GuardDuty
📘 ¿Qué es Amazon GuardDuty?
Amazon GuardDuty es un servicio de detección de amenazas administrado que monitorea continuamente actividades maliciosas o comportamientos anómalos en tu cuenta de AWS.
Utiliza machine learning, análisis de comportamiento y fuentes de inteligencia de amenazas para identificar riesgos de seguridad, sin necesidad de desplegar agentes ni administrar infraestructura.
🔍 ¿Qué detecta?
-
Accesos no autorizados o inusuales
-
Uso indebido de credenciales (IAM roles, API calls sospechosas)
-
Comunicación con dominios maliciosos
-
Exfiltración de datos
-
Actividad de minería de criptomonedas
-
Movimiento lateral dentro de la red
-
Ataques internos o amenazas persistentes (insider threats)
🧠 ¿Cómo funciona?
-
Ingiere datos automáticamente de:
-
AWS CloudTrail (eventos de API)
-
VPC Flow Logs (tráfico de red)
-
DNS Logs (resoluciones de nombre)
-
Kubernetes audit logs (si está activado en EKS)
-
-
Analiza los datos usando modelos de comportamiento e inteligencia de amenazas
-
Genera Findings (hallazgos) clasificados por severidad (low, medium, high)
-
Findings pueden integrarse con:
-
EventBridge
-
SNS
-
Security Hub
-
Lambda para respuesta automática
-
🧱 Principales tipos de hallazgos (Findings)
| Categoría | Ejemplo de hallazgo |
|---|---|
| Reconocimiento | ListAccount/DescribeInstances inusual |
| Acceso no autorizado | Uso sospechoso de claves IAM |
| Red (Network) | Comunicación con IP o dominio malicioso |
| Instancias comprometidas | EC2 con comportamiento de malware o minería |
| Kubernetes | Pods accediendo recursos sensibles |
| Exfiltración de datos | Transferencia inusual a S3 o dominios raros |
🧰 Integraciones clave
| Servicio | Función |
|---|---|
| Amazon EventBridge | Automatizar respuestas (ej: detener instancia) |
| AWS Security Hub | Agregación y priorización de hallazgos |
| Amazon Detective | Investigación forense del hallazgo |
| AWS Config | Relación con cambios de configuración |
| SNS / Lambda | Notificación o acción automática |
⚙️ Configuración simple
-
Sin agentes
-
Se activa en 1 clic desde la consola
-
Multi-cuenta a través de AWS Organizations
-
Se puede usar en múltiples regiones
🏷️ Clasificación de severidad
| Severidad | Significado |
|---|---|
| Low | Actividad potencialmente sospechosa |
| Medium | Comportamiento anómalo claro |
| High | Confirmada amenaza o compromiso |
🧾 Ejemplo de hallazgo
{
"type": "UnauthorizedAccess:IAMUser/ConsoleLoginWithoutMFA",
"severity": 5.0,
"resource": { "accessKeyDetails": { "userName": "admin-user" } },
"service": { "eventFirstSeen": "2025-07-15T12:00Z" },
"region": "us-east-1"
}💰 Precios (aprox.)
| Fuente de datos | Costo estimado por GB analizado |
|---|---|
| VPC Flow Logs | $1.00/GB |
| DNS Logs | $1.00/GB |
| CloudTrail Management Events | $4.00/millón de eventos |
| EKS Audit Logs (opcional) | $1.00/GB |
Incluye 30 días de prueba gratuita con cobertura completa.
🛡️ Beneficios
-
Detención temprana de amenazas
-
Alta precisión sin falsos positivos excesivos
-
Sin necesidad de mantenimiento de infraestructura
-
Mejora la postura de seguridad sin fricción
-
Escalable a cientos de cuentas con AWS Organizations
🧠 Preguntas tipo certificación
-
¿Qué servicio detecta actividades maliciosas sin agentes?
- ✅ Amazon GuardDuty
-
¿Qué tipo de logs utiliza GuardDuty?
- ✅ CloudTrail, VPC Flow Logs, DNS Logs
-
¿Se puede automatizar la respuesta a findings?
- ✅ Sí, vía EventBridge + Lambda
-
¿Qué servicio se usa para investigar findings en detalle?
- ✅ Amazon Detective
-
¿Qué ventaja ofrece para organizaciones grandes?
- ✅ Gestión centralizada con AWS Organizations