He activado GuardDuty en mi entorno, pero no generó ningún tipo de búsqueda

Descripción breve

La activación de GuardDuty comienza a supervisar inmediatamente las amenazas de seguridad. Si GuardDuty descubre un problema de seguridad, se genera un tipo de búsqueda. Si GuardDuty no detecta amenazas de seguridad, no se generan tipos de búsqueda.

Resolución

Para solucionar los motivos por los que GuardDuty no ha generado ningún tipo de búsqueda, compruebe las siguientes configuraciones:

• Los orígenes de datos
• El estado de GuardDuty
• Las listas de IP de confianza

Orígenes de datos

GuardDuty usa sus orígenes de datos para detectar actividades no autorizadas e inesperadas con tipos de recursos para algunos servicios de AWS. Los orígenes de datos incluyen:

• Registros de eventos de administración de AWS CloudTrail.
• Registros de flujo de Virtual Private Cloud (Amazon VPC).
• Registros de DNS.
• Eventos de datos de CloudTrail para Amazon Simple Storage Service (Amazon S3)
• Registro de auditoría de Kubernetes
• Datos de volúmenes de Amazon Elastic Block Store (Amazon EBS)

Se recomienda activados GuardDuty Kubernetes Protection, Amazon S3 y Malware Protection, que no están activados de forma predeterminada.

Nota: GuardDuty solo procesa registros de DNS si usa el solucionador de DNS de VPC predeterminado. Todos los demás tipos de solucionadores de DNS no generarán resultados basados en DNS.

Estado de GuardDuty

GuardDuty debe estar activado para buscar los tipos que se van a generar. Si GuardDuty se suspende o desactiva, no se genera ningún tipo de búsqueda. La práctica recomendada es activar GuardDuty en todas las regiones de AWS admitidas. Esto permite que GuardDuty genere tipos de búsqueda para actividades no autorizadas o inusuales, incluso en regiones que no esté utilizando activamente.

Listas de IP de confianza

Puede agregar direcciones IP de confianza para comunicarse en su entorno de AWS con las listas de IP de confianza. Las listas de IP de confianza evitan que GuardDuty genere tipos de búsqueda para eventos que se produjeron desde direcciones IP de confianza.

Se recomienda utilizar una regla de supresión en lugar de una lista de IP de confianza para conocer los problemas detectados en su entorno. La regla de supresión reduce las notificaciones de los tipos de búsqueda. Una regla de supresión archiva automáticamente las nuevas búsquedas generadas por GuardDuty que coinciden con criterios específicos. Puede revisar las búsquedas suprimidas en la consola de GuardDuty al cambiar el menú desplegable de la vista Findings (Resultados) de Current (Actual) a Archived (Archivado).

A fin de crear los resultados de GuardDuty para las pruebas, realice una de las siguientes acciones:

• Cree resultados de muestra en la consola o la API de GuardDuty.
• Genere resultados comunes de GuardDuty automáticamente mediante el script guardduty_tester.sh.

Para obtener más información, consulte ¿Cómo configuro una lista de direcciones IP de confianza para GuardDuty?

---

Información relacionada

Introducción a GuardDuty

¿Por qué GuardDuty me envió resultados de alerta para una lista de direcciones IP de confianza?