GuardDuty 攻击序列调查发现类型
如果某特定顺序的操作与潜在的可疑活动一致,GuardDuty 会检测到攻击序列。攻击序列包括 API 活动和 GuardDuty 调查发现等信号。如果 GuardDuty 观察到一组某特定顺序的信号(信号表示有进行中的安全威胁、持续的安全威胁或近期的安全威胁),GuardDuty 就会生成攻击序列调查发现。GuardDuty 将单个 API 活动视为weak signals,因为它们不存在潜在威胁。
攻击序列检测的重点是 Amazon S3 数据的潜在泄露(这可能是更广泛的勒索软件攻击的一部分)、Amazon 凭证泄露和 Amazon EKS 集群遭遇入侵。以下各节详细介绍了每个攻击序列。
主题
AttackSequence:EKS/CompromisedCluster
可能遭到入侵的 Amazon EKS 集群执行的一系列可疑操作。
-
默认严重程度:重大
-
数据来源:
此调查发现告知您,GuardDuty 检测到一系列可疑操作,这些操作表明您的环境中存在可能遭到入侵的 Amazon EKS 集群。在同一 Amazon EKS 集群中观察到多种可疑和异常攻击行为,例如恶意进程或与恶意端点的连接。
GuardDuty 会使用其专有的关联算法来观察和识别使用 IAM 凭证执行的操作序列。GuardDuty 会评估防护计划和其他信号源的调查发现,以确定常见和新出现的攻击模式。GuardDuty 会利用多种因素(例如 IP 信誉、API 序列、用户配置和可能受影响的资源)来找出威胁。
修复操作:如果此行为并不是您环境的预期行为,则 Amazon EKS 集群可能已遭到入侵。有关全面的修复指南,请参阅修复 EKS 防护调查发现和修复运行时监控调查发现。
此外,Amazon 凭证可能已通过 EKS 集群泄露,另请参阅修复可能被泄露的 Amazon 凭证。有关修复可能受到影响的其他资源的步骤,请参阅修复检测到的 GuardDuty 安全调查发现。
AttackSequence:IAM/CompromisedCredentials
使用可能被泄露的 Amazon 凭证调用的一系列 API 请求。
-
默认严重程度:重大
此调查发现告知您,GuardDuty 检测到使用 Amazon 凭证进行的一系列可疑操作,这些操作会影响您环境中的一个或多个资源。观察到使用相同凭证的多种可疑和异常攻击行为,提高了该凭证被滥用的可信度。
GuardDuty 会使用其专有的关联算法来观察和识别使用 IAM 凭证执行的操作序列。GuardDuty 会评估防护计划和其他信号源的调查发现,以确定常见和新出现的攻击模式。GuardDuty 会利用多种因素(例如 IP 信誉、API 序列、用户配置和可能受影响的资源)来找出威胁。
修复操作:如果此行为并不是您环境的预期行为,则 Amazon 凭证可能已泄露。有关修复的步骤,请参阅修复可能被泄露的 Amazon 凭证。泄露的凭证可能被用于在您的环境中创建或修改其他资源,例如 Amazon S3 存储桶、Amazon Lambda 函数或 Amazon EC2 实例。有关修复可能受到影响的其他资源的步骤,请参阅修复检测到的 GuardDuty 安全调查发现。
AttackSequence:S3/CompromisedData
调用了一系列 API 请求,可能试图窃取或破坏 Amazon S3 中的数据。
-
默认严重程度:重大
此调查发现告知您,GuardDuty 检测到使用可能被泄露的 Amazon 凭证进行的一系列可疑操作,表明一个或多个 Amazon Simple Storage Service(Amazon S3)存储桶中存在数据泄露。观察到多种可疑和异常攻击行为(API 请求),提高了该凭证被滥用的可信度。
GuardDuty 会使用其关联算法来观察和识别使用 IAM 凭证执行的操作序列。GuardDuty 然后会评估防护计划和其他信号源的调查发现,以确定常见和新出现的攻击模式。GuardDuty 会利用多种因素(例如 IP 信誉、API 序列、用户配置和可能受影响的资源)来找出威胁。
修复操作:如果此活动并不是您环境的预期活动,则您的 Amazon 凭证或 Amazon S3 数据可能已被窃取或破坏。有关修复的步骤,请参阅修复可能被泄露的 Amazon 凭证和修复可能失陷的 S3 存储桶。