查找类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查找类型

有关对 GuardDuty 调查结果类型的重要更改(包括新添加和停用的调查结果类型)的信息,请参阅亚马逊的文档历史记录GuardDuty

有关查找现已停用的类型的信息,请参见停用的S3

按资源类型划分的调查结果

以下页面按与资源相关联的资源类型进行分类GuardDuty发现:

调查结果表

下表显示了按基础数据源或功能排序的所有活动查找类型(如果适用)。以下某些查找类型可能具有不同的严重性,由星号 (*) 表示。有关查找结果类型的可变严重性的信息,请查看该查找结果类型的详细描述。

结果类型

资源类型

基础数据源/功能

查找严重程度

Discovery:S3/AnomalousBehavior

Amazon S3

CloudTrailS3 的数据事件

Discovery:S3/MaliciousIPCaller

Amazon S3

CloudTrailS3 的数据事件

Discovery:S3/MaliciousIPCaller.Custom

Amazon S3

CloudTrailS3 的数据事件

Discovery:S3/TorIPCaller

Amazon S3

CloudTrailS3 的数据事件

Exfiltration:S3/AnomalousBehavior

Amazon S3

CloudTrailS3 的数据事件

Exfiltration:S3/MaliciousIPCaller

Amazon S3

CloudTrailS3 的数据事件

Impact:S3/AnomalousBehavior.Delete

Amazon S3

CloudTrailS3 的数据事件

Impact:S3/AnomalousBehavior.Permission

Amazon S3

CloudTrailS3 的数据事件

Impact:S3/AnomalousBehavior.Write

Amazon S3

CloudTrailS3 的数据事件

Impact:S3/MaliciousIPCaller

Amazon S3

CloudTrailS3 的数据事件

PenTest:S3/KaliLinux

Amazon S3

CloudTrailS3 的数据事件

PenTest:S3/ParrotLinux

Amazon S3

CloudTrailS3 的数据事件

PenTest:S3/PentooLinux

Amazon S3

CloudTrailS3 的数据事件

UnauthorizedAccess:S3/TorIPCaller

Amazon S3

CloudTrailS3 的数据事件

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Amazon S3

CloudTrailS3 的数据事件

CredentialAccess:IAMUser/AnomalousBehavior

IAM

CloudTrail管理活动

DefenseEvasion:IAMUser/AnomalousBehavior

IAM

CloudTrail管理活动

Discovery:IAMUser/AnomalousBehavior

IAM

CloudTrail管理活动

Exfiltration:IAMUser/AnomalousBehavior

IAM

CloudTrail管理活动

Impact:IAMUser/AnomalousBehavior

IAM

CloudTrail管理活动

InitialAccess:IAMUser/AnomalousBehavior

IAM

CloudTrail管理活动

PenTest:IAMUser/KaliLinux

IAM

CloudTrail管理活动

PenTest:IAMUser/ParrotLinux

IAM

CloudTrail管理活动

PenTest:IAMUser/PentooLinux

IAM

CloudTrail管理活动

Persistence:IAMUser/AnomalousBehavior

IAM

CloudTrail管理活动

Stealth:IAMUser/PasswordPolicyChange

IAM

CloudTrail管理活动

低*

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

IAM

CloudTrail管理活动

高*

Policy:S3/AccountBlockPublicAccessDisabled

Amazon S3

CloudTrail管理活动

Policy:S3/BucketAnonymousAccessGranted

Amazon S3

CloudTrail管理活动

Policy:S3/BucketBlockPublicAccessDisabled

Amazon S3

CloudTrail管理活动

Policy:S3/BucketPublicAccessGranted

Amazon S3

CloudTrail管理活动

PrivilegeEscalation:IAMUser/AnomalousBehavior

IAM

CloudTrail管理活动

Recon:IAMUser/MaliciousIPCaller

IAM

CloudTrail管理活动

Recon:IAMUser/MaliciousIPCaller.Custom

IAM

CloudTrail管理活动

Recon:IAMUser/TorIPCaller

IAM

CloudTrail管理活动

Stealth:IAMUser/CloudTrailLoggingDisabled

IAM

CloudTrail管理活动

Stealth:S3/ServerAccessLoggingDisabled

Amazon S3

CloudTrail管理活动

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

IAM

CloudTrail管理活动

UnauthorizedAccess:IAMUser/MaliciousIPCaller

IAM

CloudTrail管理活动

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

IAM

CloudTrail管理活动

UnauthorizedAccess:IAMUser/TorIPCaller

IAM

CloudTrail管理活动

Policy:IAMUser/RootCredentialUsage

IAM

CloudTrail管理事件或CloudTrailS3 的数据事件

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

IAM

CloudTrail管理事件或CloudTrailS3 的数据事件

Backdoor:EC2/C&CActivity.B!DNS

Amazon EC2

DNS 日志

CryptoCurrency:EC2/BitcoinTool.B!DNS

Amazon EC2

DNS 日志

Impact:EC2/AbusedDomainRequest.Reputation

Amazon EC2

DNS 日志

Impact:EC2/BitcoinDomainRequest.Reputation

Amazon EC2

DNS 日志

Impact:EC2/MaliciousDomainRequest.Reputation

Amazon EC2

DNS 日志

Impact:EC2/SuspiciousDomainRequest.Reputation

Amazon EC2

DNS 日志

Trojan:EC2/BlackholeTraffic!DNS

Amazon EC2

DNS 日志

Trojan:EC2/DGADomainRequest.B

Amazon EC2

DNS 日志

Trojan:EC2/DGADomainRequest.C!DNS

Amazon EC2

DNS 日志

Trojan:EC2/DNSDataExfiltration

Amazon EC2

DNS 日志

Trojan:EC2/DriveBySourceTraffic!DNS

Amazon EC2

DNS 日志

Trojan:EC2/DropPoint!DNS

Amazon EC2

DNS 日志

Trojan:EC2/PhishingDomainRequest!DNS

Amazon EC2

DNS 日志

UnauthorizedAccess:EC2/MetadataDNSRebind

Amazon EC2

DNS 日志

Execution:Container/MaliciousFile

容器

EBS 卷

因检测到的威胁而异

Execution:Container/SuspiciousFile

容器

EBS 卷

因检测到的威胁而异

Execution:EC2/MaliciousFile

EC2

EBS 卷

因检测到的威胁而异

Execution:EC2/SuspiciousFile

EC2

EBS 卷

因检测到的威胁而异

Execution:ECS/MaliciousFile

ECS

EBS 卷

因检测到的威胁而异

Execution:ECS/SuspiciousFile

ECS

EBS 卷

因检测到的威胁而异

Execution:Kubernetes/MaliciousFile

Kubernetes

EBS 卷

因检测到的威胁而异

Execution:Kubernetes/SuspiciousFile

Kubernetes

EBS 卷

因检测到的威胁而异

CredentialAccess:Kubernetes/MaliciousIPCaller

Kubernetes

Kubernetes 审计日志

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

Kubernetes 审计日志

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

Kubernetes 审计日志

CredentialAccess:Kubernetes/TorIPCaller

Kubernetes

Kubernetes 审计日志

DefenseEvasion:Kubernetes/MaliciousIPCaller

Kubernetes

Kubernetes 审计日志

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

Kubernetes 审计日志

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

Kubernetes 审计日志

DefenseEvasion:Kubernetes/TorIPCaller

Kubernetes

Kubernetes 审计日志

Discovery:Kubernetes/MaliciousIPCaller

Kubernetes

Kubernetes 审计日志

Discovery:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

Kubernetes 审计日志

Discovery:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

Kubernetes 审计日志

Discovery:Kubernetes/TorIPCaller

Kubernetes

Kubernetes 审计日志

Execution:Kubernetes/ExecInKubeSystemPod

Kubernetes

Kubernetes 审计日志

Impact:Kubernetes/MaliciousIPCaller

Kubernetes

Kubernetes 审计日志

Impact:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

Kubernetes 审计日志

Impact:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

Kubernetes 审计日志

Impact:Kubernetes/TorIPCaller

Kubernetes

Kubernetes 审计日志

Persistence:Kubernetes/ContainerWithSensitiveMount

Kubernetes

Kubernetes 审计日志

Persistence:Kubernetes/MaliciousIPCaller

Kubernetes

Kubernetes 审计日志

Persistence:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

Kubernetes 审计日志

Persistence:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

Kubernetes 审计日志

Persistence:Kubernetes/TorIPCaller

Kubernetes

Kubernetes 审计日志

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Kubernetes

Kubernetes 审计日志

Policy:Kubernetes/AnonymousAccessGranted

Kubernetes

Kubernetes 审计日志

Policy:Kubernetes/KubeflowDashboardExposed

Kubernetes

Kubernetes 审计日志

Policy:Kubernetes/ExposedDashboard

Kubernetes

Kubernetes 审计日志

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Kubernetes

Kubernetes 审计日志

Backdoor:Lambda/C&CActivity.B

Lambda

Lambda 网络活动监控

CryptoCurrency:Lambda/BitcoinTool.B

Lambda

Lambda 网络活动监控

Trojan:Lambda/BlackholeTraffic

Lambda

Lambda 网络活动监控

Trojan:Lambda/DropPoint

Lambda

Lambda 网络活动监控

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

Lambda

Lambda 网络活动监控

UnauthorizedAccess:Lambda/TorClient

Lambda

Lambda 网络活动监控

UnauthorizedAccess:Lambda/TorRelay

Lambda

Lambda 网络活动监控

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

支持的亚马逊 Aurora 数据库

RDS 登录活动监控

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

支持的亚马逊 Aurora 数据库

RDS 登录活动监控

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

支持的亚马逊 Aurora 数据库

RDS 登录活动监控

变量*

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

支持的亚马逊 Aurora 数据库

RDS 登录活动监控

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

支持的亚马逊 Aurora 数据库

RDS 登录活动监控

CredentialAccess:RDS/TorIPCaller.FailedLogin

支持的亚马逊 Aurora 数据库

RDS 登录活动监控

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

支持的亚马逊 Aurora 数据库

RDS 登录活动监控

Discovery:RDS/MaliciousIPCaller

支持的亚马逊 Aurora 数据库

RDS 登录活动监控

Discovery:RDS/TorIPCaller

支持的亚马逊 Aurora 数据库

RDS 登录活动监控

Backdoor:Runtime/C&CActivity.B

实例、eksCluster 或容器

运行时监控

Backdoor:Runtime/C&CActivity.B!DNS

实例、eksCluster 或容器

运行时监控

CryptoCurrency:Runtime/BitcoinTool.B

实例、eksCluster 或容器

运行时监控

CryptoCurrency:Runtime/BitcoinTool.B!DNS

实例、eksCluster 或容器

运行时监控

DefenseEvasion:Runtime/FilelessExecution

实例、eksCluster 或容器

运行时监控

DefenseEvasion:Runtime/ProcessInjection.Proc

实例、eksCluster 或容器

运行时监控

DefenseEvasion:Runtime/ProcessInjection.Ptrace

实例、eksCluster 或容器

运行时监控

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

实例、eksCluster 或容器

运行时监控

Execution:Runtime/NewBinaryExecuted

实例、eksCluster 或容器

运行时监控

Execution:Runtime/NewLibraryLoaded

实例、eksCluster 或容器

运行时监控

Execution:Runtime/ReverseShell

实例、eksCluster 或容器

运行时监控

Impact:Runtime/AbusedDomainRequest.Reputation

实例、eksCluster 或容器

运行时监控

Impact:Runtime/BitcoinDomainRequest.Reputation

实例、eksCluster 或容器

运行时监控

Impact:Runtime/CryptoMinerExecuted

实例、eksCluster 或容器

运行时监控

Impact:Runtime/MaliciousDomainRequest.Reputation

实例、eksCluster 或容器

运行时监控

Impact:Runtime/SuspiciousDomainRequest.Reputation

实例、eksCluster 或容器

运行时监控

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

实例、eksCluster 或容器

运行时监控

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

实例、eksCluster 或容器

运行时监控

PrivilegeEscalation:Runtime/DockerSocketAccessed

实例、eksCluster 或容器

运行时监控

PrivilegeEscalation:Runtime/RuncContainerEscape

实例、eksCluster 或容器

运行时监控

PrivilegeEscalation:Runtime/UserfaultfdUsage

实例、eksCluster 或容器

运行时监控

Trojan:Runtime/BlackholeTraffic

实例、eksCluster 或容器

运行时监控

Trojan:Runtime/BlackholeTraffic!DNS

实例、eksCluster 或容器

运行时监控

Trojan:Runtime/DropPoint

实例、eksCluster 或容器

运行时监控

Trojan:Runtime/DGADomainRequest.C!DNS

实例、eksCluster 或容器

运行时监控

Trojan:Runtime/DriveBySourceTraffic!DNS

实例、eksCluster 或容器

运行时监控

Trojan:Runtime/DropPoint!DNS

实例、eksCluster 或容器

运行时监控

Trojan:Runtime/PhishingDomainRequest!DNS

实例、eksCluster 或容器

运行时监控

UnauthorizedAccess:Runtime/MetadataDNSRebind

实例、eksCluster 或容器

运行时监控

UnauthorizedAccess:Runtime/TorClient

实例、eksCluster 或容器

运行时监控

UnauthorizedAccess:Runtime/TorRelay

实例、eksCluster 或容器

运行时监控

Backdoor:EC2/C&CActivity.B

EC2

VPC 流日志

Backdoor:EC2/DenialOfService.Dns

EC2

VPC 流日志

Backdoor:EC2/DenialOfService.Tcp

EC2

VPC 流日志

Backdoor:EC2/DenialOfService.Udp

EC2

VPC 流日志

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2

VPC 流日志

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2

VPC 流日志

Backdoor:EC2/Spambot

EC2

VPC 流日志

Behavior:EC2/NetworkPortUnusual

EC2

VPC 流日志

Behavior:EC2/TrafficVolumeUnusual

EC2

VPC 流日志

CryptoCurrency:EC2/BitcoinTool.B

EC2

VPC 流日志

DefenseEvasion:EC2/UnusualDNSResolver

EC2

VPC 流日志

DefenseEvasion:EC2/UnusualDoHActivity

EC2

VPC 流日志

DefenseEvasion:EC2/UnusualDoTActivity

EC2

VPC 流日志

Impact:EC2/PortSweep

EC2

VPC 流日志

Impact:EC2/WinRMBruteForce

EC2

VPC 流日志

低*

Recon:EC2/PortProbeEMRUnprotectedPort

EC2

VPC 流日志

Recon:EC2/PortProbeUnprotectedPort

EC2

VPC 流日志

低*

Recon:EC2/Portscan

EC2

VPC 流日志

Trojan:EC2/BlackholeTraffic

EC2

VPC 流日志

Trojan:EC2/DropPoint

EC2

VPC 流日志

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2

VPC 流日志

UnauthorizedAccess:EC2/RDPBruteForce

EC2

VPC 流日志

低*

UnauthorizedAccess:EC2/SSHBruteForce

EC2

VPC 流日志

低*

UnauthorizedAccess:EC2/TorClient

EC2

VPC 流日志

UnauthorizedAccess:EC2/TorRelay

EC2

VPC 流日志