GuardDuty IAMTypen finden

Die folgenden Ergebnisse beziehen sich spezifisch auf IAM Entitäten und Zugriffsschlüssel und haben immer den RessourcentypAccessKey. Der Schweregrad und die Details der Erkenntnisse unterscheiden sich je nach Erkenntnistyp.

Die hier aufgeführten Erkenntnisse beinhalten die Datenquellen und Modelle, die zur Generierung dieses Erkenntnistyps verwendet wurden. Weitere Informationen finden Sie unter GuardDuty grundlegende Datenquellen.

Für alle IAM diesbezüglichen Ergebnisse empfehlen wir Ihnen, die fragliche Entität zu untersuchen und sicherzustellen, dass ihre Berechtigungen der bewährten Methode der Methode der geringsten Rechte entsprechen. Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen zur Behebung von Erkenntnissen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Themen

CredentialAccess:IAMUser/AnomalousBehavior
DefenseEvasion:IAMUser/AnomalousBehavior
Discovery:IAMUser/AnomalousBehavior
Exfiltration:IAMUser/AnomalousBehavior
Impact:IAMUser/AnomalousBehavior
InitialAccess:IAMUser/AnomalousBehavior
PenTest:IAMUser/KaliLinux
PenTest:IAMUser/ParrotLinux
PenTest:IAMUser/PentooLinux
Persistence:IAMUser/AnomalousBehavior
Policy:IAMUser/RootCredentialUsage
PrivilegeEscalation:IAMUser/AnomalousBehavior
Recon:IAMUser/MaliciousIPCaller
Recon:IAMUser/MaliciousIPCaller.Custom
Recon:IAMUser/TorIPCaller
Stealth:IAMUser/CloudTrailLoggingDisabled
Stealth:IAMUser/PasswordPolicyChange
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
UnauthorizedAccess:IAMUser/MaliciousIPCaller
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
UnauthorizedAccess:IAMUser/TorIPCaller

CredentialAccess:IAMUser/AnomalousBehavior

Eine, die API verwendet wurde, um Zugriff auf eine AWS Umgebung zu erhalten, wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: Verwaltungsereignis CloudTrail

Diese Feststellung informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API Anfrage festgestellt wurde. Dieses Ergebnis kann eine einzelne API oder eine Reihe verwandter API Anfragen beinhalten, die in unmittelbarer Nähe von derselben Benutzeridentität gestellt wurden. Das API beobachtete Problem wird häufig mit der Phase des Zugriffs auf Anmeldeinformationen in Verbindung gebracht, wenn ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihre Umgebung zu sammeln. Zu APIs dieser Kategorie gehörenGetPasswordData,, undGetSecretValue. BatchGetSecretValue GenerateDbAuthToken

Diese API Anfrage wurde vom ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal eingestuft. Das ML-Modell bewertet alle API Anfragen in Ihrem Konto und identifiziert ungewöhnliche Ereignisse, die mit den von Gegnern verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt verschiedene Faktoren der API Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und den spezifischen Typ, der angefordert wurde. API Einzelheiten darüber, welche Faktoren der API Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den Ergebnisdetails.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

DefenseEvasion:IAMUser/AnomalousBehavior

Eine API zur Umgehung von Abwehrmaßnahmen verwendete Methode wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: Verwaltungsereignis CloudTrail

Diese Feststellung informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API Anfrage festgestellt wurde. Dieses Ergebnis kann eine einzelne API oder eine Reihe verwandter API Anfragen beinhalten, die in unmittelbarer Nähe von derselben Benutzeridentität gestellt wurden. Dieses API Phänomen wird häufig mit Ausweichtaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Spuren zu verwischen und nicht entdeckt zu werden. APIsZu dieser Kategorie gehören in der Regel Lösch-, Deaktivierungs- oder Stoppvorgänge wie,DeleteFlowLogs, DisableAlarmActions oder. StopLogging

Diese API Anfrage wurde vom ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell bewertet alle API Anfragen in Ihrem Konto und identifiziert ungewöhnliche Ereignisse, die mit den von Gegnern verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt verschiedene Faktoren der API Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und den spezifischen Typ, der angefordert wurde. API Einzelheiten darüber, welche Faktoren der API Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den Ergebnisdetails.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Discovery:IAMUser/AnomalousBehavior

Eine API häufig zum Auffinden von Ressourcen verwendete Methode wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Niedrig

Datenquelle: Verwaltungsereignis CloudTrail

Diese Feststellung informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API Anfrage festgestellt wurde. Dieses Ergebnis kann eine einzelne API oder eine Reihe verwandter API Anfragen beinhalten, die in unmittelbarer Nähe von derselben Benutzeridentität gestellt wurden. Das API beobachtete Phänomen wird häufig mit der Erkennungsphase eines Angriffs in Verbindung gebracht, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS Umgebung für einen umfassenderen Angriff anfällig ist. APIsZu dieser Kategorie gehören in der Regel Operationen zum Abrufen, Beschreiben oder Auflisten, wie, DescribeInstancesGetRolePolicy, oder. ListAccessKeys

Diese API Anfrage wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell bewertet alle API Anfragen in Ihrem Konto und identifiziert ungewöhnliche Ereignisse, die mit den von Gegnern verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt verschiedene Faktoren der API Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und den spezifischen Typ, der angefordert wurde. API Einzelheiten darüber, welche Faktoren der API Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den Ergebnisdetails.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Exfiltration:IAMUser/AnomalousBehavior

Ein API häufig zum Sammeln von Daten aus einer AWS Umgebung verwendetes Verfahren wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Hoch

Datenquelle: Verwaltungsereignis CloudTrail

Diese Feststellung informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API Anfrage festgestellt wurde. Dieses Ergebnis kann eine einzelne API oder eine Reihe verwandter API Anfragen beinhalten, die in unmittelbarer Nähe von derselben Benutzeridentität gestellt wurden. Dieses API Phänomen wird häufig mit Exfiltrationstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten mithilfe von Paketierung und Verschlüsselung aus Ihrem Netzwerk zu sammeln, um nicht entdeckt zu werden. APIsBei diesem Befundtyp handelt es sich ausschließlich um Verwaltungsvorgänge (Steuerungsebene). Sie beziehen sich in der Regel auf S3, Snapshots und Datenbanken wie,, oder. PutBucketReplication CreateSnapshot RestoreDBInstanceFromDBSnapshot

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Impact:IAMUser/AnomalousBehavior

Ein API häufig zur Manipulation von Daten oder Prozessen in einer AWS Umgebung verwendetes Verfahren wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Hoch

Datenquelle: Verwaltungsereignis CloudTrail

Diese Feststellung informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API Anfrage festgestellt wurde. Dieses Ergebnis kann eine einzelne API oder eine Reihe verwandter API Anfragen beinhalten, die in unmittelbarer Nähe von derselben Benutzeridentität gestellt wurden. Das API beobachtete Phänomen wird häufig mit Einschlagstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, den Betrieb zu unterbrechen und Daten in Ihrem Konto zu manipulieren, zu unterbrechen oder zu vernichten. APIsBei diesem Erkennungstyp handelt es sich in der Regel um Lösch-, Aktualisierungs- oder Speicheroperationen wie,, DeleteSecurityGroup oder. UpdateUser PutBucketPolicy

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

InitialAccess:IAMUser/AnomalousBehavior

Ein API häufig verwendetes Verfahren, um sich unbefugten Zugriff auf eine AWS Umgebung zu verschaffen, wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: Verwaltungsereignis CloudTrail

Diese Feststellung informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API Anfrage festgestellt wurde. Dieses Ergebnis kann eine einzelne API oder eine Reihe verwandter API Anfragen beinhalten, die in unmittelbarer Nähe von derselben Benutzeridentität gestellt wurden. Das API beobachtete Phänomen wird häufig mit der ersten Zugriffsphase eines Angriffs in Verbindung gebracht, wenn ein Angreifer versucht, sich Zugriff auf Ihre Umgebung zu verschaffen. APIsZu dieser Kategorie gehören in der Regel Operationen zum Abrufen von Token oder Sessions wie, GetFederationTokenStartSession, oder. GetAuthorizationToken

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

PenTest:IAMUser/KaliLinux

An API wurde von einer Kali-Linux-Maschine aus aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: Verwaltungsereignis CloudTrail

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Kali Linux ausgeführt wird, API Anrufe mit Anmeldeinformationen tätigt, die zu dem aufgelisteten AWS Konto in Ihrer Umgebung gehören. Kali Linux ist ein beliebtes Tool für Penetrationstests, mit dem Sicherheitsexperten Schwachstellen in EC2 Fällen identifizieren, die gepatcht werden müssen. Angreifer verwenden dieses Tool auch, um EC2 Konfigurationsschwächen zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

PenTest:IAMUser/ParrotLinux

An API wurde von einem Parrot Security Linux-Computer aus aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: Verwaltungsereignis CloudTrail

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Parrot Security Linux ausgeführt wird, API Anrufe mit Anmeldeinformationen tätigt, die zu dem in Ihrer Umgebung aufgelisteten AWS Konto gehören. Parrot Security Linux ist ein beliebtes Tool für Penetrationstests, mit dem Sicherheitsexperten Schwachstellen in EC2 Instanzen identifizieren, die gepatcht werden müssen. Angreifer verwenden dieses Tool auch, um EC2 Konfigurationsschwächen zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

PenTest:IAMUser/PentooLinux

An API wurde von einem Pentoo Linux-Computer aus aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: Verwaltungsereignis CloudTrail

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Pentoo Linux ausgeführt wird, API Anrufe mit Anmeldeinformationen tätigt, die zu dem aufgelisteten AWS Konto in Ihrer Umgebung gehören. Pentoo Linux ist ein beliebtes Tool für Penetrationstests, das Sicherheitsexperten verwenden, um Schwachstellen in EC2 Fällen zu identifizieren, die gepatcht werden müssen. Angreifer verwenden dieses Tool auch, um EC2 Konfigurationsschwächen zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Persistence:IAMUser/AnomalousBehavior

Ein API häufig verwendetes Tool, um unbefugten Zugriff auf eine AWS Umgebung aufrechtzuerhalten, wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: Verwaltungsereignis CloudTrail

Diese Feststellung informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API Anfrage festgestellt wurde. Dieses Ergebnis kann eine einzelne API oder eine Reihe verwandter API Anfragen beinhalten, die in unmittelbarer Nähe von derselben Benutzeridentität gestellt wurden. Das API beobachtete Phänomen wird häufig mit Persistenztaktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihre Umgebung verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten. APIsZu dieser Kategorie gehören in der Regel Erstellungs-, Import- oder Änderungsvorgänge wie,CreateAccessKey, ImportKeyPair oder. ModifyInstanceAttribute

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Policy:IAMUser/RootCredentialUsage

An API wurde mit den Anmeldedaten des Root-Benutzers aufgerufen.

Standard-Schweregrad: Niedrig

Datenquelle: CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass die Root-Benutzer-Anmeldeinformationen des in Ihrer Umgebung angeführten AWS-Konto -Kontos verwendet werden, um Anforderungen an AWS -Services zu erstellen. Es wird empfohlen, dass Benutzer niemals Root-Benutzeranmeldedaten verwenden, um auf AWS Dienste zuzugreifen. Stattdessen sollte der Zugriff auf AWS Dienste mit temporären Anmeldeinformationen mit den geringsten Rechten von AWS Security Token Service (STS) erfolgen. In Situationen, in denen AWS STS dies nicht unterstützt wird, werden IAM Benutzeranmeldedaten empfohlen. Weitere Informationen finden Sie unter IAMBewährte Methoden.

Anmerkung

Wenn S3-Schutz für das Konto aktiviert ist, kann dieses Ergebnis als Reaktion auf Versuche generiert werden, S3-Datenebenenoperationen auf Amazon S3 S3-Ressourcen mithilfe der Root-Benutzeranmeldedaten von auszuführen. AWS-Konto Der verwendete API Anruf wird in den Ergebnisdetails aufgeführt. Wenn der S3-Schutz nicht aktiviert ist, kann dieser Befund nur durch das Ereignisprotokoll ausgelöst werdenAPIs. Weitere Informationen zu S3 Protection finden Sie unterS3-Schutz.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

PrivilegeEscalation:IAMUser/AnomalousBehavior

Ein API häufig verwendeter Befehl, um Berechtigungen auf hoher Ebene für eine AWS Umgebung zu erhalten, wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: Verwaltungsereignisse CloudTrail

Diese Feststellung informiert Sie darüber, dass in Ihrem Konto eine ungewöhnliche API Anfrage festgestellt wurde. Dieses Ergebnis kann eine einzelne API oder eine Reihe verwandter API Anfragen beinhalten, die in unmittelbarer Nähe von derselben Benutzeridentität gestellt wurden. Das API beobachtete Problem wird häufig mit Taktiken zur Eskalation von Rechten in Verbindung gebracht, bei denen ein Angreifer versucht, Berechtigungen auf höherer Ebene für eine Umgebung zu erlangen. APIsZu dieser Kategorie gehören in der Regel Operationen, bei denen IAM Richtlinien, Rollen und Benutzer geändert werden, z. B.,, oder. AssociateIamInstanceProfile AddUserToGroup PutUserPolicy

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Recon:IAMUser/MaliciousIPCaller

An API wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: CloudTrail Verwaltungsereignisse

Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang, der AWS Ressourcen in einem Konto in Ihrer Umgebung auflisten oder beschreiben kann, von einer IP-Adresse aus aufgerufen wurde, die auf einer Bedrohungsliste steht. Ein Angreifer kann gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Recon:IAMUser/MaliciousIPCaller.Custom

An API wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: CloudTrail Verwaltungsereignisse

Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang, der AWS Ressourcen in einem Konto in Ihrer Umgebung auflisten oder beschreiben kann, von einer IP-Adresse aus aufgerufen wurde, die in einer benutzerdefinierten Bedrohungsliste enthalten ist. Die verwendete Bedrohungsliste wird in den Ergebnisdetails aufgeführt. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Recon:IAMUser/TorIPCaller

An API wurde von der IP-Adresse eines Tor-Ausgangsknotens aus aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: CloudTrail Verwaltungsereignisse

Dieses Ergebnis informiert Sie darüber, dass eine API Operation, die AWS Ressourcen in einem Konto in Ihrer Umgebung auflisten oder beschreiben kann, von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen wurde. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Ein Angreifer würde Tor verwenden, um seine wahre Identität zu verschleiern.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail Die Protokollierung wurde deaktiviert.

Standard-Schweregrad: Niedrig

Datenquelle: CloudTrail Verwaltungsereignisse

Dieser Befund informiert Sie darüber, dass ein CloudTrail Trail in Ihrer AWS Umgebung deaktiviert wurde. Dabei kann es sich um den Versuch eines Angreifers handeln, die Protokollierung seiner Aktivitäten zu deaktivieren, indem er alle Spuren beseitigt, während er mit böswilliger Absicht Zugriff auf die AWS -Ressourcen erlangt. Dieses Ergebnis kann durch das erfolgreiche Löschen oder Aktualisieren eines Trails ausgelöst werden. Dieses Ergebnis kann auch durch das erfolgreiche Löschen eines S3-Buckets ausgelöst werden, der die Logs eines zugehörigen Trails speichert GuardDuty.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Stealth:IAMUser/PasswordPolicyChange

Die Passwortrichtlinie des Kontos wurde geschwächt.

Standard-Schweregrad: Niedrig*

Anmerkung

Der Schweregrad dieser Erkenntnis kann je nach Schweregrad der an der Passwortrichtlinie vorgenommenen Änderungen Niedrig, Mittel oder Hoch sein.

Datenquelle: CloudTrail Verwaltungsereignisse

Die AWS Kontopasswortrichtlinie wurde für das aufgelistete Konto in Ihrer AWS Umgebung geschwächt. Beispiel: Sie wurde gelöscht oder aktualisiert und erfordert jetzt weniger Zeichen, keine Sonderzeichen und Zahlen mehr, oder das Ablaufdatum des Passworts musste verlängert werden. Dieses Ergebnis kann auch durch den Versuch ausgelöst werden, die Passwortrichtlinie für Ihr AWS Konto zu aktualisieren oder zu löschen. Die AWS Kontokennwortrichtlinie definiert die Regeln, die festlegen, welche Arten von Passwörtern für Ihre IAM Benutzer festgelegt werden können. Eine schwächere Passwortrichtlinie ermöglicht das Erstellen von Passwörtern, die leicht zu merken und möglicherweise einfacher zu erraten sind. Dadurch entsteht ein Sicherheitsrisiko.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

Mehrere weltweit erfolgreiche Konsolenanmeldungen wurden beobachtet.

Standard-Schweregrad: Mittel

Datenquelle: CloudTrail Verwaltungsereignisse

Dieses Ergebnis informiert Sie darüber, dass mehrere erfolgreiche Konsolenanmeldungen für denselben IAM Benutzer an verschiedenen geografischen Standorten etwa zur gleichen Zeit beobachtet wurden. Solche anomalen und riskanten Zugriffsorte deuten auf einen potenziellen unbefugten Zugriff auf Ihre Ressourcen hin. AWS

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

Anmeldeinformationen, die ausschließlich für eine EC2 Instance über eine Instance Launch-Rolle erstellt wurden, werden von einem anderen Konto innerhalb verwendet. AWS

Standard-Schweregrad: Hoch*

Anmerkung

Der Standard-Schweregrad diese Erkenntnis ist Hoch. Wenn der jedoch von einem Konto aufgerufen API wurde, das mit Ihrer AWS Umgebung verknüpft ist, lautet der Schweregrad Mittel.

Datenquelle: CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, wenn Ihre EC2 Instance-Anmeldeinformationen verwendet werden, um APIs von einer IP-Adresse aus aufzurufen, die einem anderen AWS Konto gehört als dem, unter dem die zugehörige EC2 Instance ausgeführt wird.

AWS empfiehlt nicht, temporäre Anmeldeinformationen außerhalb der Entität, die sie erstellt hat, neu zu verteilen (z. EC2 B. AWS Anwendungen oder Lambda). Autorisierte Benutzer können jedoch Anmeldeinformationen aus ihren EC2 Instanzen exportieren, um legitime API Anrufe zu tätigen. Wenn das remoteAccountDetails.Affiliated Feld lautetTrue, API wurde es von einem Konto aufgerufen, das mit Ihrer AWS Umgebung verknüpft ist. Um einen möglichen Angriff auszuschließen und die Legitimität der Aktivität zu überprüfen, wenden Sie sich an den IAM Benutzer, dem diese Anmeldeinformationen zugewiesen wurden.

Anmerkung

Wenn von einem Remote-Konto aus anhaltende Aktivitäten GuardDuty beobachtet werden, identifiziert das maschinelle Lernmodell (ML) dies als erwartetes Verhalten. Daher GuardDuty wird dieses Ergebnis nicht mehr für Aktivitäten von diesem Remote-Konto generiert. GuardDuty wird weiterhin Ergebnisse für neues Verhalten anderer Remote-Konten generieren und erlernte Remote-Konten neu bewerten, wenn sich das Verhalten im Laufe der Zeit ändert.

Empfehlungen zur Abhilfe:

Als Reaktion auf diese Erkenntnis können Sie den folgenden Workflow verwenden, um eine Vorgehensweise festzulegen:

Identifizieren Sie das betroffene Remote-Konto im service.action.awsApiCallAction.remoteAccountDetails.accountId-Feld.
Stellen Sie als Nächstes vor service.action.awsApiCallAction.remoteAccountDetails.affiliated Ort fest, ob dieses Konto mit Ihrer GuardDuty Umgebung verknüpft ist.
Wenn das Konto verknüpft ist, wenden Sie sich an den Eigentümer des Remote-Kontos und den Besitzer der EC2 Instanzanmeldeinformationen, um dies zu überprüfen.
Wenn das Konto nicht verknüpft ist, überprüfen Sie zunächst, ob das Konto Ihrer Organisation zugeordnet ist, aber nicht Teil Ihrer Einrichtung für GuardDuty mehrere Konten ist, oder ob GuardDuty es für das Konto noch nicht aktiviert wurde. Wenden Sie sich andernfalls an den Inhaber der EC2 Anmeldeinformationen, um festzustellen, ob es einen Anwendungsfall für die Verwendung dieser Anmeldeinformationen für ein Remotekonto gibt.
Wenn der Besitzer der Anmeldeinformationen das entfernte Konto nicht erkennt, wurden die Anmeldeinformationen möglicherweise von einem Bedrohungsakteur innerhalb von AWS kompromittiert. Sie sollten die unter Behebung einer potenziell gefährdeten Amazon-Instance EC2 empfohlenen Maßnahmen zum Schutz Ihrer Umgebung ergreifen.

Darüber hinaus können Sie einen Missbrauchsbericht an das AWS Trust and Safety Team senden, um eine Untersuchung des Remote-Kontos einzuleiten. Wenn Sie Ihre Meldung an AWS Trust and Safety einreichen, geben Sie alle JSON Einzelheiten des Befundes an.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

Anmeldeinformationen, die ausschließlich für eine EC2 Instance über eine Instance Launch-Rolle erstellt wurden, werden von einer externen IP-Adresse aus verwendet.

Standard-Schweregrad: Hoch

Datenquelle: CloudTrail Verwaltungsereignisse oder CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein Host außerhalb von versucht AWS hat, AWS API Operationen mit temporären AWS Anmeldeinformationen auszuführen, die auf einer EC2 Instanz in Ihrer AWS Umgebung erstellt wurden. Die aufgelistete EC2 Instanz ist möglicherweise kompromittiert, und die temporären Anmeldeinformationen dieser Instanz wurden möglicherweise auf einen Remote-Host außerhalb von exfiltriert. AWS AWS empfiehlt nicht, temporäre Anmeldeinformationen außerhalb der Entität, die sie erstellt hat, neu zu verteilen (z. EC2 B. AWS Anwendungen oder Lambda). Autorisierte Benutzer können jedoch Anmeldeinformationen aus ihren EC2 Instanzen exportieren, um legitime API Anrufe zu tätigen. Um einen potenziellen Angriff auszuschließen und die Legitimität der Aktivität zu überprüfen, überprüfen Sie, ob die Verwendung von Instance-Anmeldeinformationen von der Remote-IP in der Erkenntnis erwartet wird.

Anmerkung

Empfehlungen zur Abhilfe:

Dieses Ergebnis wird generiert, wenn das Netzwerk so konfiguriert ist, dass Internetverkehr so weitergeleitet wird, dass er von einem lokalen Gateway und nicht von einem VPC Internet Gateway () ausgeht. IGW Allgemeine Konfigurationen, wie z. B. die Verwendung von VPC VPN Verbindungen AWS Outposts, können dazu führen, dass der Datenverkehr auf diese Weise weitergeleitet wird. Wenn dies ein erwartetes Verhalten ist, empfiehlt es sich, Unterdrückungsregeln zu verwenden und eine Regel zu erstellen, die aus zwei Filterkriterien besteht. Das erste Kriterium ist der Ergebnistyp, der UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS sein sollte. Das zweite Filterkriterium ist die APIIPv4Anruferadresse mit der IP-Adresse oder dem CIDR Bereich Ihres lokalen Internet-Gateways. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln in GuardDuty.

Anmerkung

Wenn eine kontinuierliche Aktivität aus einer externen Quelle GuardDuty beobachtet wird, identifiziert das maschinelle Lernmodell dieses Verhalten als erwartetes Verhalten und beendet die Generierung dieser Ergebnisse für Aktivitäten aus dieser Quelle. GuardDuty wird weiterhin Erkenntnisse für neues Verhalten aus anderen Quellen generieren und erlernte Quellen neu bewerten, wenn sich das Verhalten im Laufe der Zeit ändert.

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

UnauthorizedAccess:IAMUser/MaliciousIPCaller

An API wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: CloudTrail Verwaltungsereignisse

Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang (z. B. ein Versuch, eine EC2 Instance zu starten, einen neuen IAM Benutzer zu erstellen oder Ihre AWS Rechte zu ändern) von einer bekannten bösartigen IP-Adresse aus aufgerufen wurde. Dies kann auf einen unbefugten Zugriff auf AWS Ressourcen in Ihrer Umgebung hinweisen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

Ein API wurde von einer IP-Adresse aus einer benutzerdefinierten Bedrohungsliste aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: CloudTrail Verwaltungsereignisse

Dieses Ergebnis informiert Sie darüber, dass ein API Vorgang (z. B. ein Versuch, eine EC2 Instance zu starten, einen neuen IAM Benutzer zu erstellen oder AWS Rechte zu ändern) von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. In besteht eine Bedrohungsliste aus bekannten schädlichen IP-Adressen. Dies kann auf einen unbefugten Zugriff auf AWS Ressourcen in Ihrer Umgebung hinweisen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

UnauthorizedAccess:IAMUser/TorIPCaller

An API wurde von der IP-Adresse eines Tor-Ausgangsknotens aus aufgerufen.

Standard-Schweregrad: Mittel

Datenquelle: CloudTrail Verwaltungsereignisse

Dieses Ergebnis informiert Sie darüber, dass eine API Operation (z. B. ein Versuch, eine EC2 Instanz zu starten, einen neuen IAM Benutzer zu erstellen oder Ihre AWS Rechte zu ändern) von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen wurde. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihre AWS -Ressourcen hinweisen, mit dem Ziel, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

EC2Typen finden

Suchtypen für den S3-Schutz