Habilitar Amazon GuardDuty para detección de amenazas e investigar los hallazgos

NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.

Se recomienda configurar alertas vía SNS ante hallazgos críticos.

¿Por qué GuardDuty? ¿De qué otra manera puedo detectar amenazas en la nube de AWS?

Si bien puede utilizar soluciones de terceros como Gestión de eventos e información de seguridad (SIEM) , Análisis del comportamiento de usuarios y entidades (UEBA), Detección de anomalías del comportamiento de la red (NBAD) y soluciones de monitoreo en tiempo de ejecución para analizar las fuentes que utiliza GuardDuty, el esfuerzo y el costo de implementar estas soluciones, integrarlas y generar registros de flujo de VPC en todas sus VPC representaría un costo mucho mayor y requeriría mucho más esfuerzo, por lo tanto, recomendamos otras soluciones para detecciones de amenazas personalizadas, en una fase posterior. Otras soluciones pueden ser “victorias”, pero no “victoriasrápidas”.

GuardDuty Mindmap

https://www.xmind.net/m/K3fmSB

Workshops

Mitigación de riesgos

  • GuardDuty puede detectar adversarios de forma temprana a través de sus actividades de reconocimiento e identificar las amenazas más comunes.
  • GuardDuty es un servicio de detección de amenazas, por lo tanto, para que sea eficaz, alguien debe tomar medidas en función de los hallazgos (o tener una automatización configurada para responder)

Guía para evaluar su grado de alineación

  • ¿Tiene AWS GuardDuty habilitado en toda su organización?
  • ¿Su equipo está capacitado para comprender los hallazgos de GuardDuty?

Precios

https://aws.amazon.com/es/guardduty/pricing
El servicio cuenta con un período de pruebas de 30 días (free trial)
El servicio cuenta con una página para verificar el uso actual y estimar el uso futuro.