GuardDuty 调查结果格式 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty 调查结果格式

GuardDuty 检测到您的Amazon环境中,它会生成一个结果。调查结果是一个通知,包含有关 GuardDuty 发现的潜在安全问题的详细信息。这些区域有:结果详细信息包括有关发生了什么事情的信息,Amazon资源参与了可疑活动, 此种活动何时发生等信息及其他信息.

调查结果详细信息中最有用的一部分信息是调查结果类型。调查结果类型的目的是为潜在安全问题提供简明且可读的说明。例如,GuardDutyRecon:EC2/PortProbeUnprotectedPort查找类型可以快速通知您在Amazon环境中,EC2 实例具有一个未受保护的端口,潜在攻击者正在探查此端口。

GuardDuty 使用以下格式命名所生成的各种调查结果类型:

威胁目的:Resource 类型影响/威胁家族名。检测机制! 构件

此格式的每个部分都表示查找类型的一个方面。这些方面有以下解释:

  • 威胁目的-描述威胁的主要目标、攻击类型或潜在攻击阶段。有关 GuardDuty 威胁目的的完整列表,请参阅以下部分。

  • 受资源类型影响-描述了哪些Amazon资源类型在此调查结果中被确定为敌人的潜在目标。目前,GuardDuty 可以为 EC2、IAM 和 S3 资源生成调查结果。

  • 威胁家族名称-描述 GuardDuty 检测到的整体威胁或潜在恶意活动。例如,将值更改为网络端口不寻常表示 GuardDuty 调查结果中确定的 EC2 实例以前没有同样在调查结果中确定的特定远程端口上进行通信的历史记录。

  • 检测机制-描述了 GuardDuty 检测到发现的方法。这可用于指示常见查找类型的变异或 GuardDuty 使用特定机制检测的发现。例如,Backdoor:EC2/DenialOfService.Tcp表示通过 TCP 检测到拒绝服务 (DoS)。UDP 变体是Backdoor:EC2/DenialOfService.Udp

    值为. 自定义表示 GuardDuty 根据您的自定义威胁列表检测到了搜索结果,而.声誉表示 GuardDuty 使用域信誉评分模型检测到查找结果。

  • 构件-描述恶意活动中所用工具拥有的特定资源。例如,结果类型 CryptoCurrency:EC2/BitcoinTool.B!DNS 中的 DNS 表示 EC2 实例正在与已知的比特币相关域进行通信。

威胁目的

GuardDuty威胁目的描述威胁的主要目标、攻击类型或潜在攻击阶段。例如,某些威胁目的,例如后门,表示攻击的类型。然而,一些威胁目的,例如Impact对齐米特雷攻击 & CK 战术。MITRE AT&CK 战术指示对手攻击周期中的不同阶段。在当前 GuardDuty 版本中,ThreatPurstance 可以具有以下值:

后门

此值表示敌方已经破坏了Amazon资源并更改资源,使其能够与其主命令和控制 (C&C) 服务器通信,以接收恶意活动的进一步指令。

Behavior

此值表示 GuardDuty 检测到了活动或活动模式不同于为Amazon所涉及的资源.

凭据访问

此值表示 GuardDuty 检测到了活动模式,敌人可能会使用这些模式从您的环境中窃取凭据(如帐户 ID 或密码)。此威胁目的是基于米特雷攻击 & CK 战术

Crypto

此值表示 GuardDuty 已检测到Amazon资源托管与加密数字货币(例如比特币)相关的软件。

防御逃避

此值表示 GuardDuty 检测到了活动或活动模式,敌方可能会使用这些活动或活动模式来避免在渗透您的环境时进行检测。此威胁目的是基于米特雷攻击 & CK 战术

发现

此值表示 GuardDuty 检测到了活动或活动模式,敌方可能会使用这些活动或活动模式来扩展他们对您的系统和内部网络的了解。此威胁目的是基于米特雷攻击 & CK 战术

渗透

此值表示 GuardDuty 检测到了敌人在试图从您的网络窃取数据时可能使用的活动或活动模式。此威胁目的是基于米特雷攻击 & CK 战术

Impact

此值表示 GuardDuty 检测到的活动或活动模式表明敌人试图操纵、中断或销毁您的系统和数据。此威胁目的是基于米特雷攻击 & CK 战术

初始访问

此威胁目的是基于米特雷攻击 & CK 战术

Pentest

有时候拥有者Amazon资源或其授权代表有意对Amazon应用程序来查找漏洞,例如开放过于宽松的安全组或访问密钥等。进行这些笔测试是为了尝试在攻击者发现之前确定并锁定易受攻击的资源。但是,授权测试人员使用的一些工具免费提供,因此可以由未经授权用户或敌人用于运行探测测试。虽然 GuardDuty 无法识别此类活动背后的真正目的,但Pentest值表示 GuardDuty 正在检测此类活动,此类活动与已知渗透测试工具生成的活动类似,并且可能表示恶意探测您的网络。

持久性

此值表示 GuardDuty 检测到了活动或活动模式,敌方可能会使用这些活动或活动模式来尝试和维护对您系统的访问,即使他们的初始访问路由被切断。例如,这可能包括在通过现有用户的受损证书获取访问权限后创建新的 IAM 用户。删除现有用户的凭据后,对手将保留未检测到作为原始事件一部分的新用户的访问权限。此威胁目的是基于米特雷攻击 & CK 战术

Policy

此值表示您的Amazon帐户表现出的行为不符合建议的安全最佳实践。

PrivilegeEscalation

此值通知您,Amazon环境表现出一些行为,敌方可能会使用这些行为来获得对您的网络的更高级别权限。此威胁目的是基于米特雷攻击 & CK 战术

Recon

此值表示 GuardDuty 检测到了敌人在预先侦测您的网络时可能使用的活动或活动模式,以确定他们如何扩大访问权限或利用您的资源。例如,此活动可能包括在Amazon环境中,通过探测端口、列出用户、数据库表等操作。

Stealth

此值表示敌方正在积极尝试隐藏其操作。例如,他们可能使用匿名代理服务器,使得很难衡量活动的真实性质。

木马

此值表示攻击使用了木马程序,悄无声息地运行恶意活动。有时候此软件貌似合法程序。有时候用户会意外运行此软件。另一些时候,此软件会自动通过利用漏洞来运行。

UnauthorizedAccess

此值表示 GuardDuty 正在检测未经授权个人的恶意活动或可疑活动。