GuardDuty IAM 查找类型 - Amazon GuardDuty
CredentialAccess:IAMUser/AnomalousBehaviorDefenseEvasion:IAMUser/AnomalousBehaviorDiscovery:IAMUser/AnomalousBehaviorExfiltration:IAMUser/AnomalousBehaviorImpact:IAMUser/AnomalousBehaviorInitialAccess:IAMUser/AnomalousBehaviorPenTest:IAMUser/KaliLinuxPenTest:IAMUser/ParrotLinuxPenTest:IAMUser/PentooLinuxPersistence:IAMUser/AnomalousBehaviorPolicy:IAMUser/RootCredentialUsagePolicy:IAMUser/ShortTermRootCredentialUsagePrivilegeEscalation:IAMUser/AnomalousBehaviorRecon:IAMUser/MaliciousIPCallerRecon:IAMUser/MaliciousIPCaller.CustomRecon:IAMUser/TorIPCallerStealth:IAMUser/CloudTrailLoggingDisabledStealth:IAMUser/PasswordPolicyChangeUnauthorizedAccess:IAMUser/ConsoleLoginSuccess.BUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWSUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWSUnauthorizedAccess:IAMUser/MaliciousIPCallerUnauthorizedAccess:IAMUser/MaliciousIPCaller.CustomUnauthorizedAccess:IAMUser/TorIPCaller
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty IAM 查找类型

以下调查发现特定于 IAM 实体和访问密钥,其资源类型AccessKey。调查发现的严重性和详细信息因调查发现类型而异。

此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关更多信息,请参阅 GuardDuty 基础数据源

对于所有 IAM 相关的调查发现,我们建议您检查相关实体,确保其权限遵循最低权限的最佳实践。如果此活动是意外活动,则凭证可能已泄露。有关修复调查发现的信息,请参阅 修复可能被泄露的 Amazon 凭证

CredentialAccess:IAMUser/AnomalousBehavior

用于获取 Amazon 环境访问权限的 API 被异常调用。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与攻击的凭证访问阶段有关,攻击者在该阶段尝试收集您的环境的密码、用户名和访问密钥 此类别 APIs 中的是GetPasswordDataGetSecretValueBatchGetSecretValue、和GenerateDbAuthToken

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

DefenseEvasion:IAMUser/AnomalousBehavior

用于避开防御措施的 API 被异常调用。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与防御逃避策略有关,在这种策略中,对手试图掩盖自己的踪迹并避免被发现。 APIs 此类别中通常包括删除、禁用或停止操作,例如DeleteFlowLogsDisableAlarmActions、或StopLogging

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

Discovery:IAMUser/AnomalousBehavior

通常用于发现资源的 API 被异常调用。

默认严重级别:低

  • 数据源:CloudTrail 管理事件

此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与攻击的发现阶段有关,即攻击者正在收集信息以确定您的 Amazon 环境是否容易受到更广泛的攻击。 APIs 此类别中通常是获取、描述或列出操作,例如DescribeInstancesGetRolePolicy、或ListAccessKeys

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

Exfiltration:IAMUser/AnomalousBehavior

通常用于从 Amazon 环境中收集数据的 API 被异常调用。

默认严重级别:高

  • 数据源:CloudTrail 管理事件

此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与泄露策略有关,在这种策略中,攻击者试图使用打包和加密从您的网络收集数据以避免被发现。 APIs 此查找类型仅为管理(控制平面)操作,通常与 S3、快照和数据库相关,例如、PutBucketReplicationCreateSnapshot、或。RestoreDBInstanceFromDBSnapshot

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

Impact:IAMUser/AnomalousBehavior

通常用于在 Amazon 环境中篡改数据或进程的 API 被异常调用。

默认严重级别:高

  • 数据源:CloudTrail 管理事件

此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与冲击策略有关,在这种策略中,对手试图破坏运营并操纵、中断或销毁您账户中的数据。 APIs 对于此查找类型,通常是删除、更新或放置操作,例如DeleteSecurityGroupUpdateUser、或PutBucketPolicy

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

InitialAccess:IAMUser/AnomalousBehavior

通常用于未经授权访问 Amazon 环境的 API 被异常调用。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。当攻击者试图建立对您的环境的访问权限时,观察到的 API 通常与攻击的初始访问阶段有关。 APIs 此类别中通常有 get token 或会话操作,例如StartSession、或GetAuthorizationToken

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

PenTest:IAMUser/KaliLinux

从 Kali Linux 计算机调用了一个 API。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

这一发现告诉您,一台运行 Kali Linux 的计算机正在使用属于您环境中列出的 Amazon 账户的凭据进行 API 调用。Kali Linux是一种流行的渗透测试工具,安全专业人员使用它来识别需要修补的 EC2 实例中的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞,并获得对您的 Amazon 环境的未经授权的访问权限。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

PenTest:IAMUser/ParrotLinux

从 Parrot Security Linux 机器调用了 API。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

这一发现告诉你,一台运行 Parrot Security Linux 的计算机正在使用属于你环境中列出的 Amazon 账户的凭据进行 API 调用。Parrot Security Linux 是一种流行的渗透测试工具,安全专业人员使用它来识别需要修补的 EC2 实例中的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞,并获得对您的 Amazon 环境的未经授权的访问权限。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

PenTest:IAMUser/PentooLinux

从 Pentoo Linux 机器调用了 API。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

这一发现告诉您,运行 Pentoo Linux 的计算机正在使用属于您环境中列出的 Amazon 账户的凭据进行 API 调用。Pentoo Linux是一种流行的渗透测试工具,安全专业人员使用它来识别需要修补的 EC2 实例中的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞,并获得对您的 Amazon 环境的未经授权的访问权限。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

Persistence:IAMUser/AnomalousBehavior

通常用于维护对 Amazon 环境的未经授权访问的 API 被异常调用。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与持久性策略相关联,在这种策略中,攻击者已获得对您的环境的访问权限并试图保持该访问权限。 APIs 此类别中通常是创建、导入或修改操作,例如CreateAccessKeyImportKeyPair、或ModifyInstanceAttribute

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

Policy:IAMUser/RootCredentialUsage

使用根用户登录凭证调用了 API。

默认严重级别:低

  • 数据源:S3 的CloudTrail 管理事件或 CloudTrail 数据事件

此调查发现通知您,正在利用您环境中列出的 Amazon Web Services 账户 根用户登录凭证,向 Amazon 服务发出请求。建议用户切勿使用 root 用户登录凭据来访问 Amazon 服务。相反,应使用来自 Amazon Security Token Service (STS) 的最低权限临时证书访问 Amazon 服务。对于不支持 Amazon STS 的情况,您可以使用推荐的 IAM 用户凭证。有关更多信息,请参阅 IAM 最佳实践

注意

如果为该账户启用了 S3 防护,则在尝试使用 Amazon Web Services 账户的根用户登录凭证在 Amazon S3 资源上运行 S3 数据面板操作时,可能会生成此调查发现。使用的 API 调用将列在调查发现详细信息中。如果未启用 S3 保护,则只能由事件日志触发此发现 APIs。有关 S3 防护的更多信息,请参阅 S3 防护

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

Policy:IAMUser/ShortTermRootCredentialUsage

API 是通过使用受限制的根用户凭据调用的。

默认严重级别:低

  • 数据源:S3 的Amazon CloudTrail 管理事件或 Amazon CloudTrail 数据事件

这一发现告诉您,针对您的环境 Amazon Web Services 账户 中列出的用户创建的受限用户凭证正被用来向发出请求。 Amazon Web Services 服务建议仅将根用户凭据用于那些需要根用户凭证的任务

如果可能,请使用具有 Amazon Web Services 服务 来自 Amazon Security Token Service (Amazon STS) 的临时证书的最低权限 IAM 角色进行访问。对于不支持的场 Amazon STS 景,最佳做法是使用 IAM 用户证书。有关更多信息,请参阅 IAM 用户指南中的安全最佳实践和您的 Amazon Web Services 账户根用户最佳实践。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

PrivilegeEscalation:IAMUser/AnomalousBehavior

通常用于获取 Amazon 环境高级权限的 API 被异常调用。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与权限升级策略有关,在这种策略中,攻击者试图获得更高级别的环境权限。 APIs 此类别中通常涉及更改 IAM 策略、角色和用户的操作,例如AssociateIamInstanceProfileAddUserToGroup、或PutUserPolicy

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

Recon:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

此调查发现通知您,从威胁列表中包含的 IP 地址调用了可以列出或描述您环境中账户的 Amazon 资源的 API 操作。攻击者可能会使用被盗的凭据对您的 Amazon 资源进行此类侦察,以找到更有价值的凭据或确定他们已经拥有的凭据的功能。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

Recon:IAMUser/MaliciousIPCaller.Custom

从已知恶意 IP 地址调用了 API。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

此调查发现通知您,从自定义威胁列表中包含的 IP 地址调用了可以列出或描述您环境中账户的 Amazon 资源的 API 操作。使用的威胁列表将在调查发现的详细信息中列出。攻击者可能会使用被盗的凭据对您的 Amazon 资源进行此类侦察,以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

Recon:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

此调查发现通知您,从 Tor 出口节点 IP 地址调用了可以列出或描述您环境中账户的 Amazon 资源的 API 操作。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。攻击者会使用 Tor 来掩盖他们的真实身份。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

Stealth:IAMUser/CloudTrailLoggingDisabled

Amazon CloudTrail 日志记录已禁用。

默认严重级别:低

  • 数据源:CloudTrail 管理事件

此发现告知您 Amazon 环境中的一条 CloudTrail 跟踪已被禁用。这可能是攻击者尝试禁用日志记录,通过消除其活动的任何痕迹来掩盖其踪迹,同时出于恶意目的获取对您 Amazon 资源的访问权限。成功地删除或更新跟踪会触发此调查发现。成功删除存储与之关联的跟踪中的日志的 S3 存储桶也可能触发此发现 GuardDuty。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

Stealth:IAMUser/PasswordPolicyChange

账户密码策略受损。

默认严重级别:低*

注意

此调查发现的严重性可以是“低”、“中”或“高”,具体取决于对密码策略所做更改的严重性。

  • 数据源:CloudTrail 管理事件

您的 Amazon 环境中列出的 Amazon 账户的账户密码政策已被削弱。例如,策略已删除或者进行了更新,要求较少的字符、无需符号和数字或者要求延长密码有效期。尝试更新或删除您的 Amazon 账户密码策略也可能触发此发现。 Amazon 账户密码策略定义了管理可以为您的 IAM 用户设置哪些类型的密码的规则。较弱的密码策略允许创建易于记住同时也可能更容易被猜到的密码,因而造成安全风险。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

发现多个全球范围内的成功控制台登录。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

此调查发现通知您,发现同一个 IAM 用户在不同地理位置,大约同一时间多次成功登录控制台。这种异常且有风险的访问位置模式表明您的 Amazon 资源可能遭到未经授权的访问。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

通过 EC2 实例启动角色专为实例创建的证书正在从其中的另一个账户中使用 Amazon。

默认严重级别:高*

注意

此调查发现的默认严重级别为“高”。但是,如果 API 是由与您的 Amazon 环境关联的账户调用的,则严重性为 “中”。

  • 数据源:S3 的CloudTrail 管理事件或 CloudTrail 数据事件

当您的亚马逊 EC2 实例凭证用于 APIs 从 IP 地址或 Amazon VPC 终端节点进行调用时,该发现会告知您,该终端节点的 Amazon 账户与运行关联的亚马逊 EC2 实例的账户不同。VPC 端点检测仅适用于支持 VPC 端点网络活动事件的服务。有关支持 VPC 端点网络活动事件的服务的信息,请参阅《Amazon CloudTrail 用户指南》中的 Logging network activity events

Amazon 不建议在创建临时证书的实体(例如, Amazon 应用程序 EC2、Amazon 或 Amazon Lambda)之外重新分配临时证书。但是,授权用户可以从其 Amazon EC2 实例导出凭证以进行合法的 API 调用。如果remoteAccountDetails.Affiliated字段为True,则 API 是从与同一个管理员账户关联的账户调用的。要排除潜在的攻击并验证活动的合法性,请联系向其分配这些证书 Amazon Web Services 账户 的所有者或 IAM 委托人。

注意

如果 GuardDuty 观察到来自远程账户的持续活动,则其机器学习 (ML) 模型会将其识别为预期行为。因此, GuardDuty 将停止为来自该远程账户的活动生成此调查结果。 GuardDuty 将继续从其他远程帐户生成有关新行为的调查结果,并将随着时间的推移行为发生变化而重新评估已学到的远程帐户。

修复建议:

当使用您的亚马逊实例的会话凭证 Amazon 通过您外部的亚马逊 EC2 实例在内部发出 Amazon API 请求时 Amazon Web Services 账户,就会生成此发现。 EC2 例如,对于中心和分支配置中的 Transit Gateway 架构,通常使用 Amazon 服务终端节点通过单个中心出口 VPC 路由流量。如果预期会出现这种行为,则 GuardDuty 建议您使用抑制规则并创建具有双筛选条件的规则。第一个标准是发现类型,在本例中为 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS。 第二个筛选条件是远程账户详细信息的远程账户 ID。

针对此调查发现,您可以使用以下工作流程来确定行动方案:

  1. service.action.awsApiCallAction.remoteAccountDetails.accountId 字段识别涉及的远程账户。

  2. service.action.awsApiCallAction.remoteAccountDetails.affiliated现场确定该账户是否与您的 GuardDuty环境有关联。

  3. 如果该账户关联账户,请联系远程账户所有者和亚马逊 EC2 实例凭证的所有者进行调查。

    如果该账户没有关联账户,则第一步是评估该账户是否与您的组织关联但不是您的 GuardDuty多账户环境设置的一部分,或者该账户是否 GuardDuty 尚未启用。接下来,请联系 Amazon EC2 实例凭证的所有者,以确定是否存在远程账户使用这些凭证的用例。

  4. 如果凭证的所有者无法识别远程账户,则该凭证可能已被在 Amazon中操作的威胁行为者窃取。您应该采取修复可能遭到入侵的 Amazon 实例 EC2中建议的步骤来保护您的环境。

    此外,您可以向 Amazon 信任与安全团队提交滥用报告,开始对远程账户进行调查。在向 Amazon 信任与安全团队提交报告时,请提供调查发现的完整 JSON 详细信息。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

通过 EC2 实例启动角色专为实例创建的证书正在从外部 IP 地址使用。

默认严重级别:高

  • 数据源:S3 的CloudTrail 管理事件或 CloudTrail 数据事件

这一发现告诉您,外部的主 Amazon 机尝试使用在您 Amazon 环境中的 EC2 实例上创建的临时 Amazon 证书运行 Amazon API 操作。列出的 EC2 实例可能已被泄露,并且该实例的临时证书可能已被泄露到外部的远程主机。 Amazon Amazon 不建议在创建临时证书的实体(例如 Amazon 应用程序或 Lambda)之外重新分配临时证书。 EC2但是,授权用户可以从其 EC2 实例中导出证书以进行合法的 API 调用。要排除潜在的攻击并验证活动的合法性,请验证是否应在调查发现中使用来自远程 IP 的实例凭证。

注意

如果 GuardDuty 观察到来自远程账户的持续活动,则其机器学习 (ML) 模型会将其识别为预期行为。因此, GuardDuty 将停止为来自该远程账户的活动生成此调查结果。 GuardDuty 将继续从其他远程帐户生成有关新行为的调查结果,并将随着时间的推移行为发生变化而重新评估已学到的远程帐户。

修复建议:

当网络配置为路由互联网流量,使其从本地网关而不是 VPC 互联网网关(IGW)发出时会生成此调查发现。使用 Amazon Outposts 或 VPC VPN 连接等常见配置可能会导致流量以这种方式路由。如果这是预期行为,我们建议您使用抑制规则,并创建一个包含两个过滤条件的规则。第一个标准是 finding type(调查发现类型),它应是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二个筛选条件是 API 调用方 IPv4 地址,其中包含本地互联网网关的 IP 地址或 CIDR 范围。要了解有关创建抑制规则的更多信息,请参阅 中的禁止规则 GuardDuty

注意

如果 GuardDuty 观察到来自外部来源的持续活动,则其机器学习模型将将其识别为预期行为,并停止为来自该来源的活动生成此发现。 GuardDuty 将继续从其他来源得出有关新行为的调查结果,并将随着时间的推移行为发生变化而重新评估所学来源。

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修复可能被泄露的 Amazon 凭证

UnauthorizedAccess:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

这一发现告诉您,API 操作(例如,尝试启动 EC2 实例、创建新 IAM 用户或修改您的 Amazon 权限)是从已知的恶意 IP 地址调用的。这可能表示对您环境中的 Amazon 资源进行了未经授权的访问。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

从自定义威胁列表中的 IP 地址调用了 API。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

这一发现告诉您,从您上传的威胁列表中包含的 IP 地址调用了 API 操作(例如,尝试启动 EC2 实例、创建新 IAM 用户或修改 Amazon 权限)。在 中,威胁列表包含已知的恶意 IP 地址。这可能表示对您环境中的 Amazon 资源进行了未经授权的访问。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证

UnauthorizedAccess:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API。

默认严重级别:中

  • 数据源:CloudTrail 管理事件

这一发现告诉您,API 操作(例如,尝试启动 EC2 实例、创建新 IAM 用户或修改您的 Amazon 权限)是从 Tor 出口节点 IP 地址调用的。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这种情况可能表明有人未经授权访问您的 Amazon 资源,并意图隐藏攻击者的真实身份。

修复建议:

如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证