GuardDuty S3 防护调查发现类型 - Amazon GuardDuty
Discovery:S3/AnomalousBehaviorDiscovery:S3/MaliciousIPCallerDiscovery:S3/MaliciousIPCaller.CustomDiscovery:S3/TorIPCallerExfiltration:S3/AnomalousBehaviorExfiltration:S3/MaliciousIPCallerImpact:S3/AnomalousBehavior.DeleteImpact:S3/AnomalousBehavior.PermissionImpact:S3/AnomalousBehavior.WriteImpact:S3/MaliciousIPCallerPenTest:S3/KaliLinuxPenTest:S3/ParrotLinuxPenTest:S3/PentooLinuxPolicy:S3/AccountBlockPublicAccessDisabledPolicy:S3/BucketAnonymousAccessGrantedPolicy:S3/BucketBlockPublicAccessDisabledPolicy:S3/BucketPublicAccessGrantedStealth:S3/ServerAccessLoggingDisabledUnauthorizedAccess:S3/MaliciousIPCaller.CustomUnauthorizedAccess:S3/TorIPCaller
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

GuardDuty S3 防护调查发现类型

以下调查发现针对 Amazon S3 资源,如果数据来源是 S3 的 CloudTrail 数据事件,则资源类型S3Bucket;或者如果数据来源是 CloudTrail 管理事件,则为 AccessKey。调查发现的严重性和详细信息将因调查发现类型和与存储桶关联的权限而异。

此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关数据来源和模型的更多信息,请参阅 GuardDuty 基础数据来源

重要

只有在您启用了 S3 防护后,才会生成 CloudTrail S3 数据事件数据来源的调查发现。默认情况下,在 2020 年 7 月 31 日之后,账户首次启用 GuardDuty 时,或者委派 GuardDuty 管理员账户在现有成员账户中启用 GuardDuty 时,将会启用 S3 防护。但是,当新成员加入 GuardDuty 组织时,将会应用该组织的自动启用首选项。有关自动启用首选项的信息,请参阅设置组织自动启用首选项。有关如何启用 S3 防护的信息,请参阅 GuardDuty S3 防护

对于所有 S3Bucket 类型的调查发现,建议您检查相关存储桶的权限以及调查发现中涉及的任何用户权限,如果活动是不正常的,请参阅 修复可能失陷的 S3 存储桶 中详细介绍的修复建议。

Discovery:S3/AnomalousBehavior

常用于发现 S3 对象的 API 被异常调用。

默认严重级别:低

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,IAM 实体已调用 S3 API 来发现您环境中的 S3 存储桶,例如 ListObjects。此类活动与攻击的发现阶段有关,攻击者会在该阶段收集信息,以确定您的 Amazon 环境是否容易受到更广泛的攻击。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

GuardDuty 的异常检测机器学习(ML)模型将此 API 确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Discovery:S3/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于在 Amazon 环境中发现资源的 S3 API。

默认严重级别:高

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。此 API 通常与攻击的发现阶段有关,攻击者在该阶段将收集有关您的 Amazon 环境信息。示例包括 GetObjectAclListObjects

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Discovery:S3/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 S3 API(例如 GetObjectAclListObjects)。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。此类活动与攻击的发现阶段有关,攻击者会在该阶段收集信息,以确定您的 Amazon 环境是否容易受到更广泛的攻击。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Discovery:S3/TorIPCaller

Tor 出口节点 IP 地址调用了 S3 API。

默认严重级别:中

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,Tor 出口节点 IP 地址调用了 S3 API(例如 GetObjectAclListObjects)。此类活动与攻击的发现阶段有关,攻击者会在该阶段收集信息,以确定您的 Amazon 环境是否容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 Amazon 资源,并意图隐藏攻击者的真实身份。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Exfiltration:S3/AnomalousBehavior

IAM 实体以可疑的方式调用了 S3 API。

默认严重级别:高

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且此活动与该实体的既定基准不同。此活动中使用的 API 调用在攻击的渗透阶段进行,攻击者在该阶段试图收集数据。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

GuardDuty 的异常检测机器学习(ML)模型将此 API 确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Exfiltration:S3/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于在 Amazon 环境中收集数据的 S3 API。

默认严重级别:高

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。API 通常与攻击者试图从您的网络收集数据的泄露策略相关联。示例包括 GetObjectCopyObject

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Impact:S3/AnomalousBehavior.Delete

IAM 实体以可疑的方式调用了试图删除数据的 S3 API。

默认严重级别:高

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,您 Amazon 环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且此行为与该实体的既定基准不同。此活动中使用的 API 调用与试图删除数据的攻击相关联。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

GuardDuty 的异常检测机器学习(ML)模型将此 API 确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

我们建议您对 S3 存储桶的内容进行审计,以确定是否可以或应该恢复之前的对象版本。

Impact:S3/AnomalousBehavior.Permission

异常调用了常用于设置访问控制列表(ACL)权限的 API。

默认严重级别:高

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现告知您,Amazon 环境中的某个 IAM 实体更新了所列 S3 存储桶上的存储桶策略或 ACL。此更改可能会向所有经过身份验证的 Amazon 用户公开您的 S3 存储桶。

GuardDuty 的异常检测机器学习(ML)模型将此 API 确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

我们建议对您的 S3 存储桶的内容进行审计,以确保没有对象被意外允许公开访问。

Impact:S3/AnomalousBehavior.Write

IAM 实体调用了试图以可疑方式写入数据的 S3 API。

默认严重级别:中

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,您 Amazon 环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且此行为与该实体的既定基准不同。此活动中使用的 API 调用与尝试写入数据的攻击相关联。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

GuardDuty 的异常检测机器学习(ML)模型将此 API 确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

我们建议您对 S3 存储桶的内容进行审计,以确保此 API 调用未写入恶意或未经授权的数据。

Impact:S3/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于在 Amazon 环境中篡改数据或进程的 S3 API。

默认严重级别:高

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。此 API 通常与冲击策略相关联,在这种策略中,攻击者试图操纵、中断或销毁您 Amazon 环境中的数据。示例包括 PutObjectPutObjectAcl

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

PenTest:S3/KaliLinux

运行有 Kali Linux 的计算机调用了 S3 API。

默认严重级别:中

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,运行 Kali Linux 的计算机在使用属于您 Amazon 账户的凭证进行 S3 API 调用。您的凭证可能遭到盗用。Kali Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

PenTest:S3/ParrotLinux

运行有 Parrot Security Linux 的计算机调用了 S3 API。

默认严重级别:中

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,运行有 Parrot Security Linux 的计算机在使用属于您 Amazon 账户的凭证进行 S3 API 调用。您的凭证可能遭到盗用。Parrot Security Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

PenTest:S3/PentooLinux

运行有 Pentoo Linux 的计算机调用了 S3 API。

默认严重级别:中

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,运行有 Pentoo Linux 的计算机在使用属于您 Amazon 账户的凭证进行 S3 API 调用。您的凭证可能遭到盗用。Pentoo Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 Amazon 环境未经授权的访问。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Policy:S3/AccountBlockPublicAccessDisabled

IAM 实体调用了用于禁用账户上 S3 屏蔽公共访问权限的 API。

默认严重级别:低

  • 数据来源:CloudTrail 管理事件

此调查发现通知您,Amazon S3 屏蔽公共访问权限已在账户级别禁用。启用 S3 屏蔽公共访问权限设置后,将用于筛选存储桶的策略或访问控制列表(ACL),作为防止意外公开暴露数据的安全措施。

通常情况下,会关闭账户的 S3 屏蔽公共访问权限,以允许公开访问存储桶或存储桶中的对象。禁用账户的 S3 屏蔽公共访问权限后,对存储桶的访问权限将由应用于个人存储桶的策略、ACL 或存储桶级屏蔽公开访问权限设置来控制。这并不一定意味着将公开共享存储桶,但应审计应用于存储桶的权限,以确认这些权限提供了适当的访问级别。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Policy:S3/BucketAnonymousAccessGranted

IAM 主体已通过更改存储桶策略或 ACL 向 Internet 授予对 S3 存储桶的访问权限。

默认严重级别:高

  • 数据来源:CloudTrail 管理事件

此调查发现通知您,由于 IAM 实体更改了所列出的 S3 存储桶的策略或 ACL,因此该存储桶已可在 Internet 上公开访问。

检测到策略或 ACL 更改后,GuardDuty 使用 Zelkova 支持的自动推理,来确定存储桶是否可公开访问。

注意

如果将存储桶的 ACL 或存储桶策略配置为明确拒绝或全部拒绝,则此调查发现可能无法反映存储桶的当前状态。此调查发现不会反映任何可能已为您的 S3 存储桶启用的 S3 屏蔽公共访问权限设置。在这种情况下,调查发现中的 effectivePermission 值将标记为 UNKNOWN

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Policy:S3/BucketBlockPublicAccessDisabled

IAM 主体调用了禁用存储桶 S3 屏蔽公共访问权限的 API。

默认严重级别:低

  • 数据来源:CloudTrail 管理事件

此调查发现通知您已禁用列出的 S3 存储桶的屏蔽公开访问权限。启用 S3 屏蔽公共访问权限设置后,将用于筛选存储桶的策略或访问控制列表(ACL),作为防止意外公开暴露数据的安全措施。

通常情况下,会关闭存储桶的 S3 屏蔽公共访问权限,以允许公开访问该存储桶或其中的对象。由于禁用了存储桶的 S3 屏蔽公共访问权限,因此对该存储桶的访问权限将由其策略或 ACL 控制。这并不意味着将公开共享存储桶,但应审计应用于该存储桶的策略和 ACL,以确认应用适当的权限。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Policy:S3/BucketPublicAccessGranted

IAM 主体已通过更改存储桶策略或 ACL 向所有 Amazon 用户授予对 S3 存储桶的公开访问权限。

默认严重级别:高

  • 数据来源:CloudTrail 管理事件

此调查发现通知您,由于 IAM 实体更改了所列 S3 存储桶的策略或 ACL,因此该存储桶已向所有经过身份验证的 Amazon 用户公开。

检测到策略或 ACL 更改后,GuardDuty 使用 Zelkova 支持的自动推理,来确定存储桶是否可公开访问。

注意

如果将存储桶的 ACL 或存储桶策略配置为明确拒绝或全部拒绝,则此调查发现可能无法反映存储桶的当前状态。此调查发现不会反映任何可能已为您的 S3 存储桶启用的 S3 屏蔽公共访问权限设置。在这种情况下,调查发现中的 effectivePermission 值将标记为 UNKNOWN

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

Stealth:S3/ServerAccessLoggingDisabled

已为存储桶禁用 S3 服务器访问日志记录。

默认严重级别:低

  • 数据来源:CloudTrail 管理事件

此调查发现通知您,已禁用您 Amazon 环境中存储桶的 S3 服务器访问日志记录。如果禁用上述功能,则不会为任何尝试访问相关 S3 存储桶的行为创建 Web 请求日志,但仍会跟踪对该存储桶的 S3 管理 API 调用(例如 DeleteBucket)。如果通过 CloudTrail 启用了此存储桶的 S3 数据事件日志记录,则仍将跟踪该存储桶内对象的 Web 请求。禁用日志记录是未经授权的用户为逃避检测而使用的一种技术。要了解有关 S3 日志的更多信息,请参阅 S3 服务器访问日志记录S3 日志记录选项

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 S3 API 操作(例如 PutObjectPutObjectAcl)。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶

UnauthorizedAccess:S3/TorIPCaller

Tor 出口节点 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据来源:S3 的 CloudTrail 数据事件

此调查发现通知您,Tor 出口节点 IP 地址调用了 S3 API 操作(例如 PutObjectPutObjectAcl)。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。此调查发现表明,有人未经授权访问您的 Amazon 资源,并意图隐藏攻击者的真实身份。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能失陷的 S3 存储桶