AttackSequence:IAM/CompromisedCredentials AttackSequence:S3/CompromisedData

GuardDuty Arten der Suche nach Angriffssequenzen

GuardDuty erkennt eine Angriffssequenz, wenn eine bestimmte Abfolge mehrerer Aktionen auf eine potenziell verdächtige Aktivität zurückzuführen ist. Eine Angriffssequenz umfasst Signale wie API Aktivitäten und GuardDuty Ergebnisse. Wenn eine Gruppe von Signalen in einer bestimmten Reihenfolge GuardDuty beobachtet wird, die auf eine laufende, anhaltende oder kürzlich aufgetretene Sicherheitsbedrohung hindeuten, GuardDuty wird eine Angriffssequenz festgestellt. GuardDuty betrachtet einzelne API Aktivitäten als solcheweak signals, weil sie sich nicht als potenzielle Bedrohung darstellen.

Die Erkennung der Angriffssequenz konzentriert sich auf die potenzielle Gefährdung von Amazon S3-Daten (die Teil eines umfassenderen Ransomware-Angriffs sein können) und kompromittierte Anmeldeinformationen AWS . Die folgenden Abschnitte enthalten Einzelheiten zu den einzelnen Angriffssequenzen.

Themen

AttackSequence:IAM/CompromisedCredentials
AttackSequence:S3/CompromisedData

AttackSequence:IAM/CompromisedCredentials

Eine Abfolge von API Anfragen, die unter Verwendung potenziell AWS kompromittierter Anmeldeinformationen aufgerufen wurden.

Standardschweregrad: Kritisch
Datenquelle: AWS CloudTrail Management-Ereignisse

Dieses Ergebnis informiert Sie darüber, dass Sie eine Folge verdächtiger Aktionen GuardDuty entdeckt haben, die mithilfe von AWS Anmeldeinformationen ausgeführt wurden und sich auf eine oder mehrere Ressourcen in Ihrer Umgebung auswirken. Mit denselben Anmeldeinformationen wurden mehrere verdächtige und anomale Angriffsverhaltensweisen beobachtet, was zu einer höheren Wahrscheinlichkeit führte, dass die Anmeldeinformationen missbraucht wurden.

GuardDuty verwendet seine eigenen Korrelationsalgorhythmen, um die Reihenfolge der Aktionen zu beobachten und zu identifizieren, die mithilfe der Anmeldeinformationen ausgeführt wurden. IAM GuardDuty bewertet die Ergebnisse anhand von Schutzplänen und anderen Signalquellen, um gängige und sich abzeichnende Angriffsmuster zu identifizieren. GuardDuty nutzt mehrere Faktoren, um Bedrohungen aufzudecken, z. B. IP-Reputation, API Sequenzen, Benutzerkonfiguration und potenziell betroffene Ressourcen.

Behebungsmaßnahmen: Wenn dieses Verhalten in Ihrer Umgebung unerwartet auftritt, wurden Ihre AWS Anmeldeinformationen möglicherweise kompromittiert. Schritte zur Problembehebung finden Sie unter. Behebung potenziell AWS kompromittierter Anmeldedaten Die kompromittierten Anmeldeinformationen wurden möglicherweise verwendet, um zusätzliche Ressourcen wie Amazon S3 S3-Buckets, AWS Lambda Funktionen oder EC2 Amazon-Instances in Ihrer Umgebung zu erstellen oder zu ändern. Schritte zur Behebung anderer Ressourcen, die möglicherweise beeinträchtigt wurden, finden Sie unter. Behebung erkannter GuardDuty Sicherheitslücken

AttackSequence:S3/CompromisedData

Bei einem möglichen Versuch, Daten in Amazon S3 zu exfiltrieren oder zu vernichten, wurde eine Abfolge von API Anfragen aufgerufen.

Standardschweregrad: Kritisch
Datenquellen: AWS CloudTrail Datenereignisse für S3 und AWS CloudTrail Management-Ereignisse

Dieses Ergebnis informiert Sie darüber, dass Sie in einem oder mehreren Amazon Simple Storage Service (Amazon S3) -Buckets eine Abfolge verdächtiger Aktionen GuardDuty entdeckt haben, die auf eine Datenkompromittierung hindeuten. Dabei wurden potenziell AWS kompromittierte Anmeldeinformationen verwendet. Es wurden mehrere verdächtige und ungewöhnliche Angriffsverhaltensweisen (APIAnfragen) beobachtet, was zu einer höheren Wahrscheinlichkeit führte, dass die Anmeldeinformationen missbraucht werden.

GuardDuty verwendet seine Korrelationsalgorithmen, um die Reihenfolge der Aktionen zu beobachten und zu identifizieren, die unter Verwendung der Anmeldeinformationen ausgeführt wurden. IAM GuardDuty bewertet dann die Ergebnisse anhand von Schutzplänen und anderen Signalquellen, um gängige und sich abzeichnende Angriffsmuster zu identifizieren. GuardDuty nutzt mehrere Faktoren, um Bedrohungen aufzudecken, z. B. IP-Reputation, API Sequenzen, Benutzerkonfiguration und potenziell betroffene Ressourcen.

Abhilfemaßnahmen: Wenn diese Aktivität in Ihrer Umgebung unerwartet auftritt, wurden Ihre AWS Anmeldeinformationen oder Amazon S3 S3-Daten möglicherweise exfiltriert oder zerstört. Schritte zur Problembehebung finden Sie unter und. Behebung potenziell AWS kompromittierter Anmeldedaten Behebung eines potenziell gefährdeten S3-Buckets

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

IAMTypen finden

Suchtypen für den S3-Schutz