Al usar AWS re:Post, aceptas las AWS re:Post Términos de uso
AWS re:Postre:Post

Como validar que servicios protege AWS Guarduty si no tengo Findings.

0

Al utilizar el servicio de AWS Guarduty como puedo verificar que instancias esta protegiendo si no tengo actualmente Findings. Utilizo servicios Lambda y Elastic Beanstalk. Por temas de cumplimiento y documentación debo demostrar que AWS Guarduty protege los servicios Lambda y Elastic Beanstalk.

Temas
Sin servidorCálculoSeguridad, identidad y cumplimiento
Etiquetas
AWS LambdaSeguridad, identidad y cumplimientoAWS Elastic Beanstalk
Idioma
Español
David
preguntada hace 2 meses31 visualizaciones
1 Respuesta
1
Respuesta aceptada
  1. Para los servicios AWS en general, puedes revisar la consola de GuardDuty:

Accede a la consola de AWS GuardDuty, Usage y verifica la sección "Orígenes de datos". Aquí podrás ver qué fuentes de datos están habilitadas, como VPC Flow Logs, CloudTrail, y DNS logs.

DataSources

  1. Para validar si la protección Lambda está activa en GuardDuty

Desde la Consola AWS:

a. Ir a GuardDuty Console

b. Seleccionar "Settings" en el menú izquierdo

c. Buscar la sección "Lambda Protection"

d. Verificar si está "Enabled" o "Disabled"

Lambda

  1. En cuanto a Elastic Beanstalk y GuardDuty, es importante aclarar lo siguiente:

GuardDuty no proporciona protección directa o específica para Elastic Beanstalk como un servicio en sí. Sin embargo, GuardDuty sí protege varios de los recursos subyacentes que Elastic Beanstalk utiliza para desplegar y ejecutar tus aplicaciones. Esto incluye:

  • Instancias EC2: GuardDuty monitorea las instancias EC2 que Elastic Beanstalk crea para ejecutar tus aplicaciones.
  • VPC Flow Logs: Si tu entorno Elastic Beanstalk está configurado dentro de una VPC, GuardDuty analizará los logs de flujo de red.
  • CloudTrail: GuardDuty analiza los eventos de CloudTrail, que incluirían acciones relacionadas con la gestión de tu entorno Elastic Beanstalk.
  • S3 Buckets: Si tu aplicación en Elastic Beanstalk utiliza buckets S3, GuardDuty puede monitorear el acceso y las actividades en estos buckets.
  • IAM: GuardDuty monitorea el uso de credenciales de IAM, que podrían estar asociadas con tu entorno Elastic Beanstalk.

Por lo tanto, aunque GuardDuty no tiene una integración directa o específica con Elastic Beanstalk, sí proporciona protección para los componentes fundamentales que Elastic Beanstalk utiliza para desplegar y ejecutar tus aplicaciones.

Para maximizar la seguridad de tu entorno Elastic Beanstalk, considera:

  • Habilitar GuardDuty en todas las regiones donde tengas recursos de Elastic Beanstalk.
  • Configurar alertas para los hallazgos de GuardDuty relacionados con los recursos utilizados por Elastic Beanstalk.
  • Integrar GuardDuty con otros servicios de seguridad de AWS como Security Hub para una visión más completa de tu postura de seguridad.

4. OPCIONAL - Generar Sample Findings

a. Ir a la consola de GuardDuty b. En el panel de navegación, seleccionar "Settings" c. Desplazarse hasta la sección "Sample findings" d. Hacer clic en "Generate findings"

Tipos de Sample Findings comunes que puedes generar:

  • Backdoor:EC2/XORDDOS
  • CryptoCurrency:EC2/BitcoinTool.B
  • UnauthorizedAccess:EC2/SSHBruteForce
  • Recon:EC2/PortProbeUnprotectedPort
  • Trojan:EC2/BlackholeTraffic

Samples

Importante:

Los Sample Findings se marcan como "SAMPLE" para distinguirlos de los reales y se eliminan automáticamente después de 90 días (o puedes eliminarlos manualmente).

Son útiles para:

  • Probar integraciones
  • Configurar alertas
  • Familiarizarse con el formato de los findings
  • Entrenar al equipo de seguridad
profile pictureAWS
estanqua
respondido hace un mes

No has iniciado sesión. Iniciar sesión para publicar una respuesta.

Una buena respuesta responde claramente a la pregunta, proporciona comentarios constructivos y fomenta el crecimiento profesional en la persona que hace la pregunta.

Pautas para responder preguntas

Contenido relevante