GuardDuty 调查发现格式 - Amazon GuardDuty
威胁目的
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

GuardDuty 调查发现格式

当 GuardDuty 在您的 Amazon 环境中检测到可疑或意外行为时,会生成调查发现。调查发现是一个通知,包含有关 GuardDuty 发现的潜在安全问题的详细信息。在 GuardDuty 控制台中查看生成的调查发现包括有关发生的情况、可疑活动涉及的 Amazon 资源、该活动发生的时间等信息,以及可能有助您了解根本原因的相关信息。

调查发现详细信息中最有用的一部分信息是调查发现类型。调查发现类型的目的是为潜在安全问题提供简明且可读的说明。例如,GuardDuty Recon:EC2/PortProbeUnprotectedPort 调查发现类型快速通知您,在您的 Amazon 环境中的某个位置,EC2 实例有一个未受保护的端口,潜在攻击者正在探测此端口。

GuardDuty 使用以下格式命名其生成的各种类型的调查发现:

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!Artifact

此格式的每个部分都表示调查发现类型的一个方面。这些方面有如下解释:

  • ThreatPurpose:描述威胁的主要目的、攻击类型或潜在攻击的阶段。有关 GuardDuty 威胁目的的完整列表,请参阅以下部分。

  • ResourceTypeAffected:描述在此调查发现中哪种 Amazon 资源类型被识别为攻击者的潜在目标。目前,GuardDuty 可以为 GuardDuty 活跃调查发现类型中列出的资源类型生成调查发现。

  • ThreatFamilyName:描述 GuardDuty 正在检测的整体威胁或潜在恶意活动。例如,NetworkPortUnusual 值表示在 GuardDuty 调查发现中识别的 EC2 实例以前,没有同样在调查发现中识别的特定远程端口上通信的历史记录。

  • DetectionMechanism:描述了 GuardDuty 检测调查发现的方法。这可以用来表示常见调查发现类型的变体或 GuardDuty 使用特定机制进行检测的调查发现。例如,Backdoor:EC2/DenialOfService.Tcp 表示通过 TCP 检测到拒绝服务(DoS)。UDP 变体是 Backdoor:EC2/DenialOfService.Udp

    .Custom 值表示 GuardDuty 根据您的自定义威胁列表检测到该调查发现。有关更多信息,请参阅 实体列表和 IP 地址列表

    .Reputation 值表示 GuardDuty 使用域信誉评分模型检测到该调查发现。有关更多信息,请参阅 How Amazon tracks the cloud's biggest security threats and helps shut them down

  • Artifact:描述恶意活动中使用的工具所拥有的特定资源。例如,调查发现类型 CryptoCurrency:EC2/BitcoinTool.B!DNS 中的 DNS 表示某个 Amazon EC2 实例正在与已知的比特币相关域进行通信。

    注意

    构件是可选的,可能并非适用于所有 GuardDuty 调查发现类型。

威胁目的

在 GuardDuty 中,威胁目的描述了威胁的主要目的、攻击类型或潜在攻击的阶段。例如,某些威胁目的(例如 Backdoor)表示一种攻击类型。但某些威胁目的,例如,ImpactMITRE ATT&CK 策略一致。MITRE ATT&CK 策略表示攻击者攻击周期的不同阶段。在当前版本的 GuardDuty 中,ThreatPurpose 可以有以下值:

后门

该值表示攻击者攻击了 Amazon 资源并更改了该资源,使其能够与主命令与控制(C&C)服务器通信,接收有关恶意活动的进一步指令。

行为

该值表示 GuardDuty 检测到的活动或活动模式与所涉及 Amazon 资源的既定基准不同。

CredentialAccess

该值表示 GuardDuty 检测到攻击者可能用来从您的环境中窃取凭证(如密码、用户名和访问密钥)的活动模式。此威胁目的基于 MITRE ATT&CK 策略

Cryptocurrency

该值表示 GuardDuty 检测到您 Amazon 环境中的资源正在托管与加密货币(例如比特币)关联的软件。

DefenseEvasion

该值表示 GuardDuty 检测到攻击者在渗透到您的环境时,可用来避开检测的活动或活动模式。此威胁目的基于 MITRE ATT&CK 策略

Discovery

该值表示 GuardDuty 检测到攻击者可能用来扩展对您的系统和内部网络了解的活动或活动模式。此威胁目的基于 MITRE ATT&CK 策略

Execution

该值表示 GuardDuty 检测到攻击者可能尝试运行或已经在运行用来探索 Amazon 环境或窃据数据的恶意代码。此威胁目的基于 MITRE ATT&CK 策略

Exfiltration

该值表示 GuardDuty 检测到攻击者在尝试从您的环境中窃取数据时可能使用的活动或活动模式。此威胁目的基于 MITRE ATT&CK 策略

Impact

该值表示 GuardDuty 检测到表明攻击者正在尝试操纵、中断或破坏您的系统和数据的活动或活动模式。此威胁目的基于 MITRE ATT&CK 策略

InitialAccess

该值通常与攻击的初始访问阶段有关,即攻击者尝试建立对环境的访问的阶段。此威胁目的基于 MITRE ATT&CK 策略

Pentest

有时,Amazon 资源所有者或其授权代表会故意对 Amazon 应用程序运行测试,以查找漏洞,例如开放安全组或过于宽松的访问密钥。进行这些渗透测试是为了尝试在攻击者发现之前确定和锁定易受攻击的资源。但是,授权渗透测试人员使用的一些工具是免费的,因此未经授权的用户或攻击者也可使用这些工具进行探测测试。虽然 GuardDuty 无法识别此类活动背后的真实目的,但 Pentest 值表示 GuardDuty 正在检测此类活动,此类活动与已知的渗透测试工具生成的活动类似,可能表明您的网络遭到了恶意探测。

Persistence

该值表示 GuardDuty 检测到攻击者可能用来尝试保持对系统的访问的活动或活动模式,即使其初始访问路由被切断。例如,这可能包括通过现有用户泄露的凭证获得访问权限后创建新的 IAM 用户。现有用户的凭证被删除后,攻击者将保留对新用户的访问权限,而在原始事件中未检测到这种访问权限。此威胁目的基于 MITRE ATT&CK 策略

Policy

该值表示您的 Amazon Web Services 账户表现出的行为不符合建议的安全最佳实践。例如,意外修改与 Amazon 资源或环境相关的权限策略,以及使用本应很少或根本没有使用的特权账户。

PrivilegeEscalation

该值通知您,攻击者可能利用您 Amazon 环境中相关主体表现出的行为,来获取更高级别的网络访问权限。此威胁目的基于 MITRE ATT&CK 策略

Recon

该值表示 GuardDuty 检测到攻击者为了确定如何可以扩大访问权限或利用您的资源,而在对您的环境进行侦测时可能使用的活动或活动模式。例如,此活动可能包括通过探测端口、发出 API 调用、列出用户、列出数据库表等操作来确定 Amazon 环境中的漏洞。

Stealth

该值表示攻击者正在主动尝试隐藏其操作。例如,他们可能会使用匿名代理服务器,从而极难判断活动的真实性质。

Trojan

该值表示攻击使用了木马程序,静默执行恶意活动。有时候此软件貌似合法程序。有时候用户会意外运行此软件。另一些时候,此软件会自动通过利用漏洞来运行。

UnauthorizedAccess

该值表示 GuardDuty 正在检测未经授权的个人的可疑活动或可疑活动模式。