查找类型 - 亚马逊 GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查找类型

GuardDuty RDS 保护现已推出预览版。您对 RDS 保护功能的使用受Amazon服务条款第 2 节(“测试版和预览版”)的约束。

有关 GuardDuty 搜索结果类型的重要更改(包括新添加或停用的查找结果类型)的信息,请参阅Amazon 文件历史记录 GuardDuty

有关已停用的搜索类型的信息,请参阅停用的结果类型

按资源类型列出的发现结果

以下页面按 GuardDuty 当前生成调查结果的每种资源类型进行了细分。这些页面包含有关该资源类型的所有查找类型的详细信息。

调查结果表

下表按名称、资源、数据源和严重性列出了所有查找类型。用星号 (*) 列出的严重程度表示该发现的严重程度因发现情况而异,详情见该调查结果的详细信息。选择调查结果名称以打开有关该调查结果的更多信息。

结果类型

资源

数据源

严重性

Backdoor:EC2/C&CActivity.B

EC2

VPC 流日志

Backdoor:EC2/C&CActivity.B!DNS

EC2

DNS 日志

Backdoor:EC2/DenialOfService.Dns

EC2

VPC 流日志

Backdoor:EC2/DenialOfService.Tcp

EC2

VPC 流日志

Backdoor:EC2/DenialOfService.Udp

EC2

VPC 流日志

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2

VPC 流日志

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2

VPC 流日志

Backdoor:EC2/Spambot

EC2

VPC 流日志

Behavior:EC2/NetworkPortUnusual

EC2

VPC 流日志

Behavior:EC2/TrafficVolumeUnusual

EC2

VPC 流日志

CredentialAccess:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理活动

CredentialAccess:Kubernetes/MaliciousIPCaller

Kubernetes

Kubernetes 审核日志

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

Kubernetes 审核日志

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

Kubernetes 审核日志

CredentialAccess:Kubernetes/TorIPCaller

Kubernetes

Kubernetes 审核日志

CryptoCurrency:EC2/BitcoinTool.B

EC2

VPC 流日志

CryptoCurrency:EC2/BitcoinTool.B!DNS

EC2

DNS 日志

DefenseEvasion:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理活动

DefenseEvasion:Kubernetes/MaliciousIPCaller

Kubernetes

Kubernetes 审核日志

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

Kubernetes 审核日志

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

Kubernetes 审核日志

DefenseEvasion:Kubernetes/TorIPCaller

Kubernetes

Kubernetes 审核日志

Discovery:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理活动

Discovery:Kubernetes/MaliciousIPCaller

Kubernetes

Kubernetes 审核日志

Discovery:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

Kubernetes 审核日志

Discovery:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

Kubernetes 审核日志

Discovery:Kubernetes/TorIPCaller

Kubernetes

Kubernetes 审核日志

Discovery:S3/AnomalousBehavior

S3

CloudTrail S3 的数据事件事件事件事件事件事件

Discovery:S3/MaliciousIPCaller

S3

CloudTrail S3 的数据事件事件事件事件事件事件

Discovery:S3/MaliciousIPCaller.Custom

S3

CloudTrail S3 的数据事件事件事件事件事件事件

Discovery:S3/TorIPCaller

S3

CloudTrail S3 的数据事件事件事件事件事件事件

Execution:Kubernetes/ExecInKubeSystemPod

Kubernetes

Kubernetes 审核日志

Exfiltration:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理活动

Exfiltration:S3/AnomalousBehavior

S3

CloudTrail S3 的数据事件事件事件事件事件事件

Exfiltration:S3/MaliciousIPCaller

S3

CloudTrail S3 的数据事件事件事件事件事件事件

Impact:EC2/AbusedDomainRequest.Reputation

EC2

DNS 日志

Impact:EC2/BitcoinDomainRequest.Reputation

EC2

DNS 日志

Impact:EC2/MaliciousDomainRequest.Reputation

EC2

DNS 日志

Impact:EC2/PortSweep

EC2

VPC 流日志

Impact:EC2/SuspiciousDomainRequest.Reputation

EC2

DNS 日志

Impact:EC2/WinRMBruteForce

EC2

VPC 流日志

低*

Impact:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理活动

Impact:Kubernetes/MaliciousIPCaller

Kubernetes

Kubernetes 审核日志

Impact:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

Kubernetes 审核日志

Impact:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

Kubernetes 审核日志

Impact:Kubernetes/TorIPCaller

Kubernetes

Kubernetes 审核日志

Impact:S3/AnomalousBehavior.Delete

S3

CloudTrail S3 的数据事件事件事件事件事件事件

Impact:S3/AnomalousBehavior.Permission

S3

CloudTrail S3 的数据事件事件事件事件事件事件

Impact:S3/AnomalousBehavior.Write

S3

CloudTrail S3 的数据事件事件事件事件事件事件

Impact:S3/MaliciousIPCaller

S3

CloudTrail S3 的数据事件事件事件事件事件事件

InitialAccess:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理活动

PenTest:IAMUser/KaliLinux

IAM

CloudTrail 管理活动

PenTest:IAMUser/ParrotLinux

IAM

CloudTrail 管理活动

PenTest:IAMUser/PentooLinux

IAM

CloudTrail 管理活动

PenTest:S3/KaliLinux

S3

CloudTrail S3 的数据事件事件事件事件事件事件

PenTest:S3/ParrotLinux

S3

CloudTrail S3 的数据事件事件事件事件事件事件

PenTest:S3/PentooLinux

S3

CloudTrail S3 的数据事件事件事件事件事件事件

Persistence:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理活动

Persistence:Kubernetes/ContainerWithSensitiveMount

Kubernetes

Kubernetes 审核日志

Persistence:Kubernetes/MaliciousIPCaller

Kubernetes

Kubernetes 审核日志

Persistence:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

Kubernetes 审核日志

Persistence:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

Kubernetes 审核日志

Persistence:Kubernetes/TorIPCaller

Kubernetes

Kubernetes 审核日志

Policy:IAMUser/RootCredentialUsage

IAM

CloudTrail S3 的管理事件或 CloudTrail 数据事件

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Kubernetes

Kubernetes 审核日志

Policy:Kubernetes/AnonymousAccessGranted

Kubernetes

Kubernetes 审核日志

Policy:Kubernetes/KubeflowDashboardExposed

Kubernetes

Kubernetes 审核日志

Policy:Kubernetes/ExposedDashboard

Kubernetes

Kubernetes 审核日志

Policy:S3/AccountBlockPublicAccessDisabled

S3

CloudTrail 管理事件

Policy:S3/BucketAnonymousAccessGranted

S3

CloudTrail 管理事件

Policy:S3/BucketBlockPublicAccessDisabled

S3

CloudTrail 管理事件

Policy:S3/BucketPublicAccessGranted

S3

CloudTrail 管理事件

PrivilegeEscalation:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理事件

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Kubernetes

Kubernetes 审核日志

Recon:EC2/PortProbeEMRUnprotectedPort

EC2

VPC 流日志

Recon:EC2/PortProbeUnprotectedPort

EC2

VPC 流日志

低*

Recon:EC2/Portscan

EC2

VPC 流日志

Recon:IAMUser/MaliciousIPCaller

IAM

CloudTrail 管理事件

Recon:IAMUser/MaliciousIPCaller.Custom

IAM

CloudTrail 管理事件

Recon:IAMUser/TorIPCaller

IAM

CloudTrail 管理事件

Stealth:IAMUser/CloudTrailLoggingDisabled

IAM

CloudTrail 管理事件

Stealth:IAMUser/PasswordPolicyChange

IAM

CloudTrail 管理活动

低*

Stealth:S3/ServerAccessLoggingDisabled

S3

CloudTrail 管理事件

Trojan:EC2/BlackholeTraffic

EC2

VPC 流日志

Trojan:EC2/BlackholeTraffic!DNS

EC2

DNS 日志

Trojan:EC2/DGADomainRequest.B

EC2

DNS 日志

Trojan:EC2/DGADomainRequest.C!DNS

EC2

DNS 日志

Trojan:EC2/DNSDataExfiltration

EC2

DNS 日志

Trojan:EC2/DriveBySourceTraffic!DNS

EC2

DNS 日志

Trojan:EC2/DropPoint

EC2

VPC 流日志

Trojan:EC2/DropPoint!DNS

EC2

DNS 日志

Trojan:EC2/PhishingDomainRequest!DNS

EC2

DNS 日志

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2

VPC 流日志

UnauthorizedAccess:EC2/MetadataDNSRebind

EC2

DNS 日志

UnauthorizedAccess:EC2/RDPBruteForce

EC2

VPC 流日志

低*

UnauthorizedAccess:EC2/SSHBruteForce

EC2

VPC 流日志

低*

UnauthorizedAccess:EC2/TorClient

EC2

VPC 流日志

UnauthorizedAccess:EC2/TorRelay

EC2

VPC 流日志

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

IAM

CloudTrail 管理事件

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

IAM

CloudTrail 管理活动

高*

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

IAM

CloudTrail S3 的管理事件或 CloudTrail 数据事件

UnauthorizedAccess:IAMUser/MaliciousIPCaller

IAM

CloudTrail 管理事件

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

IAM

CloudTrail 管理事件

UnauthorizedAccess:IAMUser/TorIPCaller

IAM

CloudTrail 管理事件

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

S3

CloudTrail 数据事件 S3

UnauthorizedAccess:S3/TorIPCaller

S3

CloudTrail S3 的数据事件事件事件事件事件事件

Execution:EC2/MaliciousFile

EC2

EBS 卷

因检测到的威胁而异

Execution:ECS/MaliciousFile

ECS

EBS 卷

因检测到的威胁而异

Execution:Kubernetes/MaliciousFile

Kubernetes

EBS 卷

因检测到的威胁而异

Execution:Container/MaliciousFile

容器

EBS 卷

因检测到的威胁而异

Execution:EC2/SuspiciousFile

EC2

EBS 卷

因检测到的威胁而异

Execution:ECS/SuspiciousFile

ECS

EBS 卷

因检测到的威胁而异

Execution:Kubernetes/SuspiciousFile

Kubernetes

EBS 卷

因检测到的威胁而异

Execution:Container/SuspiciousFile

容器

EBS 卷

因检测到的威胁而异

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

支持的Amazon Aurora

RDS 登录活动监控

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

支持的Amazon Aurora

RDS 登录活动监控