Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

GuardDuty 攻击序列查找类型

GuardDuty 当由多个操作组成的特定序列与潜在的可疑活动一致时，检测攻击序列。攻击序列包括诸如 API 活动和 GuardDuty 发现结果之类的信号。当 GuardDuty 观察到一组按特定顺序显示正在进行中、持续或最近的安全威胁的信号时， GuardDuty 会生成攻击序列发现。 GuardDuty 将单个 API 活动视为weak signals不存在潜在威胁。

攻击序列检测的重点是 Amazon S3 数据的潜在泄露（这可能是更广泛的勒索软件攻击的一部分）和 Amazon 凭证受损。以下各节提供了有关每个攻击序列的详细信息。

AttackSequence:IAM/CompromisedCredentials

使用可能被泄露的 Amazon 凭据调用的一系列 API 请求。

此发现告诉您， GuardDuty 检测到使用 Amazon 证书进行的一系列可疑操作，这些操作会影响您环境中的一个或多个资源。使用相同的凭证观察到多种可疑和异常的攻击行为，从而提高了凭据被滥用的可信度。

GuardDuty 使用其专有的关联算法来观察和识别使用 IAM 凭证执行的操作顺序。 GuardDuty 评估保护计划和其他信号源的调查结果，以确定常见和新出现的攻击模式。 GuardDuty 使用多种因素来揭露威胁，例如 IP 信誉、API 序列、用户配置和可能受影响的资源。

补救措施：如果这种行为在您的环境中出乎意料，则您的 Amazon 凭据可能已被泄露。有关修复的步骤，请参阅修复可能被泄露的 Amazon 凭证。泄露的证书可能被用来在您的环境中创建或修改其他资源，例如 Amazon S3 存储桶、 Amazon Lambda 函数或 Amazon EC2 实例。有关修复可能受到影响的其他资源的步骤，请参阅修复检测到 GuardDuty 的安全发现。

AttackSequence:S3/CompromisedData

调用了一系列 API 请求，可能试图泄露或销毁 Amazon S3 中的数据。

这一发现告诉您，通过使用可能被泄露的凭证， GuardDuty 检测到一系列可疑操作，表明一个或多个亚马逊简单存储服务 (Amazon S3) 存储桶中存在数据泄露。 Amazon 观察到多种可疑和异常的攻击行为（API 请求），从而提高了凭据被滥用的可信度。

GuardDuty 使用其关联算法来观察和识别使用 IAM 凭证执行的操作顺序。 GuardDuty 然后评估保护计划和其他信号源的调查结果，以确定常见和新出现的攻击模式。 GuardDuty 使用多种因素来揭露威胁，例如 IP 信誉、API 序列、用户配置和可能受影响的资源。

补救措施：如果此活动在您的环境中出乎意料，则您的 Amazon 凭证或 Amazon S3 数据可能已被泄露或销毁。有关修复的步骤，请参见修复可能被泄露的 Amazon 凭证和。修复可能失陷的 S3 存储桶