¡Hola a todos! 🚀 Hoy quiero compartir con ustedes un laboratorio para crear hallazgos de prueba en Amazon GuardDuty, un servicio de Amazon Web Services (AWS) diseñado para fortalecer la seguridad de nuestros recursos en la nube.
🧐 ¿Por qué generar hallazgos de prueba?
Si eres nuevo en los servicios de AWS o quieres mejorar tu monitoreo de seguridad, esta práctica te permitirá:
✅ Comprender mejor las alertas de GuardDuty y cómo se generan.
✅ Interpretar la severidad de los hallazgos (bajo, medio, alto) y su impacto en la seguridad.
✅ Familiarizarte con los diferentes tipos de amenazas
Este laboratorio es una excelente manera de conocer cómo funciona GuardDuty antes de que se presenten amenazas reales🔒💡
🔥 Pues ¡Comencemos! 🔥
Primero debes entender que Amazon GuardDuty no se crea dentro de una VPC ni en un entorno específico. En su lugar, se habilita a nivel de cuenta en AWS y opera de forma independiente de la infraestructura de red.🔐
Cuando activas GuardDuty, este comienza a analizar fuentes de datos como:
✅ AWS CloudTrail (eventos de gestión y eventos de datos de S3).
✅ VPC Flow Logs (tráfico de red dentro de las VPCs).
✅ DNS Logs (consultas a servicios DNS).
Al estar habilitado a nivel de cuenta y región, puede detectar amenazas en múltiples servicios y VPCs sin necesidad de instalar agentes o modificar configuraciones de red.
Para comenzar, ingresa a la consola de AWS y en la barra de búsqueda escribe "Amazon GuardDuty". 🔍
Una vez dentro del servicio, verás la pantalla principal de GuardDuty con una d*escripción general de sus funciones.* Para activarlo, simplemente haz clic en el botón "Empezar". 🚀
Luego veremos una pantalla con información sobre "Enable GuardDuty" . En este paso, AWS nos explica que al habilitar GuardDuty, le estaremos otorgando permisos para analizar diferentes fuentes de datos de seguridad, como por ejemplo:
✅ VPC Flow Logs : Para detectar tráfico sospechoso en la red.
✅ AWS CloudTrail : Para identificar accesos inusuales o no autorizados.
✅ DNS Logs : Para analizar consultas a servicios DNS y detectar posibles ataques.
Para continuar, simplemente hacemos clic en "Enable GuardDuty"
Ahora, nos dirigimos al menú de la izquierda y seleccionamos "Settings" ⚙️. Dentro de esta sección, encontraremos la opción "Sample Findings", la cual nos permite generar hallazgos de prueba. Hacemos clic en "Generate Sample Findings"
En unos segundos veremos un mensaje de confirmación :✅
En la parte superior izquierda, hacemos clic en "Findings" 🔎, donde podremos ver todos los hallazgos generados. Estos se organizan según su severidad, tipo de hallazgo y recurso afectado 📊
Aquí encontraremos una variedad de hallazgos simulados , lo que nos permite analizar cada uno en detalle y comprender mejor cómo interpretar las alertas de seguridad en un entorno real.
Como por ejemplo el siguiente hallazgo:
🛑 Creación de una Shell Sospechosa en un Clúster de EKS
📌 Descripción: GuardDuty ha detectado que en un clúster de Amazon EKS se ha iniciado una shell interactiva dentro de un contenedor en ejecución. Este comportamiento nos puede indicar que existe acceso manual no autorizado o de actividad potencialmente maliciosa.
⚠️ Detalles del hallazgo:
Tipo: Execution:Runtime/SuspiciousShellCreated
Recurso afectado: Clúster de Amazon EKS
Severidad: Baja
Cantidad de eventos: 1
🔍 Posibles causas:
✅ Acceso manual legítimo para tareas administrativas o debugging.
⚠️ Acceso no autorizado debido a credenciales comprometidas.
⚠️ Uso indebido de un contenedor explotado mediante vulnerabilidades.
Muy interesante, verdad? 😃👨
Te invito a seguir explorando y familiarizarte con la herramienta. ¡Entre más practiques, mejor entenderás la seguridad en AWS! 🔐🔥
¡Es una gran oportunidad para aprender y fortalecer la seguridad en AWS! 🚀🔐
Top comments (0)