GuardDuty S3 保护查找类型 - Amazon GuardDuty
Discovery:S3/AnomalousBehaviorDiscovery:S3/MaliciousIPCallerDiscovery:S3/MaliciousIPCaller.CustomDiscovery:S3/TorIPCallerExfiltration:S3/AnomalousBehaviorExfiltration:S3/MaliciousIPCallerImpact:S3/AnomalousBehavior.DeleteImpact:S3/AnomalousBehavior.PermissionImpact:S3/AnomalousBehavior.WriteImpact:S3/MaliciousIPCallerPenTest:S3/KaliLinuxPenTest:S3/ParrotLinuxPenTest:S3/PentooLinuxPolicy:S3/AccountBlockPublicAccessDisabledPolicy:S3/BucketAnonymousAccessGrantedPolicy:S3/BucketBlockPublicAccessDisabledPolicy:S3/BucketPublicAccessGrantedStealth:S3/ServerAccessLoggingDisabledUnauthorizedAccess:S3/MaliciousIPCaller.CustomUnauthorizedAccess:S3/TorIPCaller
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty S3 保护查找类型

以下发现特定于 Amazon S3 资源,S3Bucket如果数据源是 S3 的数据事件,或者CloudTrail 数据源是CloudTrail 管理事件AccessKey则其资源类型将为。调查发现的严重性和详细信息将因调查发现类型和与存储桶关联的权限而异。

此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关数据来源和模型的更多信息,请参阅 GuardDuty 基础数据源

重要

只有启用 S3 保护后,才会生成具有 S3 CloudTrail 数据事件数据源的调查结果。默认情况下,在 2020 年 7 月 31 日之后,如果账户首次启用,或者委托 GuardDuty 管理员账户在现有成员账户 GuardDuty 中启用 S3 保护,则会启用。 GuardDuty 但是,当有新成员加入 GuardDuty 组织时,该组织的自动启用首选项将适用。有关自动启用首选项的信息,请参阅设置组织自动启用首选项。有关如何启用 S3 防护的信息,请参阅 GuardDuty S3 防护

对于所有 S3Bucket 类型的调查发现,建议您检查相关存储桶的权限以及调查发现中涉及的任何用户权限,如果活动是不正常的,请参阅 修复可能失陷的 S3 存储桶 中详细介绍的修复建议。

Discovery:S3/AnomalousBehavior

常用于发现 S3 对象的 API 被异常调用。

默认严重级别:低

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,IAM 实体已调用 S3 API 来发现您环境中的 S3 存储桶,例如 ListObjects。此类活动与攻击的发现阶段相关,在该阶段攻击者收集信息以确定您的 Amazon 环境是否容易受到更广泛的攻击。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Discovery:S3/MaliciousIPCaller

通常用于在 Amazon 环境中发现资源的 S3 API 是从已知的恶意 IP 地址调用的。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。观察到的 API 通常与攻击的发现阶段相关联,即攻击者正在收集有关您的 Amazon 环境的信息。示例包括 GetObjectAclListObjects

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Discovery:S3/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 S3 API(例如 GetObjectAclListObjects)。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。此类活动与攻击的发现阶段有关,攻击者会在该阶段收集信息,以确定您的 Amazon 环境是否容易受到更广泛的攻击。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Discovery:S3/TorIPCaller

Tor 出口节点 IP 地址调用了 S3 API。

默认严重级别:中

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,Tor 出口节点 IP 地址调用了 S3 API(例如 GetObjectAclListObjects)。此类活动与攻击的发现阶段相关,攻击者正在收集信息以确定您的 Amazon 环境是否容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问您的 Amazon 资源,意图隐藏攻击者的真实身份。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Exfiltration:S3/AnomalousBehavior

IAM 实体以可疑的方式调用了 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且此活动与该实体的既定基准不同。此活动中使用的 API 调用在攻击的渗透阶段进行,攻击者在该阶段试图收集数据。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Exfiltration:S3/MaliciousIPCaller

通常用于从 Amazon 环境中收集数据的 S3 API 是从已知的恶意 IP 地址调用的。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。API 通常与攻击者试图从您的网络收集数据的泄露策略相关联。示例包括 GetObjectCopyObject

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Impact:S3/AnomalousBehavior.Delete

IAM 实体以可疑的方式调用了试图删除数据的 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

这一发现告诉您,您的 Amazon 环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,而这种行为与该实体的既定基准不同。此活动中使用的 API 调用与试图删除数据的攻击相关联。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

我们建议您对 S3 存储桶的内容进行审计,以确定是否可以或应该恢复之前的对象版本。

Impact:S3/AnomalousBehavior.Permission

异常调用了常用于设置访问控制列表(ACL)权限的 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

这一发现告诉您,您 Amazon 环境中的一个 IAM 实体更改了列出的 S3 存储桶上的存储桶策略或 ACL。此更改可能会向所有经过身份验证的 Amazon 用户公开您的 S3 存储桶。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

我们建议对您的 S3 存储桶的内容进行审计,以确保没有对象被意外允许公开访问。

Impact:S3/AnomalousBehavior.Write

IAM 实体调用了试图以可疑方式写入数据的 S3 API。

默认严重级别:中

  • 数据源:S3 CloudTrail 的数据事件

这一发现告诉您,您的 Amazon 环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,而这种行为与该实体的既定基准不同。此活动中使用的 API 调用与尝试写入数据的攻击相关联。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

我们建议您对 S3 存储桶的内容进行审计,以确保此 API 调用未写入恶意或未经授权的数据。

Impact:S3/MaliciousIPCaller

通常用于在 Amazon 环境中篡改数据或进程的 S3 API 是从已知的恶意 IP 地址调用的。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。观察到的 API 通常与冲击策略相关联,在这种策略中,对手试图操纵、中断或销毁您的 Amazon 环境中的数据。示例包括 PutObjectPutObjectAcl

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

PenTest:S3/KaliLinux

运行有 Kali Linux 的计算机调用了 S3 API。

默认严重级别:中

  • 数据源:S3 CloudTrail 的数据事件

这一发现告诉你,一台运行 Kali Linux 的计算机正在使用属于你 Amazon 账户的凭据进行 S3 API 调用。您的凭证可能遭到盗用。Kali Linux是一种流行的渗透测试工具,安全专业人员使用它来识别需要修补的 EC2 实例中的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞,并获得对您的 Amazon 环境的未经授权的访问权限。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

PenTest:S3/ParrotLinux

运行有 Parrot Security Linux 的计算机调用了 S3 API。

默认严重级别:中

  • 数据源:S3 CloudTrail 的数据事件

这一发现告诉你,一台运行 Parrot Security Linux 的计算机正在使用属于你 Amazon 账户的凭据进行 S3 API 调用。您的凭证可能遭到盗用。Parrot Security Linux 是一种流行的渗透测试工具,安全专业人员使用它来识别需要修补的 EC2实例中的漏洞。攻击者还使用此工具来发现 EC2配置漏洞,并获得对您的 Amazon 环境的未经授权的访问权限。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

PenTest:S3/PentooLinux

运行有 Pentoo Linux 的计算机调用了 S3 API。

默认严重级别:中

  • 数据源:S3 CloudTrail 的数据事件

这一发现告诉你,一台运行 Pentoo Linux 的计算机正在使用属于你 Amazon 账户的凭据进行 S3 API 调用。您的凭证可能遭到盗用。Pentoo Linux是一种流行的渗透测试工具,安全专业人员使用它来识别需要修补的 EC2 实例中的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞,并获得对您的 Amazon 环境的未经授权的访问权限。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Policy:S3/AccountBlockPublicAccessDisabled

IAM 实体调用了用于禁用账户上 S3 屏蔽公共访问权限的 API。

默认严重级别:低

  • 数据源:CloudTrail 管理事件

此调查发现通知您,Amazon S3 屏蔽公共访问权限已在账户级别禁用。启用 S3 阻止公共访问设置后,这些设置将用于筛选存储桶上的策略或访问控制列表 (ACLs),以此作为一项安全措施,以防止无意中向公众泄露数据。

通常情况下,会关闭账户的 S3 屏蔽公共访问权限,以允许公开访问存储桶或存储桶中的对象。当某个账户禁用 S3 阻止公共访问时,对存储桶的访问权限将由应用于您的个人存储桶的策略或存储桶级别的 “阻止公共访问” 设置来控制。 ACLs这并不一定意味着将公开共享存储桶,但应审计应用于存储桶的权限,以确认这些权限提供了适当的访问级别。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Policy:S3/BucketAnonymousAccessGranted

IAM 委托人已通过更改存储桶策略向互联网授予对 S3 存储桶的访问权限,或者 ACLs。

默认严重级别:高

  • 数据源:CloudTrail 管理事件

此调查发现通知您,由于 IAM 实体更改了所列出的 S3 存储桶的策略或 ACL,因此该存储桶已可在 Internet 上公开访问。

检测到策略或 ACL 更改后, GuardDuty 使用由 Zelkova 支持的自动推理来确定存储桶是否可公开访问。

注意

如果将存储桶 ACLs 或存储桶策略配置为显式拒绝或全部拒绝,则此结果可能无法反映存储桶的当前状态。此调查发现不会反映任何可能已为您的 S3 存储桶启用的 S3 屏蔽公共访问权限设置。在这种情况下,调查发现中的 effectivePermission 值将标记为 UNKNOWN

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Policy:S3/BucketBlockPublicAccessDisabled

IAM 主体调用了禁用存储桶 S3 屏蔽公共访问权限的 API。

默认严重级别:低

  • 数据源:CloudTrail 管理事件

此调查发现通知您已禁用列出的 S3 存储桶的屏蔽公开访问权限。启用后,S3 Block Public Access 设置用于筛选应用于存储桶的策略或访问控制列表 (ACLs),以此作为一项安全措施,以防止无意中向公众泄露数据。

通常情况下,会关闭存储桶的 S3 屏蔽公共访问权限,以允许公开访问该存储桶或其中的对象。当对存储桶禁用 S3 阻止公共访问时,对该存储桶的访问权限将由策略控制或 ACLs 应用于该存储桶。这并不意味着存储桶已公开共享,但您应审核策略并将其 ACLs 应用于存储桶,以确认已应用适当的权限。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Policy:S3/BucketPublicAccessGranted

IAM 委托人已通过更改存储桶策略向所有 Amazon 用户授予对 S3 存储桶的公共访问权限或 ACLs。

默认严重级别:高

  • 数据源:CloudTrail 管理事件

这一发现告诉您,列出的 S3 存储桶已向所有经过身份验证的 Amazon 用户公开,因为 IAM 实体更改了该 S3 存储桶的存储桶策略或 ACL。

检测到策略或 ACL 更改后, GuardDuty 使用由 Zelkova 支持的自动推理来确定存储桶是否可公开访问。

注意

如果将存储桶 ACLs 或存储桶策略配置为显式拒绝或全部拒绝,则此结果可能无法反映存储桶的当前状态。此调查发现不会反映任何可能已为您的 S3 存储桶启用的 S3 屏蔽公共访问权限设置。在这种情况下,调查发现中的 effectivePermission 值将标记为 UNKNOWN

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Stealth:S3/ServerAccessLoggingDisabled

已为存储桶禁用 S3 服务器访问日志记录。

默认严重级别:低

  • 数据源:CloudTrail 管理事件

这一发现告诉您,您的 Amazon 环境中的存储桶已禁用 S3 服务器访问日志记录。如果禁用,则不会为访问已识别的 S3 存储桶的任何尝试创建 Web 请求日志,但是,仍会跟踪对该存储桶的 S3 管理 API 调用(例如 DeleteBucket)。如果通过 CloudTrail 为该存储桶启用 S3 数据事件记录,则仍将跟踪对存储桶内对象的 Web 请求。禁用日志记录是未经授权的用户为逃避检测而使用的一种技术。要了解有关 S3 日志的更多信息,请参阅 S3 服务器访问日志记录S3 日志记录选项

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 S3 API 操作(例如 PutObjectPutObjectAcl)。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

UnauthorizedAccess:S3/TorIPCaller

Tor 出口节点 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,Tor 出口节点 IP 地址调用了 S3 API 操作(例如 PutObjectPutObjectAcl)。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这一发现可能表明有人未经授权访问您的 Amazon 资源,目的是隐藏攻击者的真实身份。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶