本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# GuardDuty 攻击序列查找类型
<a name="guardduty-attack-sequence-finding-types"></a>

GuardDuty 当由多个操作组成的特定序列与潜在的可疑活动一致时，检测攻击序列。攻击序列包括诸如 API 活动和 GuardDuty 发现结果之类的**信号**。当 GuardDuty 观察到一组按特定顺序显示正在进行中、持续或最近的安全威胁的信号时， GuardDuty 会生成攻击序列发现。 GuardDuty 将单个 API 活动视为[weak signals](guardduty_concepts.md#guardduty-weak-signals-attack-sequence)不存在潜在威胁。

攻击序列检测的重点是 Amazon S3 数据的潜在泄露（这可能是更广泛的勒索软件攻击的一部分）、 Amazon 凭证受损、Amazon EKS 集群受损、Amazon ECS 集群受损以及 Amazon EC2 实例组受损。以下各节详细介绍了每个攻击序列。

**Topics**
+ [AttackSequence:EKS/CompromisedCluster](#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:ECS/CompromisedCluster](#attack-sequence-ecs-compromised-cluster)
+ [AttackSequence:EC2/CompromisedInstanceGroup](#attack-sequence-ec2-compromised-instance-group)
+ [AttackSequence:IAM/CompromisedCredentials](#attack-sequence-iam-compromised-credentials)
+ [AttackSequence:S3/CompromisedData](#attack-sequence-s3-compromised-data)

## AttackSequence:EKS/CompromisedCluster
<a name="attack-sequence-eks-compromised-cluster"></a>

### 可能遭到入侵的 Amazon EKS 集群执行的一系列可疑操作。
<a name="attack-sequence-eks-compromised-cluster-description"></a>
+ 默认严重程度：重大
+ 数据来源：
  + [EKS 审计日志事件](https://docs.amazonaws.cn/guardduty/latest/ug/kubernetes-protection.html#guardduty_k8s-audit-logs)
  + [适用于 Amazon EKS 的运行时监控](https://docs.amazonaws.cn/guardduty/latest/ug/how-runtime-monitoring-works-eks.html)
  + [适用于 Amazon EC2 的 Amazon EKS 恶意软件检测](https://docs.amazonaws.cn/guardduty/latest/ug/malware-protection.html)
  + [Amazon CloudTrail S3 的数据事件](s3-protection.md#guardduty_s3dataplane)
  + [Amazon CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)
  + [VPC 流日志](guardduty_data-sources.md#guardduty_vpc)
  + [Route53 Resolver DNS 查询日志](guardduty_data-sources.md#guardduty_dns)

此发现告知您 GuardDuty 已检测到一系列可疑操作，这些操作表明您的环境中存在可能遭到入侵的 Amazon EKS 集群。在同一 Amazon EKS 集群中观察到多种可疑和异常攻击行为，例如恶意进程或与恶意端点的连接。

GuardDuty 使用其专有的关联算法来观察和识别使用 IAM 凭证执行的操作顺序。 GuardDuty 评估保护计划和其他信号源的调查结果，以确定常见和新出现的攻击模式。 GuardDuty 使用多种因素来揭露威胁，例如 IP 信誉、API 序列、用户配置和可能受影响的资源。

**修复操作**：如果此行为并不是您环境的预期行为，则 Amazon EKS 集群可能已遭到入侵。有关全面的修复指南，请参阅[修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)和[修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。

此外，由于 Amazon 证书可能已通过 EKS 集群泄露，请参阅[修复可能被泄露的凭证 Amazon](compromised-creds.md)。有关修复可能受到影响的其他资源的步骤，请参阅[修复检测到 GuardDuty 的安全发现](guardduty_remediate.md)。

## AttackSequence:ECS/CompromisedCluster
<a name="attack-sequence-ecs-compromised-cluster"></a>

### 可能遭到入侵的 Amazon ECS 集群执行的一系列可疑操作。
<a name="attack-sequence-ecs-compromised-cluster-description"></a>
+ 默认严重程度：重大
+ 数据来源：
  + [亚马逊 ECS Fargate 的运行时监控](https://docs.amazonaws.cn/guardduty/latest/ug/how-runtime-monitoring-works-ecs-fargate.html)
  + [Amazon ECS 中 EC2 实例的运行时监控](https://docs.amazonaws.cn/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
  + [ GuardDuty 适用于 Amazon EC2 的恶意软件防护](https://docs.amazonaws.cn/guardduty/latest/ug/malware-protection.html)

此发现告诉您， GuardDuty 检测到一系列可疑信号，表明您的环境中存在可能受损的 Amazon ECS 集群。这些信号可能包括恶意进程、与恶意端点的通信或加密货币挖矿行为。

GuardDuty 使用专有的关联算法和多种检测因子来识别 Amazon ECS 集群中的可疑操作序列。通过对保护计划和各种信号源的分析， GuardDuty 识别常见和新出现的攻击模式，从而对潜在的漏洞进行高度可信的检测。

**补救措施**：如果这种行为在您的环境中出乎意料，则您的 Amazon ECS 集群可能会受到威胁。有关威胁遏制的建议，请参阅[修复可能失陷的 ECS 集群](compromised-ecs.md)。请注意，折衷方案可能延伸到一个或多个 ECS 任务或容器工作负载，这些任务或容器工作负载本来可以用来创建或修改 Amazon 资源。有关涵盖可能受影响的资源的全面补救指南，请参阅[修复检测到 GuardDuty 的安全发现](guardduty_remediate.md)。

## AttackSequence:EC2/CompromisedInstanceGroup
<a name="attack-sequence-ec2-compromised-instance-group"></a>

### 一系列可疑操作表明 Amazon EC2 实例可能遭到入侵。
<a name="attack-sequence-ec2-compromised-instance-group-description"></a>
+ 默认严重程度：重大
+ 数据来源：
  + [亚马逊 EC2 的运行时监控](https://docs.amazonaws.cn/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
  + [适用于 Amazon EC2 的恶意软件检测](https://docs.amazonaws.cn/guardduty/latest/ug/malware-protection.html)
  + [VPC 流日志](guardduty_data-sources.md#guardduty_vpc)
  + [Route53 Resolver DNS 查询日志](guardduty_data-sources.md#guardduty_dns)

这一发现表明 GuardDuty 检测到一系列可疑操作，表明您的环境中的一组 Amazon EC2 实例可能受到攻击。实例组通常代表通过管理的应用程序 infrastructure-as-code，共享类似的配置，例如自动扩展组、IAM 实例配置文件角色、 Amazon CloudFormation 堆栈、Amazon EC2 启动模板、AMI 或 VPC ID。 GuardDuty 在一个或多个实例中观察到多种可疑行为，包括：
+ 恶意进程
+ 恶意文件
+ 可疑的网络连接
+ 加密货币挖矿活动
+ 可疑使用 Amazon EC2 实例凭证的情况

**检测方法**： GuardDuty 使用专有的关联算法来识别 Amazon EC2 实例中的可疑操作序列。通过评估保护计划和各种信号源的调查结果，利用多种因素（例如 IP 和域名声誉以及可疑的运行进程） GuardDuty 识别攻击模式。

**补救措施**：如果这种行为在您的环境中出乎意料，则您的 Amazon EC2 实例可能会遭到入侵。折衷方案可能涉及：
+ 多个进程
+ 可能用于修改 Amazon EC2 实例或其他 Amazon 资源的实例证书

有关威胁遏制的建议，请参阅[修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。请注意，该漏洞可能会扩展到一个或多个 Amazon EC2 实例，并涉及可能用于创建或修改 Amazon EC2 实例或其他 Amazon 资源的流程或实例凭证遭到泄露。有关涵盖可能受影响的资源的全面补救指南，请参阅[修复检测到 GuardDuty 的安全发现](guardduty_remediate.md)。

## AttackSequence:IAM/CompromisedCredentials
<a name="attack-sequence-iam-compromised-credentials"></a>

### 使用可能被泄露的 Amazon 凭据调用的一系列 API 请求。
<a name="attack-sequence-iam-compromised-credentials-description"></a>
+ 默认严重程度：重大
+ 数据来源：[Amazon CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)

此发现告诉您， GuardDuty 检测到使用 Amazon 证书进行的一系列可疑操作，这些操作会影响您环境中的一个或多个资源。观察到使用相同凭证的多种可疑和异常攻击行为，提高了该凭证被滥用的可信度。

GuardDuty 使用其专有的关联算法来观察和识别使用 IAM 凭证执行的操作顺序。 GuardDuty 评估保护计划和其他信号源的调查结果，以确定常见和新出现的攻击模式。 GuardDuty 使用多种因素来揭露威胁，例如 IP 信誉、API 序列、用户配置和可能受影响的资源。

**补救措施**：如果这种行为在您的环境中出乎意料，则您的 Amazon 凭据可能已被泄露。有关修复的步骤，请参阅[修复可能被泄露的凭证 Amazon](compromised-creds.md)。泄露的凭证可能被用于在您的环境中创建或修改其他资源，例如 Amazon S3 存储桶、 Amazon Lambda 函数或 Amazon EC2 实例。有关修复可能受到影响的其他资源的步骤，请参阅[修复检测到 GuardDuty 的安全发现](guardduty_remediate.md)。

## AttackSequence:S3/CompromisedData
<a name="attack-sequence-s3-compromised-data"></a>

### 调用了一系列 API 请求，可能试图窃取或破坏 Amazon S3 中的数据。
<a name="attack-sequence-s3-compromised-data-description"></a>
+ 默认严重程度：重大
+ 数据来源：[Amazon CloudTrail S3 的数据事件](s3-protection.md#guardduty_s3dataplane)和 [Amazon CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)

这一发现告诉您，通过使用可能被泄露的凭证， GuardDuty 检测到一系列可疑操作，表明一个或多个亚马逊简单存储服务 (Amazon S3) 存储桶中存在数据泄露。 Amazon 观察到多种可疑和异常攻击行为（API 请求），提高了该凭证被滥用的可信度。

GuardDuty 使用其关联算法来观察和识别使用 IAM 凭证执行的操作顺序。 GuardDuty 然后评估保护计划和其他信号源的调查结果，以确定常见和新出现的攻击模式。 GuardDuty 使用多种因素来揭露威胁，例如 IP 信誉、API 序列、用户配置和可能受影响的资源。

**补救措施**：如果此活动在您的环境中出乎意料，则您的 Amazon 凭证或 Amazon S3 数据可能已被泄露或销毁。有关修复的步骤，请参阅[修复可能被泄露的凭证 Amazon](compromised-creds.md)和[修复可能失陷的 S3 存储桶](compromised-s3.md)。