Guarduty & Inspector & Detective & Trusted advisor

Clase 60 de 75Curso de AWS Certified Solutions Architect Associate

Clase anteriorSiguiente clase

Servicios de seguridad – GuardDuty, Inspector, Detective y Trusted Advisor

Amazon GuardDuty

¿Qué es Amazon GuardDuty? Es un servicio de detección inteligente de amenazas que monitorea continuamente las cuentas de AWS y las cargas de trabajo en busca de actividades maliciosas o anómalas. Emplea inteligencia de amenazas (listas de IP maliciosas, dominios sospechosos, etc.) y aprendizaje automático para identificar comportamientos no autorizados en tu entorno. GuardDuty no requiere instalar agentes; analiza fuentes de datos como los registros de AWS CloudTrail, VPC Flow Logs y DNS Logs, generando hallazgos de seguridad cuando detecta algo sospechoso. Estos hallazgos incluyen detalles del posible incidente (por ejemplo, “actividad de minería de criptomonedas detectada en instancia X” o “llamadas API desde una ubicación inusual”).

Casos de uso: GuardDuty sirve para casos como:

  • Detectar credenciales comprometidas (ej: accesos desde ubicaciones geográficas atípicas o llamadas API inusuales).

  • Identificar actividad maliciosa en instancias EC2 o contenedores, como malware, crypto-mining no autorizado o conexiones a dominios maliciosos.

  • Alertar sobre posibles exfiltraciones de datos o comportamientos anómalos, por ejemplo, múltiples intentos fallidos de acceso a recursos sensibles.

    Los hallazgos de GuardDuty pueden integrarse con Amazon EventBridge para activar respuestas automáticas (por ejemplo, aislar una instancia comprometida).

    Relevancia para la certificación: Debes conocer que GuardDuty es solo detección (no bloquea por sí mismo el tráfico, solo avisa) y se enfoca en amenazas de seguridad a nivel de cuenta y cargas de trabajo. En el examen, podrían preguntarte qué servicio usar para detectar actividad maliciosa en AWS (la respuesta sería GuardDuty), o distinguir GuardDuty de otras herramientas (ej. “GuardDuty vs Inspector vs CloudWatch”). Recuerda que GuardDuty abarca análisis de logs de AWS para encontrar amenazas de seguridad de forma continua.

image.png

Amazon Inspector

¿Qué es Amazon Inspector? Es un servicio automático de gestión de vulnerabilidades que analiza continuamente las cargas de trabajo en AWS (instancias EC2, contenedores en ECR, funciones Lambda, etc.) en busca de vulnerabilidades de software y desviaciones en la configuración de seguridad. La nueva versión de Inspector (v2) se integra con AWS Systems Manager Agent, por lo que no requiere instalar agentes dedicados en EC2, y puede descubrir automáticamente los recursos a escanear. Inspector evalúa aspectos como parches faltantes, paquetes con vulnerabilidades conocidas (CVE), o puertos abiertos inadvertidamente.

Casos de uso:

  • Escaneo de instancias EC2 para detectar CVEs en el sistema operativo o software instalado, informando qué vulnerabilidades críticas necesitan atención.

  • Análisis de imágenes de contenedor (ECR) para identificar imágenes con vulnerabilidades antes de desplegarlas en producción.

  • Comprobación de configuraciones de red potencialmente inseguras, como puertos abiertos al mundo que no deberían estarlo.

    Tras un análisis, Amazon Inspector proporciona una puntuación de riesgo y recomendaciones de remediación priorizadas según la criticidad.

    Relevancia para la certificación: Hay que diferenciar Inspector de GuardDuty: Inspector busca vulnerabilidades y problemas de configuración en tus recursos, mientras que GuardDuty detecta comportamiento malicioso en tiempo real. En escenarios de examen, si preguntan cómo mejorar la postura de seguridad de instancias EC2 o verificar si hay vulnerabilidades en tu entorno, Inspector sería el servicio indicado. Recuerda que Inspector es considerado un servicio de evaluación de seguridad proactiva (encontrar puntos débiles antes de que sean explotados).

    image.png

Amazon Detective

¿Qué es Amazon Detective? Es un servicio que facilita la investigación forense de incidentes de seguridad. Detective recopila automáticamente datos de registros (por ejemplo, CloudTrail, VPC Flow Logs, GuardDuty hallazgos) de tus recursos AWS, y aplica machine learning, análisis estadístico y gráficos para identificar relaciones y patrones entre esos datos. En esencia, proporciona un tablero interactivo donde puedes profundizar en un hallazgo de seguridad (p. ej., una alerta de GuardDuty) y ver detalles correlacionados: qué recursos estuvieron involucrados, qué otras actividades anómalas ocurrieron en el mismo periodo, etc.

Casos de uso:

  • Investigar hallazgos de GuardDuty: por ejemplo, si GuardDuty alerta que una instancia podría estar comprometida, con Detective puedes trazar la línea de tiempo de eventos, ver qué API calls hizo esa instancia, a qué IPs se conectó, y determinar la causa raíz de la incidencia más fácilmente.

  • Análisis de actividades sospechosas en general: por ejemplo, múltiples intentos de inicio de sesión fallidos; Detective te ayuda a ver si están relacionados con un mismo actor o si desencadenaron otras anomalías.

    En lugar de revisar manualmente múltiples logs, Detective agrega y visualiza la información relevante en un solo lugar, acelerando la respuesta a incidentes.

    Relevancia para la certificación: Aunque Amazon Detective es menos mencionado que GuardDuty/Inspector, para el SAA es útil saber que existe como parte del ecosistema de seguridad. Podrías ver una pregunta donde un escenario describe la necesidad de investigar un incidente de seguridad; la solución óptima podría ser habilitar Amazon Detective para profundizar en los datos de log. Recuerda: Detective = herramienta de investigación (no detección ni prevención) que trabaja sobre datos ya recopilados.

    image.png

AWS Trusted Advisor

¿Qué es AWS Trusted Advisor? Es una herramienta de recomendación que inspecciona tu entorno AWS y sugiere mejoras en costos, rendimiento, seguridad, tolerancia a fallos y servicio. En el contexto de seguridad, Trusted Advisor realiza comprobaciones de mejores prácticas como detectar buckets S3 abiertos al público, verificar si no estás usando MFA en la cuenta raíz, o si hay grupos de seguridad demasiado permisivos. De forma más general, Trusted Advisor evalúa continuamente tu configuración frente a un amplio conjunto de checks predefinidos y te provee un reporte con recomendaciones accionables. Según el plan de soporte que tengas, tendrás acceso a más o menos checks (todas las cuentas obtienen al menos los básicos de seguridad, límites de servicio, etc.). Por ejemplo, Trusted Advisor podría recomendar cerrar puertos abiertos que no se estén usando, eliminar recursos inactivos para ahorrar costos, o habilitar autoscaling en un grupo para mejorar la resiliencia. Estas recomendaciones se clasifican por categoría (cost optimization, performance, security, fault tolerance, service limits).

Casos de uso:

  • Optimización de costos: Identificar instancias EC2 infrutilizadas o sin uso, sugerir reducir tamaño o apagarlas.

  • Mejoras de seguridad: Señalar brechas como “S3 bucket accesible públicamente” o “IAM uso de root account detectado”.

  • Aumento de resiliencia: Advertir si, por ejemplo, tienes solo una instancia en un Auto Scaling Group (lo cual es un punto único de falla) o si tu distribución de instancias no está en múltiples AZ.

    Trusted Advisor ofrece una vista rápida tipo semáforo (verde/amarillo/rojo) para indicar el estado de cada verificación.

    Relevancia para la certificación: Para el examen, comprende que Trusted Advisor brinda recomendaciones generales sobre tu cuenta. Aunque no es una herramienta puramente de “seguridad” (abarca otras áreas), sí incluye checks de seguridad importantes. En preguntas, podrías verlo como la respuesta cuando se pide una forma sencilla de verificar la salud general de la cuenta o para identificar problemas comunes. Por ejemplo, “¿Qué servicio te puede alertar de que tu bucket S3 mybucket es público por error?” – AWS Trusted Advisor (porque tiene un check para S3 Public Buckets). También recuerda que algunos checks completos requieren planes de soporte Business o Enterprise, pero en SAA normalmente no profundizan en niveles de soporte, solo en la funcionalidad principal: Trusted Advisor = guía de mejores prácticas a nivel cuenta.

    image.png

Relevancia general en el examen de estos servicios

La certificación AWS Solutions Architect Associate espera que sepas cuándo usar cada servicio de seguridad administrado. En escenarios típicos:

  • Si la pregunta es sobre detección de intrusiones o comportamiento malicioso, piensa en GuardDuty.
  • Si se trata de evaluar vulnerabilidades en tus servidores o contenedores, la respuesta será Inspector.
  • Para investigar un incidente después de una alerta, Detective es la herramienta dedicada.
  • Y si la cuestión es cómo obtener recomendaciones para mejorar seguridad/costos/rendimiento de tu arquitectura actual, Trusted Advisor es la opción.

A nivel arquitecto, incluso si no te piden configurar detalles, debes reconocer el propósito de cada servicio. Un truco: GuardDuty, Inspector y Detective forman un conjunto (detección de amenazas, evaluación de vulnerabilidades e investigación, respectivamente), mientras que Trusted Advisor es más amplio y no solo de seguridad. Asegúrate de revisar las descripciones oficiales de cada uno y entender qué problemas resuelve cada servicio, ya que el examen suele presentarte una situación y preguntarte cuál es la mejor solución de entre estos servicios.