Recopila registros de AWS GuardDuty

En este documento, se describe cómo puedes recopilar registros de AWS GuardDuty configurando un feed de Operaciones de seguridad de Google.

Para obtener más información, consulta Transferencia de datos a Google Security Operations.

Una etiqueta de transferencia identifica el analizador que normaliza los datos de registro sin procesar al formato estructurado del UDM. La información de este documento se aplica al analizador con la etiqueta de transferencia GUARDDUTY.

Antes de comenzar

• Asegúrate de crear un bucket de AWS S3. Para crear el bucket de AWS S3, consulta Crea tu primer bucket de S3.
• Asegúrate de que se haya creado una clave de KMS. Para crear la clave de KMS, consulta Cómo crear claves de KMS asimétricas.
• Asegúrate de que AWS GuardDuty tenga permiso para acceder a la clave de KMS. Para otorgar acceso a la clave de KMS, consulta Cómo exportar resultados. GuardDuty encripta los datos de los resultados en tu bucket con una clave de AWS KMS.

Configura AWS GuardDuty

Para configurar AWS GuardDuty, haz lo siguiente:

1. Accede a la consola de AWS.
2. Busca GuardDuty.
3. Selecciona Configuración.

4. En la sección Cómo encontrar la opción de exportación, haz lo siguiente:

   1. En la lista Frecuencia de los resultados actualizados, selecciona Actualizar CWE y S3 cada 15 minutos. La selección de frecuencia es para los resultados actualizados. Los resultados nuevos se exportan después de 5 minutos desde el momento de su creación.
   2. En la sección Bucket de S3, selecciona el bucket de S3 en el que deseas exportar los resultados de GuardDuty.
   3. En la sección Prefijo de archivo de registro, proporciona el prefijo del archivo de registro.
   4. En la sección Encriptación de KMS, selecciona la encriptación de KMS.
   5. En la lista Alias de clave, selecciona la clave.
   6. Haz clic en Guardar.

5. Después de que los archivos de registro se almacenen en el bucket de S3, crea una cola de SQS y adjúntalo con el bucket de S3.

Ejemplo de política de KMS

La siguiente es una política de KMS de ejemplo:

{
            "Sid": "Allow GuardDuty to encrypt findings",
            "Effect": "Allow",
            "Principal": {
                "Service": "guardduty.AWS_REGION.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": "KEY_ARN"
        }

Reemplaza lo siguiente:

• AWS_REGION: Es la región elegida.
• KEY_ARN: Es el nombre del recurso de Amazon (ARN) de la clave de KMS.

Verifica las políticas de claves de usuario y de KMS de IAM requeridas para S3, SQS y KMS.

Según el servicio y la región, identifica los extremos de conectividad. Para ello, consulta la siguiente documentación de AWS:

• Para obtener información sobre las fuentes de registro, consulta Extremos y cuotas de Identity and Access Management de AWS.
• Para obtener información sobre las fuentes de registro de S3, consulta Extremos y cuotas de Amazon Simple Storage Service.
• Para obtener información sobre las fuentes de registro de SQS, consulta Cuotas y extremos de Amazon Simple Queue Service.

Configura un feed en Google Security Operations para transferir registros de AWS GuardDuty

1. Selecciona Configuración de SIEM > Feeds.
2. Haz clic en Agregar nueva.
3. Ingresa un nombre único para el Nombre del feed.
4. Selecciona Amazon S3 o Amazon SQS como Tipo de fuente.
5. Selecciona AWS GuardDuty como el Tipo de registro.
6. Haz clic en Siguiente y, luego, en Enviar.
7. Google Security Operations admite la recopilación de registros con un ID de clave de acceso y un método secreto. Para crear el ID de clave de acceso y el secreto, consulta Cómo configurar la autenticación de herramientas con AWS.

8. Según la configuración de AWS GuardDuty que creaste, especifica los valores para los siguientes campos.

   1. Si usas Amazon S3
   • Región
   • URI de S3
   • Un URI es un
   • Opción de eliminación de fuentes
   2. Si usas Amazon SQS
   • Región
   • Nombre de la cola
   • Número de cuenta
   • ID de clave de acceso de la cola
   • Coloca en cola la clave de acceso secreta
   • Opción de eliminación de fuentes

9. Haz clic en Siguiente y, luego, en Enviar.

Para obtener más información sobre los feeds de Google Security Operations, consulta la documentación de los feeds de Google Security Operations. Para obtener información sobre los requisitos de cada tipo de feed, consulta Configuración de feeds por tipo. Si tienes problemas cuando creas feeds, comunícate con el equipo de asistencia de Operaciones de seguridad de Google.

Referencia de la asignación de campos

Este código del analizador procesa los resultados de AWS GuardDuty en formato JSON, extrae los campos relevantes y los asigna a un modelo de datos unificado (UDM). Realiza transformaciones de datos, como reemplazos de cadenas, combinación de arrays y conversión de tipos de datos, para crear una representación estructurada del evento de seguridad para el análisis y la correlación.

Tabla de asignación de la UDM

Cambios

2024-03-11

• Se asignó "service.action.awsApiCallAction.domainDetails.domain" a "network.dns.questions.name".

2024-03-05

• Se asignó "service.additionalInfo.value" a "security_result.about.labels".
• Se asignó "service.additionalInfo.value" a "security_result.about.resource.attribute.labels".
• Se asignó "service.action.awsApiCallAction.affectedResources.AWS_CloudTrail_Trail" a "principal.resource.attribute.labels".

2024-02-26

• Corrección de errores:
• Se asignó "resource.eksClusterDetails.createdAt" a "target.resource.attribute.labels".
• Se asignó "resource.s3BucketDetails.createdAt" a "principal.resource.attribute.labels".
• Se asignó "resource.eksClusterDetails.tags" a "target.resource.attribute.labels".
• Se asignó "resource.s3BucketDetails.tags" a "principal.resource.attribute.labels".
• Si "type" es similar a ":Kubernetes" o ":S3", se asignó "resource.accessKeyDetails.accessKeyId" a "target.resource.product_object_id".
• Si "service.action.actionType" es similar a "AWS_API_CALL" o "KUBERNETES_API_CALL", se asignó "resource.accessKeyDetails.accessKeyId" a "target.resource.product_object_id".
• Si "service.action.actionType" es similar a "DNS_REQUEST", se asignó "resource.instanceDetails.instanceId" a "target.resource.product_object_id".

2023-08-18

• Campos asignados "security_result.attack_details.tactics" y "security_result.attack_details.techniques" según el campo "type".
• Se asignó "metadata.event_type" a tipos de eventos más específicos siempre que fue posible, en lugar de GENERIC_EVENT.
• Campos asignados "target.resource.resource_subtype" y "target.resource.resource_type" según el campo "type".
• Para todos los registros que tengan el valor "type" ':EC2':
• Se asignó "resource.instanceDetails.instanceId" a "target.resource.product_object_id".
• Se asignó "resource.instanceDetails.instanceType" a "target.resource.attribute.labels".
• Se asignó "resource.instanceDetails.launchTime" a "target.resource.attribute.creation_time".
• Para todos los registros que tengan el valor "type" ':RDSV':
• Se asignó "resource.rdsDbInstanceDetails.dbInstanceIdentifier" a "target.resource.product_object_id".
• Se asignó "resource.rdsDbInstanceDetails.dbInstanceArn" a "target.resource.name".
• Se asignó "resource.rdsDbInstanceDetails.dbClusterIdentifier" a "target.resource_ancestors.product_object_id".
• Se asignó "resource.rdsDbUserDetails.user" a "principal.user.userid".
• Para todos los registros que tengan el valor de "type" ':Kubernetes':
• Se asignó "resource.eksClusterDetails.arn" a "target.resource.name".
• Para todos los registros que tienen el valor de "type" ":Runtime":
• Se asignó "resource.eksClusterDetails.arn" a "target.resource_ancestors.name".
• Se asignó "resource.instanceDetails.instanceId" a "target.resource.product_object_id".
• Se asignó "resource.instanceDetails.instanceType" a "target.resource.attribute.labels".
• Se asignó "resource.instanceDetails.launchTime" a "target.resource.attribute.creation_time".
• Para todos los registros que tengan el valor "type" ':IAMUser':
• Se asignó "resource.accessKeyDetails.accessKeyId" a "target.resource.product_object_id".
• Se asignó "resource.instanceDetails.instanceId" a "target.resource_ancestors.product_object_id".
• Para todos los registros que tienen el valor de "type" ":S3":
• Se asignó "resource.s3BucketDetails.arn" o "resource.s3BucketDetails.name" a "target.resource.name".

2023-08-02

• Si "resource.instanceDetails.networkInterfaces" está vacío, se asignó "metadata.event_type" a "GENERIC_EVENT".
• Si "detail.resource.accessKeyDetails.principalId" o "resource.accessKeyDetails.principalId" están vacíos, asigna "metadata.event_type" a "USER_RESOURCE_ACCESS".

2023-06-19

• Se agregó "security_result.attack_details" según "type".

2023-02-07

• Mejora:
• Se asignó "threatdetails.threatListName" a "security_result.threat_feed_name".
• Se asignó "service.additionalInfo.threatName" a "security_result.threat_name".
• Si "product_event_type" está en ["Backdoor:EC2/C&CActivity.B", "Backdoor:EC2/C&CActivity.B!DNS", "Trojan:EC2/BlackholeTraffic", "Trojan:EC2/BlackholeTraffic!DNS"], se asignó "T1071" a "technique_label.value".
• Si "product_event_type" está en ["PenTest:IAMUser/KaliLinux", "PenTest:IAMUser/ParrotLinux", "PenTest:IAMUser/PentooLinux", "PenTest:S3/KaliLinux", "PenTest:S3/ParrotLinux", "PenTest:S3/PentooLinux", "Policy:IAMUser/RootCredentialUsage", "UnauthorizedAccess:EC2/MaliciousIPCaller.Custom", "UnauthorizedAccess:EC2/TorClient"], se asignó "T1078" a "technique_label.value".
• Si "product_event_type" es "Discovery:IAMUser/AnomalousBehavior", se asignó "T1087" a "technique_label.value".
• Si "product_event_type" es "Persistence:IAMUser/AnomalousBehavior", se asignó "T1098" a "technique_label.value".
• Si "product_event_type" está en ["UnauthorizedAccess:EC2/RDPBruteForce", "UnauthorizedAccess:EC2/SSHBruteForce"], se asignó "T1110" a "technique_label.value".
• Si "product_event_type" está en ["InitialAccess:IAMUser/AnomalousBehavior", "UnauthorizedAccess:IAMUser/MaliciousIPCaller", "UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom", "UnauthorizedAccess:IAMUser/TorIPCaller", "UnauthorizedAccess:S3/MaliciousIPCaller.Custom", "UnauthorizedAccess:S3/TorIPCaller"], se asignó "T1133" a "technique_label.value".
• Si "product_event_type" es "Trojan:EC2/DriveBySourceTraffic!DNS", se asignó "T1189" a "technique_label.value".
• Si "product_event_type" es "PrivilegeEscalation:IAMUser/AnomalousBehavior", se asignó "T1484" a "technique_label.value".
• Si "product_event_type" está en ["Backdoor:EC2/Spambot", "CryptoCurrency:EC2/BitcoinTool.B", "CryptoCurrency:EC2/BitcoinTool.B!DNS", "Impact:EC2/AbusedDomainRequest.Reputation", "Impact:EC2/BitcoinDomainRequest.Reputation", "Impact:EC2/MaliciousDomainRequest.Reputation", "Impact:EC2/PortSweep", "Impact:EC2/SuspiciousDomainRequest.Reputation", "Impact:EC2/WinRMBruteForce", "UnauthorizedAccess:EC2/TorRelay"], se asignó "T1496" a "technique_label.value".
• Si "product_event_type" está en ["Backdoor:EC2/DenialOfService.Dns", "Backdoor:EC2/DenialOfService.Tcp", "Backdoor:EC2/DenialOfService.Udp", "Backdoor:EC2/DenialOfService.UdpOnTcpPorts", "Backdoor:EC2/DenialOfService.UnusualProtocol"], se asignó "T1498" a "technique_label.value".
• Si "product_event_type" está en ["Discovery:S3/MaliciousIPCaller", "Discovery:S3/MaliciousIPCaller.Custom", "Discovery:S3/TorIPCaller"], se asignó "T1526" a "technique_label.value".
• Si "product_event_type" es "UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B", asigna "T1538" a "technique_label.value".
• Si "product_event_type" es "UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration", se asignó "T1552" a "technique_label.value".
• Si "product_event_type" es "CredentialAccess:IAMUser/AnomalousBehavior", se asignó "T1555" a "technique_label.value".
• Si "product_event_type" está en ["DefenseEvasion:IAMUser/AnomalousBehavior", "Policy:S3/AccountBlockPublicAccessDisabled", "Policy:S3/BucketAnonymousAccessGranted", "Policy:S3/BucketBlockPublicAccessDisabled", "Policy:S3/BucketPublicAccessGranted", "Stealth:IAMUser/CloudTrailLoggingDisabled", "Stealth:IAMUser/PasswordPolicyChange", "Stealth:S3/ServerAccessLoggingDisabled"], se asignó "T1562" a "technique_label.value".
• Si "product_event_type" está en ["Impact:IAMUser/AnomalousBehavior", "Impact:S3/MaliciousIPCaller"], se asignó "T1565" a "technique_label.value".
• Si "product_event_type" es "Trojan:EC2/PhishingDomainRequest!DNS", se asignó "T1566" a "technique_label.value".
• Si "product_event_type" está en ["Exfiltration:IAMUser/AnomalousBehavior", "Exfiltration:S3/MaliciousIPCaller", "Exfiltration:S3/ObjectRead.Unusual", "Trojan:EC2/DNSDataExfiltration", "Trojan:EC2/DropPoint", "Trojan:EC2/DropPoint!DNS"], se asignó "T1567" a "technique_label.value".
• Si "product_event_type" está en ["Trojan:EC2/DGADomainRequest.C!DNS", "Trojan:EC2/DGADomainRequest.B"], se asignó "T1568" a "technique_label.value".
• Si "product_event_type" == "UnauthorizedAccess:EC2/MetadataDNSRebind", se asignó "T1580" a "technique_label".
• Si "product_event_type" está en ["Recon:IAMUser/MaliciousIPCaller", "Recon:IAMUser/MaliciousIPCaller.Custom", "Recon:IAMUser/TorIPCaller"], se asignó "T1589" a "technique_label.value".
• Si "product_event_type" está en ["Recon:EC2/PortProbeEMRUnprotectedPort", "Recon:EC2/PortProbeUnprotectedPort", "Recon:EC2/Portscan"], se asignó "T1595" a "technique_label.value".
• Si [technique_label][value] in ["T1595", "T1592", "T1589", "T1590", "T1591", "T1598", "T1597", "T1596", "T1593", "T1594"], se asignó "Reconnaissance" a "tatic_label.value".
• Si [technique_label][value] in ["T1583", "T1586", "T1584", "T1587", "T1585", "T1588"], se asignó "ResourceDevelopment" a "tatic_label.value".
• Si [technique_label][value] in ["T1189", "T1190", "T1133", "T1200", "T1566", "T1091", "T1195", "T1199", "T1078"], se asignó "InitialAccess" a "tatic_label.value".
• Si [technique_label][value] in ["T1059", "T1203", "T1559", "T1106", "T1053", "T1129", "T1072", "T1569", "T1204", "T1047"], se asignó "Ejecución" a "tatic_label.value".
• Si [technique_label][value] in ["T1098", "T1197", "T1547", "T1037", "T1176", "T1554", "T1136", "T1543", "T1546", "T1133", "T1574", "T1525", "T1137", "T1542", "T1053", "T1505", "T1205", "T1078"], entonces se asignó "Persistencia" a "tatic_label.value".
• Si [technique_label][value] in ["T1548", "T1134", "T1547", "T1037", "T1543", "T1484", "T1546", "T1068", "T1574", "T1055", "T1053", "T1078"], se asignó "PrivilegeEscalation" a "tatic_label.value".
• Si [technique_label][value] in ["T1548", "T1134", "T1197", "T1140", "T1006", "T1484", "T1480", "T1211", "T1222", "T1564", "T1574", "T1562", "T1070", "T1202", "T1036", "T1556", "T1578", "T1112", "T1601", "T1599", "T1027", "T1542", "T1055", "T1207", "T1014", "T1218", "T1216", "T1553", "T1221", "T1205", "T1127", "T1535", "T1550", "T1078", "T1497", "T1600", "T1220"] entonces se asignó “DefenseEvasion” a “tatic_label.value”.
• Si [technique_label][value] in ["T1110", "T1555", "T1212", "T1187", "T1606", "T1056", "T1557", "T1556", "T1040", "T1003", "T1528", "T1558", "T1539", "T1111", "T1552"], se asignó “CredentialAccess” a “tatic_label.value”.
• Si [technique_label][value] in ["T1087", "T1010", "T1217", "T1580", "T1538", "T1526", "T1482", "T1083", "T1046", "T1135", "T1040", "T1201", "T1120", "T1069", "T1057", "T1012", "T1018", "T1518", "T1082", "T1016", "T1049", "T1033", "T1007", "T1124", "T1497"], se asignó "Descubrimiento" a "tatic_label.value".
• Si [technique_label][value] in ["T1210", "T1534", "T1570", "T1563", "T1021", "T1091", "T1072", "T1080", "T1550"], se asignó "LateralMovement" a "tatic_label.value".
• Si [technique_label][value] in ["T1560", "T1123", "T1119", "T1115", "T1530", "T1602", "T1213", "T1005", "T1039", "T1025", "T1074", "T1114", "T1056", "T1185", "T1557", "T1113", "T1125"], se asignó "Collection" a "tatic_label.value".
• Si [technique_label][value] in ["T1071", "T1092", "T1132", "T1001", "T1568", "T1573", "T1008", "T1105", "T1104", "T1095", "T1571", "T1572", "T1090", "T1219", "T1205", "T1102"], entonces se asignó "CommandAndControl" a "tatic_label.value".
• Si [technique_label][value] in ["T1020", "T1030", "T1048", "T1041", "T1011", "T1052", "T1567", "T1029", "T1537"], se asignó "Exfiltración" a "tatic_label.value".
• Si [technique_label][value] in ["T1531", "T1485", "T1486", "T1565", "T1491", "T1561", "T1499", "T1495", "T1490", "T1498", "T1496", "T1489", "T1529"], se asignó "Impacto" a "tatic_label.value".

2022-11-10

• Mejora
• Se asignó "service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.hash" a "principal.file.sha256".
• Se asignó "service.ebsVolumeScanDetails.scanDetections.threatDetectedByName.threatNames.filePaths.filePath" a "principal.file.full_path".
• Se asignó "service.action.dnsRequestAction.domain" a "network.dns.questions.name".
• Se asignó "resource.kubernetesDetails.kubernetesUserDetails.username" a "principal.user.userid".

2022-09-12

• Solicitud de función:
• Se asignaron correctamente "security_result.category", "metadata.event_type", "resource_type" y "resource_subtype" para los tipos de registros: "IAM", "S3", "KUBERNETES", "MALWARE" y "EC2".

2022-08-11

• Solicitud de función:
• Se reemplazó el tipo "GENERIC_EVENT" por "STATUS_UPDATE" o "USER_RESOURCE_ACCESS" en event_type.

2022-07-20

• Se cambió la asignación de "service.resourceRole" de "additional.resource_role" a "principal.resource.attribute.roles.name".
• Se cambió la asignación de "service.count" de "additional.fields" a "principal.resource.attribute.label"
• Se cambió la asignación de "resource.instanceDetails.imageDescription" de "additional.fields" a "principal.resource.attribute.label"
• if "type" value in "Discovery:S3/MaliciousIPCaller", "Policy:S3/BucketPublicAccessGranted", "UnauthorizedAccess:S3/TorIPCaller", "Policy:S3/BucketAnonymousAccessGranted", "UnauthorizedAccess:EC2/TorRelay":
• Se asignó "resource.instanceDetails.instanceId" a "target.resource.product_object_id".
• Se asignó "resource.instanceDetails.instanceType" a "target.resource.name".

2022-07-08

• Se modificó la asignación de "network_interface.securityGroups.0.groupId" de "target.user.groupid" a "target.user.group_identifiers".

2022-05-26

• Mejora: Se modificaron las asignaciones de los siguientes campos
• Se cambió la asignación del campo "region" de "target.location.country_or_region" a "target.location.name".
• Se cambió la asignación del campo "resource.instanceDetails.tags[n]" de "additional.fields[n]" a "target.asset.attribute.labels[n]"
• "service.action.networkConnectionAction.remoteIpDetails.country.countryName" asignado a "target.location.country_or_region"

2022-05-27

• Mejora: Se modificó el valor almacenado en metadata.product_name a "AWS GuardDuty" y metadata.vendor_name a "AMAZON".

2022-03-25

• Mejora: El puerto udm no es un campo repetido. Por lo tanto, no es adecuado para capturar muchos puertos de un registro. En su lugar, este cambio usa about.port.

2022-03-31

• Mejora
• Si service.action.networkConnectionAction.localPortDetails.portName no es el valor "Desconocido" asignado a principal.application.
• Lista completa dentro del campo "etiquetas" asignada a campos clave-valor
• "service.action.networkConnectionAction.protocol" asignado a network.ip_protocol
• "service.action.networkConnectionAction.blocked" asignado a security_result.action
• "severity" asignado a security_result.severity_details
• Si service.action.actionType es AWS_API_CALL, "accessKeyId" se asigna a target.resource.id.
• En s3BucketDetails:
• "arn" asignado a target.asset.attribute.cloud.project.product_object_id.
• "name" se asigna a target.resource.name.
• "encryptionType" asignado a network.tls.supported_ciphers.
• "owner.id mapped to target.resource.attribute.labels.
• En resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.accessControlList:
• Se asignó "allowsPublicReadAccess" al atributo additional.fields.
• Se asignó "allowsPublicWriteAccess" al atributo additional.fields. - --
• En resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.bucketPolicy:
• Se asignó "allowsPublicReadAccess" al atributo additional.fields.
• Se asignó "allowsPublicWriteAccess" al atributo additional.fields. - --
• En resource.s3BucketDetails.0.publicAccess.permissionConfiguration.bucketLevelPermissions.blockPublicAccess:
• Se asignó "ignorePublicAcls" al atributo additional.fields.
• Se asignó "restrictPublicBuckets" al atributo additional.fields.
• Se asignó "blockPublicAcls" al atributo additional.fields.
• Se asignó "blockPublicPolicy" al atributo additional.fields. - --
• En resource.s3BucketDetails.0.publicAccess.permissionConfiguration.accountLevelPermissions.blockPublicAccess
• Se asignó ignorePublicAcls al atributo additional.fields.
• Se agregó "restrictPublicBuckets" al atributo additional.fields.
• Se agregó "blockPublicAcls" al atributo additional.fields.
• Se agregó "blockPublicPolicy" al atributo additional.fields.
• En service.action.awsApiCallAction.remoteIpDetails.organization:
• "asn" se asignó al atributo additional.fields.
• "asnOrg" se asignó al atributo additional.fields.
• "isp" se asignó al atributo additional.fields.
• "org" se asignó al atributo additional.fields.
• En service.action.awsApiCallAction.affectedResources, se asignó el atributo additional.fields "AWS::S3::Bucket".
• Si service.action.actionType es DNS_REQUEST, "accessKeyId" se asigna a target.resource.id.
• resource.instanceDetails.instanceId asignado a target.resource.id
• resource.instanceDetails.instanceType asignado a target.resource.name
• resource.instanceDetails.networkInterfaces.0.vpcId asignado a target.asset.attribute.cloud.vpc.id
• Los valores de resource.instanceDetails.tags asignaron los siguientes campos:
• target.user.userid si la clave es "ApplicationOwner".
• target.application si la clave es "Application".
• user.email_addresses si la clave es "Contact".
• additional.fields si la clave es "Name", "DAM_Project", "Project" o "ehc:C3Schedule".
• service.action.dnsRequestAction.protocol mapped network.ip_protocol si el valor no es 0.
• service.action.networkConnectionAction.blocked se asignó a security_result.action.
• "severity" se asigna a security_result.severity_details.