade contexto a toda la secuencia de ataque. Los colores que utiliza la GuardDuty consola para especificar los objetivos de amenaza utilizados por el autor de la amenaza se alinean con los colores que indican los valores crítico, alto, medio y bajo. [Niveles de gravedad de los resultados](guardduty_findings-severity.md)
**Indicadores de red**
Los indicadores incluyen una combinación de valores de indicadores de red que explican por qué una red es indicativa de un comportamiento sospechoso. Esta sección es aplicable solo cuando el **indicador** incluye `SUSPICIOUS_NETWORK` o`MALICIOUS_IP`. El siguiente ejemplo muestra cómo se pueden asociar los indicadores de red a un indicador, donde:
+ *AnyCompany*es un sistema autónomo (AS).
+ `TUNNEL_VPN`, `IS_ANONYMOUS` y `ALLOWS_FREE_ACCESS` son los indicadores de la red.
```
...{
"key": "SUSPICIOUS_NETWORK",
"values": [{
"AnyCompany": [
"TUNNEL_VPN",
"IS_ANONYMOUS",
"ALLOWS_FREE_ACCESS"
]
}]
}
...
```
En la siguiente tabla se incluyen los valores de los indicadores de red y su descripción. Estas etiquetas se añaden en función de la información sobre amenazas GuardDuty recopilada de fuentes como Spur
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/guardduty_findings-summary.html)
## Detalles de usuario de la base de datos (DB) de RDS
**nota**
Esta sección se aplica a los resultados obtenidos al activar la función de protección RDS en GuardDuty. Para obtener más información, consulte [GuardDuty Protección RDS](rds-protection.md).
El GuardDuty hallazgo proporciona los siguientes detalles de usuario y autenticación de la base de datos potencialmente comprometida:
+ **Usuario**: el nombre de usuario utilizado para llevar a cabo el intento de inicio de sesión anómalo.
+ **Aplicación**: el nombre de la aplicación utilizada para llevar a cabo el intento de inicio de sesión anómalo.
+ **Base de datos**: el nombre de la instancia de base de datos implicada en el intento de inicio de sesión anómalo.
+ **SSL**: la versión de capa de sockets seguros (SSL) utilizada para la red.
+ **Método de autenticación**: el método de autenticación utilizado por el usuario implicado en el resultado.
Para obtener información acerca del recurso potencialmente afectado, consulte [Recurso](#findings-resource-affected).
## Detalles del resultado de la supervisión en tiempo de ejecución
**nota**
Es posible que estos detalles estén disponibles solo si GuardDuty genera uno de los[GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md).
Esta sección contiene los detalles del tiempo de ejecución, como los detalles del proceso y cualquier contexto necesario. Los detalles del proceso describen información sobre el proceso observado, y el contexto de ejecución describe cualquier información adicional sobre la actividad potencialmente sospechosa.
**Detalles del proceso**
+ **Nombre**: el nombre del proceso.
+ **Ruta ejecutable**: la ruta absoluta del archivo ejecutable del proceso.
+ **SHA-256 ejecutable**: el hash `SHA256` del ejecutable del proceso.
+ **PID del espacio de nombres**: el ID del proceso en un espacio de nombres de PID secundario distinto del espacio de nombres de PID del host. En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor.
+ **Directorio de trabajo actual**: el directorio de trabajo actual del proceso.
+ **ID del proceso**: el ID asignado al proceso por el sistema operativo.
+ **startTime**: la hora en la que se ha iniciado el proceso. Está en formato de cadena de fecha UTC (`2023-03-22T19:37:20.168Z`).
+ **UUID**: el identificador único asignado al proceso por GuardDuty.
+ **UUID principal**: el ID único del proceso principal. Este ID lo asigna al proceso principal. GuardDuty
+ **Usuario**: el usuario que ha ejecutado el proceso.
+ **ID del usuario**: el ID del usuario que ha ejecutado el proceso.
+ **ID del usuario efectivo**: el ID del usuario efectivo del proceso en el momento del evento.
+ **Linaje**: información sobre los antepasados del proceso.
+ **ID del proceso**: el ID asignado al proceso por el sistema operativo.
+ **UUID**: el identificador único asignado al proceso por GuardDuty.
+ **Ruta ejecutable**: la ruta absoluta del archivo ejecutable del proceso.
+ **ID del usuario efectivo**: el ID del usuario efectivo del proceso en el momento del evento.
+ **UUID principal**: el ID único del proceso principal. Este ID lo asigna al proceso principal. GuardDuty
+ **Hora de inicio**: la hora en la que se ha iniciado el proceso.
+ **PID del espacio de nombres**: el ID del proceso en un espacio de nombres de PID secundario distinto del espacio de nombres de PID del host. En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor.
+ **ID del usuario**: el ID del usuario que ejecutó el proceso.
+ **Nombre**: el nombre del proceso.
**Contexto del tiempo de ejecución**
De los siguientes campos, un resultado generado puede incluir solo los campos que son relevantes para el tipo de resultado.
+ **Origen de la montura**: la ruta en el host que monta el contenedor.
+ **Destino de la montura**: la ruta del contenedor que está asignada al directorio del host.
+ **Tipo de sistema de archivos**: representa el tipo de sistema de archivos montado.
+ **Marcas**: representan las opciones que controlan el comportamiento del evento implicado en este resultado.
+ **Proceso de modificación**: información sobre el proceso que ha creado o modificado un binario, un script o una biblioteca dentro de un contenedor en tiempo de ejecución.
+ **Modificado el**: la marca de tiempo en la que el proceso ha creado o modificado un binario, un script o una biblioteca dentro de un contenedor en tiempo de ejecución. Este campo está en formato de cadena de fecha UTC (`2023-03-22T19:37:20.168Z`).
+ **Ruta de la biblioteca**: la ruta a la nueva biblioteca que se ha cargado.
+ **Valor de precarga de LD**: el valor de la variable de entorno `LD_PRELOAD`.
+ **Ruta del socket**: la ruta al socket de Docker al que se accedió.
+ **Ruta al binario Runc**: la ruta al binario `runc`.
+ **Ruta del agente de lanzamiento**: la ruta al archivo del agente de lanzamiento del `cgroup`.
+ **Ejemplo de línea de comandos**: ejemplo de la línea de comandos implicada en la actividad potencialmente sospechosa.
+ **Categoría de herramienta**: categoría a la que pertenece la herramienta. Algunos ejemplos son las herramientas de puerta trasera, prueba de penetración, analizador de red y rastreador de red.
+ **Nombre de la herramienta**: el nombre de la herramienta potencialmente sospechosa.
+ **Ruta del script**: la ruta al script ejecutado que generó el resultado.
+ **Ruta del archivo de amenazas**: la ruta sospechosa en la que se encontraron los detalles de la inteligencia de amenazas.
+ **Nombre del servicio**: el nombre del servicio de seguridad que se ha desactivado.
+ **Nombre del módulo**: nombre del módulo que se carga en el kernel.
+ **Módulo SHA256**: el SHA256 hash del módulo.
+ **Ruta del archivo del módulo:** ruta del módulo cargado en el kernel.
## Detalles del análisis de volúmenes de EBS
**nota**
Esta sección se aplica a los hallazgos al activar el análisis GuardDuty de malware iniciado. [Malware Protection for EC2](malware-protection.md)
El análisis de volúmenes de EBS proporciona detalles sobre el volumen de EBS asociado a la carga de trabajo del contenedor o la instancia de EC2 potencialmente afectada.
+ **ID de análisis**: el identificador del análisis de malware.
+ **Análisis iniciado el**: la fecha y hora en que inició el análisis de malware.
+ **Análisis completado el**: la fecha y la hora en que se completó el análisis de malware.
+ **Identificador de búsqueda de activación**: el identificador de GuardDuty búsqueda del descubrimiento que inició este análisis de malware.
+ **Orígenes**: los valores potenciales son `Bitdefender` y `Amazon`.
Para obtener más información sobre el motor de análisis utilizado para detectar malware, consulte [GuardDuty motor de escaneo de detección de malware](guardduty-malware-detection-scan-engine.md).
+ **Detecciones de análisis**: la vista completa de los detalles y los resultados de cada análisis de malware.
+ **Recuento de elementos analizados**: el número total de archivos analizados. Proporciona detalles como `totalGb`, `files` y `volumes`.
+ **Recuento de elementos de amenazas detectadas**: el número total de `files` maliciosos detectados durante el análisis.
+ **Detalles de las amenazas de mayor gravedad**: los detalles de la amenaza de mayor gravedad detectada durante el análisis y el número de archivos maliciosos. Proporciona detalles como `severity`, `threatName` y `count`.
+ **Amenazas detectadas por nombre**: el elemento del contenedor que agrupa las amenazas de todos los niveles de gravedad. Proporciona detalles como `itemCount`, `uniqueThreatNameCount`, `shortened` y `threatNames`.
## Detalles de los resultados de Malware Protection for EC2
**nota**
Esta sección se aplica a los datos detectados al activar el análisis GuardDuty de malware iniciado. [Malware Protection for EC2](malware-protection.md)
Cuando el análisis de Malware Protection for EC2 detecte malware, podrá ver los detalles del análisis seleccionando el resultado correspondiente en la página de **resultados** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola. La gravedad del hallazgo de Malware Protection for EC2 depende de la gravedad del GuardDuty hallazgo.
La siguiente información está disponible en la sección **Amenazas detectadas** del panel de detalles.
+ **Nombre**: el nombre de la amenaza, obtenido al agrupar los archivos por detección.
+ **Gravedad**: el nivel de gravedad de la amenaza detectada.
+ **Hash**: el SHA-256 del archivo.
+ **Ruta de archivo**: la ubicación del archivo malicioso en el volumen de EBS.
+ **Nombre de archivo**: el nombre del archivo en el que se detectó la amenaza.
+ **ARN del volumen:** el ARN de los volúmenes de EBS analizados.
La siguiente información está disponible en la sección **Detalles del análisis de malware** del panel de detalles.
+ **ID de análisis**: el ID del análisis de malware.
+ **Análisis iniciado el**: la fecha y hora en que inició el análisis.
+ **Análisis completado el**: la fecha y la hora en que se completó el análisis.
+ **Archivos analizados**: el número total de archivos y directorios analizados.
+ **Total de GB analizados**: la cantidad de almacenamiento analizada durante el proceso.
+ **ID de búsqueda del desencadenante**: el identificador de GuardDuty búsqueda del hallazgo que inició este análisis de malware.
+ La siguiente información está disponible en la sección **Detalles del volumen** del panel de detalles.
+ **ARN del volumen**: el nombre de recurso de Amazon (ARN) del volumen.
+ **SnapshotARN**: el ARN de la instantánea del volumen de EBS.
+ **Estado**: el estado de análisis del volumen, como `Running`, `Skipped` y `Completed`.
+ **Tipo de cifrado**: el tipo de cifrado utilizado en el volumen. Por ejemplo, `CMCMK`.
+ **Nombre del dispositivo**: el nombre del dispositivo. Por ejemplo, `/dev/xvda`.
## Detalles de los resultados de la protección contra malware para S3
Los siguientes detalles del análisis de software malicioso están disponibles al activar GuardDuty tanto la protección contra malware para S3 en su dispositivo Cuenta de AWS:
+ **Amenazas**: una lista de las amenazas detectadas durante el análisis de malware.
**Múltiples amenazas potenciales en archivos de archivo**
Si tiene un archivo de archivo con varias amenazas potenciales, la protección contra malware para S3 solo informa de la primera amenaza detectada. Después de esto, el estado del escaneo se marca como completado. GuardDuty genera el tipo de búsqueda asociado y también envía EventBridge los eventos que genera. Para obtener más información sobre la supervisión de los escaneos de objetos de Amazon S3 mediante los EventBridge eventos, consulte el ejemplo de esquema de notificaciones de **THREATS\$1FOUND en**. [Producto del análisis del objeto S3](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)
+ **Ruta del elemento**: una lista de rutas de elementos anidados y detalles del hash del objeto de S3 analizado.
+ **Ruta del elemento anidado**: ruta del elemento del objeto de S3 analizado en el que se detectó la amenaza.
El valor de este campo solo estará disponible si el objeto de nivel superior es un archivo y si se detecta una amenaza dentro de un archivo.
+ **Hash**: hash de la amenaza detectada en este resultado.
+ **Orígenes**: los valores potenciales son `Bitdefender` y `Amazon`.
Para obtener más información sobre el motor de análisis utilizado para detectar malware, consulte [GuardDuty motor de escaneo de detección de malware](guardduty-malware-detection-scan-engine.md).
## Action
La **acción** de un resultado proporciona detalles sobre el tipo de actividad que desencadenó el resultado. La información disponible variará en función del tipo de acción.
**Tipo de acción**: el tipo de actividad del resultado. ****Este valor puede ser **NETWORK\$1CONNECTION, PORT\$1PROBE, DNS\$1REQUEST****, \$1CALL** o **RDS\$1LOGIN\$1ATTEMPT**. AWS\$1API**** La información disponible variará en función del tipo de acción:
+ **NETWORK\$1CONNECTION**: indica que hubo un intercambio de tráfico de la red entre la instancia de EC2 identificada y el host remoto. Este tipo de acción presenta la siguiente información adicional:
+ **Dirección de conexión: la dirección** de conexión de red observada en la actividad que provocó la generación del hallazgo. GuardDuty Puede ser uno de los siguientes valores:
+ **INBOUND**: indica que un host remoto inició una conexión con un puerto local en la instancia de EC2 identificada en su cuenta.
+ **OUTBOUND**: indica que la instancia de EC2 identificada inició una conexión a un host remoto.
+ **Desconocido**: indica que no se GuardDuty pudo determinar la dirección de la conexión.
+ **Protocolo**: el protocolo de conexión de red observado en la actividad que provocó GuardDuty la generación del hallazgo.
+ **IP local**: la dirección IP de origen original del tráfico que activó el resultado. Se puede usar esta información para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, la dirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el pod EKS.
+ **Bloqueado**: indica si el puerto objetivo está bloqueado.
+ **PORT\$1PROBE**: indica que un host remoto sondeó la instancia de EC2 identificada en varios puertos abiertos. Este tipo de acción presenta la siguiente información adicional:
+ **IP local**: la dirección IP de origen original del tráfico que activó el resultado. Se puede usar esta información para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, la dirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el pod EKS.
+ **Bloqueado**: indica si el puerto objetivo está bloqueado.
+ **DNS\$1REQUEST**: indica que la instancia de EC2 identificada consultó un nombre de dominio. Este tipo de acción presenta la siguiente información adicional:
+ **Protocolo**: el protocolo de conexión de red observado en la actividad que provocó GuardDuty la generación del hallazgo.
+ **Bloqueado**: indica si el puerto objetivo está bloqueado.
+ **AWS\$1API\$1CALL**: indica que se ha invocado una AWS API. Este tipo de acción presenta la siguiente información adicional:
+ **API**: el nombre de la operación de API que se invocó y, por lo tanto, se le pidió GuardDuty que generara este hallazgo.
**nota**
Estas operaciones también pueden incluir eventos que no pertenecen a la API capturados por AWS CloudTrail. Para obtener más información, consulte [Eventos ajenos a la API capturados por CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html).
+ **Agente de usuario**: el agente de usuario que hizo la solicitud de API. Este valor indica si la llamada se realizó desde Consola de administración de AWS, un AWS servicio AWS SDKs, el o el AWS CLI.
+ **CÓDIGO DE ERROR**: si una llamada fallida a la API ha desencadenado el resultado, se muestra el código de error de esa llamada.
+ **Nombre del servicio**: el nombre de DNS del servicio que ha intentado hace la llamada a la API que desencadenó el resultado.
+ **RDS\$1LOGIN\$1ATTEMPT**: indica que se intentó iniciar sesión en la base de datos potencialmente afectada desde una dirección IP remota.
+ **Dirección IP**: la dirección IP remota que se utilizó para llevar a cabo el intento de inicio de sesión potencialmente sospechoso.
## Actor u objetivo
Un resultado tendrá una sección **Actor** si el **Rol de recurso** era `TARGET`. Esto indica que su recurso fue objeto de actividad sospechosa y la sección **Actor** contendrá detalles sobre la entidad que tenía el recurso como objetivo.
Un resultado tendrá una sección **Objetivo** si el **Rol de recurso** era `ACTOR`. Esto indica que su recurso estuvo involucrado en actividad sospechosa contra un host remoto y esta sección contendrá información sobre la IP o el dominio que era el objetivo de su recurso.
La información disponible en la sección **Actor** u **Objetivo** puede incluir lo siguiente:
+ **Afiliado**: detalla si la AWS cuenta de la persona que llama a la API remota está relacionada con su GuardDuty entorno. Si este valor es `true`, la persona que llama a la API está afiliada a su cuenta de alguna manera; si es `false`, la persona que llama a la API es ajena a su entorno.
+ **ID de cuenta remota**: el ID de cuenta propietaria de la dirección IP saliente que se utilizó para acceder al recurso en la red final.
+ **Dirección IP**: la dirección IP implicada en la actividad que provocó GuardDuty la generación del hallazgo.
+ **Ubicación**: información de ubicación de la dirección IP implicada en la actividad que provocó GuardDuty la generación del hallazgo.
+ **Organización**: información de la organización del ISP sobre la dirección IP implicada en la actividad que motivó GuardDuty la generación del hallazgo.
+ **Puerto**: el número de puerto implicado en la actividad que motivó GuardDuty la generación del hallazgo.
+ **Dominio**: el dominio implicado en la actividad que motivó GuardDuty la generación del hallazgo.
+ **Dominio con sufijo**: el dominio de segundo y superior nivel implicado en una actividad que podría provocar la generación del hallazgo. GuardDuty Para obtener una lista de dominios de primer y segundo nivel, consulte la [lista de sufijos públicos](https://publicsuffix.org/).
## Detalles de geolocalización
GuardDuty determina la ubicación y la red de las solicitudes mediante bases de datos de MaxMind GeoIP. MaxMind informa de una precisión muy alta de sus datos a nivel de país, aunque la precisión varía según factores como el país y el tipo de dirección IP.
Para obtener más información MaxMind, consulte [Geolocalización MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Si cree que alguno de los datos de GeoIP es incorrecto, envíe una solicitud de corrección MaxMind a [MaxMindCorrect Geo IP2 ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Data.
## Información adicional
Todos los resultados tienen una sección de **Información adicional** donde se puede encontrar la siguiente información:
+ **Nombre de la lista de amenazas**: el nombre de la lista de amenazas que incluye la dirección IP o el nombre de dominio involucrados en la actividad GuardDuty que provocó la búsqueda.
+ **Muestra**: un valor verdadero o falso que indica si se trata de un resultado de muestra.
+ **Archivado**: un valor verdadero o falso que indica si el resultado se ha archivado.
+ **Inusual**: detalles de las actividades que no se han observado históricamente. Pueden incluir cualquier usuario, hora, ubicación, bucket, comportamiento de inicio de sesión u organización de ASN inusuales (no observados previamente).
+ **Protocolo inusual**: el protocolo de conexión de red implicado en la actividad GuardDuty que provocó la generación del hallazgo.
+ **Detalles del agente**: detalles sobre el agente de seguridad que está implementado actualmente en el clúster de EKS de su Cuenta de AWS. Esto solo se aplica a los tipos de resultados de la Supervisión en tiempo de ejecución de EKS.
+ **Versión del agente**: la versión del agente GuardDuty de seguridad.
+ **ID del agente**: el identificador único del agente GuardDuty de seguridad.
## Evidencia
Los resultados que se obtienen mediante la inteligencia sobre amenazas tienen una sección de **Evidencia** que incluye la siguiente información:
+ **Detalles de inteligencia de amenazas**: el nombre de la lista de amenazas en la que aparece el `Threat name` reconocido.
+ **Nombre de la amenaza**: el nombre de la familia de malware u otro identificador asociado a la amenaza.
+ **Archivo de amenazas SHA256**: SHA256 del archivo que generó el hallazgo.
## Comportamiento anómalo
Los tipos de hallazgos que terminan en «**AnomalousBehavior**indican que el hallazgo se generó mediante el modelo de aprendizaje automático (ML) para la detección de GuardDuty anomalías. El modelo de ML evalúa todas las solicitudes de API a su cuenta e identifica los eventos anómalos relacionados con las tácticas utilizadas por los adversarios. El modelo de ML da seguimiento a varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó.
Los detalles sobre los factores de la solicitud de API que son inusuales para la identidad del CloudTrail usuario que invocó la solicitud se encuentran en los detalles de la búsqueda. Las identidades las define el elemento [ CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) y los valores posibles son`Root`:,,`IAMUser`,, `AssumedRole` o. `FederatedUser` `AWSAccount` `AWSService`
Además de los detalles disponibles para todos los GuardDuty hallazgos relacionados con la actividad de la API, **AnomalousBehavior**los hallazgos tienen detalles adicionales que se describen en la siguiente sección. Estos detalles se pueden ver en la consola y también están disponibles en el JSON de los resultados.
+ **Anómala APIs**: una lista de solicitudes de API que fueron invocadas por la identidad del usuario cerca de la solicitud de API principal asociada al hallazgo. En este panel se desglosan en profundidad los detalles del evento de la API de las siguientes maneras.
+ La primera API de la lista es la API principal, que es la solicitud de API asociada a la actividad observada de mayor riesgo. Esta es la API que ha desencadenado el resultado y se correlaciona con la fase de ataque del tipo de resultado. Esta es también la API que se detalla en la sección **Acción** de la consola y en el JSON del resultado.
+ Todas las demás de la APIs lista son anómalas adicionales APIs a la identidad de usuario de la lista observada cerca de la API principal. Si solo hay una API en la lista, el modelo de ML no ha identificado como anómala ninguna solicitud de API adicional procedente de esa identidad de usuario.
+ La lista de APIs se divide en función de si una API se **llamó correctamente** o si la API no se llamó correctamente, lo que significa que se recibió una respuesta de error. El tipo de respuesta de error recibida aparece encima de cada API llamada incorrectamente. Los posibles tipos de respuesta de error son: `access denied`, `access denied exception`, `auth failure`, `instance limit exceeded`, `invalid permission - duplicate`, `invalid permission - not found` y `operation not permitted`.
+ APIs se clasifican según el servicio asociado.
+ Para obtener más contexto, selecciona **Historial APIs** para ver los detalles de los primeros APIs, hasta un máximo de 20, que normalmente se muestran tanto para la identidad del usuario como para todos los usuarios de la cuenta. APIs Se marcan como **raras (menos de una vez al mes)**, **Infrecuentes (varias veces al mes)** o **Frecuentes (diarias o semanales)**, en función de la frecuencia con la que se utilicen en su cuenta.
+ **Comportamiento inusual (cuenta)**: en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado de su cuenta.
**Comportamiento perfilado**
GuardDuty recibe información continua sobre las actividades de tu cuenta en función de los eventos organizados. Estas actividades y su frecuencia observada se conocen como comportamiento perfilado.
La información rastreada en este panel incluye:
+ **Organización de ASN**: la organización de número de sistema autónomo (ASN) desde la que se realizó la llamada anómala a la API.
+ **Nombre de usuario**: el nombre del usuario que hizo la llamada anómala a la API.
+ **Agente de usuario**: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, `aws-cli` o `Botocore`.
+ **Tipo de usuario**: el tipo de usuario que hizo la llamada anómala a la API. Los valores posibles son `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` o `ROLE`.
+ **Bucket**: el nombre del bucket de S3 al que se ha accedido.
+ **Comportamiento inusual (identidad de usuario)**: en esta sección se proporcionan detalles adicionales sobre el comportamiento perfilado de la **identidad de usuario** implicado en el resultado. Cuando un comportamiento no se identifica como histórico, significa que el modelo de aprendizaje GuardDuty automático no había visto previamente esta identidad de usuario haciendo esta llamada a la API de esta manera durante el período de entrenamiento. Los siguientes detalles adicionales sobre la **identidad de usuario** están disponibles:
+ **Organización de ASN**: la organización de ASN desde la que se hizo la llamada anómala a la API.
+ **Agente de usuario**: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, `aws-cli` o `Botocore`.
+ **Bucket**: el nombre del bucket de S3 al que se ha accedido.
+ **Comportamiento inusual (bucket)**: en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado del bucket de S3 asociado al resultado. Cuando un comportamiento no se identifica como histórico, significa que en el modelo de aprendizaje GuardDuty automático no se habían realizado anteriormente llamadas a la API a este segmento de esta manera durante el período de formación. La información rastreada en esta sección incluye:
+ **Organización de ASN**: la organización de ASN desde la que se hizo la llamada anómala a la API.
+ **Nombre de usuario**: el nombre del usuario que hizo la llamada anómala a la API.
+ **Agente de usuario**: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, `aws-cli` o `Botocore`.
+ **Tipo de usuario**: el tipo de usuario que hizo la llamada anómala a la API. Los valores posibles son `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` o `ROLE`.
**nota**
Para más información sobre los comportamientos históricos, seleccione **Comportamiento histórico** en las secciones **Comportamiento inusual (cuenta)**, **ID de usuario** o **Bucket** para ver detalles sobre el comportamiento esperado de su cuenta en cada una de las siguientes categorías: **Raro (menos de una vez al mes)**, **Poco frecuente (varias veces al mes)** o **Frecuente (diario o semanal)**, según la frecuencia con la que se usen en la cuenta.
+ **Comportamiento inusual (base de datos)**: en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado de la instancia de base de datos asociada al resultado. Cuando un comportamiento no se identifica como histórico, significa que el modelo de aprendizaje GuardDuty automático no ha visto ningún intento de inicio de sesión en esta instancia de base de datos de esta manera durante el período de entrenamiento. La información recopilada en esta sección del panel de resultados incluye:
+ **Nombre de usuario**: el nombre de usuario utilizado para llevar a cabo el intento de inicio de sesión anómalo.
+ **Organización de ASN**: la organización de ASN desde la que se hizo el intento de inicio de sesión anómalo.
+ **Nombre de la aplicación**: el nombre de la aplicación utilizada para llevar a cabo el intento de inicio de sesión anómalo.
+ **Nombre de base de datos**: el nombre de la instancia de base de datos implicada en el intento de inicio de sesión anómalo.
La sección **Comportamiento histórico** proporciona más contexto sobre los **Nombres de usuario**, **Organizaciones de ASN**, **Nombres de las aplicaciones** y **Nombres de bases de datos** observados anteriormente para la base de datos asociada. Cada valor único tiene un recuento asociado que representa el número de veces que se observó este valor en un evento de inicio de sesión exitoso.
+ **Comportamiento inusual (clúster de Kubernetes de la cuenta, espacio de nombres de Kubernetes y nombre de usuario de Kubernetes): esta sección proporciona detalles adicionales sobre el comportamiento perfilado para el clúster de Kubernetes y el espacio de nombres asociados al resultado.** Cuando un comportamiento no se identifica como histórico, significa que el modelo de aprendizaje GuardDuty automático no ha observado previamente esta cuenta, clúster, espacio de nombres o nombre de usuario de esta manera. La información recopilada en esta sección del panel de resultados incluye:
+ **Nombre de usuario**: el usuario que llamó a la API de Kubernetes asociada al resultado.
+ **Nombre de usuario suplantado**: el usuario suplantado por `username`.
+ **Espacio de nombres**: el espacio de nombres de Kubernetes dentro del clúster de Amazon EKS en el que se produjo la acción.
+ **Agente de usuario**: el agente de usuario asociado a la llamada a la API de Kubernetes. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo, `kubectl`.
+ **API**: la API de Kubernetes llamada por `username` dentro del clúster de Amazon EKS.
+ **Información de ASN**: la información de ASN, como la organización y el proveedor de servicios de Internet, asociada a la dirección IP del usuario que realiza esta llamada.
+ **Día de la semana**: el día de la semana en que se realizó la llamada a la API de Kubernetes.
+ **Permiso**: el verbo de Kubernetes y el recurso cuyo acceso se comprueba para indicar si el `username` puede o no utilizar la API de Kubernetes.
+ **Nombre de la cuenta de servicio**: la cuenta de servicio asociada a la carga de trabajo de Kubernetes que proporciona una identidad a la carga de trabajo.
+ **Registro**: el registro del contenedor asociado a la imagen del contenedor que se implementa en la carga de trabajo de Kubernetes.
+ **Imagen**: la imagen de contenedor, sin las etiquetas ni el resumen asociados, que se implementa en la carga de trabajo de Kubernetes.
+ **Configuración del prefijo de la imagen**: el prefijo de la imagen con la configuración de seguridad del contenedor y la carga de trabajo habilitada, por ejemplo `hostNetwork` o `privileged` para el contenedor que usa la imagen.
+ **Nombre del sujeto**: los sujetos, como un `user`, `group`, o `serviceAccountName` que están vinculados a un rol de referencia en un `RoleBinding` o `ClusterRoleBinding`.
+ **Nombre del rol**: el nombre del rol que participa en la creación o modificación de roles o en la API `roleBinding`.
### Anomalías basadas en el volumen de S3
En esta sección, se detalla la información contextual de las anomalías basadas en el volumen de S3. El resultado basado en el volumen ([Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior)) supervisa un número inusual de llamadas a la API de S3 hechas por los usuarios a los buckets de S3, lo que indica una posible exfiltración de datos. Las siguientes llamadas a la API de S3 se supervisan para detectar anomalías basadas en el volumen.
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`
Las siguientes métricas ayudarían a crear una referencia del comportamiento habitual cuando una entidad de IAM accede a un bucket de S3. Para detectar la exfiltración de datos, el resultado de la detección de anomalías basada en el volumen evalúa todas las actividades con respecto a la referencia de comportamiento habitual. Seleccione **Comportamiento histórico** en las secciones **Comportamiento inusual (identidad de usuario)**, **Volumen observado (identidad de usuario)** y **Volumen observado (bucket)** para ver las siguientes métricas, respectivamente.
+ Número de llamadas a la API `s3-api-name` invocadas por el usuario de IAM o rol de IAM (depende de cuál se haya emitido) asociados al bucket de S3 afectado en las últimas 24 horas.
+ Número de llamadas a la API `s3-api-name` invocadas por el usuario de IAM o rol de IAM (depende de cuál se haya emitido) asociados a todos los buckets de S3 afectados en las últimas 24 horas.
+ Número de llamadas a la API `s3-api-name` en todos los usuarios de IAM o roles de IAM (depende de cuál se haya emitido) asociados al bucket de S3 afectado en las últimas 24 horas.
### Anomalías basadas en la actividad de inicio de sesión en RDS
En esta sección, se detalla el recuento de los intentos de inicio de sesión de un actor inusual y se agrupa por el resultado de los intentos de inicio de sesión. [Tipos de resultados de la protección de RDS](findings-rds-protection.md) identifica el comportamiento anómalo mediante la supervisión de los eventos de inicio de sesión para detectar patrones inusuales de `successfulLoginCount`, `failedLoginCount` y `incompleteConnectionCount`.
+ **successfulLoginCount**— Este contador representa la suma de las conexiones correctas (combinación correcta de atributos de inicio de sesión) realizadas a la instancia de la base de datos por un actor inusual. Los atributos de inicio de sesión incluyen el nombre de usuario, la contraseña y el nombre de la base de datos.
+ **failedLoginCount**— Este contador representa la suma de los intentos de inicio de sesión fallidos (fallidos) realizados para establecer una conexión con la instancia de base de datos. Esto indica que uno o varios atributos de la combinación de inicio de sesión, como el nombre de usuario, la contraseña o el nombre de la base de datos, eran incorrectos.
+ **incompleteConnectionCount**— Este contador representa el número de intentos de conexión que no se pueden clasificar como exitosos o fallidos. Estas conexiones se cierran antes de que la base de datos proporcione una respuesta. Por ejemplo, se analiza un puerto cuando el puerto de la base de datos está conectado, pero no se envía ningún dato a la base de datos o cuando la conexión se interrumpió antes de que se completara el inicio de sesión en un intento exitoso o fallido.
# GuardDuty encontrar agregación
GuardDuty actualiza los hallazgos generados de forma dinámica. Si GuardDuty detecta una nueva actividad relacionada con el mismo problema de seguridad, en lugar de crear un nuevo hallazgo, GuardDuty actualizará el hallazgo original con los detalles más recientes. Este comportamiento le permite identificar problemas en curso sin necesidad de revisar varios informes similares y reduce el volumen general de los resultados de seguridad que ya conoce.
Por ejemplo, para un resultado UnauthorizedAccess:EC2/SSHBruteForce, se agregarán varios intentos de acceso contra la instancia al mismo ID de resultado, lo que aumentará el número de **recuento** en los detalles del resultado. Esto se debe a que ese resultado representa un único problema de seguridad con la instancia que indica que el puerto SSH de la instancia no está protegido adecuadamente contra este tipo de actividad. Sin embargo, si GuardDuty detecta actividad de acceso SSH dirigida a una nueva instancia en su entorno, creará un nuevo resultado con un ID de resultado único para alertarle sobre el hecho de que hay un problema de seguridad asociado con el nuevo recurso.
Cuando se agrega un resultado, se actualiza con la información del último caso de esa actividad. Esto significa que, en el ejemplo anterior, si su instancia es el objetivo de un intento de fuerza bruta de un nuevo actor, los detalles del resultado se actualizarán para reflejar la IP remota del origen más reciente y se sustituirá la información más antigua. La información completa sobre los intentos de actividad individuales seguirá estando disponible en sus CloudTrail registros o en los registros de flujo de VPC.
Los criterios que permiten GuardDuty generar un nuevo hallazgo en lugar de agregar uno existente dependen del tipo de hallazgo. Nuestros ingenieros de seguridad determinan los criterios de agregación para cada tipo de resultado para proporcionarle la mejor información general de los distintos problemas de seguridad dentro de su cuenta.
Cuando GuardDuty genere un tipo de búsqueda de secuencia de ataque en tu cuenta, el resultado solo se agregará cuando GuardDuty identifiques señales similares en la misma secuencia en tu cuenta. De lo contrario, GuardDuty generará otra secuencia de ataque.