Persistence:IAMUser/AnomalousBehavior,AWSIAM,Protect,"El uso de autenticación multi-factor, políticas de contraseñas seguras y credenciales rotativas puede mitigar los ataques de fuerza bruta","Enforcing multi-factor authentication, strong password policies, and rotating credentials may mitigate brute force attacks"
Backdoor:EC2/DenialOfService.Dns,AmazonVirtualPrivatecloud,Protect,Los grupos de seguridad de VPC y las listas de control de acceso a la red (NACL) se pueden usar para restringir el acceso a los puntos finales,VPC security groups and network access control lists (NACLs) can be used to restrict access to endpoints
Impact:EC2/WinRMBruteForce,AmazonCognito,Protect,La capacidad MFA de Amazon Cognito brinda una protección significativa contra compromisos de contraseñas,Amazon Cognito MFA capability provides significant protection against password compromises
Trojan:EC2/DriveBySourceTraffic!DNS,AmazonGuardDuty,Detect,Una instancia EC2 está consultando un nombre de dominio de un host remoto que es una fuente conocida de ataques de descarga Drive-By. Recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-drivebysourcetrafficdns,An EC2 instance is querying a domain name of a remote host that is a known source of Drive-By download attacks. Recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-drivebysourcetrafficdns
iam-password-policy,AmazonInspector,Protect,El paquete de evaluación de prácticas recomendadas de Amazon Inspector puede detectar la configuración de control de seguridad relacionada con las políticas de autenticación y contraseña en los puntos finales de Linux,The Amazon Inspector Best Practices assessment package can detect security control settings related to authentication and password policies on Linux endpoints
Recon:EC2/Portscan,AmazonInspector,Protect,"El paquete de evaluación de la accesibilidad de la red de Amazon Inspector puede evaluar si los componentes de la nube/red son vulnerables o no (p. ej., accesibles públicamente desde Internet)","Amazon Inspector Network Reachability assessment package can assess whether or not cloud/network components are vulnerable (e.g., publicly accessible from the Internet)"
elb-tls-https-listeners-only,AmazonVirtualPrivatecloud,Protect,"AWS Virtual Private Network (VPN) se puede utilizar para cifrar el tráfico que atraviesa redes que no son de confianza, lo que puede evitar que se recopile información a través de la detección de redes",AWS Virtual Private Network (VPN) can be used to encrypt traffic traversing over untrusted networks which can prevent information from being gathered via network sniffing
CryptoCurrency:EC2/BitcoinTool.B,AWSCloudWatch,Detect,"Mitigación: las métricas podrían usarse para detectar si el uso de un recurso ha aumentado, como cuando un adversario secuestra un recurso para realizar tareas intensivas",Mitigation: metrics could be used to detect if the usage of a resource has increased such as when an adversary hijacks a resource to perform intensive tasks
CA_CERTIFICATE_EXPIRING_CHECK,AWSIOTDeviceDefender,Protect,"'"CA certificate expiring'" puede identificar y resolver problemas de configuración que deben corregirse para garantizar que el cifrado SSL/TLS esté habilitado","'"CA certificate expiring'" can identify and resolve configuration problems that should be fixed in order to ensure SSL/TLS encryption is enabled."
multi-region-cloudtrail-enabled,AWSIAM,Protect,La condición global aws:RequestedRegion abarca todas las acciones en todos los servicios de AWS,Global condition key aws:RequestedRegion supports all actions across all AWS services
CA_CERTIFICATE_KEY_QUALITY_CHECK,AWSIOTDeviceDefender,Protect,"'"CA certificate key quality'" puede identificar y resolver problemas de configuración que deben corregirse para garantizar que el cifrado SSL/TLS esté habilitado","'"CA certificate key quality'" can identify and resolve configuration problems that should be fixed in order to ensure SSL/TLS encryption is enabled."
REVOKED_CA_CERTIFICATE_STILL_ACTIVE_CHECK,AWSIOTDeviceDefender,Protect,"'"CA certificate revoked but device certificates still active'" indica que los certificados de dispositivo firmados con un certificado de CA revocado aún están activos, lo que indica que los dispositivos que usan esos certificados están controlados por un adversario si el certificado de CA fue revocado debido a un compromiso.","'"CA certificate revoked but device certificates still active'" indicates that device certificates signed using a revoked CA certificate are still active, which way indicate that devices using those certificates are controlled by an adversary if the CA certificate was revoked due to compromise."
Trojan:EC2/PhishingDomainRequest!DNS,AmazonGuardDuty,Detect,Una instancia EC2 está consultando un nombre de dominio de un host remoto que es una fuente conocida de ataques. Recomendaciones/remediación: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-phishingdomainrequestdns,An EC2 instance is querying a domain name of a remote host that is a known source of attacks. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-phishingdomainrequestdns
UnauthorizedAccess:EC2/MetadataDNSRebind,AmazonGuardDuty,Detect,Una instancia EC2 está realizando búsquedas de DNS que se resuelven en el servicio de metadatos de la instancia. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#unauthorizedaccess-ec2-metadatadnsrebind,An EC2 instance is performing DNS lookups that resolve to the instance metadata service. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#unauthorizedaccess-ec2-metadatadnsrebind
UnauthorizedAccess:EC2/RDPBruteForce,AmazonGuardDuty,Detect,Una instancia EC2 puede verse involucrada en un ataque de fuerza bruta destinado a obtener contraseñas. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#unauthorizedaccess-ec2-rdpbruteforce,An EC2 instance may be involved in a brute force attack aimed at obtaining passwords. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#unauthorizedaccess-ec2-rdpbruteforce
UnauthorizedAccess:EC2/SSHBruteForce,AmazonGuardDuty,Detect,Una instancia EC2 puede verse involucrada en un ataque de fuerza bruta destinado a obtener contraseñas. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#unauthorizedaccess-ec2-rdpbruteforce,An EC2 instance may be involved in a brute force attack aimed at obtaining passwords. Remediation/recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#unauthorizedaccess-ec2-sshbruteforce
UnauthorizedAccess:EC2/TorRelay,AmazonGuardDuty,Detect,Los adversarios pueden aprovechar los recursos de los sistemas para resolver problemas intensivos en recursos que pueden afectar la disponibilidad del servicio alojado. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#unauthorizedaccess-ec2-torrelay,Adversaries may leverage the resources of systems in order to solve resource intensive problems which may impact hosted service availability. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#unauthorizedaccess-ec2-torrelay
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration,AmazonGuardDuty,Detect,Marca una instancia en la que hay indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws,Flags an instance where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws
access-keys-rotated,AWSConfig,Protect,Rotar las claves de acceso de modo regular está entre las buenas prácticas de seguridad. Un administrador de IAM debe deshabilitar/eliminar la clave de acceso anterior y crear una clave de acceso nueva para el usuario. Esta regla requiere un valor de rotación de clave de acceso (configuración predeterminada: 90),Changing the access keys on a regular schedule is a security best practice. An IAM administrator must disable/delete the old AccessKey and create a new AccessKey for the user. This rule requires an access key rotation value (Config Default: 90)
alb-http-to-https-redirection-check,AWSConfig,Protect,"Para ayudar a proteger los datos en tránsito, asegúrese de que su balanceador de carga de aplicaciones (ALB) redirija automáticamente las solicitudes HTTP sin cifrar a HTTPS. Debido a que pueden existir datos confidenciales, habilite el cifrado en tránsito para ayudar a proteger esos datos","To help protect data in transit, ensure that your Application Load Balancer automatically redirects unencrypted HTTP requests to HTTPS. Because sensitive data can exist, enable encryption in transit to help protect that data"
api-gw-ssl-enabled,AWSConfig,Detect,Asegúrese de que las etapas de la API REST de Amazon API Gateway estén configuradas con certificados SSL para permitir que los sistemas backend autentiquen que las solicitudes se originan en API Gateway,Ensure Amazon API Gateway REST API stages are configured with SSL certificates to allow backend systems to authenticate that requests originate from API Gateway
autoscaling-group-elb-healthcheck-required,AWSConfig,Protect,"Las comprobaciones de estado en Balanceadores para los grupos de autoescalado (Amazon Elastic Compute Cloud Auto Scaling) permiten mantener la capacidad y disponibilidad adecuadas de sus servicios; si una instancia no responde, el tráfico se envía a una nueva instancia de Amazon EC2","The Elastic Load Balancer health checks for Amazon Elastic Compute Cloud Auto Scaling groups support maintenance of adequate capacity and availability. If an instance is not reporting back, traffic is sent to a new Amazon EC2 instance"
autoscaling-launch-config-public-ip-disabled,AWSConfig,Protect,"Si configura sus interfaces de red con una dirección IP pública, los recursos asociados a esas interfaces de red son accesibles desde Internet. Esto puede permitir el acceso no deseado a sus aplicaciones o servidores. Si es necesario, aplique otras medidas de seguridad como VPN, NACL, grupos de seguridad, certificados SSL/TLS o autenticación","If you configure your Network Interfaces with a public IP address, then the associated resources to those Network Interfaces are reachable from the internet. This may allow unintended access to your applications or servers. If needed, apply others security measures like VPN, NACL, Security Groups, SSL/TLS certificates o authentication"
cloud-trail-cloud-watch-logs-enabled,AWSConfig,Protect,"Utilice Amazon CloudWatch para recopilar y administrar de forma centralizada la actividad de eventos de registro. La inclusión de datos de AWS CloudTrail proporciona detalles de la actividad de llamadas a la API dentro de su cuenta de AWS. Si es deshabilitado, puede deberse a una táctica de Evasión de Defensa","Use Amazon CloudWatch to centrally collect and manage log event activity. Inclusion of AWS CloudTrail data provides details of API call activity within your AWS account. If disabled, it may be due to a Defense Evasion tactic"
cloudtrail-security-trail-enabled,AWSConfig,Protect,"Esta regla ayuda a garantizar el uso de las mejores prácticas de seguridad recomendadas por AWS para AWS CloudTrail al verificar la habilitación de varias configuraciones. Estos incluyen el uso de cifrado de registros, validación de registros y habilitación de AWS CloudTrail en varias regiones","This rule helps ensure the use of AWS recommended security best practices for AWS CloudTrail, by checking for the enablement of multiple settings. These include the use of log encryption, log validation, and enabling AWS CloudTrail in multiple regions"
cloudwatch-alarm-action-check,AWSConfig,Detect,"Esta regla requiere un valor para alarmActionRequired:verdadero, insuficienteDataActionRequired:verdadero, okActionRequired:falso. Como buena práctica de seguridad está el empleo de alarmas de Amazon CloudWatch para monitorizar la actividad de recursos de AWS https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html","This rule requires a value for alarmActionRequired (Config Default: True), insufficientDataActionRequired (Config Default: True), okActionRequired (Config Default: False). To use Amazon CloudWatch alarms is a best practice to monitoring AWS resources activity https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html"
codebuild-project-envvar-awscred-check,AWSConfig,Protect,Asegúrese de que las credenciales de autenticación AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY no existan en los entornos de proyectos de AWS Codebuild. No almacene estas variables en texto claro. El almacenamiento de estas variables en texto sin cifrar conduce a la exposición no deseada de los datos y al acceso no autorizado,Ensure authentication credentials AWS_ACCESS_KEY_ID and AWS_SECRET_ACCESS_KEY do not exist within AWS Codebuild project environments. Do not store these variables in clear text. Storing these variables in clear text leads to unintended data exposure and unauthorized access
codebuild-project-source-repo-url-check,AWSConfig,Protect,"Asegúrese de que la URL del repositorio de origen de GitHub o Bitbucket no contenga tokens de acceso personal, nombre de usuario y contraseña en los entornos de proyecto de AWS Codebuild. Use OAuth en lugar de tokens de acceso personal o nombre de usuario y contraseña para otorgar autorización para acceder a los repositorios de GitHub o Bitbucket","Ensure the GitHub or Bitbucket source repository URL does not contain personal access tokens, user name and password within AWS Codebuild project environments. Use OAuth instead of personal access tokens or a user name and password to grant authorization for accessing GitHub or Bitbucket repositories"
dynamodb-throughput-limit-check,AWSConfig,Detect,"Esta regla de AWS Config comprueba si el rendimiento de DynamoDB aprovisionado se acerca al límite máximo de su cuenta (80% de forma predeterminada). De encontrarse en estado no-conforme, puede deberse a estar bajo tácticas de Impacto o Ejecución","This AWS Config rule checks if provisioned DynamoDB throughput is approaching the maximum limit for your account (by default 80%). If it is in a non-conforming state, it may be due to Impact or Execution tactics"
ec2-ebs-encryption-by-default,AWSConfig,Protect,"Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté habilitado para sus volúmenes de Amazon Elastic Block Store (Amazon EBS). Debido a que los datos confidenciales pueden existir en reposo en estos volúmenes, habilite el cifrado en reposo para ayudar a proteger esos datos","To help protect data at rest, ensure that encryption is enabled for your Amazon Elastic Block Store (Amazon EBS) volumes. Because sensitive data can exist at rest in these volumes, enable encryption at rest to help protect that data"
ec2-imdsv2-check,AWSConfig,Protect,Habilite el método Instance Metadata Service Version 2 (IMDSv2) para ayudar a proteger el acceso y el control de los metadatos de la instancia de Amazon Elastic Compute Cloud (Amazon EC2) (para restringir los cambios en los metadatos de la instancia) https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html,Enable the Instance Metadata Service Version 2 (IMDSv2) method to help protect access and control of Amazon Elastic Compute Cloud (Amazon EC2) instance metadata (to restrict changes to instance metadata) https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html
ec2-instance-managed-by-systems-manager,AWSConfig,Protect,AWS Systems Manager proporciona detalles de configuraciones de sistemas e instalaciones de software. Habilitar AWS Systems Manager permite que las organizaciones administren instancias de Amazon Elastic Compute Cloud y monitoricen un inventario de plataformas de software y de aplicaciones,AWS Systems Manager provides detailed system configurations and software installations. Enabling AWS Systems Manager grants organizations manage Amazon Elastic Compute Cloud instances and obtain software platforms and applications inventory
ssm-document-not-public,AWSConfig,Protect,"Asegúrese de que los documentos de AWS Systems Manager (SSM) no son públicos, ya que esto puede permitir el acceso involuntario a sus documentos SSM. Un documento SSM público puede exponer información sobre su cuenta, recursos y procesos internos","Ensure AWS Systems Manager (SSM) documents are not public, as this may allow unintended access to your SSM documents. A public SSM document can expose information about your account, resources and internal processes"
s3-bucket-public-write-prohibited,AWSConfig,Protect,"Gestione el acceso a los recursos en la nube de AWS permitiendo únicamente a los usuarios, procesos y dispositivos autorizados el acceso a los buckets de Amazon Simple Storage Service (Amazon S3). La gestión del acceso debe ser coherente con la clasificación de los datos","Manage access to resources in the AWS Cloud by only allowing authorized users, processes, and devices access to Amazon Simple Storage Service (Amazon S3) buckets. The management of access should be consistent with the classification of the data"
sagemaker-endpoint-configuration-kms-key-configured,AWSConfig,Protect,"Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado con AWS Key Management Service (AWS KMS) esté habilitado para su endpoint de SageMaker. Dado que los datos sensibles pueden existir en reposo en el endpoint de SageMaker, habilite el cifrado en reposo para ayudar a proteger esos datos","To help protect data at rest, ensure encryption with AWS Key Management Service (AWS KMS) is enabled for your SageMaker endpoint. Because sensitive data can exist at rest in SageMaker endpoint, enable encryption at rest to help protect that data"
sagemaker-notebook-instance-kms-key-configured,AWSConfig,Protect,"Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado con AWS Key Management Service (AWS KMS) esté habilitado para su cuaderno SageMaker. Dado que los datos sensibles pueden existir en reposo en el cuaderno SageMaker, habilite el cifrado en reposo para ayudar a proteger esos datos","To help protect data at rest, ensure encryption with AWS Key Management Service (AWS KMS) is enabled for your SageMaker notebook. Because sensitive data can exist at rest in SageMaker notebook, enable encryption at rest to help protect that data"
s3-bucket-public-read-prohibited,AWSConfig,Protect,"Gestione el acceso a los recursos en la nube de AWS permitiendo únicamente a los usuarios, procesos y dispositivos autorizados el acceso a los buckets de Amazon Simple Storage Service (Amazon S3). La gestión del acceso debe ser coherente con la clasificación de los datos","Manage access to resources in the AWS Cloud by only allowing authorized users, processes, and devices access to Amazon Simple Storage Service (Amazon S3) buckets. The management of access should be consistent with the classification of the data"
s3-bucket-level-public-access-prohibited,AWSConfig,Protect,Administre el acceso a los recursos en la nube de AWS garantizando que no se pueda acceder públicamente a los buckets de Amazon Simple Storage Service (Amazon S3). Esta regla ayuda a mantener los datos confidenciales a salvo de usuarios remotos no autorizados impidiendo el acceso público a nivel de bucket,Manage access to resources in the AWS Cloud by ensuring that Amazon Simple Storage Service (Amazon S3) buckets cannot be publicly accessed. This rule helps keeping sensitive data safe from unauthorized remote users by preventing public access at the bucket level
securityhub-enabled,AWSConfig,Protect,"AWS Security Hub ayuda a monitorear el personal, las conexiones, los dispositivos y el software no autorizados. AWS Security Hub agrega, organiza y prioriza las alertas de seguridad o los hallazgos de varios servicios de AWS","AWS Security Hub helps to monitor unauthorized personnel, connections, devices, and software. AWS Security Hub aggregates, organizes, and prioritizes the security alerts, or findings, from multiple AWS services"
encrypted-volumes,AWSKeyManagementService,Protect,Este servicio proporciona una alternativa más segura al almacenamiento de claves de cifrado en el sistema de archivos,This service provides a more secure alternative to storing encryption keys in the file system
aws:num-listening-udp-ports,AWSIOTDeviceDefender,Detect,"'"Listening UDP port count'" con valores fuera de las normas esperadas puede indicar que los dispositivos se están comunicando a través de puertos/protocolos inesperados","'"Listening UDP port count'" outside of expected norms may indicate that devices are communicating via unexpected ports/protocols."
3.4 Ensure a log metric filter and alarm exist for IAM policy changes ,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
aws:num-messages-received,AWSIOTDeviceDefender,Detect,"Los valores de '"Messages received'" fuera de las normas esperadas pueden indicar que los dispositivos están enviando y/o recibiendo tráfico no estándar","'"Messages received'" values outside of expected norms may indicate that devices are sending and/or receiving non-standard traffic."
restricted-ssh,AWSConfig,Protect,Los grupos de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) pueden ayudar a administrar el acceso a la red proporcionando un filtrado de estado del tráfico de red de entrada y salida a los recursos de AWS. No permitir el tráfico de entrada (o remoto) desde 0.0.0.0/0 al puerto 22 en sus recursos le ayuda a restringir el acceso remoto,Amazon Elastic Compute Cloud (Amazon EC2) Security Groups can help manage network access by providing stateful filtering of ingress and egress network traffic to AWS resources. Not allowing ingress (or remote) traffic from 0.0.0.0/0 to port 22 on your resources help you restricting remote access
redshift-cluster-kms-enabled,AWSConfig,Protect,"Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado con AWS Key Management Service (AWS KMS) está habilitado para su clúster de Amazon Redshift. Dado que los datos sensibles pueden existir en reposo en los clústeres de Redshift, habilite el cifrado en reposo para ayudar a proteger esos datos","To help protect data at rest, ensure encryption with AWS Key Management Service (AWS KMS) is enabled for your Amazon Redshift cluster. Because sensitive data can exist at rest in Redshift clusters, enable encryption at rest to help protect that data"
restricted-common-ports,AWSConfig,Protect,"Gestione el acceso a los recursos en la nube de AWS asegurándose de que los puertos comunes están restringidos en los grupos de seguridad de Amazon EC2. No restringir los puertos a fuentes de confianza le expone a ataques. Esta regla le permite establecer opcionalmente los parámetros blockedPort1 a blockedPort5 (por defecto 20,21,3389,3306,4333)","Manage access to resources in the AWS Cloud by ensuring common ports are restricted on Amazon Elastic Compute Cloud security groups. Not restricting access to ports to trusted sources can lead to attacks. This rule allows you to optionally set blockedPort1 - blockedPort5 parameters (Config Defaults: 20,21,3389,3306,4333)"
Recon:EC2/Portscan,AmazonVirtualPrivatecloud,Protect,Los grupos de seguridad de VPC y las listas de control de acceso a la red (NACL) pueden filtrar el tráfico de red tanto interno como externo,VPC security groups and network access control lists (NACLs) can filter both internal and external network traffic
elb-cross-zone-load-balancing-enabled,AWSNetworkFirewall,Protect,"Las NACL y los grupos de seguridad tienen la capacidad de filtrar, descartar o alertar sobre el tráfico en función del protocolo de red, así como realizar una inspección profunda de paquetes en la carga útil","NACLs and Security Groups have the ability to pass, drop, or alert on traffic based on the network protocol as well as perform deep packet inspection on the payload"
redshift-cluster-public-access-check,AWSConfig,Protect,Administre el acceso a los recursos en la nube de AWS asegurándose de que los clústeres de Amazon Redshift no sean públicos. Los clústeres de Amazon Redshift pueden contener información y principios sensibles y se requiere un control de acceso para dichas cuentas,Manage access to resources in the AWS Cloud by ensuring that Amazon Redshift clusters are not public. Amazon Redshift clusters can contain sensitive information and principles and access control is required for such accounts
redshift-cluster-maintenancesettings-check,AWSConfig,Protect,Esta regla garantiza que los clústeres de Amazon Redshift tengan la configuración preferida para los periodos de retención de instantáneas automatizados para la base de datos. Esta regla requiere que se configure el allowVersionUpgrade:true,This rule ensures that Amazon Redshift clusters have the preferred maintenance windows and automated snapshot retention periods for the database. This rule requires you to set the allowVersionUpgrade:true
Impact:EC2/WinRMBruteForce,AWSSSO,Protect,Mitigación: puede proteger contra técnicas de fuerza bruta al habilitar la autenticación de múltiples factores,Mitigation: may protect against brute force techniques by enabling multi-factor authentication
UnauthorizedAccess:EC2/SSHBruteForce,AmazonInspector,Protect,El paquete de evaluación de prácticas recomendadas de Amazon Inspector puede detectar la configuración de control de seguridad relacionada con las políticas de autenticación y contraseña en los puntos finales de Linux,The Amazon Inspector Best Practices assessment package can detect security control settings related to authentication and password policies on Linux endpoints
aws:num-messages-sent,AWSIOTDeviceDefender,Detect,"Los valores de '"Messages sent'" fuera de las normas esperadas pueden indicar que los dispositivos están enviando y/o recibiendo tráfico no estándar","'"Messages sent'" values outside of expected norms may indicate that devices are sending and/or receiving non-standard traffic."
aws:all-packets-in,AWSIOTDeviceDefender,Detect,"Los valores de '"Packets in'" fuera de las normas esperadas pueden indicar tráfico relacionado con actividades de secuestro de recursos","'"Packets in'" values outside of expected norms may indicate traffic related to resource hijacking activities."
Exfiltration:IAMUser/AnomalousBehavior,AWSSSO,Protect,Mitigación: protéjase contra el uso malintencionado de cuentas válidas mediante la implementación de acceso detallado y con privilegios mínimos mediante el uso de conjuntos de permisos,Mitigation: protect against malicious use of valid accounts by implementing fine grained and least privilege access through use of permission sets
ec2-instances-in-vpc,AWSConfig,Protect,"Implemente instancias de Amazon Elastic Compute Cloud (Amazon EC2) dentro de Amazon Virtual Private Cloud (Amazon VPC) para habilitar la comunicación segura entre una instancia y otros servicios dentro de Amazon VPC. Todo el tráfico permanece seguro sin necesidad de una puerta de enlace a Internet, un dispositivo NAT o una conexión VPN","Deploy Amazon Elastic Compute Cloud (Amazon EC2) instances within an Amazon Virtual Private Cloud (Amazon VPC) to enable secure communication between an instance and other services within the amazon VPC. All traffic remains securely without requiring an internet gateway, NAT device, or VPN connection"
elasticache-redis-cluster-automatic-backup-check,AWSConfig,Protect,"Las copias de seguridad automáticas pueden ayudar a protegerse contra la pérdida de datos. Si ocurre una falla, puede crear un nuevo clúster, que restaura sus datos desde la copia de seguridad más reciente. Cuando las copias de seguridad automáticas están habilitadas, Amazon ElastiCache crea una copia de seguridad del clúster diariamente","Automatic backups can help guard against data loss. If a failure occurs, you can create a new cluster, which restores your data from the most recent backup. When automatic backups are enabled, Amazon ElastiCache creates a backup of the cluster on a daily basis"
elastic-beanstalk-managed-updates-enabled,AWSConfig,Protect,"Habilitar las actualizaciones de la plataforma administrada para un entorno de Amazon Elastic Beanstalk garantiza que se instalen las últimas correcciones, actualizaciones y características de la plataforma disponibles para el entorno. Mantenerse al día con la instalación de parches es una buena práctica para proteger los sistemas","Enabling managed platform updates for an Amazon Elastic Beanstalk environment ensures that the latest available platform fixes, updates, and features for the environment are installed. Keeping up to date with patch installation is a best practice in securing systems"
elasticsearch-logs-to-cloudwatch,AWSConfig,Detect,"Asegúrese de que los dominios de Amazon OpenSearch Service tengan registros de errores habilitados y transmitidos a Amazon CloudWatch Logs para retención y respuesta. Los registros de errores de dominio pueden ayudar con las auditorías de seguridad y acceso, y pueden ayudar a diagnosticar problemas de disponibilidad","Ensure Amazon OpenSearch Service domains have error logs enabled and streamed to Amazon CloudWatch Logs for retention and response. Domain error logs can assist with security and access audits, and can help to diagnose availability issues"
api-gw-associated-with-waf,AWSConfig,Detect,"AWS WAF le permite configurar un conjunto de reglas (ACL web) que permiten, bloquean o cuentan las solicitudes web en función de las reglas y condiciones de seguridad web personalizables que defina. Asegúrese de que su etapa de Amazon API Gateway esté asociada con una ACL web de WAF para protegerla de ataques maliciosos","AWS WAF enables you to configure a set of rules (called a web access control list (web ACL)) that allow, block, or count web requests based on customizable web security rules and conditions that you define. Ensure your Amazon API Gateway stage is associated with a WAF Web ACL to protect it from malicious attack"
iam-user-mfa-enabled,AWSConfig,Protect,Habilite esta regla para restringir el acceso a los recursos en la nube de AWS. Esta regla garantiza que la autenticación multifactor (MFA) esté habilitada para todos los usuarios de IAM. La MFA añade una capa adicional de protección además del nombre de usuario y la contraseña y reduce los incidentes de cuentas comprometidas,Enable this rule to restrict access to resources in the AWS Cloud. This rule ensures multi-factor authentication (MFA) is enabled for all IAM users. MFA adds an extra layer of protection on top of a user name and password. Reduce the incidents of compromised accounts by requiring MFA for IAM users
Exfiltration:S3/MaliciousIPCaller,AWSNetworkFirewall,Protect,"Las NACL y los grupos de seguridad tienen la capacidad de filtrar, descartar o alertar sobre el tráfico en función del protocolo de red, así como realizar una inspección profunda de paquetes en la carga útil","NACLs and Security Groups have the ability to pass, drop, or alert on traffic based on the network protocol as well as perform deep packet inspection on the payload"
Impact:IAMUser/AnomalousBehavior,AWSIAM,Protect,Mitigación: fuerce el uso de credenciales de seguridad temporales mediante el uso de rol de IAM,Mitigation: retrieve temporary security credentials using an IAM role
REVOKED_DEVICE_CERTIFICATE_STILL_ACTIVE_CHECK,AWSIOTDeviceDefender,Protect,"'"Revoked device certificate still active'" sugiere que un adversario puede estar usando clones de dispositivos comprometidos para aprovechar su acceso","'"Revoked device certificate still active'" suggest that an adversary may be using clones of compromised devices to leverage their access."
UnauthorizedAccess:S3/TorIPCaller,AmazonGuardDuty,Detect,"Los adversarios podrían cifrar o destruir datos y archivos en sistemas específicos para interrumpir la disponibilidad de sistemas, servicios y recursos de red. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#unauthorizedaccess-s3-toripcaller","Adversaries may encrypt or destroy data and files on specific systems to interrupt availability to systems, services, and network resources. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#unauthorizedaccess-s3-toripcaller"
rds-instance-public-access-check,AWSConfig,Protect,"Administrar el acceso a los recursos en la nube de AWS garantizando que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de bases de datos de Amazon RDS pueden contener información sensible, y se requieren principios y control de acceso para dichas cuentas","Manage access to resources in the AWS Cloud by ensuring that Amazon Relational Database Service (Amazon RDS) instances are not public. Amazon RDS database instances can contain sensitive information, and principles and access control is required for such accounts"
rds-logging-enabled,AWSConfig,Detect,"Para facilitar el registro y la monitorización en su entorno, asegúrese de que el registro de Amazon Relational Database Service (Amazon RDS) está habilitado. Con el registro de Amazon RDS, puede capturar eventos como conexiones, desconexiones, consultas o tablas consultadas","To help with logging and monitoring within your environment, ensure Amazon Relational Database Service (Amazon RDS) logging is enabled. With Amazon RDS logging, you can capture events such as connections, disconnections, queries, or tables queried"
rds-snapshot-encrypted,AWSConfig,Protect,"Asegúrese de que el cifrado esté habilitado para sus instantáneas de Amazon Relational Database Service (Amazon RDS). Debido a que los datos confidenciales pueden existir en reposo, habilite el cifrado en reposo para ayudar a proteger esos datos","Ensure that encryption is enabled for your Amazon Relational Database Service (Amazon RDS) snapshots. Because sensitive data can exist at rest, enable encryption at rest to help protect that data"
multi-region-cloudtrail-enabled,AWSConfig,Protect,AWS CloudTrail registra las acciones de la consola de administración de AWS y las llamadas a la API. CloudTrail entregará archivos de registro de todas las regiones de AWS a su cubo de S3 si MULTI_REGION_CLOUD_TRAIL_ENABLED está habilitado,AWS CloudTrail records AWS Management Console actions and API calls. CloudTrail will deliver log files from all AWS Regions to your S3 bucket if MULTI_REGION_CLOUD_TRAIL_ENABLED is enabled
rds-in-backup-plan,AWSConfig,Protect,"Para ayudar con los procesos de respaldo de datos, asegúrese de que sus instancias de Amazon Relational Database Service sean parte de un plan de respaldo de AWS. AWS Backup es un servicio de copia de seguridad completamente administrado https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html","To help with data back-up processes, ensure your Amazon Relational Database Service instances are a part of an AWS Backup plan. AWS Backup is a fully managed backup service with a policy-based backup solution https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html"
iam-user-mfa-enabled,AmazonCognito,Protect,La capacidad MFA de Amazon Cognito brinda una protección significativa contra compromisos de contraseñas,Amazon Cognito MFA capability provides significant protection against password compromises
Recon:EC2/Portscan,AWSNetworkFirewall,Protect,"Las NACL y los grupos de seguridad tienen la capacidad de filtrar, descartar o alertar sobre el tráfico en función del protocolo de red, así como realizar una inspección profunda de paquetes en la carga útil","NACLs and Security Groups have the ability to pass, drop, or alert on traffic based on the network protocol as well as perform deep packet inspection on the payload"
sns-encrypted-kms,AWSConfig,Protect,"Para ayudar a proteger los datos en reposo, asegúrese de que sus temas de Amazon Simple Notification Service (Amazon SNS) requieren cifrado mediante AWS Key Management Service (AWS KMS). Dado que los datos sensibles pueden existir en reposo en los mensajes publicados, habilite el cifrado en reposo para ayudar a proteger esos datos","To help protect data at rest, ensure that your Amazon Simple Notification Service (Amazon SNS) topics require encryption using AWS Key Management Service (AWS KMS). Because sensitive data can exist at rest in published messages, enable encryption at rest to help protect that data"
iam-user-unused-credentials-check,AWSConfig,Protect,AWS Identity and Access Management puede ayudarle con los permisos de acceso y las autorizaciones recuperando las contraseñas y claves de acceso que no se han utilizado durante un periodo de tiempo determinado. Estas credenciales se deben desactivar o eliminar. Esta regla requiere que se establezca un valor para el maxCredentialUsageAge (90),"AWS Identity and Access Management can help you with access permissions and authorizations by checking for IAM passwords and access keys that are not used for a specified time period. If these unused credentials are identified, you should disable or remove the credentials. This rule requires you to set a value to the maxCredentialUsageAge (90)"
3.1 Ensure a log metric filter and alarm exist for unauthorized API calls,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
internet-gateway-authorized-vpc-only,AWSConfig,Detect,Controle el acceso a los recursos de la nube de AWS asegurándose de que las puertas de enlace de Internet se asocien sólo a redes virtuales (Amazon VPC) autorizadas. Una mala asignación de puertas de enlace puede dar lugar a un acceso no autorizado a los recursos de la VPC de Amazon,Manage access to resources in the AWS Cloud by ensuring that internet gateways are only attached to authorized Amazon Virtual Private Cloud (Amazon VPC). Internet gateways can potentially lead to unauthorized access to Amazon VPC resources
Backdoor:EC2/DenialOfService.Dns,AWSNetworkFirewall,Protect,"Las NACL y los grupos de seguridad tienen la capacidad de filtrar, descartar o alertar sobre el tráfico en función del protocolo de red, así como realizar una inspección profunda de paquetes en la carga útil","NACLs and Security Groups have the ability to pass, drop, or alert on traffic based on the network protocol as well as perform deep packet inspection on the payload"
Discovery:IAMUser/AnomalousBehavior,AWSOrganizations,Protect,Mitigación: puede proteger contra el descubrimiento de cuentas en la nube al segmentar las cuentas en unidades organizativas separadas,Mitigation: may protect against cloud account discovery by segmenting accounts into separate organizational units
rds-storage-encrypted,AWSRDS,Protect,"AWS RDS admite el cifrado del almacenamiento subyacente para instancias de bases de datos, copias de seguridad, réplicas de lectura e instantáneas mediante el algoritmo de cifrado AES-256","AWS RDS supports the encryption of the underlying storage for database instances, backups, read replicas, and snapshots using the AES-256 encryption algorithm"
elb-logging-enabled,AWSConfig,Detect,"Asegúrese de que el registro del ELB está activado. Los datos recogidos proporcionan información detallada sobre las solicitudes enviadas al ELB. Cada registro contiene información como la hora en que se recibió la solicitud, la dirección IP del cliente, las latencias, las rutas de solicitud y las respuestas del servidor","Ensure ELB logging is enabled. The collected data provides detailed information about requests sent to the ELB. Each log contains information such as the time the request was received, the client´s IP address, latencies, request paths, and server responses"
elb-predefined-security-policy-ssl-check,AWSConfig,Detect,"Para ayudar a proteger los datos en tránsito, asegúrese de que sus escuchas SSL de Classic Elastic Load Balancing utilizan una política de seguridad predefinida. Esta regla requiere que establezca una política de seguridad predefinida para sus escuchas SSL. La política de seguridad predeterminada es ELBSecurityPolicy-TLS-1-2-2017-0","To help protect data in transit, ensure that your Classic Elastic Load Balancing SSL listeners are using a predefined security policy. This rule requires that you set a predefined security policy for your SSL listeners. The default security policy is: ELBSecurityPolicy-TLS-1-2-2017-0"
redshift-backup-enabled,AWSConfig,Protect,"Para facilitar los procesos de copia de seguridad de los datos, asegúrese de que sus clústeres de Amazon Redshift tengan instantáneas automatizadas. Cuando las instantáneas automatizadas están habilitadas, Redshift realiza periódicamente instantáneas de ese clúster. Por defecto, cada ocho horas o cada 5 GB de cambios de datos por nodo","To help with data back-up processes, ensure your Amazon Redshift clusters have automated snapshots. When automated snapshots are enabled for a cluster, Redshift periodically takes snapshots of that cluster. By default, Redshift takes a snapshot every eight hours or every 5 GB per node of data changes, or whichever comes first"
DEVICE_CERTIFICATE_EXPIRING_CHECK,AWSIOTDeviceDefender,Protect,"'"Device certificate expiring'" puede identificar y resolver problemas de configuración que deben solucionarse para garantizar que el cifrado SSL/TLS esté habilitado","'"Device certificate expiring'" can identify and resolve configuration problems that should be fixed in order to ensure SSL/TLS encryption is enabled."
DEVICE_CERTIFICATE_KEY_QUALITY_CHECK,AWSIOTDeviceDefender,Protect,"'"Device certificate key quality'" puede identificar y resolver problemas de configuración que deben solucionarse para garantizar que el cifrado SSL/TLS esté habilitado","'"Device certificate key quality'" can identify and resolve configuration problems that should be fixed in order to ensure SSL/TLS encryption is enabled."
3.2 Ensure a log metric filter and alarm exist for Management Console sign-in without MFA,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
DEVICE_CERTIFICATE_SHARED_CHECK,AWSIOTDeviceDefender,Protect,"'"Device certificate shared'" puede identificar y resolver problemas de configuración que deben solucionarse para garantizar que el cifrado SSL/TLS esté habilitado","'"Device certificate shared'" can identify and resolve configuration problems that should be fixed in order to ensure SSL/TLS encryption is enabled."
"3.3 Ensure a log metric filter and alarm exist for usage of '"root'" account ",AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
3.4 Ensure a log metric filter and alarm exist for IAM policy changes,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
3.11 Ensure a log metric filter and alarm exist for changes to Network Access Control Lists (NACL) ,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
DefenseEvasion:IAMUser/AnomalousBehavior,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#defenseevasion-iam-anomalousbehavior,Flags a session token where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#defenseevasion-iam-anomalousbehavior
root-account-mfa-enabled,AWSConfig,Protect,"Asegúrese de que la MFA de hardware esté habilitada para el usuario raíz. El usuario raíz es el usuario con más privilegios en una cuenta de AWS. La MFA añade una capa adicional de protección para el nombre de usuario y la contraseña. Al requerir MFA para el usuario raíz, puede reducir los incidentes de cuentas AWS comprometidas","Manage access to resources in the AWS Cloud by ensuring MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts"
aws:num-authorization-failures,AWSIOTDeviceDefender,Detect,"El recuento de '"Authorization failures'" por encima de un umbral típico pueden indicar que un dispositivo comprometido está intentando utilizar su conexión a AWS IoT para acceder a recursos para los que no tiene acceso y se le niega","'"Authorization failures'" counts above a typical threshold may indicate that a compromised device is attempting to use its connection to AWS IoT to access resources for which it does not have access and being denied."
aws:all-bytes-in,AWSIOTDeviceDefender,Detect,"Los valores de '"Bytes in'" fuera de las normas esperadas pueden indicar tráfico relacionado con actividades de secuestro de recursos","'"Bytes in'" values outside of expected norms may indicate traffic related to resource hijacking activities."
elb-tls-https-listeners-only,AWSRDS,Protect,AWS RDS Proxy admite conexiones TLS/SSL a instancias de bases de datos que protegen contra ataques de rastreo de red,AWS RDS Proxy support TLS/SSL connections to database instances which protects against network sniffing attacks
3.12 Ensure a log metric filter and alarm exist for changes to network gateways ,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
Recon:EC2/PortProbeUnprotectedPort,AWSWebApplicationFirewall,Protect,La aplicación de conjuntos de reglas AWSManagedRulesCommonRuleSet protege contra bots que ejecutan escaneos en aplicaciones web. https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html,Applying AWSManagedRulesCommonRuleSet rule sets protects against bots that run scans against web applications. https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html
aws:all-bytes-out,AWSIOTDeviceDefender,Detect,"Los valores de '"Bytes fuera'" fuera de las normas esperadas puede indicar que el dispositivo está enviando y/o recibiendo tráfico no estándar","'"Bytes out'" outside of expected norms may indicate that the device is sending and/or receiving non-standard traffic."
aws:destination-ip-addresses,AWSIOTDeviceDefender,Detect,"'"Destination Ips'" fuera de los rangos de direcciones IP esperados pueden sugerir que un dispositivo se está comunicando con dispositivos inesperados","'"Destination Ips'" outside of expected IP address ranges may suggest that a device is communicating with unexpected devices."
aws:num-established-tcp-connections,AWSIOTDeviceDefender,Detect,"'"Established TCP connections count'" con valores fuera de las normas esperadas puede indicar que los dispositivos se están comunicando a través de puertos/protocolos inesperados","'"Established TCP connections count'" outside of expected norms may indicate that devices are communicating via unexpected ports/protocols."
aws:num-listening-tcp-ports,AWSIOTDeviceDefender,Detect,"Los valores de '"Listening TCP port count'" fuera de las normas esperadas pueden indicar tráfico relacionado con actividades de secuestro de recursos","'"Listening TCP port count'" values outside of expected norms may indicate  traffic related to resource hijacking activities."
aws:listening-tcp-ports,AWSIOTDeviceDefender,Detect,"Los valores de '"Listening TCP ports'" fuera de las normas esperadas pueden indicar tráfico relacionado con actividades de secuestro de recursos","'"Listening TCP ports'" values outside of expected norms may indicate  traffic related to resource hijacking activities."
aws:listening-udp-ports,AWSIOTDeviceDefender,Detect,"Los valores de '"Listening UDP ports'" fuera de las normas esperadas pueden indicar tráfico relacionado con actividades de secuestro de recursos","'"Listening UDP ports'" values outside of expected norms may indicate  traffic related to resource hijacking activities."
aws:all-packets-out,AWSIOTDeviceDefender,Detect,"'"Packets out'" fuera de las normas esperadas puede indicar que el dispositivo está enviando y/o recibiendo tráfico no estándar","'"Packets out'" outside of expected norms may indicate that the device is sending and/or receiving non-standard traffic."
acm-certificate-expiration-check,AWSConfig,Protect,Asegúrese de que la integridad de la red esté protegida mediante certificados X509 emitidos por AWS ACM. Estos certificados deben ser válidos y no caducados. Esta regla requiere un valor para daysToExpiration (valor de Prácticas recomendadas de seguridad fundamental de AWS: 90),Ensure network integrity is protected by ensuring X509 certificates are issued by AWS ACM. These certificates must be valid and unexpired. This rule requires a value for daysToExpiration (AWS Foundational Security Best Practices value: 90)
Recon:EC2/PortProbeEMRUnprotectedPort,AmazonGuardDuty,Detect,There is an attempt to get a list of services running on a remote host. Remediation/recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#recon-ec2-portprobeemrunprotectedport,There is an attempt to get a list of services running on a remote host. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#recon-ec2-portprobeemrunprotectedport
IAM users with suspicious activity,AWSSecurityHub,Detect,Insights: detecta actividad sospechosa de cuentas de AWS que podría indicar que un adversario está aprovechando cuentas válidas,Insights: detects suspicious activity by AWS accounts which could indicate valid accounts being leveraged by an adversary
iam-user-mfa-enabled,AWSSSO,Protect,Mitigación: puede proteger contra técnicas de fuerza bruta al habilitar la autenticación de múltiples factores,Mitigation: may protect against brute force techniques by enabling multi-factor authentication
Trojan:EC2/DriveBySourceTraffic!DNS,AmazonInspector,Protect,Amazon Inspector puede detectar vulnerabilidades conocidas en varios puntos finales de Windows y Linux,Amazon Inspector can detect known vulnerabilities on various Windows and Linux endpoints
3.13 Ensure a log metric filter and alarm exist for route table changes,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
3.14 Ensure a log metric filter and alarm exist for VPC changes,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
3.5 Ensure a log metric filter and alarm exist for CloudTrail configuration changes,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
3.9 Ensure a log metric filter and alarm exist for AWS Config configuration changes,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
4.7 Ensure a log metric filter and alarm exist for disabling or scheduled deletion of customer created CMKs,AWSSecurityHub,Detect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
Recon:EC2/Portscan,AWSWebApplicationFirewall,Protect,La aplicación de conjuntos de reglas de AWSManagedRulesBotControlRuleSet protege contra los bots que ejecutan escaneos en aplicaciones web. https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.htmlgroups-baseline.html,Applying AWSManagedRulesBotControlRuleSet rule sets protects against bots that run scans against web applications. https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.htmlgroups-baseline.html
api-gw-cache-enabled-and-encrypted,AWSConfig,Protect,"Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté habilitado para la caché de su etapa API Gateway. Debido a que los datos confidenciales se pueden capturar para el método API, habilite el cifrado en reposo para ayudar a proteger esos datos","To help protect data at rest, ensure encryption is enabled for your API Gateway stage’s cache. Because sensitive data can be captured for the API method, enable encryption at rest to help protect that data"
Policy:S3/BucketPublicAccessGranted,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#policy-s3-bucketpublicaccessgranted,Flags a session token where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#policy-s3-bucketpublicaccessgranted
api-gw-execution-logging-enabled,AWSConfig,Detect,"El registro de API Gateway muestra vistas detalladas de los usuarios que accedieron a la API y la forma en que accedieron a la API. Esta información permite la visibilidad de las actividades de los usuarios. Si es deshabilitado, puede deberse a una táctica de Evasión de Defensa","API Gateway logging displays detailed views of users who accessed the API and the way they accessed the API. This insight enables visibility of user activities. If disabled, it may be due to a Defense Evasion tactic"
cloudtrail-enabled,AWSConfig,Protect,"El registro de eventos de CloudTrail puede ayudar a identificar los usuarios y las cuentas de AWS que llamaron a un servicio de AWS, la dirección IP de origen donde se generaron las llamadas y los tiempos de las llamadas. Si está deshabilitado, puede deberse a una táctica de evasión de defensa","CloudTrail events log can help identify the users and AWS accounts that called an AWS service, the source IP address where the calls generated, and the timings of the calls. If disabled, it may be due to a Defense Evasion tactic"
cloud-trail-encryption-enabled,AWSConfig,Protect,"Debido a que pueden existir datos confidenciales y para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté habilitado para sus registros de seguimiento de AWS CloudTrail","Because sensitive data may exist and to help protect data at rest, ensure encryption is enabled for your AWS CloudTrail trails"
cloudtrail-s3-dataevents-enabled,AWSConfig,Protect,"Habilitar la recopilación de eventos de datos de Simple Storage Service (Amazon S3) ayuda a detectar cualquier actividad anómala. Los detalles incluyen la información de la cuenta de AWS que accedió a un depósito de Amazon S3, la dirección IP y la hora del evento","Enable the collection of Simple Storage Service (Amazon S3) data events helps in detecting any anomalous activity. The details include AWS account information that accessed an Amazon S3 bucket, IP address, and time of event"
cloudwatch-log-group-encrypted,AWSConfig,Protect,"Para ayudar a proteger los datos confidenciales en reposo, asegúrese de que el cifrado esté habilitado para sus grupos de registro de Amazon CloudWatch","To help protect sensitive data at rest, ensure encryption is enabled for your Amazon CloudWatch Log Groups"
cmk-backing-key-rotation-enabled,AWSConfig,Protect,Las claves criptográficas son susceptibles de ser interceptadas y expuestas con el tiempo. Habilite la rotación de claves para asegurarse de que las claves se roten una vez que hayan llegado al final de su período criptográfico. Las claves nuevas tienen un menor tiempo de exposición,Cryptographic keys are susceptible to being intercepted and exposed over time. Enable key rotation to ensure that keys are rotated once they have reached the end of their crypto period. New keys have a shorter exposure time
IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK,AWSIOTDeviceDefender,Protect,"'"Role alias allows access to unused services'" puede identificar los alias de rol de AWS IoT que permiten que los dispositivos conectados se autentiquen usando sus certificados y obtengan credenciales de AWS de corta duración de un rol IAM asociado que otorga permisos y privilegios más allá de los necesarios para las funciones de los dispositivos","'"Role alias allows access to unused services'" can identify AWS IoT role aliases which allow connected devices to authenticate using their certificates and obtain short-lived AWS credentials from an associated IAM role which grant permissions and privileges beyond those necessary to the device´s functions"
Policy:IAMUser/S3BucketReplicatedExternally,AmazonMacie,Detect,Detecta la recopilación de datos de en bucket S3. https://docs.aws.amazon.com/macie/latest/user/findings-types.html,Detects the collection of data from S3 buckets. https://docs.aws.amazon.com/macie/latest/user/findings-types.html
Policy:IAMUser/S3BucketSharedExternally,AmazonMacie,Detect,Detecta la recopilación de datos de en bucket S3. https://docs.aws.amazon.com/macie/latest/user/findings-types.html,Detects the collection of data from S3 buckets. https://docs.aws.amazon.com/macie/latest/user/findings-types.html
beanstalk-enhanced-health-reporting-enabled,AWSConfig,Protect,"Los informes de estado mejorados de Elastic Beanstalk proporcionan un descriptor de estado para medir la gravedad de los problemas identificados e identificar posibles causas para investigar. Si es deshabilitado, puede deberse a una táctica de Evasión de Defensa","Elastic Beanstalk enhanced health reporting provides a status descriptor to gauge the severity of the identified issues and identify possible causes to investigate. If disabled, it may be due to a Defense Evasion tactic"
cloud-trail-log-file-validation-enabled,AWSConfig,Protect,"Utilice la validación de archivos de registro de AWS CloudTrail para verificar la integridad de los registros. Esto ayuda a determinar si un archivo de registro se modificó o eliminó después de que CloudTrail lo archivara. Esto hace que sea computacionalmente inviable modificar, eliminar o falsificar registro de CloudTrail sin detección","Utilize AWS CloudTrail log file validation to check the integrity of CloudTrail logs. Log file validation helps determine if a log file was modified or deleted or unchanged after CloudTrail delivered it. This makes it computationally infeasible to modify, delete or forge CloudTrail log files without detection"
db-instance-backup-enabled,AWSConfig,Protect,La función de copia de seguridad de Amazon RDS crea copias de seguridad de sus bases de datos y registros de transacciones. Amazon RDS crea automáticamente una instantánea del volumen de almacenamiento de su instancia de base de datos y realiza una copia de seguridad de toda la instancia de base de datos,"The backup feature of Amazon RDS creates backups of your databases and transaction logs. Amazon RDS automatically creates a storage volume snapshot of your DB instance, backing up the entire DB instance"
dms-replication-not-public ,AWSConfig,Protect,Administre el acceso a la nube de AWS asegurándose de que no se pueda acceder públicamente a las instancias de replicación de DMS. Las instancias de replicación de DMS pueden contener información confidencial y se requiere control de acceso para dichas cuentas,Manage access to the AWS Cloud by ensuring DMS replication instances cannot be publicly accessed. DMS replication instances can contain sensitive information and access control is required for such accounts
dynamodb-in-backup-plan,AWSConfig,Protect,"Para ayudar con los procesos de respaldo de datos, asegúrese de que sus tablas de Amazon DynamoDB sean parte de un plan de respaldo de AWS. AWS Backup es un servicio de copia de seguridad completamente administrado con una solución de copia de seguridad basada en políticas https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html","To help with data back-up processes, ensure your Amazon DynamoDB tables are a part of an AWS Backup plan. AWS Backup is a fully managed backup service with a policy-based backup solution https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html"
dynamodb-pitr-enabled,AWSConfig,Protect,Habilitar la recuperación de un momento dado (point-in-time recovery ó PITR) de Amazon DynamoDB proporciona copias de seguridad automáticas de los datos de la tabla de DynamoDB https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html,Enabling Amazon DynamoDB point-in-time recovery (PITR) provides automatic backups of your DynamoDB table data https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/PointInTimeRecovery.html
ebs-in-backup-plan,AWSConfig,Protect,"Para ayudar con los procesos de respaldo de datos, asegúrese de que sus unidades de almacenamiento en bloque (EBS) sean parte de un plan de respaldo de AWS. AWS Backup es un servicio de copia de seguridad completamente administrado https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html","To help with data back-up processes, ensure your Amazon Elastic Block Store (Amazon EBS) volumes are a part of an AWS Backup plan. AWS Backup is a fully managed backup service with a policy-based backup solution https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html"
ebs-snapshot-public-restorable-check,AWSConfig,Protect,Las instantáneas de volumen de EBS pueden contener información confidencial. Las instantáneas de EBS no deberían poder restaurarse públicamente y debería requerirse control de acceso (por IAM),EBS volume snapshots can contain sensitive information. EBS snapshots should not be publicly restorable and required access control (by IAM)
ec2-instance-no-public-ip,AWSConfig,Protect,Las instancias de Amazon EC2 pueden contener información confidencial. No deberían ser públicamente accesibles las isntancias de Amazon Elastic Compute Cloud (Amazon EC2) y se debería implantar control de acceso,Amazon EC2 instances can contain sensitive information. Amazon Elastic Compute Cloud (Amazon EC2) should not be publicly accessed and access control should be configured
ec2-instance-profile-attached,AWSConfig,Detect,Los perfiles de instancia EC2 transfieren un rol de IAM a una instancia EC2. Adjuntar un perfil de instancia a sus instancias puede ayudar con la administración de permisos y garantizar privilegios mínimos,EC2 instance profiles pass an IAM role to an EC2 instance. Attaching an instance profile to your instances can assist with least privilege and permissions management
ec2-managedinstance-patch-compliance-status-check,AWSConfig,Protect,Habilite esta regla para ayudar con la identificación y documentación de las vulnerabilidades de Amazon Elastic Compute Cloud (Amazon EC2). La regla comprueba si la instancia de Amazon EC2 cumple con los parches en AWS Systems Manager según lo exigen las políticas y los procedimientos de su organización,Enable this rule to help with identification and documentation of Amazon Elastic Compute Cloud (Amazon EC2) vulnerabilities. The rule checks if Amazon EC2 instance patch compliance in AWS Systems Manager as required by your organization’s policies and procedures
ec2-security-group-attached-to-eni,AWSConfig,Detect,"Al minimizar la cantidad de grupos de seguridad discretos, las empresas pueden reducir el riesgo de configurar incorrectamente una cuenta. Esta regla ayuda a monitorear grupos de seguridad no utilizados en el inventario","By minimizing the number of discrete security groups, enterprises can reduce the risk of misconfiguring an account. This rule helps monitoring unused security groups in the inventory"
ecs-containers-nonprivileged,AWSConfig,Protect,"Para ayudar a implementar el principio de privilegios mínimos, las tareas de Amazon Elastic Container Service (Amazon ECS) no deben tener privilegios elevados habilitados. Cuando este parámetro es verdadero, el contenedor recibe privilegios elevados en la instancia del contenedor del host (similar al usuario raíz)","To assist with implementing the principle of least privilege, Amazon Elastic Container Service (Amazon ECS) task definitions should not have elevated privilege enabled. When this parameter is true, the container is given elevated privileges on the host container instance (similar to the root user)"
ecs-containers-readonly-access,AWSConfig,Protect,Habilitar el acceso de solo lectura a los contenedores de Amazon Elastic Container Service (ECS) puede ayudar a cumplir con el principio de privilegio mínimo. Esta opción puede reducir los vectores de ataque ya que el sistema de archivos de la instancia del contenedor no se podrá modificar a menos que tenga permisos explícitos de escritura,Enabling read only access to Amazon Elastic Container Service (ECS) containers can assist in adhering to the principal of least privilege. This option can reduces attack vectors as the container instance’s filesystem cannot be modified unless it has explicit read-write permissions
efs-access-point-enforce-root-directory,AWSConfig,Protect,La aplicación de un directorio raíz para un punto de acceso de Amazon Elastic File System (Amazon EFS) ayuda a restringir el acceso a los datos al garantizar que los usuarios del punto de acceso solo puedan acceder a los archivos del subdirectorio especificado,Enforcing a root directory for an Amazon Elastic File System (Amazon EFS) access point helps restrict data access by ensuring that users of the access point can only reach files of the specified subdirectory
efs-encrypted-check,AWSConfig,Protect,"Debido a que pueden existir datos confidenciales y para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté habilitado para su Amazon Elastic File System (EFS)","Because sensitive data can exist and to help protect data at rest, ensure encryption is enabled for your Amazon Elastic File System (EFS)"
efs-access-point-enforce-user-identity,AWSConfig,Protect,"Para implementar el principio de privilegio mínimo, confirme que usuario forzado esté habilitado para su Amazon Elastic File System. Cuando está habilitado, Amazon EFS reemplaza los ID del cliente NFS por la identidad configurada en el punto de acceso para todas las operaciones del sistema de archivos, y solo otorga acceso a esta identidad","For implementing the principle of least privilege, ensure user enforcement is enabled for your Amazon Elastic File System. When enabled, Amazon EFS replaces the NFS client IDs with the identity configured on the access point for all file system operations, and only grants access to this enforced user identity"
elasticsearch-encrypted-at-rest,AWSConfig,Protect,"Debido a que pueden existir datos confidenciales y para ayudar a proteger los datos en reposo, asegúrese de que el cifrado esté habilitado para sus dominios de Amazon OpenSearch Service (OpenSearch Service)","Because sensitive data can exist and to help protect data at rest, ensure encryption is enabled for your Amazon OpenSearch Service (OpenSearch Service) domains"
elasticsearch-node-to-node-encryption-check,AWSConfig,Detect,"Asegúrese de que el cifrado de nodo a nodo para Amazon OpenSearch Service esté habilitado. El cifrado de nodo a nodo permite el cifrado TLS 1.2 para todas las comunicaciones dentro de Amazon Virtual Private Cloud (Amazon VPC). Debido a que pueden existir datos confidenciales, habilite el cifrado en tránsito para ayudar a proteger esos datos","Ensure node-to-node encryption for Amazon OpenSearch Service is enabled. Node-to-node encryption enables TLS 1.2 encryption for all communications within the Amazon Virtual Private Cloud (Amazon VPC). Because sensitive data can exist, enable encryption in transit to help protect that data"
elb-tls-https-listeners-only,AWSConfig,Detect,"Asegúrese de que sus Elastic Load Balancers (ELBs) están configurados con escuchas SSL o HTTPS. Dado que pueden existir datos sensibles, habilite el cifrado en tránsito para ayudar a proteger esos datos","Ensure that your Elastic Load Balancers (ELBs) are configured with SSL or HTTPS listeners. Because sensitive data can exist, enable encryption in transit to help protect that data"
elb-deletion-protection-enabled,AWSConfig,Protect,"Esta regla garantiza que Elastic Load Balancing tenga activada la protección contra borrado. Utilice esta función para evitar que su balanceador de carga se elimine de forma accidental o maliciosa, lo que puede provocar la pérdida de disponibilidad de sus aplicaciones","This rule ensures that Elastic Load Balancing has deletion protection enabled. Use this feature to prevent your load balancer from being accidentally or maliciously deleted, which can lead to loss of availability for your applications"
elb-acm-certificate-required,AWSConfig,Detect,"Dado que pueden existir datos sensibles y para ayudar a proteger los datos en tránsito, asegúrese de que el cifrado está habilitado para su Elastic Load Balancing. Utilice AWS Certificate Manager para administrar, aprovisionar e implementar certificados SSL/TLS públicos y privados con servicios de AWS y recursos internos.","Because sensitive data can exist and to help protect data at transit, ensure encryption is enabled for your Elastic Load Balancing. Use AWS Certificate Manager to manage, provision and deploy public and private SSL/TLS certificates with AWS services and internal resources"
elb-cross-zone-load-balancing-enabled,AWSConfig,Protect,Habilite el equilibrio de carga entre zonas para sus Elastic Load Balancers (ELBs) para ayudar a mantener una capacidad y disponibilidad adecuadas. El equilibrio de carga mejora la capacidad de su aplicación para manejar la pérdida de una o más instancias,Enable cross-zone load balancing for your Elastic Load Balancers (ELBs) to help maintain adequate capacity and availability. The cross-zone load balancing improves your application´s ability to handle the loss of one or more instances
iam-user-group-membership-check,AWSConfig,Detect,"AWS Identity and Access Management (IAM) puede ayudarle a restringir los permisos de acceso y las autorizaciones, garantizando que los usuarios de IAM sean miembros de al menos un grupo. Permitir a los usuarios más privilegios de los necesarios para completar una tarea puede violar el principio de mínimo privilegio y la separación de funciones","AWS Identity and Access Management (IAM) can help you restrict access permissions and authorizations, by ensuring IAM users are members of at least one group. Allowing users more privileges than needed to complete a task may violate the principle of least privilege and separation of duties"
iam-policy-no-statements-with-admin-access,AWSConfig,Detect,"AWS Identity and Access Management puede ayudarle a incorporar los principios de mínimo privilegio y separación de funciones con los permisos y autorizaciones de acceso, restringiendo que las políticas contengan '"Efecto'": '"Permitir'" con '"Acción'": '"*'" sobre '"Resource'": '"*'"","AWS Identity and Access Management can help you incorporate the principles of least privilege and separation of duties with access permissions and authorizations, restricting policies from containing '"Effect'": '"Allow'" with '"Action'": '"*'" over '"Resource'": '"*'""
iam-policy-no-statements-with-full-access,AWSConfig,Detect,Asegúrese de que las acciones de IAM estén restringidas sólo a las acciones necesarias. Permitir que los usuarios tengan más privilegios de los necesarios para completar una tarea puede violar el principio de mínimo privilegio y la separación de funciones,Ensure IAM Actions are restricted to only those actions that are needed. Allowing users to have more privileges than needed to complete a task may violate the principle of least privilege and separation of duties
emr-master-no-public-ip,AWSConfig,Protect,Administre el acceso a la nube de AWS garantizando que no se pueda acceder públicamente a los nodos maestros de clústeres de Amazon EMR. Los nodos maestros de clústeres de Amazon EMR pueden contener información sensible y se requiere un control de acceso para dichas cuentas,Manage access to the AWS Cloud by ensuring Amazon EMR cluster master nodes cannot be publicly accessed. Amazon EMR cluster master nodes can contain sensitive information and access control is required for such accounts
encrypted-volumes,AWSConfig,Protect,"Debido a que pueden existir datos sensibles y para ayudar a proteger los datos en reposo, asegúrese de que el cifrado está habilitado para sus volúmenes de Amazon Elastic Block Store (Amazon EBS)","Because sensitive data can exist and to help protect data at rest, ensure encryption is enabled for your Amazon Elastic Block Store (Amazon EBS) volumes"
elbv2-acm-certificate-required,AWSConfig,Protect,"Dado que pueden existir datos sensibles y para ayudar a proteger los datos en tránsito, asegúrese de que el cifrado está habilitado para su Elastic Load Balancing. Utilice AWS Certificate Manager para administrar, aprovisionar e implementar certificados SSL/TLS públicos y privados con servicios de AWS y recursos internos.","Because sensitive data can exist and to help protect data at transit, ensure encryption is enabled for your Elastic Load Balancing. Use AWS Certificate Manager to manage, provision and deploy public and private SSL/TLS certificates with AWS services and internal resources"
emr-kerberos-enabled,AWSConfig,Protect,"Los permisos y autorizaciones de acceso se pueden administrar e incorporar con los principios de mínimo privilegio y separación de funciones, habilitando Kerberos para los clústeres de Amazon EMR","The access permissions and authorizations can be managed and incorporated with the principles of least privilege and separation of duties, by enabling Kerberos for Amazon EMR clusters"
iam-password-policy,AWSConfig,Protect,"Una política de contraseñas estricta fortalece contra intentos de acceso no autorizado. Esta regla le permite establecer requireUppercaseCharacters, RequireLowercaseCharacters, RequireSymbols, RequireNumbers, MinimumPasswordLength (14), PasswordReusePrevention (24) y MaxPasswordAge (90) para su política de contraseñas de IAM","A strict password policy strengthens against unauthorized access attempts. This rule allows you to set RequireUppercaseCharacters, RequireLowercaseCharacters, RequireSymbols, RequireNumbers, MinimumPasswordLength (14), PasswordReusePrevention (24), and MaxPasswordAge (90) for your IAM Password Policy"
lambda-concurrency-check,AWSConfig,Protect,"Para evitar tácticas de Impacto o Ejecución, puede basar la cantidad de solicitudes que su función puede atender en un momento dado al establecer los límites alto y bajo de simultaneidad de la función Lambda","To prevent Impact or Execution tactics, you can baselining the number of requests that your function can serving at any given time by establishing Lambda function´s concurrency high and low limits"
rds-snapshots-public-prohibited,AWSConfig,Protect,Administre el acceso a los recursos en la nube de AWS garantizando que las instancias de Amazon Relational Database Service (Amazon RDS) no sean públicas. Las instancias de bases de datos de Amazon RDS pueden contener información y principios sensibles y se requiere un control de acceso para dichas cuentas,Manage access to resources in the AWS Cloud by ensuring that Amazon Relational Database Service (Amazon RDS) instances are not public. Amazon RDS database instances can contain sensitive information and principles and access control is required for such accounts
rds-storage-encrypted,AWSConfig,Protect,"Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado está habilitado para sus instancias de Amazon Relational Database Service (Amazon RDS). Dado que los datos sensibles pueden existir en reposo en las instancias de Amazon RDS, habilite el cifrado en reposo para ayudar a proteger esos datos","To help protect data at rest, ensure that encryption is enabled for your Amazon Relational Database Service (Amazon RDS) instances. Because sensitive data can exist at rest in Amazon RDS instances, enable encryption at rest to help protect that data"
rds-instance-deletion-protection-enabled,AWSConfig,Protect,"Asegúrese de que las instancias de Amazon Relational Database Service (Amazon RDS) tengan habilitada la protección contra el borrado. Utilice la protección contra la eliminación para evitar que sus instancias de Amazon RDS se eliminen de forma accidental o maliciosa, lo que puede provocar la pérdida de disponibilidad de sus aplicaciones","Ensure Amazon Relational Database Service (Amazon RDS) instances have deletion protection enabled. Use deletion protection to prevent your Amazon RDS instances from being accidentally or maliciously deleted, which can lead to loss of availability for your applications"
rds-automatic-minor-version-upgrade-enabled,AWSConfig,Protect,"La activación de las actualizaciones automáticas de versiones menores para Amazon Relational Database Service (RDS) garantiza la instalación de las últimas actualizaciones de versiones menores del sistema de administración de bases de datos relacionales (RDBMS), que pueden incluir parches de seguridad y correcciones de errores","Enabling automatic minor version upgrades for Amazon Relational Database Service (RDS) ensures the latest minor version updates to the Relational Database Management System (RDBMS) are installed, which may include security patches and bug fixes"
rds-enhanced-monitoring-enabled,AWSConfig,Detect,Habilite Amazon Relational Database Service (Amazon RDS) para ayudar a monitorizar la disponibilidad de Amazon RDS. Esto proporciona una visibilidad detallada de la salud de sus instancias de base de datos de Amazon RDS,Enable Amazon Relational Database Service (Amazon RDS) to help monitor Amazon RDS availability. This provides detailed visibility into the health of your Amazon RDS database instances
lambda-function-public-access-prohibited,AWSConfig,Protect,Gestione el acceso a los recursos en la nube de AWS garantizando que no se pueda acceder públicamente a las funciones de AWS Lambda. El acceso público puede conducir potencialmente a la degradación de la disponibilidad de los recursos,Manage access to resources in the AWS Cloud by ensuring AWS Lambda functions cannot be publicly accessed. Public access can potentially lead to degradation of availability of resources
rds-multi-az-support,AWSConfig,Protect,"La compatibilidad con Multi-AZ en Amazon Relational Database Service (Amazon RDS) proporciona disponibilidad y durabilidad mejoradas para las instancias de bases de datos. En caso de falla de la infraestructura, Amazon RDS realiza una conmutación por error automática para que pueda reanudar las operaciones de la base de datos","Multi-AZ support in Amazon Relational Database Service (Amazon RDS) provides enhanced availability and durability for database instances. In case of an infrastructure failure, Amazon RDS performs an automatic failover to the standby so that you can resume database operations as soon as the failover is complete"
s3-bucket-default-lock-enabled,AWSConfig,Protect,"Asegúrese de que su cubo de Amazon Simple Storage Service (Amazon S3) tiene activado el bloqueo, por defecto. Dado que los datos sensibles pueden existir en reposo en los buckets de S3, aplique bloqueos de objetos en reposo para ayudar a proteger esos datos","Ensure that your Amazon Simple Storage Service (Amazon S3) bucket has lock enabled, by default. Because sensitive data can exist at rest in S3 buckets, enforce object locks at rest to help protect that data"
root-account-hardware-mfa-enabled,AWSConfig,Protect,"Asegúrese de que la MFA de hardware esté habilitada para el usuario raíz. El usuario raíz es el usuario con más privilegios en una cuenta de AWS. La MFA añade una capa adicional de protección para el nombre de usuario y la contraseña. Al requerir MFA para el usuario raíz, puede reducir los incidentes de cuentas AWS comprometidas","Manage access to resources in the AWS Cloud by ensuring hardware MFA is enabled for the root user. The root user is the most privileged user in an AWS account. The MFA adds an extra layer of protection for a user name and password. By requiring MFA for the root user, you can reduce the incidents of compromised AWS accounts"
redshift-require-tls-ssl,AWSConfig,Protect,"Asegúrese de que sus clústeres de Amazon Redshift requieren el cifrado TLS/SSL para conectarse a los clientes de SQL. Dado que pueden existir datos sensibles, habilite el cifrado en tránsito para ayudar a proteger esos datos","Ensure that your Amazon Redshift clusters require TLS/SSL encryption to connect to SQL clients. Because sensitive data can exist, enable encryption in transit to help protect that data"
redshift-enhanced-vpc-routing-enabled,AWSConfig,Detect,"El enrutamiento mejorado por VPC obliga a que todo el tráfico de COPY y UNLOAD entre el clúster y los repositorios de datos pase por su VPC de Amazon. Podrá utilizar las características de la VPC, como los grupos de seguridad y las listas de control de acceso a la red, para proteger el tráfico",Enhanced VPC routing forces all COPY and UNLOAD traffic between the cluster and data repositories to go through your Amazon VPC. You can then use VPC features such as security groups and network access control lists to secure network traffic. You can also use VPC flow logs to monitor network traffic
opensearch-access-control-enabled,AWSConfig,Protect,Asegúrese de que el control de acceso de grano-fino está habilitado en sus dominios de Amazon OpenSearch Service. El control de acceso de grano-fino proporciona mecanismos de autorización mejorados para lograr el acceso con menos privilegios a los dominios de Amazon OpenSearch Service,Ensure fine-grained access control is enabled on your Amazon OpenSearch Service domains. Fine-grained access control provides enhanced authorization mechanisms to achieve least-privileged access to Amazon OpenSearch Service domains
redshift-cluster-configuration-check,AWSConfig,Protect,"Para proteger los datos en reposo, el cifrado debe estar habilitado para sus clústeres de Amazon Redshift. El registro de auditoría debe estar habilitado para proporcionar información sobre las conexiones y actividades de usuarios en la base de datos. Esta regla requiere que se establezca valores para clusterDbEncrypted:TRUE y loggingEnabled:TRUE","To protect data at rest, ensure that encryption is enabled for your Amazon Redshift clusters. The audit logging should be enabled to provide information about connections and user activities in the database. This rule requires that a value is set for clusterDbEncrypted (Config Default : TRUE), and loggingEnabled (Config Default: TRUE)"
mfa-enabled-for-iam-console-access,AWSConfig,Protect,"Gestione el acceso a los recursos en la nube de AWS asegurándose de que MFA esté habilitado para todos los usuarios de AWS IAM que tengan una contraseña de consola. Al exigir MFA a los usuarios de IAM, puede reducir los incidentes de cuentas comprometidas y evitar que usuarios no autorizados accedan a datos confidenciales","Manage access to resources in the AWS Cloud by ensuring that MFA is enabled for all AWS Identity and Access Management users that have a console password. By requiring MFA for IAM users, you can reduce incidents of compromised accounts and keep sensitive data from being accessed by unauthorized users"
sagemaker-notebook-no-direct-internet-access,AWSConfig,Protect,"Administre el acceso a los recursos en la nube de AWS asegurándose de que los portátiles de Amazon SageMaker no permitan el acceso directo a Internet. Al impedir el acceso directo a Internet, puede evitar que usuarios no autorizados accedan a los datos confidenciales","Manage access to resources in the AWS Cloud by ensuring that Amazon SageMaker notebooks do not allow direct internet access. By preventing direct internet access, you can keep sensitive data from being accessed by unauthorized users"
s3-bucket-ssl-requests-only,AWSConfig,Detect,"Para ayudar a proteger los datos en tránsito, asegúrese de que sus buckets de Amazon Simple Storage Service (Amazon S3) requieren que las solicitudes utilicen Secure Socket Layer (SSL). Dado que pueden existir datos sensibles, habilite el cifrado en tránsito para ayudar a proteger esos datos","To help protect data in transit, ensure that your Amazon Simple Storage Service (Amazon S3) buckets require requests to use Secure Socket Layer (SSL). Because sensitive data can exist, enable encryption in transit to help protect that data"
s3-bucket-replication-enabled,AWSConfig,Protect,Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) permite mantener una capacidad y disponibilidad adecuadas. CRR permite la copia automática y asíncrona de objetos entre los buckets de Amazon S3 para ayudar a garantizar que se mantenga la disponibilidad de los datos,"Amazon Simple Storage Service (Amazon S3) Cross-Region Replication (CRR) supports maintaining adequate capacity and availability. CRR enables automatic, asynchronous copying of objects across Amazon S3 buckets to help ensure that data availability is maintained"
s3-bucket-server-side-encryption-enabled,AWSConfig,Protect,"Para ayudar a proteger los datos en reposo, asegúrese de que el cifrado está habilitado para sus buckets de Amazon Simple Storage Service (Amazon S3). Dado que los datos sensibles pueden existir en reposo en los buckets de Amazon S3, habilite el cifrado para ayudar a proteger esos datos","To help protect data at rest, ensure encryption is enabled for your Amazon Simple Storage Service (Amazon S3) buckets. Because sensitive data can exist at rest in Amazon S3 buckets, enable encryption to help protect that data"
s3-account-level-public-access-blocks-periodic,AWSConfig,Protect,"Gestione el acceso a los recursos en la nube de AWS garantizando que no se pueda acceder públicamente a los buckets de Amazon S3. Esta regla ayuda a mantener los datos sensibles a salvo de usuarios remotos no autorizados, comprobando que se han establecido los parámetros ignorePublicAcls, blockPublicPolicy, blockPublicAcls y restrictPublicBuckets","Manage access to resources in the AWS Cloud by ensuring that Amazon Simple Storage Service buckets cannot be publicly accessed. This rule helps keeping sensitive data safe from unauthorized remote users. This rule allows you to optionally set the ignorePublicAcls, blockPublicPolicy, blockPublicAcls, and restrictPublicBuckets parameters"
subnet-auto-assign-public-ip-disabled,AWSConfig,Detect,"Las instancias de Amazon Elastic Compute Cloud (EC2) no deberían ser accesibles públicamente. Deshabilite el atributo '"asignar automáticamente una dirección IP pública'" en la creación de subredes para evitar que a las instancias que se desplieguen en dichas subredes se les asigne una dirección IP pública a su interfaz de red","Amazon Elastic Compute Cloud (EC2) instances should not be publicly accessible. Disable the '"automatically assign a public IP address'" attribute on subnet creation to prevent instances that are deployed in those subnets from being assigned a public IP address to their network interface"
s3-bucket-logging-enabled ,AWSConfig,Detect,"Los registros de acceso Amazon S3 proporcionan un método para monitorizar la red en busca de posibles eventos de ciberseguridad. Los detalles de los registros incluyen el solicitante, el nombre del bucket, la hora, la acción de la solicitud, el estado de la respuesta y un código de error, si es relevante","Amazon Simple Storage Service server access logging provides a method to monitor the network for potential cybersecurity events. Each access log record provides details about a single access request. The details include the requester, bucket name, request time, request action, response status, and an error code, if relevant"
elb-tls-https-listeners-only,AWSCloudWatch,Protect,AWS CloudWatch utiliza conexiones TLS/SSL para comunicarse con otros recursos de AWS,AWS CloudWatch uses TLS/SSL connections to communicate with other AWS resources
iam-root-access-key-check,AWSConfig,Protect,"El usuario raíz no debe tener claves de acceso adjuntas a su rol de AWS Identity and Access Management (IAM). Asegúrese de que se eliminen las claves de acceso raíz. En su lugar, cree y utilice cuentas de AWS basadas en roles para ayudar a incorporar el principio de funcionalidad mínima","The root user should not have access keys attached to their AWS Identity and Access Management (IAM) role. Ensure that the root access keys are deleted. Instead, create and use role-based AWS accounts to help to incorporate the principle of least functionality"
alb-http-drop-invalid-header-enabled,AWSConfig,Protect,"Asegúrese de que sus Balanceadores (ELB) estén configurados para descartar encabezados http. Debido a que pueden existir datos confidenciales, habilite el cifrado en tránsito para ayudar a proteger esos datos","Ensure that your Elastic Load Balancers (ELB) are configured to drop http headers. Because sensitive data can exist, enable encryption in transit to help protect that data"
alb-waf-enabled,AWSConfig,Protect,"Asegúrese de que AWS WAF esté habilitado en sus Balanceadores (ELB) para ayudar a proteger las aplicaciones web. Un WAF ayuda a proteger sus aplicaciones web o API contra vulnerabilidades web comunes. Estos exploits web pueden afectar la disponibilidad, comprometer la seguridad o consumir recursos excesivos dentro de su entorno","Ensure AWS WAF is enabled on Elastic Load Balancers (ELB) to help protect web applications. A WAF helps to protect your web applications or APIs against common web exploits. These web exploits may affect availability, compromise security, or consume excessive resources within your environment"
wafv2-logging-enabled,AWSConfig,Protect,"Para ayudar con el registro y la monitorización dentro de su entorno, habilite el registro de AWS WAF en las ACL web regionales y globales. Los registros registran la hora a la que AWS WAF recibió la solicitud de su recurso de AWS, la información sobre la solicitud y una acción para la regla con la que coincidió cada solicitud","To help with logging and monitoring within your environment, enable AWS WAF logging on regional and global web ACLs. The logs record the time that AWS WAF received the request from your AWS resource, information about the request, and an action for the rule that each request matched"
elasticsearch-in-vpc-only,AWSConfig,Detect,"Un dominio de OpenSearch Service dentro de una VPC de Amazon permite la comunicación segura entre OpenSearch Service y otros servicios dentro de la VPC de Amazon sin necesidad de una puerta de enlace a Internet, un dispositivo NAT o una conexión VPN","An OpenSearch Service domain within an Amazon VPC enables secure communication between OpenSearch Service and other services within the Amazon VPC without the need for an internet gateway, NAT device, or VPN connection"
vpc-flow-logs-enabled,AWSConfig,Protect,"Habilite los registros de flujo de VPC para proporcionar registros detallados de información sobre el tráfico de IP (incluido el origen, el destino y el protocolo) que va y viene de las interfaces de red en su Amazon Virtual Private Cloud (Amazon VPC)","Enable the VPC flow logs to provide detailed records for information about the IP traffic (including the source, destination, and protocol) going to and from network interfaces in your Amazon Virtual Private Cloud (Amazon VPC)"
s3-bucket-acl-prohibited,AWSConfig,Protect,"Esta regla comprueba si se utilizan listas de control de acceso para controlar el acceso a los buckets de Amazon S3. En lugar de las ACL, es una práctica recomendada utilizar las políticas de IAM o las políticas de los buckets de S3 para administrar más fácilmente el acceso a sus buckets de S3","This rule checks to see if Access Control Lists are used to for access control on Amazon S3 Buckets. Instead of ACLs, it is a best practice to use IAM policies or S3 bucket policies to more easily manage access to your S3 buckets"
s3-bucket-versioning-enabled,AWSConfig,Protect,"El versionado en buckets Amazon S3 ayuda a mantener múltiples variantes de un objeto en el mismo cubo de Amazon S3. Utilice el versionado para conservar, recuperar y restaurar cada versión de cada objeto almacenado en su bucket. El control de versiones le ayuda a recuperarse fácilmente de acciones involuntarias y fallos de aplicaciones","Amazon Simple Storage Service (Amazon S3) bucket versioning helps keep multiple variants of an object in the same Amazon S3 bucket. Use versioning to preserve, retrieve, and restore every version of every object stored in your Amazon S3 bucket. Versioning helps you to easily recover from unintended user actions and application failures"
PenTest:IAMUser/PentooLinux,AmazonGuardDuty,Detect,Marca una instancia en la que hay indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#pentest-iam-pentoolinux,Flags an instance where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#pentest-iam-pentoolinux
Exfiltration:IAMUser/AnomalousBehavior,AWSOrganizations,Protect,Mitigación: mediante implementación de políticas de control de servicios,Mitigation: implementing service control policies
iam-password-policy,AmazonCognito,Protect,La capacidad MFA de Amazon Cognito brinda una protección significativa contra compromisos de contraseñas,Amazon Cognito MFA capability provides significant protection against password compromises
3.6 Ensure a log metric filter and alarm exist for AWS Management Console authentication failures,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
AWS principals with suspicious access key activity,AWSSecurityHub,Detect,Insights: detecta actividad sospechosa de cuentas de AWS que podría indicar que un adversario está aprovechando cuentas válidas,Insights: detects suspicious activity by AWS accounts which could indicate valid accounts being leveraged by an adversary
AWS resources with unauthorized access attempts,AWSSecurityHub,Detect,Insights: detecta actividad sospechosa de cuentas de AWS que podría indicar que un adversario está aprovechando cuentas válidas,Insights: detects suspicious activity by AWS accounts which could indicate valid accounts being leveraged by an adversary
Credentials that may have leaked,AWSSecurityHub,Detect,Insights: detecta actividad sospechosa de cuentas de AWS que podría indicar que un adversario está aprovechando cuentas válidas,Insights: detects suspicious activity by AWS accounts which could indicate valid accounts being leveraged by an adversary
iam-user-mfa-enabled,AWSIAM,Protect,"El uso de autenticación multi-factor, políticas de contraseñas seguras y credenciales rotativas puede mitigar los ataques de fuerza bruta","Enforcing multi-factor authentication, strong password policies, and rotating credentials may mitigate brute force attacks"
encrypted-volumes,AWSCloudHSM,Protect,Este servicio proporciona una alternativa más segura al almacenamiento de claves de cifrado en el sistema de archivos,This service provides a more secure alternative to storing encryption keys in the file system
s3-bucket-versioning-enabled,AWSS3,Protect,"Puede proteger contra la destrucción de datos mediante la aplicación de varias mejores prácticas. Autenticación multifactor habilitada para operaciones de eliminación, control de versiones, bloqueo de objetos de S3, replicación entre regiones de S3","May protect against data destruction through application of several best practices. Multi-factor authentication enabled for delete operations, Versioning, S3 Object Lock, S3 Cross Region Replication"
SensitiveData:S3Object/Multiple,AmazonMacie,Protect,Detecta la recopilación de datos confidenciales en bucket S3. https://docs.aws.amazon.com/macie/latest/user/findings-types.html,Detects the collection of sensitive data from S3 buckets. https://docs.aws.amazon.com/macie/latest/user/findings-types.html
UnauthorizedAccess:EC2/MetadataDNSRebind,AmazonInspector,Protect,Amazon Inspector puede detectar vulnerabilidades conocidas en varios puntos finales de Windows y Linux,Amazon Inspector can detect known vulnerabilities on various Windows and Linux endpoints
rds-automatic-minor-version-upgrade-enabled,AWSRDS,Protect,Verifique que la aplicación automática de parches esté habilitada: rds-automatic-minor-version-upgrade-enabled,Verify that automatic patching is enabled: rds-automatic-minor-version-upgrade-enabled
Trojan:EC2/DriveBySourceTraffic!DNS,AWSWebApplicationFirewall,Protect,La aplicación de conjuntos de reglas AWSManagedRulesCommonRuleSet protege contra bots que ejecutan escaneos en aplicaciones web. https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html,Applying AWSManagedRulesCommonRuleSet rule sets protects against bots that run scans against web applications. https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html
EC2 instances that have missing security patches for important vulnerabilities,AWSSecurityHub,Protect,Insights: AWS Security Hub informa sobre instancias EC2 a las que les faltan parches de seguridad para vulnerabilidades que podrían permitir que un adversario aproveche las vulnerabilidades,Insights: AWS Security Hub reports on EC2 instances that are missing security patches for vulnerabilities which could enable an adversary to exploit vulnerabilities
UnauthorizedAccess:EC2/MetadataDNSRebind,AWSWebApplicationFirewall,Protect,La aplicación de conjuntos de reglas AWSManagedRulesCommonRuleSet protege contra bots que ejecutan escaneos en aplicaciones web. https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html,Applying AWSManagedRulesCommonRuleSet rule sets protects against bots that run scans against web applications. https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html
AUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK,AWSIOTDeviceDefender,Protect,"La verificación '"Authenticated Cognito role overly permissive'" puede identificar políticas que otorgan privilegios excesivos","'"Authenticated Cognito role overly permissive'" audit check can identify policies which grant excessive privileges."
CredentialAccess:IAMUser/AnomalousBehavior,AmazonCognito,Protect,Amazon Cognito tiene la capacidad de alertar y bloquear cuentas en las que se descubrió que las credenciales estaban comprometidas en otro lugar (protección de credenciales comprometidas),Amazon Cognito has the ability to alert and block accounts where credentials were found to be compromised elsewhere (compromised credential protection)
Discovery:IAMUser/AnomalousBehavior,AWSIAM,Protect,La herramienta Access Analyzer puede detectar cuándo se le ha otorgado acceso a una entidad externa a los recursos de la nube mediante el uso de políticas de acceso,The Access Analyzer tool may detect when an external entity has been granted access to cloud resources through use of access policies
Recon:EC2/PortProbeUnprotectedPort,AmazonGuardDuty,Detect,There is an attempt to get a list of services running on a remote host. Remediation/recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#recon-ec2-portprobeunprotectedport,There is an attempt to get a list of services running on a remote host. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#recon-ec2-portprobeunprotectedport
UnauthorizedAccess:IAMUser/MaliciousIPCaller,AmazonGuardDuty,Detect,Marca una instancia en la que hay indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-maliciousipcaller,Flags an instance where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-maliciousipcaller
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom,AmazonGuardDuty,Detect,Marca una instancia en la que hay indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-maliciousipcaller,Flags an instance where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-maliciousipcaller
UnauthorizedAccess:IAMUser/TorIPCaller,AmazonGuardDuty,Detect,Marca una instancia en la que hay indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-toripcaller,Flags an instance where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-toripcaller
IOT_POLICY_OVERLY_PERMISSIVE_CHECK,AWSIOTDeviceDefender,Protect,"La verificación '"AWS IoT policies overly permissive'" puede identificar las políticas de AWS IoT que otorgan privilegios excesivos","'"AWS IoT policies overly permissive'" audit check can identify AWS IoT policies which grant excessive privileges."
CONFLICTING_CLIENT_IDS_CHECK,AWSIOTDeviceDefender,Detect,"'"Conflicting MQTT client IDs'" sugiere que un adversario puede estar usando clones de dispositivos comprometidos para aprovechar su acceso","'"Conflicting MQTT client IDs'" suggest that an adversary may be using clones of compromised devices to leverage their access."
aws:num-connection-attempts,AWSIOTDeviceDefender,Detect,"Recuentos altos de '"Connection attempts'" pueden indicar que un dispositivo comprometido se está conectando y desconectando de AWS IoT mediante el acceso asociado del dispositivo","'"Connection attempts'" High counts, may indicate that a compromised device is connecting and disconnecting from AWS IoT using the device''s associated access."
aws:num-disconnects,AWSIOTDeviceDefender,Detect,"Recuentos altos de '"Disconnects'" pueden indicar que un dispositivo comprometido se está conectando y desconectando de AWS IoT mediante el acceso asociado del dispositivo","'"Disconnects'" High counts, may indicate that a compromised device is connecting and disconnecting from AWS IoT using the device''s associated access."
IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK,AWSIOTDeviceDefender,Protect,"'"Role alias overly permissive'" puede identificar los alias de rol de AWS IoT que permiten que los dispositivos conectados se autentiquen usando sus certificados y obtengan credenciales de AWS de corta duración de un rol de IAM asociado que otorga permisos y privilegios más allá de los necesarios para las funciones de los dispositivos","'"Role alias overly permissive'" can identify AWS IoT role aliases which allow connected devices to authenticate using their certificates and obtain short-lived AWS credentials from an associated IAM role which grant permissions and privileges beyond those necessary to the devices'' functions."
Impact:IAMUser/AnomalousBehavior,AWSSecretsManager,Protect,Mitigación: reemplazar tokens de llamada API autenticados y cifrados a AWS Secrets Manager,Mitigation: replacing those tokens with authenticated and encrypted API calls to AWS Secrets Manager
"[PCI.CW.1] A log metric filter and alarm should exist for usage of the '"root'" user",AWSSecurityHub,Protect,AWS PCI-DSS security standard: esta herramienta ayudaría a detectar el mal uso de cuentas válidas,AWS PCI-DSS security standard: this tool would help towards detecting the misuse of valid accounts
aws:source-ip-address,AWSIOTDeviceDefender,Detect,"Los valores de '"Source IP'" fuera de los rangos de direcciones IP esperados pueden sugerir que se ha robado un dispositivo","'"Source IP'" values outside of expected IP address ranges may suggest that a device has been stolen."
UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK,AWSIOTDeviceDefender,Protect,"La verificación de '"Unauthenticated Cognito role verly permissive'" puede identificar políticas que otorgan privilegios excesivos","'"Unauthenticated Cognito role verly permissive'" audit check can identify policies which grant excessive privileges."
UnauthorizedAccess:S3/MaliciousIPCaller.Custom,AmazonGuardDuty,Detect,"Los adversarios podrían cifrar o destruir datos y archivos en sistemas específicos para interrumpir la disponibilidad de sistemas, servicios y recursos de red. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#unauthorizedaccess-s3-maliciousipcallercustom","Adversaries may encrypt or destroy data and files on specific systems to interrupt availability to systems, services, and network resources. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#unauthorizedaccess-s3-maliciousipcallercustom"
Stealth:IAMUser/PasswordPolicyChange,AmazonGuardDuty,Detect,Una instancia EC2 puede verse involucrada en un ataque de fuerza bruta destinado a obtener contraseñas. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#stealth-iam-passwordpolicychange,An EC2 instance may be involved in a brute force attack aimed at obtaining passwords. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#stealth-iam-passwordpolicychange
aws:message-byte-size,AWSIOTDeviceDefender,Detect,"Los valores de '"Message size'" fuera de las normas esperadas pueden indicar que los dispositivos están enviando y/o recibiendo tráfico no estándar","'"Message size'" values outside of expected norms may indicate that devices are sending and/or receiving non-standard traffic."
CryptoCurrency:EC2/BitcoinTool.B,AmazonGuardDuty,Detect,Los adversarios pueden aprovechar los recursos de los sistemas cooptados para resolver problemas intensivos en recursos que pueden afectar la disponibilidad del sistema y/o del servicio alojado. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#cryptocurrency-ec2-bitcointoolb,Adversaries may leverage the resources of co-opted systems in order to solve resource intensive problems which may impact system and/or hosted service availability. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#cryptocurrency-ec2-bitcointoolb
rds-instance-deletion-protection-enabled,AWSRDS,Protect,AWS RDS proporciona protección contra eliminación que evita que cualquier usuario elimine una instancia de base de datos,AWS RDS provides deletion protection which prevents any user from deleting a database instance
Policy:IAMUser/S3BlockPublicAccessDisabled,AmazonMacie,Detect,Detecta la recopilación de datos de en bucket S3. https://docs.aws.amazon.com/macie/latest/user/findings-types.html,Detects the collection of data from S3 buckets. https://docs.aws.amazon.com/macie/latest/user/findings-types.html
Policy:IAMUser/S3BucketEncryptionDisabled,AmazonMacie,Detect,Detecta la recopilación de datos de en bucket S3. https://docs.aws.amazon.com/macie/latest/user/findings-types.html,Detects the collection of data from S3 buckets. https://docs.aws.amazon.com/macie/latest/user/findings-types.html
Policy:IAMUser/S3BucketPublic,AmazonMacie,Detect,Detecta la recopilación de datos de en bucket S3. https://docs.aws.amazon.com/macie/latest/user/findings-types.html,Detects the collection of data from S3 buckets. https://docs.aws.amazon.com/macie/latest/user/findings-types.html
SensitiveData:S3Object/Credentials,AmazonMacie,Protect,Detecta la recopilación de datos confidenciales en bucket S3. https://docs.aws.amazon.com/macie/latest/user/findings-types.html,Detects the collection of sensitive data from S3 buckets. https://docs.aws.amazon.com/macie/latest/user/findings-types.html
SensitiveData:S3Object/CustomIdentifier,AmazonMacie,Protect,Detecta la recopilación de datos confidenciales en bucket S3. https://docs.aws.amazon.com/macie/latest/user/findings-types.html,Detects the collection of sensitive data from S3 buckets. https://docs.aws.amazon.com/macie/latest/user/findings-types.html
SensitiveData:S3Object/Financial,AmazonMacie,Protect,Detecta la recopilación de datos confidenciales en bucket S3. https://docs.aws.amazon.com/macie/latest/user/findings-types.html,Detects the collection of sensitive data from S3 buckets. https://docs.aws.amazon.com/macie/latest/user/findings-types.html
SensitiveData:S3Object/Personal,AmazonMacie,Protect,Detecta la recopilación de datos confidenciales en bucket S3. https://docs.aws.amazon.com/macie/latest/user/findings-types.html,Detects the collection of sensitive data from S3 buckets. https://docs.aws.amazon.com/macie/latest/user/findings-types.html
Exfiltration:S3/MaliciousIPCaller,AmazonGuardDuty,Detect,Detectadas interacciones potencialmente maliciosas con S3 que pueden comprometer cualquier archivo de credenciales almacenado en S3. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-maliciousipcaller,Potentially malicious interactions with S3 which may lead to the compromise of any credential files stored in S3. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-maliciousipcaller
Recon:IAMUser/TorIPCaller,AmazonGuardDuty,Detect,Detectado intento de descubrir información sobre recursos en la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#recon-iam-toripcaller,Attempt to discover information about resources on the account. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#recon-iam-toripcaller
LOGGING_DISABLED_CHECK,AWSIOTDeviceDefender,Detect,"'"Logging disabled'" puede identificar cambios potencialmente maliciosos en los registros de AWS IoT","'"Logging disabled'" can identify potentially malicious changes to AWS IoT logs."
vpc-sg-open-only-to-authorized-ports,AWSConfig,Detect,"No restringir el acceso a los puertos a las fuentes de confianza puede dar lugar a ataques contra la disponibilidad, integridad y confidencialidad de los sistemas. Al restringir el acceso a los recursos de un grupo de seguridad desde Internet (0.0.0.0/0) se puede controlar el acceso remoto a los sistemas internos","Not restricting access on ports to trusted sources can lead to attacks against the availability, integrity and confidentiality of systems. By restricting access to resources within a security group from the internet (0.0.0.0/0) remote access can be controlled to internal systems"
efs-in-backup-plan,AWSConfig,Protect,"Para ayudar con los procesos de respaldo de datos, asegúrese de que sus sistemas de fichero de Amazon Elastic File System sean parte de un plan de respaldo de AWS. AWS Backup es un servicio de copia de seguridad completamente administrado https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html","To help with data back-up processes, ensure your Amazon Elastic File System file systems are a part of an AWS Backup plan. AWS Backup is a fully managed backup service with a policy-based backup solution https://docs.aws.amazon.com/aws-backup/latest/devguide/whatisbackup.html"
mfa-enabled-for-iam-console-access,AWSOrganizations,Protect,Mitigación: puede proteger contra el descubrimiento de cuentas en la nube al segmentar las cuentas en unidades organizativas separadas,Mitigation: may protect against cloud account discovery by segmenting accounts into separate organizational units
3.8 Ensure a log metric filter and alarm exist for S3 bucket policy changes ,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
3.10 Ensure a log metric filter and alarm exist for security group changes,AWSSecurityHub,Protect,AWS Foundations CIS Benchmark: esta herramienta ayudaría a detectar cambios en los servicios clave de AWS,AWS Foundations CIS Benchmark: this tool wwould help towards detecting changes to key AWS services
S3 buckets with public write or read permissions,AWSSecurityHub,Detect,Insights: detecta datos protegidos incorrectamente S3 buckets,Insights: detects improperly secured data from S3 buckets
EC2 instances that are open to the Internet,AWSSecurityHub,Detect,Insights: detecta datos protegidos incorrectamente S3 buckets,Insights: detects improperly secured data from S3 buckets
EC2 instances that have ports accessible from the Internet,AWSSecurityHub,Detect,Insights: detecta datos protegidos incorrectamente S3 buckets,Insights: detects improperly secured data from S3 buckets
Backdoor:EC2/DenialOfService.Dns,AmazonGuardDuty,Detect,Los adversarios pueden realizar ataques de denegación de servicio (DoS) de red para degradar o bloquear la disponibilidad de recursos específicos para los usuarios. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-denialofservicedns,Adversaries may perform Network Denial of Service (DoS) attacks to degrade or block the availability of targeted resources to users. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-denialofservicedns
Backdoor:EC2/DenialOfService.Tcp,AmazonGuardDuty,Detect,Los adversarios pueden realizar ataques de denegación de servicio (DoS) de red para degradar o bloquear la disponibilidad de recursos específicos para los usuarios. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-denialofservicetcp,Adversaries may perform Network Denial of Service (DoS) attacks to degrade or block the availability of targeted resources to users. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-denialofservicetcp
Backdoor:EC2/DenialOfService.Udp,AmazonGuardDuty,Detect,Los adversarios pueden realizar ataques de denegación de servicio (DoS) de red para degradar o bloquear la disponibilidad de los recursos específicos para los usuarios. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-denialofserviceudp,Adversaries may perform Network Denial of Service (DoS) attacks to degrade or block the availability of targeted resources to users. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-denialofserviceudp
Backdoor:EC2/DenialOfService.UdpOnTcpPorts,AmazonGuardDuty,Detect,Los adversarios pueden realizar ataques de denegación de servicio (DoS) de red para degradar o bloquear la disponibilidad de los recursos específicos para los usuarios. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-denialofserviceudpontcpports,Adversaries may perform Network Denial of Service (DoS) attacks to degrade or block the availability of targeted resources to users. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-denialofserviceudpontcpports
Backdoor:EC2/DenialOfService.UnusualProtocol,AmazonGuardDuty,Detect,Los adversarios pueden realizar ataques de denegación de servicio (DoS) de red para degradar o bloquear la disponibilidad de los recursos específicos para los usuarios. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-denialofserviceunusualprotocol,Adversaries may perform Network Denial of Service (DoS) attacks to degrade or block the availability of targeted resources to users. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-denialofserviceunusualprotocol
CryptoCurrency:EC2/BitcoinTool.B!DNS,AmazonGuardDuty,Detect,Los adversarios pueden aprovechar los recursos de los sistemas cooptados para resolver problemas intensivos en recursos que pueden afectar la disponibilidad del sistema y/o del servicio alojado. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#cryptocurrency-ec2-bitcointoolbdns,Adversaries may leverage the resources of co-opted systems in order to solve resource intensive problems which may impact system and/or hosted service availability. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#cryptocurrency-ec2-bitcointoolbdns
Discovery:S3/MaliciousIPCaller,AmazonGuardDuty,Detect,Un usuario malintencionado puede estar buscando en la cuenta los recursos disponibles. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#discovery-s3-maliciousipcaller,A malicious user may be searching through the account looking for available resources. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#discovery-s3-maliciousipcaller
Discovery:S3/MaliciousIPCaller.Custom,AmazonGuardDuty,Detect,Un usuario malintencionado puede estar buscando en la cuenta los recursos disponibles. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#discovery-s3-maliciousipcallercustom,A malicious user may be searching through the account looking for available resources. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#discovery-s3-maliciousipcallercustom
Discovery:S3/TorIPCaller,AmazonGuardDuty,Detect,Un usuario malintencionado puede estar buscando en la cuenta los recursos disponibles. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#discovery-s3-toripcaller,A malicious user may be searching through the account looking for available resources. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#discovery-s3-toripcaller
Exfiltration:IAMUser/AnomalousBehavior,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#exfiltration-iam-anomalousbehavior,Flags a session token where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#exfiltration-iam-anomalousbehavior
Impact:EC2/BitcoinDomainRequest.Reputation,AmazonGuardDuty,Detect,Los adversarios pueden aprovechar los recursos de los sistemas para resolver problemas intensivos en recursos que pueden afectar la disponibilidad del servicio alojado. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-bitcoindomainrequestreputation,Adversaries may leverage the resources of systems in order to solve resource intensive problems which may impact hosted service availability. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-bitcoindomainrequestreputation
Impact:EC2/PortSweep,AmazonGuardDuty,Detect,Detectado un intento de obtener una lista de servicios que se ejecutan en un host remoto. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-portsweep,There is an attempt to get a list of services running on a remote host. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-portsweep
Impact:EC2/WinRMBruteForce,AmazonGuardDuty,Detect,Una instancia EC2 puede verse involucrada en un ataque de fuerza bruta destinado a obtener contraseñas. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-winrmbruteforce,An EC2 instance may be involved in a brute force attack aimed at obtaining passwords. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-winrmbruteforce
Impact:S3/MaliciousIPCaller,AmazonGuardDuty,Detect,"Los adversarios podrían cifrar o destruir datos y archivos en sistemas específicos para interrumpir la disponibilidad de sistemas, servicios y recursos de red. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#impact-s3-maliciousipcaller","Adversaries may encrypt or destroy data and files on specific systems to interrupt availability to systems, services, and network resources. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#impact-s3-maliciousipcaller"
PenTest:IAMUser/KaliLinux,AmazonGuardDuty,Detect,Marca una instancia en la que hay indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#pentest-iam-kalilinux,Flags an instance where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#pentest-iam-kalilinux
PenTest:IAMUser/ParrotLinux,AmazonGuardDuty,Detect,Marca una instancia en la que hay indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#pentest-iam-parrotlinux,Flags an instance where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#pentest-iam-parrotlinux
PenTest:S3/KaliLinux,AmazonGuardDuty,Detect,"Los adversarios podrían cifrar o destruir datos y archivos en sistemas específicos para interrumpir la disponibilidad de sistemas, servicios y recursos de red. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#pentest-s3-kalilinux","Adversaries may encrypt or destroy data and files on specific systems to interrupt availability to systems, services, and network resources. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#pentest-s3-kalilinux"
PenTest:S3/ParrotLinux,AmazonGuardDuty,Detect,"Los adversarios podrían cifrar o destruir datos y archivos en sistemas específicos para interrumpir la disponibilidad de sistemas, servicios y recursos de red. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#pentest-s3-parrotlinux","Adversaries may encrypt or destroy data and files on specific systems to interrupt availability to systems, services, and network resources. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#pentest-s3-parrotlinux"
PenTest:S3/PentooLinux,AmazonGuardDuty,Detect,"Los adversarios podrían cifrar o destruir datos y archivos en sistemas específicos para interrumpir la disponibilidad de sistemas, servicios y recursos de red. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#pentest-s3-pentoolinux","Adversaries may encrypt or destroy data and files on specific systems to interrupt availability to systems, services, and network resources. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#pentest-s3-pentoolinux"
Recon:EC2/Portscan,AmazonGuardDuty,Detect,There is an attempt to get a list of services running on a remote host. Remediation/recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#recon-ec2-portscan,There is an attempt to get a list of services running on a remote host. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#recon-ec2-portscan
Recon:IAMUser/MaliciousIPCaller,AmazonGuardDuty,Detect,Marca una instancia en la que hay indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#recon-iam-maliciousipcaller,Flags an instance where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#recon-iam-maliciousipcaller
Recon:IAMUser/MaliciousIPCaller.Custom,AmazonGuardDuty,Detect,Marca una instancia en la que hay indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#recon-iam-maliciousipcallercustom,Flags an instance where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#recon-iam-maliciousipcallercustom
Stealth:IAMUser/CloudTrailLoggingDisabled,AmazonGuardDuty,Detect,Detectados indicios de actividad maliciosa en medidas de defensa. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#stealth-iam-cloudtrailloggingdisabled,Provides indicators of malicious activity in defense measures. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#stealth-iam-cloudtrailloggingdisabled
Stealth:S3/ServerAccessLoggingDisabled,AmazonGuardDuty,Detect,"Los adversarios podrían cifrar o destruir datos y archivos en sistemas específicos para interrumpir la disponibilidad de sistemas, servicios y recursos de red. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#stealth-s3-serveraccessloggingdisabled","Adversaries may encrypt or destroy data and files on specific systems to interrupt availability to systems, services, and network resources. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#stealth-s3-serveraccessloggingdisabled"
CredentialAccess:IAMUser/AnomalousBehavior,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Recomendaciones/remediación: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#credentialaccess-iam-anomalousbehavior,Flags a session token where there are indications of account compromise. Remediation/recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#credentialaccess-iam-anomalousbehavior
Discovery:IAMUser/AnomalousBehavior,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#discovery-iam-anomalousbehavior,Flags a session token where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#discovery-iam-anomalousbehavior
Impact:IAMUser/AnomalousBehavior,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#impact-iam-anomalousbehavior,Flags a session token where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#impact-iam-anomalousbehavior
Policy:S3/AccountBlockPublicAccessDisabled,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#policy-s3-accountblockpublicaccessdisabled,Flags a session token where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#policy-s3-accountblockpublicaccessdisabled
Policy:S3/BucketAnonymousAccessGranted,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#policy-s3-bucketanonymousaccessgranted,Flags a session token where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#policy-s3-bucketanonymousaccessgranted
Persistence:IAMUser/AnomalousBehavior,AmazonGuardDuty,Detect,Flags a session token where there are indications of account compromise. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#persistence-iam-anomalousbehavior,Marca un token de sesión con indicios de compromiso de la cuenta. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#persistence-iam-anomalousbehavior
Policy:IAMUser/RootCredentialUsage,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage,Flags a session token where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage
Policy:S3/BucketBlockPublicAccessDisabled,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#policy-s3-bucketblockpublicaccessdisabled,Flags a session token where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#policy-s3-bucketblockpublicaccessdisabled
UnauthorizedAccess:IAMUser/ConsoleLogin,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-consoleloginsuccessb,Flags a session token where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-consoleloginsuccessb
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B,AmazonGuardDuty,Detect,Marca un token de sesión con indicios de compromiso de la cuenta. Remediación/recomendaciones: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-consoleloginsuccessb,Flags a session token where there are indications of account compromise. Remediation recommendations: https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-consoleloginsuccessb