Cómo configurar GuardDuty en AWS

Clase 32 de 36 • Curso Práctico de AWS Cloud

Resumen

Vigila y entiende los intentos de conexión a tus recursos con GuardDuty de Amazon. Desde la consola, puedes activar el servicio, revisar sus findings y tomar decisiones informadas ante escaneos de puertos, intentos de Secure Shell por brute force, y eventos de distintas severidades. Con prácticas simples, es posible mantener tus servidores y bases de datos bajo control.

¿Qué es GuardDuty y cómo se configura en la consola?

GuardDuty es un sistema que muestra aspectos de seguridad sobre quién intentó conectarse a tus recursos de cómputo. Al entrar a la consola, escribe "GuardDuty", selecciona el servicio y haz clic en Get Started. Luego, otorga permisos para que pueda operar.

Al inicio no verás datos. Se actualizará de forma automática conforme haya actividad.
Puede tardar horas mientras escanea sistemas y conexiones hacia tus servidores.
Si ya tienes otra cuenta con GuardDuty activo, podrás observar cómo se ven los findings en ejecución.

¿Qué verás cuando empiece a generar findings?

Cuando GuardDuty está corriendo, verás una lista de eventos de seguridad. Algunos ejemplos frecuentes:

Escaneo de puertos abiertos a todo el mundo para identificar servicios expuestos.
Intentos de ingreso por Secure Shell con brute force usando diccionarios de contraseñas.
Registros con el tipo de ataque, su severidad y el recurso afectado.

¿Cómo interpretar los findings y su severidad?

Al abrir un detalle, se muestra información clave para decidir: tipo de ataque, severidad (por ejemplo, baja), cuenta, región y recurso atacado, que pueden ser instancias de S2 o RDS. Verás además datos de la instancia: estado, ubicación, imagen, sistema operativo, fecha de inicio, interfaz de red e IP pública.

Se identifican puertos: por ejemplo, el puerto 22 corresponde a Secure Shell.
Si el puerto es menos común, GuardDuty muestra el nombre asociado.
Incluye la IP del atacante y su ubicación, con latitud y longitud. En algunos casos, casi la dirección de la organización vinculada a esa conexión.

¿Qué significan brute force y script kitty en este contexto?

Brute force en Secure Shell: intentos continuos con contraseñas de un diccionario. En Amazon, no se permite configurar Secure Shell con usuario y password: se exige un key, por lo que este ataque no funciona con servidores que usan dicha llave.
Script kitty: uso de software para atacar máquinas aleatorias en Internet y probar accesos. Se busca si un puerto abierto es explotable.

¿Qué hacer ante eventos de alta o baja severidad?

Aunque muchas alertas pueden ser de baja severidad y sin éxito, es clave revisar periódicamente. A veces aparecerán eventos de alta severidad que podrían indicar accesos logrados y requieren acciones inmediatas.

Para baja severidad ya revisada: marca los findings y archívalos. Así evitas confundirlos en futuras revisiones.
Para alta severidad: considera pausar la máquina y revisar el último respaldo disponible.
Quita la IP pública y crea otra instancia dentro de Amazon si hace falta.
Ajusta el grupo de seguridad o asigna otro para controlar accesos.
Conéctate por la red interna desde otra máquina en Amazon. Todas las máquinas tienen dos IP: una pública y una interna o de administración que solo funciona dentro de Amazon.

¿Cómo mantener una revisión efectiva de seguridad?

Realiza revisiones semanales o mensuales de los findings.
Verifica si necesitas restaurar un snapshot previo a un acceso indebido.
Observa tendencias: puertos atacados, regiones, cuentas y recursos más afectados.
Documenta acciones y archiva lo revisado para mantener claridad.

¿Tienes prácticas que te hayan servido con GuardDuty o dudas sobre cómo interpretar un finding específico? Comparte tu experiencia y preguntas.

Milton Garcia

student•

Amazon GuardDuty es un servicio de monitorización continua de la seguridad que analiza y procesa los siguientes orígenes de datos: logs de flujo de VPC, logs de eventos de AWS CloudTrail y logs de DNS. Utiliza fuentes de información de amenazas, como listas de direcciones IP y dominios maliciosos, y aprendizaje automático para identificar la actividad inesperada y potencialmente no permitida, así como la actividad malintencionada en su entorno de AWS. Esto puede incluir problemas como escalado de privilegios, uso de credenciales expuestas o la comunicación con direcciones IP, URL o dominios malintencionados.

GRACE OSMANY VERGARA MESA

student•

Cual es la diferencia con inspector?

Education Mobility Solutions SAS

teacher•

En guardduty también se pueden generar resultados de muestra, para ello se selecciona settings o configuración dependiendo del idioma usado y se da click en el botón generar resultados de muestra.

Lorenzo Enrique Piñango Cerezo

student•

Que bien!

David fernando Pinzon suarez

student•

Es importante tener en cuenta que esta herramienta solo es gratuita por 30 dias

Lorenzo Enrique Piñango Cerezo

student•

Gracias

Cibercolegio UCN

student•

Cordial saludo, tengo la siguiente duda: En vista de que Amazon no permite conexión por contraseña sino mediante llaves. Podría conectarme a un ftp en una instancia de Amazon?

Ramón José París González

student•

Hola! Si podrías.. a través del protocolo SFTP. Funciona de igual manera, entregando keys ssh. Filezilla incluye soporte para este tipo de conexiones

Carlos Javier Bazan Huaman

student•

por filezilla con sftp.

Breider Alexander Santacruz Reinoso

student•

¿Este servicio puede enviarte notificaciones vía correo de acuerdo a la severidad del evento?

Diego Forero

Team Platzi•

Puedes configurar cloudwatch y aws lambdas para que envíen un correo, no lo hace por defecto GuardDuty solo.

Darvin Orozco

student•

Sería excelente que cuando surge un ataque, automáticamente el servicio de GuardDuty te pueda enviar correos para notificarte sobre algún ataque en cualquier servicio/instancia (EC2, RDS, Lambda, etc).

Daniel Buitrago

student•

No paro de sorprenderme con todos los servicios útiles que tiene AWS, me encantaría ver un curso avanzado.

Anthony Yoel Matheus García

student•

Avanzado y auctualizado. AWS es muy interesante

Yanys Leon

student•

Estos problemas de seguridad que pueden ocurrir son imputables a Aws o deben ser resueltos por sus clientes?

Yanys Leon

student•

Se tiene alguna forma de volver a una instancia anterior tipo recovery si ocurre algún problema detectado con GuardDuty?

Oscar Adolfo Vargas López

student•

si se puede puedes programar un la generación de Backup's automáticos para que te genere AMI y así puedes volver a una versión segura y anterior

Yanys Leon

student•

Existe algún monitor donde se pueda visualizar en tiempo real este servicio?

Carlos Daniel Garcia Echenagucia

student•

Se puede crear una regla para bloquear las IPs de los atacantes ?

Erik Elyager

student•

Reglas para bloquear IPs de atacantes se pueden hacer pero igual los atacantes están constantemente cambiando de IPs así que se necesita una protección adicional para mitigar los ataques.

Darvin Orozco

student•

¿Todos los tipos de ataque son detectados por GuardDuty? O ¿habrá alguno que no pueda detectar?

Bernardino Villagra Baez

student•

Los nuevos métodos que cada día se están probando seguramente no sera capaz de detectar, solo los ya conocidos.

Diego Ramírez

student•

Este servicio tiene algún costo adicional? Pregunto porque del lado izquierdo sale la opción “Free trial”.

Saludos.

jesus gomez

student•

¡¡¡¡¡¡¡¡¡Que util e increible!!!!!!!!!!!!!!

Javier Pérez

student•

Hola puedo configurar algun tipo de regla para que me informe en tiempo real una novedad crítica ? estar revisando guarduty puede ser tarde a que me informe no.?

Darwin Espinosa

student•

GuardDutty se le puede considerar como un corelacionador de eventos????

Mario Alexander Vargas Celis

student•

Parece que te refieres a Amazon GuardDuty (a veces confundido como “Good Duty”). Aquí tienes una guía clara y práctica sobre el Monitoreo de Seguridad en AWS con Amazon GuardDuty:

🔍 ¿Qué es Amazon GuardDuty?

Amazon GuardDuty es un servicio administrado de seguridad que detecta amenazas y actividades maliciosas en tu cuenta de AWS. Usa inteligencia artificial, aprendizaje automático y fuentes de amenazas de AWS para identificar comportamientos sospechosos sin que tengas que instalar o configurar software adicional.

🧩 ¿Qué monitorea GuardDuty?

Fuente de datosEjemplos de lo que analizaCloudTrailActividad sospechosa con las APIs de AWSVPC Flow LogsTráfico de red inusual o hacia direcciones maliciosasDNS LogsConsultas DNS hacia dominios maliciosos**EKS Audit Logs (opcional)**Actividad sospechosa en clústeres Kubernetes

⚠️ Tipos de hallazgos comunes

CategoríaEjemplo de hallazgoReconocimientoPortProbeUnprotectedPort — escaneo de puertosAcceso no autorizadoUnauthorizedAccess:IAMUser/ConsoleLoginRansomware/MinadoCryptoCurrency:EC2/BitcoinTool.B!DNSPersistenciaEC2/MetadataDNSRebind — acceso indebido a metadatosExfiltración de datosS3/AnomalousBehavior — actividad no común en buckets

✅ ¿Cómo activar Amazon GuardDuty?

Ve a la consola de AWS.
Busca GuardDuty.
Haz clic en "Enable GuardDuty".
(Opcional) Actívalo en todas las regiones y configura integración con AWS Organizations para múltiples cuentas.
Revisa los hallazgos en el panel.

🔐 ¿Cómo responde a amenazas?

GuardDuty no actúa por sí solo. Puedes automatizar respuestas con:

AWS Lambda: ejecutar acciones (ej. apagar una instancia EC2 sospechosa).
Amazon SNS: enviar notificaciones por email, SMS, etc.
AWS Security Hub: centralizar hallazgos con otros servicios.
Amazon EventBridge: crear reglas para actuar según el tipo de hallazgo.

🎯 Buenas prácticas

RecomendaciónDetalleHabilita en todas las regionesPara detectar amenazas globalesIntegra con AWS OrganizationsMonitoreo centralizado para múltiples cuentasRevisa hallazgos regularmenteClasifica y prioriza los más críticosAutomatiza respuestas con Lambda/EventBridgePara reducir el tiempo de reacciónExporta hallazgos a S3Para cumplimiento y auditoría

🧠 Ejemplo de uso

Escenario: GuardDuty detecta UnauthorizedAccess:EC2/SSHBruteForce.

Respuesta automática:

EventBridge detecta el hallazgo.
Llama a una Lambda.
Lambda detiene la instancia comprometida y bloquea la IP en NACLs o Security Groups.

Jeisson Espinosa

student•

Información resumida de esta clase

#EstudiantesDePlatzi

Este servicio trata de seguridad y nos permite ver quien intento conectarse a los servidores o a alguna instancia
Con la Key evitamos ataques y no debemos compartir esto
Podemos ver muchos detalles en estos registros de ataques
Importante revisar este servicio periódicamente para enterarnos si hay ataques graves

Bryan José Bencomo Hernandez

student•

genial!!

Aledio Ore Veramendi

student•

gran aporte

Ronald Rengifo

student•

Excelente herramienta!

Cómo configurar GuardDuty en AWS

Introducción al cómputo en la nube

Qué hace AWS diferente al hosting tradicional

Crear cuenta de AWS paso a paso

Servicios AWS: qué es cada uno y cuándo usarlo

Introducción a la oferta de AWS y sus interacciones

Elastic Beanstalk: arquitectura escalable en AWS

EC2: conceptos clave y configuración básica

Crear instancia EC2 en AWS gratuita

Conectarse por SSH a instancias EC2 desde Windows

Conectar a instancia S2 desde Linux con SSH

Conectar Mac a instancia EC2 con Terminal

Proyecto Flask en EC2 con GitHub

Cómo desplegar Flask en AWS con puertos y dependencias

Qué es Lambda de Amazon y por qué es serverless

Función AWS Lambda en Python desde la consola

Elastic Beanstalk

AWS Elastic Beanstalk: escalado automático

Desplegar Flask en Elastic Beanstalk

S3 vs Glaciar: cómo elegir almacenamiento AWS

Cómo publicar un sitio estático en S3

Cuándo usar AWS Glacier para archivos históricos

Bases de Datos

Amazon RDS: prestaciones enterprise sin data center

RDS Postgres: optimizaciones y respaldos AWS

Crear una base de datos PostgreSQL en AWS RDS

Importar dump de Postgres en AWS RDS

Aurora PG: 3x más rápido que RDS Postgres

Creando Aurora PostgreSQL en AWS

Respaldos en RDS Postgres: cuándo y cómo

Redes

Route 53: DNS de AWS con cambios en segundos

Herramientas de administración

Herramientas AWS para control granular de accesos

Crear usuarios IAM con acceso programático

CloudWatch logs y métricas en AWS

Cómo CloudTrail rastrea actividad en AWS

Seguridad

Certificados SSL gratuitos con AWS Certificate Manager