GuardDuty 查找类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty 查找类型

发现是在检测到您的可疑或恶意活动的迹象时 GuardDuty 生成的通知 Amazon Web Services 账户。 GuardDuty 在已启用的账户中生成查找结果 GuardDuty。

有关对 GuardDuty 查找结果类型进行重要更改(包括新添加或已停用的查找类型)的信息,请参见Amazon 的文档历史记录 GuardDuty

有关查找现已停用的类型的信息,请参阅 停用的调查发现类型

GuardDuty 按可能受影响的资源查找类型

以下页面按与 GuardDuty调查结果相关的可能受影响的资源类型分类:

GuardDuty 主动查找类型

下表显示按基础数据来源或功能排序的所有处于活动状态的调查发现类型(如果适用)。在下表中,一些发现的 “发现严重性” 列值用星号 (*) 或加号 (+) 标记:

* 这些发现类型的严重性各不相同。特定类型的发现可能具有不同的严重性,具体取决于该发现的特定背景。有关查找结果类型的更多信息,请查看其详细描述。

+ 使用 VPC 流日志作为数据源的EC2 发现不支持 IPv6 流量。

调查发现类型

资源类型

基础数据来源/功能

调查发现的严重性

Discovery:S3/AnomalousBehavior

Amazon S3

CloudTrail S3 的数据事件

Discovery:S3/MaliciousIPCaller

Amazon S3

CloudTrail S3 的数据事件

Discovery:S3/MaliciousIPCaller.Custom

Amazon S3

CloudTrail S3 的数据事件

Discovery:S3/TorIPCaller

Amazon S3

CloudTrail S3 的数据事件

Exfiltration:S3/AnomalousBehavior

Amazon S3

CloudTrail S3 的数据事件

Exfiltration:S3/MaliciousIPCaller

Amazon S3

CloudTrail S3 的数据事件

Impact:S3/AnomalousBehavior.Delete

Amazon S3

CloudTrail S3 的数据事件

Impact:S3/AnomalousBehavior.Permission

Amazon S3

CloudTrail S3 的数据事件

Impact:S3/AnomalousBehavior.Write

Amazon S3

CloudTrail S3 的数据事件

Impact:S3/MaliciousIPCaller

Amazon S3

CloudTrail S3 的数据事件

PenTest:S3/KaliLinux

Amazon S3

CloudTrail S3 的数据事件

PenTest:S3/ParrotLinux

Amazon S3

CloudTrail S3 的数据事件

PenTest:S3/PentooLinux

Amazon S3

CloudTrail S3 的数据事件

UnauthorizedAccess:S3/TorIPCaller

Amazon S3

CloudTrail S3 的数据事件

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Amazon S3

CloudTrail S3 的数据事件

CredentialAccess:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理事件

DefenseEvasion:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理事件

Discovery:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理事件

Exfiltration:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理事件

Impact:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理事件

InitialAccess:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理事件

PenTest:IAMUser/KaliLinux

IAM

CloudTrail 管理事件

PenTest:IAMUser/ParrotLinux

IAM

CloudTrail 管理事件

PenTest:IAMUser/PentooLinux

IAM

CloudTrail 管理事件

Persistence:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理事件

Stealth:IAMUser/PasswordPolicyChange

IAM

CloudTrail 管理事件

*

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

IAM

CloudTrail 管理事件

*

Policy:S3/AccountBlockPublicAccessDisabled

Amazon S3

CloudTrail 管理事件

Policy:S3/BucketAnonymousAccessGranted

Amazon S3

CloudTrail 管理事件

Policy:S3/BucketBlockPublicAccessDisabled

Amazon S3

CloudTrail 管理事件

Policy:S3/BucketPublicAccessGranted

Amazon S3

CloudTrail 管理事件

PrivilegeEscalation:IAMUser/AnomalousBehavior

IAM

CloudTrail 管理事件

Recon:IAMUser/MaliciousIPCaller

IAM

CloudTrail 管理事件

Recon:IAMUser/MaliciousIPCaller.Custom

IAM

CloudTrail 管理事件

Recon:IAMUser/TorIPCaller

IAM

CloudTrail 管理事件

Stealth:IAMUser/CloudTrailLoggingDisabled

IAM

CloudTrail 管理事件

Stealth:S3/ServerAccessLoggingDisabled

Amazon S3

CloudTrail 管理事件

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

IAM

CloudTrail 管理事件

UnauthorizedAccess:IAMUser/MaliciousIPCaller

IAM

CloudTrail 管理事件

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

IAM

CloudTrail 管理事件

UnauthorizedAccess:IAMUser/TorIPCaller

IAM

CloudTrail 管理事件

Policy:IAMUser/RootCredentialUsage

IAM

CloudTrail S3 的管理事件或 CloudTrail 数据事件

Policy:IAMUser/ShortTermRootCredentialUsage

IAM

CloudTrail S3 的管理事件或 CloudTrail 数据事件

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

IAM

CloudTrail S3 的管理事件或 CloudTrail 数据事件

AttackSequence:IAM/CompromisedCredentials

攻击序列中涉及的资源

CloudTrail 管理事件

重大

AttackSequence:S3/CompromisedData

攻击序列中涉及的资源

CloudTrail S3 的管理事件和 CloudTrail 数据事件

重大

Backdoor:EC2/C&CActivity.B!DNS

Amazon EC2

DNS 日志

CryptoCurrency:EC2/BitcoinTool.B!DNS

Amazon EC2

DNS 日志

Impact:EC2/AbusedDomainRequest.Reputation

Amazon EC2

DNS 日志

Impact:EC2/BitcoinDomainRequest.Reputation

Amazon EC2

DNS 日志

Impact:EC2/MaliciousDomainRequest.Reputation

Amazon EC2

DNS 日志

Impact:EC2/SuspiciousDomainRequest.Reputation

Amazon EC2

DNS 日志

Trojan:EC2/BlackholeTraffic!DNS

Amazon EC2

DNS 日志

Trojan:EC2/DGADomainRequest.B

Amazon EC2

DNS 日志

Trojan:EC2/DGADomainRequest.C!DNS

Amazon EC2

DNS 日志

Trojan:EC2/DNSDataExfiltration

Amazon EC2

DNS 日志

Trojan:EC2/DriveBySourceTraffic!DNS

Amazon EC2

DNS 日志

Trojan:EC2/DropPoint!DNS

Amazon EC2

DNS 日志

Trojan:EC2/PhishingDomainRequest!DNS

Amazon EC2

DNS 日志

UnauthorizedAccess:EC2/MetadataDNSRebind

Amazon EC2

DNS 日志

Execution:Container/MaliciousFile

容器

EBS 恶意软件防护

因检测到的威胁而异

Execution:Container/SuspiciousFile

容器

EBS 恶意软件防护

因检测到的威胁而异

Execution:EC2/MaliciousFile

Amazon EC2

EBS 恶意软件防护

因检测到的威胁而异

Execution:EC2/SuspiciousFile

Amazon EC2

EBS 恶意软件防护

因检测到的威胁而异

Execution:ECS/MaliciousFile

ECS

EBS 恶意软件防护

因检测到的威胁而异

Execution:ECS/SuspiciousFile

ECS

EBS 恶意软件防护

因检测到的威胁而异

Execution:Kubernetes/MaliciousFile

Kubernetes

EBS 恶意软件防护

因检测到的威胁而异

Execution:Kubernetes/SuspiciousFile

Kubernetes

EBS 恶意软件防护

因检测到的威胁而异

Kubernetes

EKS 审计日志

CredentialAccess:Kubernetes/MaliciousIPCaller

Kubernetes

EKS 审计日志

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

EKS 审计日志

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

EKS 审计日志

CredentialAccess:Kubernetes/TorIPCaller

Kubernetes

EKS 审计日志

DefenseEvasion:Kubernetes/MaliciousIPCaller

Kubernetes

EKS 审计日志

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

EKS 审计日志

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

EKS 审计日志

DefenseEvasion:Kubernetes/TorIPCaller

Kubernetes

EKS 审计日志

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

Kubernetes

EKS 审计日志

Discovery:Kubernetes/MaliciousIPCaller

Kubernetes

EKS 审计日志

Discovery:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

EKS 审计日志

Discovery:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

EKS 审计日志

Discovery:Kubernetes/TorIPCaller

Kubernetes

EKS 审计日志

Execution:Kubernetes/ExecInKubeSystemPod

Kubernetes

EKS 审计日志

Execution:Kubernetes/AnomalousBehavior.ExecInPod

Kubernetes

EKS 审计日志

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

Kubernetes

EKS 审计日志

Impact:Kubernetes/MaliciousIPCaller

Kubernetes

EKS 审计日志

Impact:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

EKS 审计日志

Impact:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

EKS 审计日志

Impact:Kubernetes/TorIPCaller

Kubernetes

EKS 审计日志

Persistence:Kubernetes/ContainerWithSensitiveMount

Kubernetes

EKS 审计日志

Persistence:Kubernetes/MaliciousIPCaller

Kubernetes

EKS 审计日志

Persistence:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

EKS 审计日志

Persistence:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

EKS 审计日志

Persistence:Kubernetes/TorIPCaller

Kubernetes

EKS 审计日志

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Kubernetes

EKS 审计日志

Policy:Kubernetes/AnonymousAccessGranted

Kubernetes

EKS 审计日志

Policy:Kubernetes/KubeflowDashboardExposed

Kubernetes

EKS 审计日志

Policy:Kubernetes/ExposedDashboard

Kubernetes

EKS 审计日志

Kubernetes

EKS 审计日志

中等 *

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

Kubernetes

EKS 审计日志

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

Kubernetes

EKS 审计日志

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

Kubernetes

EKS 审计日志

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Kubernetes

EKS 审计日志

Backdoor:Lambda/C&CActivity.B

Lambda

Lambda 网络活动监控

CryptoCurrency:Lambda/BitcoinTool.B

Lambda

Lambda 网络活动监控

Trojan:Lambda/BlackholeTraffic

Lambda

Lambda 网络活动监控

Trojan:Lambda/DropPoint

Lambda

Lambda 网络活动监控

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

Lambda

Lambda 网络活动监控

UnauthorizedAccess:Lambda/TorClient

Lambda

Lambda 网络活动监控

UnauthorizedAccess:Lambda/TorRelay

Lambda

Lambda 网络活动监控

Object:S3/MaliciousFile

S3Object

S3 恶意软件防护

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库

RDS 登录活动监控

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库

RDS 登录活动监控

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库

RDS 登录活动监控

变量 *

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库

RDS 登录活动监控

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库

RDS 登录活动监控

CredentialAccess:RDS/TorIPCaller.FailedLogin

支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库

RDS 登录活动监控

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库

RDS 登录活动监控

Discovery:RDS/MaliciousIPCaller

支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库

RDS 登录活动监控

Discovery:RDS/TorIPCaller

支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库

RDS 登录活动监控

Backdoor:Runtime/C&CActivity.B

实例、EKS 集群、ECS 集群或容器

运行时监控

Backdoor:Runtime/C&CActivity.B!DNS

实例、EKS 集群、ECS 集群或容器

运行时监控

CryptoCurrency:Runtime/BitcoinTool.B

实例、EKS 集群、ECS 集群或容器

运行时监控

CryptoCurrency:Runtime/BitcoinTool.B!DNS

实例、EKS 集群、ECS 集群或容器

运行时监控

DefenseEvasion:Runtime/FilelessExecution

实例、EKS 集群、ECS 集群或容器

运行时监控

DefenseEvasion:Runtime/ProcessInjection.Proc

实例、EKS 集群、ECS 集群或容器

运行时监控

DefenseEvasion:Runtime/ProcessInjection.Ptrace

实例、EKS 集群、ECS 集群或容器

运行时监控

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

实例、EKS 集群、ECS 集群或容器

运行时监控

DefenseEvasion:Runtime/PtraceAntiDebugging

实例、EKS 集群、ECS 集群或容器

运行时监控

DefenseEvasion:Runtime/SuspiciousCommand

实例、EKS 集群、ECS 集群或容器

运行时监控

Discovery:Runtime/SuspiciousCommand

实例、EKS 集群、ECS 集群或容器

运行时监控

Execution:Runtime/MaliciousFileExecuted

实例、EKS 集群、ECS 集群或容器

运行时监控

Execution:Runtime/NewBinaryExecuted

实例、EKS 集群、ECS 集群或容器

运行时监控

Execution:Runtime/NewLibraryLoaded

实例、EKS 集群、ECS 集群或容器

运行时监控

Execution:Runtime/SuspiciousCommand

实例、EKS 集群、ECS 集群或容器

运行时监控

变量

Execution:Runtime/SuspiciousShellCreated

实例、EKS 集群、ECS 集群或容器

运行时监控

Execution:Runtime/SuspiciousTool

实例、EKS 集群、ECS 集群或容器

运行时监控

变量

Execution:Runtime/ReverseShell

实例、EKS 集群、ECS 集群或容器

运行时监控

Impact:Runtime/AbusedDomainRequest.Reputation

实例、EKS 集群、ECS 集群或容器

运行时监控

Impact:Runtime/BitcoinDomainRequest.Reputation

实例、EKS 集群、ECS 集群或容器

运行时监控

Impact:Runtime/CryptoMinerExecuted

实例、EKS 集群、ECS 集群或容器

运行时监控

Impact:Runtime/MaliciousDomainRequest.Reputation

实例、EKS 集群、ECS 集群或容器

运行时监控

Impact:Runtime/SuspiciousDomainRequest.Reputation

实例、EKS 集群、ECS 集群或容器

运行时监控

Persistence:Runtime/SuspiciousCommand

实例、EKS 集群、ECS 集群或容器

运行时监控

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

实例、EKS 集群、ECS 集群或容器

运行时监控

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

实例、EKS 集群、ECS 集群或容器

运行时监控

PrivilegeEscalation:Runtime/DockerSocketAccessed

实例、EKS 集群、ECS 集群或容器

运行时监控

PrivilegeEscalation:Runtime/ElevationToRoot

实例、EKS 集群、ECS 集群或容器

运行时监控

PrivilegeEscalation:Runtime/RuncContainerEscape

实例、EKS 集群、ECS 集群或容器

运行时监控

PrivilegeEscalation:Runtime/SuspiciousCommand

实例、EKS 集群、ECS 集群或容器

运行时监控

PrivilegeEscalation:Runtime/UserfaultfdUsage

实例、EKS 集群、ECS 集群或容器

运行时监控

Trojan:Runtime/BlackholeTraffic

实例、EKS 集群、ECS 集群或容器

运行时监控

Trojan:Runtime/BlackholeTraffic!DNS

实例、EKS 集群、ECS 集群或容器

运行时监控

Trojan:Runtime/DropPoint

实例、EKS 集群、ECS 集群或容器

运行时监控

Trojan:Runtime/DGADomainRequest.C!DNS

实例、EKS 集群、ECS 集群或容器

运行时监控

Trojan:Runtime/DriveBySourceTraffic!DNS

实例、EKS 集群、ECS 集群或容器

运行时监控

Trojan:Runtime/DropPoint!DNS

实例、EKS 集群、ECS 集群或容器

运行时监控

Trojan:Runtime/PhishingDomainRequest!DNS

实例、EKS 集群、ECS 集群或容器

运行时监控

UnauthorizedAccess:Runtime/MetadataDNSRebind

实例、EKS 集群、ECS 集群或容器

运行时监控

UnauthorizedAccess:Runtime/TorClient

实例、EKS 集群、ECS 集群或容器

运行时监控

UnauthorizedAccess:Runtime/TorRelay

实例、EKS 集群、ECS 集群或容器

运行时监控

Backdoor:EC2/C&CActivity.B

Amazon EC2

VPC 流日志 +

Backdoor:EC2/DenialOfService.Dns

Amazon EC2

VPC 流日志 +

Backdoor:EC2/DenialOfService.Tcp

Amazon EC2

VPC 流日志 +

Backdoor:EC2/DenialOfService.Udp

Amazon EC2

VPC 流日志 +

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Amazon EC2

VPC 流日志 +

Backdoor:EC2/DenialOfService.UnusualProtocol

Amazon EC2

VPC 流日志 +

Backdoor:EC2/Spambot

Amazon EC2

VPC 流日志 +

Behavior:EC2/NetworkPortUnusual

Amazon EC2

VPC 流日志 +

Behavior:EC2/TrafficVolumeUnusual

Amazon EC2

VPC 流日志 +

CryptoCurrency:EC2/BitcoinTool.B

Amazon EC2

VPC 流日志 +

DefenseEvasion:EC2/UnusualDNSResolver

Amazon EC2

VPC 流日志 +

DefenseEvasion:EC2/UnusualDoHActivity

Amazon EC2

VPC 流日志 +

DefenseEvasion:EC2/UnusualDoTActivity

Amazon EC2

VPC 流日志 +

Impact:EC2/PortSweep

Amazon EC2

VPC 流日志 +

Impact:EC2/WinRMBruteForce

Amazon EC2

VPC 流日志 +

*

Recon:EC2/PortProbeEMRUnprotectedPort

Amazon EC2

VPC 流日志 +

Recon:EC2/PortProbeUnprotectedPort

Amazon EC2

VPC 流日志 +

*

Recon:EC2/Portscan

Amazon EC2

VPC 流日志 +

Trojan:EC2/BlackholeTraffic

Amazon EC2

VPC 流日志 +

Trojan:EC2/DropPoint

Amazon EC2

VPC 流日志 +

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Amazon EC2

VPC 流日志 +

UnauthorizedAccess:EC2/RDPBruteForce

Amazon EC2

VPC 流日志 +

*

UnauthorizedAccess:EC2/SSHBruteForce

Amazon EC2

VPC 流日志 +

*

UnauthorizedAccess:EC2/TorClient

Amazon EC2

VPC 流日志 +

UnauthorizedAccess:EC2/TorRelay

Amazon EC2

VPC 流日志 +