GuardDuty 调查发现的严重性级别 - Amazon GuardDuty
重大严重性高严重性中严重性低严重性
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

GuardDuty 调查发现的严重性级别

每个 GuardDuty 调查发现都有一个指定的严重性级别和值,反映了我们的安全工程师确定的、此调查发现可能对环境造成的潜在风险。严重性值可以是介于 1.0 和 10.0 之间的任何值,值越高,安全风险就越大。为了帮助您确定如何响应调查发现所凸显的潜在安全问题,GuardDuty 将此范围分为重大严重性级别。

特定类型的调查发现可能具有不同的严重性,具体取决于该调查发现的特定上下文。要查看所有 GuardDuty 调查发现类型的默认严重性级别综合列表,请参阅 GuardDuty 活跃调查发现类型

以下各节说明了为 GuardDuty 调查发现定义的严重性级别。

重大严重性

值范围:9.0 – 10.0

描述:重大严重性级别表示攻击序列可能正在进行中或最近发生过。一个或多个 Amazon 资源(例如 IAM 用户登录凭证和 Amazon S3 存储桶)可能正在泄露或可能已经泄露。

建议:GuardDuty 建议您优先对所有重大严重性的调查发现进行分类和补救,因为这些问题可能是勒索软件攻击的一部分,并且可能随时升级。查看有关相关资源的详细信息并开始解决安全问题。有关更多信息,请参阅 修复调查发现

高严重性

值范围:7.0 – 8.9

描述:高严重性级别表示相关资源(某个 Amazon EC2 实例或一组 IAM 用户登录凭证)已泄露,并且正被主动用于未经授权的目的。

建议:GuardDuty 建议您优先处理任何高严重性的调查发现安全问题,并立即采取补救措施,以防止对资源进行其他未经授权的使用。例如,清理或终止 Amazon EC2 实例,或者轮换 IAM 凭证。按照修复调查发现中的步骤,对调查发现进行补救。

中严重性

值范围:4.0 – 6.9

描述:中严重性级别表示偏离正常观测到的行为的可疑活动,根据使用案例,可能指示资源已泄露。

建议:GuardDuty 建议您在方便时尽早调查可能受影响的资源。补救措施步骤会因资源和调查发现系列而异。但是,您可以采取一种既定方法,即确认活动是否已获得授权并与使用案例一致。如果您无法确定原因,或者无法确认该活动是否获得授权,则应考虑资源已泄露。按照修复调查发现中的步骤,对调查发现进行补救。

查看中严重性级别的调查发现时,需要注意以下事项:

  • 检查是否有授权用户安装新的软件,更改了资源的行为 (例如,允许高于正常流量,或者在新端口上启用了通信)。

  • 检查是否有授权用户更改了控制面板设置,例如,修改了安全组设置。

  • 在牵涉的资源上运行反病毒扫描,检测未经授权的软件。

  • 验证附加到相关 IAM 角色、用户、组或一组凭证的权限。可能需要更改或轮换它们。

低严重性

值范围:1.0 – 3.9

描述:低严重性级别表示尝试进行的可疑活动未危及环境,例如端口扫描或失败的入侵尝试。

建议:不需要立即采取行动,但此信息值得注意,因为它可能表明有人正在寻找环境中的弱点。