¡Hola a todos! 🚀 Hoy quiero compartir con ustedes un laboratorio paracrear hallazgos de prueba en Amazon GuardDuty, un servicio de Amazon Web Services (AWS) diseñado parafortalecer la seguridad de nuestros recursos en la nube.

🧐¿Por qué generar hallazgos de prueba?

Si eresnuevo en los servicios de AWS o quieres mejorar tumonitoreo de seguridad, esta práctica te permitirá:

✅ Comprender mejor lasalertas de GuardDuty y cómo se generan.
✅ Interpretar laseveridad de los hallazgos (bajo, medio, alto) y su impacto en la seguridad.
✅ Familiarizarte con los diferentestipos de amenazas

Este laboratorio es una excelente manera de conocercómo funciona GuardDuty antes de que se presentenamenazas reales🔒💡

🔥Pues ¡Comencemos! 🔥

Primero debes entender que Amazon GuardDutyno se crea dentro de una VPC ni en un entorno específico. En su lugar, sehabilita a nivel de cuenta en AWS y opera de formaindependiente de la infraestructura de red.🔐

Cuando activasGuardDuty, este comienza a analizar fuentes de datos como:
✅AWS CloudTrail (eventos de gestión y eventos de datos de S3).
✅VPC Flow Logs (tráfico de red dentro de las VPCs).
✅DNS Logs (consultas a servicios DNS).

Al estar habilitado a nivel de cuenta y región, puededetectar amenazas en múltiples servicios y VPCs sin necesidad de instalar agentes o modificar configuraciones de red.

Para comenzar,ingresa a la consola de AWS y en la barra de búsqueda escribe "Amazon GuardDuty". 🔍

Una vez dentro del servicio, verás la pantalla principal de GuardDuty con una d*escripción general de sus funciones.* Para activarlo, simplemente haz clic en el botón"Empezar". 🚀

Luego veremos una pantalla con información sobre"Enable GuardDuty" . En este paso, AWS nos explica que al habilitar GuardDuty, le estaremosotorgando permisos para analizar diferentes fuentes de datos de seguridad, como por ejemplo:

✅VPC Flow Logs : Para detectar tráfico sospechoso en la red.
✅AWS CloudTrail : Para identificar accesos inusuales o no autorizados.
✅DNS Logs : Para analizar consultas a servicios DNS y detectar posibles ataques.

Para continuar, simplemente hacemos clic en"Enable GuardDuty"

Ahora, nos dirigimos al menú de la izquierda y seleccionamos"Settings" ⚙️. Dentro de esta sección, encontraremos la opción"Sample Findings", la cual nos permite generar hallazgos de prueba. Hacemos clic en"Generate Sample Findings"

En unos segundos veremos un mensaje deconfirmación :✅

En la parte superior izquierda, hacemos clic en"Findings" 🔎, donde podremos ver todos loshallazgos generados. Estos se organizan según suseveridad, tipo de hallazgo y recurso afectado 📊

Aquí encontraremos una variedad dehallazgos simulados , lo que nos permiteanalizar cada uno en detalle y comprender mejor cómointerpretar las alertas de seguridad en un entorno real.

Como por ejemplo el siguiente hallazgo:

🛑Creación de una Shell Sospechosa en un Clúster de EKS

📌Descripción: GuardDuty ha detectado que en un clúster de Amazon EKS se ha iniciado una shell interactiva dentro de un contenedor en ejecución. Este comportamiento nos puede indicar que existe acceso manual no autorizado o de actividad potencialmente maliciosa.

⚠️ Detalles del hallazgo:

Tipo: Execution:Runtime/SuspiciousShellCreated
Recurso afectado: Clúster de Amazon EKS
Severidad: Baja
Cantidad de eventos: 1

🔍 Posibles causas:
✅ Acceso manual legítimo para tareas administrativas o debugging.
⚠️ Acceso no autorizado debido a credenciales comprometidas.
⚠️ Uso indebido de un contenedor explotado mediante vulnerabilidades.

Muy interesante, verdad? 😃👨
Te invito a seguir explorando y familiarizarte con la herramienta. ¡Entre más practiques, mejor entenderás la seguridad en AWS! 🔐🔥

¡Es una gran oportunidad para aprender y fortalecer la seguridad en AWS! 🚀🔐