Amazon GuardDuty

Amazon GuardDuty es un servicio de detección inteligente de amenazas basado en la región, el primero de su clase ofrecido por AWS, que permite a los usuarios monitorizar su cuenta de AWS en busca de comportamientos inusuales e inesperados mediante el análisis de registros de flujo de VPC, registros de eventos de gestión de AWS CloudTrail, registros de eventos de datos de Cloudtrail S3 y registros de DNS. Utiliza fuentes de inteligencia de amenazas, como listas de direcciones IP y dominios maliciosos, y aprendizaje automático para identificar actividades inesperadas y potencialmente no autorizadas y maliciosas dentro de su entorno de AWS. Esto puede incluir problemas como escalada de privilegios, uso de credenciales expuestas o comunicación con direcciones IP o dominios maliciosos.

Por ejemplo, GuardDuty puede detectar instancias EC2 comprometidas que sirven malware o minan bitcoin. También monitorea el comportamiento de acceso a la cuenta de AWS en busca de signos de compromiso, como despliegues de infraestructura no autorizados, como instancias desplegadas en una región que nunca ha sido utilizada, o llamadas inusuales a la API, como un cambio de política de contraseñas para reducir la fuerza de la contraseña.