GuardDuty 查找格式 - Amazon GuardDuty
威胁目的
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty 查找格式

当 Amazon 在您的 Amazon 环境中检测到可疑或意外行为时,它会生成一个调查结果。调查结果是一个通知,包含有关 发现的潜在安全问题的详细信息。调查结果详细信息包括有关所发生情况、可疑活动涉及哪些 Amazon 资源、此活动何时发生等信息及其他信息。

调查结果详细信息中最有用的一部分信息是调查结果类型。调查结果类型的目的是为潜在安全问题提供简明且可读的说明。例如,Recon:EC2/PortProbeUnprotectedPortAmazon 调查结果类型快速通知您,在 Amazon 环境中的某个位置,潜在攻击者正在探查某个 EC2 实例未受保护的端口。

为所生成的各种调查结果类型使用以下格式:

威胁目的:资源类型受影响/威胁家族名称。检测机制! 构件

此格式的每个部分都代表查找类型的一个方面。这些方面有以下解释:

  • ThreatPurpose – 描述威胁或潜在攻击的主要目标。有关 GuardDuty 威胁目的的完整列表,请参阅以下部分。

  • ResourceTypeAffected – 描述在此调查结果中将哪些 Amazon 资源确定为攻击的潜在目标。目前,GuardDuty 可以为 EC2、S3、IAM 和 EKS 资源生成调查结果。

  • ThreatFamilyName – 描述 正在检测的整体威胁或潜在恶意活动。例如,NetworkPortUnusual 值指示在 调查结果中确定的 EC2 实例以前没有同样在该调查结果中确定的特定远程端口上进行通信的历史记录。

  • 检测机制 ——描述了 GuardDuty 检测发现的方法。这可以用来表示常见发现类型的变体或 GuardDuty 使用特定机制来检测的发现。例如,backdoor: ec2/denialofService.tcp 表示在 TCP 上检测到拒绝服务 (DoS)。UDP 变体是 b ac kdoor: ec2/denialofService.udp。

    .Custom 值表示 GuardDuty 根据您的自定义威胁列表检测到了该发现,而 .Reputation 则表示 GuardDuty 使用域名信誉评分模型检测到了该发现。

  • Artifact – 描述攻击中所用工具拥有的特定资源。例如,结果类型 CryptoCurrency:EC2/BitcoinTool.B!DNS 中的 DNS 表示 EC2 实例正在与已知的比特币相关域进行通信。

威胁目的

在 GuardDuty 中,威胁目的描述了威胁的主要目的、攻击类型或潜在攻击的阶段。例如,某些威胁目的(例如 Backdoor)表示一种攻击。但是,某些威胁目的,例如冲击,与 MITRE ATT&C K 战术一致。MITRE ATT&CK 战术表明了对手攻击周期的不同阶段。在当前 版本中,ThreatPurpose 可以具有以下值:

后门

Backdoor – 此值表示攻击盗用了 Amazon 资源并可以与其主命令和控制 (C&C) 服务器通信,用于进一步接收恶意活动的指令。

行为

此值表示 GuardDuty 检测到的活动或活动模式与所涉资源的既定基准Amazon不同。

凭证访问权限

此值表示 GuardDuty 已检测到活动模式,攻击者可能利用这些活动模式从您的环境中窃取账户 ID 或密码等凭证。这种威胁目的基于 MITRE ATT&CK 战术

加密货币

此值表示 GuardDuty 已检测到您的环境中的资源正在托管与加密货币(例如比特币)关联的软件。Amazon

防御闪避

此值表示 GuardDuty 已检测到活动或活动模式,攻击者在渗透到您的环境时可能会使用这些活动或活动模式来避免被发现。这种威胁目的基于 MITRE ATT&CK 战术

探索

此值表示 GuardDuty 已检测到活动或活动模式,攻击者可能会利用这些活动或活动模式来扩展对您的系统和内部网络的了解。这种威胁目的基于 MITRE ATT&C K 战术。

执行

此值表示 GuardDuty 已检测到攻击者可能试图运行恶意代码来探索网络或窃取数据。这种威胁目的基于 MITRE ATT&C K 战术。

渗透

此值表示 GuardDuty 已检测到攻击者在尝试从您的网络中窃取数据时可能使用的活动或活动模式。这种威胁目的基于 MITRE ATT&C K 战术。

影响:

此值表示 GuardDuty 已检测到活动或活动模式,这些活动或活动模式表明对手正试图操纵、中断或破坏您的系统和数据。这种威胁目的基于 MITRE ATT&CK 战术

初始访问权限

这种威胁目的基于 MITRE ATT&CK 战术

PenTest

PentestAmazon - 有时候 Amazon 资源的所有者或其授权代表有意运行针对 Amazon 应用程序的测试来查找漏洞,例如开放过于宽松的安全组或访问密钥等。进行这些渗透测试是为了尝试在攻击者发现之前确定和锁定易受攻击的资源。不过,授权渗透测试人员使用的一些工具免费提供,因此会由未经授权用户或攻击者用于运行探测测试。尽管 不能识别这种活动背后的真实目的,但 Pentest 值指示 正在检测此类活动,并且此类活动与已知渗透测试工具生成的活动类似。

持久性

此值表示 GuardDuty 已检测到活动或活动模式,即使他们的初始访问路径被切断,攻击者也可能使用这些活动或活动模式来尝试保持对系统的访问权限。例如,这可能包括在通过现有用户泄露的证书获得访问权限后创建新的 IAM 用户。删除现有用户的凭据后,攻击者将保留在原始事件中未被检测到的新用户的访问权限。这种威胁目的基于 MITRE ATT&C K 战术。

策略

Policy - 此值表示您 Amazon 账户表现出的行为不符合建议的安全最佳实践。

PrivilegeEscalation

此值告诉您,您的Amazon环境中涉及的主体表现出攻击者可能用来获取更高级别的网络权限的行为。这种威胁目的基于 MITRE ATT&C K 战术。

Recon

此值表示 GuardDuty 已检测到活动或活动模式,攻击者在对您的网络进行侦察时可能会使用这些活动或活动模式,以确定他们如何扩大访问范围或利用您的资源。例如,此活动可能包括通过探测端口、列出用户、数据库表等来确定Amazon环境中的漏洞。

Stealth

此值表示对手正在积极试图隐瞒自己的行为。例如,他们可能使用匿名代理服务器,这使得衡量活动的真实性质变得极其困难。

木马

Trojan – 此值表示攻击使用了木马程序,悄无声息地运行恶意活动。有时候此软件貌似合法程序。有时候用户会意外运行此软件。另一些时候,此软件会自动通过利用漏洞来运行。

UnauthorizedAccess

UnauthorizedAccess – 此值表示 正在检测未经授权个人的恶意活动或可疑活动。