GuardDuty IAM 调查发现类型
以下调查发现特定于 IAM 实体和访问密钥,其资源类型为 AccessKey。调查发现的严重性和详细信息因调查发现类型而异。
此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关更多信息,请参阅 GuardDuty 基础数据来源。
对于所有 IAM 相关的调查发现,我们建议您检查相关实体,确保其权限遵循最低权限的最佳实践。如果此活动是意外活动,则凭证可能已泄露。有关修复调查发现的信息,请参阅 修复可能被泄露的 Amazon 凭证。
主题
CredentialAccess:IAMUser/AnomalousBehavior
用于获取对 Amazon 环境的访问权限的 API 被异常调用。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与攻击的凭证访问阶段有关,攻击者在该阶段尝试收集您的环境的密码、用户名和访问密钥 此类别中的 API 为 GetPasswordData、GetSecretValue、BatchGetSecretValue 和 GenerateDbAuthToken。
此 API 请求被 GuardDuty 异常检测机器学习(ML)模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
DefenseEvasion:IAMUser/AnomalousBehavior
用于避开防御措施的 API 被异常调用。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与防御规避策略有关,在这种策略中,攻击者试图掩盖他们的踪迹并避免被发现。此类别中的 API 通常是 delete、disable 或 stop 操作,例如 DeleteFlowLogs、DisableAlarmActions 或 StopLogging。
此 API 请求被 GuardDuty 异常检测机器学习(ML)模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Discovery:IAMUser/AnomalousBehavior
通常用于发现资源的 API 被异常调用。
默认严重级别:低
-
数据来源:CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与攻击的发现阶段有关,攻击者在该阶段收集信息,以确定您的 Amazon 环境是否容易受到更广泛的攻击。此类别中的 API 通常是 get、describe 或 list 操作,例如 DescribeInstances、GetRolePolicy 或 ListAccessKeys。
此 API 请求被 GuardDuty 异常检测机器学习(ML)模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Exfiltration:IAMUser/AnomalousBehavior
通常用于从 Amazon 环境收集数据的 API 被异常调用。
默认严重级别:高
-
数据来源:CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与泄露策略有关,在这种策略中,攻击者试图利用打包和加密技术从您的网络中收集数据,以避开检测。此调查发现类型的 API 仅有管理(控制面板)操作,通常与 S3、快照和数据库有关,例如 PutBucketReplication、CreateSnapshot 或 RestoreDBInstanceFromDBSnapshot。
此 API 请求被 GuardDuty 异常检测机器学习(ML)模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Impact:IAMUser/AnomalousBehavior
通常用于篡改 Amazon 环境中的数据或进程的 API 被异常调用。
默认严重级别:高
-
数据来源:CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与影响策略有关,在这种策略中,攻击者试图干扰操作,并操纵、中断或破坏您账户中的数据。此调查发现类型的 API 通常是 delete、update 或 put 操作,例如 DeleteSecurityGroup、UpdateUser 或 PutBucketPolicy。
此 API 请求被 GuardDuty 异常检测机器学习(ML)模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
InitialAccess:IAMUser/AnomalousBehavior
通常用于获取对 Amazon 环境未经授权访问的 API 被异常调用。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与攻击的初始访问阶段有关,攻击者在该阶段尝试建立对环境的访问。此类别中的 API 通常是获取令牌或会话操作,例如 GetAuthorizationToken 或 StartSession。
此 API 请求被 GuardDuty 异常检测机器学习(ML)模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
PenTest:IAMUser/KaliLinux
从 Kali Linux 计算机调用了一个 API。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,某台运行 Kali Linux 的机器正在使用属于您环境中列出的 Amazon 账户的凭证进行 API 调用。Kali Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
PenTest:IAMUser/ParrotLinux
从 Parrot Security Linux 机器调用了 API。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,某台运行 Parrot Security Linux 的机器在使用属于您环境中列出的 Amazon 账户的凭证进行 API 调用。Parrot Security Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
PenTest:IAMUser/PentooLinux
从 Pentoo Linux 机器调用了 API。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,某台运行 Pentoo Linux 的机器正在使用属于您环境中列出的 Amazon 账户的凭证进行 API 调用。Pentoo Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Persistence:IAMUser/AnomalousBehavior
通常用于保持对 Amazon 环境未经授权访问的 API 被异常调用。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个用户身份在附近发出的一系列相关 API 请求。观测到的 API 通常与持久性策略有关,在这种策略中,攻击者已获取对您环境的访问权限并试图保持该访问权限。此类别中的 API 通常是 create、import 或 modify 操作,例如 CreateAccessKey、ImportKeyPair 或 ModifyInstanceAttribute。
此 API 请求被 GuardDuty 异常检测机器学习(ML)模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Policy:IAMUser/RootCredentialUsage
使用根用户登录凭证调用了 API。
默认严重级别:低
-
数据来源:S3 的 CloudTrail 管理事件或 CloudTrail 数据事件
此调查发现通知您,正在利用您环境中列出的 Amazon Web Services 账户 根用户登录凭证,向 Amazon 服务发出请求。建议用户切勿使用根用户登录凭证访问 Amazon 服务。而是,应使用来自 Amazon Security Token Service(STS)的最低权限临时凭证访问 Amazon 服务。对于不支持 Amazon STS 的情况,您可以使用推荐的 IAM 用户凭证。有关更多信息,请参阅 IAM 最佳实践。
注意
如果为该账户启用了 S3 防护,则在尝试使用 Amazon Web Services 账户的根用户登录凭证在 Amazon S3 资源上运行 S3 数据面板操作时,可能会生成此调查发现。使用的 API 调用将列在调查发现详细信息中。如果未启用 S3 防护,则只能通过事件日志 API 触发此调查发现。有关 S3 防护的更多信息,请参阅 S3 防护。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Policy:IAMUser/ShortTermRootCredentialUsage
API 是使用受限的根用户凭证调用的。
默认严重级别:低
-
数据来源:Amazon CloudTrail 管理事件或 S3 的 Amazon CloudTrail 数据事件
此调查发现告知您,正在使用为环境中列出的 Amazon Web Services 账户创建的受限用户凭证,向 Amazon Web Services 服务 发出请求。建议仅将根用户凭证用于需要根用户凭证的任务。
尽可能使用具有来自 Amazon Security Token Service(Amazon STS)的临时凭证且具备最低权限的 IAM 角色来访问 Amazon Web Services 服务。对于不支持 Amazon STS 的场景,最佳实践是使用 IAM 用户凭证。有关 IAM 最佳实践的更多信息,请参阅《IAM 用户指南》中的 IAM 的安全防御最佳实操和 Amazon Web Services 账户的根用户最佳实践。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
PrivilegeEscalation:IAMUser/AnomalousBehavior
通常用于获取对 Amazon 环境高级权限的 API 被异常调用。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。此调查发现可能包括单个 API 或由单个用户身份相近发出的一系列相关 API 请求。观测到的 API 通常与权限提升策略有关,在这种策略中,攻击者试图获取对环境的更高级别权限。此类别中的 API 通常涉及更改 IAM 策略、角色和用户的操作,例如 AssociateIamInstanceProfile、AddUserToGroup 或 PutUserPolicy。
此 API 请求被 GuardDuty 异常检测机器学习(ML)模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅调查发现详细信息。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Recon:IAMUser/MaliciousIPCaller
从已知恶意 IP 地址调用了 API。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,从威胁列表中包含的 IP 地址调用了可以列出或描述您环境中账户的 Amazon 资源的 API 操作。攻击者可能会使用窃取的凭证对您的 Amazon 资源进行此类侦测,以找出更有价值的凭证或确定其已有凭证的功能。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Recon:IAMUser/MaliciousIPCaller.Custom
从已知恶意 IP 地址调用了 API。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,从自定义威胁列表中包含的 IP 地址调用了可以列出或描述您环境中账户的 Amazon 资源的 API 操作。使用的威胁列表将在调查发现的详细信息中列出。攻击者可能会使用窃取的凭证对您的 Amazon 资源进行此类侦测,以找出更有价值的凭证或确定其已有凭证的功能。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Recon:IAMUser/TorIPCaller
从 Tor 出口节点 IP 地址调用了 API。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,从 Tor 出口节点 IP 地址调用了可以列出或描述您环境中账户的 Amazon 资源的 API 操作。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。攻击者会使用 Tor 来掩盖他们的真实身份。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Stealth:IAMUser/CloudTrailLoggingDisabled
Amazon CloudTrail 日志记录被禁用。
默认严重级别:低
-
数据来源:CloudTrail 管理事件
此调查发现通知您,Amazon 环境中的 CloudTrail 跟踪已被禁用。这可能是攻击者尝试禁用日志记录,通过消除其活动的任何痕迹来掩盖其踪迹,同时出于恶意目的获取对您 Amazon 资源的访问权限。成功地删除或更新跟踪会触发此调查发现。如果成功删除了某个 S3 存储桶,而其中存储了与 GuardDuty 关联的跟踪生成的日志时,同样可能触发此调查发现。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
Stealth:IAMUser/PasswordPolicyChange
账户密码策略受损。
默认严重级别:低*
注意
此调查发现的严重性可以是“低”、“中”或“高”,具体取决于对密码策略所做更改的严重性。
-
数据来源:CloudTrail 管理事件
削弱您 Amazon 环境中所列 Amazon 账户的账户密码策略。例如,策略已删除或者进行了更新,以要求较少的字符、无需符号和数字或者要求延长密码有效期。此外,尝试更新或删除 Amazon 账户密码策略也会触发此调查发现。Amazon 账户密码策略定义了规则,来管理可以为 IAM 用户设置哪些类型的密码。较弱的密码策略允许创建易于记住同时也可能更容易被猜到的密码,因而造成安全风险。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
发现多个全球范围内的成功控制台登录。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,发现同一个 IAM 用户在不同地理位置,大约同一时间多次成功登录控制台。此类异常和高风险的访问位置模式表示可能存在对您 Amazon 资源的未经授权访问。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
通过实例启动角色专门为 EC2 实例创建的凭证正在被 Amazon 中的其他账户使用。
默认严重级别:高*
注意
此调查发现的默认严重级别为“高”。但是,如果 API 是由与您的 Amazon 环境关联的账户调用的,则严重性为“中”。
-
数据来源:S3 的 CloudTrail 管理事件或 CloudTrail 数据事件
此调查发现表明,您的 Amazon EC2 实例凭证被用于从某个 IP 地址或 Amazon VPC 端点调用 API,但该 IP 地址或端点所属的 Amazon 账户与运行相关 Amazon EC2 实例的账户不同。VPC 端点检测仅适用于支持 VPC 端点网络活动事件的服务。有关支持 VPC 端点网络活动事件的服务的信息,请参阅《Amazon CloudTrail 用户指南》中的 Logging network activity events。
Amazon 不建议在创建临时凭证的实体(例如,Amazon 应用程序、Amazon EC2 或 Amazon Lambda)之外重新分发临时凭证。但是,授权用户可以从其 Amazon EC2 实例导出凭证以进行合法的 API 调用。如果 remoteAccountDetails.Affiliated 字段为 True,则表示 API 是从与同一管理员账户相关联的账户调用的。要排除潜在的攻击并验证活动的合法性,请联系 Amazon Web Services 账户所有者或向其分配这些凭证的 IAM 主体。
注意
如果 GuardDuty 观察到来自远程账户的持续活动,其机器学习(ML)模型会将其识别为预期行为。因此,GuardDuty 将停止为来自该远程账户的活动生成此调查发现。GuardDuty 将继续为来自其他远程账户的新行为生成调查发现,并在行为随时间推移而发生变化时重新评估学习的远程账户。
修复建议:
在 Amazon 内部使用您的 Amazon EC2 实例会话凭证,通过位于您的 Amazon Web Services 账户之外的 Amazon EC2 实例发出 Amazon API 请求时,就会生成此调查发现。例如,对于采用辐射式配置的中转网关架构,通常会使用 Amazon 服务端点通过单个中心出口 VPC 来路由流量。如果这属于预期行为,则 GuardDuty 建议您使用抑制规则并创建具有双筛选条件的规则。第一个条件是调查发现类型,在本例中为 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS。第二个筛选条件是远程账户详细信息中的远程账户 ID。
针对此调查发现,您可以使用以下工作流程来确定行动方案:
-
从
service.action.awsApiCallAction.remoteAccountDetails.accountId字段识别涉及的远程账户。 -
从
service.action.awsApiCallAction.remoteAccountDetails.affiliated字段确定该账户是否附属于您的 GuardDuty 环境。 -
如果该账户是附属账户,请联系远程账户所有者和 Amazon EC2 实例凭证所有者进行调查。
如果该账户不是附属账户,则第一步是评估该账户是否与您的组织关联,但不是您的 GuardDuty 多账户设置的一部分,或者该账户是否尚未启用 GuardDuty。然后联系 Amazon EC2 实例凭证的所有者,以确定是否有远程账户使用这些凭证的应用场景。
-
如果凭证的所有者无法识别远程账户,则该凭证可能已被在 Amazon 中操作的威胁行为者窃取。您应该采取修复可能失陷的 Amazon EC2 实例中建议的步骤来保护您的环境。
此外,您还可以向 Amazon 信任与安全团队提交滥用报告
,以启动对远程账户的调查。在向 Amazon 信任与安全团队提交报告时,请提供调查发现的完整 JSON 详细信息。
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
通过实例启动角色专为某个 EC2 实例创建的凭证正在从外部 IP 地址使用。
默认严重级别:高
-
数据来源:S3 的 CloudTrail 管理事件或 CloudTrail 数据事件
此调查发现通知您,Amazon 外部的主机尝试使用在您 Amazon 环境中的 EC2 实例上创建的临时 Amazon 凭证运行 Amazon API 操作。列出的 EC2 实例可能已受攻击,该实例的临时凭证可能已泄露到 Amazon 外部的远程主机。Amazon 不建议在创建临时凭证的实体(例如,Amazon 应用程序、EC2 或 Lambda)之外重新分发临时凭证。但是,授权用户可以从其 EC2 实例导出凭证以进行合法 API 调用。要排除潜在的攻击并验证活动的合法性,请验证是否应在调查发现中使用来自远程 IP 的实例凭证。
注意
如果 GuardDuty 观察到来自远程账户的持续活动,其机器学习(ML)模型会将其识别为预期行为。因此,GuardDuty 将停止为来自该远程账户的活动生成此调查发现。GuardDuty 将继续为来自其他远程账户的新行为生成调查发现,并在行为随时间推移而发生变化时重新评估学习的远程账户。
修复建议:
当网络配置为路由互联网流量,使其从本地网关而不是 VPC 互联网网关(IGW)发出时会生成此调查发现。使用 Amazon Outposts 或 VPC VPN 连接等常见配置可能会导致流量以这种方式路由。如果这是预期行为,我们建议您使用抑制规则,并创建一个包含两个过滤条件的规则。第一个标准是 finding type(调查发现类型),它应是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二个筛选条件是 API 调用方 IPv4 地址,该地址需具有本地互联网网关 IP 地址或 CIDR 范围。要了解有关创建抑制规则的更多信息,请参阅 GuardDuty 中的抑制规则。
注意
如果 GuardDuty 观察到来自外部来源的持续活动,其机器学习模型会将其识别为预期行为,并停止为来自该来源的活动生成此调查发现。GuardDuty 将继续为来自其他来源的新行为生成调查发现,并在行为随时间推移而发生变化时重新评估学习的来源。
如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修复可能被泄露的 Amazon 凭证。
UnauthorizedAccess:IAMUser/MaliciousIPCaller
从已知恶意 IP 地址调用了 API。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,从已知恶意 IP 地址调用了 API 操作(例如,尝试启动 EC2 实例、创建新的 IAM 用户或修改您的 Amazon 权限)。这种情况可能表明有人未经授权访问您环境中的 Amazon 资源。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
从自定义威胁列表中的 IP 地址调用了 API。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,从您上传的威胁列表中包含的 IP 地址调用了 API 操作(例如,尝试启动 EC2 实例、创建新的 IAM 用户或修改 Amazon 权限)。在 GuardDuty 中,威胁列表包含已知的恶意 IP 地址。这种情况可能表明有人未经授权访问您环境中的 Amazon 资源。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。
UnauthorizedAccess:IAMUser/TorIPCaller
从 Tor 出口节点 IP 地址调用了 API。
默认严重级别:中
-
数据来源:CloudTrail 管理事件
此调查发现通知您,从 Tor 出口节点 IP 地址调用了 API 操作(例如,尝试启动 EC2 实例、创建新的 IAM 用户或修改您的 Amazon 权限)。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 Amazon 资源,并意图隐藏攻击者的真实身份。
修复建议:
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 Amazon 凭证。