Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # ¿Qué es Amazon GuardDuty? Amazon GuardDuty es un servicio de detección de amenazas que supervisa, analiza y procesa de forma continua las fuentes de AWS datos y los registros de su AWS entorno. GuardDuty utiliza fuentes de inteligencia sobre amenazas, como listas de direcciones IP y dominios maliciosos, códigos hash de archivos y modelos de aprendizaje automático (ML) para identificar actividades sospechosas y potencialmente maliciosas en su AWS entorno. La siguiente lista proporciona una descripción general de los posibles escenarios de amenazas que GuardDuty pueden ayudarle a detectarlos: + Credenciales comprometidas y filtradas. AWS + Filtración y destrucción de datos que puede conducir a un evento de ransomware. Patrones inusuales de eventos de inicio de sesión en versiones de motor compatibles de bases de datos de Amazon Aurora y Amazon RDS, que indican un comportamiento anómalo. + Actividad de minería de criptomonedas no autorizada en las instancias y cargas de trabajo de contenedores de Amazon Elastic Compute Cloud (Amazon EC2). + Presencia de malware en las instancias de Amazon EC2 y en las cargas de trabajo de contenedores, así como en los archivos recién cargados en los buckets de Amazon Simple Storage Service (Amazon S3). + Eventos a nivel de sistema operativo, redes y archivos que indiquen un comportamiento no autorizado en los clústeres de Amazon Elastic Kubernetes Service (Amazon EKS), tareas de AWS Fargate Amazon Elastic Container Service (Amazon ECS) e instancias y cargas de trabajo de contenedores de Amazon EC2 . El siguiente vídeo proporciona una descripción general de cómo puede GuardDuty detectar las amenazas en su AWS entorno. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/ng14ToMXnTA/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/ng14ToMXnTA) **Topics** + [Características de GuardDuty](#features-of-guardduty) + [Conformidad con DSS de PCI](#guardduty-pci-dss-compliance) + [Precios en GuardDuty](guardduty-pricing.md) + [Acceder GuardDuty](guardduty-access.md) ## Características de GuardDuty Estas son algunas de las formas clave en las que Amazon GuardDuty puede ayudarle a supervisar, detectar y gestionar las posibles amenazas en su AWS entorno. **Supervisa continuamente orígenes de datos y registros de eventos específicos** + **Detección básica de amenazas**: cuando habilita GuardDuty una Cuenta de AWS, comienza a ingerir GuardDuty automáticamente las fuentes de datos fundamentales asociadas a esa cuenta. Estos orígenes de datos incluyen eventos de administración de AWS CloudTrail , registros de flujo de VPC (de instancias de Amazon EC2) y registros de DNS. No necesita habilitar ninguna otra opción para empezar GuardDuty a analizar y procesar estas fuentes de datos y generar las correspondientes conclusiones de seguridad. Para obtener más información, consulte [GuardDuty fuentes de datos fundamentales](guardduty_data-sources.md). + **Detección ampliada de amenazas**: esta capacidad detecta ataques en varias etapas que abarcan fuentes de datos fundamentales, varios tipos de AWS recursos y tiempo, en un mismo momento. Cuenta de AWS Es posible que haya varios eventos en su cuenta que, por separado, no se presenten como una amenaza clara. Sin embargo, cuando estos eventos se observan en una secuencia que indica una actividad sospechosa, la GuardDuty identifica como una secuencia de ataque. GuardDuty lo notifica generando el tipo de búsqueda de la secuencia de ataque asociada para proporcionar detalles sobre la secuencia de ataque observada. Sin coste adicional, la detección extendida de amenazas se activa automáticamente para cada una de ellas Cuenta de AWS cuando se activa GuardDuty. Esta capacidad no requiere que habilite ningún plan de protección centrado en los casos de uso. Sin embargo, para aumentar el alcance de la seguridad de sus recursos de Amazon S3, le recomendamos que GuardDuty habilite S3 Protection en su cuenta. Esto ayudará a que la Detección Extendida de Amenazas identifique los ataques en varias etapas que podrían afectar a sus recursos de Amazon S3. Para obtener más información acerca de cómo funciona esta característica y qué escenarios de amenaza cubre, consulte [GuardDuty Detección de amenazas extendida](guardduty-extended-threat-detection.md). + **Planes de GuardDuty protección basados en casos de uso**: para mejorar la visibilidad de la detección de amenazas y la seguridad de su AWS entorno, GuardDuty ofrece planes de protección específicos que puede habilitar. Los planes de protección le ayudan a supervisar los registros y eventos de otros AWS servicios. Estas fuentes incluyen los registros de auditoría de EKS, la actividad de inicio de sesión de RDS, los eventos de datos de Amazon S3 CloudTrail, los volúmenes de EBS, la supervisión del tiempo de ejecución en Amazon EKS, Amazon EC2 y Amazon ECS-Fargate y los registros de actividad de red Lambda. GuardDuty[consolida estas fuentes de registros y eventos bajo el término Características.](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html) Puede activar uno o más planes de protección dedicados de forma compatible Región de AWS en cualquier momento. GuardDuty empezará a supervisar, procesar y analizar las actividades en función del plan de protección que active. Para obtener más información sobre cada plan de protección y su funcionamiento, consulte el documento del plan de protección correspondiente. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/what-is-guardduty.html) **Habilitar la protección contra malware para S3 de forma independiente** GuardDuty ofrece flexibilidad para utilizar Malware Protection for S3 de forma independiente, sin necesidad de activar el GuardDuty servicio Amazon. Para obtener más información sobre cómo comenzar a utilizar únicamente la protección contra malware para S3, consulte [GuardDuty Protección contra malware para S3](gdu-malware-protection-s3.md). Para usar todos los demás planes de protección, debe habilitar el GuardDuty servicio. **Administre un entorno de varias cuentas** Puede administrar un AWS entorno de varias cuentas mediante el método de invitación AWS Organizations (recomendado) o el tradicional. Para obtener más información, consulte [Varias cuentas en GuardDuty](guardduty_accounts.md). **Genera resultados de seguridad para las amenazas detectadas** Cuando GuardDuty detecta posibles amenazas de seguridad asociadas a sus AWS recursos, comienza a generar resultados de seguridad que proporcionan información sobre el recurso potencialmente comprometido. Después de activarla GuardDuty en tu cuenta, genera [Ejemplos de hallazgos](sample_findings.md) para ver la asociada[Detalles de los resultados](guardduty_findings-summary.md). Para obtener una lista completa de los resultados de seguridad, consulte [GuardDuty buscar tipos](guardduty_finding-types-active.md). También puede utilizar un script de prueba que genere conclusiones de GuardDuty seguridad específicas para comprender cómo revisarlas y responder a ellas GuardDuty . GuardDuty Para obtener más información, consulte [Pruebe GuardDuty los resultados en cuentas dedicadas](guardduty_findings-scripts.md). **Evaluar y administrar los resultados de seguridad** GuardDuty consolida las conclusiones de seguridad de todas las cuentas y muestra los resultados en el panel de resumen de la GuardDuty consola. También puede recuperar los resultados a través de la AWS Security Hub CSPM API o AWS Command Line Interface el AWS SDK. Gracias a una perspectiva integral del estado actual de la seguridad, podrá identificar tendencias y posibles problemas, además de implementar las medidas correctivas necesarias. Para obtener más información, consulte [Gestionar GuardDuty los hallazgos](findings_management.md). **Intégrelo con los servicios AWS de seguridad relacionados** Para seguir analizando e investigando las tendencias de seguridad de su AWS entorno, considere la posibilidad de utilizar los siguientes servicios AWS relacionados con la seguridad en combinación con. GuardDuty + **AWS Security Hub CSPM**— Este servicio le ofrece una visión integral del estado de seguridad de sus AWS recursos y le ayuda a comprobar su AWS entorno según los estándares y las mejores prácticas del sector de la seguridad. Esto lo consigue, en parte, consumiendo, agrupando, organizando y priorizando las conclusiones de seguridad de varios AWS servicios (incluido Amazon Macie) y de los productos AWS compatibles de Partner Network (APN). Security Hub CSPM le ayuda a analizar sus tendencias de seguridad e identificar los problemas de seguridad más prioritarios en todo su AWS entorno. Para obtener información sobre el uso GuardDuty conjunto de CSPM de Security Hub, consulte. [Integrarse GuardDuty con AWS Security Hub CSPM](guardduty_integrations.md#gd-securityhub) Para obtener más información sobre Security Hub CSPM, consulte la Guía del [AWS Security Hub usuario](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). + **Amazon Detective**: este servicio ayuda a analizar, investigar e identificar rápidamente la causa raíz de los resultados de seguridad o las actividades sospechosas. Detective recopila automáticamente los datos de registro de sus AWS recursos. A continuación, utiliza el machine learning, el análisis estadístico y la teoría de grafos para generar visualizaciones que lo ayuden a realizar investigaciones sobre la seguridad con mayor rapidez y de forma más eficaz. Las agregaciones de datos, resúmenes y contexto predefinidos de Detective ayudan a analizar los posibles problemas de seguridad, así como a determinar su naturaleza y alcance. Para obtener información sobre el uso GuardDuty conjunto de Detective, consulte[Integración GuardDuty con Amazon Detective](guardduty_integrations.md#gd-detective). Para obtener más información sobre Detective, consulte la [Guía del usuario de Amazon Detective](https://docs.aws.amazon.com/detective/latest/userguide/what-is-detective.html). + **Amazon EventBridge**: este servicio le ayuda a recibir notificaciones y responder a los hallazgos GuardDuty de seguridad casi en tiempo real. GuardDuty crea un evento cuando hay un cambio en los resultados. Puede elegir la frecuencia de la que desea recibir las notificaciones EventBridge. Para obtener más información, consulta [Qué es Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) en la *Guía del EventBridge usuario de Amazon*. ## Conformidad con DSS de PCI GuardDuty admite el procesamiento, el almacenamiento y la transmisión de datos de tarjetas de crédito por parte de un comerciante o proveedor de servicios, y se ha comprobado que cumple con el estándar de seguridad de datos (DSS) de la industria de tarjetas de pago (PCI). Para obtener más información sobre PCI DSS, incluida la forma de solicitar una copia del PCI AWS Compliance Package, consulte [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS Level 1. Para obtener más información, consulte una [nueva prueba de terceros que compara Amazon con GuardDuty los sistemas de detección de intrusiones en la red](https://aws.amazon.com/blogs/security/new-third-party-test-compares-amazon-guardduty-to-network-intrusion-detection-systems/) en el *blog AWS de seguridad*. # Precios en GuardDuty Esta sección se centra en el capa gratuita de AWS modelo que se GuardDuty utiliza para los distintos planes de protección y en cómo puede ver los costes de uso estimados y reales. Si busca información detallada sobre los precios asociados a todos los planes de protección de las regiones compatibles, consulte [GuardDutylos precios](https://aws.amazon.com/guardduty/pricing/). **capa gratuita de AWS** capa gratuita de AWS le ayuda a explorar y probar de Servicios de AWS forma gratuita hasta los límites especificados para cada servicio. Existen tres categorías: 12 meses gratis, siempre gratis y pruebas gratuitas de corta duración. Amazon GuardDuty pertenece a la categoría de prueba gratuita a corto plazo y ofrece una prueba gratuita de 30 días. Si continúa utilizándolo GuardDuty después de que finalice la prueba gratuita, empezará a incurrir en costes en función de la forma en que utilice este servicio. ****1** Excepción a la GuardDuty prueba gratuita de 30 días** El análisis de malware bajo demanda (en Malware Protection for EC2) y Malware Protection for S3 no entran en la categoría de prueba gratuita de GuardDuty 30 días a corto plazo. La protección contra malware para S3 se incluye en la categoría de 12 meses gratuitos, capa gratuita de AWS mientras que el análisis de malware bajo demanda sigue un modelo de pay-as-you-use costes. No se ofrece una prueba gratuita de 30 días ni un modelo de costo de nivel gratuito de 12 meses para el análisis de malware bajo demanda. ## Uso de una GuardDuty prueba gratuita de 30 días Al usarlo GuardDuty por primera vez en una región Región de AWS, Cuenta de AWS se inscribe automáticamente en una prueba gratuita de 30 días en esa región. Algunos de los planes de protección también se habilitarán automáticamente y están incluidos en la prueba gratuita de 30 días. Como GuardDuty es un servicio regional, cuando lo habilites por primera vez en una región diferente, tu cuenta tendrá una prueba gratuita de 30 días GuardDuty en esa región. Al trabajar con varias cuentas de una GuardDuty organización, cada una de ellas tiene su propia versión de prueba gratuita de 30 días. Utilice la siguiente tabla para revisar los planes de protección con GuardDuty los que están habilitados de forma predeterminada y su disponibilidad de prueba gratuita. | Plan de protección | Habilitado de forma predeterminada con GuardDuty | Disponibilidad de prueba gratuita independiente**[2](#protection-plan-separate-enablement-gdu)** | | --- | --- | --- | | [EKS Protection](kubernetes-protection.md) | Sí | Sí | | [S3 Protection](s3-protection.md) | Sí | Sí | | [Supervisión en tiempo de ejecución](runtime-monitoring.md) | No | Sí | | [Malware Protection for EC2](malware-protection.md) – [GuardDuty-análisis de malware iniciado](gdu-initiated-malware-scan.md) | Sí | Sí | | [Malware Protection for EC2](malware-protection.md) – [Escanea malware bajo demanda en GuardDuty](on-demand-malware-scan.md) | No | No [1](#protection-plan-exception-free-trial-gdu) | | [GuardDuty Protección contra malware para S3](gdu-malware-protection-s3.md) | No | No [1](#protection-plan-exception-free-trial-gdu) | | [Protección de RDS](rds-protection.md) | Sí | Sí | | [Protección de Lambda](lambda-protection.md) | Sí | Sí | **2** Cuando se activa GuardDuty por primera vez, los planes de protección (excepto Runtime Monitoring) se activan automáticamente y se incluyen en la prueba gratuita inicial de 30 días. Cuando una GuardDuty cuenta existente habilita un nuevo plan de protección después de que la prueba GuardDuty gratuita inicial haya expirado, ese plan de protección incluye su propia prueba gratuita de 30 días. Para obtener más información sobre las pruebas gratuitas de los planes de protección, consulte el documento relacionado con cada plan de protección. **Consulta el coste de uso estimado durante la prueba gratuita**: durante la prueba gratuita de 30 días GuardDuty y, si es posible, un plan de protección, GuardDuty proporciona el coste de uso estimado de tu cuenta. Si es una cuenta de GuardDuty administrador delegado, puede ver el coste total de uso estimado y el desglose a nivel de cuenta de todas las cuentas de miembros que estén habilitadas. GuardDuty Para obtener más información, consulte [Supervisión del GuardDuty uso y estimación de los costes](monitoring_costs.md). **Coste de uso una vez finalizada la prueba gratuita**: si sigues utilizando GuardDuty alguno de sus planes de protección una vez finalizada la prueba gratuita, empezarás a incurrir en los costes de uso asociados. Para ver su factura, vaya a **Cost Explorer** en la [https://console.aws.amazon.com/costmanagement/](https://console.aws.amazon.com/costmanagement/)consola. Para obtener más información sobre la facturación de la AWS cuenta, consulte la [Guía del AWS Billing usuario](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-what-is.html). ## Utilizar la protección contra malware para S3 con el nivel gratuito de 12 meses Malware Protection for S3 utiliza un plan de nivel gratuito asociado al suyo Cuentas de AWS que puede ser nuevo, tener un nivel gratuito continuo o tener un nivel gratuito de 12 meses caducado. Para obtener más información, consulte [Precios y costo de uso de la protección contra malware para S3](pricing-malware-protection-for-s3-guardduty.md). # Acceder GuardDuty Amazon GuardDuty está disponible en la mayoría Regiones de AWS. Para ver una lista de las regiones en las GuardDuty que está disponible actualmente, consulta[Regiones y puntos de conexión](guardduty_regions.md). Se puede utilizar GuardDuty de cualquiera de las siguientes maneras: **GuardDuty consola** [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) La consola es una interfaz basada en navegador para obtener acceso y usar GuardDuty. La GuardDuty consola proporciona acceso a su GuardDuty cuenta, datos y recursos. **AWS Command Line Interface** Con AWS Command Line Interface (AWS CLI), puede emitir comandos en la línea de comandos de su sistema para realizar GuardDuty tareas y AWS tareas. Los AWS CLI comandos son útiles si desea crear scripts que realicen tareas. Para obtener información sobre la instalación y el uso AWS CLI, consulte la [Guía AWS Command Line Interface del usuario](https://docs.aws.amazon.com/cli/latest/userguide/). Para ver los AWS CLI comandos disponibles GuardDuty, consulte la [Referencia de AWS CLI comandos](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/index.html). **GuardDuty API HTTPS** Puedes acceder GuardDuty y AWS programar mediante la API GuardDuty HTTPS, que te permite enviar solicitudes HTTPS directamente al servicio. Para obtener más información, consulta la [referencia de la GuardDuty API de Amazon](https://docs.aws.amazon.com/guardduty/latest/APIReference/). **AWS SDKs** AWS proporciona kits de desarrollo de software (SDKs) que constan de bibliotecas y código de muestra para varios lenguajes de programación y plataformas (Java, Python, Ruby, .NET, iOS, Android y más). SDKs Proporcionan una forma cómoda de crear un acceso programático a GuardDuty. Para obtener información acerca de AWS SDKs, incluida la forma de descargarlos e instalarlos, consulte [Herramientas para Amazon Web Services](https://aws.amazon.com/tools/).