Una tarea clave entre los controles detectivos fundacionales es la revisión de todos los hallazgos de Amazon GuardDuty, es decir, no solo tomar acción ante cualquier hallazgo crítico, sino también evaluar por qué se están generando los hallazgos de mediana o baja prioridad, para detectar de manera temprana intentos de compromiso y bloquear rápidamente al adversario y activar el plan de respuesta ante incidentes.
Por ejemplo, cuando detectan SSH Bruteforce , indica que un adversario está intentando entrar a sus servicios expuestos de SSH, aún si el adversario aún no logró entrar, es una señal de alarma que nos debería dirigir hacia evaluar alternativas para cerrar ese vector de ataque, como el uso de AWS Systems Manager Fleet Manager
Investigar hallazgos de reconocimiento para identificar ataques mientras intentan expandirse lateralmente, herramientas de pentesting, y anomalías.
GuardDuty ha agregado dos conjuntos de controles opcionales para los clientes que usan Amazon S3 o clústeres de Kubernetes. Si está utilizando estos servicios, le recomiendo que habilite las funciones de Amazon GuardDuty para mejorar la visibilidad de estos servicios.
Ver documentación en: https://docs.aws.amazon.com/es_es/guardduty/latest/ug/guardduty_finding-types-s3.html
Ver también: Habilitar Amazon GuardDuty para detección de amenazas y actuar sobre los hallazgos
https://aws.amazon.com/es/guardduty/pricing
El servicio cuenta con un período de pruebas de 30 días (free trial)
El servicio cuenta con una página para verificar el uso actual y estimar el uso futuro.