Detección avanzada de amenazas - Protection Plans

Revisa la mayoría de los hallazgos de Amazon GuardDuty

Una tarea clave entre los controles detectivos fundacionales es la revisión de todos los hallazgos de Amazon GuardDuty, es decir, no solo tomar acción ante cualquier hallazgo crítico, sino también evaluar por qué se están generando los hallazgos de mediana o baja prioridad, para detectar de manera temprana intentos de compromiso y bloquear rápidamente al adversario y activar el plan de respuesta ante incidentes.

Por ejemplo, cuando detectan SSH Bruteforce , indica que un adversario está intentando entrar a sus servicios expuestos de SSH, aún si el adversario aún no logró entrar, es una señal de alarma que nos debería dirigir hacia evaluar alternativas para cerrar ese vector de ataque, como el uso de AWS Systems Manager Fleet Manager

Investigar hallazgos de reconocimiento para identificar ataques mientras intentan expandirse lateralmente, herramientas de pentesting, y anomalías.

GuardDuty S3 Protection & Kubernetes

GuardDuty ha agregado dos conjuntos de controles opcionales para los clientes que usan Amazon S3 o clústeres de Kubernetes. Si está utilizando estos servicios, le recomiendo que habilite las funciones de Amazon GuardDuty para mejorar la visibilidad de estos servicios. Hallazgos de GuardDuty S3 Protection

GuardDuty S3 Protection

Hallazgos de GuardDuty S3 Protection Ver documentación en: https://docs.aws.amazon.com/es_es/guardduty/latest/ug/guardduty_finding-types-s3.html

Ver también: Habilitar Amazon GuardDuty para detección de amenazas y actuar sobre los hallazgos

Workshops

Precios

https://aws.amazon.com/es/guardduty/pricing
El servicio cuenta con un período de pruebas de 30 días (free trial)
El servicio cuenta con una página para verificar el uso actual y estimar el uso futuro.