CursosEmpresasBlogLiveConfPrecios

Cómo configurar GuardDuty en AWS

Clase 32 de 36Curso Práctico de AWS Cloud

Contenido del curso

Introducción a la oferta de AWS y sus interacciones

Tomar examen
Resumen

Vigila y entiende los intentos de conexión a tus recursos con GuardDuty de Amazon. Desde la consola, puedes activar el servicio, revisar sus findings y tomar decisiones informadas ante escaneos de puertos, intentos de Secure Shell por brute force, y eventos de distintas severidades. Con prácticas simples, es posible mantener tus servidores y bases de datos bajo control.

¿Qué es GuardDuty y cómo se configura en la consola?

GuardDuty es un sistema que muestra aspectos de seguridad sobre quién intentó conectarse a tus recursos de cómputo. Al entrar a la consola, escribe "GuardDuty", selecciona el servicio y haz clic en Get Started. Luego, otorga permisos para que pueda operar.

  • Al inicio no verás datos. Se actualizará de forma automática conforme haya actividad.
  • Puede tardar horas mientras escanea sistemas y conexiones hacia tus servidores.
  • Si ya tienes otra cuenta con GuardDuty activo, podrás observar cómo se ven los findings en ejecución.

¿Qué verás cuando empiece a generar findings?

Cuando GuardDuty está corriendo, verás una lista de eventos de seguridad. Algunos ejemplos frecuentes:

  • Escaneo de puertos abiertos a todo el mundo para identificar servicios expuestos.
  • Intentos de ingreso por Secure Shell con brute force usando diccionarios de contraseñas.
  • Registros con el tipo de ataque, su severidad y el recurso afectado.

¿Cómo interpretar los findings y su severidad?

Al abrir un detalle, se muestra información clave para decidir: tipo de ataque, severidad (por ejemplo, baja), cuenta, región y recurso atacado, que pueden ser instancias de S2 o RDS. Verás además datos de la instancia: estado, ubicación, imagen, sistema operativo, fecha de inicio, interfaz de red e IP pública.

  • Se identifican puertos: por ejemplo, el puerto 22 corresponde a Secure Shell.
  • Si el puerto es menos común, GuardDuty muestra el nombre asociado.
  • Incluye la IP del atacante y su ubicación, con latitud y longitud. En algunos casos, casi la dirección de la organización vinculada a esa conexión.

¿Qué significan brute force y script kitty en este contexto?

  • Brute force en Secure Shell: intentos continuos con contraseñas de un diccionario. En Amazon, no se permite configurar Secure Shell con usuario y password: se exige un key, por lo que este ataque no funciona con servidores que usan dicha llave.
  • Script kitty: uso de software para atacar máquinas aleatorias en Internet y probar accesos. Se busca si un puerto abierto es explotable.

¿Qué hacer ante eventos de alta o baja severidad?

Aunque muchas alertas pueden ser de baja severidad y sin éxito, es clave revisar periódicamente. A veces aparecerán eventos de alta severidad que podrían indicar accesos logrados y requieren acciones inmediatas.

  • Para baja severidad ya revisada: marca los findings y archívalos. Así evitas confundirlos en futuras revisiones.
  • Para alta severidad: considera pausar la máquina y revisar el último respaldo disponible.
  • Quita la IP pública y crea otra instancia dentro de Amazon si hace falta.
  • Ajusta el grupo de seguridad o asigna otro para controlar accesos.
  • Conéctate por la red interna desde otra máquina en Amazon. Todas las máquinas tienen dos IP: una pública y una interna o de administración que solo funciona dentro de Amazon.

¿Cómo mantener una revisión efectiva de seguridad?

  • Realiza revisiones semanales o mensuales de los findings.
  • Verifica si necesitas restaurar un snapshot previo a un acceso indebido.
  • Observa tendencias: puertos atacados, regiones, cuentas y recursos más afectados.
  • Documenta acciones y archiva lo revisado para mantener claridad.

¿Tienes prácticas que te hayan servido con GuardDuty o dudas sobre cómo interpretar un finding específico? Comparte tu experiencia y preguntas.