GuardDuty IAM 查找类型 - Azon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty IAM 查找类型

以下发现特定于 IAM 实体和访问密钥,并且资源类型始终为AccessKey。调查结果的严重程度和详细信息因发现类型而异。

此处列出的发现包括用于生成该发现类型的数据源和模型。有关数据源和模型的更多信息,请参阅亚马逊如何 GuardDuty 使用其数据源

对于所有与 IAM 相关的调查结果,我们建议您检查相关实体,并确保其权限遵循最低权限的最佳实践。如果活动是意外的,则证书可能会被泄露。请参阅中详细的操作修复泄露的Amazon证书

CredentialAccess:IAMUser/AnomalousBehavior

用于获取Amazon环境访问权限的 API 是以异常方式调用的。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

这一发现告知您,在您的账户中观察到异常的 API 请求。此发现可能包括单个 API 或由单个用户身份在附近发出的一系列相关 API 请求。当攻击者试图为您的环境收集密码、用户名和访问密钥时,观察到的 API 通常与攻击的凭证访问阶段有关。此类别中的 API 是GetPasswordDataGetSecretValue、和GenerateDbAuthToken

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关API请求的哪些因素对于调用请求的用户身份而言不寻常的详细信息可以在调查结果详细信息中找到。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

DefenseEvasion:IAMUser/AnomalousBehavior

用于逃避防御措施的 API 是以异常方式调用的。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

这一发现告知您,在您的账户中观察到异常的 API 请求。此发现可能包括单个 API 或由单个用户身份在附近发出的一系列相关 API 请求。观察到的API通常与防御逃避策略有关,在这种策略中,对手试图掩盖自己的踪迹并逃避发现。此类别中的 API 通常是删除、禁用或停止操作,例如DeleteFlowLogsDisableAlarmActions、或StopLogging

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关API请求的哪些因素对于调用请求的用户身份而言不寻常的详细信息可以在调查结果详细信息中找到。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Discovery:IAMUser/AnomalousBehavior

常用于发现资源的 API 是以异常方式调用的。

默认严重性:低

  • 数据源:CloudTrail 管理事件

这一发现告知您,在您的账户中观察到异常的 API 请求。此发现可能包括单个 API 或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与攻击的发现阶段有关,当时对手正在收集信息以确定您的Amazon环境是否容易受到更广泛的攻击。此类别中的 API 通常是获取、描述或列表操作,例如DescribeInstancesGetRolePolicy、或ListAccessKeys

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关API请求的哪些因素对于调用请求的用户身份而言不寻常的详细信息可以在调查结果详细信息中找到。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Exfiltration:IAMUser/AnomalousBehavior

通常用于从Amazon环境中收集数据的 API 是以异常方式调用的。

默认严重性:高

  • 数据源:CloudTrail 管理事件

这一发现告知您,在您的账户中观察到异常的 API 请求。此发现可能包括单个 API 或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与泄露策略有关,在这种策略中,对手试图使用打包和加密从您的网络收集数据以避免被发现。此查找类型的 API 仅是管理(控制平面)操作,通常与 S3、快照和数据库(例如、PutBucketReplicationCreateSnapshot、或)相关RestoreDBInstanceFromDBSnapshot

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关API请求的哪些因素对于调用请求的用户身份而言不寻常的详细信息可以在调查结果详细信息中找到。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Impact:IAMUser/AnomalousBehavior

通常用于在Amazon环境中篡改数据或进程的 API 是以异常方式调用的。

默认严重性:高

  • 数据源:CloudTrail 管理事件

这一发现告知您,在您的账户中观察到异常的 API 请求。此发现可能包括单个 API 或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与攻击策略有关,在这种策略中,对手试图破坏操作并操纵、中断或销毁您账户中的数据。此查找类型的 API 通常是删除、更新或上传操作,例如DeleteSecurityGroupUpdateUser、或PutBucketPolicy

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关API请求的哪些因素对于调用请求的用户身份而言不寻常的详细信息可以在调查结果详细信息中找到。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

InitialAccess:IAMUser/AnomalousBehavior

通常用于未经授权访问Amazon环境的 API 是以异常方式调用的。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

这一发现告知您,在您的账户中观察到异常的 API 请求。此发现可能包括单个 API 或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与攻击的初始访问阶段有关,即攻击者试图建立对您的环境的访问权限。此类别中的 API 通常是获取令牌或会话操作,例如GetFederationTokenStartSession、或GetAuthorizationToken

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关API请求的哪些因素对于调用请求的用户身份而言不寻常的详细信息可以在调查结果详细信息中找到。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

PenTest:IAMUser/KaliLinux

一个 API 是从 Kali Linux EC2 机器上调用的。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

这个发现告诉你,运行 Kali Linux 的机器正在使用属于你的环境中列出的Amazon账户的证书进行 API 调用。Kali Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

PenTest:IAMUser/ParrotLinux

一个 API 是从 Parrot Security Linux 机器上调用的。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

这一发现告诉你,一台运行 Parrot Security Linux 的机器正在使用属于你环境中列出的Amazon账户的证书进行 API 调用。Parrot Security Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

PenTest:IAMUser/PentooLinux

一个 API 是从 Pentoo Linux 计算机上调用的。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

这个发现告诉你,运行 Pentoo Linux 的机器正在使用属于你的环境中列出的Amazon账户的证书进行 API 调用。Pentoo Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Persistence:IAMUser/AnomalousBehavior

通常用于维护对Amazon环境的未授权访问的 API 是以异常方式调用的。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

这一发现告知您,在您的账户中观察到异常的 API 请求。此发现可能包括单个 API 或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与持续策略有关,在这种策略中,对手已经获得了对您的环境的访问权限并试图维持该访问权限。此类别中的 API 通常是创建、导入或修改操作,例如CreateAccessKeyImportKeyPair、或ModifyInstanceAttribute

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关API请求的哪些因素对于调用请求的用户身份而言不寻常的详细信息可以在调查结果详细信息中找到。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Policy:IAMUser/RootCredentialUsage

使用根凭证调用了 API。

默认严重性:低

  • 数据源:CloudTrail 管理事件或 CloudTrail 数据事件

此发现告知您,您的环境中列出的Amazon账户的根证书正被用于向Amazon服务发出请求。建议用户切勿使用根证书访问Amazon服务。相反,应使用来自Amazon Security Token Service (STS) 的最低权限临时证书访问Amazon服务。Amazon STS对于不支持的情况,建议使用 IAM 用户证书。有关更多信息,请参阅 IAM 最佳实践

注意

如果为该账户启用了 S3 威胁检测,则可能会在尝试使用该账户的根凭证对 S3 资源运行 S3 数据平面操作时生成此结果。Amazon所使用的 API 调用将在调查结果详细信息中列出。如果未启用 S3 威胁检测,则只能由事件日志 API 触发此发现。有关 S3 威胁检测的更多信息,请参阅 S3 保护

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

PrivilegeEscalation:IAMUser/AnomalousBehavior

通常用于获取Amazon环境高级权限的 API 是以异常方式调用的。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

这一发现告知您,在您的账户中观察到异常的 API 请求。此发现可能包括单个 API 或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与权限提升策略有关,在这种策略中,对手试图获得对环境的更高级别的权限。此类别中的 API 通常涉及更改 IAM 策略、角色和用户的操作,例如AssociateIamInstanceProfileAddUserToGroup、或PutUserPolicy

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关API请求的哪些因素对于调用请求的用户身份而言不寻常的详细信息可以在调查结果详细信息中找到。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Recon:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

此发现告知您,可以列出或描述环境中账户Amazon资源的 API 操作是从威胁列表中包含的 IP 地址调用的。攻击者可能使用窃取的凭证对您的Amazon资源进行此类侦察,以找到更有价值的凭证或确定他们已拥有的凭证的功能。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Recon:IAMUser/MaliciousIPCaller.Custom

从已知恶意 IP 地址调用了 API。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

此发现告知您,可以列出或描述环境中账户Amazon资源的 API 操作是从自定义威胁列表中包含的 IP 地址调用的。使用的威胁列表将在调查结果的详细信息中列出。攻击者可能会使用窃取的凭证对您的Amazon资源进行此类侦察,以找到更有价值的凭证或确定他们已拥有的凭证的功能。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Recon:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

这个发现告诉你,一个可以列出或描述你环境中账户Amazon资源的 API 操作是从 Tor 出口节点 IP 地址调用的。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。攻击者会使用 Tor 来掩盖自己的真实身份。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Stealth:IAMUser/CloudTrailLoggingDisabled

Amazon CloudTrail日志记录已禁用。

默认严重性:低

  • 数据源:CloudTrail 管理事件

此发现告知您Amazon环境中的一 CloudTrail 条跟踪已被禁用。这可能是攻击者试图禁用日志记录以掩盖自己的踪迹,同时出于恶意目的获取对您的Amazon资源的访问权限。成功地删除或更新跟踪会触发此调查结果。成功删除存储与之关联的跟踪日志的 S3 存储桶也可以触发此发现 GuardDuty。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Stealth:IAMUser/PasswordPolicyChange

账户密码策略受损。

默认严重性:低*

注意

此发现的严重性可以是 “低”、“中” 或 “高”,具体取决于密码策略更改的严重性。

  • 数据源:CloudTrail 管理事件

您的Amazon环境中列出的Amazon账户的账户密码政策已被削弱。例如,策略已删除或者进行了更新,要求较少的字符、无需符号和数字或者要求延长密码有效期。尝试更新或删除您的Amazon账户密码政策也可能触发此发现。Amazon账户密码策略定义了管理可为您的 IAM 用户设置何种密码的规则。较弱的密码策略允许创建易于记住同时也可能更容易被猜到的密码,因而造成安全风险。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

发现多个全球范围内的成功控制台登录。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

此调查结果通知您,发现同一个 IAM 用户在不同地理位置,大约同一时间多次成功登录控制台。这种异常和危险的访问位置模式表明您的Amazon资源可能遭到未经授权的访问。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

正在使用通过实例启动角色专为 EC2 实例创建的证书Amazon。

默认严重性:高*

注意

此发现的默认严重性为 “高”。但是,如果 API 是由与您的Amazon环境关联的账户调用的,则严重性为 “中”。

  • 数据源:CloudTrail 管理事件或 S3 数据事件

此发现告知您何时使用您的 EC2 实例证书从 IP 地址调用 API,该 IP 地址与运行关联 EC2 实例所在Amazon账户的账户不同。

Amazon不建议在创建临时证书的实体(例如,Amazon应用程序、EC2 或 Lambda)之外重新分配临时证书。但是,授权用户可以从其 EC2 实例导出凭证以进行合法 API 调用。如果该remoteAccountDetails.Affiliated字段为,则True该 API 是从与您的Amazon环境关联的账户调用的。要排除潜在的攻击并验证活动的合法性,请联系分配了这些凭证的 IAM 用户。

补救建议:

为了回应这一发现,您可以使用以下工作流程来确定行动方针:

  1. service.action.awsApiCallAction.remoteAccountDetails.accountId现场识别涉及的远程帐户。

  2. 接下来,从service.action.awsApiCallAction.remoteAccountDetails.affiliated现场确定该账户是否与您的 GuardDuty环境有关联。

  3. 如果该账户是关联账户,请联系远程账户所有者和 EC2 实例证书的所有者进行调查。

  4. 如果该账户不是关联账户,则首先评估该账户与您的组织关联但不是您的 GuardDuty多账户设置的一部分,或者该账户是否 GuardDuty 尚未启用。否则,请联系 EC2 证书的所有者,以确定是否存在远程账户使用这些证书的用例。

  5. 如果凭证的所有者无法识别远程账户,则该凭证可能已被在其中操作的威胁行为者泄露Amazon。您应该采取中建议的步骤修复受损的 EC2 实例来保护您的环境。此外,您可以向Amazon信任与安全团队提交滥用报告,开始对远程账户进行调查。向Amazon Trust and Safety 提交报告时,请提供调查结果的完整 JSON 详细信息。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

通过实例启动角色专为某个 EC2 实例创建的凭证正在从外部 IP 地址使用。

默认严重性:高

  • 数据源:CloudTrail 管理事件或 S3 数据事件

这一发现通知您,外部的一Amazon台主机试图使用在您Amazon环境中的 EC2 实例上创建的临时Amazon证书运行Amazon API 操作。列出的 EC2 实例可能已被盗用,来自该实例的临时证书可能已泄露到外部的远程主机Amazon。 Amazon不建议在创建临时证书的实体(例如,Amazon应用程序、EC2 或 Lambda)之外重新分配临时证书。但是,授权用户可以从其 EC2 实例导出凭证以进行合法 API 调用。要排除潜在攻击并验证活动的合法性,请验证调查结果中是否会使用来自远程 IP 的实例凭证。

补救建议:

此发现是在将网络配置为路由互联网流量,使其从本地网关而不是从 VPC Internet 网关 (IGW) 传出时生成的。使用Amazon Outposts或 VPC VPN 连接等常见配置可能会导致流量以这种方式路由。如果这是预期行为,我们建议您使用隐藏规则并创建由两个筛选条件组成的规则。第一个标准是 finding type (调查结果类型),它应是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二个筛选条件是 API 调用方的 IPv4 地址以及本地互联网网关的 IP 地址或 CIDR 范围。要了解有关创建隐藏规则的更多信息,请参阅黑规则

注意

如果 GuardDuty 观察到来自外部来源的持续活动,则其机器学习模型会将其识别为预期行为,并停止为来自该来源的活动生成此发现。 GuardDuty 将继续从其他来源得出新行为的发现,并将随着时间的推移行为发生变化,重新评估学到的来源。

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修复泄露的Amazon证书

UnauthorizedAccess:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

这一发现通知您,API 操作(例如,尝试启动 EC2 实例、创建新 IAM 用户、修改您的Amazon权限)是从已知的恶意 IP 地址调用的。这可能表示对您环境中的Amazon资源进行了未经授权的访问。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

从自定义威胁列表中的 IP 地址调用了 API。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

此发现告知您,API 操作(例如,尝试启动 EC2 实例、创建新 IAM 用户、修改Amazon权限)是从您上传的威胁列表中包含的 IP 地址调用的。在 中,威胁列表包含已知的恶意 IP 地址。这可能表示对您环境中的Amazon资源进行了未经授权的访问。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

UnauthorizedAccess:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API。

默认严重性:中等

  • 数据源:CloudTrail 管理事件

此发现告知您,API 操作(例如,尝试启动 EC2 实例、创建新 IAM 用户或修改您的Amazon权限)是从 Tor 退出节点 IP 地址调用的。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问您的Amazon资源,目的是隐藏攻击者的真实身份。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅修复泄露的Amazon证书