GuardDuty 按可能受影响的资源查找类型 GuardDuty 主动查找类型

GuardDuty 查找类型

发现是在检测到您的可疑或恶意活动的迹象时 GuardDuty 生成的通知 Amazon Web Services 账户。 GuardDuty 在已启用的账户中生成查找结果 GuardDuty。

有关对 GuardDuty 查找结果类型进行重要更改（包括新添加或已停用的查找类型）的信息，请参见Amazon 的文档历史记录 GuardDuty。

有关查找现已停用的类型的信息，请参阅停用的调查发现类型。

GuardDuty 按可能受影响的资源查找类型

以下页面按与 GuardDuty调查结果相关的可能受影响的资源类型分类：

GuardDuty 主动查找类型

下表显示按基础数据来源或功能排序的所有处于活动状态的调查发现类型（如果适用）。在下表中，一些发现的 “发现严重性” 列值用星号 (*) 或加号 (+) 标记：

^* 这些发现类型的严重性各不相同。特定类型的发现可能具有不同的严重性，具体取决于该发现的特定背景。有关查找结果类型的更多信息，请查看其详细描述。

⁺ 使用 VPC 流日志作为数据源的EC2 发现不支持 IPv6 流量。

调查发现类型	资源类型	基础数据来源/功能	调查发现的严重性
Discovery:S3/AnomalousBehavior	Amazon S3	CloudTrail S3 的数据事件	低
Discovery:S3/MaliciousIPCaller	Amazon S3	CloudTrail S3 的数据事件	高
Discovery:S3/MaliciousIPCaller.Custom	Amazon S3	CloudTrail S3 的数据事件	高
Discovery:S3/TorIPCaller	Amazon S3	CloudTrail S3 的数据事件	中
Exfiltration:S3/AnomalousBehavior	Amazon S3	CloudTrail S3 的数据事件	高
Exfiltration:S3/MaliciousIPCaller	Amazon S3	CloudTrail S3 的数据事件	高
Impact:S3/AnomalousBehavior.Delete	Amazon S3	CloudTrail S3 的数据事件	高
Impact:S3/AnomalousBehavior.Permission	Amazon S3	CloudTrail S3 的数据事件	高
Impact:S3/AnomalousBehavior.Write	Amazon S3	CloudTrail S3 的数据事件	中
Impact:S3/MaliciousIPCaller	Amazon S3	CloudTrail S3 的数据事件	高
PenTest:S3/KaliLinux	Amazon S3	CloudTrail S3 的数据事件	中
PenTest:S3/ParrotLinux	Amazon S3	CloudTrail S3 的数据事件	中
PenTest:S3/PentooLinux	Amazon S3	CloudTrail S3 的数据事件	中
UnauthorizedAccess:S3/TorIPCaller	Amazon S3	CloudTrail S3 的数据事件	高
UnauthorizedAccess:S3/MaliciousIPCaller.Custom	Amazon S3	CloudTrail S3 的数据事件	高
CredentialAccess:IAMUser/AnomalousBehavior	IAM	CloudTrail 管理事件	中
DefenseEvasion:IAMUser/AnomalousBehavior	IAM	CloudTrail 管理事件	中
Discovery:IAMUser/AnomalousBehavior	IAM	CloudTrail 管理事件	低
Exfiltration:IAMUser/AnomalousBehavior	IAM	CloudTrail 管理事件	高
Impact:IAMUser/AnomalousBehavior	IAM	CloudTrail 管理事件	高
InitialAccess:IAMUser/AnomalousBehavior	IAM	CloudTrail 管理事件	中
PenTest:IAMUser/KaliLinux	IAM	CloudTrail 管理事件	中
PenTest:IAMUser/ParrotLinux	IAM	CloudTrail 管理事件	中
PenTest:IAMUser/PentooLinux	IAM	CloudTrail 管理事件	中
Persistence:IAMUser/AnomalousBehavior	IAM	CloudTrail 管理事件	中
Stealth:IAMUser/PasswordPolicyChange	IAM	CloudTrail 管理事件	低 *
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS	IAM	CloudTrail 管理事件	高 *
Policy:S3/AccountBlockPublicAccessDisabled	Amazon S3	CloudTrail 管理事件	低
Policy:S3/BucketAnonymousAccessGranted	Amazon S3	CloudTrail 管理事件	高
Policy:S3/BucketBlockPublicAccessDisabled	Amazon S3	CloudTrail 管理事件	低
Policy:S3/BucketPublicAccessGranted	Amazon S3	CloudTrail 管理事件	高
PrivilegeEscalation:IAMUser/AnomalousBehavior	IAM	CloudTrail 管理事件	中
Recon:IAMUser/MaliciousIPCaller	IAM	CloudTrail 管理事件	中
Recon:IAMUser/MaliciousIPCaller.Custom	IAM	CloudTrail 管理事件	中
Recon:IAMUser/TorIPCaller	IAM	CloudTrail 管理事件	中
Stealth:IAMUser/CloudTrailLoggingDisabled	IAM	CloudTrail 管理事件	低
Stealth:S3/ServerAccessLoggingDisabled	Amazon S3	CloudTrail 管理事件	低
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B	IAM	CloudTrail 管理事件	中
UnauthorizedAccess:IAMUser/MaliciousIPCaller	IAM	CloudTrail 管理事件	中
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom	IAM	CloudTrail 管理事件	中
UnauthorizedAccess:IAMUser/TorIPCaller	IAM	CloudTrail 管理事件	中
Policy:IAMUser/RootCredentialUsage	IAM	CloudTrail S3 的管理事件或 CloudTrail 数据事件	低
Policy:IAMUser/ShortTermRootCredentialUsage	IAM	CloudTrail S3 的管理事件或 CloudTrail 数据事件	低
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS	IAM	CloudTrail S3 的管理事件或 CloudTrail 数据事件	高
AttackSequence:IAM/CompromisedCredentials	攻击序列中涉及的资源	CloudTrail 管理事件	重大
AttackSequence:S3/CompromisedData	攻击序列中涉及的资源	CloudTrail S3 的管理事件和 CloudTrail 数据事件	重大
Backdoor:EC2/C&CActivity.B!DNS	Amazon EC2	DNS 日志	高
CryptoCurrency:EC2/BitcoinTool.B!DNS	Amazon EC2	DNS 日志	高
Impact:EC2/AbusedDomainRequest.Reputation	Amazon EC2	DNS 日志	中
Impact:EC2/BitcoinDomainRequest.Reputation	Amazon EC2	DNS 日志	高
Impact:EC2/MaliciousDomainRequest.Reputation	Amazon EC2	DNS 日志	高
Impact:EC2/SuspiciousDomainRequest.Reputation	Amazon EC2	DNS 日志	低
Trojan:EC2/BlackholeTraffic!DNS	Amazon EC2	DNS 日志	中
Trojan:EC2/DGADomainRequest.B	Amazon EC2	DNS 日志	高
Trojan:EC2/DGADomainRequest.C!DNS	Amazon EC2	DNS 日志	高
Trojan:EC2/DNSDataExfiltration	Amazon EC2	DNS 日志	高
Trojan:EC2/DriveBySourceTraffic!DNS	Amazon EC2	DNS 日志	高
Trojan:EC2/DropPoint!DNS	Amazon EC2	DNS 日志	中
Trojan:EC2/PhishingDomainRequest!DNS	Amazon EC2	DNS 日志	高
UnauthorizedAccess:EC2/MetadataDNSRebind	Amazon EC2	DNS 日志	高
Execution:Container/MaliciousFile	容器	EBS 恶意软件防护	因检测到的威胁而异
Execution:Container/SuspiciousFile	容器	EBS 恶意软件防护	因检测到的威胁而异
Execution:EC2/MaliciousFile	Amazon EC2	EBS 恶意软件防护	因检测到的威胁而异
Execution:EC2/SuspiciousFile	Amazon EC2	EBS 恶意软件防护	因检测到的威胁而异
Execution:ECS/MaliciousFile	ECS	EBS 恶意软件防护	因检测到的威胁而异
Execution:ECS/SuspiciousFile	ECS	EBS 恶意软件防护	因检测到的威胁而异
Execution:Kubernetes/MaliciousFile	Kubernetes	EBS 恶意软件防护	因检测到的威胁而异
Execution:Kubernetes/SuspiciousFile	Kubernetes	EBS 恶意软件防护	因检测到的威胁而异
	Kubernetes	EKS 审计日志	中
CredentialAccess:Kubernetes/MaliciousIPCaller	Kubernetes	EKS 审计日志	高
CredentialAccess:Kubernetes/MaliciousIPCaller.Custom	Kubernetes	EKS 审计日志	高
CredentialAccess:Kubernetes/SuccessfulAnonymousAccess	Kubernetes	EKS 审计日志	高
CredentialAccess:Kubernetes/TorIPCaller	Kubernetes	EKS 审计日志	高
DefenseEvasion:Kubernetes/MaliciousIPCaller	Kubernetes	EKS 审计日志	高
DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom	Kubernetes	EKS 审计日志	高
DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess	Kubernetes	EKS 审计日志	高
DefenseEvasion:Kubernetes/TorIPCaller	Kubernetes	EKS 审计日志	高
Discovery:Kubernetes/AnomalousBehavior.PermissionChecked	Kubernetes	EKS 审计日志	低
Discovery:Kubernetes/MaliciousIPCaller	Kubernetes	EKS 审计日志	中
Discovery:Kubernetes/MaliciousIPCaller.Custom	Kubernetes	EKS 审计日志	中
Discovery:Kubernetes/SuccessfulAnonymousAccess	Kubernetes	EKS 审计日志	中
Discovery:Kubernetes/TorIPCaller	Kubernetes	EKS 审计日志	中
Execution:Kubernetes/ExecInKubeSystemPod	Kubernetes	EKS 审计日志	中
Execution:Kubernetes/AnomalousBehavior.ExecInPod	Kubernetes	EKS 审计日志	中
Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed	Kubernetes	EKS 审计日志	低
Impact:Kubernetes/MaliciousIPCaller	Kubernetes	EKS 审计日志	高
Impact:Kubernetes/MaliciousIPCaller.Custom	Kubernetes	EKS 审计日志	高
Impact:Kubernetes/SuccessfulAnonymousAccess	Kubernetes	EKS 审计日志	高
Impact:Kubernetes/TorIPCaller	Kubernetes	EKS 审计日志	高
Persistence:Kubernetes/ContainerWithSensitiveMount	Kubernetes	EKS 审计日志	中
Persistence:Kubernetes/MaliciousIPCaller	Kubernetes	EKS 审计日志	中
Persistence:Kubernetes/MaliciousIPCaller.Custom	Kubernetes	EKS 审计日志	中
Persistence:Kubernetes/SuccessfulAnonymousAccess	Kubernetes	EKS 审计日志	高
Persistence:Kubernetes/TorIPCaller	Kubernetes	EKS 审计日志	中
Policy:Kubernetes/AdminAccessToDefaultServiceAccount	Kubernetes	EKS 审计日志	高
Policy:Kubernetes/AnonymousAccessGranted	Kubernetes	EKS 审计日志	高
Policy:Kubernetes/KubeflowDashboardExposed	Kubernetes	EKS 审计日志	中
Policy:Kubernetes/ExposedDashboard	Kubernetes	EKS 审计日志	中
	Kubernetes	EKS 审计日志	中等 *
PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated	Kubernetes	EKS 审计日志	低
Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount	Kubernetes	EKS 审计日志	高
PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer	Kubernetes	EKS 审计日志	高
PrivilegeEscalation:Kubernetes/PrivilegedContainer	Kubernetes	EKS 审计日志	中
Backdoor:Lambda/C&CActivity.B	Lambda	Lambda 网络活动监控	高
CryptoCurrency:Lambda/BitcoinTool.B	Lambda	Lambda 网络活动监控	高
Trojan:Lambda/BlackholeTraffic	Lambda	Lambda 网络活动监控	中
Trojan:Lambda/DropPoint	Lambda	Lambda 网络活动监控	中
UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom	Lambda	Lambda 网络活动监控	中
UnauthorizedAccess:Lambda/TorClient	Lambda	Lambda 网络活动监控	高
UnauthorizedAccess:Lambda/TorRelay	Lambda	Lambda 网络活动监控	高
Object:S3/MaliciousFile	S3Object	S3 恶意软件防护	高
CredentialAccess:RDS/AnomalousBehavior.FailedLogin	支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库	RDS 登录活动监控	低
CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce	支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库	RDS 登录活动监控	高
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin	支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库	RDS 登录活动监控	变量 *
CredentialAccess:RDS/MaliciousIPCaller.FailedLogin	支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库	RDS 登录活动监控	中
CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin	支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库	RDS 登录活动监控	高
CredentialAccess:RDS/TorIPCaller.FailedLogin	支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库	RDS 登录活动监控	中
CredentialAccess:RDS/TorIPCaller.SuccessfulLogin	支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库	RDS 登录活动监控	高
Discovery:RDS/MaliciousIPCaller	支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库	RDS 登录活动监控	中
Discovery:RDS/TorIPCaller	支持亚马逊 Aurora、亚马逊 RDS 和 Aurora Limitless 数据库	RDS 登录活动监控	中
Backdoor:Runtime/C&CActivity.B	实例、EKS 集群、ECS 集群或容器	运行时监控	高
Backdoor:Runtime/C&CActivity.B!DNS	实例、EKS 集群、ECS 集群或容器	运行时监控	高
CryptoCurrency:Runtime/BitcoinTool.B	实例、EKS 集群、ECS 集群或容器	运行时监控	高
CryptoCurrency:Runtime/BitcoinTool.B!DNS	实例、EKS 集群、ECS 集群或容器	运行时监控	高
DefenseEvasion:Runtime/FilelessExecution	实例、EKS 集群、ECS 集群或容器	运行时监控	中
DefenseEvasion:Runtime/ProcessInjection.Proc	实例、EKS 集群、ECS 集群或容器	运行时监控	高
DefenseEvasion:Runtime/ProcessInjection.Ptrace	实例、EKS 集群、ECS 集群或容器	运行时监控	中
DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite	实例、EKS 集群、ECS 集群或容器	运行时监控	高
DefenseEvasion:Runtime/PtraceAntiDebugging	实例、EKS 集群、ECS 集群或容器	运行时监控	低
DefenseEvasion:Runtime/SuspiciousCommand	实例、EKS 集群、ECS 集群或容器	运行时监控	高
Discovery:Runtime/SuspiciousCommand	实例、EKS 集群、ECS 集群或容器	运行时监控	低
Execution:Runtime/MaliciousFileExecuted	实例、EKS 集群、ECS 集群或容器	运行时监控	高
Execution:Runtime/NewBinaryExecuted	实例、EKS 集群、ECS 集群或容器	运行时监控	中
Execution:Runtime/NewLibraryLoaded	实例、EKS 集群、ECS 集群或容器	运行时监控	中
Execution:Runtime/SuspiciousCommand	实例、EKS 集群、ECS 集群或容器	运行时监控	变量
Execution:Runtime/SuspiciousShellCreated	实例、EKS 集群、ECS 集群或容器	运行时监控	低
Execution:Runtime/SuspiciousTool	实例、EKS 集群、ECS 集群或容器	运行时监控	变量
Execution:Runtime/ReverseShell	实例、EKS 集群、ECS 集群或容器	运行时监控	高
Impact:Runtime/AbusedDomainRequest.Reputation	实例、EKS 集群、ECS 集群或容器	运行时监控	中
Impact:Runtime/BitcoinDomainRequest.Reputation	实例、EKS 集群、ECS 集群或容器	运行时监控	高
Impact:Runtime/CryptoMinerExecuted	实例、EKS 集群、ECS 集群或容器	运行时监控	高
Impact:Runtime/MaliciousDomainRequest.Reputation	实例、EKS 集群、ECS 集群或容器	运行时监控	中
Impact:Runtime/SuspiciousDomainRequest.Reputation	实例、EKS 集群、ECS 集群或容器	运行时监控	低
Persistence:Runtime/SuspiciousCommand	实例、EKS 集群、ECS 集群或容器	运行时监控	中
PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified	实例、EKS 集群、ECS 集群或容器	运行时监控	高
PrivilegeEscalation:Runtime/ContainerMountsHostDirectory	实例、EKS 集群、ECS 集群或容器	运行时监控	中
PrivilegeEscalation:Runtime/DockerSocketAccessed	实例、EKS 集群、ECS 集群或容器	运行时监控	中
PrivilegeEscalation:Runtime/ElevationToRoot	实例、EKS 集群、ECS 集群或容器	运行时监控	中
PrivilegeEscalation:Runtime/RuncContainerEscape	实例、EKS 集群、ECS 集群或容器	运行时监控	高
PrivilegeEscalation:Runtime/SuspiciousCommand	实例、EKS 集群、ECS 集群或容器	运行时监控	中
PrivilegeEscalation:Runtime/UserfaultfdUsage	实例、EKS 集群、ECS 集群或容器	运行时监控	中
Trojan:Runtime/BlackholeTraffic	实例、EKS 集群、ECS 集群或容器	运行时监控	中
Trojan:Runtime/BlackholeTraffic!DNS	实例、EKS 集群、ECS 集群或容器	运行时监控	中
Trojan:Runtime/DropPoint	实例、EKS 集群、ECS 集群或容器	运行时监控	中
Trojan:Runtime/DGADomainRequest.C!DNS	实例、EKS 集群、ECS 集群或容器	运行时监控	高
Trojan:Runtime/DriveBySourceTraffic!DNS	实例、EKS 集群、ECS 集群或容器	运行时监控	高
Trojan:Runtime/DropPoint!DNS	实例、EKS 集群、ECS 集群或容器	运行时监控	中
Trojan:Runtime/PhishingDomainRequest!DNS	实例、EKS 集群、ECS 集群或容器	运行时监控	高
UnauthorizedAccess:Runtime/MetadataDNSRebind	实例、EKS 集群、ECS 集群或容器	运行时监控	高
UnauthorizedAccess:Runtime/TorClient	实例、EKS 集群、ECS 集群或容器	运行时监控	高
UnauthorizedAccess:Runtime/TorRelay	实例、EKS 集群、ECS 集群或容器	运行时监控	高
Backdoor:EC2/C&CActivity.B	Amazon EC2	VPC 流日志 ⁺	高
Backdoor:EC2/DenialOfService.Dns	Amazon EC2	VPC 流日志 ⁺	高
Backdoor:EC2/DenialOfService.Tcp	Amazon EC2	VPC 流日志 ⁺	高
Backdoor:EC2/DenialOfService.Udp	Amazon EC2	VPC 流日志 ⁺	高
Backdoor:EC2/DenialOfService.UdpOnTcpPorts	Amazon EC2	VPC 流日志 ⁺	高
Backdoor:EC2/DenialOfService.UnusualProtocol	Amazon EC2	VPC 流日志 ⁺	高
Backdoor:EC2/Spambot	Amazon EC2	VPC 流日志 ⁺	中
Behavior:EC2/NetworkPortUnusual	Amazon EC2	VPC 流日志 ⁺	中
Behavior:EC2/TrafficVolumeUnusual	Amazon EC2	VPC 流日志 ⁺	中
CryptoCurrency:EC2/BitcoinTool.B	Amazon EC2	VPC 流日志 ⁺	高
DefenseEvasion:EC2/UnusualDNSResolver	Amazon EC2	VPC 流日志 ⁺	中
DefenseEvasion:EC2/UnusualDoHActivity	Amazon EC2	VPC 流日志 ⁺	中
DefenseEvasion:EC2/UnusualDoTActivity	Amazon EC2	VPC 流日志 ⁺	中
Impact:EC2/PortSweep	Amazon EC2	VPC 流日志 ⁺	高
Impact:EC2/WinRMBruteForce	Amazon EC2	VPC 流日志 ⁺	低 *
Recon:EC2/PortProbeEMRUnprotectedPort	Amazon EC2	VPC 流日志 ⁺	高
Recon:EC2/PortProbeUnprotectedPort	Amazon EC2	VPC 流日志 ⁺	低 *
Recon:EC2/Portscan	Amazon EC2	VPC 流日志 ⁺	中
Trojan:EC2/BlackholeTraffic	Amazon EC2	VPC 流日志 ⁺	中
Trojan:EC2/DropPoint	Amazon EC2	VPC 流日志 ⁺	中
UnauthorizedAccess:EC2/MaliciousIPCaller.Custom	Amazon EC2	VPC 流日志 ⁺	中
UnauthorizedAccess:EC2/RDPBruteForce	Amazon EC2	VPC 流日志 ⁺	低 *
UnauthorizedAccess:EC2/SSHBruteForce	Amazon EC2	VPC 流日志 ⁺	低 *
UnauthorizedAccess:EC2/TorClient	Amazon EC2	VPC 流日志 ⁺	高
UnauthorizedAccess:EC2/TorRelay	Amazon EC2	VPC 流日志 ⁺	高

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

GuardDuty 账户中导出 CSV 选项的注意事项

EC2 查找类型