调查发现详细信息
您可以在 Amazon GuardDuty 控制台的调查发现摘要部分,查看调查发现的详细信息。调查发现详细信息因调查发现类型而异。
有两类主要详细信息,用于确定哪些类型的信息可用于任何调查发现。第一个是资源类型,可以是 Instance、AccessKey、S3Bucket、S3Object、Kubernetes
cluster、ECS cluster、Container、RDSDBInstance、RDSLimitlessDB 或 Lambda。决定调查发现信息的第二类详细信息是资源角色。资源角色可以是 Target,表示该资源是可疑活动的目标。对于实例类型的调查发现,资源角色也可以是 Actor,这意味着您的资源是进行可疑活动的行动者。本主题介绍调查发现的一些常见可用详细信息。对于GuardDuty 运行时监控调查发现类型和 S3 恶意软件防护调查发现类型,资源角色未填充。
主题
调查发现概览
调查发现的概览部分包含该调查发现最基本的识别特征,包括以下信息:
-
账户 ID:Amazon 账户的 ID,在该账户中发生的活动促使 GuardDuty 生成此调查发现。
-
计数:GuardDuty 聚合与此调查发现 ID 匹配的活动的次数。
-
创建时间:首次创建此调查发现的时间和日期。如果此值与更新时间不同,则表示该活动已多次发生,是一个持续的问题。
注意
GuardDuty 控制台中调查发现的时间戳采用您的本地时区显示,而 JSON 导出和 CLI 输出则显示采用 UTC 表示的时间戳。
-
调查发现 ID:此调查发现类型和参数集的唯一标识符。与此模式匹配的新活动实例将聚合到同一 ID 中。
-
调查发现类型:表示触发调查发现的活动类型的格式化字符串。有关更多信息,请参阅 GuardDuty 调查发现格式。
-
区域:Amazon 区域,在该区域中生成调查发现。有关支持的区域的更多信息,请参阅区域和端点。
-
资源 ID:Amazon 资源的 ID,在该资源中发生的活动促使 GuardDuty 生成此调查发现。
-
扫描 ID:适用于启用 GuardDuty EC2 恶意软件防护时的调查发现,这是在挂载到可能失陷的 EC2 实例或容器工作负载的 EBS 卷上运行的恶意软件扫描标识符。有关更多信息,请参阅 EC2 恶意软件防护调查发现详细信息。
-
严重性:为调查发现分配的严重性级别,可以为“重大”、“高”、“中”或“低”。有关更多信息,请参阅 调查发现的严重性级别。
-
更新时间:上次更新此调查发现时,有与以下模式相匹配的新活动:促使 GuardDuty 生成此调查发现。
资源
受影响的资源提供了触发活动所针对的 Amazon 资源的详细信息。可用信息因资源类型和操作类型而异。
资源角色:触发调查发现的 Amazon 资源的角色。此值可以是 TARGET 或 ACTOR,并表示您的资源是可疑活动的目标,还是执行可疑活动的行动者。
资源类型:受影响资源的类型。如果涉及多个资源,则调查发现可能包括多种资源类型。资源类型包括 Instance、AccessKey、S3Bucket、S3Object、KubernetesCluster、ECSCluster、Container、RDSDBInstance、RDSLimitlessDB 和 Lambda。根据资源类型,将提供不同的调查发现详细信息。选择资源选项卡,了解该资源的可用详细信息。
攻击序列调查发现详细信息
GuardDuty 会为其在账户中生成的每项调查发现提供详细信息。这些详细信息有助于您理解调查发现背后的原因。本节重点介绍与 攻击序列调查发现类型相关的详细信息。这包括调查发现中涉及的可能受影响资源、事件时间表、指标、信号和端点等洞察。
要查看与作为 GuardDuty 调查发现的信号相关的详细信息,请参阅本页上的相关章节。
在 GuardDuty 控制台中,当您选择攻击序列调查发现时,详细信息侧面板分为以下选项卡:
-
概述:提供攻击序列详细信息的简要视图,包括信号、MITRE 战术和可能受影响的资源。
-
信号:显示攻击序列中涉及的事件时间表。
-
资源:提供有关可能受影响的资源或可能面临风险的资源的信息。
以下列表提供了与攻击序列调查发现详细信息相关的描述。
- 信号
-
信号可以是 API 活动或 GuardDuty 用于检测攻击序列调查发现的调查发现。GuardDuty 会考量未表现为明确威胁的弱信号,将其拼凑整合,并与单独生成的调查发现建立关联。为提供更多上下文,信号选项卡提供了 GuardDuty 观测到的信号时间表。
每个作为 GuardDuty 调查发现的信号都有一个指定的严重性级别和值。在 GuardDuty 控制台中,您可以选择每个信号以查看相关的详细信息。
- 操作者
-
提供有关攻击序列中威胁行为者的详细信息。有关更多信息,请参阅《Amazon GuardDuty API Reference》中的 Actor。
- 了解如何查看、监控和管理 SageMaker 端点
-
提供有关此攻击序列中所使用网络端点的详细信息。有关更多信息,请参阅《Amazon GuardDuty API Reference》中的 NetworkEndpoint。有关 GuardDuty 如何确定位置的信息,请参阅地理位置详细信息。
- 指标
-
包括与安全问题模式匹配的观测数据。这些数据说明了为何 GuardDuty 认为存在潜在可疑活动的迹象。例如,当指标名为
HIGH_RISK_API时,这表示威胁行为者常用的操作,或可能对 Amazon Web Services 账户造成潜在影响的敏感操作,例如访问凭证或修改资源。下表包括潜在指标列表及其描述:
指标名称 描述 ATTACK_TACTICMITRE 战术,例如发现和影响。
ATTACK_TECHNIQUE威胁行为者在攻击序列中使用的 MITRE 技术。例如,包括获取资源访问权限并以非预期方式使用它们,以及利用漏洞。
CRYPTOMINING_DOMAIN表示域名与加密货币矿池或基础设施相关联。例如,来自容器或 Kubernetes 环境对这些域的 DNS 查询或连接,可能表明存在未经授权的加密货币挖矿活动。
表示根据用户的历史基准,自治系统编号(ASN)已识别为异常。有关更多信息,请参阅 异常行为。
CRYPTOMINING_IP表示与加密货币矿池或基础设施关联的 IP 地址。例如,来自容器或 Kubernetes 环境对这些地址的连接,可能表明存在未经授权的加密货币挖矿活动。
表示根据用户的历史基准,自治系统编号(ASN)已识别为异常。有关更多信息,请参阅 异常行为。
CRYPTOMINING_PROCESS表示在容器或 Kubernetes 环境中运行的、识别为加密货币挖矿软件的进程。例如,这些进程可能会消耗过多的 CPU 资源。
表示根据用户的历史基准,自治系统编号(ASN)已识别为异常。有关更多信息,请参阅 异常行为。
HIGH_RISK_API包含 Amazon Web Services 服务 名称和
eventName的 Amazon API,表示威胁行为者常用的操作,或可能对 Amazon Web Services 账户造成潜在影响的敏感操作,例如凭证访问或资源修改。MALICIOUS_DOMAIN表示具有可疑威胁情报、表明恶意意图的域名。例如,这包括从容器或 Kubernetes 环境联系的命令和控制(C&C)服务器、恶意软件分发站点或网络钓鱼域。
表示根据用户的历史基准,自治系统编号(ASN)已识别为异常。有关更多信息,请参阅 异常行为。
MALICIOUS_IPIP 地址已确认存在表明恶意意图的威胁情报。
MALICIOUS_PROCESS表示基于威胁情报或行为分析怀疑为恶意的进程。例如,这包括在容器或 Kubernetes 环境中出于恶意意图执行的已知恶意软件、后门程序或未经授权的工具。
表示根据用户的历史基准,自治系统编号(ASN)已识别为异常。有关更多信息,请参阅 异常行为。
SUSPICIOUS_NETWORK该网络与已知的低信誉评分相关联,例如有风险的虚拟专用网络(VPN)提供商和代理服务。
SUSPICIOUS_PROCESS表示根据用户的历史基准,自治系统编号(ASN)已识别为异常。有关更多信息,请参阅 异常行为。
SUSPICIOUS_USER_AGENT用户代理与可能已知的可疑或遭利用的应用程序相关联,例如 Amazon S3 客户端和攻击工具。
TOR_IPIP 地址与 Tor 出口节点相关联。
UNUSUAL_API_FOR_ACCOUNT表示根据账户的历史基准,Amazon API 已异常调用。有关更多信息,请参阅 异常行为。
UNUSUAL_ASN_FOR_ACCOUNT表示根据账户的历史基准,自治系统编号(ASN)已识别为异常。有关更多信息,请参阅 异常行为。
UNUSUAL_ASN_FOR_USER表示根据用户的历史基准,自治系统编号(ASN)已识别为异常。有关更多信息,请参阅 异常行为。
MITRE 战术
此字段指定了威胁行为者试图通过攻击序列实现的 MITRE ATT&CK 战术。GuardDuty 使用 MITRE ATT&ACK 框架,为整个攻击序列添加上下文。GuardDuty 控制台用于指定威胁行为者所用威胁目的的颜色,与表示重大、高、中和低 调查发现的严重性级别的颜色一致。
- 网络指标
-
指标包括网络指标值的组合,这些值解释了网络为何指示可疑行为。仅当指标包含
SUSPICIOUS_NETWORK或MALICIOUS_IP时,本节才适用。以下示例显示了网络指标如何与某个指标相关联,其中:-
AnyCompany是一个自治系统(AS)。 -
TUNNEL_VPN、IS_ANONYMOUS和ALLOWS_FREE_ACCESS是网络指标。
...{ "key": "SUSPICIOUS_NETWORK", "values": [{ "AnyCompany": [ "TUNNEL_VPN", "IS_ANONYMOUS", "ALLOWS_FREE_ACCESS" ] }] } ...下表包括网络指标值及其描述。这些标签根据 GuardDuty 从 Spur 等来源收集的威胁情报进行添加
网络指标值 描述 TUNNEL_VPN网络或 IP 地址与 VPN 隧道类型相关联。这是指一种特定协议,有助于通过公有网络在两点之间建立安全、加密的连接。
TUNNEL_PROXY网络或 IP 地址与代理隧道类型相关联。这是指一种特定协议,有助于通过代理服务器建立连接。
TUNNEL_RDP网络或 IP 地址与使用一种将远程桌面(RDP)流量封装在其他协议中的方法相关联,旨在增强安全性、绕过网络限制或通过防火墙启用远程访问。
IS_ANONYMOUS网络或 IP 地址与已知的匿名服务或代理服务相关联。这可能表明存在隐藏在匿名网络背后的潜在可疑活动。
KNOWN_THREAT_OPERATOR网络或 IP 地址与已知有风险的隧道提供商相关联。这表明已从 IP 地址中检测到可疑活动,而该地址与 VPN、代理或其他经常用于恶意目的的隧道服务相关联。
ALLOWS_FREE_ACCESS网络或 IP 地址与允许无需身份验证或付款即可访问其服务的隧道运营商相关联。它也可能包括各种在线服务提供的试用账户或有限使用体验。
ALLOWS_CRYPTO网络或 IP 地址与专门接受加密货币或其他数字货币作为付款方式的隧道提供商(例如 VPN 或代理服务)相关联。
ALLOWS_TORRENTS网络或 IP 地址与允许 torrent 流量的服务或平台相关联。此类服务通常与支持和使用 torrent 以及规避版权的活动相关联。
RISK_CALLBACK_PROXY网络或 IP 地址与为住宅代理、恶意软件代理或其他回拨代理类型网络路由流量的已知设备相关联。这并不意味着网络上的所有活动都与代理相关联,而是网络能够代表这些代理网络路由流量。
RISK_GEO_MISMATCH此指标表明网络的数据中心或托管位置与其后面用户和设备的预期位置不同。如果此指标值不存在,并不意味着没有不匹配。这可能意味着没有足够的数据来证实这种差异。
IS_SCANNER网络或 IP 地址与对 Web 表单进行持续登录尝试相关联。
RISK_WEB_SCRAPING网络或 IP 地址与自动化 Web 客户端和其他编程式 Web 活动相关联。
CLIENT_BEHAVIOR_FILE_SHARING网络或 IP 地址与表示存在文件共享活动的客户端行为相关联,例如点对点(P2P)网络或文件共享协议。
CATEGORY_COMMERCIAL_VPN网络或 IP 地址与归类为在数据中心空间内运行的传统商业虚拟专用网络(VPN)服务的隧道运营商相关联。
CATEGORY_FREE_VPN网络或 IP 地址与归类为完全免费的 VPN 服务的隧道运营商相关联。
CATEGORY_RESIDENTIAL_PROXY网络或 IP 地址与归类为 SDK、恶意软件或付费来源代理服务的隧道运营商相关联。
OPERATOR_XXX运营此隧道的服务提供商名称。
-
RDS 数据库(DB)用户详细信息
注意
本节适用于在以下情况生成的调查发现:在 GuardDuty 中启用 RDS 保护功能。有关更多信息,请参阅 GuardDuty RDS 保护。
GuardDuty 调查发现提供了以下用户和身份验证详细信息,这些信息与可能已泄露的数据库有关:
-
用户:用于进行异常登录尝试的用户名。
-
应用程序:用于进行异常登录尝试的应用程序名称。
-
数据库:数据库实例的名称,在异常登录尝试中包含此实例。
-
SSL:用于网络的安全套接字层(SSL)的版本。
-
身份验证方法:用户使用的身份验证方法,在调查发现中包括该用户。
有关可能已泄露资源的信息,请参阅资源。
运行时监控调查发现详细信息
注意
只有当 GuardDuty 生成一个 GuardDuty 运行时监控调查发现类型 时,这些详细信息才可用。
本节包含运行时详细信息,例如进程详细信息和任何必需的上下文。进程详细信息描述了有关观察到的进程的信息,运行时上下文描述了有关潜在可疑活动的任何其他信息。
进程详细信息
-
名称:进程的名称。
-
可执行文件路径:进程可执行文件的绝对路径。
-
可执行文件 SHA-256:进程可执行文件的
SHA256哈希值。 -
命名空间 PID:进程的进程 ID,该进程在除主机级别 PID 命名空间之外的二级 PID 命名空间中。对于容器内的进程,命名空间 PID 是容器内观察到的进程 ID。
-
当前工作目录:进程的当前工作目录。
-
进程 ID:操作系统分配给进程的 ID。
-
开始时间:进程启动的时间。该时间采用 UTC 日期字符串格式(
2023-03-22T19:37:20.168Z)。 -
UUID:GuardDuty 分配给进程的唯一 ID。
-
父级 UUID:父进程的唯一 ID。此 ID 由 GuardDuty 分配给父进程。
-
用户:执行进程的用户。
-
用户 ID:执行进程的用户 ID。
-
有效用户 ID:事件发生时进程的有效用户 ID。
-
谱系:有关进程原级的信息。
-
进程 ID:操作系统分配给进程的 ID。
-
UUID:GuardDuty 分配给进程的唯一 ID。
-
可执行文件路径:进程可执行文件的绝对路径。
-
有效用户 ID:事件发生时进程的有效用户 ID。
-
父级 UUID:父进程的唯一 ID。此 ID 由 GuardDuty 分配给父进程。
-
开始时间:进程启动的时间。
-
命名空间 PID:进程的进程 ID,该进程在除主机级别 PID 命名空间之外的二级 PID 命名空间中。对于容器内的进程,命名空间 PID 是容器内观察到的进程 ID。
-
用户 ID:执行进程用户的用户 ID。
-
名称:进程的名称。
-
运行时上下文
在以下字段中,生成的调查发现可能仅包含与调查发现类型相关的字段。
-
挂载源:被容器挂载的主机上的路径。
-
挂载目标:容器中映射到主机目录的路径。
-
文件系统类型:表示已挂载文件系统的类型。
-
标志:表示控制事件行为的选项,在此调查发现中包含该事件。
-
修改进程:有关运行时在容器内创建或修改二进制文件、脚本或库的进程的信息。
-
修改时间:进程运行时在容器内创建或修改二进制文件、脚本或库的时间戳。该字段采用 UTC 日期字符串格式(
2023-03-22T19:37:20.168Z)。 -
库路径:已加载的新库的路径。
-
LD 预加载值:
LD_PRELOAD环境变量的值。 -
套接字路径:被访问的 Docker 套接字的路径。
-
Runc 二进制文件路径:
runc二进制文件的路径。 -
版本代理路径:
cgroup版本代理文件的路径。 -
命令行示例:潜在可疑活动所涉及的命令行的示例。
-
工具类别:工具所属的类别,例如后门工具、渗透测试工具、网络扫描器和网络嗅探器。
-
工具名称:潜在可疑工具的名称。
-
脚本路径:生成该调查发现的已执行脚本的路径。
-
威胁文件路径:找到威胁情报详细信息的可疑路径。
-
服务名称:已被禁用的安全服务的名称。
-
模块名称:已加载到内核中的模块名称。
-
模块 SHA256:模块的 SHA256 哈希值。
-
模块文件路径:已加载到内核中的模块路径。
EBS 卷扫描详细信息
注意
本节适用于在以下情况生成的调查发现:在 EC2 恶意软件防护 中开启 GuardDuty 启动的恶意软件扫描。
EBS 卷扫描提供有关 EBS 卷的详细信息,该卷附加到可能被盗用的 EC2 实例或容器工作负载。
-
扫描 ID:恶意软件扫描的标识符。
-
扫描开始时间:开始恶意软件扫描的日期和时间。
-
扫描完成时间:完成恶意软件扫描的日期和时间。
-
触发调查发现 ID:启动此恶意软件扫描的 GuardDuty 调查发现的调查发现 ID。
-
来源:可能的值为
Bitdefender和Amazon。有关用于检测恶意软件的扫描引擎的更多信息,请参阅 GuardDuty 恶意软件检测扫描引擎。
-
扫描检测:每次恶意软件扫描的详细信息和结果的完整视图。
-
已扫描项目数:已扫描文件的总数。提供例如
totalGb、files和volumes的详细信息。 -
检测到的威胁项目数:扫描期间检测到的恶意
files总数。 -
最高严重性威胁详细信息:扫描期间检测到的最高严重性威胁的详细信息,以及恶意文件数量。提供例如
severity、threatName和count的详细信息。 -
检测到的威胁(按名称):对所有严重性级别的威胁进行分组的容器元素。提供例如
itemCount、uniqueThreatNameCount、shortened和threatNames的详细信息。
-
EC2 恶意软件防护调查发现详细信息
注意
本节适用于在以下情况生成的调查发现:在 EC2 恶意软件防护 中开启 GuardDuty 启动的恶意软件扫描。
当 EC2 恶意软件防护扫描检测到恶意软件时,您可以在 https://console.aws.amazon.com/guardduty/ 控制台的调查发现页面上选择相应的调查发现,从而查看扫描详细信息。EC2 恶意软件防护调查发现的严重性取决于 GuardDuty 调查发现的严重性。
详细信息面板的检测到的威胁部分,提供以下信息。
-
名称:威胁的名称,该名称通过将文件按检测结果分组获得。
-
严重性:检测到的威胁的严重性。
-
哈希值:文件的 SHA256 哈希值。
-
文件路径:恶意文件在 EBS 卷中的位置。
-
文件名称:检测出威胁的文件的名称。
-
卷 ARN:已扫描的 EBS 卷的 ARN。
详细信息面板的恶意软件扫描详细信息部分,提供以下信息。
-
扫描 ID:恶意软件扫描的扫描 ID。
-
扫描开始时间:开始扫描的日期和时间。
-
扫描完成时间:完成扫描的日期和时间。
-
扫描的文件:扫描的文件和目录的总数。
-
扫描总量(GB):扫描过程中扫描的存储量。
-
触发调查发现 ID:启动此恶意软件扫描的 GuardDuty 调查发现的调查发现 ID。
-
详细信息面板的卷详细信息部分,提供以下信息。
-
卷 ARN:卷的 Amazon 资源名称(ARN)。
-
SnapshotArn:EBS 卷快照的 ARN。
-
状态:卷的扫描状态,例如
Running、Skipped和Completed。 -
加密类型:用于给卷加密的加密类型。例如
CMCMK。 -
设备名称:设备的名称。例如
/dev/xvda。
-
S3 恶意软件防护调查发现详细信息
如果您在 Amazon Web Services 账户中同时启用了 GuardDuty 和 S3 恶意软件防护,则可以查看以下恶意软件扫描详细信息:
-
威胁:恶意软件扫描期间检测到的威胁列表。
归档文件中的多种潜在威胁
如果您的归档文件中包含多种可能的威胁,则 S3 恶意软件防护仅报告第一个检测到的威胁。然后扫描状态将标记为完成。GuardDuty 会生成相关的调查发现类型,还会发送生成的 EventBridge 事件。有关使用 EventBridge 事件监控 Amazon S3 对象扫描的更多信息,请参阅 S3 对象扫描结果 中的 THREATS_FOUND 示例通知架构。
-
项路径:已扫描 S3 对象的嵌套项路径列表和哈希详细信息。
-
嵌套项路径:检测到威胁的已扫描 S3 对象的项路径。
只有当顶层对象属于归档并且在该归档内检测到威胁时,此字段的值才可用。
-
哈希:此调查发现中检测到的威胁的哈希值。
-
-
来源:可能的值为
Bitdefender和Amazon。有关用于检测恶意软件的扫描引擎的更多信息,请参阅 GuardDuty 恶意软件检测扫描引擎。
操作
调查发现的操作提供触发调查发现的活动类型的详细信息。可用信息因操作类型而异。
操作类型:调查发现活动类型。此值可以是 NETWORK_CONNECTION、PORT_PROBE、DNS_REQUEST、AWS_API_CALL 或 RDS_LOGIN_AKTEMPT。可用信息因操作类型而异:
-
NETWORK_CONNECTION:指示标识的 EC2 实例与远程主机之间交换的网络流量。此操作类型具有以下额外信息:
-
连接方向:在促使 GuardDuty 生成调查发现的活动中观察到的网络连接方向。它可以是以下值之一:
-
入站:指示远程主机已在您的账户中发起连接,连接到标识的 EC2 实例上的本地端口。
-
出站:指示标识的 EC2 实例已发起与远程主机的连接。
-
未知:指示 GuardDuty 无法确定连接的方向。
-
-
协议:在促使 GuardDuty 生成调查发现的活动中观察到的网络连接协议。
-
本地 IP:触发调查发现的流量的原始源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查发现的流量的原始源 IP 地址。例如,EKS 容器组的 IP 地址与运行 EKS pod 的实例的 IP 地址。
-
已阻止:指示目标端口是否被阻止。
-
-
PORT_PROBE:指示远程主机已在多个开放端口上探测标识的 EC2 实例。此操作类型具有以下额外信息:
-
本地 IP:触发调查发现的流量的原始源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查发现的流量的原始源 IP 地址。例如,EKS 容器组的 IP 地址与运行 EKS pod 的实例的 IP 地址。
-
已阻止:指示目标端口是否被阻止。
-
-
DNS_REQUEST:指示标识的 EC2 实例已查询域名。此操作类型具有以下额外信息:
-
协议:在促使 GuardDuty 生成调查发现的活动中观察到的网络连接协议。
-
已阻止:指示目标端口是否被阻止。
-
-
AWS_API_CALL:指示已调用 Amazon API。此操作类型具有以下额外信息:
-
API:调用的 API 操作名称,该操作促使 GuardDuty 生成此调查发现。
注意
这些操作也可能包括由 Amazon CloudTrail 捕获的非 API 事件。有关更多信息,请参阅 CloudTrail 捕获的非 API 事件。
-
用户代理:发出 API 请求的用户代理。此值告诉您调用是从 Amazon Web Services 管理控制台(一种 Amazon 服务)、Amazon 软件开发工具包,还是 Amazon CLI 发出的。
-
错误代码:如果调查发现是由失败的 API 调用触发的,则会显示该调用的错误代码。
-
服务名称:服务的 DNS 名称,该服务试图调用触发调查发现的 API。
-
-
RDS_LOGIN_ATTEMPT:表示有人尝试从远程 IP 地址登录可能被盗用的数据库。
-
IP 地址:用于进行潜在可疑登录尝试的远程 IP 地址。
-
行动者或目标
如果资源角色是 TARGET,则调查发现会有行动者部分。这表示您的资源是可疑活动的目标,并且行动者部分包含针对您资源的实体的详细信息。
如果资源角色是 ACTOR,则调查发现会有目标部分。这表示您的资源参与了针对远程主机的可疑活动,且该部分包含有关资源所针对的 IP 或域的信息。
行动者或目标部分中可用的信息包括以下内容:
-
关联:有关远程 API 调用者的 Amazon 账户是否与您的 GuardDuty 环境相关的详细信息。如果此值为
true,则 API 调用方以某种方式关联到您的账户;如果为false,则 API 调用方来自您的环境之外。 -
远程账户 ID:用于访问最终网络资源的 IP 地址所属的账户 ID。
-
IP 地址:IP 地址,在促使 GuardDuty 生成调查发现的活动中包含该地址。
-
位置:IP 地址的位置信息,在促使 GuardDuty 生成调查发现的活动中包含该地址。
-
组织:IP 地址的 ISP 组织信息,在促使 GuardDuty 生成调查发现的活动中包含改该地址。
-
端口:端口号,在促使 GuardDuty 生成调查发现的活动中包含改该端口。
-
域:促使 GuardDuty 生成调查发现的活动所涉及的域。
-
带后缀的域名:可能促使 GuardDuty 生成调查发现的活动所涉及的第二和顶级域名。有关顶级域和二级域的列表,请参阅 public suffix list
。
地理位置详细信息
GuardDuty 通过使用 MaxMind GeoIP 数据库来确定请求的位置和网络。MaxMind 报告称,其数据在国家/地区级别具有非常高的准确度,但准确度会因国家/地区和 IP 地址类型等因素而异。
其他信息
调查发现的额外信息部分,包括以下信息:
-
威胁列表名称:威胁列表的名称,其中包括促使 GuardDuty 生成调查发现的活动所涉及的 IP 地址或域名。
-
示例:true 或 false 值,指示此项否为示例调查发现。
-
已存档:true 或 false 值,指示此调查发现是否已存档。
-
不常见:过去未观察到的活动详细信息。其中可能包括不常见的(过去未观察到的)用户、位置、时间、存储桶、登录行为或 ASN 组织。
-
不常见协议:网络连接协议,在促使 GuardDuty 生成调查发现的活动中包含改该协议。
-
代理详细信息:有关安全代理的详细信息,该安全代理当前部署在您 Amazon Web Services 账户 中的 EKS 集群上。仅适用于 EKS 运行时监控调查发现类型。
-
代理版本:GuardDuty 安全代理的版本。
-
代理 ID:GuardDuty 安全代理的唯一标识符。
-
证据
基于威胁情报的调查发现包括证据部分,其中包含以下信息:
-
威胁情报详细信息:威胁列表名称,其中会显示已识别出的
Threat name。 -
威胁名称:与威胁相关的恶意软件系列名称或其他标识符。
-
威胁文件 SHA256:生成该调查发现的文件的 SHA256。
异常行为
以 AnomalousBehavior 结尾的调查发现类型表示,该调查发现是由 GuardDuty 异常检测机器学习(ML)模型生成的。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的策略相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及所请求的特定 API。
如要深入了解对于调用该请求的 CloudTrail 用户身份而言,API 请求中哪些因素不寻常,可以查看调查发现详情。身份由 CloudTrail 用户身份元素定义,可能的值为:Root、IAMUser、AssumedRole、FederatedUser、AWSAccount 或 AWSService。
除了与 API 活动相关的所有 GuardDuty 调查发现的详细信息外,AnomalousBehavior 调查发现还有其他详细信息,将在下一节中概述。这些详细信息可以在控制台中查看,也可以在调查发现的 JSON 中找到。
-
异常 API:用户身份调用的 API 请求列表,这些请求在与调查发现关联的主要 API 请求附近。此窗格通过以下方式进一步细分 API 事件的详细信息。
-
列出的第一个 API 是主要 API,即与最高风险观测活动关联的 API 请求。该 API 是触发调查发现的 API,与调查发现类型的攻击阶段相关联,也是控制台的操作部分,以及调查发现的 JSON 中详细介绍的 API。
-
列出的任何其他 API 都是在主要 API 附近观察到的所列用户身份的其他异常 API。如果列表中只有一个 API,则机器学习模型不会将来自该用户身份的任何其他 API 请求识别为异常。
-
API 列表根据 API 是已调用成功还是调用失败(即已收到错误响应)进行划分。收到的错误响应类型列在每个未成功调用的 API 的上方。可能的错误响应类型有:
access denied、access denied exception、auth failure、instance limit exceeded、invalid permission - duplicate、invalid permission - not found、和operation not permitted。 -
API 按其关联的服务进行分类。
-
要了解更多背景信息,请选择历史 API,以查看有关排名靠前(最多 20 个)的 API 的详细信息,通常同时显示用户身份和账户内所有用户。这些 API 被标记为稀有(每月少于一次)、不频繁(每月几次)或频繁(每天到每周),具体取决于其在您账户中的使用频率。
-
-
异常行为(账户):本部分提供有关您账户的已剖析行为的更多详细信息。
已分析的行为
GuardDuty 会根据已交付的事件来持续了解您账户中的活动。这些活动及其观察到的频率成为已分析的行为。
此面板中跟踪的信息包括:
-
ASN 组织:发出异常 API 调用的自治系统编号(ASN)组织。
-
用户名称:发出异常 API 调用的用户的名称。
-
用户代理:用于发出异常 API 调用的用户代理。用户代理是用于发出调用的方法,例如
aws-cli或Botocore。 -
用户类型:发出异常 API 调用的用户类型。可能的值为
AWS_SERVICE、ASSUMED_ROLE、IAM_USER或ROLE。 -
存储桶:正在经受访问的 S3 存储桶的名称。
-
-
异常行为(用户身份):本部分提供了有关调查发现所涉及的用户身份剖析行为的更多详细信息。当某项行为未被识别为历史行为时,意味着在训练期间,GuardDuty 机器学习模型以前从未见过该用户身份以这种方式发出此 API 调用。有关用户身份的以下其他详细信息可用:
-
ASN 组织:发出异常 API 调用的 ASN 组织。
-
用户代理:用于发出异常 API 调用的用户代理。用户代理是用于发出调用的方法,例如
aws-cli或Botocore。 -
存储桶:正在经受访问的 S3 存储桶的名称。
-
-
不常见行为(存储桶):本部分提供与调查发现关联的 S3 存储桶已剖析行为的更多详细信息。当某项行为未被识别为历史行为时,意味着在训练期间,GuardDuty 机器学习模型以前从未见过以这种方式对该存储桶发出的 API 调用。此部分中跟踪的信息包括:
-
ASN 组织:发出异常 API 调用的 ASN 组织。
-
用户名称:发出异常 API 调用的用户的名称。
-
用户代理:用于发出异常 API 调用的用户代理。用户代理是用于发出调用的方法,例如
aws-cli或Botocore。 -
用户类型:发出异常 API 调用的用户类型。可能的值为
AWS_SERVICE、ASSUMED_ROLE、IAM_USER或ROLE。
注意
有关历史行为的更多上下文,请在不常见行为(账户)、用户 ID 或存储桶部分中,选择历史行为,查看有关账户中以下每个类别预期行为的详细信息:稀有(每月少于一次)、不频繁(每月几次)或频繁(每天到每周),具体取决于其在账户中的使用频率。
-
-
不常见行为(数据库):本部分提供有关数据库实例剖析行为的更多详细信息,该实例与调查发现相关联。当某项行为未被识别为历史行为时,意味着在训练期间,GuardDuty 机器学习模型以前从未见过以这种方式对该数据库实例进行的登录尝试。在调查发现面板中针对此部分跟踪的信息包括:
-
用户名:用于进行异常登录尝试的用户名。
-
ASN 组织:发出异常登录尝试的 ASN 组织。
-
应用程序名称:用于进行异常登录尝试的应用程序名称。
-
数据库名称:数据库实例的名称,在异常登录尝试中包含该实例。
历史行为部分提供了有关先前观测到的相关数据库的用户名、ASN 组织、应用程序名称和数据库名称的更多上下文。每个唯一值都有一个关联的计数,表示在成功登录事件中观察到该值的次数。
-
基于 S3 卷的异常
本节详细介绍基于 S3 卷的异常的上下文信息。基于卷的调查发现(Exfiltration:S3/AnomalousBehavior)监视用户对 S3 存储桶发出的不常见数量的 S3 API 调用,这表明存在潜在的数据泄露。监控以下 S3 API 调用以进行基于卷的异常检测。
-
GetObject -
CopyObject.Read -
SelectObjectContent
以下指标将有助于为 IAM 实体访问 S3 存储桶时的常见行为建立基准。为了检测数据泄露,基于卷的异常检测调查发现会根据常见的行为基准评估所有活动。在不常见行为(用户身份)、观测到的卷(用户身份)和观测到的卷(存储桶)部分中,选择历史行为,以分别查看以下指标。
-
在过去 24 小时内,与受影响的 S3 存储桶关联的 IAM 用户或 IAM 角色调用(取决于发出的是哪个)的
s3-api-nameAPI 调用次数。 -
在过去 24 小时内,与所有 S3 存储桶关联的 IAM 用户或 IAM 角色调用(取决于发出的是哪个)的
s3-api-nameAPI 调用次数。 -
在过去 24 小时内,与受影响的 S3 存储桶关联的 IAM 用户或 IAM 角色(取决于发出的是哪个)中的
s3-api-nameAPI 调用次数。
基于 RDS 登录活动的异常
本节详细说明了不常见行动者执行的登录尝试次数,并按登录尝试的结果进行分组。RDS 保护调查发现类型 通过监控登录事件中是否存在 successfulLoginCount、failedLoginCount 和 incompleteConnectionCount 的不常见模式,来识别异常行为。
-
successfulLoginCount:此计数器表示不常见行动者成功连接到数据库实例次数的总和(登录属性的正确组合)。登录属性包括用户名、密码和数据库名称。
-
failedLoginCount:此计数器表示为与数据库实例建立连接,而进行的失败(不成功)登录尝试次数的总和。这表明登录组合的一个或多个属性(例如用户名、密码或数据库名称)不正确。
-
incompleteConnectionCount:此计数器表示无法归类为成功或失败的连接尝试次数。这些连接在数据库提供响应之前就已关闭。例如,在端口扫描中已连接数据库端口,但没有向数据库发送任何信息,或者在成功或失败的尝试中,连接在登录完成前中止。