本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
结果详细信息
GuardDuty RDS 保护现已推出预览版。您对 RDS 保护功能的使用受Amazon服务条款 |
在亚马逊 GuardDuty 控制台中,您可以在 “查找摘要” 部分查看查找详情。查找详情因查找类型而异。
有两个主要细节决定了哪种信息可用于任何发现。第一种是资源类型,可以是Instance
AccessKey
、S3Bucket
、Kubernetes cluster
、ECS
cluster
Container
、或RDSDBInstance
。决定查找信息的第二个细节是资源角色。资源角色可以是Target
访问密钥,这意味着该资源是可疑活动的目标。例如,类型发现,也可以是资源角色Actor
,这意味着你的资源是进行可疑活动的参与者。本主题介绍了结果的一些常见详细信息。
结果摘要
调查结果的摘要部分包含调查结果的最基本的识别特征,包括以下信息:
-
账户 ID — 提示 GuardDuty 生成此调查结果的活动发生地Amazon账户的 ID。
-
计数 — 将匹配此模式的活动汇总到此查找结果 ID 的次 GuardDuty 数。
-
创建时间-首次创建此发现的时间和日期。如果此值与 Up dated at 不同,则表示该活动已多次发生,并且是一个持续存在的问题。
注意 GuardDuty 控制台中发现结果的时间戳以您的本地时区显示,而 JSON 导出和 CLI 输出以 UTC 显示时间戳。
-
查找结果 ID-此查找类型和一组参数的唯一标识符。与此模式匹配的新活动实例将聚合到同一 ID 中。
-
查找类型-表示触发查找结果的活动类型的格式化字符串。有关更多信息,请参阅 GuardDuty 查找格式。
-
区域-生成调查结果的Amazon区域。有关支持的区域的更多信息,请参阅区域和终端节点。
-
资源 ID — 提示生成此调查结果的活动所依据 GuardDuty 的Amazon资源的 ID。
-
扫描 ID — 适用于启用 GuardDuty 恶意软件保护时的发现,这是恶意软件扫描的标识符,该扫描在连接到可能受感染的 EC2 实例或容器工作负载的 EBS 卷上运行。有关更多信息,请参阅 恶意软件保护结果详细信息。
-
严重性 — 为调查结果分配的严重性级别为 “高”、“中” 或 “低”。有关更多信息,请参阅 GuardDuty 调查结果的严重性级别。
-
更新时间 — 上次使用与提示 GuardDuty生成此发现的模式相匹配的新活动更新此发现的时间。
资源
受影响的资源提供了有关启动活动所针对的Amazon资源的详细信息。可用信息因资源类型和操作类型而异。
资源角色-发起调查结果的Amazon资源的角色。此值可以是 TA RGET 或 ACTOR,它表示您的资源是可疑活动的目标还是执行可疑活动的参与者。
资源类型-受影响资源的类型。如果涉及多个资源,则调查结果可能包括多种资源类型。资源类型为 Instanc e AccessKey、S3Bucket KubernetesCluster、ecsCluster、Conta iner 和 rdsdbInst ance。根据资源类型,有不同的查找细节可用。选择资源选项选项卡以了解该资源的可用详细信息。
RDS 数据库 (DB) 用户详细信息
本部分适用于您在中启用 RDS 保护功能时的发现 GuardDuty。有关更多信息,请参阅 GuardDuty RDS 保护。
该 GuardDuty 发现提供了可能遭到入侵的数据库的以下用户和身份验证详细信息。
-
用户-用于进行异常登录尝试的用户名。
-
应用程序-用于进行异常登录尝试的应用程序名称。
-
数据库-参与异常登录尝试的数据库实例的名称。
-
SSL — 用于网络的安全套接字层 (SSL) 版本。
-
身份验证方法-参与调查的用户使用的身份验证方法。
EBS 卷扫描详细信息
本部分适用于在中启用 “恶意软件防护” 功能时的发现 GuardDuty。有关更多信息,请参阅 亚马逊的恶意软件防护 GuardDuty。
EBS 卷扫描提供有关连接到可能受损的 EC2 实例或容器工作负载的 EBS 卷的详细信息。
-
扫描 ID — 恶意软件扫描的标识符。
-
扫描开始于-恶意软件扫描开始的日期和时间。
-
扫描完成时间)— 恶意软件扫描完成时间)— 恶意软件扫描完成的日期和时间。
-
触发查找结果 ID — 启动此恶意软件扫描的 GuardDuty 发现结果的发现 ID。
-
来源-可能的值为
Bitdefender
和Amazon
。 -
扫描检测-每次恶意软件扫描的详细信息和结果的完整视图。
-
已扫描的项目数-已扫描文件的总数。它提供诸如
totalGb
files
、和之类的详细信息volumes
。 -
检测到的威胁项目数-扫描期间
files
检测到的恶意软件总数。 -
严重程度最高的威胁详细信息-扫描期间检测到的最高严重性威胁的详细信息以及恶意文件数量。它提供诸如
severity
threatName
、和之类的详细信息count
。 -
按名称检测到的威胁-对所有严重级别的威胁进行分组的容器元素。它提供诸如
itemCount
、uniqueThreatNameCount
shortened
、和之类的详细信息threatNames
。
-
操作
调查结果的操作提供了有关触发调查结果的活动类型的详细信息。可用信息因操作类型而异。
操作类型-查找活动类型。此值可以是 NETWOR K_ CONNECTION、PORT_P ROBE、DNS_ REQUEST、AWS_API_CAL L 或 RDS_LOGIN_ATT RIP 可用信息因操作类型而异:
-
NETWORK_ CONNECTION — 表示已识别的 EC2 实例和远程主机之间交换了网络流量。此操作类型具有以下额外信息:
-
连接方向-在提示 GuardDuty 生成调查结果的活动中观察到的网络连接方向。它可以是以下值之一:
-
IN BOUND — 表示远程主机启动了与您账户中已识别的 EC2 实例上的本地端口的连接。
-
O@@ U TBUND — 表示已识别的 EC2 实例启动了与远程主机的连接。
-
UN KNO GuardDuty WN — 表示无法确定连接方向。
-
-
协议 — 在提示 GuardDuty 生成调查结果的活动中观察到的网络连接协议。
-
本地 IP — 触发查找结果的流量的原始源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查结果的流量的原始源 IP 地址。例如,EKS pod 的 IP 地址与运行 EKS pod 的实例的 IP 地址。
-
已阻止-表示目标端口是否被阻止。
-
-
PORT_PROBE — 表示远程主机在多个开放的端口上探测了已识别的 EC2 实例。此操作类型具有以下额外信息:
-
本地 IP — 触发查找结果的流量的原始源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查结果的流量的原始源 IP 地址。例如,EKS pod 的 IP 地址与运行 EKS pod 的实例的 IP 地址。
-
已阻止-表示目标端口是否被阻止。
-
-
DNS_ REQUEST — 表示已识别的 EC2 实例查询了域名。此操作类型具有以下额外信息:
-
协议 — 在提示 GuardDuty 生成调查结果的活动中观察到的网络连接协议。
-
已阻止-表示目标端口是否被阻止。
-
-
AWS_API_C ALL — 表示已调用了Amazon API。此操作类型具有以下额外信息:
-
API — 被调用并因此提示生成此发现的 API 操作 GuardDuty 的名称。
注意 这些操作还可能包括捕获的非 API 事件Amazon CloudTrail。有关更多信息,请参阅捕获的非 API 事件 CloudTrail。
-
用户代理-发出 API 请求的用户代理。此值告诉您调用是来自Amazon Web Services Management Console、Amazon服务、SAmazon DK 还是Amazon CLI。
-
错误代码 — 如果发现是由失败的 API 调用触发的,则会显示该调用的错误代码。
-
服务名称-尝试进行触发发现的 API 调用的服务的 DNS 名称。
-
-
RDS_LOGIN_ ATTIMENT — 表示有人尝试从远程 IP 地址登录到可能遭到入侵的数据库。
-
IP 地址-用于进行潜在可疑登录尝试的远程 IP 地址。
-
恶意软件保护结果详细信息
本部分适用于在中启用 “恶意软件防护” 功能时的发现 GuardDuty。有关更多信息,请参阅 亚马逊的恶意软件防护 GuardDuty。
当恶意软件保护扫描检测到恶意软件时,您可以在 https://console.aws.amazon.com/guardduty/
该GuardDutyFindingDetected
标签指定快照包含恶意软件。
以下信息可在详细信息面板的 “检测到的威胁” 部分下找到。
-
名称 — 威胁的名称,通过检测对文件进行分组获得。
-
严重性-检测到的威胁的严重性。
-
哈希 — 文件的 SHA-256。
-
文件路径-恶意文件在 EBS 卷中的位置。
-
文件名称 — 检测到威胁的文件名称。
-
卷 ARN — 扫描的 EBS 卷的 ARN。
以下信息可在详细信息面板的 “恶意软件扫描详细信息” 部分下找到。
-
扫描 ID — 恶意软件扫描的扫描 ID。
-
扫描开始于-扫描开始的日期和时间。
-
扫描完成时间)— 扫描完成时间)— 扫描完成时间)— 扫描完成时间)— 扫描完成的日期和时间。
-
已扫描的文件-已扫描文件和目录的总数。
-
已扫描的总容量-在此过程中扫描的存储量。
-
触发查找 ID — 启动此恶意软件扫描的 GuardDuty 发现结果的发现 ID。
-
以下信息可在详细信息面板的 “卷详细信息” 部分下找到。
-
卷 ARN — 卷的 Amazon 资源名称(ARN)— 卷的 Amazon 资源名称(ARN)
-
SnapshotArn — EBS 卷快照的 ARN。
-
状态 — 卷的扫描状态,例如
Running
Skipped
、和Completed
。 -
加密类型-用于加密卷的加密类型。例如,
CMCMK
。 -
设备名称 — 设备名称。例如,
/dev/xvda
。
-
演员或目标
如果资源角色是,则搜索结果有 “参与者” 部分TARGET
。这表明您的资源已成为可疑活动的目标,Act or 部分包含有关以您的资源为目标的实体的详细信息。
如果资源角色是,则搜索结果具有 “目标” 部分ACTOR
。这表明您的资源参与了针对远程主机的可疑活动,本部分包含有关您的资源所针对的 IP 或域的信息。
“参与者” 或 “目标” 部分中提供的信息可能包括以下内容:
-
附属关系 — 有关远程 API 调用者的Amazon帐户是否与您的 GuardDuty 环境相关的详细信息。如果此值为
true
,则 API 调用者以某种方式关联到您的账户;如果是false
,API 调用者来自您的环境外部。 -
远程帐户 ID — 拥有用于在最终网络上访问资源的出口 IP 地址的账户 ID。
-
IP 地址 — 提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址。
-
位置 — 提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址的位置信息。
-
组织 — 提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址的 ISP 组织信息。
-
端口 — 提示 GuardDuty 生成调查结果的活动中涉及的端口号。
-
域 — 提示 GuardDuty 生成调查结果的活动所涉及的域。
其他信息
所有调查结果都有 “附加信息” 部分,其中可以包含以下信息:
-
威胁列表名称-威胁列表的名称,其中包括提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址或域名。
-
样本 — 一个真值或假值,表示这是否是样本结果。
-
已存档 — 一个真值或假值,表示此调查结果是否已存档。
-
不寻常 — 历史上未观察到的活动细节。这可能包括异常(以前未观察到的)用户、位置、时间、存储段或登录行为。
-
异常协议 — 提示 GuardDuty 生成调查结果的活动中涉及的网络连接协议。
证据
基于 DNS 日志的调查结果有 “证据” 部分,其中包含以下信息:
-
威胁情报详情-识别
Threat name
出的威胁列表的名称。 -
威胁名称-与威胁相关的恶意软件家族的名称或其他标识符。
异常行为
以结尾的发现类型AnomalousBehavior表明该发现是由 GuardDuty 异常检测机器学习 (ML) 模型生成的。机器学习模型会评估向您的账户发出的所有 API 请求,并识别与对手使用的策略相关的异常事件。ML 模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及所请求的特定 API。
有关调用请求的 CloudTrail 用户身份的 API 请求的哪些因素不寻常的详细信息,可以在调查结果详细信息中找到。身份由 CloudTrail userIdentity 元素定义,可能的值为:Root
IAMUser
、AssumedRole
、FederatedUser
、AWSAccount
、或AWSService
。
除了与 API 活动相关的所有 GuardDuty 调查结果的可用详细信息外,AnomalousBehavior调查结果还有其他详细信息,将在下一节中概述。这些详细信息可以在控制台中查看,也可以在调查结果的 JSON 中找到。
-
异常 API — 由用户身份在与调查结果相关的主 API 请求附近调用的 API 请求列表。此窗格通过以下方式进一步细分了 API 事件的详细信息。
-
列出的第一个 API 是主 API,即与风险最高的观察活动相关的 API 请求。这是触发发现的 API,与发现类型的攻击阶段相关联。这也是控制台的 “操作” 部分和调查结果的 JSON 中详细介绍的 API。
-
列出的任何其他 API 都是在主 API 附近观察到的来自所列用户身份的其他异常 API。如果列表中只有一个 API,则 ML 模型不会将来自该用户身份的任何其他 API 请求识别为异常。
-
API 列表根据 API 是否成功调用,或者是否成功调用 API 来划分,这意味着收到了错误响应。收到的错误响应类型列在每个调用失败的 API 的上方。可能的错误响应类型有:
access denied
access denied exception
auth failure
、instance limit exceeded
、invalid permission - duplicate
、invalid permission - not found
、和operation not permitted
。 -
API 按其关联服务进行分类。
注意 要了解更多背景信息,请选择历史 API 以查看有关排名靠前 API 的详细信息,最多 20 个,通常同时显示用户身份和账户内所有用户。这些 API 被标记为稀有(每月少于一次)、不频繁(每月几次)或频繁(每天到每周),具体取决于它们在您的账户中的使用频率。
-
-
异常行为(账户)— 本部分提供有关您的账户所描述行为的更多详细信息。此面板中跟踪的信息包括:
-
ASN 组织 — 发出异常 API 调用的 ASN 组织。
-
用户名 — 进行异常 API 调用的用户的名称。
-
用户代理-用于进行异常 API 调用的用户代理。用户代理是用于进行调用的方法,例如
aws-cli
或Botocore
。 -
用户类型-进行异常 API 调用的用户类型。可能的值为
AWS_SERVICE
ASSUMED_ROLE
、IAM_USER
、或ROLE
。 -
Bucket — 正在访问的 S3 存储桶的名称。
-
-
异常行为(用户身份)— 本节提供了有关调查结果所涉及的用户身份的已分析行为的更多详细信息。当某项行为未被识别为历史行为时,这意味着 GuardDuty ML 模型之前没有看到该用户身份在训练期内以这种方式调用此 API。以下是有关用户身份的其他详细信息:
-
ASN 组织 — 发出异常 API 调用的 ASN 组织。
-
用户代理-用于进行异常 API 调用的用户代理。用户代理是用于进行调用的方法,例如
aws-cli
或Botocore
。 -
Bucket — 正在访问的 S3 存储桶的名称。
-
-
异常行为(存储桶)— 本部分提供有关与调查结果相关的 S3 存储桶的已分析行为的更多详细信息。如果某项行为未被识别为历史行为,则意味着 GuardDuty ML 模型之前在训练期间从未见过以这种方式对该存储桶进行的 API 调用。本节中跟踪的信息包括:
-
ASN 组织 — 发出异常 API 调用的 ASN 组织。
-
用户名 — 进行异常 API 调用的用户的名称。
-
用户代理-用于进行异常 API 调用的用户代理。用户代理是用于进行调用的方法,例如
aws-cli
或Botocore
。 -
用户类型-进行异常 API 调用的用户类型。可能的值为
AWS_SERVICE
ASSUMED_ROLE
、IAM_USER
、或ROLE
。
注意 有关历史行为的更多背景信息,请在 “异常行为(账户)”、“用户 ID” 或 “存储桶” 部分中选择 “历史行为”,以查看有关您账户中以下每个类别的预期行为的详细信息:罕见(小于每月一次)、不频繁(每月几次)或频繁(每天至每周),具体取决于它们在您的账户中的使用频率。
-
-
异常行为(数据库分析)-本节提供有关与调查结果相关的数据库实例的已分析行为的更多详细信息。如果未将某一行为识别为历史行为,则意味着 GuardDuty ML 模型之前没有在训练期内尝试过以这种方式登录该数据库实例。查找面板中针对此部分跟踪的信息包括:
-
用户名-用于进行异常登录尝试的用户名。
-
ASN Or g — 尝试进行异常登录的 ASN 组织。
-
应用程序名称-用于进行异常登录尝试的应用程序名称。
-
数据库名称-参与异常登录尝试的数据库实例的名称。
-
S3 基于容量的异常
本部分详细介绍基于 S3 卷的异常的背景信息。基于容量的查找 (Exfiltration:S3/AnomalousBehavior) 监视用户对 S3 存储桶发出的异常数量的 S3 API 调用,这表明存在数据泄露的可能性。以下 S3 API 调用将受到监控,以进行基于容量的异常检测。
-
GetObject
-
CopyObject.Read
-
SelectObjectContent
以下指标将有助于建立 IAM 实体访问 S3 存储桶时常见行为的基准。为了检测数据泄露,基于容量的异常检测发现会根据通常的行为基线评估所有活动。在 “异常行为(用户身份)”、“观测量(用户身份)” 和 “观测量(存储桶)” 部分中选择 “历史行为”,分别查看以下指标。
-
过去 24 小时内,用户为受影响的 S3 存储桶调用的
s3-api-name
API 调用次数。 -
在过去 24 小时内,用户在所有 S3 存储桶上调用的
s3-api-name
API 调用次数。 -
过去 24 小时内所有用户针对受影响的 S3 存储桶的
s3-api-name
API 调用次数。
基于 RDS 登录活动的异常
本部分详细介绍了异常行为者执行的登录尝试次数,并按登录尝试的结果分组。通过监视登录事件中是否有successfulLoginCount
、failedLoginCount
和的异常模式来RDS 保护查找类型识别异常行为incompleteConnectionCount
。
-
successfulLoginCount— 此计数器表示异常行为者成功连接数据库实例(登录属性的正确组合)的总和。登录属性包括用户名、密码和数据库名称。
-
failedLoginCount— 此计数器表示为建立与数据库实例的连接而尝试登录失败(失败)的总和。这表示登录组合的一个或多个属性(例如用户名、密码或数据库名称)不正确。
-
incompleteConnectionCount— 此计数器表示无法归类为成功或失败的连接尝试次数。在数据库提供响应之前,这些连接已关闭。例如,端口扫描,其中数据库端口已连接但未向数据库发送任何信息,或者连接在成功或失败的登录完成之前中止。