结果结果的详细信息 - 亚马逊 GuardDuty
结果摘要资源RDS 数据库 (DB) 用户详细信息EKS 运行时监控运行时详细信息EBS 卷扫描详细信息操作恶意软件保护结果详细信息演员或目标其他信息证据异常行为
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

结果结果的详细信息

在亚马逊 GuardDuty 控制台中,您可以在查找结果摘要部分查看查找结果的详细信息。查找结果的详细信息因查找结果类型而异。

有两个主要细节决定了哪种信息可用于任何发现。第一个是资源类型,可以是InstanceAccessKeyS3BucketKubernetes clusterECS clusterContainer、或RDSDBInstance。决定查找信息的第二个细节是资源角色。资源角色可以是Target访问密钥,这意味着该资源是可疑活动的目标。例如,键入调查结果,资源角色也可以是Actor,这意味着您的资源是进行可疑活动的参与者。本主题介绍结果的一些常见详细信息。

结果摘要

调查结果的摘要部分包含发现的最基本的识别特征,包括以下信息:

  • 账户 ID — 活动发生时Amazon账户的 ID,用于提示生成 GuardDuty 此调查结果。

  • 计数 — 将与此模式匹配的活动汇总到此发现 ID 的次 GuardDuty 数。

  • 创建时间 — 首次创建此查找结果的时间和日期。如果此值不同于 U pdated at,则表示该活动已发生多次,并且是一个持续存在的问题。

    注意

    GuardDuty 控制台中发现结果的时间戳以您的本地时区显示,而 JSON 导出和 CLI 输出以 UTC 显示时间戳。

  • 查找 ID — 此查找结果类型和参数集的唯一标识符。与此模式匹配的新活动实例将聚合到同一 ID 中。

  • 查找类型-表示触发查找结果的活动类型的格式化字符串。有关更多信息,请参阅GuardDuty 查找格式

  • 区域 — 生成发现结果的Amazon区域。有关支持的区域的更多信息,请参阅区域和终端节点

  • 资源 ID — 活动所针对的Amazon资源的 ID,该活动提示生成 GuardDuty 此调查结果。

  • 扫描 ID — 适用于启用 GuardDuty 恶意软件保护时的发现,这是在连接到可能受感染的 EC2 实例或容器工作负载的 EBS 卷上运行的恶意软件扫描的标识符。有关更多信息,请参阅恶意软件保护结果详细信息

  • 严重性 — 调查结果指定的严重性级别为 “高”、“中” 或 “低”。有关更多信息,请参阅 GuardDuty 发现的严重性级别

  • 更新时间 —上次使用与提示 GuardDuty生成此发现的模式相匹配的新活动更新此发现的时间。

资源

受影响的资源提供了有关启动活动所针对的Amazon资源的详细信息。可用信息因资源类型和操作类型而异。

资源角色-启动调查结果的Amazon资源的角色。该值可以是 TA RGET 或 ACTOR,表示您的资源是可疑活动的目标还是执行可疑活动的参与者。

资源类型-受影响资源的类型。如果涉及多个资源,则一项发现可能包括多种资源类型。资源类型为实例AccessKeyS3Bucket KubernetesClusterecsCluster容器rdsdBInst ance。根据资源类型,可用的查找详细信息会有所不同。选择资源选项选项卡以了解该资源的可用详细信息。

Instance

实例详情:

注意

如果实例已经停止,或者在进行跨区域 API 调用时,如果底层 API 调用源自其他区域的 EC2 实例,则可能会缺少一些实例详细信息。

  • 实例 ID — 提示 GuardDuty 生成调查结果的活动所涉及的 EC2 实例的 ID。

  • 实例类型 — 调查中涉及的 EC2 实例的类型。

  • 启动时间 — 启动实例的日期和时间。

  • Outpost ARN — 的 Amazon 资源名称(ARN)Amazon Outposts。仅适用于实Amazon Outposts例。有关更多信息,请参阅什么是 Amazon Outposts?

  • 安全组名称 — 附加到相关实例的安全组的名称。

  • 安全组 ID — 连接到相关实例的安全组的 ID。

  • 实例状态 — 目标实例的当前状态。

  • 可用区 — 相关实例所在的Amazon区域可用区。

  • 镜像 ID — 用于构建活动中涉及的实例的 Amazon 系统映像的 ID。

  • 图像描述 — 描述用于构建活动中涉及的实例的 Amazon 系统映像 ID。

  • 标签 — 附加到此资源的标签列表,以以下格式列出keyvalue

AccessKey

访问密钥详情:

  • 访问密钥 ID — 参与提示 GuardDuty 生成调查结果的活动的用户的访问密钥 ID。

  • 主体 ID — 参与提示生成调查结果的活动的用户的委 GuardDuty托人 ID。

  • 用户类型 — 参与提示 GuardDuty 生成调查结果的活动的用户类型。有关更多信息,请参阅 CloudTrail userIdentity 元素

  • 用户名 — 参与提示 GuardDuty 生成调查结果的活动的用户的姓名。

S3Bucket

S3 存储桶详细信息:

  • 名称 — 调查结果中涉及的存储段的名称。

  • ARN — 参与调查的存储段的 ARN。

  • 所有者 — 拥有调查结果所涉及的存储分区的用户的规范用户 ID。有关规范用户 ID 的更多信息,请参阅Amazon账户标识符

  • 类型 — 存储段查找的类型,可以是目的地来源

  • 默认服务器端加密-存储段的加密详细信息。

  • 存储桶标签 — 附加到此资源的标签列表,以以下格式列出keyvalue

  • 有效权限 — 对存储段上所有有效权限和策略的评估,以表明所涉及的存储段是否已公开。值可以是公开的也可以是不公开的。

EKSCluster

Kubernetes 集群详细信息:

  • 名称 — Kubernetes 集群的名称。

  • ARN — 标识集群的 ARN。

  • Archi ve on 此集群的创建时间和日期。

    注意

    GuardDuty 控制台中发现结果的时间戳以您的本地时区显示,而 JSON 导出和 CLI 输出以 UTC 显示时间戳。

  • VPC ID — 与您的 VPC 关联的 VPC 的 ID。

  • 状态 — 集群的当前状态。

  • 标签 — 您应用于集群以帮助您对其进行分类和组织的元数据。每个标签都包含一个密钥和一个可选值以以下格式列出keyvalue。你可以定义键和值。

    集群标签不传播到与集群关联的任何其他资源。

Kubernetes 工作负载详情:

  • 类型 — Kubernetes 工作负载的类型,例如 pod、部署和作业。

  • 名称 — Kubernetes 工作负载的名称。

  • Uid — Kubernetes 工作负载的唯一 ID。

  • Archi ve on 此工作负载的创建的日期和时间。

  • 标签 — 附加到Kubernetes 工作负载的键值对。

  • 容器 — 作为 Kubernetes 工作负载的一部分运行的容器的详细信息。

  • 命名空间 — 工作负载属于此 Kubernetes 命名空间。

  • — Kubernetes 工作负载使用的容量。

    • 主机路径-表示卷映射到的主机上预先存在的文件或目录。

    • N ame — 卷的名称。

  • pod 安全上下文 — 定义 pod 中所有容器的权限和访问控制设置。

  • 主机网络true 如果容器包含在 Kubernetes 工作负载中,则设置为。

ECSCluster

ECS 集群详细信息:

  • ARN — 标识集群的 ARN。

  • Nam e — 集群的名称。

  • 状态 — 集群的当前状态。

  • 活动服务数量-在集群上运行的处于某种ACTIVE状态的服务数量。您可以通过以下方式查看这些服务 ListServices

  • 已注册的容器实例数-注册到集群的容器实例的数量。这包括处于ACTIVEDRAINING状态的容器实例。

  • 正在运行的任务数-群集中处于该RUNNING状态的任务数。

  • 标签 — 您应用于集群以帮助您对其进行分类和组织的元数据。每个标签都包含一个密钥和一个可选值以以下格式列出keyvalue。你可以定义键和值。

  • 任务详情-集群中任务的详细信息。

Container

集装箱详情:

  • 容器运行时间-用于运行容器的容器运行时间(例如dockercontainerd)。

  • ID — 容器实例的容器实例 ID 或完整 ARN 条目。

  • 名称-容器的名称。

  • 图像-容器实例的映像。

  • 容器容@@ 量托架 — 容器容量安装列表。容器可以在其文件系统下装载卷。

  • 安全上下文-容器安全上下文定义容器的权限和访问控制设置。

  • 流程详细信息-描述与调查结果相关的流程的详细信息。

RDSDBInstance

rdsdBinstance 详细信息:

注意

此资源可在与数据库实例相关的 RDS Protection 调查结果中找到。

  • 数据库实例 ID-与 GuardDuty 调查结果中涉及的数据库实例关联的标识符。

  • 引擎-查找所涉及的数据库实例的数据库引擎名称。可能的值是兼容 Aurora MySQL 或兼容 Aurora PostgreSQL。

  • 引擎版本- GuardDuty 调查所涉及的数据库引擎的版本。

  • 数据库集群 ID-包含 GuardDuty 查找所涉及的数据库实例 ID 的数据库集群的标识符。

  • 数据库实例 ARN — 用于标识 GuardDuty查找中涉及的数据库实例的 ARN。

RDS 数据库 (DB) 用户详细信息

注意

本部分适用于在中启用 RDS 保护功能时的发现 GuardDuty。有关更多信息,请参阅GuardDuty RDS 保护

该 GuardDuty 发现提供了可能受感染的数据库的以下用户和身份验证详细信息。

  • 用户 — 用于进行异常登录尝试的用户名。

  • 应用程序-用于进行异常登录尝试的应用程序名称。

  • 数据库-异常登录尝试中涉及的数据库实例的名称。

  • SSL — 用于网络的安全套接字层 (SSL) 的版本。

  • 身份验证方法-参与调查的用户使用的身份验证方法。

EKS 运行时监控运行时详细信息

本节包含运行时详细信息,例如流程详细信息和任何必需的上下文。流程详细信息描述了有关观察到的进程的信息,运行时上下文描述了有关潜在可疑活动的任何其他信息。

流程细节

  • N ame — 进程的名称。

  • 可执行路径-流程可执行文件的绝对路径。

  • 可执行文件 SHA-256 — 可执行进程的SHA256哈希。

  • 命名空间 P ID — 除主机级 PID 命名空间之外的辅助 PID 命名空间中进程的进程 ID。对于容器内的进程,它是容器内观察到的进程 ID。

  • 当前工作目录-进程的当前工作目录。

  • 进程 ID — 操作系统分配给进程的 ID。

  • StartT ime — 进程启动的时间。这是 UTC 日期字符串格式 (2023-03-22T19:37:20.168Z)。

  • UUID — 分配给进程的唯一 ID GuardDuty。

  • 父 UUID — 父进程的唯一 ID。此 ID 由分配给父进程 GuardDuty。

  • 用户-执行流程的用户。

  • 用户 ID — 执行流程的用户的 ID。

  • 有效用户 ID-事件发生时流程的有效用户 ID。

  • 世系 — 有关流程祖先的信息。

    • 进程 ID — 操作系统分配给进程的 ID。

    • UUID — 分配给进程的唯一 ID GuardDuty。

    • 可执行路径-流程可执行文件的绝对路径。

    • 有效用户 ID-事件发生时流程的有效用户 ID。

    • 父 UUID — 父进程的唯一 ID。此 ID 由分配给父进程 GuardDuty。

    • 开始时间-进程开始的时间。

    • 命名空间 P ID — 除主机级 PID 命名空间之外的辅助 PID 命名空间中进程的进程 ID。对于容器内的进程,它是容器内观察到的进程 ID。

    • 用户 ID — 执行进程的用户的用户 ID。

    • N ame — 进程的名称。

运行时上下文

在以下字段中,生成的查找结果可能仅包含与查找结果类型相关的字段。

  • 装载源 — 容器在主机上装载的路径。

  • 装载目标 — 容器中映射到主机目录的路径。

  • 文件系统类型 — 表示已装载文件系统的类型。

  • 标志 — 表示控制此发现所涉及事件行为的选项。

  • 修改进程-有关运行时在容器内创建或修改二进制文件、脚本或库的进程的信息。

  • 修改时间-运行时进程在容器内创建或修改二进制文件、脚本或库的时间戳。此字段采用 UTC 日期字符串格式 (2023-03-22T19:37:20.168Z)。

  • 库路径 — 加载的新库的路径。

  • LD 预加载值-LD_PRELOAD 环境变量的值。

  • 套接字路径 — 访问的 Docker 套接字路径。

  • Runc 二进制路径runc 二进制文件的路径。

  • 发布代理路径cgroup 发行代理文件的路径。

EBS 卷扫描详细信息

注意

本部分适用于在中启用恶意软件保护功能时发现的结果 GuardDuty。有关更多信息,请参阅亚马逊的恶意软件防护 GuardDuty

EBS 卷扫描提供有关连接到可能受损的 EC2 实例或容器工作负载的 EBS 卷的详细信息。

  • 扫描 ID — 恶意软件扫描的标识符。

  • 扫描开始的日期和时间 — 恶意软件扫描的日期和时间。

  • A@@ rchive co mpleted cove copleted copleted on

  • 触发发现 ID — 启动此恶意软件扫描的 GuardDuty 发现的发现 ID。

  • 来源-可能的值为BitdefenderAmazon

  • 扫描检测-每次恶意软件扫描的详细信息和结果的完整视图。

    • 扫描的项目数-扫描的文件总数。它提供诸如totalGbfiles、和之类的详细信息volumes

    • 检测到的威胁项目数-扫描期间files检测到的恶意软件总数。

    • 最高严重性威胁详细信息-扫描期间检测到的最高严重性威胁的详细信息以及恶意文件数量。它提供诸如severitythreatName、和之类的详细信息count

    • 按名称检测到的威胁-容器元素将所有严重级别的威胁分组。它提供诸如itemCountuniqueThreatNameCountshortened、和之类的详细信息threatNames

操作

发现结果的操作详细说明了触发该发现的活动类型。可用信息因操作类型而异。

操作类型-查找活动类型。此值可以是 NETWORK _CO NNECTION、PORT_PRO BE、DNS_ REQUEST、AWS_API_CAL L 或 RDS_LOGIN_ATT ER 可用信息因操作类型而异:

  • NETWORK_ CONNECTION — 表示已识别的 EC2 实例和远程主机之间交换了网络流量。此操作类型具有以下额外信息:

    • 连接方向 — 在提示 GuardDuty 生成调查结果的活动中观察到的网络连接方向。它可以是以下值之一:

      • IN BOUND — 表示远程主机启动了与您账户中已识别的 EC2 实例上的本地端口的连接。

      • O@@ U TBOUNT — 表示已识别的 EC2 实例启动了与远程主机的连接。

      • 未知 — 表示 GuardDuty 无法确定连接方向。

    • 协议 — 在提示 GuardDuty 生成调查结果的活动中观察到的网络连接协议。

    • 本地 IP — 触发发现的流量的原始来源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查结果的流量的原始源 IP 地址。例如,EKS pod 的 IP 地址与运行 EKS pod 的实例的 IP 地址。

    • 阻塞-表示目标端口是否被阻塞。

  • P@@ ORT_PROBE — 表示远程主机在多个开放端口上探测了已识别的 EC2 实例。此操作类型具有以下额外信息:

    • 本地 IP — 触发发现的流量的原始来源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查结果的流量的原始源 IP 地址。例如,EKS pod 的 IP 地址与运行 EKS pod 的实例的 IP 地址。

    • 阻塞-表示目标端口是否被阻塞。

  • DNS_ REQUEST — 表示已识别的 EC2 实例查询了域名。此操作类型具有以下额外信息:

    • 协议 — 在提示 GuardDuty 生成调查结果的活动中观察到的网络连接协议。

    • 阻塞-表示目标端口是否被阻塞。

  • AWS_API_C ALL — 表示调用了Amazon API。此操作类型具有以下额外信息:

    • API — 被调用并因此提示生成此发现的 API 操作 GuardDuty 的名称。

      注意

      这些操作还可以包括捕获的非 API 事件Amazon CloudTrail。有关更多信息,请参阅捕获的非 API 事件 CloudTrail

    • 用户代理 — 发出 API 请求的用户代理。此值告诉您调用是从Amazon Web Services Management Console、Amazon服务、SAmazon DK 还是Amazon CLI。

    • 错误代码 — 如果查找结果是由失败的 API 调用触发的,则会显示该调用的错误代码。

    • 服务名称 — 尝试进行触发调查结果的 API 调用的服务的 DNS 名称。

  • RDS_LOGIN_ ATTEPTION — 表示有人尝试从远程 IP 地址登录可能受感染的数据库。

    • IP 地址 — 用于进行潜在可疑登录尝试的远程 IP 地址。

恶意软件保护结果详细信息

注意

本部分适用于在中启用恶意软件保护功能时发现的结果 GuardDuty。有关更多信息,请参阅亚马逊的恶意软件防护 GuardDuty

当恶意软件防护扫描检测到恶意软件时,您可以通过在 https://console.aws.amazon.com/guardduty/ 控制台的 “发现” 页面上选择相应的发现结果来查看扫描详细信息。恶意软件保护发现的严重性取决于 GuardDuty发现的严重性。

注意

GuardDutyFindingDetected标签指定快照包含恶意软件。

以下信息可在详细信息面板的 “检测到的威胁” 部分下找到。

  • 名称 — 威胁的名称,通过检测对文件进行分组获得。

  • 严重性-检测到的威胁的严重程度。

  • 哈希 — 文件的 SHA-256。

  • 文件路径 — 恶意文件在 EBS 卷中的位置。

  • 文件名称 — 检测到威胁的文件的名称。

  • 卷 ARN — 已扫描的 EBS 卷的 ARN。

以下信息位于详细信息面板的恶意软件扫描详细信息部分下。

  • 扫描 ID — 恶意软件扫描的扫描 ID。

  • 扫描开始的日期和时间 — 扫描开始的日期和时间。

  • A@@ rchive co mpleted on copleted copleted on

  • 扫描的文件-扫描的文件和目录的总数。

  • 扫描的总容量 GB-在此过程中扫描的存储量。

  • 触发器发现 ID — 启动此恶意软件扫描的 GuardDuty 发现的发现 ID。

  • 以下信息位于详细信息面板的音量详细信息部分下。

    • 卷 ARN — 卷的亚马逊资源名称(ARN)。

    • SnapshotArn — EBS 卷快照的 ARN。

    • 状态 — 卷的扫描状态,例如RunningSkipped、和Completed

    • 加密类型-用于加密卷的加密类型。例如,CMCMK

    • 设备名称 — 设备名称。例如,/dev/xvda

演员或目标

如果资源角色是,则发现会显示 “Acto r” 部分TARGET。这表明您的资源已成为可疑活动的目标,并且 “Acto r” 部分包含有关针对您的资源的实体的详细信息。

如果资源角色是,则发现结果具有目标部分ACTOR。这表明您的资源参与了针对远程主机的可疑活动,本节包含有关您的资源所针对的 IP 或域的信息。

演员” 或 “目标” 部分中提供的信息可以包括以下内容:

  • 关联 —有关远程 API 调用者的Amazon帐户是否与您的 GuardDuty 环境相关的详细信息。如果此值为true,则 API 调用者以某种方式关联到您的账户;如果是false,则 API 调用者来自您的环境之外。

  • 远程账户 ID — 拥有用于访问最终网络资源的出口 IP 地址的账户 ID。

  • IP 地址 — 提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址。

  • 位置 — 提示 GuardDuty 生成调查结果的活动所涉的 IP 地址的位置信息。

  • 组织 — 提示 GuardDuty 生成调查结果的活动所涉的 IP 地址的 ISP 组织信息。

  • 端口 — 提示 GuardDuty 生成查找结果的活动所涉及的端口号。

  • — 提示 GuardDuty 生成查找结果的活动所涉及的域。

其他信息

所有调查结果都有 “附加信息” 部分,其中可以包含以下信息:

  • 威胁列表名称 — 威胁列表的名称,其中包括提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址或域名。

  • 示例-一个真值还是假值,表示这是否是样本发现。

  • 已存档 — 一个真值或错误值,表示此查找结果是否已存档。

  • 异常-历史上未观察到的活动细节。其中可能包括不寻常(以前未观察到的)用户、位置、时间、存储桶、登录行为或 ASN 组织。

  • 异常协议-提示 GuardDuty 生成调查结果的活动所涉及的网络连接协议。

  • 代理详细信息 — 有关当前部署在您的 EKS 集群上的安全代理的详细信息Amazon Web Services 账户。这仅适用于 EKS 运行时监控查找类型。

    • 代理版本- GuardDuty 安全代理的版本。

    • 代理 ID — GuardDuty 安全代理的唯一标识符。

证据

基于威胁情报的调查结果有一个 “证据” 部分,其中包括以下信息:

  • 威胁情报详细信息 — 识别出的威胁列表的名称Threat name出现在该列表中。

  • 威胁名称-与威胁相关的恶意软件家族的名称或其他标识符。

异常行为

结尾的发现类型AnomalousBehavior表示该发现是由 GuardDuty 异常检测机器学习 (ML) 模型生成的。机器学习模型会评估向您的账户发送的所有 API 请求,并识别与对手使用的战术相关的异常事件。机器学习模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。

有关调用请求的 CloudTrail 用户身份而言,API 请求的哪些因素异常的详细信息可以在查找详细信息中找到。身份由 CloudTrail UserIdentity 元素定义,可能的值为:RootIAMUserAssumedRoleFederatedUserAWSAccount、或AWSService

除了与 API 活动相关的所有 GuardDuty 发现的可用详细信息外,AnomalousBehavior调查结果还有其他详细信息,将在下一节中概述。这些详细信息可以在控制台中查看,也可以在调查结果的 JSON 中找到。

  • 异常 API — 用户身份在与调查结果相关的主 API 请求附近调用的 API 请求列表。此窗格通过以下方式进一步细分 API 事件的详细信息。

    • 列出的第一个 API 是主要 API,它是与风险最高的观测活动相关的 API 请求。这是触发查找结果的 API,与查找类型的攻击阶段相关联。这也是控制台的 “操作” 部分和调查结果的 JSON 中详细介绍的 API。

    • 列出的任何其他 API 都是在主 API 附近观察到的来自所列用户身份的额外异常 API。如果列表中只有一个 API,则机器学习模型不会将来自该用户身份的任何其他 API 请求识别为异常。

    • API 列表根据 API 是否成功调用,或者调用 API 是否失败(即收到了错误响应)进行划分。收到的错误响应的类型列在每个调用失败的 API 上方。可能的错误响应类型为:access deniedaccess denied exceptionauth failureinstance limit exceededinvalid permission - duplicateinvalid permission - not found、和operation not permitted

    • API 按其关联服务进行分类。

    注意

    如需了解更多背景信息,请选择 Historical API 以查看有关顶级 API 的详细信息,最多 20 个,通常适用于用户身份和账户内所有用户。这些 API 标记为稀有(每月少于一次)、不频繁(每月几次)频繁(每天到每周),具体取决于它们在您的账户中的使用频率。

  • 异常行为(账户)— 本部分提供有关您的账户的已分析行为的更多详细信息。此面板中跟踪的信息包括:

    • ASN 组织 — 发出异常 API 调用的 ASN 组织。

    • 用户名 — 进行异常 API 调用的用户的名称。

    • 用户代理 — 用于进行异常 API 调用的用户代理。用户代理是用于进行调用的方法,例如aws-cliBotocore

    • 用户类型 — 进行异常 API 调用的用户类型。可能的值是AWS_SERVICEASSUMED_ROLEIAM_USER、或ROLE

    • 存储桶 —正在访问的 S3 存储桶的名称。

  • 异常行为(用户身份)— 本节提供了有关调查结果所涉及的用户身份的概要行为的更多详细信息。当某项行为未被识别为历史行为时,这意味着 GuardDuty ML 模型在训练期内之前没有看到此用户身份以这种方式进行此 API 调用。以下有关用户身份的其他详细信息可用:

    • ASN 组织 — 发出异常 API 调用的 ASN 组织。

    • 用户代理 — 用于进行异常 API 调用的用户代理。用户代理是用于进行调用的方法,例如aws-cliBotocore

    • 存储桶 —正在访问的 S3 存储桶的名称。

  • 异常行为(存储桶)— 本节提供有关与调查结果相关的 S3 存储桶的分析行为的更多详细信息。当某个行为未被识别为历史行为时,这意味着 GuardDuty ML 模型在训练期内之前没有看到过以这种方式对该存储段进行的 API 调用。本节中跟踪的信息包括:

    • ASN 组织 — 发出异常 API 调用的 ASN 组织。

    • 用户名 — 进行异常 API 调用的用户的名称。

    • 用户代理 — 用于进行异常 API 调用的用户代理。用户代理是用于进行调用的方法,例如aws-cliBotocore

    • 用户类型 — 进行异常 API 调用的用户类型。可能的值是AWS_SERVICEASSUMED_ROLEIAM_USER、或ROLE

    注意

    要了解有关历史行为的更多背景信息,请在 “异常行为(账户)用户 ID存储桶” 部分中选择 “历史行为”,查看您的账户中以下每个类别的预期行为的详细信息:罕见(每月少于一次)、不频繁(每月几次)频繁(每天到每周),具体取决于您的账户中使用这些行为的频率。

  • 异常行为(数据库)-本节提供有关与查找结果相关的数据库实例的概要行为的更多详细信息。如果某一行为未被识别为历史行为,则表示 GuardDuty 机器学习模型在训练期内以前从未尝试过以这种方式登录该数据库实例。在查找结果面板中跟踪的此部分的信息包括:

    • 用户名 — 用于进行异常登录尝试的用户名。

    • ASN 组织 — 进行异常登录尝试的 ASN 组织。

    • 应用程序名称-用于进行异常登录尝试的应用程序名称。

    • 数据库名称-异常登录尝试中涉及的数据库实例的名称。

    注意

    历史行为部分提供了有关先前观察到的关联数据库的用户名ASN 组织应用程序名称数据库名称的更多背景信息。每个唯一值都有一个关联的计数,表示在成功登录事件中观察到该值的次数。

S3 基于卷的异常

本节详细介绍了基于 S3 卷的异常的上下文信息。基于容量的查找结果 (Exfiltration:S3/AnomalousBehavior) 可监控用户对 S3 存储桶进行的 S3 API 调用次数是否异常,这表明存在潜在的数据泄露情况。监控以下 S3 API 调用,以进行基于容量的异常检测。

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

以下指标将有助于为 IAM 实体访问 S3 存储桶时的常规行为建立基准。为了检测数据泄露,基于容量的异常检测发现会根据通常的行为基线评估所有活动。在 “异常行为(用户身份)”、“观察到的数量(用户身份)” 和 “观察到的数量(存储桶)” 部分中选择 “历史行为”,分别查看以下指标。

  • 过去 24 小时内用户对受影响的 S3 存储桶调用的s3-api-name API 调用次数。

  • 过去 24 小时内用户在所有 S3 存储段上调用的s3-api-name API 调用次数。

  • 过去 24 小时内所有用户对受影响的 S3 存储桶的s3-api-name API 调用次数。

基于 RDS 登录活动的异常

本部分详细说明了不寻常的行为者执行的登录尝试次数,并按登录尝试的结果分组。通过监视登录事件中是否有successfulLoginCountfailedLoginCount和的异常模式来RDS 保护查找类型识别异常行为incompleteConnectionCount

  • successfulLoginCount— 此计数器表示异常操作者与数据库实例建立的成功连接(登录属性的正确组合)的总和。登录属性包括用户名、密码和数据库名称。

  • failedLoginCount— 此计数器表示为建立与数据库实例的连接而进行的失败(不成功)登录尝试的总和。这表示登录组合的一个或多个属性,例如用户名、密码或数据库名称,不正确。

  • incompleteConnectionCount— 此计数器表示无法归类为成功或失败的连接尝试次数。在数据库提供响应之前,这些连接将被关闭。例如,端口扫描,其中连接了数据库端口,但没有向数据库发送任何信息,或者连接在成功或失败的尝试中在登录完成之前中止。