本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
GuardDuty 调查结果的严重性级别
根据我们的安全工程师的决定,每个 GuardDuty 发现都有指定的严重级别和值,以反映该发现可能对您的环境造成的潜在风险。严重性值可以落在 1.0 到 10.0 范围内的任何地方,值越高表示安全风险越大。为了帮助您确定对调查结果中突出显示的潜在安全问题的应对措施,请将此范围 GuardDuty 分为严重、高、中和低严重级别。
特定类型的发现可能具有不同的严重性,具体取决于该发现的特定背景。要查看所有 GuardDuty 查找结果类型的默认严重性级别的合并列表,请参阅GuardDuty 主动查找类型。
以下各节说明了 GuardDuty调查结果的定义严重级别。
严重性严重
取值范围:9.0-10.0
描述:严重性级别表示攻击序列可能正在进行或最近发生过。一个或多个 Amazon 资源(例如IAM用户登录凭证和 Amazon S3 存储桶)可能遭到入侵或可能已经遭到入侵。
建议: GuardDuty 建议您优先对所有关键严重性发现进行分类和修复,因为这些问题可能是勒索软件攻击的一部分,并且可能随时升级。查看有关相关资源的详细信息并开始解决安全问题。有关更多信息,请参阅 修复调查发现。
严重性高
取值范围:7.0-8.9
描述:“高” 严重级别表示相关资源(Amazon EC2 实例或一组IAM用户登录凭证)已被泄露并被积极用于未经授权的目的。
建议: GuardDuty 建议您将任何高严重性的发现安全问题作为优先事项,并立即采取补救措施,防止进一步未经授权使用您的资源。例如,清理或终止您的 Amazon EC2 实例,或者轮换IAM证书。按照中的步骤修复调查发现对发现进行补救。
中等严重性
取值范围:4.0-6.9
描述:中等严重性级别表示与通常观察到的行为背道而驰的可疑活动,根据您的用例,可能表示资源受损。
建议: GuardDuty 建议您尽早调查可能受影响的资源。补救步骤将因资源和寻找家庭而异。一种既定方法是让您确认该活动已获得授权且与您的用例一致。如果您无法确定原因或无法确认活动已获得授权,则应考虑资源已损坏。按照中的步骤修复调查发现对发现进行补救。
在审查中等水平的调查结果时,需要考虑以下几点:
-
检查是否有授权用户安装新的软件,更改了资源的行为 (例如,允许高于正常流量,或者在新端口上启用了通信)。
-
检查是否有授权用户更改了控制面板设置,例如,修改了安全组设置。
-
在牵涉的资源上运行反病毒扫描,检测未经授权的软件。
-
验证附加到所牵涉的 IAM 角色、用户、组或一组凭证的权限。可能需要更改或轮换它们。
严重性低
取值范围:1.0-3.9
描述:低严重性级别表示尝试的可疑活动并未危及您的环境,例如端口扫描或入侵尝试失败。
建议:没有建议立即采取行动,但值得注意这些信息,因为它可能表明有人正在寻找您的环境中的弱点。