Skip to content

¿Cómo encajan CloudTrail y GuardDuty en el registro y la monitorización en la nube?

Respuesta breve

CloudTrail registra cada llamada a la API en la cuenta — quién hizo qué, cuándo, desde dónde — dándote el rastro de auditoría con autoridad para investigaciones y cumplimiento. GuardDuty es un servicio gestionado de detección de amenazas que analiza CloudTrail, los flujos de VPC y los registros de DNS para sacar a la luz hallazgos como la exfiltración de credenciales o la minería de criptomonedas. CloudTrail es la fuente de verdad que debes proteger; GuardDuty convierte esa telemetría en alertas accionables.

No puedes responder a lo que no ves, y la nube está impulsada por API — así que el registro y la detección son el cimiento de la seguridad en la nube. Esta pregunta comprueba que conoces la diferencia entre registrar la actividad y detectar amenazas en ella.

CloudTrail — la fuente de auditoría con autoridad

CloudTrail registra cada llamada a la API realizada en la cuenta: la identidad (principal), la acción, la marca de tiempo, la IP de origen y los parámetros de la solicitud. Este es tu registro con autoridad, a posteriori.

  • Responde a "quién hizo qué, cuándo y desde dónde" — esencial para acotar incidentes y para el cumplimiento.
  • Debe estar protegido contra la manipulación. La mejor práctica es enviar los registros a una cuenta de registro dedicada y blindada o a un bucket de escritura única (object-lock), para que un atacante que comprometa la cuenta de carga de trabajo no pueda borrar sus rastros.
  • Actívalo en todas las regiones más los eventos de datos para recursos sensibles, o tendrás puntos ciegos.

GuardDuty — la capa de detección

Los registros en bruto son enormes y no se interpretan por sí solos. GuardDuty es un servicio gestionado de detección de amenazas que analiza de forma continua CloudTrail, los flujos de VPC y los registros de DNS, aplicando inteligencia de amenazas y ML para producir hallazgos:

  • Ejemplos: credenciales de instancia usadas desde una ubicación inusual (probable exfiltración), llamadas a la API desde IP conocidas como maliciosas, tráfico de minería de criptomonedas o comportamiento IAM anómalo.
  • Convierte terabytes de telemetría en una breve lista de alertas priorizadas que puedes enrutar a un SOC o a una respuesta automatizada.

Cómo funcionan juntos

CloudTrail proporciona las pruebas; GuardDuty proporciona la detección encima de ellas. Durante un incidente pivotas desde un hallazgo de GuardDuty de vuelta a CloudTrail para acotar exactamente lo que una credencial comprometida tocó.

Qué buscan los entrevistadores

Una separación clara entre registro de auditoría y detección de amenazas, proteger la integridad de CloudTrail (cuenta separada / object-lock), y saber que GuardDuty también consume registros de flujo y de DNS.

Posibles preguntas de seguimiento

  • ¿Por qué los registros de CloudTrail deberían ir a una cuenta separada y blindada?
  • ¿Qué tipos de hallazgos genera GuardDuty que el CloudTrail en bruto no te mostraría?
  • ¿Cómo usarías CloudTrail durante un incidente para acotar una credencial comprometida?

Fuentes

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.