停用的结果类型 - Azon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

停用的结果类型

调查结果是一个通知,包含有关 GuardDuty 发现的潜在安全问题的详细信息。有关查找结果类型(包括新添加或停用的 GuardDuty 查找结果类型)的重要更改的信息,请参阅Amazon 文件历史记录 GuardDuty

以下查找结果类型已停用,不再由生成 GuardDuty。

重要

你无法重新激活已停 GuardDuty 用的查找类型。

Exfiltration:S3/ObjectRead.Unusual

一个 IAM 实体以可疑的方式调用了 S3 API。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

  • 数据源:CloudTrail S3 的数据事件

这一发现告诉您,您Amazon环境中的某个 IAM 实体正在进行涉及 S3 存储桶的 API 调用,这与该实体的既定基准不同。本活动中使用的 API 调用与攻击的渗透阶段有关,攻击者正在尝试收集数据。这种活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体之前没有调用此类 API 的历史记录,或者该 API 是从一个不寻常的位置调用的。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Impact:S3/PermissionsModification.Unusual

一个 IAM 实体调用 API 来修改一个或多个 S3 资源的权限。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

这一发现告诉您,一个 IAM 实体正在进行 API 调用,旨在修改您Amazon环境中一个或多个存储桶或对象的权限。攻击者可能会执行此操作,以允许在账户外部共享信息。这种活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体之前没有调用此类 API 的历史记录,或者该 API 是从一个不寻常的位置调用的。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Impact:S3/ObjectDelete.Unusual

一个 IAM 实体调用的API(API)用于删除 S3 存储桶中的数据。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

这一发现告诉您,您的Amazon环境中的特定 IAM 实体正在进行 API 调用,旨在通过删除存储桶本身来删除列出的 S3 存储桶中的数据。这种活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体之前没有调用此类 API 的历史记录,或者该 API 是从一个不寻常的位置调用的。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Discovery:S3/BucketEnumeration.Unusual

一个 IAM 实体调用了一个 S3 API,用于发现您的网络中的 S3 存储桶。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

此发现告知您,IAM 实体已调用 S3 API 来发现您的环境中的 S3 存储桶,例如ListBuckets。此类活动与攻击的发现阶段有关,攻击者正在收集信息以确定您的Amazon环境是否容易受到更广泛的攻击。这种活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体之前没有调用此类 API 的历史记录,或者该 API 是从一个不寻常的位置调用的。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Persistence:IAMUser/NetworkPermissions

一个 IAM 实体调用了一个 API,通常用于更改Amazon账户中安全组、路由和 ACL 的网络访问权限。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

这一发现表明,您的Amazon环境中的特定委托人(Amazon账户根用户、IAM 角色或 IAM 用户)表现出的行为与既定基准不同。此委托人以前没有调用此 API 的历史记录。

当网络配置设置在可疑情况下发生更改时,例如委托人调用CreateSecurityGroup API 但事先没有这样做的历史记录时,就会触发此发现。攻击者经常尝试更改安全组以允许特定入站流量进入各个端口,以提高其访问 EC2 实例的能力。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Persistence:IAMUser/ResourcePermissions

委托人调用了通常用于更改Amazon账户中各种资源的安全访问策略的 API。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果调用 API 时使用在实例上创建的临时Amazon证书,则发现的严重性为 “高”。

这一发现表明,您的Amazon环境中的特定委托人(Amazon账户根用户、IAM 角色或 IAM 用户)表现出的行为与既定基准不同。此委托人以前没有调用此 API 的历史记录。

当检测到与Amazon资源关联的策略或权限发生变化时,例如当您的Amazon环境中的委托人调用PutBucketPolicy API 但之前没有这样做的历史记录时,就会触发此发现。一些服务(如 Amazon S3)支持资源附加权限,授予一个或多个委托人访问资源。利用被盗的证书,攻击者可以更改附加到资源的策略,从而获得对该资源的访问权限。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Persistence:IAMUser/UserPermissions

委托人调用了通常用于在您的Amazon账户中添加、修改或删除 IAM 用户、群组或策略的 API。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

这一发现表明,您的Amazon环境中的特定委托人(Amazon账户根用户、IAM 角色或 IAM 用户)表现出的行为与既定基准不同。此委托人以前没有调用此 API 的历史记录。

此发现是由您的Amazon环境中用户相关权限的可疑更改触发的,例如,当您的Amazon环境中的委托人调用AttachUserPolicy API 时没有这样做的历史。攻击者可能使用被盗的凭证创建新用户、为现有用户添加访问策略或创建访问密钥以最大限度地提高他们对账户的访问权限,即使他们的原始接入点已关闭。例如,账户所有者可能会注意到某个 IAM 用户或密码被盗并将其从账户中删除。但是,他们可能不会删除由以欺诈手段创建的管理员主体创建的其他用户,从而使攻击者可以访问他们的Amazon帐户。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

PrivilegeEscalation:IAMUser/AdministrativePermissions

委托人尝试给自己分配高度宽松的策略。

默认严重性:低*

注意

如果权限升级尝试不成功,则此发现的严重性为 “低”;如果权限升级尝试成功,则该发现的严重程度为 “中”。

这一发现表明,您的Amazon环境中的特定 IAM 实体表现出的行为可能表明存在权限升级攻击。当 IAM 用户或角色尝试为自己分配高度宽松的策略时,就会触发此发现。如果相关用户或角色不应具有管理权限,则表示该用户的凭证已被盗用或者该角色的权限可能未正确配置。

攻击者将使用被盗的凭证创建新用户、为现有用户添加访问策略或创建访问密钥以最大限度地提高他们对账户的访问权限,即使他们的原始接入点已关闭。例如,账户所有者可能会注意到特定 IAM 用户或密码被盗并将其从账户中删除,但可能不会删除由欺诈创建的管理员委托人创建的其他用户,从而使攻击者仍然可以访问他们的Amazon账户。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Recon:IAMUser/NetworkPermissions

委托人调用了通常用于更改Amazon账户中安全组、路由和 ACL 的网络访问权限的 API。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

这一发现表明,您的Amazon环境中的特定委托人(Amazon账户根用户、IAM 角色或 IAM 用户)表现出的行为与既定基准不同。此委托人以前没有调用此 API 的历史记录。

此发现是在可疑情况下调查您Amazon账户中的资源访问权限时触发的。例如,如果委托人调用了DescribeInstances API,但之前没有这样做的历史。攻击者可能会使用窃取的凭证对您的Amazon资源进行此类侦察,以找到更有价值的凭证或确定他们已拥有的凭证的功能。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Recon:IAMUser/ResourcePermissions

委托人调用了通常用于更改Amazon账户中各种资源的安全访问策略的 API。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

这一发现表明,您的Amazon环境中的特定委托人(Amazon账户根用户、IAM 角色或 IAM 用户)表现出的行为与既定基准不同。此委托人以前没有调用此 API 的历史记录。

此发现是在可疑情况下调查您Amazon账户中的资源访问权限时触发的。例如,如果委托人调用了DescribeInstances API,但之前没有这样做的历史。攻击者可能会使用窃取的凭证对您的Amazon资源进行此类侦察,以找到更有价值的凭证或确定他们已拥有的凭证的功能。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Recon:IAMUser/UserPermissions

委托人调用了通常用于在您的Amazon账户中添加、修改或删除 IAM 用户、群组或策略的 API。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

此发现是在可疑情况下调查您Amazon环境中的用户权限时触发的。例如,如果委托人(Amazon账户根用户、IAM 角色或 IAM 用户)调用了ListInstanceProfilesForRole API,但之前没有这样做的历史记录。攻击者可能会使用窃取的凭证对您的Amazon资源进行此类侦察,以找到更有价值的凭证或确定他们已拥有的凭证的功能。

这一发现表明,您的Amazon环境中的特定主体表现出的行为与既定基准不同。此委托人以前没有通过此方法调用该 API 的历史记录。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

ResourceConsumption:IAMUser/ComputeResources

委托人调用了一个 API,该 API 通常用于启动计算资源,如 EC2 实例。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

当您的Amazon环境中列出的账户中的 EC2 实例在可疑情况下启动时,就会触发此发现。这一发现表明,您的Amazon环境中的特定委托人表现出的行为与既定基准不同;例如,如果委托人(Amazon账户根用户、IAM 角色或 IAM 用户)调用了RunInstances API,但之前没有这样做的历史。这可能指示攻击者正在使用被盗凭证窃取计算时间 (可能用于加密货币挖矿或密码破解)。它还可能表示攻击者在您的Amazon环境中使用 EC2 实例及其证书来维持对您账户的访问权限。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

Stealth:IAMUser/LoggingConfigurationModified

委托人调用了一个 API,通常用于停止 CloudTrail 记录、删除现有日志以及以其他方式消除Amazon账户中的活动痕迹。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

当您的环境中列出的Amazon账户中的日志配置在可疑情况下被修改时,就会触发此发现。此发现告知您,您的Amazon环境中的特定委托人表现出的行为与既定基准不同;例如,如果委托人(Amazon账户根用户、IAM 角色或 IAM 用户)在没有这样做历史的情况下调用了StopLogging API。这可能指示攻击者正在尝试通过消息任何其活动的跟踪来覆盖其跟踪。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

UnauthorizedAccess:IAMUser/ConsoleLogin

观察到您的Amazon账户中有一位委托人不寻常地登录控制台。

默认严重性:中号*

注意

该发现的默认严重性为 “中”。但是,如果使用在实例上创建的临时Amazon证书调用 API,则发现的严重性为 “高”。

当在可疑的情况下检测到控制台登录时,会触发此调查结果。例如,如果委托人之前没有这样做的历史,则从 never-before-used 客户端或不寻常的位置调用 ConsoleLogin API。这可能表示有人使用窃取的凭证来获取对您Amazon账户的访问权限,或者有效用户以无效或不太安全的方式(例如,未通过批准的 VPN)访问该账户。

这一发现告诉您,您的Amazon环境中的特定主体表现出的行为与既定基准不同。此委托人以前没有从此特定位置使用此客户端应用程序的登录活动的历史记录。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

UnauthorizedAccess:EC2/TorIPCaller

EC2 实例正在接收来自 Tor 退出节点的入站连接。

默认严重性:中等

这一发现告诉您,您的Amazon环境中的 EC2 实例正在接收来自 Tor 出口节点的入站连接。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。此发现可能表明未经授权访问了您的Amazon资源,目的是隐藏攻击者的真实身份。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Backdoor:EC2/XORDDOS

一个 EC2 实例正在尝试与与 XOR DDoS 恶意软件关联的 IP 地址进行通信。

默认严重性:高

这一发现告知您,您的Amazon环境中的 EC2 实例正在尝试与与 XOR DDoS 恶意软件关联的 IP 地址进行通信。此 EC2 实例可能遭盗用。XOR DDoS 是木马恶意软件,可劫持 Linux 系统。为了获取对系统的访问,它启动暴力攻击,用于发现 Linux 上安全外壳 (SSH) 服务的密码。获取 SSH 凭证并成功登录之后,它使用根特权运行脚本,下载并安装 XOR DDoS。然后,此恶意软件将成为僵尸网络的一部分,用于对其他目标启动分布式拒绝服务 (DDoS) 攻击。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

Behavior:IAMUser/InstanceLaunchUnusual

IAM 用户启动了异常类型的 EC2 实例。

默认严重性:高

这一发现告诉您,您的Amazon环境中的特定 IAM 用户表现出的行为与既定基准不同。此 IAM 用户以前没有启动此类型 EC2 实例的历史记录。您的 IAM 用户凭证可能遭盗用。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅 修复泄露的Amazon证书

CryptoCurrency:EC2/BitcoinTool.A

EC2 实例与比特币矿池通信。

默认严重性:高

这一发现告诉您,您的Amazon环境中有一个 EC2 实例正在与比特币矿池通信。在数字加密货币挖矿领域中,矿池是通过网络共享其处理能力的矿工的资源池,以根据在解析数据块中所贡献的工作量来拆分回报。除非您使用此 EC2 实例进行比特币挖矿,否则您的 EC2 实例可能遭盗用。

补救建议:

如果此活动出乎意料,则您的实例可能遭到入侵。有关更多信息,请参阅 修复受损的 EC2 实例

UnauthorizedAccess:IAMUser/UnusualASNCaller

从异常网络的 IP 地址调用了 API。

默认严重性:高

此调查结果告知您已从异常网络的 IP 地址调用特定活动。在所述用户的整个Amazon使用历史记录中,从未观察到过该网络。此活动可能包括控制台登录、尝试启动 EC2 实例、创建新 IAM 用户、修改您的Amazon权限等。这可能表示对您的Amazon资源进行了未经授权的访问。

补救建议:

如果此活动是意外的,则您的凭证可能会被泄露。有关更多信息,请参阅修复泄露的Amazon证书