GuardDuty S3 调查结果类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty S3 调查结果类型

以下调查结果特定于 S3 资源,并且具有资源类型S3Bucket如果数据源S3 CloudTrail 事件,或者AccessKey如果数据源CloudTrail 事件. 调查结果的严重性和详细信息将因调查结果类型和与存储桶关联的权限而异。

此处列出的调查结果包括用于生成该查找结果类型的数据源和模型。有关数据源和模型的详细信息,请参阅Amazon GuardDuty 如何使用其数据源.

重要

调查结果,包括S3 CloudTrail 事件只有在您启用了 GuardDuty 护功能的 S3 保护时才会生成。默认情况下,在 2020 年 7 月 31 日之后创建的所有账户中启用 S3 保护。有关如何启用或禁用 S3 保护的信息,请参阅。Amazon S3 保护

对于所有 S3 存储桶类型的调查结果,建议您检查相关存储桶的权限以及调查结果中涉及的任何用户的权限。如果活动是意外活动,请参阅修复遭盗用的 S3 存储桶.

Discovery:S3/MaliciousIPCaller

一个 S3 API,通常用于发现Amazon环境是从已知恶意 IP 地址调用的。

默认严重级别:高

  • 数据源 S3 CloudTrail 事件

此调查结果通知您,从与已知恶意活动相关联的 IP 地址调用了 S3 API 操作。观察到的 API 通常与攻击的发现阶段相关联,当敌人正在收集Amazon环境。示例包括GetObjectAcl或者ListObjects.

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

Discovery:S3/MaliciousIPCaller.Custom

从自定义威胁列表中的 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源 S3 CloudTrail 事件

此发现通知您一个 S3 API,例如GetObjectAcl或者ListObjects,从您上传的威胁列表中包含的 IP 地址调用。与此查找结果相关联的威胁列表列在其他信息部分中的查找结果详细信息。此类活动与攻击的发现阶段相关联,攻击者在此阶段收集信息以确定Amazon环境容易受到更广泛的攻击。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

Discovery:S3/TorIPCaller

从 Tor 出口节点 IP 地址调用了 S3 API。

默认严重级别:中等

  • 数据源 S3 CloudTrail 事件

此发现通知您一个 S3 API,例如GetObjectAcl或者ListObjects,从 Tor 出口节点 IP 地址调用。此类活动与攻击的发现阶段相关联,攻击者在此阶段收集信息以确定Amazon环境容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示有人未经授权访问您的Amazon资源,意图隐藏攻击者的真实身份。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

Exfiltration:S3/MaliciousIPCaller

一个 S3 API,通常用于从Amazon环境是从已知恶意 IP 地址调用的。

默认严重级别:高

  • 数据源 S3 CloudTrail 事件

此调查结果通知您,从与已知恶意活动相关联的 IP 地址调用了 S3 API 操作。观察到的 API 通常与外泄策略相关,其中敌人试图从您的网络中收集数据。示例包括GetObjectCopyObject.

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

Exfiltration:S3/ObjectRead.Unusual

IAM 实体以可疑的方式调用了 S3 API。

默认严重级别:中*

注意

此调查结果的默认严重性为 “中”。但是,如果 API 使用临时Amazon凭证,则调查结果的严重性为 “高”。

  • 数据源 S3 云跟踪数据事件

此调查结果通知您,Amazon环境正在进行 API 调用,这些调用涉及 S3 存储桶且与该实体建立的基准不同。本练习中使用的 API 调用与攻击的泄露阶段相关联,攻击者和攻击者正在尝试收集数据。此活动是可疑的,因为 IAM 实体调用 API 的方式不寻常。例如,此 IAM 实体之前没有调用此类 API 的历史记录,或者 API 是从异常位置调用的。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

Impact:S3/MaliciousIPCaller

一种 S3 API,通常用于篡改Amazon环境是从已知恶意 IP 地址调用的。

默认严重级别:高

  • 数据源 S3 CloudTrail 事件

此调查结果通知您,从与已知恶意活动相关联的 IP 地址调用了 S3 API 操作。观察到的 API 通常与影响战术相关联,其中敌人试图操纵、中断或销毁Amazon环境。示例包括PutObject或者PutObjectAcl.

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

PenTest:S3/KaliLinux

从 Kali Linux Linux Linux 机器调用了 S3 API。

默认严重级别:中等

  • 数据源 S3 CloudTrail 事件

此调查结果通知您,某台运行 Kali Linux 的机器在使用属于您的Amazonaccount. 您的凭证可能遭盗用。Kali Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

PenTest:S3/ParrotLinux

从 Parrot Security Linux Linux Linux 机器调用了 S3 API。

默认严重级别:中等

  • 数据源 S3 CloudTrail 事件

此调查结果通知您,某台运行 Parrot Security Linux 的机器在使用属于您的Amazonaccount. 您的凭证可能遭盗用。Parrot Security Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

PenTest:S3/PentooLinux

从 Pentoo Linux Linux Linux 机器调用了 S3 API。

默认严重级别:中等

  • 数据源 S3 CloudTrail 事件

此结果通知您,某台运行 Pentoo Linux 的机器在使用属于您的Amazonaccount. 您的凭证可能遭盗用。Pentoo Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

Policy:S3/AccountBlockPublicAccessDisabled

IAM 实体调用了用于禁用账户上的 S3 阻止公有访问的 API。

默认严重级别:低

  • 数据源 CloudTrail 管理事件

此调查结果通知您,Amazon S3 阻止公共访问已在账户级别被禁用。当启用 S3 阻止公有访问设置时,它们可用于筛选存储桶上的策略或访问控制列表 (ACL),作为防止意外公开暴露数据的一项安全措施。

通常情况下,会在账户中关闭 S3 阻止公有访问,以允许公开访问存储桶或存储桶中的对象。如果禁用某个账户的 S3 阻止公共访问,则对存储桶的访问将由应用于您的个别存储桶的策略、ACL 或存储桶级别的阻止公共访问设置控制。这并不一定意味着存储桶是公开共享的,但您应该审核应用于存储桶的权限,以确认它们提供了适当的访问级别。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

Policy:S3/BucketAnonymousAccessGranted

IAM 委托人已通过更改存储桶策略或 ACL 向 Internet 授予对 S3 存储桶的访问权限。

默认严重级别:高

  • 数据源 CloudTrail 管理事件

此调查结果通知您,列出的 S3 存储桶已在 Internet 上公开访问,因为 IAM 实体已更改了该存储桶上的存储桶策略或 ACL。检测到策略或 ACL 更改后,使用叶尔科娃,以确定存储桶是否可公开访问。

注意

如果将存储桶的 ACL 或存储桶策略配置为显式拒绝或全部拒绝,则无法为该存储桶生成此查找结果。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

Policy:S3/BucketBlockPublicAccessDisabled

IAM 实体调用了用于禁用存储桶上的 S3 阻止公有访问的 API。

默认严重级别:低

  • 数据源 CloudTrail 管理事件

此查找结果通知您已为列出的 S3 存储桶禁用了 “阻止公共访问”。如果启用 S3 阻止公有访问设置,它可用于筛选应用于存储桶的策略或访问控制列表 (ACL),作为安全措施,以防止意外公开暴露数据。

通常情况下,会关闭存储桶上的 S3 阻止公有访问,以允许公开访问存储桶或中的对象。当对存储桶禁用 S3 阻止公共访问时,对存储桶的访问将由应用于该存储桶的策略或 ACL 控制。这并不意味着将公开共享存储桶,但您应该审核应用于该存储桶的策略和 ACL,以确认应用适当的权限。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

Policy:S3/BucketPublicAccessGranted

IAM 委托人已向所有Amazon用户,方法是更改存储桶策略或 ACL。

默认严重级别:高

  • 数据源 CloudTrail 管理事件

此调查结果通知您,列出的 S3 存储桶已公开暴露给所有经过身份验证的Amazon用户,因为 IAM 实体已更改该 S3 存储桶上的存储桶策略或 ACL。检测到策略或 ACL 更改后,使用叶尔科娃,以确定存储桶是否可公开访问。

注意

如果将存储桶的 ACL 或存储桶策略配置为显式拒绝或全部拒绝,则无法为该存储桶生成此查找结果。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

Stealth:S3/ServerAccessLoggingDisabled

已为存储桶禁用 S3 服务器访问日志记录。

默认严重级别:低

  • 数据源 CloudTrail 管理事件

此调查结果通知您,针对您的Amazon环境。如果禁用,则不会为任何尝试访问标识的 S3 存储桶的尝试创建 Web 请求日志,但是,S3 管理 API 调用该存储桶,例如,DeleteBucket,仍会被跟踪。如果通过 CloudTrail 为此存储桶启用 S3 数据事件日志记录,则仍会跟踪存储桶内对象的 Web 请求。禁用日志记录是未经授权的用户为了逃避检测而使用的一种技术。要了解有关 S3 日志的更多信息,请参阅。S3 服务器访问日志记录S3 日志记录选项.

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

从自定义威胁列表中的 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源 S3 CloudTrail 事件

此调查结果通知您,S3 API 操作(例如PutObject或者PutObjectAcl,从您上传的威胁列表中包含的 IP 地址调用。与此查找结果相关联的威胁列表列在其他信息部分中的查找结果详细信息。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.

UnauthorizedAccess:S3/TorIPCaller

从 Tor 出口节点 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源 S3 CloudTrail 事件

此调查结果通知您,S3 API 操作(如PutObject或者PutObjectAcl,从 Tor 出口节点 IP 地址调用。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。此结果可能表示有人未经授权访问您的Amazon资源,意图隐藏攻击者的真实身份。

修复建议:

如果此活动对于关联的委托人意外,它可能表示证书已公开或您的 S3 权限限制不够,请参阅修复遭盗用的 S3 存储桶.