GuardDuty IAM 查找类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty IAM 查找类型

以下调查结果特定于 IAM 实体和访问密钥,并且始终具有资源类型AccessKey. 调查结果的严重性和详细信息因调查结果类型而异。

此处列出的调查结果包括用于生成该查找结果类型的数据源和模型。有关数据源和模型的详细信息,请参阅Amazon GuardDuty 如何使用其数据源.

对于所有与 IAM 相关的调查结果,建议您检查相关实体的权限,并确保此实体遵循最小权限的最佳实践。如果活动是意外活动,则凭证可能受损。请参阅修正遭盗用的损用Amazon凭证.

CredentialAccess:IAMUser/AnomalousBehavior

一个 API,用于访问Amazon环境被以异常的方式调用。

默认严重级别:高 中等

  • 数据源 CloudTrail 管理事件

此调查结果通知您您的账户中发现异常 API 请求。此发现可能包括单个 API 或一系列相关 API 请求,由单个用户身份. 当敌人试图为您的环境收集密码、用户名和访问密钥时,观察到的 API 通常与攻击的凭据访问阶段相关联。此类别中的 API 是GetPasswordDataGetSecretValue, 和GenerateDbAuthToken.

此 API 请求被 GuardTor 的异常检测机器学习 (ML) 模型确定为异常。ML 模型评估您账户中的所有 API 请求,并识别与敌人使用的技术相关联的异常事件。ML 模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份不寻常的详细信息,请参阅结果详细信息.

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

DefenseEvasion:IAMUser/AnomalousBehavior

用于逃避防御措施的 API 以异常方式被调用。

默认严重级别:高 中等

  • 数据源 CloudTrail 管理事件

此调查结果通知您您的账户中发现异常 API 请求。此发现可能包括单个 API 或一系列相关 API 请求,由单个用户身份. 观察到的 API 通常与防御规避策略有关,其中敌人试图掩盖他们的轨迹并避免检测。此类别中的 API 通常是删除、禁用或停止操作,例如DeleteFlowLogsDisableAlarmActions,或者StopLogging.

此 API 请求被 GuardTor 的异常检测机器学习 (ML) 模型确定为异常。ML 模型评估您账户中的所有 API 请求,并识别与敌人使用的技术相关联的异常事件。ML 模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份不寻常的详细信息,请参阅结果详细信息.

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Discovery:IAMUser/AnomalousBehavior

常用于发现资源的 API 以异常方式调用。

默认严重级别:高 低

  • 数据源 CloudTrail 事件

此调查结果通知您您的账户中发现异常 API 请求。此发现可能包括单个 API 或一系列相关 API 请求,由单个用户身份. 观察到的 API 通常与攻击的发现阶段相关联,当敌人正在收集信息以确定Amazon环境容易受到更广泛的攻击。此类别中的 API 通常是获取、描述或列出操作,例如DescribeInstancesGetRolePolicy,或者ListAccessKeys.

此 API 请求被 GuardTor 的异常检测机器学习 (ML) 模型确定为异常。ML 模型评估您账户中的所有 API 请求,并识别与敌人使用的技术相关联的异常事件。ML 模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份不寻常的详细信息,请参阅结果详细信息.

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Exfiltration:IAMUser/AnomalousBehavior

通常用于从Amazon环境被以异常的方式调用。

默认严重级别:高 高

  • 数据源 CloudTrail 管理事件

此调查结果通知您您的账户中发现异常 API 请求。此发现可能包括单个 API 或一系列相关 API 请求,由单个用户身份. 观察到的 API 通常与外泄策略有关,其中敌人试图使用打包和加密从您的网络中收集数据以避免检测。此查找结果类型的 API 仅是管理(控制平面)操作,通常与 S3、快照和数据库相关,例如PutBucketReplicationCreateSnapshot,或者RestoreDBInstanceFromDBSnapshot.

此 API 请求被 GuardTor 的异常检测机器学习 (ML) 模型确定为异常。ML 模型评估您账户中的所有 API 请求,并识别与敌人使用的技术相关联的异常事件。ML 模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份不寻常的详细信息,请参阅结果详细信息.

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Impact:IAMUser/AnomalousBehavior

一种常用于篡改数据或进程的 APIAmazon环境被以异常的方式调用。

默认严重级别:高 高

  • 数据源 CloudTrail 事件

此调查结果通知您您的账户中发现异常 API 请求。此发现可能包括单个 API 或一系列相关 API 请求,由单个用户身份. 观察到的 API 通常与影响策略相关,其中敌人试图中断操作并操纵、中断或销毁您账户中的数据。此查找类型的 API 通常是删除、更新或放置操作,例如DeleteSecurityGroupUpdateUser,或者PutBucketPolicy.

此 API 请求被 GuardTor 的异常检测机器学习 (ML) 模型确定为异常。ML 模型评估您账户中的所有 API 请求,并识别与敌人使用的技术相关联的异常事件。ML 模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份不寻常的详细信息,请参阅结果详细信息.

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

InitialAccess:IAMUser/AnomalousBehavior

通常用于获取未经授权的访问Amazon环境被以异常的方式调用。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此调查结果通知您您的账户中发现异常 API 请求。此发现可能包括单个 API 或一系列相关 API 请求,由单个用户身份. 当敌人试图建立对环境的访问权限时,观察到的 API 通常与攻击的初始访问阶段相关联。此类别中的 API 通常是获取令牌或会话操作,例如GetFederationTokenStartSession,或者GetAuthorizationToken.

此 API 请求被 GuardTor 的异常检测机器学习 (ML) 模型确定为异常。ML 模型评估您账户中的所有 API 请求,并识别与敌人使用的技术相关联的异常事件。ML 模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份不寻常的详细信息,请参阅结果详细信息.

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

PenTest:IAMUser/KaliLinux

从 Kali Linux EC2 实机调用了 API。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此调查结果通知您,某台运行 Kali Linux 的机器在使用属于列出的Amazon帐户。Kali Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

PenTest:IAMUser/ParrotLinux

从 Parrot Security Linux 机器调用了 API。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此调查结果通知您,某台运行 Parrot Security Linux 的机器在使用属于列出的Amazon帐户。Parrot Security Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

PenTest:IAMUser/PentooLinux

从 Pentoo Linux 机器调用了 API。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此结果通知您,某台运行 Pentoo Linux 的机器在使用属于列出的Amazon帐户。Pentoo Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Persistence:IAMUser/AnomalousBehavior

一种常用于维护未经授权访问Amazon环境被以异常的方式调用。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此调查结果通知您您的账户中发现异常 API 请求。此发现可能包括单个 API 或一系列相关 API 请求,由单个用户身份. 观察到的 API 通常与持久性策略相关联,其中敌人已获得对您的环境的访问权限并试图维护该访问权限。此类别中的 API 通常是创建、导入或修改操作,例如CreateAccessKeyImportKeyPair,或者ModifyInstanceAttribute.

此 API 请求被 GuardTor 的异常检测机器学习 (ML) 模型确定为异常。ML 模型评估您账户中的所有 API 请求,并识别与敌人使用的技术相关联的异常事件。ML 模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份不寻常的详细信息,请参阅结果详细信息.

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Policy:IAMUser/RootCredentialUsage

使用根凭证调用了 API。

默认严重级别:高 低

  • 数据源 CloudTrail 管理事件或 CloudTrail 数据事件

此结果通知您,列出的Amazon帐户被用于向Amazon服务。建议用户切勿使用 root 凭据访问Amazon服务。相反,Amazon服务应使用Amazon Security Token Service(STS). 对于Amazon STS不受支持,建议使用 IAM 用户证书。有关更多信息,请参阅 。IAM 最佳实践

注意

如果为账户启用了 S3 威胁检测,则可能会生成此查找结果,以响应尝试使用Amazonaccount. 使用的 API 调用将在调查结果详细信息中列出。如果未启用 S3 威胁检测,则只能由事件日志 API 触发此查找结果。有关 S3 威胁检测的详细信息,请参阅S3 保护.

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

PrivilegeEscalation:IAMUser/AnomalousBehavior

一种通常用于获取对Amazon环境被以异常的方式调用。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此调查结果通知您您的账户中发现异常 API 请求。此发现可能包括单个 API 或一系列相关 API 请求,由单个用户身份. 观察到的 API 通常与权限提升策略相关,其中敌人试图获得对环境的更高级别权限。此类别中的 API 通常涉及更改 IAM 策略、角色和用户的操作,例如AssociateIamInstanceProfileAddUserToGroup,或者PutUserPolicy.

此 API 请求被 GuardTor 的异常检测机器学习 (ML) 模型确定为异常。ML 模型评估您账户中的所有 API 请求,并识别与敌人使用的技术相关联的异常事件。ML 模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份不寻常的详细信息,请参阅结果详细信息.

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Recon:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此结果通知您,可以列出或描述 Amazon (例如,尝试启动 Amazon 实例、创建新的 IAM 用户或者修改 Amazon 特权)。攻击者可以使用被盗的凭据来执行这种类型的Amazon资源,以找出更多有价值的凭证或确定他们已拥有的凭证的功能。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Recon:IAMUser/MaliciousIPCaller.Custom

从已知恶意 IP 地址调用了 API。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此结果通知您,可以列出或描述Amazon(例如,尝试启动 Amazon 实例、创建新的 IAM 用户或者修改 Amazon 特权)。使用的威胁列表将在调查结果的详细信息中列出。攻击者可能会使用被盗的凭据来执行这种类型的Amazon资源,以找出更多有价值的凭证或确定他们已拥有的凭证的功能。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Recon:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此结果通知您,可以列出或描述Amazon(例如,尝试启动 Tor 出口节点 IP 地址调用了您环境中的账户中的资源。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。攻击者会使用 Tor 掩盖他们的真实身份。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Stealth:IAMUser/CloudTrailLoggingDisabled

Amazon CloudTrail禁用日志记录。

默认严重级别:高 低

  • 数据源 CloudTrail 事件

此结果通 CloudTrail 您,Amazon禁用环境。这可能是攻击者在尝试禁用日志记录,通过消息任何其活动的跟踪,同时获取您的Amazon资源用于恶意目的。成功地删除或更新跟踪会触发此调查结果。如果成功删除了某个 S3 存储桶,而其中存储了与 GuardDuty 关联的跟踪生成的日志时,同样可能触发此调查结果。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

Stealth:IAMUser/PasswordPolicyChange

账户密码策略受损。

默认严重级别:高 低*

注意

此查找结果的严重性可以是低、中或高,具体取决于对密码策略所做更改的严重性。

  • 数据源 CloudTrail 事件

这些区域有:Amazon帐户密码策略被削弱了Amazon环境。例如,策略已删除或者进行了更新,要求较少的字符、无需符号和数字或者要求延长密码有效期。此外,尝试更新或删除您的Amazon帐户密码策略。这些区域有:Amazon账户密码策略定义规则,控制为您的 IAM 用户可以设置什么类型的密码。较弱的密码策略允许创建易于记住同时也可能更容易被猜到的密码,因而造成安全风险。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

发现多个全球范围内的成功控制台登录。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此调查结果通知您,发现同一个 IAM 用户在不同地理位置,大约同一时间多次成功登录控制台。此类异常和高风险的访问位置模式表示可能存在对您Amazon资源的费用。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

通过实例启动角色专为某个 EC2 实例创建的凭证正在从外部 IP 地址使用。

默认严重级别:高 高

  • 数据源 CloudTrail 管理事件或 S3 数据事件

此发现通知您,Amazon已尝试运行Amazon使用临时的 API 操作Amazon凭证,这些证书是在Amazon环境。列出的 EC2 实例可能遭盗用,此实例的临时凭证可能已泄露到Amazon.Amazon不推荐将临时凭证再分发到创建这些凭证的实体之外 (例如,Amazon应用程序、EC2 或 Lambda)。但是,授权用户可以从其 EC2 实例导出凭证以进行合法 API 调用。要排除潜在的攻击并验证活动的合法性,请验证调查结果中是否需要使用远程 IP 地址的实例凭证。

修复建议:

当网络配置为路由互联网流量以便其从本地网关而不是 VPC Internet Gateway (IGW) 发出时会生成此调查结果。常见配置,例如使用Amazon Outposts或 VPC VPN 连接可能会导致流量以这种方式路由。如果这是预期行为,则建议您使用隐藏规则并创建一个由两个筛选标准组成的规则。第一个标准是 finding type (调查结果类型),它应是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二个筛选条件是API 调用方 IPv4 地址使用本地互联网网关的 IP 地址或 CIDR 范围。要了解有关创建隐藏规则的更多信息,请参阅禁止规则

注意

如果 GuardDuty 观察到来自外部源的持续活动,其机器学习模型会将其识别为预期行为,并停止为来自该源的活动生成此查找结果。GuardDuty 将继续从其他来源生成新行为的调查结果,并将随着时间的推移,重新评估学到的来源。

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

UnauthorizedAccess:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此调查结果通知您,从包括在您上传的威胁列表中的 IP 地址调用了 API 操作Amazon权限)从已知恶意 IP 地址调用。这可能表示有人未经授权访问Amazon环境中的资源。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

从自定义威胁列表中的 IP 地址调用了 API。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此调查结果通知您,从包括在您上传的威胁列表中的 IP 地址调用了 API 操作Amazon权限) 从您上传的威胁列表中包含的 IP 地址调用了。在 中,威胁列表包含已知的恶意 IP 地址。这可能表示有人未经授权访问Amazon环境中的资源。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证

UnauthorizedAccess:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API。

默认严重级别:高 中等

  • 数据源 CloudTrail 事件

此调查结果通知您,从包括在您上传的威胁列表中的 IP 地址调用了 API 操作Amazon权限)从 Tor 出口节点 IP 地址调用。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示有人未经授权访问您的Amazon资源,意图隐藏攻击者的真实身份。

修复建议:

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修正遭盗用的损用Amazon凭证