GuardDuty 攻击序列查找类型 - Amazon GuardDuty
AttackSequence:EKS/CompromisedClusterAttackSequence:ECS/CompromisedClusterAttackSequence:EC2/CompromisedInstanceGroupAttackSequence:IAM/CompromisedCredentialsAttackSequence:S3/CompromisedData
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty 攻击序列查找类型

GuardDuty 当由多个操作组成的特定序列与潜在的可疑活动一致时,检测攻击序列。攻击序列包括诸如 API 活动和 GuardDuty 发现结果之类的信号。当 GuardDuty 观察到一组按特定顺序显示正在进行中、持续或最近的安全威胁的信号时, GuardDuty 会生成攻击序列发现。 GuardDuty 将单个 API 活动视为weak signals不存在潜在威胁。

攻击序列检测的重点是 Amazon S3 数据的潜在泄露(这可能是更广泛的勒索软件攻击的一部分)、 Amazon 凭证受损、Amazon EKS 集群受损、Amazon ECS 集群受损以及亚马逊 EC2 实例组受损。以下各节详细介绍了每个攻击序列。

AttackSequence:EKS/CompromisedCluster

可能遭到入侵的 Amazon EKS 集群执行的一系列可疑操作。

此发现告知您 GuardDuty 已检测到一系列可疑操作,这些操作表明您的环境中存在可能遭到入侵的 Amazon EKS 集群。在同一 Amazon EKS 集群中观察到多种可疑和异常攻击行为,例如恶意进程或与恶意端点的连接。

GuardDuty 使用其专有的关联算法来观察和识别使用 IAM 凭证执行的操作顺序。 GuardDuty 评估保护计划和其他信号源的调查结果,以确定常见和新出现的攻击模式。 GuardDuty 使用多种因素来揭露威胁,例如 IP 信誉、API 序列、用户配置和可能受影响的资源。

修复操作:如果此行为并不是您环境的预期行为,则 Amazon EKS 集群可能已遭到入侵。有关全面的修复指南,请参阅修复 EKS 防护调查发现修复运行时监控调查发现

此外,由于 Amazon 证书可能已通过 EKS 集群泄露,请参阅修复可能被泄露的 Amazon 凭证。有关修复可能受到影响的其他资源的步骤,请参阅修复检测到 GuardDuty 的安全发现

AttackSequence:ECS/CompromisedCluster

可能遭到入侵的 Amazon ECS 集群执行的一系列可疑操作。

此发现告诉您, GuardDuty 检测到一系列可疑信号,表明您的环境中存在可能受损的 Amazon ECS 集群。这些信号可能包括恶意进程、与恶意端点的通信或加密货币挖矿行为。

GuardDuty 使用专有的关联算法和多种检测因子来识别 Amazon ECS 集群中的可疑操作序列。通过对保护计划和各种信号源的分析, GuardDuty 识别常见和新出现的攻击模式,从而对潜在的漏洞进行高度可信的检测。

补救措施:如果这种行为在您的环境中出乎意料,则您的 Amazon ECS 集群可能会受到威胁。有关威胁遏制的建议,请参阅修复可能失陷的 ECS 集群。请注意,折衷方案可能延伸到一个或多个 ECS 任务或容器工作负载,这些任务或容器工作负载本来可以用来创建或修改 Amazon 资源。有关涵盖可能受影响的资源的全面补救指南,请参阅修复检测到 GuardDuty 的安全发现

AttackSequence:EC2/CompromisedInstanceGroup

一系列可疑操作表明 Amazon EC2 实例可能遭到入侵。

这一发现表明 GuardDuty 检测到一系列可疑操作,表明您的环境中的一组 Amazon EC2 实例可能受到攻击。实例组通常代表通过管理的应用程序 infrastructure-as-code,共享类似的配置,例如自动扩展组、IAM 实例配置文件角色、 Amazon CloudFormation 堆栈、Amazon EC2 启动模板、AMI 或 VPC ID。 GuardDuty 在一个或多个实例中观察到多种可疑行为,包括:

  • 恶意进程

  • 恶意文件

  • 可疑的网络连接

  • 加密货币挖矿活动

  • 可疑使用了 Amazon EC2 实例凭证

检测方法: GuardDuty 使用专有的关联算法来识别 Amazon EC2 实例中的可疑操作序列。通过评估保护计划和各种信号源的调查结果,利用多种因素(例如 IP 和域名声誉以及可疑的运行进程) GuardDuty 识别攻击模式。

补救措施:如果这种行为在您的环境中出乎意料,则您的 Amazon EC2 实例可能会遭到入侵。折衷方案可能涉及:

  • 多个进程

  • 可能用于修改 Amazon EC2 实例或其他 Amazon 资源的实例证书

有关威胁遏制的建议,请参阅修复可能遭到入侵的 Amazon 实例 EC2。请注意,该漏洞可能会扩展到一个或多个 Amazon EC2 实例,并涉及可能用于创建或修改 Amazon EC2 实例或其他 Amazon 资源的流程或实例凭证遭到泄露。有关涵盖可能受影响的资源的全面补救指南,请参阅修复检测到 GuardDuty 的安全发现

AttackSequence:IAM/CompromisedCredentials

使用可能被泄露的 Amazon 凭据调用的一系列 API 请求。

此发现告诉您, GuardDuty 检测到使用 Amazon 证书进行的一系列可疑操作,这些操作会影响您环境中的一个或多个资源。观察到使用相同凭证的多种可疑和异常攻击行为,提高了该凭证被滥用的可信度。

GuardDuty 使用其专有的关联算法来观察和识别使用 IAM 凭证执行的操作顺序。 GuardDuty 评估保护计划和其他信号源的调查结果,以确定常见和新出现的攻击模式。 GuardDuty 使用多种因素来揭露威胁,例如 IP 信誉、API 序列、用户配置和可能受影响的资源。

补救措施:如果这种行为在您的环境中出乎意料,则您的 Amazon 凭据可能已被泄露。有关修复的步骤,请参阅修复可能被泄露的 Amazon 凭证。泄露的证书可能被用来在您的环境中创建或修改其他资源,例如 Amazon S3 存储桶、 Amazon Lambda 函数或 Amazon EC2 实例。有关修复可能受到影响的其他资源的步骤,请参阅修复检测到 GuardDuty 的安全发现

AttackSequence:S3/CompromisedData

调用了一系列 API 请求,可能试图窃取或破坏 Amazon S3 中的数据。

这一发现告诉您,通过使用可能被泄露的凭证, GuardDuty 检测到一系列可疑操作,表明一个或多个亚马逊简单存储服务 (Amazon S3) 存储桶中存在数据泄露。 Amazon 观察到多种可疑和异常攻击行为(API 请求),提高了该凭证被滥用的可信度。

GuardDuty 使用其关联算法来观察和识别使用 IAM 凭证执行的操作顺序。 GuardDuty 然后评估保护计划和其他信号源的调查结果,以确定常见和新出现的攻击模式。 GuardDuty 使用多种因素来揭露威胁,例如 IP 信誉、API 序列、用户配置和可能受影响的资源。

补救措施:如果此活动在您的环境中出乎意料,则您的 Amazon 凭证或 Amazon S3 数据可能已被泄露或销毁。有关修复的步骤,请参阅修复可能被泄露的 Amazon 凭证修复可能失陷的 S3 存储桶