Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Corregir los hallazgos de GuardDuty seguridad detectados
<a name="guardduty_remediate"></a>

Amazon GuardDuty genera [hallazgos](guardduty_findings.md) que indican posibles hallazgos de seguridad asociados con la detección GuardDuty de amenazas básica y los planes de protección dedicados. En las siguientes secciones, se describen los pasos de corrección recomendados para estos escenarios. Si existen escenarios de corrección alternativos, se describirán en las descripciones de cada tipo de resultado. Para acceder a toda la información sobre un tipo de resultado, selecciónelo en la [Tabla de tipos de resultados activos](guardduty_finding-types-active.md).

**Topics**
+ [Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida](compromised-ec2.md)
+ [Corregir un bucket de S3 potencialmente comprometido](compromised-s3.md)
+ [Corregir un objeto de S3 potencialmente malicioso](compromised-s3object-malware-protection-gdu.md)
+ [Corregir una instantánea de EBS potencialmente comprometida](compromised-snapshot.md)
+ [Corregir una AMI de EC2 potencialmente comprometida](compromised-ami.md)
+ [Corregir un punto de recuperación de EC2 potencialmente comprometido](compromised-ec2-recoverypoint.md)
+ [Corregir un punto de recuperación de S3 potencialmente comprometido](compromised-s3-recoverypoint.md)
+ [Corregir un clúster de ECS potencialmente comprometido](compromised-ecs.md)
+ [Corregir las credenciales potencialmente comprometidas AWS](compromised-creds.md)
+ [Corregir un contenedor independiente potencialmente comprometido](remediate-compromised-standalone-container.md)
+ [Corregir los resultados de EKS Protection](guardduty-remediate-kubernetes.md)
+ [Corregir los resultados de la Supervisión en tiempo de ejecución](guardduty-remediate-runtime-monitoring.md)
+ [Corregir una base de datos potencialmente comprometida](guardduty-remediate-compromised-database-rds.md)
+ [Corregir una función de Lambda potencialmente comprometida](remediate-lambda-protection-finding-types.md)

# Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida
<a name="compromised-ec2"></a>

**Cuando GuardDuty genere [tipos de búsqueda que indiquen recursos de Amazon EC2 potencialmente comprometidos](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html#findings-table), su **recurso será Instance**.** Los posibles tipos de resultados podrían ser [Tipos de resultados de EC2](guardduty_finding-types-ec2.md), [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md) o [Tipos de resultados de la protección contra malware para EC2](findings-malware-protection.md). Si el comportamiento que causó el resultado era el previsto en el entorno, considere la posibilidad de utilizar [Reglas de supresión](findings_suppression-rule.md).

Siga los siguientes pasos para corregir la instancia de Amazon EC2 potencialmente comprometida:

1. **Identifique la instancia de Amazon EC2 potencialmente comprometida**

   Examine la instancia posiblemente comprometida en busca de malware y elimínelo. Puede utilizar [Escanea malware bajo demanda en GuardDuty](on-demand-malware-scan.md) para identificar el malware en la instancia de EC2 potencialmente afectada o comprobar [AWS Marketplace](https://aws.amazon.com/marketplace) para ver si hay productos asociados útiles para identificar y eliminar el malware.

1. **Aísle la instancia de Amazon EC2 potencialmente comprometida**

   Si es posible, siga los siguientes pasos para aislar la instancia potencialmente comprometida:

   1. Cree un grupo de seguridad de **aislamiento** dedicado. Un grupo de seguridad de aislamiento solo debe tener acceso entrante y saliente desde direcciones IP específicas. Asegúrese de que no hay ninguna regla de entrada o salida que permita el tráfico para `0.0.0.0/0 (0-65535)`.

   1. Asocie el grupo de seguridad de **aislamiento** a esta instancia. 

   1. Elimine todas las asociaciones de grupos de seguridad distintas del grupo de seguridad de **aislamiento** recién creado de la instancia potencialmente comprometida.
**nota**  
Las conexiones rastreadas existentes no se terminarán como resultado del cambio de grupo de seguridad. Únicamente el tráfico futuro será bloqueado de forma efectiva por el nuevo grupo de seguridad.   
Para obtener información sobre cómo bloquear más tráfico procedente de conexiones existentes sospechosas, consulte [Hacer cumplir NACLs según la red IoCs para evitar más tráfico](https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Ransom_Response_EC2_Linux.md#enforce-nacls-based-on-network-iocs-to-prevent-further-traffic) en el *manual de respuesta a incidentes*.

1. **Identifique el origen de la actividad sospechosa**

   Si se detecta malware, con base en el tipo de resultado de su cuenta, identifique y detenga la actividad potencialmente no autorizada en su instancia de EC2. Esto puede requerir acciones como cerrar cualquier puerto abierto, cambiar las políticas de acceso y actualizar las aplicaciones para corregir las vulnerabilidades.

   Si no puede identificar y detener la actividad no autorizada en la instancia de EC2 potencialmente comprometida, recomendamos que termine la instancia de EC2 comprometida y la sustituya por una nueva instancia según sea necesario. A continuación se enumeran recursos adicionales para proteger instancias EC2:
   + Secciones “Seguridad” y “Redes” en [Prácticas recomendadas de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html)
   + [Grupos de seguridad de Amazon EC2 para instancias de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
   + [Seguridad en Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html)
   + [Sugerencias para proteger la instancia EC2 (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/).
   + [AWS prácticas recomendadas de seguridad](https://aws.amazon.com//architecture/security-identity-compliance/)
   + [AWS Guía técnica de respuesta a incidentes de seguridad](https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html).

1. **Examinar AWS re:Post**

   Vaya a [AWS re:Post](https://repost.aws/) para obtener más ayuda.

1. **Envíe una solicitud de asistencia técnica**

   Si es suscriptor de un paquete Premium Support, puede enviar una solicitud de [asistencia técnica](https://console.aws.amazon.com/support/home#/case/create?issueType=technical). 

# Corregir un bucket de S3 potencialmente comprometido
<a name="compromised-s3"></a>

Cuando se GuardDuty genera[GuardDuty Tipos de búsqueda de protección S3](guardduty_finding-types-s3.md), indica que sus buckets de Amazon S3 se han visto comprometidos. Si el comportamiento que causó el resultado era el previsto en el entorno, considere la posibilidad de crear [Reglas de supresión](findings_suppression-rule.md). Si no se esperaba este comportamiento, siga estos pasos recomendados para corregir un bucket de Amazon S3 potencialmente comprometido en su AWS entorno:

1. **Identifique el recurso de S3 potencialmente comprometido.**

   Si se GuardDuty busca S3, se mostrará el bucket de S3 asociado, su nombre de recurso de Amazon (ARN) y su propietario en los detalles de búsqueda.

1. **Identifique el origen de la actividad sospechosa y la llamada a la API que se utilizó.**

   La llamada a la API utilizada se mostrará como `API` en los detalles de resultado. El origen será una entidad principal de IAM (ya sea un rol de IAM, un usuario o una cuenta) y los detalles de identificación figurarán en el resultado. Según el tipo de origen, estará disponible la dirección IP remota o la información del dominio de origen, lo que puede ayudarle a evaluar si el origen fue autorizado. Si el resultado implica credenciales de una instancia de Amazon EC2, también se incluirán los detalles de ese recurso.

1. **Determine si el origen de la llamada tenía autorización para acceder al recurso identificado. **

   Por ejemplo, considere lo siguiente:
   + Si un usuario de IAM estuvo involucrado, ¿es posible que sus credenciales hayan sido potencialmente comprometidas? Para obtener más información, consulte [Corregir las credenciales potencialmente comprometidas AWS](compromised-creds.md).
   + Si se ha invocado una API desde una entidad principal que no tiene antecedentes de haber invocado este tipo de API, ¿este origen necesita permisos de acceso para esta operación? ¿Se pueden restringir aún más los permisos del bucket?
   + Si el acceso se vio desde **nombre de usuario** `ANONYMOUS_PRINCIPAL` con el **tipo de usuario** de la `AWSAccount`, esto indica que el bucket es público y se ha accedido a él. ¿Este bucket debería ser público? Si no es así, consulte las siguientes recomendaciones de seguridad para encontrar soluciones alternativas al uso compartido de los recursos de S3. 
   + Si el acceso se hizo mediante una llamada a `PreflightRequest` correcta desde el **nombre de usuario** `ANONYMOUS_PRINCIPAL` y el **tipo de usuario** de la `AWSAccount`, esto indica que el bucket tiene una política de intercambio de recursos entre orígenes (CORS) establecida. ¿Este bucket debería tener una política CORS? Si no es así, asegúrese de que el bucket no sea inadvertidamente público y revise las recomendaciones de seguridad que aparecen a continuación en busca de soluciones alternativas al uso compartido de los recursos de S3. Para más información sobre CORS, consulte [Uso compartido de recursos entre orígenes (CORS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cors.html) en la Guía del usuario de S3.

1. **Determine si el bucket de S3 contiene información confidencial.**

   Utilice [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) para determinar si el bucket de S3 contiene información confidencial, como información de identificación personal (PII), datos financieros o credenciales. Si la detección automática de información confidencial está habilitada para su cuenta de Macie, revise los detalles del bucket de S3 para comprender mejor su contenido. Si esta característica está deshabilitada en su cuenta de Macie, se recomienda que la active para agilizar la evaluación. Como alternativa, puede crear y ejecutar un trabajo de detección de información confidencial para inspeccionar los objetos del bucket de S3 en busca de datos confidenciales. Para más información, consulte [Discovering sensitive data with Macie](https://docs.aws.amazon.com/macie/latest/user/data-classification.html).

Si se autorizó el acceso, puede ignorar el resultado. La [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola le permite configurar reglas para suprimir por completo los hallazgos individuales para que dejen de aparecer. Para obtener más información, consulte [Reglas de supresión en GuardDuty](findings_suppression-rule.md).

Si determina que los datos de S3 han sido expuestos o que un tercero no autorizado ha accedido a estos, revise las siguientes recomendaciones de seguridad de S3 para reforzar los permisos y restringir el acceso. Las soluciones de corrección adecuadas dependerán de las necesidades de su entorno específico. 

## Recomendaciones basadas en las necesidades específicas de acceso al bucket de S3
<a name="guardduty-compromised-s3-recommendations"></a>

**La siguiente lista ofrece recomendaciones basadas en las necesidades específicas de acceso a los buckets de Amazon S3:**
+ Para disponer de una forma centralizada de limitar el acceso público a los datos de S3, utilice el bloqueo de acceso público de S3. La configuración de bloqueo del acceso público se puede habilitar para los puntos de acceso, los depósitos y AWS las cuentas mediante cuatro configuraciones diferentes para controlar la granularidad del acceso. Para obtener más información, consulte [Configuración de Block Public Access](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html#access-control-block-public-access-options) en la *Guía del usuario de Amazon S3*.
+ AWS Las políticas de acceso se pueden usar para controlar cómo los usuarios de IAM pueden acceder a sus recursos o cómo pueden acceder a sus depósitos. Para obtener más información, consulte [Uso de políticas de bucket y de suario](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security_iam_service-with-iam.html) en la *Guía del usuario de Amazon S3*.

  Además, puede utilizar puntos de conexión de la nube privada virtual (VPC) con políticas de bucket de S3 para restringir el acceso a puntos de conexión de VPC específicos. Para obtener más información, consulte [Control del acceso desde puntos de enlace de la VPC con políticas de bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html) en la *Guía del usuario de Amazon S3*.
+ Para permitir temporalmente el acceso a sus objetos de S3 a entidades de confianza ajenas a su cuenta, puede crear una URL prefirmada a través de S3. Este acceso se crea con las credenciales de su cuenta y, según las credenciales utilizadas, puede durar de 6 horas a 7 días. Para obtener más información, consulte [Uso de presigned URLs para descargar y cargar objetos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html) en la *Guía del usuario de Amazon S3*.
+ Para los casos de uso que requieren el uso compartido de objetos de S3 entre distintos orígenes, puede utilizar los puntos de acceso de S3 para crear conjuntos de permisos que restrinjan el acceso únicamente a los que están dentro de su red privada. Para obtener más información, consulte [Administración del acceso a conjuntos de datos con puntos de acceso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points.html) en la *Guía del usuario de Amazon S3*.
+ Para conceder acceso seguro a sus recursos de S3 a otras AWS cuentas, puede utilizar una lista de control de acceso (ACL). Para obtener más información, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía del usuario de Amazon S3*.

Para obtener más información sobre las opciones de seguridad de S3, consulte [Prácticas recomendadas de seguridad para Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html), en la *Guía del usuario de Amazon S3*.

# Corregir un objeto de S3 potencialmente malicioso
<a name="compromised-s3object-malware-protection-gdu"></a>

Cuando se GuardDuty genera[Tipo de resultado de la protección contra malware para S3](gdu-malware-protection-s3-finding-types.md), indica que un objeto recién cargado en su bucket de Amazon S3 contiene malware. El tipo de recurso es un **objeto de S3**.

Utilice los siguientes pasos recomendados para corregir potencialmente el resultado generado:

1. Identifique el objeto S3 potencialmente malicioso comprobando el **S3 ObjectDetails** asociado al hallazgo.

1. Aísle el objeto de S3 comprometido. Si habilitó el etiquetado en el momento de habilitar Malware Protection for S3 para el bucket de Amazon S3 asociado, GuardDuty debe haber asignado una etiqueta **maliciosa** a este objeto. Utilice el control de acceso basado en etiquetas (TBAC) para restringir el acceso a este objeto de S3. Para obtener más información, consulte [Utilizar el control de acceso basado en etiquetas (TBAC)](tag-based-access-s3-malware-protection.md).

   Como alternativa, si ya no necesita este objeto, también puede optar por eliminarlo o trasladarlo a un bucket de S3 aislado. Para obtener información sobre las consideraciones para eliminar un objeto de S3, consulte [Eliminar objetos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DeletingObjects.html) en la *Guía del usuario de Amazon S3*. 

# Corregir una instantánea de EBS potencialmente comprometida
<a name="compromised-snapshot"></a>

Cuando se GuardDuty genera una ejecución: EC2/\$1 MaliciousFile El tipo de búsqueda de instantáneas indica que se ha detectado malware en una instantánea de Amazon EBS. Realice los siguientes pasos para corregir la instantánea potencialmente comprometida:

1. **Identifique la instantánea potencialmente comprometida**

   1. Identifique la instantánea potencialmente comprometida. Si se busca una instantánea de EBS, se mostrará el ID de la instantánea afectada, su nombre de recurso de Amazon (ARN) y los detalles del análisis de malware asociado en los detalles de la GuardDuty búsqueda.

   1. Revise los detalles del punto de recuperación mediante el siguiente comando:

      ```
      aws backup describe-recovery-point —backup-vault-name 021345abcdef6789 —recovery-point-arn "arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"
      ```

1. **Restrinja el acceso a la instantánea comprometida**

   Revise y modifique las políticas de acceso a la bóveda de respaldo para restringir el acceso a los puntos de recuperación y suspender cualquier trabajo de restauración automática que pueda utilizar esta instantánea.

   1. Revise los permisos de uso compartido actuales: 

      ```
      aws ec2 describe-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission
      ```

   1. Eliminar el acceso a una cuenta específica: 

      ```
      aws ec2 modify-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission --operation-type remove --user-ids 111122223333
      ```

   1. Para ver opciones de CLI adicionales, consulte la [documentación de modify-snapshot-attribute CLI](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-snapshot-attribute.html).

1. **Tome medidas correctivas**
   + Antes de proceder a la eliminación, asegúrese de haber identificado todas las dependencias y de disponer de las copias de seguridad adecuadas, en caso necesario.

# Corregir una AMI de EC2 potencialmente comprometida
<a name="compromised-ami"></a>

Cuando se GuardDuty genera una ejecución: EC2/\$1 MaliciousFile El tipo de búsqueda de AMI indica que se ha detectado malware en una Amazon Machine Image (AMI). Realice los siguientes pasos para corregir la AMI potencialmente comprometida:

1. **Identifique la AMI potencialmente comprometida**

   1. Si GuardDuty busca, aparecerá AMIs el ID de AMI afectado, su nombre de recurso de Amazon (ARN) y los detalles del análisis de malware asociado en los detalles del hallazgo.

   1. Revise la imagen fuente de AMI:

      ```
      aws ec2 describe-images --image-ids ami-021345abcdef6789
      ```

1. **Restrinja el acceso a los recursos comprometidos**

   1. Revise y modifique las políticas de acceso al almacén de respaldo para restringir el acceso a los puntos de recuperación y suspender cualquier trabajo de restauración automática que pueda utilizar este punto de recuperación.

   1. Eliminar permisos de los permisos de la AMI de origen

      Primero vea los permisos existentes: 

      ```
      aws ec2 describe-image-attribute --image-id ami-abcdef01234567890 --attribute launchPermission
      ```

      A continuación, elimine los permisos individuales: 

      ```
      aws ec2 modify-image-attribute --image-id ami-abcdef01234567890 --launch-permission '{"Remove":[{"UserId":"111122223333"}]}'
      ```

      Para ver opciones de CLI adicionales, consulte [Compartir una AMI con cuentas específicas - Amazon Elastic Compute Cloud](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-explicit.html#unsharing-an-ami)

   1. Si la fuente es una instancia EC2, consulte: Cómo [corregir una instancia de Amazon EC2 potencialmente comprometida](https://docs.aws.amazon.com/guardduty/latest/ug/compromised-ec2.html).

1. **Tome medidas correctivas**
   + Antes de proceder a la eliminación, asegúrese de haber identificado todas las dependencias y de disponer de las copias de seguridad adecuadas, en caso necesario.

# Corregir un punto de recuperación de EC2 potencialmente comprometido
<a name="compromised-ec2-recoverypoint"></a>

Cuando se GuardDuty genera una ejecución: EC2/\$1 MaliciousFile RecoveryPoint al encontrar el tipo, indica que se ha detectado malware en un recurso de EC2 Recovery Point Backup. Realice los siguientes pasos para corregir el punto de recuperación potencialmente comprometido:

1. **Identifique el punto de recuperación de EC2 potencialmente comprometido**

   1. Si busca EC2 Recovery Point, aparecerá su nombre de recurso de Amazon (ARN) y los detalles del análisis de malware asociado en los detalles del GuardDuty hallazgo:

      ```
      aws backup describe-recovery-point --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
      ```

   1. Revise los detalles de recuperación para buscar la imagen original:

      ```
      aws backup get-recovery-point-restore-metadata --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
      ```

1. **Restrinja el acceso a los recursos comprometidos**
   + Revise y modifique las políticas de acceso al almacén de respaldo para restringir el acceso a los puntos de recuperación y suspender cualquier trabajo de restauración automática que pueda utilizar este punto de recuperación. Si su entorno utiliza el etiquetado de recursos, etiquete el punto de recuperación de forma adecuada para indicar que se está investigando y, si es necesario, considere la posibilidad de pausar las copias de seguridad programadas.

     Ejemplo:

     *aws backup tag-resource -—resource-arn arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 -—tags Investigation=Malware,DoNotDelete=True*

1. **Tome medidas correctivas**
   + Antes de proceder a la eliminación, asegúrese de haber identificado todas las dependencias y de disponer de las copias de seguridad adecuadas, en caso necesario.

# Corregir un punto de recuperación de S3 potencialmente comprometido
<a name="compromised-s3-recoverypoint"></a>

Cuando se GuardDuty genera una ejecuciónMaliciousFile: S3/\$1 RecoveryPoint al encontrar el tipo, indica que se ha detectado malware en un recurso de S3 Recovery Point Backup. Realice los siguientes pasos para corregir el punto de recuperación potencialmente comprometido:

1. **Identifique el punto de recuperación S3 potencialmente comprometido**

   1.  GuardDuty Al buscar puntos de recuperación de S3, se mostrará el ARN del punto de recuperación afectado, el nombre del almacén de respaldo y los detalles del análisis de malware asociado en los detalles de búsqueda.

   1. Revisa los detalles del punto de recuperación:

      ```
      aws backup describe-recovery-point --backup-vault-name 021345abcdef6789 --recovery-point-arn arn:aws:backup:us-east-1:123456789012:recovery-point:abcdef01234567890
      ```

1. **Restrinja el acceso a los recursos comprometidos**
   + Revise y modifique las políticas de acceso al almacén de respaldo para restringir el acceso a los puntos de recuperación y suspender cualquier trabajo de restauración automática que pueda utilizar este punto de recuperación. Si su entorno utiliza el etiquetado de recursos, etiquete el punto de recuperación de forma adecuada para indicar que se está investigando y, si es necesario, considere la posibilidad de pausar las copias de seguridad programadas.

     Ejemplo: 

     ```
     aws backup tag-resource —resource-arn arn:aws:backup:us-east-1:111122223333:recovery-point:abcdef01234567890 —tags Investigation=Malware,DoNotDelete=True
     ```

     Para obtener más información, consulte: Referencia de [comandos CLI de tag-resource](https://docs.aws.amazon.com/cli/latest/reference/backup/tag-resource.html)

1. **Tome medidas correctivas**
   + Antes de proceder a la eliminación, asegúrese de haber identificado todas las dependencias y de disponer de las copias de seguridad adecuadas, en caso necesario.

# Corregir un clúster de ECS potencialmente comprometido
<a name="compromised-ecs"></a>

El hallazgo de un clúster de ECS potencialmente comprometido indica que se ha detectado actividad sospechosa o maliciosa en su entorno de Amazon ECS. Esto podría incluir el acceso no autorizado, la ejecución de malware u otro comportamiento malicioso que ponga en riesgo las cargas de trabajo de sus contenedores.

Siga estos pasos para corregir un clúster de Amazon ECS potencialmente comprometido:

1. **Identifique el clúster de ECS potencialmente comprometido y la amenaza detectada (hallazgos)**

   Los detalles del clúster de ECS afectado se muestran en el panel de detalles de GuardDuty búsqueda.

1. **Evalúe la fuente de la amenaza o el malware**

   Compruebe si hay malware en las imágenes del contenedor. Si se detecta malware, revise la imagen del contenedor que se está utilizando. Se utiliza [https://docs.aws.amazon.com//AmazonECS/latest/APIReference/API_ListTasks.html](https://docs.aws.amazon.com//AmazonECS/latest/APIReference/API_ListTasks.html)para identificar todas las demás tareas en ejecución que utilizan la misma imagen potencialmente comprometida.

1. **Aísle las tareas afectadas**

   Detenga la amenaza bloqueando todo el tráfico de red (tanto entrante como saliente) dirigido a las tareas afectadas. Este aislamiento de la red ayuda a prevenir cualquier ataque continuo al cortar todas las conexiones a la tarea comprometida.

**Nota**: Si determina que este hallazgo se debe a expected/legitimate la actividad de su entorno, puede configurar una regla de supresión para evitar que se produzcan hallazgos similares. Para obtener información adicional, consulta [Reglas de supresión en GuardDuty](findings_suppression-rule.md).

# Corregir las credenciales potencialmente comprometidas AWS
<a name="compromised-creds"></a>

Cuando se GuardDuty genera[Tipos de resultados de IAM](guardduty_finding-types-iam.md), indica que sus AWS credenciales se han visto comprometidas. El tipo de **recurso** potencialmente comprometido es **AccessKey**. 

Para corregir las credenciales potencialmente comprometidas de su AWS entorno, lleve a cabo los siguientes pasos:

1. **Identifique la entidad de IAM potencialmente comprometida y la llamada a la API utilizada.** 

   La llamada a la API utilizada se mostrará como `API` en los detalles de resultado. La entidad de IAM (ya sea un usuario o rol de IAM) y su información de identificación se enumerarán en la sección **Recurso** de los detalles del resultado. El tipo de entidad de IAM implicada puede determinarse mediante el campo **Tipo de usuario**, el nombre de la entidad de IAM estará en el campo **Nombre de usuario**. El tipo de entidad de IAM implicada en el resultado también puede determinarse mediante el **ID de clave de acceso** utilizado.  
Para las claves que empiecen con `AKIA`:  
Este tipo de clave es una credencial administrada por el cliente a largo plazo asociada con un usuario de IAM o Usuario raíz de la cuenta de AWS. Para obtener información sobre la administración de claves de acceso para usuarios de IAM, consulte [Administración de las claves de acceso de los usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html).  
Para las claves que empiecen con `ASIA`:  
Este tipo de clave es una credencial temporal a corto plazo generada por AWS Security Token Service. Estas claves solo existen durante un período breve y no se pueden ver ni administrar en la consola AWS de administración. Los roles de IAM siempre utilizarán AWS STS credenciales, pero también se pueden generar para los usuarios de IAM. Para obtener más información, AWS STS consulte [IAM: credenciales de seguridad temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html#sts-introduction).  
Si se utilizó un rol, el campo **Nombre de usuario** indicará el nombre del rol utilizado. Para determinar cómo se solicitó la clave, AWS CloudTrail examine el `sessionIssuer` elemento de la entrada del CloudTrail registro. Para obtener más información, consulte [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#iam-info-in-cloudtrail) e información en. AWS STS CloudTrail

1. **Revise los permisos de la entidad de IAM.**

   Abra la consola de IAM. Según el tipo de entidad utilizada, seleccione la pestaña **Usuarios** o **Roles**, y localice la entidad afectada. Para ello, escriba el nombre identificado en el campo de búsqueda. Utilice las pestañas **Permisos** y **Acceso a Advisor** para revisar los permisos efectivos para esa entidad.

1. **Determine si las credenciales de entidad de IAM se utilizaron legítimamente.**

   Póngase en contacto con el usuario de las credenciales para determinar si la actividad fue intencionada.

   Por ejemplo, averigüe si el usuario hizo lo siguiente:
   + Invocó la operación de API que figuraba en el hallazgo GuardDuty 
   + Invocó la operación de la API en el momento que se muestra en el resultado de GuardDuty
   + Invocó la operación de la API desde la dirección IP que se muestra en el resultado de GuardDuty 

Si esta actividad es un uso legítimo de las AWS credenciales, puede ignorar la GuardDuty conclusión. La [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola le permite configurar reglas para suprimir por completo los hallazgos individuales y evitar que aparezcan. Para obtener más información, consulte [Reglas de supresión en GuardDuty](findings_suppression-rule.md).

Si no puede confirmar si esta actividad constituye un uso legítimo, podría ser consecuencia de que la clave de acceso concreta, las credenciales de inicio de sesión del usuario de IAM o, posiblemente, toda la Cuenta de AWS, se encuentren comprometidas. Si sospecha que sus credenciales se han visto comprometidas, consulte la información de [My Cuenta de AWS may be compromised](https://repost.aws/knowledge-center/potential-account-compromise) para solucionar este problema.

# Corregir un contenedor independiente potencialmente comprometido
<a name="remediate-compromised-standalone-container"></a>

Cuando se GuardDuty generen [tipos de búsqueda que indiquen un contenedor potencialmente comprometido](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html#findings-table), su **tipo de recurso** será **Contenedor**. Si el comportamiento que causó el resultado era el previsto en el entorno, considere la posibilidad de utilizar [Reglas de supresión](findings_suppression-rule.md).

Para corregir las credenciales potencialmente comprometidas de su AWS entorno, lleve a cabo los siguientes pasos:

1. **Aísle el contenedor potencialmente comprometido**

   Los siguientes pasos ayudarán a identificar la carga de trabajo del contenedor potencialmente malicioso:
   + Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
   + En la página **Resultados**, seleccione el resultado correspondiente para ver el panel de resultados. 
   + En el panel de resultados, en la sección **Recurso afectado**, puede ver el **ID** y el **Nombre** del contenedor.

   Aísle este contenedor de otras cargas de trabajo de contenedores.

1. **Pause el contenedor**

   Suspenda todos los procesos de su contenedor.

   Para obtener información sobre cómo congelar el contenedor, consulte [Pausar un contenedor](https://docs.docker.com/engine/api/v1.35/#tag/Container/operation/ContainerPause).

   **Detener el contenedor**.

   Si el paso anterior no funciona y el contenedor no se detiene, pare el funcionamiento del contenedor. Si ha activado la [Retención de instantáneas](malware-protection-customizations.md#mp-snapshots-retention) función, GuardDuty conservará las instantáneas de los volúmenes de EBS que contengan software malicioso. 

   Para obtener información sobre cómo detener el contenedor, consulte [Detener un contenedor](https://docs.docker.com/engine/api/v1.35/#tag/Container).

1. **Evalúe la presencia de malware**

   Evalúe si el malware estaba en la imagen del contenedor.

Si se autorizó el acceso, puede ignorar el resultado. La [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola le permite configurar reglas para suprimir por completo los hallazgos individuales y evitar que aparezcan. La GuardDuty consola te permite configurar reglas para suprimir por completo los hallazgos individuales y evitar que aparezcan. Para obtener más información, consulte [Reglas de supresión en GuardDuty](findings_suppression-rule.md).

# Corregir los resultados de EKS Protection
<a name="guardduty-remediate-kubernetes"></a>

Amazon GuardDuty genera [resultados](guardduty_findings.md) que indican posibles problemas de seguridad de Kubernetes cuando la protección EKS está habilitada para tu cuenta. Para obtener más información, consulte [EKS Protection](kubernetes-protection.md). En las siguientes secciones, se describen los pasos de corrección recomendados para estos escenarios. Las acciones de corrección específicas se describen en la entrada de ese tipo de resultado en concreto. Para acceder a toda la información sobre un tipo de resultado, selecciónelo en la [Tabla de tipos de resultados activos](guardduty_finding-types-active.md).

Si alguno de los tipos de resultados de EKS Protection se generó de forma expectante, puede considerar la posibilidad de agregar [Reglas de supresión en GuardDuty](findings_suppression-rule.md) para evitar futuras alertas.

Los distintos tipos de ataques y problemas de configuración pueden provocar que GuardDuty EKS Protection se detecte. Esta guía le ayuda a identificar las causas fundamentales de GuardDuty los hallazgos relacionados con su clúster y describe las pautas de corrección adecuadas. Las siguientes son las principales causas que conducen a los hallazgos de GuardDuty Kubernetes:
+ [Posibles problemas de configuración](#compromised-kubernetes-config)
+ [Corregir usuarios de Kubernetes potencialmente comprometidos](#compromised-kubernetes-user)
+ [Corregir pods de Kubernetes potencialmente comprometidos](#compromised-kubernetes-pod)
+ [Corregir nodos de Kubernetes potencialmente comprometidos](#compromised-kubernetes-node)
+ [Corregir imágenes de contenedores potencialmente comprometidas](#compromised-kubernetes-image)

**nota**  
Antes de la versión 1.14 de Kubernetes, el `system:unauthenticated` grupo estaba asociado a y de forma predeterminada. `system:discovery` `system:basic-user` **ClusterRoles** Esto puede permitir el acceso no deseado de usuarios anónimos. Las actualizaciones del clúster no revocan estos permisos, lo que significa que, incluso si ha actualizado el clúster a la versión 1.14 o posterior, es posible que estos permisos sigan vigentes. Se recomienda que desasocie estos permisos del grupo `system:unauthenticated`.  
Para obtener más información sobre la eliminación de estos permisos, consulte [Clústeres de Amazon EKS seguros con prácticas recomendadas](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) en la **Guía del usuario de Amazon EKS**.

## Posibles problemas de configuración
<a name="compromised-kubernetes-config"></a>

Si un resultado indica un problema de configuración, consulte la sección de corrección de ese resultado para obtener directrices sobre cómo resolver ese problema concreto. Para obtener más información, consulte los siguientes tipos de resultados que indican problemas de configuración:
+ [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted)
+ [Policy:Kubernetes/ExposedDashboard](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-exposeddashboard)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/KubeflowDashboardExposed](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-kubeflowdashboardexposed)
+ Cualquier hallazgo que termine en **SuccessfulAnonymousAccess**

## Corregir usuarios de Kubernetes potencialmente comprometidos
<a name="compromised-kubernetes-user"></a>

Un GuardDuty hallazgo puede indicar que un usuario de Kubernetes está en peligro cuando un usuario identificado en el hallazgo ha realizado una acción inesperada en la API. Puede identificar el usuario en la sección **Detalles del usuario de Kubernetes** de los detalles de un resultado en la consola o en `resource.kubernetesDetails.kubernetesUserDetails` del JSON de resultados. Estos detalles del usuario incluyen `user name`, `uid` y los grupos de Kubernetes a los que pertenece el usuario. 

Si el usuario accedía a la carga de trabajo mediante una entidad de IAM, puede utilizar la sección `Access Key details` para identificar los detalles de un usuario o rol de IAM. Consulte los siguientes tipos de usuarios y sus directrices de corrección.

**nota**  
Puede utilizar Amazon Detective para investigar más el rol de IAM o el usuario identificado en el resultado. Mientras ves los detalles de la búsqueda en la GuardDuty consola, selecciona **Investigar en Detective**. A continuación, seleccione el AWS usuario o el rol de los elementos de la lista para investigarlo en Detective.

**Administrador de Kubernetes integrado**: usuario predeterminado asignado por Amazon EKS a la identidad de IAM que creó el clúster. Este tipo de usuario se identifica mediante el nombre de usuario `kubernetes-admin`.   

**Revocación del acceso de un administrador de Kubernetes integrado:**
+ Identifique el valor de `userType` en la sección `Access Key details`.
  + Si `userType` es **Rol** y el rol pertenece a un rol de instancia de EC2:
    + Identifique esa instancia y, a continuación, siga las instrucciones que se indican en [Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida](compromised-ec2.md).
  + Si `userType` es **Usuario** o es un **rol** que ha asumido un usuario: 

    1. [Rote la clave de acceso](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) de ese usuario.

    1. Rote los secretos a los que haya accedido el usuario.

    1. Revisa la información de [My Cuenta de AWS may be compromised para](https://repost.aws/knowledge-center/potential-account-compromise) obtener más información.

**Usuario autenticado de OIDC**: usuario al que se ha concedido acceso a través de un proveedor de OIDC. Normalmente, un usuario de OIDC tiene una dirección de correo electrónico como nombre de usuario. Puede comprobar si el clúster usa OIDC con el siguiente comando: `aws eks list-identity-provider-configs --cluster-name your-cluster-name `   
**Revocación del acceso de un usuario autenticado de OIDC:**  

1. Rote las credenciales de ese usuario en el proveedor de OIDC.

1. Rote los secretos a los que haya accedido el usuario.

**AWS Usuario ConfigMap definido por -Auth: usuario** de IAM al que se le concedió acceso mediante una -auth. AWS ConfigMap Para obtener más información, consulte [Administración de usuarios o roles de IAM para su clúster](https://docs.aws.amazon.com/eks/latest/userguide/add-user-role.html) en la **Guía del usuario de Amazon EKS**. Puede revisar sus permisos con el siguiente comando: `kubectl edit configmaps aws-auth --namespace kube-system`  
**Para revocar el acceso de un usuario: AWS ConfigMap**  

1. Utilice el siguiente comando para abrir el ConfigMap. 

   ```
   kubectl edit configmaps aws-auth --namespace kube-system
   ```

1. Identifique la entrada de rol o usuario en la sección **MapRoles** o **MapUsers** con el mismo nombre de usuario que aparece en la sección de detalles de usuario de Kubernetes que encontró. GuardDuty Consulte el siguiente ejemplo, en el que se ha identificado al usuario administrador en un resultado. 

   ```
   apiVersion: v1
   data:
     mapRoles: |
       - rolearn: arn:aws:iam::444455556666:role/eksctl-my-cluster-nodegroup-standard-wo-NodeInstanceRole-1WP3NUE3O6UCF
         user name: system:node:EC2_PrivateDNSName
         groups:
           - system:bootstrappers
           - system:nodes
     mapUsers: |
       - userarn: arn:aws:iam::123456789012:user/admin
         username: admin
         groups:
           - system:masters
       - userarn: arn:aws:iam::111122223333:user/ops-user
         username: ops-user
         groups:
           - system:masters
   ```

1. Elimine ese usuario de. ConfigMap Consulte el siguiente ejemplo, en el que se ha eliminado el usuario administrador.

   ```
   apiVersion: v1
   data:
     mapRoles: |
       - rolearn: arn:aws:iam::111122223333:role/eksctl-my-cluster-nodegroup-standard-wo-NodeInstanceRole-1WP3NUE3O6UCF
         username: system:node:{{EC2PrivateDNSName}}
         groups:
           - system:bootstrappers
           - system:nodes
     mapUsers: |
       - userarn: arn:aws:iam::111122223333:user/ops-user
         username: ops-user
         groups:
           - system:masters
   ```

1. Si `userType` es **Usuario** o es un **rol** que ha asumido un usuario: 

   1. [Rote la clave de acceso](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) de ese usuario.

   1. Rote los secretos a los que haya accedido el usuario.

   1. Revise la información de [Mi AWS cuenta puede estar comprometida](https://aws.amazon.com//premiumsupport/knowledge-center/potential-account-compromise/) para obtener más detalles.

Si el resultado no tiene una sección `resource.accessKeyDetails`, el usuario es una cuenta de servicio de Kubernetes. 

**Cuenta de servicio**: la cuenta de servicio proporciona una identidad para los pods y se puede identificar mediante un nombre de usuario con el siguiente formato: `system:serviceaccount:namespace:service_account_name`.  
**Para revocar el acceso a una cuenta de servicio:**  

1. Cambie las credenciales de la cuenta de servicio.

1. Consulte las directrices sobre el peligro de los pods en la siguiente sección.

## Corregir pods de Kubernetes potencialmente comprometidos
<a name="compromised-kubernetes-pod"></a>

Si se GuardDuty especifican los detalles de un pod o recurso de carga de trabajo en la `resource.kubernetesDetails.kubernetesWorkloadDetails` sección, ese pod o recurso de carga de trabajo puede estar en peligro. Un GuardDuty hallazgo puede indicar que un solo pod se ha visto comprometido o que varios pods se han visto comprometidos a través de un recurso de nivel superior. Consulte los siguientes escenarios de peligro para obtener directrices sobre cómo identificar el pod o los pods que se han puesto en peligro.

**Pods individuales en peligro**  
Si el campo `type` de la sección `resource.kubernetesDetails.kubernetesWorkloadDetails` es **pods**, el resultado identifica un solo pod. El campo `name` es el nombre de los pods y el campo `namespace` es su espacio de nombres.   
Para obtener información sobre la identificación del nodo de trabajo que ejecuta los pods, consulte [Identifique el pod y el nodo de trabajo infractores](https://docs.aws.amazon.com/eks/latest/best-practices/incident-response-and-forensics.html#_identify_the_offending_pod_and_worker_node) en la *Guía de prácticas recomendadas de Amazon EKS*.

**Pods en peligro a través de un recurso de carga de trabajo**  
Si el campo `type` de la sección `resource.kubernetesDetails.kubernetesWorkloadDetails` identifica un **recurso de carga de trabajo**, como `Deployment`, es probable que todos los pods de ese recurso de carga de trabajo estén en peligro.   
Para obtener información sobre cómo identificar todos los pods del recurso de carga de trabajo y los nodos en los que se ejecutan, consulte [Identifique los pods y los nodos de trabajo infractores utilizando el nombre de la carga de trabajo](https://docs.aws.amazon.com/eks/latest/best-practices/incident-response-and-forensics.html#_identify_the_offending_pods_and_worker_nodes_using_workload_name) en la *Guía de prácticas recomendadas de Amazon EKS*.

**Pods en peligro a través de una cuenta de servicio**  
Si un GuardDuty hallazgo identifica una cuenta de servicio en la `resource.kubernetesDetails.kubernetesUserDetails` sección, es probable que los pods que utilizan la cuenta de servicio identificada estén comprometidos. El nombre de usuario indicado en un resultado es una cuenta de servicio si tiene el siguiente formato: `system:serviceaccount:namespace:service_account_name`.  
Para obtener información sobre la identificación de todos los pods que utilizan la cuenta de servicio y los nodos en los que se ejecutan, consulte [Identifique los pods y los nodos de trabajo infractores mediante el nombre de la cuenta de servicio](https://docs.aws.amazon.com/eks/latest/best-practices/incident-response-and-forensics.html#_identify_the_offending_pods_and_worker_nodes_using_service_account_name) en la *Guía de prácticas recomendadas de Amazon EKS*.

Una vez que haya identificado todos los pods comprometidos y los nodos en los que se ejecutan, consulte [Aísle el pod creando una política de red que deniegue todo el tráfico de entrada y salida al pod](https://docs.aws.amazon.com/eks/latest/best-practices/incident-response-and-forensics.html#_isolate_the_pod_by_creating_a_network_policy_that_denies_all_ingress_and_egress_traffic_to_the_pod) en la *Guía de prácticas recomendadas de Amazon EKS*.

**Para corregir un pod potencialmente comprometido:**

1. Identifique la vulnerabilidad que puso en peligro a los pods.

1. Implemente la corrección para esa vulnerabilidad e inicie nuevos pods de reemplazo.

1. Elimine los pods vulnerables.

   Para obtener más información, consulte [Vuelva a implementar el pod o el recurso de carga de trabajo comprometido](https://docs.aws.amazon.com/eks/latest/best-practices/incident-response-and-forensics.html#_redeploy_compromised_pod_or_workload_resource) en la *Guía de prácticas recomendadas de Amazon EKS*.

Si al nodo trabajador se le ha asignado una función de IAM que permita a los Pods acceder a otros AWS recursos, elimina esas funciones de la instancia para evitar que el ataque cause más daños. Del mismo modo, si al pod se le ha asignado un rol de IAM, evalúe si puede eliminar de forma segura las políticas de IAM del rol sin que ello afecte a otras cargas de trabajo.

## Corregir imágenes de contenedores potencialmente comprometidas
<a name="compromised-kubernetes-image"></a>

Cuando un GuardDuty hallazgo indica que un módulo está en peligro, la imagen utilizada para lanzarlo podría ser maliciosa o estar comprometida. GuardDuty los hallazgos identifican la imagen del contenedor en el `resource.kubernetesDetails.kubernetesWorkloadDetails.containers.image` campo. Para determinar si la imagen es malintencionada, analícela en busca de malware. 

**Para corregir una imagen de contenedor potencialmente comprometida:**

1. Deje de usar la imagen inmediatamente y elimínela del repositorio de imágenes.

1. Identifique todos los pods que utilizan la imagen potencialmente comprometida.

   Para obtener más información, consulte [Identificar los pods con imágenes y nodos de trabajo vulnerables o comprometidos](https://docs.aws.amazon.com/eks/latest/best-practices/incident-response-and-forensics.html#_identify_pods_with_vulnerable_or_compromised_images_and_worker_nodes) en la *Guía de prácticas recomendadas de Amazon EKS*.

1. Aísle los pods potencialmente comprometidos, rote las credenciales y recopile datos para su análisis. Para obtener más información, consulte [Aislar el pod mediante la creación de una política de red que deniegue todo el tráfico de entrada y salida al pod en la Guía](https://docs.aws.amazon.com/eks/latest/best-practices/incident-response-and-forensics.html#_isolate_the_pod_by_creating_a_network_policy_that_denies_all_ingress_and_egress_traffic_to_the_pod) de *prácticas recomendadas de Amazon EKS*.

1. Elimine todos los pods que utilicen la imagen potencialmente comprometida.

## Corregir nodos de Kubernetes potencialmente comprometidos
<a name="compromised-kubernetes-node"></a>

Un GuardDuty hallazgo puede indicar que un nodo está en peligro si el usuario identificado en el hallazgo representa la identidad de un nodo o si el hallazgo indica el uso de un contenedor privilegiado.

La identidad del usuario es un nodo de trabajo si el campo **username** tiene el siguiente formato: `system:node:node name`. Por ejemplo, `system:node:ip-192-168-3-201.ec2.internal`. Esto indica que el adversario ha obtenido acceso al nodo y está utilizando las credenciales del nodo para comunicarse con el punto de conexión de la API de Kubernetes.

Un resultado indica el uso de un contenedor privilegiado si uno o varios de los contenedores enumerados en el resultado tienen el campo de resultado `resource.kubernetesDetails.kubernetesWorkloadDetails.containers.securityContext.privileged` establecido en `True`. 

**Para corregir un nodo potencialmente comprometido:**

1. Aísle el pod, rote sus credenciales y recopile datos para el análisis forense.

   Para obtener más información, consulte [Aislar el pod mediante la creación de una política de red que deniegue todo el tráfico de entrada y salida al pod en la Guía](https://docs.aws.amazon.com/eks/latest/best-practices/incident-response-and-forensics.html#_isolate_the_pod_by_creating_a_network_policy_that_denies_all_ingress_and_egress_traffic_to_the_pod) de *prácticas recomendadas de Amazon EKS*.

1. Identifique las cuentas de servicio utilizadas por todos los pods que se ejecutan en el nodo potencialmente comprometido. Revise sus permisos y rote las cuentas de servicio si es necesario.

1. Termine el nodo potencialmente comprometido.

# Corregir los resultados de la Supervisión en tiempo de ejecución
<a name="guardduty-remediate-runtime-monitoring"></a>

Cuando habilitas Runtime Monitoring para tu cuenta, Amazon GuardDuty puede generar datos [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md) que indiquen posibles problemas de seguridad en tu AWS entorno. Los posibles problemas de seguridad indican una instancia de Amazon EC2, una carga de trabajo de contenedor, un clúster de Amazon EKS o un conjunto de credenciales comprometidas en su AWS entorno. El agente de seguridad supervisa los eventos en tiempo de ejecución de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte el **tipo de recurso** en los detalles de búsqueda generados en la GuardDuty consola. En la siguiente sección se describen los pasos de corrección recomendados para cada tipo de recurso. 

------
#### [ Instance ]

Si el **tipo de recurso** en los detalles del resultado es **Instancia**, indica que una instancia de EC2 o un nodo de EKS están potencialmente en peligro.
+ Para corregir un nodo de EKS en peligro, consulte [Corregir nodos de Kubernetes potencialmente comprometidos](guardduty-remediate-kubernetes.md#compromised-kubernetes-node).
+ Para corregir una instancia de EC2 en peligro, consulte [Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida](compromised-ec2.md).

------
#### [ EKSCluster ]

Si el **tipo de recurso** que aparece en los detalles del hallazgo es **EKSCluster**, esto indica que un pod o un contenedor dentro de un clúster de EKS están potencialmente comprometidos.
+ Para corregir un pod en peligro, consulte [Corregir pods de Kubernetes potencialmente comprometidos](guardduty-remediate-kubernetes.md#compromised-kubernetes-pod).
+ Para corregir una imagen de contenedor en peligro, consulte [Corregir imágenes de contenedores potencialmente comprometidas](guardduty-remediate-kubernetes.md#compromised-kubernetes-image).

------
#### [ ECSCluster ]

Si el **tipo de recurso** que aparece en los detalles de la búsqueda es el mismo **ECSCluster**, esto indica que una tarea de ECS o un contenedor dentro de una tarea de ECS está potencialmente comprometido.

1. **Identifique el clúster de ECS afectado**

   El hallazgo GuardDuty de Runtime Monitoring proporciona los detalles del clúster de ECS en el panel de detalles del hallazgo o en la `resource.ecsClusterDetails` sección del JSON de búsqueda.

1. **Identifique la tarea de ECS afectada**

   El resultado GuardDuty de Runtime Monitoring proporciona los detalles de la tarea de ECS en el panel de detalles del hallazgo o en la `resource.ecsClusterDetails.taskDetails` sección del JSON de búsqueda.

1. **Aísle la tarea afectada**

   Para aislar la tarea impactada, deniegue todo el tráfico de entrada y salida a la tarea. Una regla que prohíba todo el tráfico puede ayudar a detener un ataque que ya está en marcha, ya que interrumpe todas las conexiones con la tarea. 

1. **Corrija la tarea comprometida**

   1. Identifique la vulnerabilidad que comprometió la tarea.

   1. Implemente la corrección de esa vulnerabilidad e inicie una nueva tarea de sustitución.

   1. Detenga la tarea vulnerable.

------
#### [ Container ]

Si el **tipo de recurso** en los detalles del resultado es **Contenedor**, indica que un contenedor independiente está potencialmente en peligro.
+ Para corregirlo, consulte [Corregir un contenedor independiente potencialmente comprometido](remediate-compromised-standalone-container.md).
+ Si el resultado se genera en varios contenedores con la misma imagen de contenedor, consulte [Corregir imágenes de contenedores potencialmente comprometidas](guardduty-remediate-kubernetes.md#compromised-kubernetes-image).
+ Si el contenedor ha accedido al host de EC2 subyacente, es posible que las credenciales de la instancia asociadas se hayan puesto en peligro. Para obtener más información, consulte [Corregir las credenciales potencialmente comprometidas AWS](compromised-creds.md).
+ Si un agente potencialmente malintencionado ha accedido al nodo EKS subyacente o a una instancia de EC2, consulta las soluciones recomendadas en las pestañas *EKSCluster*e *Instancia*.

------

## Corrección de imágenes de contenedor en peligro
<a name="gdu-remediate-compromised-container-images"></a>

Cuando un GuardDuty hallazgo indica que una tarea está en peligro, la imagen utilizada para lanzarla podría ser maliciosa o estar comprometida. GuardDuty los hallazgos identifican la imagen del contenedor en el `resource.ecsClusterDetails.taskDetails.containers.image` campo. Para determinar si la imagen es maliciosa o no, puede analizarla en busca de malware.

**Para corregir una imagen de contenedor comprometida**

1. Deje de usar la imagen inmediatamente y elimínela del repositorio de imágenes.

1. Identifique todas las tareas que utilizan esta imagen.

1. Detenga todas las tareas que utilizan la imagen comprometida. Actualice las definiciones de las tareas de modo que dejen de utilizar la imagen comprometida.

# Corregir una base de datos potencialmente comprometida
<a name="guardduty-remediate-compromised-database-rds"></a>

GuardDuty genera datos [Tipos de resultados de la protección de RDS](findings-rds-protection.md) que indican un comportamiento de inicio de sesión potencialmente sospechoso y anómalo en su cuenta [Bases de datos compatibles](rds-protection.md#rds-pro-supported-db) después de activarlo. [Protección de RDS](rds-protection.md) Mediante la actividad de inicio de sesión de RDS, GuardDuty analiza y perfila las amenazas identificando patrones inusuales en los intentos de inicio de sesión.

**nota**  
Para acceder a toda la información sobre un tipo de resultado, selecciónelo en la [GuardDuty tipos de búsqueda activos](guardduty_finding-types-active.md#findings-table).

Siga estos pasos recomendados para corregir una base de datos de Amazon Aurora que pueda estar en peligro en su AWS entorno.

**Topics**
+ [Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión correctos](#gd-compromised-db-successful-attempt)
+ [Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión fallidos](#gd-compromised-db-failed-attempt)
+ [Corrección de credenciales potencialmente en peligro](#gd-rds-database-compromised-credentials)
+ [Restricción del acceso a la red](#gd-rds-database-restrict-network-access)

## Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión correctos
<a name="gd-compromised-db-successful-attempt"></a>

Los siguientes pasos recomendados pueden ayudarlo a corregir una base de datos de Aurora potencialmente en peligro que presenta un comportamiento atípico en relación con los eventos de inicio de sesión correctos.

1. **Identifique la base de datos y el usuario afectados.**

   El GuardDuty resultado generado proporciona el nombre de la base de datos afectada y los detalles de usuario correspondientes. Para obtener más información, consulte [Detalles de los resultados](guardduty_findings-summary.md).

1. **Confirme si este comportamiento es esperado o inesperado. **

   En la siguiente lista se especifican los posibles escenarios que pueden haber provocado GuardDuty la generación de un hallazgo:
   + Un usuario que inicia sesión en su base de datos después de un largo periodo de tiempo.
   + Un usuario que inicia sesión en su base de datos de forma ocasional (por ejemplo, un analista financiero que inicia sesión cada trimestre).
   + Un agente potencialmente sospechoso que participa en un intento de inicio de sesión correcto podría poner en peligro la base de datos.

1. **Comience este paso si el comportamiento es inesperado.**

   1. **Restrinja el acceso a la base de datos.**

      Restrinja el acceso a la base de datos para las cuentas sospechosas y el origen de esta actividad de inicio de sesión. Para obtener más información, consulte [Corrección de credenciales potencialmente en peligro](#gd-rds-database-compromised-credentials) y [Restricción del acceso a la red](#gd-rds-database-restrict-network-access).

   1. **Evalúe el impacto y determine a qué información se accedió.**
      + Si están disponibles, revise los registros de auditoría para identificar los datos a los que se puede haber accedido. Para obtener más información, consulte [Supervisión de eventos, registros y flujos en un clúster de bases de datos de Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/CHAP_Monitor_Logs_Events.html) en la *Guía del usuario de Amazon Aurora*. 
      + Determine si se accedió a información confidencial o protegida o si se modificó.

## Corrección de una base de datos potencialmente en peligro con eventos de inicio de sesión fallidos
<a name="gd-compromised-db-failed-attempt"></a>

Los siguientes pasos recomendados pueden ayudarlo a corregir una base de datos de Aurora potencialmente en peligro que presenta un comportamiento atípico en relación con los eventos de inicio de sesión fallidos.

1. **Identifique la base de datos y el usuario afectados.**

   El GuardDuty resultado generado proporciona el nombre de la base de datos afectada y los detalles de usuario correspondientes. Para obtener más información, consulte [Detalles de los resultados](guardduty_findings-summary.md).

1. **Identifique el origen de los intentos de inicio de sesión fallidos.** 

   La GuardDuty búsqueda generada proporciona la **dirección IP** y la **organización de la ASN** (si se trata de una conexión pública) en la sección **Actor** del panel de búsqueda.

   Un sistema autónomo (AS) es un grupo de uno o varios prefijos de IP (listas de direcciones IP accesibles en una red) administrado por uno o más operadores de red que mantienen una política de enrutamiento única y claramente definida. Los operadores de red necesitan números de sistema autónomos (ASNs) para controlar el enrutamiento dentro de sus redes e intercambiar información de enrutamiento con otros proveedores de servicios de Internet (ISPs). 

1. **Confirme que este comportamiento es inesperado.**

   Examine si esta actividad representa un intento de obtener acceso adicional no autorizado a la base de datos de la siguiente manera:
   + Si el origen es interno, compruebe si una aplicación está mal configurada y si está intentando conectarse repetidamente. 
   + Si se trata de un agente externo, compruebe si la base de datos correspondiente es pública o está mal configurada y, por lo tanto, permite que posibles actores malintencionados utilicen nombres de usuario comunes por fuerza bruta.

1. **Comience este paso si el comportamiento es inesperado.**

   1. **Restrinja el acceso a la base de datos.**

      Restrinja el acceso a la base de datos para las cuentas sospechosas y el origen de esta actividad de inicio de sesión. Para obtener más información, consulte [Corrección de credenciales potencialmente en peligro](#gd-rds-database-compromised-credentials) y [Restricción del acceso a la red](#gd-rds-database-restrict-network-access).

   1. **Analice la causa raíz y determine los pasos que podrían haber llevado a esta actividad.**

      Configure una alerta para recibir una notificación cuando una actividad modifique una política de red y cree un estado no seguro. Para obtener más información, consulte [Firewall policies in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html) en la *Guía para desarrolladores de AWS Network Firewall *.

## Corrección de credenciales potencialmente en peligro
<a name="gd-rds-database-compromised-credentials"></a>

Un GuardDuty hallazgo puede indicar que las credenciales de usuario de una base de datos afectada se han visto comprometidas cuando el usuario identificado en el hallazgo ha realizado una operación inesperada en la base de datos. Puede identificar el usuario en la sección **Detalles del usuario de base de datos de RDS** del panel de resultados de la consola o en `resource.rdsDbUserDetails` del JSON de resultados. Estos detalles del usuario incluyen el nombre de usuario, la aplicación utilizada, la base de datos a la que se ha accedido, la versión de SSL y el método de autenticación.
+ Para revocar el acceso o rotar las contraseñas de usuarios específicos que participan en el resultado, consulte [Seguridad con Amazon Aurora MySQL](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Security.html) o [Seguridad con Amazon Aurora PostgreSQL](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraPostgreSQL.Security.html) en la *Guía del usuario de Amazon Aurora*.
+ Úselo AWS Secrets Manager para almacenar de forma segura y rotar automáticamente los secretos de las bases de datos de Amazon Relational Database Service (RDS). Para obtener más información, consulte [Tutoriales de AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/tutorials.html) en la *Guía del usuario de AWS Secrets Manager *.
+ Utilice la autenticación de bases de datos de IAM para administrar el acceso de los usuarios a las bases de datos sin necesidad de contraseñas. Para obtener más información, consulte [Autenticación de bases de datos de IAM](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html) en la *Guía del usuario de Amazon Aurora*.

  Para obtener más información, consulte [Prácticas recomendadas de seguridad para Amazon Relational Database Service](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_BestPractices.Security.html) en la *Guía del usuario de Amazon RDS*.

## Restricción del acceso a la red
<a name="gd-rds-database-restrict-network-access"></a>

Un GuardDuty hallazgo puede indicar que se puede acceder a una base de datos más allá de las aplicaciones o de la Nube Privada Virtual (VPC). Si la dirección IP remota del resultado es un origen de conexión inesperado, audite los grupos de seguridad. Encontrará una lista de los grupos de seguridad adjuntos a la base de datos en la **sección Grupos de seguridad** de la [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)consola o en el JSON `resource.rdsDbInstanceDetails.dbSecurityGroups` de los resultados. Para obtener más información sobre la configuración de los grupos de seguridad, consulte [Control de acceso con grupos de seguridad](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html) en la *Guía del usuario de Amazon RDS*.

Si utiliza un firewall, restrinja el acceso de la red a la base de datos reconfigurando las listas de control de acceso a la red (NACLs). Para obtener más información, consulte [Firewall in AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewalls.html) en la *Guía para desarrolladores de AWS Network Firewall *.

# Corregir una función de Lambda potencialmente comprometida
<a name="remediate-lambda-protection-finding-types"></a>

Cuando se GuardDuty genera[Tipos de resultados de la protección de Lambda](lambda-protection-finding-types.md), la función Lambda puede verse comprometida. Si se esperaba la actividad GuardDuty que provocó este hallazgo, puede considerar la posibilidad de [Reglas de supresión](findings_suppression-rule.md) utilizarla. Recomendamos completar los siguientes pasos para corregir una función de Lambda comprometida:

**Corrección de los resultados de la protección de Lambda**

1. **Identifique la versión de la función Lambda potencialmente comprometida**.

   Una GuardDuty búsqueda de Lambda Protection proporciona el nombre, el nombre del recurso de Amazon (ARN), la versión de la función y el ID de revisión asociados a la función de Lambda que aparecen en los detalles de la búsqueda.

1. **Identifique el origen de la actividad potencialmente sospechosa**.

   1. Revise el código asociado a la versión de la función de Lambda implicada en el resultado. 

   1. Revise las bibliotecas y capas importadas de la versión de la función de Lambda implicada en el resultado.

   1. Si ha activado [AWS Lambda las funciones de digitalización en Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html), revise las [conclusiones de Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/findings-understanding-locating-analyzing.html) asociadas a la función Lambda implicada en la búsqueda. 

   1. Revise los AWS CloudTrail registros para identificar el factor principal que provocó la actualización de la función y asegúrese de que la actividad estaba autorizada o prevista.

1. **Corrija la función de Lambda potencialmente comprometida**.

   1. Deshabilite los desencadenadores de ejecución de la función de Lambda implicada en el resultado. Para obtener más información, consulte [DeleteFunctionEventInvokeConfig](https://docs.aws.amazon.com/lambda/latest/dg/API_DeleteFunctionEventInvokeConfig.html).

   1. Revise el código de Lambda y actualice las importaciones de bibliotecas y las [capas de la función de Lambda](https://docs.aws.amazon.com/lambda/latest/dg/chapter-layers.html) para eliminar las bibliotecas y las capas potencialmente sospechosas.

   1. Mitigue los resultados de Amazon Inspector relacionados con la función de Lambda implicada en el resultado.