本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
GuardDuty 查找格式
当在您的 Amazon 环境中 GuardDuty 检测到可疑或意外行为时,它会生成调查结果。调查结果是一种通知,其中包含有关已发现 GuardDuty 的潜在安全问题的详细信息。在 GuardDuty 控制台中查看生成的调查结果其中包括有关发生了什么、可疑活动涉及哪些 Amazon 资源、此活动何时发生的信息,以及可能有助于您了解根本原因的相关信息。
调查发现详细信息中最有用的一部分信息是调查发现类型。调查发现类型的目的是为潜在安全问题提供简明且可读的说明。例如, GuardDutyRecon:EC2/PortProbeUnprotectedPort查找类型会很快通知您,在您的 Amazon 环境中,某个 EC2 实例有一个未受保护的端口,潜在的攻击者正在探测该端口。
GuardDuty 使用以下格式命名其生成的各种类型的调查结果:
ThreatPurpose:ResourceTypeAffected/ThreatFamilyName。 DetectionMechanism! Artical
此格式的每个部分都表示调查发现类型的一个方面。这些方面有如下解释:
-
ThreatPurpose-描述威胁的主要目的、攻击类型或潜在攻击的阶段。有关 GuardDuty 威胁目的的完整列表,请参阅以下部分。
-
ResourceTypeAffected-描述本调查结果中将哪种 Amazon 资源类型确定为对手的潜在目标。目前, GuardDuty 可以为中列出的资源类型生成调查结果GuardDuty 主动查找类型。
-
ThreatFamilyName-描述 GuardDuty 正在检测到的总体威胁或潜在的恶意活动。例如,值为NetworkPortUnusual表示在调查结果中识别的 EC2 实例在 GuardDuty 调查结果中也标识的特定远程端口上没有先前的通信记录。
-
DetectionMechanism-描述 GuardDuty 检测发现结果的方法。这可用于表示常见发现类型的变异或 GuardDuty 使用特定机制进行检测的发现。例如,Backdoor:EC2/DenialOfService.Tcp 表示通过 TCP 检测到拒绝服务 (DoS)。UDP 变体是 Backdoor:EC2/DenialOfService.Udp。
值为 .Custom 表示根据您的自定义威胁列表 GuardDuty 检测到了发现。有关更多信息,请参阅 实体列表和 IP 地址列表。
.Repitution 值表示使用域名信誉评分模型 GuardDuty 检测到该结果。有关更多信息,请参阅如何 Amazon 跟踪云中最大的安全威胁并帮助将其关闭
。 -
Artifact:描述恶意活动中使用的工具所拥有的特定资源。例如,查找类型中的 DNS CryptoCurrency:EC2/BitcoinTool.B!DNS 表示一个 Amazon EC2 实例正在与已知的比特币相关域进行通信。
注意
Artifact 是可选的,可能不适用于所有 GuardDuty 查找类型。
威胁目的
GuardDuty 在威胁目的中,描述威胁的主要目的、攻击类型或潜在攻击的阶段。例如,某些威胁目的(例如 Backdoor)表示一种攻击类型。但某些威胁目的,例如,Impact 与 MITRE ATT&CK 策略
- 后门
-
此值表示攻击者破坏了 Amazon 资源并更改了资源,因此它能够联系其主命令和控制 (C&C) 服务器以接收有关恶意活动的进一步指令。
- 行为
-
此值表示检测到 GuardDuty 的活动或活动模式与所涉 Amazon 资源的既定基准不同。
- CredentialAccess
-
此值表示 GuardDuty 已检测到活动模式,攻击者可能利用这些活动模式从您的环境中窃取证书,例如密码、用户名和访问密钥。此威胁目的基于 MITRE ATT&CK 策略
。 - Cryptocurrency
-
此值表示 GuardDuty 已检测到您的环境中的 Amazon 资源正在托管与加密货币(例如比特币)关联的软件。
- DefenseEvasion
-
此值表示 GuardDuty 已检测到活动或活动模式,攻击者在渗透到您的环境时可能会使用这些活动或活动模式来避免被发现。此威胁目的基于 MITRE ATT&CK 策略
- Discovery
-
此值表示 GuardDuty 已检测到活动或活动模式,攻击者可能会利用这些活动或活动模式来扩展他们对您的系统和内部网络的了解。此威胁目的基于 MITRE ATT&CK 策略
。 - Execution
-
此值表示 GuardDuty 已检测到攻击者可能试图运行或已经运行恶意代码来探索 Amazon 环境或窃取数据。此威胁目的基于 MITRE ATT&CK 策略
。 - Exfiltration
-
此值表示 GuardDuty 已检测到攻击者在尝试从您的环境中窃取数据时可能使用的活动或活动模式。此威胁目的基于 MITRE ATT&CK 策略
。 - Impact
-
此值表示 GuardDuty 已检测到活动或活动模式,这些活动或活动模式表明对手正试图操纵、中断或破坏您的系统和数据。此威胁目的基于 MITRE ATT&CK 策略
。 - InitialAccess
-
该值通常与攻击的初始访问阶段有关,即攻击者尝试建立对环境的访问的阶段。此威胁目的基于 MITRE ATT&CK 策略
。 - Pentest
-
有时, Amazon 资源所有者或其授权代表会故意对 Amazon 应用程序进行测试以发现漏洞,例如开放的安全组或过于宽松的访问密钥。进行这些渗透测试是为了尝试在攻击者发现之前确定和锁定易受攻击的资源。但是,授权渗透测试人员使用的一些工具是免费的,因此未经授权的用户或攻击者也可使用这些工具进行探测测试。尽管 GuardDuty 无法确定此类活动背后的真正目的,但 Pentest 值表示 GuardDuty 正在检测此类活动,它与已知的笔试工具生成的活动类似,并且可能表示对您的网络进行了恶意探测。
- Persistence
-
此值表示 GuardDuty 已检测到活动或活动模式,即使他们的初始访问路径被切断,攻击者也可能使用这些活动或活动模式来尝试保持对系统的访问权限。例如,这可能包括通过现有用户泄露的凭证获得访问权限后创建新的 IAM 用户。现有用户的凭证被删除后,攻击者将保留对新用户的访问权限,而在原始事件中未检测到这种访问权限。此威胁目的基于 MITRE ATT&CK 策略
。 - Policy
-
此值表示您的 Amazon Web Services 账户 行为与推荐的安全最佳实践背道而驰。例如,意外修改与 Amazon 资源或环境相关的权限策略,以及使用本应很少或根本没有使用的特权账户。
- PrivilegeEscalation
-
该值通知您,攻击者可能利用您 Amazon 环境中相关主体表现出的行为,来获取更高级别的网络访问权限。此威胁目的基于 MITRE ATT&CK 策略
。 - Recon
-
此值表示 GuardDuty 已检测到活动或活动模式,攻击者在对您的环境进行侦察时可能会使用这些活动或活动模式,以确定他们如何扩大访问范围或利用您的资源。例如,此活动可能包括通过探测端口、发出 API 调用、列出用户、列出数据库表等操作来确定 Amazon 环境中的漏洞。
- Stealth
-
该值表示攻击者正在主动尝试隐藏其操作。例如,他们可能会使用匿名代理服务器,从而极难判断活动的真实性质。
- Trojan
-
该值表示攻击使用了木马程序,静默执行恶意活动。有时候此软件貌似合法程序。有时候用户会意外运行此软件。另一些时候,此软件会自动通过利用漏洞来运行。
- UnauthorizedAccess
-
此值表示 GuardDuty 正在检测未经授权的个人的可疑活动或可疑活动模式。