查找细节 - Amazon GuardDuty
查找摘要资源操作Actor 或 Target其他信息证据异常行为
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查找细节

在 Amazon GuardDuty 控制台中,您可以在查找结果摘要部分查看查找详细信息。查找详细信息因查找类型而异。

有两类主要详细信息,用于确定哪些类型的信息可用于任何调查结果。第一个是资源类型,可以是AccessKeyInstance,或者S3Bucket. 决定查找信息的第二个细节是资源角色. 资源角色,可以Target对于访问密钥,这意味着资源是可疑活动的目标。例如,实例类型查找结果,资源角色也可以是Actor,这意味着你的资源是进行可疑活动的角色。本主题介绍调查结果的一些常见详细信息。

查找摘要

调查结果的摘要部分包含调查结果的最基本的识别功能,包括以下信息:

  • 结果类型— 一个格式化的字符串,指示触发调查结果的活动类型。有关更多信息,请参阅 GuardDuty 结果格式

  • 结果 ID— 此调查结果类型和参数集的唯一调查结果 ID。与此模式匹配的新活动实例将聚合到同一 ID 中。

  • 严重性— 调查结果分配的严重性等级,可以为 High、Medium 或 Low。有关更多信息,请参阅 GuardDuty 结果的严重性级别

  • 区域—Amazon在其中生成结果的区域。有关支持的区域的更多信息,请参阅区域和终端节点

  • 计数— GuardDuty 聚合与此调查结果 ID 匹配的活动的次数。

  • 账户 ID— 的 IDAmazonAccount 促使 GuardDuty 生成此结果的活动发生的账户。

  • Resource ID (资源 ID)— 的 IDAmazonResource 促使 GuardDuty 生成此结果的活动所依据的资源。

  • 创建于— 首次创建此结果的时间和日期。如果此值不同于更新时间,这表示该活动已多次发生,是一个持续的问题。

    注意

    GuardDuty 控制台中结果的时间戳采用您的本地时区显示,而 JSON 导出和 CLI 输出则显示采用 UTC 表示的时间戳。

  • 更新时间— 上次使用与促使 GuardDuty 生成此调查结果的模式匹配的新活动更新此调查结果的时间。

    注意

    GuardDuty 控制台中结果的时间戳采用您的本地时区显示,而 JSON 导出和 CLI 输出则显示采用 UTC 表示的时间戳。

资源

这些区域有:受影响资源提供了详细信息AmazonFource (资源) 触发活动所针对的资源。可用信息因资源类型和操作类型而异。

资源角色— 的角色Amazon触发调查结果的资源。该值可以是目标要么演员,并表示您的资源是可疑活动的目标还是执行可疑活动的参与者。

资源类型— 受影响的资源的类型。如果涉及多个资源,发现可能包括多种资源类型。资源类型如下:AccessKeyS3 bucketKubernetesCluster要么实例. 根据资源类型,可用不同的查找详细信息。选择资源选项卡以了解该资源的可用详细信息。

Instance

实例详细信息:

注意

如果实例已被终止,或者在进行跨区域 API 调用时,如果底层 API 调用来自不同区域中的 EC2 实例,则可能会丢失某些实例详细信息。

  • 实例 IDDuty — 促使 GuardDuty 生成结果的活动所涉及 EC2 实例的 ID。

  • 实例类型— 调查结果中涉及的 EC2 实例的类型。

  • 启动时间— 启动实例的时间和日期。

  • Outpost ARN— 的 Amazon 资源名称 (ARN)Amazon Outposts. 仅适用于Amazon Outposts实例。有关更多信息,请参阅什么是 Amazon Outposts?

  • 安全组名称— 附加到涉及实例的安全组的名称。

  • 安全组 ID— 附加到涉及实例的安全组的 ID。

  • 实例状态— 目标实例的当前状态。

  • 可用区— 该AmazonIsage (可用区) 涉及实例所在的区域可用区。

  • 映像 ID— 用于构建活动中涉及的实例的 Amazon 系统映像的 ID。

  • 图片描述— 用于构建活动中涉及的实例的 Amazon 系统映像 ID 的描述。

  • 标签— 附加到此资源的标签列表,以keyvalue.

Access Key

访问密钥详细信息:

  • 访问密钥 IDUser (访问密钥 ID) 用户的密钥 ID,该用户参与了促使 GuardDuty 生成调查结果的活动。

  • 委托人 IDPrincipal ID (委托人 ID) 用户的委托人 ID,该用户参与了促使 GuardDuty 生成结果的活动。

  • 用户类型User (用户类型) 用户的类型,该用户参与了促使 GuardDuty 生成结果的活动。有关更多信息,请参阅 CloudTrail userIdentity 元素

  • 用户名User (名称) 用户的名称,该用户参与了促使 GuardDuty 生成调查结果的活动。

S3 bucket

S3 存储桶详细信息:

  • 名称— 调查结果中涉及的存储桶的名称。

  • 进行筛选— 调查结果中涉及的存储桶的 ARN。

  • 所有者— 拥有调查结果中涉及的存储桶的用户的规范用户 ID。有关规范用户 ID 的更多信息,请参阅Amazon账户标识符.

  • 类型— 存储桶调查结果的类型,可以是目的地要么.

  • 默认服务器端加密— 存储桶的加密详细信息。

  • 存储桶标签— 附加到此资源的标签列表,格式为keyvalue.

  • 有效的权限— 评估存储桶上的所有有效权限和策略,指示涉及的存储桶是否公开。值可以是公开的,也可以不是公开。

Kubernetes Cluster

Kubernetes Cluster 详细信息:

  • User 详细信息— Kubernetes 用户的详细信息,该用户执行了促使 GuardDuty 生成调查结果的 API 操作。

    • 用户名— Kubernetes 用户的名称,该用户执行了促使 GuardDuty 生成调查结果的 API 操作。

    • Groups— Kubernetes 用户所属的权限组列表。

  • 访问密钥细节— 本部分包括访问密钥详细信息,标识当用户是通过 EKS 访问集群的 IAM 身份时与活动关联的 IAM 用户或角色。

    • 访问密钥 IDUser (访问密钥 ID) 用户的密钥 ID,该用户参与了促使 GuardDuty 生成结果的活动。

    • 委托人 IDPrincipal ID (委托人 ID) 用户的委托人 ID,该用户参与了促使 GuardDuty 生成结果的活动。

    • 用户类型— 参与到促使 GuardDuty 生成结果的活动中的用户的类型。有关更多信息,请参阅 CloudTrail userIdentity 元素

    • 用户名User (名称) 用户的名称,该用户参与了促使 GuardDuty 生成调查结果的活动。

  • 集群详细信息— 调查结果中涉及的 Kubernetes 集群的详细信息。

  • EKS 细节— 调查结果中涉及的 Amazon EKS 资源的详细信息。

  • 工作负载详细信息— 该调查结果涉及的 Kubernetes 工作负载资源的详细信息,。

    • 工作负载类型 — 用于管理查找结果中涉及的 pod 的工作负载资源的类型,此值可以是DeploymentReplicaSetStatefulSetDaemonSetJob,或者CronJob.

操作

调查结果的 Action (操作) 提供了触发调查结果的活动类型的详细信息。可用信息因操作类型而异。

  • 操作类型— 调查结果活动类型。该值可以是网络_连接PORT_PROBEDNS_请求/请求,或者AWS_API_CALL. 可用信息因操作类型而异:

    • 网络_连接— 指示标识的 EC2 实例与远程主机之间交换的网络流量。此操作类型具有以下附加信息:

      • 连接方向— 在促使 GuardDuty 生成调查结果的活动中观察到的网络连接方向。它可以是以下值之一:

        • 入站— 指示远程主机已在您的账户中发起与标识的 EC2 实例上的本地端口的连接。

        • 往外地的— 指示标识的 EC2 实例已发起与远程主机的连接。

        • UNKNOWN— 指示 GuardDuty 无法确定连接的方向。

      • 协议Duty — 促使 GuardDuty 生成结果的活动中观察到的网络连接协议。

      • 本地 IP— 触发调查结果的流量的原始源 IP。此信息可用于区分流量流经的中间层的 IP 地址与触发调查结果的流量的原始源 IP 地址。例如,EKS pod 的 IP 地址与运行 EKS pod 的实例的 IP 地址。

      • 阻止— 指示目标端口是否被阻止。

    • PORT_PROBE— 指示远程主机已在多个开放端口上探测标识的 EC2 实例。此操作类型具有以下附加信息:

      • 本地 IP— 触发调查结果的流量的原始源 IP。此信息可用于区分流量流经的中间层的 IP 地址与触发调查结果的流量的原始源 IP 地址。例如,EKS pod 的 IP 地址与运行 EKS pod 的实例的 IP 地址。

      • 阻止— 指示目标端口是否被阻止。

    • DNS_请求/请求— 指示标识的 EC2 实例已查询域名。此操作类型具有以下附加信息:

      • 协议Duty — 促使 GuardDuty 生成结果的活动中观察到的网络连接协议。

      • 阻止— 指示目标端口是否被阻止。

    • AWS_API_CALL— 表示AmazonAPI 已被调用。此操作类型具有以下附加信息:

      • APIAPI 调用的 API 操作的名称,该操作促使 GuardDuty 生成此结果。

        注意

        这些操作也可能包括捕获的非 API 事件。Amazon CloudTrail. 有关更多信息,请参阅 。CloudTrail 捕获的非 API 事件.

      • 用户代理— 发出 API 请求的用户代理。该值告诉你该呼叫是否来自Amazon管理控制台、Amazon服务,Amazon开发工具包或AmazonCLI。

      • 错误代码— 如果发现是由 API 调用失败触发的,则会显示该调用的错误代码。

      • Service name (服务名称)DNS 名称,该服务试图调用触发调查结果的 API 的服务的 DNS 名称。

Actor 或 Target

一个发现有角色部分如果资源角色TARGET. 这表示您的资源是可疑活动的目标,角色部分包含有关针对资源的实体的详细信息。

一个发现有目标部分如果资源角色ACTOR. 这表示您的资源涉及到针对远程主机的可疑活动,本节包含有关您的资源所针对的 IP 或域的信息。

中提供的信息角色要么目标部分可包含以下内容:

  • IP 地址IP 地址促使 GuardDuty 生成结果的活动所涉及的 IP 地址。

  • 位置— 促使 GuardDuty 生成调查结果的活动所涉及 IP 地址的位置信息。

  • 组织— ISP 组织促使 GuardDuty 生成调查结果的活动所涉及 IP 地址的 ISP 组织信息。

  • 端口Port (端口) 促使 GuardDuty 生成结果的活动所涉及的端口号。

  • Domain — 促使 GuardDuty 生成结果的活动所涉及的域。

其他信息

所有结果的都是其他信息部分,包括以下信息:

  • 威胁列表名称— 威胁列表的名称,其中包括促使 GuardDuty 生成调查结果的活动中所涉及的 IP 地址或域名。

  • 示例— 一个 true 或 false 值,指示此项否为示例调查结果。

  • 已存档— 一个 true 或 false 值,指示此调查结果是否已存档。

  • 异常的— 过去未观察到的活动详细信息。其中可能包括不寻常的 (以前没有观察到的) 用户、位置或时间。

  • 异常的协议— 促使 GuardDuty 生成调查结果的活动中涉及到的网络连接协议。

证据

基于 DNS 日志的调查结果有证据部分中包含以下信息:

  • 威胁情报细节— 已识别出来的威胁清单的名称Threat name显示在上面。

  • 威胁名称— 与威胁相关联的恶意软件系列或其他标识符的名称。

异常行为

结束于的调查结果类型异常行为这表示调查结果是 GuardDuty 异常检测机器学习 (ML) 模型生成的结果。机器学习模型评估对您账户的所有 API 请求,并识别与对手使用的策略相关的异常事件。机器学习模型跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。

有关 API 请求的哪些因素对于调用该请求的 CloudTrail 用户身份而言不寻常的详细信息,可在查找详细信息中找到。身份由CloudTrail userIdentity 元素,可能的值包括:RootIAMUserAssumedRoleFederatedUserAWSAccount要么AWSService.

除了与 API 活动相关的所有 GuardDuty 调查结果的详细信息之外,异常行为调查结果具有以下部分概述的附加详细信息。这些详细信息可以在控制台中查看,也可以在发现的 JSON 中找到。

  • 异常 API— 用户身份在与查找结果相关的主 API 请求附近调用的 API 请求的列表。此窗格通过以下方式进一步细分 API 事件的详细信息:

    • 列出的第一个 API 是主 API,它是与观察到的最高风险活动相关联的 API 请求。这是触发查找结果并与查找类型的攻击阶段关联的 API。这也是在操作部分在控制台和发现的 JSON 中。

    • 列出的任何其他 API 都是在主 API 附近观察到的列出用户身份中的其他异常 API。如果列表中只有一个 API,则机器学习模型不会将来自该用户身份的任何其他 API 请求识别为异常。

    • API 列表根据 API 是否为分配。成功调用,或者如果调用 API 未成功,表示收到了错误响应。收到的错误响应的类型列在每个未成功调用的 API 的上方。可能的错误响应类型如下:access deniedaccess denied exceptionauth failureinstance limit exceededinvalid permission - duplicateinvalid permission - not foundoperation not permitted.

    • API 按照其关联的服务进行分类。

    注意

    有关更多上下文,请选择通常的 API打开一个窗格,其中提供顶级 API 的详细信息,最多 20 个,通常可以看到用户身份和账户中的所有用户。这些 API 被标记罕见的(每月不到一次),很少发生(每月几次),或频繁的(每天至每周),具体取决于账户中使用它们的频率。

  • 异常行为(账户)— 本节提供了有关您账户的配置文件行为的其他详细信息。此面板中追踪的信息包括:

    • ASN 组织— 发起异常 API 调用的 ASN 组织。

    • 用户名称— 发起异常 API 调用的用户的名称。

    • 用户代理— 用于进行异常 API 调用的用户代理。用户代理是用于进行呼叫的方法,例如aws-cli要么Botocore.

    • 用户类型— 进行异常 API 调用的用户类型。可能的值包括:AWS_SERVICEASSUMED_ROLEIAM_USER,或者ROLE.

  • 异常行为(用户身份)— 本节提供了有关分析的行为的其他详细信息用户身份参与了调查结果。当行为被确定为异常时,这意味着 GuardDuty 的机器学习模型之前没有看到此用户身份在培训期间以这种方式进行此 API 调用。以下有关用户身份可用:

    • ASN 组织— 发起异常 API 调用的 ASN 组织。

    • 用户代理— 用于进行异常 API 调用的用户代理。用户代理是用于进行呼叫的方法,例如aws-cli要么Botocore.

    注意

    有关异常行为的更多上下文,请选择通常的行为在任何一个账户要么User ID (用户 ID)面板来打开一个窗格,该窗格提供了以下每个类别的预期行为的详细信息:罕见的(每月不到一次),很少发生(每月几次),或频繁的(每天至每周),具体取决于账户中使用它们的频率。