Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Nicht mehr aktive Erkenntnistypen

Ein Befund ist eine Benachrichtigung, die Einzelheiten zu einem potenziellen Sicherheitsproblem enthält, das GuardDuty entdeckt wurde. Informationen zu wichtigen Änderungen an den GuardDuty Befundtypen, einschließlich neu hinzugefügter oder zurückgezogener Befundtypen, finden Sie unterDokumentenverlauf für Amazon GuardDuty.

Die folgenden Befundtypen wurden eingestellt und nicht mehr von generiert GuardDuty.

Exfiltration:S3/ObjectRead.Unusual

Eine IAM Entität hat S3 auf verdächtige API Weise aufgerufen.

Standard-Schweregrad: Mittel*

Dieses Ergebnis informiert Sie darüber, dass eine IAM Entität in Ihrer AWS Umgebung API Aufrufe tätigt, die einen S3-Bucket betreffen und die von der festgelegten Baseline dieser Entität abweichen. Der in dieser Aktivität verwendete API Anruf steht im Zusammenhang mit der Exfiltrationsphase eines Angriffs, in der ein Angreifer versucht, Daten zu sammeln. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM Entität den aufgerufen hat, ungewöhnlich API war. Beispielsweise hatte diese IAM Entität noch nie zuvor einen solchen Typ aufgerufenAPI, oder sie API wurde von einem ungewöhnlichen Ort aus aufgerufen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Impact:S3/PermissionsModification.Unusual

Eine IAM Entität hat an aufgerufenAPI, um Berechtigungen für eine oder mehrere S3-Ressourcen zu ändern.

Standard-Schweregrad: Mittel*

Dieses Ergebnis informiert Sie darüber, dass eine IAM Entität API Aufrufe tätigt, um die Berechtigungen für einen oder mehrere Buckets oder Objekte in Ihrer AWS Umgebung zu ändern. Diese Aktion kann von einem Angreifer ausgeführt werden, um die Weitergabe von Informationen außerhalb des Kontos zu ermöglichen. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM Entität die aufgerufen hat, ungewöhnlich API war. Beispielsweise hatte diese IAM Entität noch nie zuvor einen solchen Typ aufgerufenAPI, oder sie API wurde von einem ungewöhnlichen Ort aus aufgerufen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Impact:S3/ObjectDelete.Unusual

Eine IAM Entität hat aufgerufen und API verwendet, um Daten in einem S3-Bucket zu löschen.

Standard-Schweregrad: Mittel*

Dieses Ergebnis informiert Sie darüber, dass eine bestimmte IAM Entität in Ihrer AWS Umgebung API Aufrufe tätigt, um Daten im aufgelisteten S3-Bucket zu löschen, indem der Bucket selbst gelöscht wird. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM Entität den aufgerufen hat, ungewöhnlich API war. Beispielsweise hatte diese IAM Entität noch nie zuvor einen solchen Typ aufgerufenAPI, oder sie API wurde von einem ungewöhnlichen Ort aus aufgerufen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Discovery:S3/BucketEnumeration.Unusual

Eine IAM Entität hat einen S3 aufgerufen, der zur Erkennung von S3-Buckets in Ihrem Netzwerk API verwendet wurde.

Standard-Schweregrad: Mittel*

Dieses Ergebnis informiert Sie darüber, dass eine IAM Entität S3 aufgerufen hatAPI, um S3-Buckets in Ihrer Umgebung zu ermitteln, z. B. ListBuckets Diese Art von Aktivität steht im Zusammenhang mit der Erkennungsphase eines Angriffs, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS Umgebung für einen umfassenderen Angriff anfällig ist. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM Entität die aufgerufen hat, ungewöhnlich API war. Beispielsweise hatte diese IAM Entität noch nie zuvor einen solchen Typ aufgerufenAPI, oder sie API wurde von einem ungewöhnlichen Ort aus aufgerufen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Persistence:IAMUser/NetworkPermissions

Eine IAM Entität hat einen aufgerufen, der API häufig verwendet wird, um die Netzwerkzugriffsberechtigungen für Sicherheitsgruppen, Routen und ACLs in Ihrem Konto zu ändern. AWS

Standard-Schweregrad: Mittel*

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Prinzipal (Root-Benutzer des AWS-Kontos, eine IAM Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Principal hat dies in der Vergangenheit nicht aufgerufen. API

Dieses Ergebnis wird ausgelöst, wenn Netzwerkkonfigurationseinstellungen unter verdächtigen Umständen geändert werden, z. B. wenn ein Principal den aufruft, CreateSecurityGroup API ohne dies in der Vergangenheit getan zu haben. Angreifer versuchen häufig, Sicherheitsgruppen zu ändern, um bestimmten eingehenden Datenverkehr über verschiedene Ports zuzulassen und so ihren Zugriff auf eine EC2 Instanz zu verbessern.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Persistence:IAMUser/ResourcePermissions

Ein Principal hat einen aufgerufen, der API häufig verwendet wird, um die Sicherheitszugriffsrichtlinien verschiedener Ressourcen in Ihrem zu ändern. AWS-Konto

Standard-Schweregrad: Mittel*

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Prinzipal (Root-Benutzer des AWS-Kontos, eine bestimmte IAM Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Principal hat dies in der Vergangenheit nicht aufgerufen. API

Dieses Ergebnis wird ausgelöst, wenn eine Änderung an Richtlinien oder Berechtigungen festgestellt wird, die PutBucketPolicy API mit AWS Ressourcen verknüpft sind, z. B. wenn ein Prinzipal in Ihrer AWS Umgebung den aufruft, ohne dies in der Vergangenheit getan zu haben. Einige Services, z. B. Amazon S3, unterstützen ressourcengebundene Berechtigungen, die einem oder mehreren Prinzipalen Zugriff auf die Ressource gewähren. Mit gestohlenen Anmeldeinformationen können Angreifer die einer Ressource zugeordneten Richtlinien ändern, um sich künftig Zugriff auf diese Ressource zu verschaffen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Persistence:IAMUser/UserPermissions

Ein Principal hat einen aufgerufen, der API häufig zum Hinzufügen, Ändern oder Löschen von IAM Benutzern, Gruppen oder Richtlinien in Ihrem AWS Konto verwendet wird.

Standard-Schweregrad: Mittel*

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Prinzipal (Root-Benutzer des AWS-Kontos, eine IAM Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Principal hat dies in der Vergangenheit nicht aufgerufen. API

Dieses Ergebnis wird durch verdächtige Änderungen an den benutzerbezogenen Berechtigungen in Ihrer AWS Umgebung ausgelöst, z. B. wenn ein Prinzipal in Ihrer AWS Umgebung den aufruft, ohne dies in der AttachUserPolicy API Vergangenheit getan zu haben. Angreifer können gestohlene Anmeldeinformationen verwenden, um neue Benutzer zu erstellen, Zugriffsrichtlinien für bestehende Benutzer hinzuzufügen oder Zugriffsschlüssel zu erstellen, um ihren Zugriff auf ein Konto zu maximieren, selbst wenn ihr ursprünglicher Zugangspunkt geschlossen ist. Beispielsweise könnte der Besitzer des Kontos feststellen, dass ein bestimmter IAM Benutzer oder ein bestimmtes Passwort gestohlen wurde, und es aus dem Konto löschen. Andere Benutzer, die von einem betrügerisch erstellten Administratorprinzipal erstellt wurden, werden jedoch möglicherweise nicht gelöscht, sodass der Angreifer auf ihr AWS Konto zugreifen kann.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

PrivilegeEscalation:IAMUser/AdministrativePermissions

Ein Prinzipal hat versucht, sich selbst eine hochgradig weitreichende Richtlinie zuzuweisen.

Standard-Schweregrad: Niedrig*

Dieses Ergebnis deutet darauf hin, dass eine bestimmte IAM Entität in Ihrer AWS Umgebung ein Verhalten zeigt, das auf einen Angriff zur Eskalation von Rechten hinweisen kann. Dieses Ergebnis wird ausgelöst, wenn ein IAM Benutzer oder eine Rolle versucht, sich selbst eine sehr freizügige Richtlinie zuzuweisen. Wenn der/die entsprechende Benutzer oder Rolle nicht über administrative Rechte verfügen darf, können entweder die Anmeldeinformationen des Benutzers kompromittiert sein oder die Berechtigungen der Rolle wurden nicht ordnungsgemäß konfiguriert.

Angreifer können gestohlene Anmeldeinformationen verwenden, um neue Benutzer zu erstellen, Zugriffsrichtlinien für bestehende Benutzer hinzuzufügen oder Zugriffsschlüssel zu erstellen, um ihren Zugriff auf ein Konto zu maximieren, selbst wenn ihr ursprünglicher Zugangspunkt geschlossen ist. Beispielsweise könnte der Besitzer des Kontos feststellen, dass die Anmeldeinformationen eines bestimmten IAM Benutzers gestohlen wurden, und sie aus dem Konto löschen, andere Benutzer, die von einem betrügerisch erstellten Administratorprinzipal erstellt wurden, nicht löschen, sodass der Angreifer weiterhin auf ihr AWS Konto zugreifen kann.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Recon:IAMUser/NetworkPermissions

Ein Prinzipal hat einen aufgerufen, der API häufig verwendet wird, um die Netzwerkzugriffsberechtigungen für Sicherheitsgruppen, Routen und ACLs in Ihrem Konto zu ändern. AWS

Standard-Schweregrad: Mittel*

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Prinzipal (Root-Benutzer des AWS-Kontos, eine IAM Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Principal hat dies in der Vergangenheit nicht aufgerufen. API

Diese Erkenntnis wird ausgelöst, wenn Ressourcen-Zugriffsberechtigungen in Ihrem AWS -Konto unter fragwürdigen Umständen untersucht werden. Zum Beispiel, wenn ein Schulleiter den aufgerufen hat, DescribeInstances API ohne dies in der Vergangenheit getan zu haben. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Recon:IAMUser/ResourcePermissions

Ein Principal hat eine Funktion aufgerufen, die API häufig verwendet wird, um die Sicherheitszugriffsrichtlinien verschiedener Ressourcen in Ihrem Konto zu ändern. AWS

Standard-Schweregrad: Mittel*

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Prinzipal (Root-Benutzer des AWS-Kontos, eine IAM Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Principal hat dies in der Vergangenheit nicht aufgerufen. API

Diese Erkenntnis wird ausgelöst, wenn Ressourcen-Zugriffsberechtigungen in Ihrem AWS -Konto unter fragwürdigen Umständen untersucht werden. Zum Beispiel, wenn ein Schulleiter den aufgerufen hat, DescribeInstances API ohne dies in der Vergangenheit getan zu haben. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Recon:IAMUser/UserPermissions

Ein Principal hat eine Funktion aufgerufen, die API häufig zum Hinzufügen, Ändern oder Löschen von IAM Benutzern, Gruppen oder Richtlinien in Ihrem Konto verwendet wird. AWS

Standard-Schweregrad: Mittel*

Dieses Ergebnis wird ausgelöst, wenn Benutzerberechtigungen in Ihrer AWS Umgebung unter verdächtigen Umständen überprüft werden. Dies ist beispielsweise der Fall, wenn ein Prinzipal (Root-Benutzer des AWS-Kontos, eine IAM Rolle oder ein IAM Benutzer) den aufgerufen hat, ListInstanceProfilesForRole API ohne dies in der Vergangenheit getan zu haben. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um diese Art der Erkundung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.

Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Principal hat dies in der Vergangenheit nicht auf diese API Weise aufgerufen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

ResourceConsumption:IAMUser/ComputeResources

Ein Principal hat einen aufgerufen, der API häufig zum Starten von Compute-Ressourcen wie EC2 Instances verwendet wird.

Standard-Schweregrad: Mittel*

Dieses Ergebnis wird ausgelöst, wenn EC2 Instanzen im aufgelisteten Konto in Ihrer AWS Umgebung unter verdächtigen Umständen gestartet werden. Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangsbasis unterscheidet, z. B. wenn ein Principal (Root-Benutzer des AWS-Kontos, eine IAM Rolle oder ein IAM Benutzer) den RunInstances API aufgerufen hat, ohne dies in der Vergangenheit getan zu haben. Dies kann ein Anzeichen für ein Angreifer sein, der gestohlene Anmeldeinformationen nutzt, um Rechenzeit zu stehlen (beispielsweise für das Mining von Kryptowährung, oder zum Entschlüsseln von Passwörtern). Es kann auch ein Hinweis darauf sein, dass ein Angreifer eine EC2 Instanz in Ihrer AWS Umgebung und deren Anmeldeinformationen verwendet, um den Zugriff auf Ihr Konto aufrechtzuerhalten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

Stealth:IAMUser/LoggingConfigurationModified

Ein Principal hat eine Funktion aufgerufen, die API häufig verwendet wird, um die CloudTrail Protokollierung zu beenden, bestehende Protokolle zu löschen und auf andere Weise Spuren von Aktivitäten in Ihrem AWS Konto zu beseitigen.

Standard-Schweregrad: Mittel*

Diese Erkenntnis wird ausgelöst, wenn die Protokollierungskonfiguration in dem aufgeführten AWS -Konto in Ihrer Umgebung unter fragwürdigen Umständen geändert wird. Dieses Ergebnis informiert Sie darüber, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangsbasis unterscheidet, z. B. wenn ein Principal (Root-Benutzer des AWS-Kontos, eine IAM Rolle oder ein IAM Benutzer) den aufgerufen hat, ohne dies in der StopLogging API Vergangenheit getan zu haben. Dies kann darauf hinweisen, dass ein Angreifer versucht, seine Spuren zu verwischen, indem er alle Anzeichen von Aktivität entfernt.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

UnauthorizedAccess:IAMUser/ConsoleLogin

Es wurde eine ungewöhnliche Konsolenanmeldung durch einen Principal in Ihrem AWS Konto beobachtet.

Standard-Schweregrad: Mittel*

Dieses Ergebnis wird ausgelöst, wenn eine Konsolenanmeldung unter fragwürdigen Umständen erkannt wird. Dies ist beispielsweise der Fall, wenn ein Principal, der noch nie zuvor in der Vergangenheit tätig war, ConsoleLogin API von einem never-before-used Client oder einem ungewöhnlichen Standort aus aufgerufen hat. Dies könnte ein Hinweis darauf sein, dass gestohlene Anmeldedaten verwendet wurden, um auf Ihr AWS Konto zuzugreifen, oder dass ein gültiger Benutzer auf ungültige oder weniger sichere Weise auf das Konto zugreift (z. B. nicht über eine zulässige AnzahlVPN).

Dieses Ergebnis informiert Sie darüber, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Für diesen Prinzipal gibt es keinen vorherigen Verlauf von Anmeldeaktivitäten mit dieser Client-Anwendung von diesem bestimmten Standort aus.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

UnauthorizedAccess:EC2/TorIPCaller

Ihre EC2 Instanz empfängt eingehende Verbindungen von einem Tor-Ausgangsknoten.

Standard-Schweregrad: Mittel

Dieser Befund informiert dich darüber, dass eine EC2 Instanz in deiner AWS Umgebung eingehende Verbindungen von einem Tor-Ausgangsknoten empfängt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dieses Ergebnis kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Backdoor:EC2/XORDDOS

Eine EC2 Instanz versucht, mit einer IP-Adresse zu kommunizieren, die mit XOR DDoS Malware in Verbindung gebracht wird.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instanz in Ihrer AWS Umgebung versucht, mit einer IP-Adresse zu kommunizieren, die mit XOR DDoS Malware in Verbindung steht. Diese EC2 Instanz ist möglicherweise gefährdet. XORDDoSist eine trojanische Malware, die Linux-Systeme kapert. Um Zugriff auf das System zu erhalten, startet es einen Brute-Force-Angriff, um das Passwort für die Secure Shell (SSH) -Dienste unter Linux zu ermitteln. Nachdem die SSH Anmeldeinformationen abgerufen wurden und die Anmeldung erfolgreich war, verwendet es Root-Benutzerrechte, um ein Skript auszuführen, das heruntergeladen und installiert wird XORDDoS. Diese Schadsoftware wird dann als Teil eines Botnetzes verwendet, um verteilte Denial-of-Service (DDoS) -Angriffe gegen andere Ziele zu starten.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

Behavior:IAMUser/InstanceLaunchUnusual

Ein Benutzer hat eine EC2 Instanz eines ungewöhnlichen Typs gestartet.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein bestimmter Benutzer in Ihrer AWS Umgebung ein Verhalten zeigt, das sich vom festgelegten Ausgangswert unterscheidet. Dieser Benutzer hat noch nie zuvor eine EC2 Instance dieses Typs gestartet. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.

CryptoCurrency:EC2/BitcoinTool.A

EC2Die Instanz kommuniziert mit Bitcoin-Mining-Pools.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instanz in Ihrer AWS Umgebung mit Bitcoin-Mining-Pools kommuniziert. Beim Mining von Kryptowährungen werden Ressourcen in einem Pool kombiniert, damit die Verarbeitungsleistung über ein Netzwerk gemeinsam genutzt werden kann. Der Gewinn wird dann nach Maßgabe der zur Lösung des Blocks beigetragenen Arbeit aufgeteilt. Sofern Sie diese EC2 Instance nicht für Bitcoin-Mining verwenden, ist Ihre EC2 Instance möglicherweise gefährdet.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.

UnauthorizedAccess:IAMUser/UnusualASNCaller

An API wurde von einer IP-Adresse eines ungewöhnlichen Netzwerks aufgerufen.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine bestimmte Aktivität von einer IP-Adresse eines unüblichen Netzwerks aufgerufen wurde. Dieses Netzwerk wurde im gesamten AWS -Nutzungsverlauf des beschriebenen Benutzers noch nie beobachtet. Diese Aktivität kann eine Konsolenanmeldung, den Versuch, eine EC2 Instance zu starten, einen neuen IAM Benutzer zu erstellen, Ihre AWS Rechte zu ändern usw. beinhalten. Dies kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen.

Empfehlungen zur Abhilfe:

Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.