Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

GuardDuty IAM 查找类型

以下调查发现特定于 IAM 实体和访问密钥，其资源类型为 AccessKey。调查发现的严重性和详细信息因调查发现类型而异。

此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关更多信息，请参阅 基础数据来源。

对于所有 IAM 相关的调查发现，我们建议您检查相关实体，确保其权限遵循最低权限的最佳实践。如果此活动是意外活动，则凭证可能已泄露。有关修复调查发现的信息，请参阅 修复可能被泄露的凭证 Amazon。

CredentialAccess:IAMUser/AnomalousBehavior

用于获取 Amazon 环境访问权限的 API 被异常调用。

默认严重级别：中

此调查发现通知您，在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API，或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与攻击的凭证访问阶段有关，攻击者在该阶段尝试收集您的环境的密码、用户名和访问密钥 此类别中的 API 为 GetPasswordData、GetSecretValue 和 GenerateDbAuthToken。

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求，并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素，例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息，请参阅调查发现详细信息。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

DefenseEvasion:IAMUser/AnomalousBehavior

用于避开防御措施的 API 被异常调用。

默认严重级别：中

此调查发现通知您，在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API，或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与防御规避策略有关，在这种策略中，攻击者试图掩盖他们的踪迹并避免被发现。此类别中的 API 通常是 delete、disable 或 stop 操作，例如 DeleteFlowLogs、DisableAlarmActions 或 StopLogging。

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求，并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素，例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息，请参阅调查发现详细信息。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 Amazon。

Discovery:IAMUser/AnomalousBehavior

通常用于发现资源的 API 被异常调用。

默认严重级别：低

此调查发现通知您，在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API，或由单个用户身份在附近发出的一系列相关 API 请求。观察到的 API 通常与攻击的发现阶段有关，即攻击者正在收集信息以确定您的 Amazon 环境是否容易受到更广泛的攻击。此类别中的 API 通常是 get、describe 或 list 操作，例如 DescribeInstances、GetRolePolicy 或 ListAccessKeys。

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求，并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素，例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息，请参阅调查发现详细信息。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

Exfiltration:IAMUser/AnomalousBehavior

通常用于从 Amazon 环境中收集数据的 API 被异常调用。

默认严重级别：高

此调查发现通知您，在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API，或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与泄露策略有关，在这种策略中，攻击者试图利用打包和加密技术从您的网络中收集数据，以避开检测。此调查发现类型的 API 仅有管理（控制面板）操作，通常与 S3、快照和数据库有关，例如 PutBucketReplication、CreateSnapshot 或 RestoreDBInstanceFromDBSnapshot。

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求，并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素，例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息，请参阅调查发现详细信息。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

Impact:IAMUser/AnomalousBehavior

通常用于在 Amazon 环境中篡改数据或进程的 API 被异常调用。

默认严重级别：高

此调查发现通知您，在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API，或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与影响策略有关，在这种策略中，攻击者试图干扰操作，并操纵、中断或破坏您账户中的数据。此调查发现类型的 API 通常是 delete、update 或 put 操作，例如 DeleteSecurityGroup、UpdateUser 或 PutBucketPolicy。

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求，并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素，例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息，请参阅调查发现详细信息。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

InitialAccess:IAMUser/AnomalousBehavior

通常用于未经授权访问 Amazon 环境的 API 被异常调用。

默认严重级别：中

此调查发现通知您，在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API，或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与攻击的初始访问阶段有关，攻击者在该阶段尝试建立对环境的访问。此类别中的 API 通常是 get token 或 session 操作，例如 GetFederationToken、StartSession 或 GetAuthorizationToken。

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求，并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素，例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息，请参阅调查发现详细信息。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

PenTest:IAMUser/KaliLinux

从一台 Kali Linux 机器上调用了一个 API。

默认严重级别：中

这一发现告诉您，一台运行 Kali Linux 的计算机正在使用属于您环境中列出的 Amazon 账户的凭据进行 API 调用。Kali Linux 是一种流行的渗透测试工具，安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞，并获得对您的 Amazon 环境的未经授权的访问权限。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

PenTest:IAMUser/ParrotLinux

从 Parrot Security Linux 机器调用了 API。

默认严重级别：中

这一发现告诉你，一台运行 Parrot Security Linux 的计算机正在使用属于你环境中列出的 Amazon 账户的凭据进行 API 调用。Parrot Security Linux 是一种流行的渗透测试工具，安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞，并获得对您的 Amazon 环境的未经授权的访问权限。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

PenTest:IAMUser/PentooLinux

从 Pentoo Linux 机器调用了 API。

默认严重级别：中

这一发现告诉你，一台运行 Pentoo Linux 的计算机正在使用属于你环境中列出的 Amazon 账户的凭据进行 API 调用。Pentoo Linux 是一种流行的渗透测试工具，安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞，并获得对您的 Amazon 环境的未经授权的访问权限。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

Persistence:IAMUser/AnomalousBehavior

通常用于维护对 Amazon 环境的未经授权访问的 API 被异常调用。

默认严重级别：中

此调查发现通知您，在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API，或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与持久性策略有关，在这种策略中，攻击者已获取对您环境的访问权限并试图保持该访问权限。此类别中的 API 通常是 create、import 或 modify 操作，例如 CreateAccessKey、ImportKeyPair 或 ModifyInstanceAttribute。

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求，并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素，例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息，请参阅调查发现详细信息。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

Policy:IAMUser/RootCredentialUsage

使用根用户登录凭证调用了 API。

默认严重级别：低

此调查发现通知您，正在利用您环境中列出的 Amazon Web Services 账户 根用户登录凭证，向 Amazon 服务发出请求。建议用户切勿使用 root 用户登录凭据来访问 Amazon 服务。相反，应使用来自 Amazon Security Token Service (STS) 的最低权限临时证书访问 Amazon 服务。对于不支持 Amazon STS 的情况，您可以使用推荐的 IAM 用户凭证。有关更多信息，请参阅 IAM 最佳实践。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

PrivilegeEscalation:IAMUser/AnomalousBehavior

通常用于获取 Amazon 环境高级权限的 API 被异常调用。

默认严重级别：中

此调查发现通知您，在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API，或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与权限提升策略有关，在这种策略中，攻击者试图获取对环境的更高级别权限。此类别中的 API 通常涉及更改 IAM 策略、角色和用户的操作，例如 AssociateIamInstanceProfile、AddUserToGroup 或 PutUserPolicy。

此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求，并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素，例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息，请参阅调查发现详细信息。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

Recon:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

默认严重级别：中

此调查发现通知您，从威胁列表中包含的 IP 地址调用了可以列出或描述您环境中账户的 Amazon 资源的 API 操作。攻击者可能会使用被盗的凭据对您的 Amazon 资源进行此类侦察，以找到更有价值的凭据或确定他们已经拥有的凭据的功能。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

Recon:IAMUser/MaliciousIPCaller.Custom

从已知恶意 IP 地址调用了 API。

默认严重级别：中

此调查发现通知您，从自定义威胁列表中包含的 IP 地址调用了可以列出或描述您环境中账户的 Amazon 资源的 API 操作。使用的威胁列表将在调查发现的详细信息中列出。攻击者可能会使用被盗的凭据对您的 Amazon 资源进行此类侦察，以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

Recon:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API。

默认严重级别：中

此调查发现通知您，从 Tor 出口节点 IP 地址调用了可以列出或描述您环境中账户的 Amazon 资源的 API 操作。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。攻击者会使用 Tor 来掩盖他们的真实身份。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

Stealth:IAMUser/CloudTrailLoggingDisabled

Amazon CloudTrail 日志记录已禁用。

默认严重级别：低

此发现告知您 Amazon 环境中的一条 CloudTrail 跟踪已被禁用。这可能是攻击者尝试禁用日志记录，通过消除其活动的任何痕迹来掩盖其踪迹，同时出于恶意目的获取对您 Amazon 资源的访问权限。成功地删除或更新跟踪会触发此调查发现。成功删除存储与之关联的跟踪中的日志的 S3 存储桶也可能触发此发现 GuardDuty。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

Stealth:IAMUser/PasswordPolicyChange

账户密码策略受损。

默认严重级别：低*

您的 Amazon 环境中列出的 Amazon 账户的账户密码政策已被削弱。例如，策略已删除或者进行了更新，要求较少的字符、无需符号和数字或者要求延长密码有效期。尝试更新或删除您的 Amazon 账户密码策略也可能触发此发现。 Amazon 账户密码策略定义了管理可以为您的 IAM 用户设置哪些类型的密码的规则。较弱的密码策略允许创建易于记住同时也可能更容易被猜到的密码，因而造成安全风险。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

发现多个全球范围内的成功控制台登录。

默认严重级别：中

此调查发现通知您，发现同一个 IAM 用户在不同地理位置，大约同一时间多次成功登录控制台。这种异常且有风险的访问位置模式表明您的 Amazon 资源可能遭到未经授权的访问。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

通过实例启动角色专门为 EC2 实例创建的凭证正在被 Amazon中的其他账户使用。

默认严重级别：高*

当使用您的 EC2 实例证书从与关联的 EC2 实例所运行的 Amazon 账户不同的账户拥有的 IP 地址调用 API 时，该发现会通知您。

Amazon 不建议在创建临时凭证的实体（例如 Amazon 应用程序、EC2 或 Lambda）之外重新分配临时证书。但是，授权用户可以从其 EC2 实例导出凭证以进行合法 API 调用。如果remoteAccountDetails.Affiliated字段为True，则 API 是从与您的 Amazon 环境关联的账户调用的。要排除潜在的攻击并验证活动的合法性，请联系分配了这些凭证的 IAM 用户。

修复建议：

针对此调查发现，您可以使用以下工作流程来确定行动方案：

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

通过实例启动角色专为某个 EC2 实例创建的凭证正在从外部 IP 地址使用。

默认严重级别：高

这一发现告诉您，外部的主机尝试使用 Amazon 在您 Amazon 环境中的 EC2 实例上创建的临时 Amazon 证书运行 Amazon API 操作。列出的 EC2 实例可能遭到入侵，并且该实例的临时证书可能已被泄露到外部的远程主机。 Amazon Amazon 不建议在创建临时证书的实体（例如 Amazon 应用程序、EC2 或 Lambda）之外重新分配临时证书。但是，授权用户可以从其 EC2 实例导出凭证以进行合法 API 调用。要排除潜在的攻击并验证活动的合法性，请验证是否应在调查发现中使用来自远程 IP 的实例凭证。

修复建议：

当网络配置为路由互联网流量，使其从本地网关而不是 VPC 互联网网关（IGW）发出时会生成此调查发现。使用 Amazon Outposts 或 VPC VPN 连接等常见配置可能会导致流量以这种方式路由。如果这是预期行为，我们建议您使用抑制规则，并创建一个包含两个过滤条件的规则。第一个标准是 finding type（调查发现类型），它应是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二个筛选条件是 API 调用方 IPv4 地址，该地址需具有本地互联网网关 IP 地址或 CIDR 范围。要了解有关创建抑制规则的更多信息，请参阅 抑制规则。

如果此活动是意外活动，则您的凭证可能已遭盗用，请参阅修复可能被泄露的凭证 Amazon。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

默认严重级别：中

这一发现告诉您，API 操作（例如，尝试启动 EC2 实例、创建新 IAM 用户或修改您的 Amazon 权限）是从已知的恶意 IP 地址调用的。这可能表示对您环境中的 Amazon 资源进行了未经授权的访问。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

从自定义威胁列表中的 IP 地址调用了 API。

默认严重级别：中

这一发现告诉您，API 操作（例如，尝试启动 EC2 实例、创建新 IAM 用户或修改 Amazon 权限）是从您上传的威胁列表中包含的 IP 地址调用的。在 中，威胁列表包含已知的恶意 IP 地址。这可能表示对您环境中的 Amazon 资源进行了未经授权的访问。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的凭证 Amazon。

UnauthorizedAccess:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API。

默认严重级别：中

此调查发现通知您，从 Tor 出口节点 IP 地址调用了 API 操作（例如，尝试启动 EC2 实例、创建新的 IAM 用户或修改您的 Amazon 权限）。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这种情况可能表明有人未经授权访问您的 Amazon 资源，并意图隐藏攻击者的真实身份。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的凭证 Amazon。