Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty Suchtypen für den S3-Schutz

Die folgenden Ergebnisse sind spezifisch für Amazon S3 S3-Ressourcen und haben den Ressourcentyp, S3Bucket ob es sich bei der Datenquelle um CloudTrail Datenereignisse für S3 oder AccessKey um CloudTrail Verwaltungsereignisse handelt. Der Schweregrad und die Details der Ergebnisse unterscheiden sich je nach Ergebnistyp und Berechtigung, die dem Bucket zugeordnet sind.

Die hier aufgeführten Erkenntnisse beinhalten die Datenquellen und Modelle, die zur Generierung dieses Erkenntnistyps verwendet wurden. Weitere Informationen zu Datenquellen und Modellen finden Sie unter GuardDuty grundlegende Datenquellen.

Für alle S3Bucket-Arten von Erkenntnissen wird empfohlen, die Berechtigungen für den betreffenden Bucket und die Berechtigungen aller Benutzer, die an dem Erkenntniss beteiligt waren, zu überprüfen. Falls die Aktivität unerwartet ist, lesen Sie die Empfehlungen zur Problembehebung unter Behebung eines potenziell gefährdeten S3-Buckets.

Discovery:S3/AnomalousBehavior

Eine API häufig zur Erkennung von S3-Objekten verwendete Methode wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Niedrig

Dieses Ergebnis informiert Sie darüber, dass eine IAM Entität S3 aufgerufen hatAPI, um S3-Buckets in Ihrer Umgebung zu ermitteln, wie z. ListObjects Diese Art von Aktivität steht im Zusammenhang mit der Erkennungsphase eines Angriffs, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS Umgebung für einen umfassenderen Angriff anfällig ist. Diese Aktivität ist verdächtig, da die IAM Entität den auf ungewöhnliche API Weise aufgerufen hat. Beispielsweise ruft eine IAM Entität ohne vorherige Historie ein S3 aufAPI, oder eine IAM Entität ruft ein S3 API von einem ungewöhnlichen Ort aus auf.

Dies API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API Anfragen in Ihrem Konto aus und identifiziert ungewöhnliche Ereignisse, die mit den von Gegnern verwendeten Techniken zusammenhängen. Es verfolgt verschiedene Faktoren der API Anfragen, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische AnfrageAPI, den angeforderten Bucket und die Anzahl der getätigten Aufrufe. API Weitere Informationen darüber, welche Faktoren der API Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie unter Finding details.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Discovery:S3/MaliciousIPCaller

Ein S3, das API häufig zum Auffinden von Ressourcen in einer AWS Umgebung verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein API S3-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Das beobachtete API Phänomen wird häufig mit der Erkennungsphase eines Angriffs in Verbindung gebracht, in der ein Angreifer Informationen über Ihre Umgebung sammelt. AWS Beispiele hierfür sind GetObjectAcl und ListObjects.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Discovery:S3/MaliciousIPCaller.Custom

Ein S3 API wurde von einer IP-Adresse aus aufgerufen, die auf einer benutzerdefinierten Bedrohungsliste steht.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein S3API, wie GetObjectAcl oderListObjects, von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig mit der Erkennungsphase eines Angriffs in Verbindung gebracht, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS -Umgebung für einen umfassenderen Angriff anfällig ist.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Discovery:S3/TorIPCaller

Ein S3 API wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.

Standard-Schweregrad: Mittel

Dieser Befund informiert dich darüber, dass ein S3API, wie zum Beispiel GetObjectAcl oderListObjects, von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen wurde. Diese Art von Aktivität steht im Zusammenhang mit der Erkennungsphase eines Angriffs, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS Umgebung für einen umfassenderen Angriff anfällig ist. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, um die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Exfiltration:S3/AnomalousBehavior

Eine IAM Entität hat S3 auf verdächtige API Weise aufgerufen.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine IAM Entität API Aufrufe tätigt, die einen S3-Bucket betreffen, und dass sich diese Aktivität von der festgelegten Basisaktivität dieser Entität unterscheidet. Der in dieser Aktivität verwendete API Anruf steht im Zusammenhang mit der Exfiltrationsphase eines Angriffs, in der ein Angreifer versucht, Daten zu sammeln. Diese Aktivität ist verdächtig, da die IAM Entität den auf ungewöhnliche API Weise aufgerufen hat. Beispielsweise ruft eine IAM Entität ohne vorherige Historie ein S3 aufAPI, oder eine IAM Entität ruft ein S3 API von einem ungewöhnlichen Ort aus auf.

Dies API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API Anfragen in Ihrem Konto aus und identifiziert ungewöhnliche Ereignisse, die mit den von Gegnern verwendeten Techniken zusammenhängen. Es verfolgt verschiedene Faktoren der API Anfragen, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische AnfrageAPI, den angeforderten Bucket und die Anzahl der getätigten Aufrufe. API Weitere Informationen darüber, welche Faktoren der API Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie unter Finding details.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Exfiltration:S3/MaliciousIPCaller

Ein S3, das API üblicherweise zum Sammeln von Daten aus einer AWS Umgebung verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein API S3-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Das beobachtete API Phänomen wird häufig mit Exfiltrationstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten aus Ihrem Netzwerk zu sammeln. Beispiele hierfür sind GetObject und CopyObject.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Impact:S3/AnomalousBehavior.Delete

Eine IAM Entität hat ein S3 aufgerufenAPI, das versucht, Daten auf verdächtige Weise zu löschen.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine IAM Entität in Ihrer AWS Umgebung API Aufrufe tätigt, die einen S3-Bucket betreffen, und dass sich dieses Verhalten von der festgelegten Baseline dieser Entität unterscheidet. Der in dieser Aktivität verwendete API Anruf steht im Zusammenhang mit einem Angriff, bei dem versucht wird, Daten zu löschen. Diese Aktivität ist verdächtig, da die IAM Entität den auf ungewöhnliche API Weise aufgerufen hat. Beispielsweise ruft eine IAM Entität ohne vorherige Historie ein S3 aufAPI, oder eine IAM Entität ruft ein S3 API von einem ungewöhnlichen Ort aus auf.

Dies API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API Anfragen in Ihrem Konto aus und identifiziert ungewöhnliche Ereignisse, die mit den von Gegnern verwendeten Techniken zusammenhängen. Es verfolgt verschiedene Faktoren der API Anfragen, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische AnfrageAPI, den angeforderten Bucket und die Anzahl der getätigten Aufrufe. API Weitere Informationen darüber, welche Faktoren der API Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie unter Finding details.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Wir empfehlen eine Prüfung des Inhalts Ihres S3-Buckets, um festzustellen, ob die vorherige Objektversion wiederhergestellt werden kann oder sollte.

Impact:S3/AnomalousBehavior.Permission

Ein API häufig für die Festlegung der Zugriffssteuerungsliste (ACL) verwendeter Zugriffsberechtigungen wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass eine IAM Entität in Ihrer AWS Umgebung eine Bucket-Richtlinie oder die ACL aufgelisteten S3-Buckets geändert hat. Durch diese Änderung können Ihre S3-Buckets allen authentifizierten AWS Benutzern öffentlich zugänglich gemacht werden.

Dies API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API Anfragen in Ihrem Konto aus und identifiziert ungewöhnliche Ereignisse, die mit den von Gegnern verwendeten Techniken zusammenhängen. Es verfolgt verschiedene Faktoren der API Anfragen, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische AnfrageAPI, den angeforderten Bucket und die Anzahl der getätigten Aufrufe. API Weitere Informationen darüber, welche Faktoren der API Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie unter Finding details.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Wir empfehlen eine Prüfung des Inhalts Ihres S3-Buckets, um sicherzustellen, dass kein unerwarteter öffentlicher Zugriff auf Objekte gewährt wurde.

Impact:S3/AnomalousBehavior.Write

Eine IAM Entität hat ein S3 aufgerufenAPI, das versucht, Daten auf verdächtige Weise zu schreiben.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass eine IAM Entität in Ihrer AWS Umgebung API Aufrufe tätigt, die einen S3-Bucket betreffen, und dass sich dieses Verhalten von der festgelegten Baseline dieser Entität unterscheidet. Der in dieser Aktivität verwendete API Aufruf steht im Zusammenhang mit einem Angriff, bei dem versucht wird, Daten zu schreiben. Diese Aktivität ist verdächtig, da die IAM Entität den auf ungewöhnliche API Weise aufgerufen hat. Beispielsweise ruft eine IAM Entität ohne vorherige Historie ein S3 aufAPI, oder eine IAM Entität ruft ein S3 API von einem ungewöhnlichen Ort aus auf.

Dies API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API Anfragen in Ihrem Konto aus und identifiziert ungewöhnliche Ereignisse, die mit den von Gegnern verwendeten Techniken zusammenhängen. Es verfolgt verschiedene Faktoren der API Anfragen, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische AnfrageAPI, den angeforderten Bucket und die Anzahl der getätigten Aufrufe. API Weitere Informationen darüber, welche Faktoren der API Anfrage für die Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie unter Finding details.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Wir empfehlen eine Prüfung des Inhalts Ihres S3-Buckets, um sicherzustellen, dass bei diesem API Aufruf keine schädlichen oder unautorisierten Daten geschrieben wurden.

Impact:S3/MaliciousIPCaller

Ein S3, das API häufig zur Manipulation von Daten oder Prozessen in einer AWS Umgebung verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein API S3-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Das beobachtete API Phänomen wird häufig mit Einschlagstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. AWS Beispiele hierfür sind PutObject und PutObjectAcl.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

PenTest:S3/KaliLinux

Ein S3 API wurde von einem Kali-Linux-Computer aus aufgerufen.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Kali Linux ausgeführt wird, API S3-Aufrufe mit Anmeldeinformationen tätigt, die zu Ihrem AWS Konto gehören. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert. Kali Linux ist ein beliebtes Tool für Penetrationstests, mit dem Sicherheitsexperten Schwachstellen in EC2 Fällen identifizieren, die gepatcht werden müssen. Angreifer verwenden dieses Tool auch, um EC2 Konfigurationsschwächen zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

PenTest:S3/ParrotLinux

Ein S3 API wurde von einem Parrot Security Linux-Computer aus aufgerufen.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Parrot Security Linux ausgeführt wird, API S3-Aufrufe mit Anmeldeinformationen tätigt, die zu Ihrem AWS Konto gehören. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert. Parrot Security Linux ist ein beliebtes Tool für Penetrationstests, das Sicherheitsexperten verwenden, um Schwachstellen in EC2 Instanzen zu identifizieren, die gepatcht werden müssen. Angreifer verwenden dieses Tool auch, um EC2 Konfigurationsschwächen zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

PenTest:S3/PentooLinux

Ein S3 API wurde von einem Pentoo Linux-Computer aus aufgerufen.

Standard-Schweregrad: Mittel

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Pentoo Linux ausgeführt wird, API S3-Aufrufe mit Anmeldeinformationen tätigt, die zu Ihrem AWS Konto gehören. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert. Pentoo Linux ist ein beliebtes Tool für Penetrationstests, das Sicherheitsexperten verwenden, um Schwachstellen in EC2 Fällen zu identifizieren, die gepatcht werden müssen. Angreifer verwenden dieses Tool auch, um EC2 Konfigurationsschwächen zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Policy:S3/AccountBlockPublicAccessDisabled

Eine IAM Entität hat den öffentlichen Zugriff auf ein Konto aufgerufen und zur Deaktivierung von S3 API verwendet.

Standard-Schweregrad: Niedrig

Diese Erkenntnis informiert Sie darüber, dass Amazon S3 Block Public Access auf Kontoebene deaktiviert wurde. Wenn die S3 Block Public Access-Einstellungen aktiviert sind, werden sie als Sicherheitsmaßnahme verwendet, um die Richtlinien oder Zugriffskontrolllisten (ACLs) in Buckets zu filtern, um eine versehentliche Offenlegung von Daten zu verhindern.

In der Regel ist S3 Block Public Access deaktiviert, um den öffentlichen Zugriff auf einen Bucket oder die Objekte im Bucket zuzulassen. Wenn S3 Block Public Access für ein Konto deaktiviert ist, wird der Zugriff auf Ihre Buckets durch die Richtlinien oder die Einstellungen für Block Public Access auf Bucket-Ebene gesteuertACLs, die auf Ihre individuellen Buckets angewendet wurden. Dies bedeutet nicht, dass der Bucket öffentlich freigegeben ist. Sie sollten die auf den Bucket angewendeten Berechtigungen jedoch überprüfen, um sicherzustellen, dass die passenden Zugangsebenen angewendet werden.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Policy:S3/BucketAnonymousAccessGranted

Ein IAM Principal hat dem Internet Zugriff auf einen S3-Bucket gewährt, indem er die Bucket-Richtlinien geändert hat oder. ACLs

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass der aufgelistete S3-Bucket im Internet öffentlich zugänglich gemacht wurde, weil eine IAM Entität eine Bucket-Richtlinie oder ACL für diesen Bucket geändert hat. Nachdem eine Richtlinie oder ACL Änderung erkannt wurde, ermittelt anhand automatisierter Argumentation auf Basis von Zelkova, ob der Bucket öffentlich zugänglich ist.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Policy:S3/BucketBlockPublicAccessDisabled

Eine IAM Entität hat für einen Bucket Block Public Access von S3 aufgerufen und API verwendet, um diesen zu deaktivieren.

Standard-Schweregrad: Niedrig

Diese Erkenntnis informiert Sie darüber, dass Block Public Access für den S3-Bucket deaktiviert wurde. Wenn diese Option aktiviert ist, werden die Einstellungen von S3 Block Public Access verwendet, um die Richtlinien oder Zugriffskontrolllisten (ACLs) zu filtern, die auf Buckets angewendet wurden. Dies ist eine Sicherheitsmaßnahme, um zu verhindern, dass Daten versehentlich öffentlich zugänglich gemacht werden.

In der Regel ist S3 Block Public Access deaktiviert, um den öffentlichen Zugriff auf einen Bucket oder die Objekte im Bucket zuzulassen. Wenn S3 Block Public Access für einen Bucket deaktiviert ist, wird der Zugriff auf den Bucket durch die Richtlinien gesteuert oder ACLs auf ihn angewendet. Dies bedeutet nicht, dass der Bucket öffentlich geteilt wird. Sie sollten jedoch die Richtlinien überprüfen und ACLs auf den Bucket anwenden, um sicherzustellen, dass die entsprechenden Berechtigungen angewendet werden.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Policy:S3/BucketPublicAccessGranted

Ein IAM Principal hat allen AWS Benutzern öffentlichen Zugriff auf einen S3-Bucket gewährt, indem er die Bucket-Richtlinien geändert hat oderACLs.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass der aufgelistete S3-Bucket allen authentifizierten AWS Benutzern öffentlich zugänglich gemacht wurde, weil eine IAM Entität eine Bucket-Richtlinie oder ACL für diesen S3-Bucket geändert hat. Nachdem eine Richtlinie oder ACL Änderung erkannt wurde, ermittelt anhand automatisierter Argumentation auf Basis von Zelkova, ob der Bucket öffentlich zugänglich ist.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Stealth:S3/ServerAccessLoggingDisabled

S3-Server-Zugriffsprotokollierung für einen Bucket wurde deaktiviert.

Standard-Schweregrad: Niedrig

Dieses Ergebnis informiert Sie darüber, dass die Protokollierung des S3-Serverzugriffs für einen Bucket in Ihrer AWS Umgebung deaktiviert ist. Wenn diese Option deaktiviert ist, werden keine Webanforderungsprotokolle für Versuche erstellt, auf den identifizierten S3-Bucket zuzugreifen. API S3-Management-Aufrufe an den Bucket, z. B. DeleteBucket, werden jedoch weiterhin verfolgt. Wenn die S3-Datenereignisprotokollierung CloudTrail für diesen Bucket aktiviert ist, werden Webanfragen für Objekte innerhalb des Buckets weiterhin verfolgt. Das Deaktivieren der Protokollierung ist eine Methode, die häufig von nicht autorisierten Benutzern verwendet wird, um ihre Spuren zu verwischen. Weitere Informationen zu S3-Protokollen finden Sie unter S3-Serverzugriffsprotokollierung und Optionen für S3-Protokollierung.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Ein S3 API wurde von einer IP-Adresse aus aufgerufen, die auf einer benutzerdefinierten Bedrohungsliste steht.

Standard-Schweregrad: Hoch

Dieses Ergebnis informiert Sie darüber, dass ein API S3-Vorgang, z. B. PutObject oderPutObjectAcl, von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

UnauthorizedAccess:S3/TorIPCaller

Ein S3 API wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.

Standard-Schweregrad: Hoch

Dieser Befund informiert Sie darüber, dass eine API S3-Operation, wie zum Beispiel PutObject oderPutObjectAcl, von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen wurde. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dieses Ergebnis kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.