GuardDuty S3 查找类型 - Azon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty S3 查找类型

以下发现特定于 Amazon S3 资源,S3Bucket如果数据源是 S3CloudTrail 的数据事件,或者数据源是CloudTrail 管理事件AccessKey资源类型为。调查结果的严重性和详细信息将因调查结果类型和与存储桶关联的权限而异。

此处列出的发现包括用于生成该发现类型的数据源和模型。有关数据源和模型的更多信息,请参阅亚马逊如何 GuardDuty 使用其数据源

重要

只有在启用了 S3 保护的情况下,才会生成 S3CloudTrail 数据事件数据源的调查结果 GuardDuty。默认情况下,在 2020 年 7 月 31 日之后创建的所有账户中均启用 S3 保护。有关如何启用或禁用 S3 保护的信息,请参阅亚马逊中的Amazon S3 保护 GuardDuty

对于所有S3Bucket类型的调查结果,建议您检查相关存储段的权限以及调查结果中涉及的任何用户的权限;如果活动意外,请参阅中详细的修复建议修复受损的 S3 存储桶

Discovery:S3/AnomalousBehavior

常用于发现 S3 对象的 API 是以异常方式调用的。

默认严重性:低

  • 数据源:CloudTrail S3 的数据事件

此发现告知您,IAM 实体已调用 S3 API 来发现您的环境中的 S3 存储桶,例如ListBuckets。此类活动与攻击的发现阶段有关,在该阶段攻击者收集信息以确定您的Amazon环境是否容易受到更广泛的攻击。此活动可疑,因为 IAM 实体以不寻常的方式调用 API。例如,以前没有历史记录的 IAM 实体调用 S3 API,或者 IAM 实体从不寻常的位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的地点、请求的特定 API、请求的存储段以及发出的 API 调用次数。有关 API 请求的哪些因素对于调用请求的用户身份而言不寻常的更多信息,请参阅查找详细信息

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Discovery:S3/MaliciousIPCaller

通常用于在Amazon环境中发现资源的 S3 API 是从已知的恶意 IP 地址调用的。

默认严重性:高

  • 数据源:CloudTrail S3 的数据事件

此发现通知您,S3 API 操作是从与已知恶意活动相关的 IP 地址调用的。当攻击者正在收集有关您的Amazon环境的信息时,观察到的 API 通常与攻击的发现阶段相关联。示例包括、GetObjectAclListObjects

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Discovery:S3/MaliciousIPCaller.Custom

S3 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重性:高

  • 数据源:CloudTrail S3 的数据事件

此发现告知您,S3 API(如GetObjectAclListObjects)是从您上传的威胁列表中包含的 IP 地址调用的。与该发现相关的威胁列表列在调查结果详细信息的 “其他信息” 部分中。此类活动与攻击的发现阶段有关,攻击者正在收集信息以确定您的Amazon环境是否容易受到更广泛的攻击。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Discovery:S3/TorIPCaller

S3 API 是从 Tor 出口节点 IP 地址调用的。

默认严重性:中等

  • 数据源:CloudTrail S3 的数据事件

此发现告知您,S3 API(例如GetObjectAclListObjects)是从 Tor 出口节点 IP 地址调用的。此类活动与攻击的发现阶段有关,攻击者正在收集信息以确定您的Amazon环境是否容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问您的Amazon资源,目的是隐藏攻击者的真实身份。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Exfiltration:S3/AnomalousBehavior

一个 IAM 实体以可疑的方式调用了 S3 API。

默认严重性:高

  • 数据源:CloudTrail S3 的数据事件

这一发现告诉您,您的Amazon环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,此活动与该实体的既定基准不同。本活动中使用的 API 调用与攻击的渗透阶段有关,攻击者试图收集数据。此活动可疑,因为 IAM 实体以不寻常的方式调用 API。例如,以前没有历史记录的 IAM 实体调用 S3 API,或者 IAM 实体从不寻常的位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的地点、请求的特定 API、请求的存储段以及发出的 API 调用次数。有关 API 请求的哪些因素对于调用请求的用户身份而言不寻常的更多信息,请参阅查找详细信息

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Exfiltration:S3/MaliciousIPCaller

通常用于从Amazon环境收集数据的 S3 API 是从已知的恶意 IP 地址调用的。

默认严重性:高

  • 数据源:CloudTrail S3 的数据事件

此发现通知您,S3 API 操作是从与已知恶意活动相关的 IP 地址调用的。观察到的API通常与渗透策略有关,在这种策略中,对手试图从您的网络收集数据。示例包括、GetObjectCopyObject

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Impact:S3/AnomalousBehavior.Delete

一个 IAM 实体调用了一个试图以可疑方式删除数据的 S3 API。

默认严重性:高

  • 数据源:CloudTrail S3 的数据事件

这一发现告诉您,您的Amazon环境中的某个 IAM 实体正在进行涉及 S3 存储桶的 API 调用,这种行为与该实体的既定基准不同。本活动中使用的 API 调用与试图删除数据的攻击有关。此活动可疑,因为 IAM 实体以不寻常的方式调用 API。例如,以前没有历史记录的 IAM 实体调用 S3 API,或者 IAM 实体从不寻常的位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的地点、请求的特定 API、请求的存储段以及发出的 API 调用次数。有关 API 请求的哪些因素对于调用请求的用户身份而言不寻常的更多信息,请参阅查找详细信息

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

我们建议对您的 S3 存储桶的内容进行审计,以确定您是否可以或应该恢复以前的对象版本。

Impact:S3/AnomalousBehavior.Permission

常用于设置访问控制列表 (ACL) 权限的 API 是以异常方式调用的。

默认严重性:高

  • 数据源:CloudTrail S3 的数据事件

此发现通知您,您的Amazon环境中的 IAM 实体已更改列出的 S3 存储桶上的存储桶策略或 ACL。此更改可能会向所有经过身份验证的Amazon用户公开您的 S3 存储桶。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的地点、请求的特定 API、请求的存储段以及发出的 API 调用次数。有关 API 请求的哪些因素对于调用请求的用户身份而言不寻常的更多信息,请参阅查找详细信息

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

我们建议对您的 S3 存储桶的内容进行审计,以确保没有意外允许公开访问任何对象。

Impact:S3/AnomalousBehavior.Write

一个 IAM 实体调用了一个试图以可疑方式写入数据的 S3 API。

默认严重性:中等

  • 数据源:CloudTrail S3 的数据事件

这一发现告诉您,您的Amazon环境中的某个 IAM 实体正在进行涉及 S3 存储桶的 API 调用,这种行为与该实体的既定基准不同。本活动中使用的 API 调用与试图写入数据的攻击有关。此活动可疑,因为 IAM 实体以不寻常的方式调用 API。例如,以前没有历史记录的 IAM 实体调用 S3 API,或者 IAM 实体从不寻常的位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的地点、请求的特定 API、请求的存储段以及发出的 API 调用次数。有关 API 请求的哪些因素对于调用请求的用户身份而言不寻常的更多信息,请参阅查找详细信息

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

我们建议对您的 S3 存储桶的内容进行审计,以确保此 API 调用不会写入恶意或未经授权的数据。

Impact:S3/MaliciousIPCaller

通常用于在Amazon环境中篡改数据或进程的 S3 API 是从已知的恶意 IP 地址调用的。

默认严重性:高

  • 数据源:CloudTrail S3 的数据事件

此发现通知您,S3 API 操作是从与已知恶意活动相关的 IP 地址调用的。观察到的 API 通常与攻击策略有关,在这种策略中,对手试图操纵、中断或销毁您的Amazon环境中的数据。示例包括、PutObjectPutObjectAcl

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

PenTest:S3/KaliLinux

一个 S3 API 是从 Kali Linux 机器上调用的。

默认严重性:中等

  • 数据源:CloudTrail S3 的数据事件

这一发现告诉你,一台运行 Kali Linux 的机器正在使用属于你Amazon账户的证书进行 S3 API 调用。您的凭证可能遭盗用。Kali Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

PenTest:S3/ParrotLinux

S3 API 是从 Parrot Security Linux 计算机上调用的。

默认严重性:中等

  • 数据源:CloudTrail S3 的数据事件

这一发现告诉你,一台运行 Parrot Security Linux 的机器正在使用属于你Amazon账户的证书进行 S3 API 调用。您的凭证可能遭盗用。Parrot Security Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

PenTest:S3/PentooLinux

S3 API 是从 Pentoo Linux 计算机上调用的。

默认严重性:中等

  • 数据源:CloudTrail S3 的数据事件

这一发现告诉你,一台运行 Pentoo Linux 的机器正在使用属于你Amazon账户的证书进行 S3 API 调用。您的凭证可能遭盗用。Pentoo Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Policy:S3/AccountBlockPublicAccessDisabled

一个 IAM 实体调用了一个用于在账户上禁用 S3 阻止公有访问的 API。

默认严重性:低

  • 数据源:CloudTrail 管理事件

这一发现告诉您,Amazon S3 封锁公共访问已在账户级别被禁用。启用 S3 Block Public Access 设置后,它们用于筛选存储桶上的策略或访问控制列表 (ACL),以此作为一种安全措施,防止无意中公开泄露数据。

通常,在账户中关闭 S3 阻止公有访问权限以允许对存储桶或存储桶中的对象进行公有访问。当某个账户禁用 S3 阻止公有访问时,对您的存储桶的访问权限将由应用于您的各个存储桶的策略、ACL 或存储分区级封锁公有访问设置控制。这并不一定意味着存储桶是公开共享的,但您应该审核应用于存储桶的权限,以确认它们提供了适当的访问级别。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Policy:S3/BucketAnonymousAccessGranted

IAM 委托人已通过更改存储桶策略或 ACL 授予对 S3 存储桶访问互联网的权限。

默认严重性:高

  • 数据源:CloudTrail 管理事件

这一发现告诉您,列出的 S3 存储桶已在 Internet 上公开访问,因为 IAM 实体更改了该存储桶的存储桶策略或 ACL。检测到策略或 ACL 更改后,使用 Zelkova 支持的自动推理来确定存储桶是否可以公开访问。

注意

如果存储桶的 ACL 或存储桶策略配置为明确拒绝或全部拒绝,则无法为该存储段生成此结果。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Policy:S3/BucketBlockPublicAccessDisabled

一个 IAM 实体调用了一个用于在存储桶上禁用 S3 阻止公有访问的 API。

默认严重性:低

  • 数据源:CloudTrail 管理事件

此发现告知您,列出的 S3 存储桶已禁用阻止公有访问。启用后,S3 阻止公有访问设置用于筛选应用于存储区的策略或访问控制列表 (ACL),以此作为一种安全措施,防止无意中公开泄露数据。

通常,存储桶上的 S3 阻止公共访问处于关闭状态,以允许对存储桶或其中的对象进行公共访问。禁用存储区的 S3 阻止公有访问时,对该存储区的访问由应用于该存储区的策略或 ACL 控制。这并不意味着将公开共享存储桶,但您应该审核应用于该存储桶的策略和 ACL,以确认应用适当的权限。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Policy:S3/BucketPublicAccessGranted

IAM 委托人已通过更改存储桶策略或 ACL 向所有Amazon用户授予对 S3 存储桶的公共访问权限。

默认严重性:高

  • 数据源:CloudTrail 管理事件

这一发现通知您,列出的 S3 存储桶已向所有经过身份验证的Amazon用户公开,因为 IAM 实体更改了该 S3 存储桶的存储桶策略或 ACL。检测到策略或 ACL 更改后,使用 Zelkova 支持的自动推理来确定存储桶是否可以公开访问。

注意

如果存储桶的 ACL 或存储桶策略配置为明确拒绝或全部拒绝,则无法为该存储段生成此结果。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

Stealth:S3/ServerAccessLoggingDisabled

S3 服务器访问日志记录已被禁用。

默认严重性:低

  • 数据源:CloudTrail 管理事件

此发现告知您,您的Amazon环境中某个存储段的 S3 服务器访问日志已禁用。如果禁用,则不会为任何尝试访问已识别的 S3 存储桶创建 Web 请求日志,但是,仍会跟踪对该存储桶的 S3 管理 API 调用(例如 DeleteBucket)。如果 CloudTrail 为此存储桶启用了 S3 数据事件记录,则仍会跟踪对该存储桶内对象的 Web 请求。禁用日志记录是未经授权的用户为逃避检测而使用的一种技术。要了解有关 S3 日志的更多信息,请参阅 S3 服务器访问日志S3 日志记录选项

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

S3 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重性:高

  • 数据源:CloudTrail S3 的数据事件

此发现告知您,S3 API 操作(例如PutObjectPutObjectAcl)是从您上传的威胁列表中包含的 IP 地址调用的。与该发现相关的威胁列表列在调查结果详细信息的 “其他信息” 部分中。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅 修复受损的 S3 存储桶

UnauthorizedAccess:S3/TorIPCaller

S3 API 是从 Tor 出口节点 IP 地址调用的。

默认严重性:高

  • 数据源:CloudTrail S3 的数据事件

此发现告知您,S3 API 操作(如PutObjectPutObjectAcl)是从 Tor 出口节点 IP 地址调用的。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。此发现可能表明未经授权访问了您的Amazon资源,目的是隐藏攻击者的真实身份。

补救建议:

如果此活动对于关联委托人来说是意外的,则可能表示证书已被泄露或您的 S3 权限限制不够严格。有关更多信息,请参阅修复受损的 S3 存储桶