查找详细信息 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查找详细信息

在 Amazon GuardDuty 控制台中,您可以在调查结果摘要部分查看查找详细信息。查找详细信息因查找类型而异。

有两类主要详细信息,用于确定哪些类型的信息可用于任何调查结果。第一个是资源类型,可以是AccessKey,或者Instance。确定查找信息的第二个细节是资源角色。资源角色,可以是Target,这意味着该资源是可疑活动的目标。例如,资源角色也可以是Actor,这意味着您的资源是执行可疑活动的角色。本主题介绍了调查结果的一些常见详细信息。

调查结果摘要

调查结果的摘要部分包含查找结果的最基本的标识功能,包括以下信息:

  • 结果类型— 表示触发调查结果的活动类型的格式化字符串。有关更多信息,请参阅 GuardDuty 调查结果格式

  • 结果 ID— 此调查结果类型和参数集的唯一调查结果 ID。与此模式匹配的新活动实例将聚合到同一 ID 中。

  • 严重性— 调查结果分配的严重性等级,可以为 High、Medium 或 Low。有关更多信息,请参阅 GuardDuty 结果的严重性级别

  • 区域—Amazon在其中生成调查结果的区域。有关支持的区域的更多信息,请参阅区域和终端节点

  • 计数— GuardDuty 聚合与此调查结果 ID 匹配的活动的次数。

  • 账户 ID— 调查结果的 IDAmazonAccount (帐户) 在其中发生的活动促使 GuardDuty 生成此结果。

  • Resource ID (资源 ID)— 调查结果的 IDAmazon资源,该资源促使 GuardDuty 生成此结果。

  • 在创建― 首次创建此调查结果的时间和日期。如果此值与更新时间,则表示该活动已多次发生,是一个持续的问题。

    注意

    GuardDuty 控制台中结果的时间戳采用您的本地时区显示,而 JSON 导出和 CLI 输出则显示采用 UTC 表示的时间戳。

  • 更新时间— 上次使用与促使 GuardDuty 生成此结果的模式匹配的新活动更新此调查结果的时间。

    注意

    GuardDuty Tat 控制台中结果的时间戳采用您的本地时区显示,而 JSON 导出和 CLI 输出则显示采用 UTC 表示的时间戳。

Resource

这些区域有:受影响的资源给出了有关AmazonResource (触发活动所针对的资源。可用信息因资源类型和操作类型而异。

资源角色—AmazonResource (资源) 触发调查结果。该值可以是TARGET或者演员,并表示您的资源是可疑活动的目标还是执行可疑活动的参与者。

资源类型— 受影响的资源的类型。该值为AccessKeyS3 bucket或者实例。根据资源类型,可提供不同的查找结果详细信息。选择资源选项选项卡以了解可用于该资源的详细信息。

Instance

实例详细信息:

注意

如果实例已终止,或者在进行跨区域 API 调用时,基础 API 调用源自不同区域中的 EC2 实例,则可能会丢失某些实例详细信息。

  • 实例 ID— 促使 GuardDuty 生成结果的活动所涉及 EC2 实例的 ID。

  • 实例类型— 调查结果中涉及的 EC2 实例的类型。

  • 启动时间— 启动实例的时间和日期。

  • Outpost ARN— 的 Amazon 资源名称 (ARN)Amazon Outposts。仅适用于Amazon Outpostss Instance (实例)。有关更多信息,请参阅什么是 Amazon Outposts?

  • 安全组名称— 附加到涉及实例的安全组的名称。

  • 安全组 ID— 附加到涉及实例的安全组的 ID。

  • 实例状态— 目标实例的当前状态。

  • 可用区—Amazon涉及实例所在的区域可用区。

  • 映像 ID— 用于构建活动中涉及的实例的 Amazon 系统映像 ID。

  • 图片描述— 用于构建活动中涉及的实例的 Amazon 系统映像 ID 的描述。

  • 标签— 附加到此资源的标签列表,格式为keyvalue

Access Key

访问密钥详细信息:

  • 访问密钥 ID― 访问促使 GuardDuty 生成结果的活动中的用户的密钥 ID。

  • 委托人 ID— 参与到促使 GuardDuty 生成结果的活动中的用户的委托人 ID。

  • 用户类型― 促使 GuardDuty 生成结果的活动参与到促使 GuardDuty 生成结果的用户的类型。有关更多信息,请参阅 CloudTrail userIdentity 元素

  • 用户名— 参与到促使 GuardDuty 生成结果的活动中的用户的名称。

S3 bucket

S3 存储桶详细信息:

  • 名称— 调查结果中涉及的存储桶的名称。

  • 进行筛选— 调查结果中涉及的存储桶的 ARN。

  • 所有者— 拥有调查结果中涉及的存储桶的用户的规范用户 ID。有关规范用户 ID 的更多信息,请参阅Amazon账户标识符

  • 类型— 存储桶调查结果的类型,可以是目的地或者

  • 默认服务器端加密— 存储桶的加密详细信息。

  • 存储桶标签— 附加到此资源的标签列表,格式为keyvalue

  • 有效的权限— 评估存储桶上的所有有效权限和策略,指示涉及的存储桶是否公开。值可以是公共值,也可以是非公共值。

Action

调查结果的 Action (操作) 提供了触发调查结果的活动类型的详细信息。可用信息因操作类型而异。

  • 操作类型— 调查结果活动类型。该值可以是网络连接端口探测器请求,或者AWS_API_ 呼叫。可用信息因操作类型而异:

    • 网络连接— 指示标识的 EC2 实例与远程主机之间交换的网络流量。此操作类型具有以下附加信息:

      • 连接方向— 在促使 GuardDuty 生成结果的活动中观察到的网络连接方向。它可以是以下值之一:

        • 入站— 指示远程主机已在您的账户中发起与标识的 EC2 实例上的本地端口的连接。

        • 出站— 指示标识的 EC2 实例已发起与远程主机的连接。

        • UNKNOWN— 指示 GuardDuty 无法确定连接的方向。

      • 协议— 在促使 GuardDuty 生成结果的活动中观察到的网络连接协议。

      • 本地 IP— 触发调查结果的流量的原始源 IP。此信息可用于区分流量流经的中间层的 IP 地址与触发调查结果的流量的原始源 IP 地址。例如,EKS pod 的 IP 地址与运行 EKS pod 的实例的 IP 地址。

      • 阻止— 指示目标端口是否被阻止。

    • 端口探测器— 指示远程主机在多个开放端口上探测标识的 EC2 实例。此操作类型具有以下附加信息:

      • 本地 IP— 触发调查结果的流量的原始源 IP。此信息可用于区分流量流经的中间层的 IP 地址与触发调查结果的流量的原始源 IP 地址。例如,EKS pod 的 IP 地址与运行 EKS pod 的实例的 IP 地址。

      • 阻止— 指示目标端口是否被阻止。

    • 请求— 指示标识的 EC2 实例已查询域名。此操作类型具有以下附加信息:

      • 协议— 在促使 GuardDuty 生成结果的活动中观察到的网络连接协议。

      • 阻止— 指示目标端口是否被阻止。

    • AWS_API_ 呼叫— 表示Amazon调用 API。此操作类型具有以下附加信息:

      • API— 调用的 API 操作的名称,该操作促使 GuardDuty 生成此结果。

        注意

        这些操作也可能包括由Amazon CloudTrail。有关更多信息,请参阅 。由 CloudTrail 捕获的非 API 事件

      • 错误代码-如果查找结果是由失败的 API 调用触发的,则会显示该调用的错误代码。

      • Service name (服务名称)— 试图调用触发调查结果的 API 的服务的 DNS 名称。

角色或目标

一个发现有一个角色部分,如果资源角色TARGET。这表示您的资源是可疑活动的目标,并且角色部分包含有关针对您的资源的实体的详细信息。

一个发现有一个目标部分,如果资源角色ACTOR。这表示您的资源参与了针对远程主机的可疑活动,该部分包含有关您的资源所针对的 IP 或域的信息。

可在角色或者目标部分中可以包含以下内容:

  • IP 地址— 促使 GuardDuty 生成结果的活动所涉及的 IP 地址。

  • 位置— 促使 GuardDuty 生成结果的活动所涉及 IP 地址的位置信息。

  • 组织— 促使 GuardDuty 生成结果的活动所涉及 IP 地址的 ISP 组织信息。

  • 端口― 促使 GuardDuty 生成结果的活动所涉及的端口号。

  • — 促使 GuardDuty 生成结果的活动所涉及的域。

其他信息

所有结果的都是其他信息部分,包括以下信息:

  • 威胁列表名称— 威胁列表的名称,其中包括促使 GuardDuty 生成调查结果的活动中所涉及的 IP 地址或域名。

  • 示例— 一个 true 或 false 值,指示此项否为示例调查结果。

  • 已存档— 一个 true 或 false 值,指示此调查结果是否已存档。

  • 不寻常的― 过去未观察到的活动详细信息。其中可能包括不寻常的 (以前没有观察到的) 用户、位置或时间。

  • 不寻常的协议— 促使 GuardDuty 生成结果的活动所涉及的网络连接协议。

Evidence

基于 DNS 日志的调查结果具有证据部分,包括以下信息:

  • 威胁情报详细信息― 已识别的威胁列表的名称Threat name此时会显示在上。

  • 威胁名称― 与威胁关联的恶意软件系列的名称或其他标识符。

异常行为

结尾的查找结果类型异常行为表示该调查结果是由 GuardDuty 异常检测机器学习 (ML) 模型生成的。ML 模型评估对您账户的所有 API 请求,并识别与敌人使用的战术相关联的异常事件。ML 模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。

有关 API 请求的哪些因素对于调用请求的 CloudTrail 用户身份不寻常的详细信息,请参阅查找详细信息。这些身份由CloudTrail userIdentity 元素,可能的值包括:RootIAMUserAssumedRoleFederatedUserAWSAccount或者AWSService

除了与 API 活动相关联的所有 GuardDuty 调查结果的详细信息外,异常行为调查结果具有以下附加详细信息。这些详细信息可以在控制台中查看,也可以在查找结果的 JSON 中查看。

  • 异常 API— 用户身份在与查找结果关联的主 API 请求附近调用的 API 请求的列表。此窗格通过以下方式进一步细分 API 事件的详细信息:

    • 列出的第一个 API 是主 API,它是与观察到的最高风险活动相关联的 API 请求。这是触发查找结果并与查找类型的攻击阶段相关的 API。这也是在操作部分,以及查找结果的 JSON 中。

    • 列出的任何其他 API 都是在主 API 附近观察到的列出用户身份的额外异常 API。如果列表中只有一个 API,则 ML 模型不会将来自该用户身份的任何其他 API 请求识别为异常。

    • API 列表根据 API 是否成功调用,或者如果 API 调用失败,意味着收到错误响应。收到的错误响应类型在每个不成功调用的 API 上方列出。可能的错误响应类型包括:access deniedaccess denied exceptionauth failureinstance limit exceededinvalid permission - duplicateinvalid permission - not foundoperation not permitted

    • API 按照其关联的服务进行分类。

    注意

    有关更多上下文,请选择通常的 API打开一个窗格,提供顶级 API 的详细信息,最多可达 20 个,通常用于用户身份和帐户内的所有用户。这些 API 被标记为罕见(每月不到一次),不经常(每月几次),或频繁(每天到每周),具体取决于您的帐户内使用它们的频率。

  • 异常行为(帐户)— 此部分提供了有关您账户的分析行为的其他详细信息。此面板中跟踪的信息包括:

    • ASN 组织— 已发起异常 API 调用的 ASN 组织。

    • 用户名称— 已发出异常 API 调用的用户的名称。

    • 用户代理― 用于进行异常 API 调用的用户代理。用户代理是用于进行调用的方法,例如aws-cli或者Botocore

    • 用户类型— 进行异常 API 调用的用户类型。可能的值包括AWS_SERVICEASSUMED_ROLEIAM_USER,或者ROLE

  • 异常行为(用户身份)— 本节提供了有关用户身份参与调查结果。当某个行为被识别为异常时,这意味着 GuardDuty 的 ML 模型以前没有看到此用户身份,以此方式在培训期间进行此 API 调用。以下有关用户身份可用:

    • ASN 组织— 发起异常 API 调用的 ASN 组织。

    • 用户代理― 用于进行异常 API 调用的用户代理。用户代理是用于进行调用的方法,例如aws-cli或者Botocore

    注意

    有关异常行为的更多上下文,请选择通常的行为账户或者User ID (用户 ID)面板打开一个窗格,该窗格提供有关以下每个类别的预期行为的详细信息:罕见(每月不到一次),不经常(每月几次),或频繁(每天到每周),具体取决于您的帐户内使用它们的频率。