GuardDuty S3 查找类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty S3 查找类型

以下发现是特定于 Amazon S3 资源的,S3Bucket如果数据源是 S3 的数据事件,或者CloudTrail 数据源是CloudTrail 管理事件AccessKey则其资源类型将为。调查结果的严重性和详细信息将因调查结果类型和与存储桶关联的权限而异。

此处列出的发现包括用于生成该发现类型的数据源和模型。有关数据源和模型的更多信息,请参阅基础数据源

重要

只有在启用了 S3 保护时,才会生成具有 S3CloudTrail 数据源事件的调查结果 GuardDuty。默认情况下,在 2020 年 7 月 31 日之后创建的所有账户中启用 S3 保护。有关如何启用或禁用 S3 保护的信息,请参阅亚马逊中的亚马逊 S3 保护GuardDuty

对于所有S3Bucket类型的调查结果,建议您检查相关存储段的权限以及调查结果中涉及的任何用户的权限,如果活动出乎意料,请参阅中详细的补救建议修复受感染的 S3 存储桶

Discovery:S3/AnomalousBehavior

通常用于发现 S3 对象的 API 是以异常方式调用的。

默认严重性:低

  • 数据源:3CloudTrail 的数据事件

此发现告知您 IAM 实体已调用 S3 API 来发现您的环境中的 S3 存储桶,例如ListObjects。此类活动与攻击的发现阶段有关,在该阶段攻击者收集信息以确定您的Amazon环境是否容易受到更广泛的攻击。此活动是可疑的,因为 IAM 实体以不寻常的方式调用了 API。例如,没有先前历史记录的 IAM 实体调用 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶以及发出的 API 调用次数。有关 API 请求的哪些因素对于调用请求的用户身份而言异常的更多信息,请参阅查找详细信息

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

Discovery:S3/MaliciousIPCaller

通常用于发现Amazon环境中资源的 S3 API 是从已知的恶意 IP 地址调用的。

默认严重性:高

  • 数据源:3CloudTrail 的数据事件

此发现告知您 S3 API 操作是从与已知恶意活动相关的 IP 地址调用的。观察到的 API 通常与攻击的发现阶段相关,此时对手正在收集有关您的Amazon环境的信息。示例包括 GetObjectAclListObjects

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

Discovery:S3/MaliciousIPCaller.Custom

S3 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重性:高

  • 数据源:3CloudTrail 的数据事件

此发现通知您,S3 API(例如GetObjectAclListObjects)是从您上传的威胁列表中包含的 IP 地址调用的。与该发现相关的威胁列表列在调查结果详细信息的 “附加信息” 部分中。此类活动与攻击的发现阶段有关,在该阶段攻击者正在收集信息,以确定您的Amazon环境是否容易受到更广泛的攻击。

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

Discovery:S3/TorIPCaller

S3 API 是从 Tor 出口节点 IP 地址调用的。

默认严重性:中等

  • 数据源:3CloudTrail 的数据事件

此发现告知您 S3 API(例如GetObjectAclListObjects)是从 Tor 出口节点 IP 地址调用的。此类活动与攻击的发现阶段有关,在该阶段攻击者正在收集信息,以确定您的Amazon环境是否容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问您的Amazon资源,目的是隐藏攻击者的真实身份。

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

Exfiltration:S3/AnomalousBehavior

一个 IAM 实体以可疑的方式调用了 S3 API。

默认严重性:高

  • 数据源:3CloudTrail 的数据事件

此发现告知您 IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且此活动与该实体已建立的基准不同。此活动中使用的 API 调用与攻击的渗透阶段相关,在该阶段攻击者试图收集数据。此活动是可疑的,因为 IAM 实体以不寻常的方式调用了 API。例如,没有先前历史记录的 IAM 实体调用 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶以及发出的 API 调用次数。有关 API 请求的哪些因素对于调用请求的用户身份而言异常的更多信息,请参阅查找详细信息

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

Exfiltration:S3/MaliciousIPCaller

通常用于从Amazon环境收集数据的 S3 API 是从已知的恶意 IP 地址调用的。

默认严重性:高

  • 数据源:3CloudTrail 的数据事件

此发现告知您 S3 API 操作是从与已知恶意活动相关的 IP 地址调用的。观察到的 API 通常与渗透策略有关,在这种策略中,对手正试图从你的网络收集数据。示例包括 GetObjectCopyObject

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

Impact:S3/AnomalousBehavior.Delete

一个 IAM 实体调用了 S3 API,试图以可疑的方式删除数据。

默认严重性:高

  • 数据源:3CloudTrail 的数据事件

此发现告知您,您的Amazon环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且此行为与该实体既定的基准不同。此活动中使用的 API 调用与试图删除数据的攻击相关。此活动是可疑的,因为 IAM 实体以不寻常的方式调用了 API。例如,没有先前历史记录的 IAM 实体调用 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶以及发出的 API 调用次数。有关 API 请求的哪些因素对于调用请求的用户身份而言异常的更多信息,请参阅查找详细信息

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

我们建议对您的 S3 存储桶的内容进行审计,以确定您是否可以或应该恢复以前的对象版本。

Impact:S3/AnomalousBehavior.Permission

通常用于设置访问控制列表 (ACL) 权限。

默认严重性:高

  • 数据源:3CloudTrail 的数据事件

此发现告知您,您Amazon环境中的 IAM 实体已更改了列出的 S3 存储桶上的存储桶策略或 ACL。此更改可能会向所有经过身份验证的Amazon用户公开您的 S3 存储桶。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶以及发出的 API 调用次数。有关 API 请求的哪些因素对于调用请求的用户身份而言异常的更多信息,请参阅查找详细信息

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

我们建议对您的 S3 存储桶的内容进行审计,以确保不允许意外公开访问任何对象。

Impact:S3/AnomalousBehavior.Write

一个 IAM 实体调用了 S3 API,试图以可疑的方式写入数据。

默认严重性:中等

  • 数据源:3CloudTrail 的数据事件

此发现告知您,您的Amazon环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且此行为与该实体既定的基准不同。此活动中使用的 API 调用与尝试写入数据的攻击相关。此活动是可疑的,因为 IAM 实体以不寻常的方式调用了 API。例如,没有先前历史记录的 IAM 实体调用 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶以及发出的 API 调用次数。有关 API 请求的哪些因素对于调用请求的用户身份而言异常的更多信息,请参阅查找详细信息

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

我们建议对您的 S3 存储桶的内容进行审计,以确保此 API 调用没有写入恶意或未经授权的数据。

Impact:S3/MaliciousIPCaller

通常用于篡改Amazon环境中数据或进程的 S3 API 是从已知的恶意 IP 地址调用的。

默认严重性:高

  • 数据源:3CloudTrail 的数据事件

此发现告知您 S3 API 操作是从与已知恶意活动相关的 IP 地址调用的。观察到的 API 通常与影响策略有关,在这种策略中,对手试图操纵、中断或破坏Amazon环境中的数据。示例包括 PutObjectPutObjectAcl

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

PenTest:S3/KaliLinux

S3 API 是从 Kali Linux 计算机上调用的。

默认严重性:中等

  • 数据源:3CloudTrail 的数据事件

此发现告诉您,运行 Kali Linux 的计算机正在使用属于您Amazon账户的证书进行 S3 API 调用。您的凭证可能遭盗用。Kali Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

PenTest:S3/ParrotLinux

S3 API 是从 Parrot Security Linux 计算机上调用的。

默认严重性:中等

  • 数据源:3CloudTrail 的数据事件

这一发现告诉你,一台运行 Parrot Security Linux 的计算机正在使用属于你Amazon账户的证书进行 S3 API 调用。您的凭证可能遭盗用。Parrot Security Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

PenTest:S3/PentooLinux

S3 API 是从 Pentoo Linux 机器上调用的。

默认严重性:中等

  • 数据源:3CloudTrail 的数据事件

此发现告诉你,运行 Pentoo Linux 的计算机正在使用属于你Amazon账户的证书进行 S3 API 调用。您的凭证可能遭盗用。Pentoo Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

Policy:S3/AccountBlockPublicAccessDisabled

一个 IAM 实体调用了用于禁用账户上的 S3 Block 公共访问的 API。

默认严重性:低

  • 数据源:CloudTrail 管理事件

此发现告知您 Amazon S3 Block 公共访问已在账户级别禁用。启用 S3 Block Public Access 设置后,它们用于筛选存储段上的策略或访问控制列表 (ACL),以此作为一项安全措施,以防止无意中向公众泄露数据。

通常,在账户中关闭 S3 Block Public Access,以允许公众访问存储段或存储段中的对象。当某个账户禁用 S3 Block Public Access 时,对您的存储段的访问权限将由应用于您的各个存储段的策略、ACL 或存储段级封锁公共访问设置控制。这并不一定意味着存储分区是公开共享的,但您应该审核应用于存储段的权限,以确认它们提供了适当的访问级别。

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

Policy:S3/BucketAnonymousAccessGranted

IAM 委托人已通过更改存储桶策略或 ACL 授予对 S3 存储段的互联网访问权限。

默认严重性:高

  • 数据源:CloudTrail 管理事件

此发现告知您,列出的 S3 存储桶已在互联网上公开访问,因为 IAM 实体更改了该存储桶的存储桶策略或 ACL。检测到策略或 ACL 更改后,使用由 Zelkova 支持的自动推理来确定存储段是否可公开访问。

注意

如果存储段的 ACL 或存储段策略配置为显式拒绝或全部拒绝,则此发现可能无法反映存储段的当前状态。此发现不会反映可能已为您的 S3 存储桶启用的任何 S3 Block 公共访问设置。在这种情况下,发现结果中的effectivePermission值将标记为UNKNOWN

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

Policy:S3/BucketBlockPublicAccessDisabled

一个 IAM 实体调用了用于禁用存储段上的 S3 Block 公共访问的 API。

默认严重性:低

  • 数据源:CloudTrail 管理事件

此发现通知您,列出的 S3 存储桶的阻止公共访问已被禁用。启用后,S3 Block Public Access 设置用于筛选应用于存储段的策略或访问控制列表 (ACL),以此作为一项安全措施,以防止无意中向公众泄露数据。

通常,在存储段上关闭 S3 Block Public Access,以允许公众访问该存储段或其中的对象。禁用存储分区的 S3 Block 公共访问时,对该存储桶的访问由应用于该存储段的策略或 ACL 控制。这并不意味着将公开共享存储桶,但您应该审核应用于该存储桶的策略和 ACL,以确认应用适当的权限。

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

Policy:S3/BucketPublicAccessGranted

IAM 委托人已通过更改存储桶策略或 ACL 向所有Amazon用户授予对 S3 存储桶的公共访问权限。

默认严重性:高

  • 数据源:CloudTrail 管理事件

此发现告知您,列出的 S3 存储桶已向所有经过身份验证的Amazon用户公开,因为 IAM 实体更改了该 S3 存储桶的存储段策略或 ACL。检测到策略或 ACL 更改后,使用由 Zelkova 支持的自动推理来确定存储段是否可公开访问。

注意

如果存储段的 ACL 或存储段策略配置为显式拒绝或全部拒绝,则此发现可能无法反映存储段的当前状态。此发现不会反映可能已为您的 S3 存储桶启用的任何 S3 Block 公共访问设置。在这种情况下,发现结果中的effectivePermission值将标记为UNKNOWN

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

Stealth:S3/ServerAccessLoggingDisabled

对存储桶的 3 服务器3 服务器3 服务器访问日志记录。

默认严重性:低

  • 数据源:CloudTrail 管理事件

此发现告知您,您的Amazon环境中的存储段已禁用 S3 服务器访问日志记录。如果禁用,则不会为任何访问已识别的 S3 存储桶的尝试创建 Web 请求日志,但是,仍会跟踪对该存储桶的 S3 管理 API 调用 DeleteBucket,例如。如果 CloudTrail 为此存储段启用了 S3 数据事件日志记录,则仍将跟踪对该存储段内对象的 Web 请求。禁用日志记录是未经授权的用户为逃避检测而使用的一种技术。要了解有关 S3 日志的更多信息,请参阅 S3 服务器访问日志S3 日志记录选项

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

S3 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重性:高

  • 数据源:3CloudTrail 的数据事件

此发现告知您,S3 API 操作(例如PutObjectPutObjectAcl)是从您上传的威胁列表中包含的 IP 地址调用的。与该发现相关的威胁列表列在调查结果详细信息的 “附加信息” 部分中。

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅修复受感染的 S3 存储桶

UnauthorizedAccess:S3/TorIPCaller

S3 API 是从 Tor 出口节点 IP 地址调用的。

默认严重性:高

  • 数据源:3CloudTrail 的数据事件

此发现告知您 S3 API 操作(例如PutObjectPutObjectAcl)是从 Tor 出口节点 IP 地址调用的。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。此发现可能表明未经授权访问了您的Amazon资源,目的是隐藏攻击者的真实身份。

补救建议:

如果此活动对关联委托人来说出乎意料,则可能表明证书已泄露或您的 S3 权限不够严格。有关更多信息,请参阅 修复受感染的 S3 存储桶