Erkenntnisdetails - Amazon GuardDuty
Überblick über ErkenntnisseRessourceEinzelheiten zur Suche nach der AngriffssequenzRDSBenutzerdetails für die Datenbank (DB)Runtime Monitoring: Einzelheiten findenEBSEinzelheiten zum Scannen von VolumesMalware-Schutz zum EC2 Auffinden von DetailsInformationen zum Malware-Schutz für S3AktionAkteur oder ZielEinzelheiten zur GeolokalisierungZusätzliche InformationenBeweiseAnormales Verhalten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erkenntnisdetails

In der GuardDuty Amazon-Konsole können Sie die Details zu den Ergebnissen im Abschnitt Zusammenfassung der Ergebnisse einsehen. Die Erkenntnisdetails variieren je nach Erkenntnistyp.

Hauptsächlich bestimmen zwei Details, welche Arten von Informationen für jede Erkenntnis verfügbar sind. Der erste ist der Ressourcentyp, derInstance,AccessKey,S3Bucket,S3Object,Kubernetes cluster,ECS cluster, Container RDSDBInstanceRDSLimitlessDB, oder sein kannLambda. Das zweite Detail, das die Suche nach Informationen bestimmt, ist die Ressourcenrolle. Die Rolle der Ressource kann seinTarget, was bedeutet, dass die Ressource das Ziel verdächtiger Aktivitäten war. Bei Feststellungen vom Typ Instance kann die Rolle der Ressource auch Actor sein, was bedeutet, dass Ihre Ressource der Akteur war, der die verdächtige Aktivität durchgeführt hat. In diesem Thema werden einige der allgemein verfügbaren Erkenntnisdetails beschrieben. Für GuardDuty Runtime Monitoring: Typen finden und Suchtyp „Malware-Schutz für S3“ ist die Ressourcenrolle nicht gefüllt.

Überblick über Erkenntnisse

Der Abschnitt Überblick enthält die grundlegendsten Merkmale, anhand derer die Erkenntnis identifiziert werden kann, einschließlich der folgenden Informationen:

  • Konto-ID — Die ID des AWS Kontos, in dem die Aktivität stattfand, die GuardDuty zur Generierung dieses Ergebnisses geführt hat.

  • Anzahl — Gibt an, wie oft GuardDuty eine Aktivität, die diesem Muster entspricht, mit dieser Ergebnis-ID aggregiert wurde.

  • Erstellt am – Uhrzeit und Datum des Zeitpunkts, an dem diese Erkenntnis erstmals erstellt wurde. Wenn dieser Wert von Aktualisiert am abweicht, bedeutet dies, dass die Aktivität mehrfach stattgefunden hat und ein fortlaufendes Problem darstellt.

    Anmerkung

    Zeitstempel für Ergebnisse in der GuardDuty Konsole werden in Ihrer lokalen Zeitzone angezeigt, während bei JSON Exporten und CLI Ausgaben Zeitstempel in angezeigt werden. UTC

  • Erkenntnis-ID – Eine eindeutige Erkenntnis-ID für diesen Erkenntnistyp und Parametersatz. Neue Vorkommen von Aktivitäten, die diesem Muster entsprechen, werden für dieselbe ID aggregiert.

  • Erkenntnistyp – Eine formatierte Zeichenfolge, die den Typ der Aktivität darstellt, durch den die Erkenntnis ausgelöst wurde. Weitere Informationen finden Sie unter GuardDuty Format finden.

  • Region — Die AWS Region, in der das Ergebnis generiert wurde. Weitere Informationen zu unterstützten Regionen finden Sie unter Regionen und Endpunkte

  • Ressourcen-ID — Die ID der AWS Ressource, für die die Aktivität stattgefunden hat, die GuardDuty zur Generierung dieses Ergebnisses geführt hat.

  • Scan-ID — Gilt für Ergebnisse, bei denen GuardDuty Malware Protection for aktiviert EC2 ist. Dabei handelt es sich um eine Kennung des Malware-Scans, der auf den EBS Volumes ausgeführt wird, die der potenziell gefährdeten EC2 Instance- oder Container-Workload zugeordnet sind. Weitere Informationen finden Sie unter Malware-Schutz zum EC2 Auffinden von Details.

  • Schweregrad — Einem Ergebnis wird entweder der Schweregrad Kritisch, Hoch, Mittel oder Niedrig zugewiesen. Weitere Informationen finden Sie unter Schweregrade der Ergebnisse.

  • Aktualisiert am — Das letzte Mal, als dieses Ergebnis mit einer neuen Aktivität aktualisiert wurde, die dem Muster entspricht, das GuardDuty zur Generierung dieses Ergebnisses geführt hat.

Ressource

Die betroffene Ressource enthält Einzelheiten zu der AWS Ressource, auf die die auslösende Aktivität abzielte. Die verfügbaren Informationen variieren je nach Ressourcentyp und Aktionstyp.

Ressourcenrolle — Die Rolle der AWS Ressource, die den Befund ausgelöst hat. Dieser Wert kann TARGEToder sein und ACTORgibt an, ob Ihre Ressource das Ziel der verdächtigen Aktivität oder der Akteur war, der die verdächtige Aktivität ausgeführt hat.

Ressourcen-Typ – der Typ der betroffenen Ressource. Wenn mehrere Ressourcen betroffen waren, kann eine Erkenntnis mehrere Ressourcentypen umfassen. Die Ressourcentypen sind Instance AccessKey, S3Bucket, S3Object,,, Container KubernetesCluster, ECSCluster, und RDSDBInstanceLambda. RDSLimitlessDB Je nach Ressourcentyp stehen unterschiedliche Erkenntnisdetails zur Verfügung. Wählen Sie eine Registerkarte mit Ressourcenoptionen aus, um mehr über die für diese Ressource verfügbaren Details zu erfahren.

Instance

Instance-Details:

Anmerkung

Einige Instanzdetails fehlen möglicherweise, wenn die Instanz bereits gestoppt wurde oder wenn der zugrunde liegende Aufruf bei einem API regionsübergreifenden Aufruf von einer EC2 Instanz in einer anderen Region stammte. API

  • Instanz-ID — Die ID der EC2 Instanz, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

  • Instanztyp — Der Typ der EC2 Instanz, die an der Entdeckung beteiligt war.

  • Startzeit – Das Datum und die Uhrzeit, zu der die Instance gestartet wurde.

  • Outpost ARN — Der Amazon-Ressourcenname (ARN) von AWS Outposts. Gilt nur für AWS Outposts Instances. Weitere Informationen finden Sie unter Was ist AWS Outposts? im Benutzerhandbuch für Outposts-Racks.

  • Name der Sicherheitsgruppe – Der Name der Sicherheitsgruppe, die der beteiligten Instance angefügt ist.

  • Sicherheitsgruppen-ID – Die ID der Sicherheitsgruppe, die der beteiligten Instance angefügt ist.

  • Instance-Status – Der aktuelle Status der Ziel-Instance.

  • Availability Zone – Die Availability Zone der AWS -Region, in der sich die betroffene Instance befindet.

  • Image-ID – Die ID des Amazon Machine Image, das zum Erstellen der an der Aktivität beteiligten Instance verwendet wurde.

  • Image-Beschreibung – Eine Beschreibung der ID des Amazon Machine Image, das zum Erstellen der Instance verwendet wurde, die an der Aktivität beteiligt war.

  • Tags – Eine Liste der Tags, die dieser Ressource angefügt sind, die im Format key:value aufgeführt werden.

AccessKey

Details zu Zugriffsschlüsseln:

  • Zugriffsschlüssel-ID — Die Zugriffsschlüssel-ID des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

  • Prinzipal-ID — Die Prinzipal-ID des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

  • Benutzertyp — Der Benutzertyp, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat. Weitere Informationen finden Sie unter CloudTrail userIdentity Element.

  • Benutzername — Der Name des Benutzers, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

S3Bucket

Details zum Amazon-S3-Bucket:

  • Name – Der Name des Buckets, der an der Erkenntnis beteiligt war.

  • ARN— Der Bucket, ARN der an dem Befund beteiligt war.

  • Eigentümer – Die kanonische Benutzer-ID des Benutzers, dem der Bucket gehört, der an der Erkenntnis beteiligt war. Weitere Informationen zu kanonischen Benutzern finden IDs Sie unter AWS Konto-Identifikatoren.

  • Typ – Der Typ der Bucket-Erkenntnis. Mögliche Werte sind Ziel oder Quelle.

  • Standardmäßige serverseitige Verschlüsselung – Verschlüsselungsdetails für den Bucket.

  • Bucket-Tags – Eine Liste der Tags, die dieser Ressource zugeordnet sind und im Format key:value aufgeführt werden.

  • Effektive Berechtigungen – Eine Auswertung aller effektiven Berechtigungen und Richtlinien für den Bucket, die angibt, ob der betreffende Bucket öffentlich verfügbar ist. Werte können Öffentlich oder Nicht öffentlich sein.

S3Object

  • S3-Objektdetails — Enthält die folgenden Informationen über das gescannte S3-Objekt:

    • ARN— Amazon-Ressourcenname (ARN) des gescannten S3-Objekts.

    • Schlüssel — Der Name, der der Datei zugewiesen wurde, als sie im S3-Bucket erstellt wurde.

    • Versions-ID — Wenn Sie die Bucket-Versionierung aktiviert haben, gibt dieses Feld die Versions-ID an, die der neuesten Version des gescannten S3-Objekts zugeordnet ist. Weitere Informationen finden Sie unter Verwenden der Versionierung in S3-Buckets im Amazon S3 S3-Benutzerhandbuch.

    • eTag— Stellt die spezifische Version des gescannten S3-Objekts dar.

    • Hash — Der Hash der Bedrohung, die in diesem Ergebnis erkannt wurde.

  • S3-Bucket-Details — Enthält die folgenden Informationen über den Amazon S3 S3-Bucket, der dem gescannten S3-Objekt zugeordnet ist:

    • Name — Gibt den Namen des S3-Buckets an, der das Objekt enthält.

    • ARN— Amazon-Ressourcenname (ARN) des S3-Buckets.

  • Besitzer — Kanonische ID des Besitzers des S3-Buckets.

EKSCluster

Details zum Kubernetes-Cluster:

  • Name – Name des Kubernetes-Clusters.

  • ARN— DieARN, die den Cluster identifiziert.

  • Erstellt am – Uhrzeit und Datum des Zeitpunkts, an dem dieser Cluster erstmals erstellt wurde.

    Anmerkung

    Zeitstempel für Ergebnisse in der GuardDuty Konsole werden in Ihrer lokalen Zeitzone angezeigt, während bei JSON Exporten und CLI Ausgaben Zeitstempel in angezeigt werden. UTC

  • VPCID — Die ID derVPC, die Ihrem Cluster zugeordnet ist.

  • Status – Der aktuelle Status des Clusters.

  • Tags – Die Metadaten, die Sie auf den Cluster anwenden, um die Kategorisierung und Organisation zu erleichtern. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert, aufgelistet im Format key:value. Sie können sowohl den Schlüssel als auch den Wert definieren.

    Cluster-Tags werden nicht auf andere Ressourcen verteilt, die dem Cluster zugeordnet sind.

Details zum Kubernetes-Workload:

  • Typ – Der Typ des Kubernetes-Workloads, wie Pod, Bereitstellung und Job.

  • Name – Der Name des Kubernetes-Workloads.

  • Uid – Die eindeutige ID des Kubernetes-Workloads.

  • Erstellt am – Uhrzeit und Datum des Zeitpunkts, an dem dieser Workload erstmals erstellt wurde.

  • Labels – Die Schlüssel-Wert-Paare, die dem Kubernetes-Workload angefügt wurden.

  • Container – Die Details des Containers, der als Teil des Kubernetes-Workloads ausgeführt wird.

  • Namespace – Der Workload gehört zu diesem Kubernetes-Namespace.

  • Volumes – Die vom Kubernetes-Workload verwendeten Volumes.

    • Hostpfad – Stellt eine bereits vorhandene Datei oder ein Verzeichnis auf dem Host-Computer dar, dem das Volume zugeordnet ist.

    • Name – Der Name des Volumes.

  • Pod-Sicherheitskontext – Definiert die Einstellungen für Rechte und Zugriffskontrolle für alle Container in einem Pod.

  • Host-Netzwerk – Auf true setzen, wenn die Pods im Kubernetes-Workload enthalten sind.

Kubernetes-Benutzerdetails:

  • Gruppen — Kubernetes-Gruppen RBAC (Steuerung auf Rollenzugriffsbasis) des Benutzers, der an der Aktivität beteiligt war, die das Ergebnis generiert hat.

  • ID – Eindeutige ID des Kubernetes-Benutzers.

  • Benutzername – Name des Kubernetes-Benutzers, der an der Aktivität beteiligt war, die das Ergebnis generiert hat.

  • Sitzungsname — Entität, die die IAM Rolle mit Kubernetes-Berechtigungen übernommen hat. RBAC

ECSCluster

ECSClusterdetails:

  • ARN— ARN Derjenige, der den Cluster identifiziert.

  • Name – Der Name des Clusters.

  • Status – Der aktuelle Status des Clusters.

  • Anzahl der aktiven Services – Die Anzahl der Services, die in einem ACTIVE-Status auf dem Cluster ausgeführt werden. Sie können diese Dienste mit anzeigen ListServices

  • Anzahl registrierter Container-Instances – Die Anzahl der Container-Instances, die im Cluster registriert sind. Dazu gehören Container-Instances sowohl im Status ACTIVE als auch im Status DRAINING.

  • Anzahl der laufenden Aufgaben – Die Anzahl der Aufgaben im Cluster, die sich im RUNNING-Status befinden.

  • Tags – Die Metadaten, die Sie auf den Cluster anwenden, um die Kategorisierung und Organisation zu erleichtern. Jedes Tag besteht aus einem Schlüssel und einem optionalen Wert, aufgelistet im Format key:value. Sie können sowohl den Schlüssel als auch den Wert definieren.

  • Container – Die Details zu dem Container, der der Aufgabe zugeordnet ist:

    • Containername – Der Name des Containers.

    • Container-Image – Das Image des Containers.

  • Aufgabendetails – Die Details einer Aufgabe in einem Cluster.

    • ARN— Der Amazon-Ressourcenname (ARN) der Aufgabe.

    • Definition ARN — Der Amazon-Ressourcenname (ARN) der Aufgabendefinition, die die Aufgabe erstellt.

    • Version – Der Versionszähler für die Aufgabe.

    • Aufgabe erstellt am – Der Unix-Zeitstempel für den Erstellungszeitpunkt der Aufgabe.

    • Aufgabe gestartet am – Der Unix-Zeitstempel für den Startzeitpunkt der Aufgabe.

    • Aufgabe gestartet von – Das Tag, das beim Starten einer Aufgabe angegeben wurde.

Container

Details zum Container:

  • Container-Laufzeit – Die Container-Laufzeit (wie z. B. docker oder containerd), die zum Ausführen des Containers verwendet wurde.

  • ID — Die Container-Instance-ID oder vollständige ARN Einträge für die Container-Instance.

  • Name – Der Name des Containers.

  • Image – Das Image der Container-Instance.

  • Volume-Mounts – Liste der Volume-Mounts von Containern. Ein Container kann ein Volume unter seinem Dateisystem mounten.

  • Sicherheitskontext – Der Sicherheitskontext des Containers definiert Einstellungen für Rechte und Zugriffskontrolle für einen Container.

  • Prozessdetails – Beschreibt die Details des Prozesses, der mit der Erkenntnis verknüpft ist.

RDSDBInstance

RDSDBInstanceEinzelheiten:

Anmerkung

Diese Ressource ist unter RDS Schutzergebnisse im Zusammenhang mit der Datenbankinstanz verfügbar.

  • Datenbank-Instance-ID — Der Identifier, der der Datenbank-Instance zugeordnet ist, die an der GuardDuty Entdeckung beteiligt war.

  • Engine – Der Name der Datenbank-Engine der Datenbank-Instance, die an der Erkenntnis beteiligt war. Mögliche Werte sind Aurora My SQL -Compatible oder Aurora Postgre SQL -Compatible.

  • Engine-Version — Die Version der Datenbank-Engine, die an der Entdeckung beteiligt war. GuardDuty

  • Datenbank-Cluster-ID — Der Bezeichner des Datenbank-Clusters, der die Datenbank-Instance-ID enthält, die an der GuardDuty Suche beteiligt war.

  • Datenbankinstanz ARN — DieARN, die die Datenbankinstanz identifiziert, die an der GuardDuty Suche beteiligt war.

RDSLimitlessDB

RDSLimitlessDBEinzelheiten:

Diese Ressource ist unter RDS Schutzergebnisse im Zusammenhang mit der unterstützten Engine-Version von Limitless Database verfügbar.

  • DB-Shard-Gruppen-ID — Der Name, der der Limitless-DB-Shard-Gruppe zugeordnet ist.

  • Ressourcen-ID der DB-Shardgruppe — Die Ressourcen-ID der DB-Shard-Gruppe innerhalb der Limitless DB.

  • DB-Shard-Gruppe ARN — Der Amazon-Ressourcenname (ARN), der die DB-Shard-Gruppe identifiziert.

  • Engine — Die Kennung der Limitless-DB, die an der Entdeckung beteiligt war.

  • Engine-Version — Die Version der Limitless DB-Engine.

  • DB-Cluster-ID — Der Name des Datenbank-Clusters, der Teil der Limitless DB ist.

Hinweise zu Benutzer- und Authentifizierungsdetails der potenziell betroffenen Datenbank finden Sie unter. RDSBenutzerdetails für die Datenbank (DB)

Lambda
Details zur Lambda-Funktion

  • Funktionsname – Der Name der Lambda-Funktion, die an der Erkenntnis beteiligt ist.

  • Funktionsversion – Die Version der Lambda-Funktion, die an der Erkenntnis beteiligt ist.

  • Funktionsbeschreibung – Eine Beschreibung der Lambda-Funktion, die an der Erkenntnis beteiligt ist.

  • Funktion ARN — Der Amazon-Ressourcenname (ARN) der Lambda-Funktion, die an der Suche beteiligt war.

  • Revisions-ID – Die Revisions-ID der Lambda-Funktionsversion.

  • Rolle – Die Ausführungsrolle der Lambda-Funktion, die an der Erkenntnis beteiligt ist.

  • VPCKonfiguration — Die VPC Amazon-Konfiguration, einschließlich der VPC ID, Sicherheitsgruppe und des Subnetzes, die mit Ihrer Lambda-Funktion IDs verknüpft sind.

    • VPCID — Die Amazon-IDVPC, die der Lambda-Funktion zugeordnet ist, die an der Entdeckung beteiligt war.

    • Subnetz IDs — Die ID der Subnetze, die Ihrer Lambda-Funktion zugeordnet sind.

    • Sicherheitsgruppe – Die Sicherheitsgruppe, die der betroffenen Lambda-Funktion angefügt ist. Dazu gehören der Name und die Gruppen-ID der Sicherheitsgruppe.

  • Tags – Eine Liste der Tags, die dieser Ressource angefügt sind, die im Format key:value aufgeführt werden.

Einzelheiten zur Suche nach der Angriffssequenz

GuardDuty bietet Details zu jedem Befund, den es in Ihrem Konto generiert. Diese Informationen helfen Ihnen dabei, die Gründe für den Befund zu verstehen. Dieser Abschnitt konzentriert sich auf Details im Zusammenhang mitArten der Suche nach Angriffssequenzen. Dazu gehören Erkenntnisse wie potenziell betroffene Ressourcen, der Zeitplan der Ereignisse, Indikatoren, Signale und Endpunkte, die an den Ergebnissen beteiligt waren.

Einzelheiten zu Signalen, bei denen es sich um GuardDuty Ergebnisse handelt, finden Sie in den entsprechenden Abschnitten auf dieser Seite.

Wenn Sie in der GuardDuty Konsole ein Ergebnis der Angriffssequenz auswählen, ist der Seitenbereich mit den Details in die folgenden Registerkarten unterteilt:

  • Überblick — Bietet eine kompakte Ansicht der Details zur Angriffssequenz, einschließlich Signalen, MITRE Taktiken und potenziell betroffenen Ressourcen.

  • Signale — Zeigt eine Zeitleiste der Ereignisse an, die an einer Angriffssequenz beteiligt sind.

  • Ressourcen — Stellt Informationen zu den potenziell betroffenen oder potenziell gefährdeten Ressourcen bereit.

Die folgende Liste enthält Beschreibungen im Zusammenhang mit den Details zur Entdeckung der Angriffssequenz.

Signale

Ein Signal kann eine API Aktivität oder ein Befund sein, der GuardDuty verwendet wird, um einen Befund in der Angriffssequenz zu erkennen. GuardDuty betrachtet die schwachen Signale, die sich nicht als eindeutige Bedrohung darstellen, fügt sie zusammen und korreliert mit individuell generierten Ergebnissen. Für mehr Kontext bietet die Registerkarte „Signale“ eine Zeitleiste der Signale, wie sie von GuardDuty beobachtet wurden.

Jedem Signal, also einem GuardDuty Befund, ist ein eigener Schweregrad und ein eigener Wert zugewiesen. In der GuardDuty Konsole können Sie jedes Signal auswählen, um die zugehörigen Details anzuzeigen.

Schauspieler

Enthält Einzelheiten zu den Bedrohungsakteuren in einer Angriffssequenz. Weitere Informationen finden Sie unter Schauspieler in Amazon GuardDuty API Reference.

Endpunkte

Enthält Details zu den Netzwerkendpunkten, die in dieser Angriffssequenz verwendet wurden. Weitere Informationen finden Sie NetworkEndpointunter Amazon GuardDuty API Reference. Informationen darüber, wie der Standort GuardDuty bestimmt wird, finden Sie unterEinzelheiten zur Geolokalisierung.

Indikatoren

Beinhaltet beobachtete Daten, die dem Muster eines Sicherheitsproblems entsprechen. Diese Daten geben an, warum GuardDuty es Hinweise auf eine potenziell verdächtige Aktivität gibt. Lautet der Indikatorname beispielsweiseHIGH_RISK_API, deutet dies auf eine Aktion hin, die häufig von Bedrohungsakteuren verwendet wird, oder auf eine sensible Aktion, die potenzielle Auswirkungen auf eine haben kann AWS-Konto, z. B. den Zugriff auf Anmeldeinformationen oder die Änderung einer Ressource.

Die folgende Tabelle enthält eine Liste potenzieller Indikatoren und deren Beschreibungen:

Name des Indikators Beschreibung

SUSPICIOUS_USER_AGENT

Der Benutzeragent ist mit potenziell bekannten verdächtigen oder ausgenutzten Anwendungen wie Amazon S3 S3-Clients und Angriffstools verknüpft.

SUSPICIOUS_NETWORK

Das Netzwerk wird mit bekanntermaßen niedrigen Reputationswerten wie riskanten Anbietern virtueller privater Netzwerke (VPN) und Proxydiensten in Verbindung gebracht.

MALICIOUS_IP

Die IP-Adresse hat Bedrohungsinformationen bestätigt, die auf böswillige Absichten hinweisen.

TOR_IP

Die IP-Adresse ist einem Tor-Ausgangsknoten zugeordnet.

HIGH_RISK_API

Dies beinhaltet den AWS-Service Namen und eventName weist auf eine Aktion hin, AWS API die häufig von Bedrohungsakteuren verwendet wird, oder es handelt sich um eine sensible Aktion, die potenzielle Auswirkungen auf eine haben kann AWS-Konto, wie z. B. den Zugriff auf Anmeldeinformationen oder die Änderung von Ressourcen.

ATTACK_TACTIC

Die MITRE Taktiken, wie Discovery und Impact.

ATTACK_TECHNIQUE

Die MITRE Technik, die der Bedrohungsakteur in einer Angriffssequenz verwendet. Beispiele hierfür sind der Zugriff auf Ressourcen und deren unbeabsichtigte Verwendung sowie das Ausnutzen von Sicherheitslücken.

UNUSUAL_API_FOR_ACCOUNT

Zeigt an, dass der ungewöhnlich aufgerufen AWS API wurde, basierend auf dem historischen Ausgangswert des Kontos. Weitere Informationen finden Sie unter Anormales Verhalten.

UNUSUAL_ASN_FOR_ACCOUNT

Zeigt an, dass die Nummer des autonomen Systems (ASN) auf der Grundlage des historischen Basiswerts des Kontos als ungewöhnlich identifiziert wurde. Weitere Informationen finden Sie unter Anormales Verhalten.

UNUSUAL_ASN_FOR_USER

Zeigt an, dass die Nummer des autonomen Systems (ASN) auf der Grundlage des historischen Ausgangswerts des Benutzers als ungewöhnlich eingestuft wurde. Weitere Informationen finden Sie unter Anormales Verhalten.

MITRETaktik

Dieses Feld gibt die MITRE ATT &CK-Taktiken an, die der Bedrohungsakteur in einer Angriffssequenz versucht. GuardDuty verwendet das MITREATTACK&-Framework, das der gesamten Angriffssequenz Kontext hinzufügt. Die Farben, die die GuardDuty Konsole verwendet, um die vom Bedrohungsakteur verwendeten Bedrohungszwecke zu spezifizieren, entsprechen den Farben, die für kritisch, hoch, mittel und niedrig stehenSchweregrade der Ergebnisse.

Netzwerkindikatoren

Zu den Indikatoren gehört eine Kombination von Netzwerkindikatorwerten, die erklären, warum ein Netzwerk auf ein verdächtiges Verhalten hinweist. Dieser Abschnitt gilt nur, wenn der Indikator SUSPICIOUS_NETWORK oder MALICIOUS_IP enthält. Das folgende Beispiel zeigt, wie Netzwerkindikatoren mit einem Indikator verknüpft werden könnten, wobei:

  • AnyCompanyist ein Autonomes System (AS).

  • TUNNEL_VPNIS_ANONYMOUS, und ALLOWS_FREE_ACCESS sind die Netzwerkindikatoren. 

...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...

Die folgende Tabelle enthält die Werte der Netzwerkindikatoren und ihre Beschreibung. Diese Tags werden auf der Grundlage der Bedrohungsinformationen hinzugefügt, die aus Quellen wie Spur GuardDuty gesammelt wurden

Wert des Netzwerkanzeigers Beschreibung

TUNNEL_VPN

Die Netzwerk- oder IP-Adresse ist einem VPN Tunneltyp zugeordnet. Dies bezieht sich auf ein bestimmtes Protokoll, mit dessen Hilfe eine sichere, verschlüsselte Verbindung zwischen zwei Punkten über ein öffentliches Netzwerk hergestellt werden kann.

TUNNEL_PROXY

Die Netzwerk- oder IP-Adresse ist einem Proxy-Tunneltyp zugeordnet. Dies bezieht sich auf ein bestimmtes Protokoll, das beim Herstellen einer Verbindung über einen Proxyserver hilft.

TUNNEL_RDP

Die Netzwerk- oder IP-Adresse steht im Zusammenhang mit der Verwendung einer Methode zur Kapselung des Remote-Desktop-Datenverkehrs (RDP) in einem anderen Protokoll, um die Sicherheit zu erhöhen, Netzwerkeinschränkungen zu umgehen oder den Fernzugriff über Firewalls zu ermöglichen.

IS_ANONYMOUS

Die Netzwerk- oder IP-Adresse ist einem bekannten anonymen Dienst oder einem Proxydienst zugeordnet. Dies kann auf potenzielle verdächtige Aktivitäten hinweisen, die sich hinter anonymen Netzwerken verstecken.

KNOWN_THREAT_OPERATOR

Die Netzwerk- oder IP-Adresse ist mit einem bekanntermaßen riskanten Tunnelanbieter verknüpft. Dies weist darauf hin, dass verdächtige Aktivitäten von einer IP-Adresse aus erkannt wurden, die mit einem VPN Proxy oder anderen Tunneldiensten verknüpft ist, die häufig für böswillige Zwecke verwendet werden.

ALLOWS_FREE_ACCESS

Die Netzwerk- oder IP-Adresse ist einem Tunnelbetreiber zugeordnet, der den Zugriff auf seinen Dienst ermöglicht, ohne dass eine Authentifizierung oder Zahlung erforderlich ist. Dazu können auch Testkonten oder eingeschränkte Nutzungserlebnisse gehören, die von verschiedenen Onlinediensten angeboten werden.

ALLOWS_CRYPTO

Die Netzwerk- oder IP-Adresse ist mit einem Tunnelanbieter (z. B. VPN einem Proxydienst) verknüpft, der ausschließlich Kryptowährungen oder andere digitale Währungen als Zahlungsmethode akzeptiert.

ALLOWS_TORRENTS

Die Netzwerk- oder IP-Adresse ist mit Diensten oder Plattformen verknüpft, die Torrent-Verkehr zulassen. Solche Dienste werden häufig mit der Unterstützung und Nutzung von Torrents sowie mit Aktivitäten zur Umgehung von Urheberrechten in Verbindung gebracht.

RISK_CALLBACK_PROXY

Die Netzwerk- oder IP-Adresse wird Geräten zugeordnet, von denen bekannt ist, dass sie Datenverkehr an private Proxys, Malware-Proxys oder andere Callback-Proxy-Netzwerke weiterleiten. Dies bedeutet nicht, dass alle Aktivitäten im Netzwerk proxybezogen sind, sondern dass das Netzwerk in der Lage ist, den Datenverkehr im Namen dieser Proxynetzwerke weiterzuleiten.

RISK_GEO_MISMATCH

Dieser Indikator deutet darauf hin, dass das Rechenzentrum oder der Hosting-Standort eines Netzwerks vom erwarteten Standort der Benutzer und Geräte dahinter abweicht. Wenn dieser Indikatorwert nicht vorhanden ist, bedeutet dies nicht, dass keine Diskrepanz vorliegt. Dies könnte bedeuten, dass nicht genügend Daten vorliegen, um die Diskrepanz zu bestätigen.

IS_SCANNER

Die Netzwerk- oder IP-Adresse steht im Zusammenhang mit permanenten Anmeldeversuchen in Webformularen.

RISK_WEB_SCRAPING

Das IP-Netzwerk ist mit automatisierten Webclients und anderen programmatischen Webaktivitäten verknüpft.

CLIENT_BEHAVIOR_FILE_SHARING

Die Netzwerk- oder IP-Adresse ist mit dem Verhalten des Clients verknüpft, das auf Filesharing-Aktivitäten wie peer-to-peer (P2P-) Netzwerke oder Filesharing-Protokolle hinweist.

CATEGORY_COMMERCIAL_VPN

Die Netzwerk- oder IP-Adresse ist einem Tunnelbetreiber zugeordnet, der als herkömmlicher kommerzieller Dienst für virtuelle private Netzwerke (VPN) eingestuft wird, der innerhalb eines Rechenzentrums betrieben wird.

CATEGORY_FREE_VPN

Die Netzwerk- oder IP-Adresse ist einem Tunnelbetreiber zugeordnet, der als völlig kostenloser VPN Dienst eingestuft ist.

CATEGORY_RESIDENTIAL_PROXY

Die Netzwerk- oder IP-Adresse ist einem Tunnelbetreiber zugeordnet, der als SDK Malware- oder get-paid-to Proxydienst eingestuft ist.

OPERATOR_XXX

Der Name des Dienstanbieters, der diesen Tunnel betreibt.

RDSBenutzerdetails für die Datenbank (DB)

Anmerkung

Dieser Abschnitt bezieht sich auf Ergebnisse, die sich ergeben, wenn Sie die RDS Schutzfunktion in aktivieren GuardDuty. Weitere Informationen finden Sie unter GuardDuty RDS-Schutz.

Das GuardDuty Ergebnis liefert die folgenden Benutzer- und Authentifizierungsdetails der potenziell gefährdeten Datenbank:

  • Benutzer – Der Benutzername, der für den anomalen Anmeldeversuch verwendet wurde.

  • Anwendung – Der Anwendungsname, der für den anomalen Anmeldeversuch verwendet wurde.

  • Datenbank – Der Name der Datenbank-Instance, die an dem anomalen Anmeldeversuch beteiligt war.

  • SSL— Die für das Netzwerk verwendete Version von Secure Socket Layer (SSL).

  • Authentifizierungsmethode – Die Authentifizierungsmethode, die von dem Benutzer verwendet wurde, der an der Erkenntnis beteiligt war.

Hinweise zu der potenziell gefährdeten Ressource finden Sie unterRessource.

Runtime Monitoring: Einzelheiten finden

Anmerkung

Diese Details sind möglicherweise nur verfügbar, wenn eines der GuardDuty generiert wirdGuardDuty Runtime Monitoring: Typen finden.

Dieser Abschnitt enthält die Laufzeitdetails wie Prozessdetails und den erforderlichen Kontext. Prozessdetails beschreiben Informationen über den beobachteten Prozess, und der Laufzeitkontext beschreibt alle zusätzlichen Informationen über die potenziell verdächtige Aktivität.

Details zum Prozess

  • Name – Der Name des Prozesses.

  • Ausführbarer Pfad – Absoluter Pfad der ausführbaren Zieldatei des Prozesses.

  • Executable SHA -256 — Der SHA256 Hash der ausführbaren Datei des Prozesses.

  • Namespace PID — Die Prozess-ID des Prozesses in einem anderen sekundären PID Namespace als dem Namespace auf Host-Ebene. PID Bei Prozessen innerhalb eines Containers ist dies die Prozess-ID, die innerhalb des Containers beobachtet wird.

  • Derzeitiges Arbeitsverzeichnis – Das aktuelle Arbeitsverzeichnis des Prozesses.

  • Prozess-ID – Die ID, die dem Prozess vom Betriebssystem zugewiesen wurde.

  • startTime— Die Uhrzeit, zu der der Prozess gestartet wurde. Dies ist im UTC Datumszeichenfolgenformat (2023-03-22T19:37:20.168Z).

  • UUID— Die eindeutige ID, die dem Prozess von zugewiesen wurde GuardDuty.

  • Parent UUID — Die eindeutige ID des übergeordneten Prozesses. Diese ID wird dem übergeordneten Prozess von zugewiesen GuardDuty.

  • Benutzername – Der Benutzername, der den Prozess ausgeführt hat.

  • Benutzer-ID – Die Benutzer-ID des Benutzers, der den Prozess ausgeführt hat.

  • Effektive Benutzer-ID – Die effektive Benutzer-ID des Prozesses zum Zeitpunkt des Ereignisses.

  • Herkunft – Informationen über die Vorfahren des Prozesses.

    • Prozess-ID – Die ID, die dem Prozess vom Betriebssystem zugewiesen wurde.

    • UUID— Die eindeutige ID, die dem Prozess von zugewiesen wurde GuardDuty.

    • Ausführbarer Pfad – Absoluter Pfad der ausführbaren Zieldatei des Prozesses.

    • Effektive Benutzer-ID – Die effektive Benutzer-ID des Prozesses zum Zeitpunkt des Ereignisses.

    • Parent UUID — Die eindeutige ID des übergeordneten Prozesses. Diese ID wird dem übergeordneten Prozess von zugewiesen GuardDuty.

    • Startzeit – Die Uhrzeit, zu der der Prozess gestartet wurde.

    • Namespace PID — Die Prozess-ID des Prozesses in einem anderen sekundären PID Namespace als dem Namespace auf Host-EbenePID. Bei Prozessen innerhalb eines Containers ist dies die Prozess-ID, die innerhalb des Containers beobachtet wird.

    • Benutzer-ID – Die Benutzer-ID des Benutzers, der den Prozess ausgeführt hat.

    • Name – Der Name des Prozesses.

Laufzeitkontext

Aus den folgenden Feldern kann eine generierte Erkenntnis nur die Felder enthalten, die für den Erkenntnistyp relevant sind.

  • Mount-Quelle – Der Pfad auf dem Host, der vom Container bereitgestellt wird.

  • Mount-Ziel – Der Pfad im Container, der dem Host-Verzeichnis zugeordnet ist.

  • Dateisystem-Typ – Stellt den Typ des eingehängten Dateisystems dar.

  • Flags – Stellt Optionen dar, die das Verhalten des Ereignisses steuern, das an dieser Erkenntnis beteiligt ist.

  • Verändernder Prozess – Informationen über den Prozess, der zur Laufzeit eine Binärdatei, ein Skript oder eine Bibliothek in einem Container erstellt oder geändert hat.

  • Geändert am – Der Zeitstempel, zu dem der Prozess zur Laufzeit eine Binärdatei, ein Skript oder eine Bibliothek in einem Container erstellt oder geändert hat. Dieses Feld hat das Format einer UTC Datumszeichenfolge (). 2023-03-22T19:37:20.168Z

  • Bibliothekspfad – Der Pfad zur neuen Bibliothek, die geladen wurde.

  • LD-Vorladungs-Wert – Der Wert der LD_PRELOAD-Umgebungsvariable.

  • Socket-Pfad – Der Pfad zum Docker-Socket, auf den zugegriffen wurde.

  • Runc-Binär-Pfad – Der Pfad zur runc-Binärdatei.

  • Release-Agent-Pfad – Der Pfad zur cgroup-Release-Agent-Datei.

  • Beispiel für eine Befehlszeile — Das Beispiel der Befehlszeile, die an der potenziell verdächtigen Aktivität beteiligt war.

  • Werkzeugkategorie — Kategorie, zu der das Tool gehört. Einige der Beispiele sind Backdoor Tool, Pentest Tool, Network Scanner und Network Sniffer.

  • Toolname — Der Name des potenziell gefährlichen Tools.

  • Skriptpfad — Der Pfad zu dem ausgeführten Skript, das den Befund generiert hat.

  • Pfad der Bedrohungsdatei — Der verdächtige Pfad, für den die Bedrohungsinformationen gefunden wurden.

  • Dienstname — Der Name des Sicherheitsdienstes, der deaktiviert wurde.

EBSEinzelheiten zum Scannen von Volumes

Anmerkung

Dieser Abschnitt bezieht sich auf Ergebnisse, die sich ergeben, wenn Sie den GuardDuty -initiierten Malware-Scan in Malware-Schutz für EC2 aktivieren.

Der EBS Volumescan liefert Informationen über das EBS Volume, das der potenziell gefährdeten EC2 Instance- oder Container-Workload zugeordnet ist.

  • Scan-ID – Die Kennung des Malware-Scans.

  • Scan gestartet am – Das Datum und die Uhrzeit, zu der der Malware-Scan gestartet wurde.

  • Scan abgeschlossen am – Das Datum und die Uhrzeit, zu der der Malware-Scan abgeschlossen wurde.

  • Trigger Finding ID — Die Finde-ID des GuardDuty Fundes, der diesen Malware-Scan ausgelöst hat.

  • Quellen — Die möglichen Werte sind Bitdefender undAmazon.

    Weitere Informationen zur Scan-Engine, die zur Erkennung von Malware verwendet wird, finden Sie unterGuardDuty Scan-Engine zur Malware-Erkennung.

  • Scan-Erkennungen – Die vollständige Ansicht der Details und Ergebnisse jedes Malware-Scans.

    • Anzahl gescannter Objekte – Die Gesamtzahl der gescannten Dateien. Liefert Details wie totalGb, files und volumes.

    • Anzahl der entdeckten Bedrohungen – Die Gesamtzahl der während des Scans erkannten schädlichen files.

    • Bedrohungsdetails mit dem höchsten Schweregrad – Die Details der Bedrohung mit dem höchsten Schweregrad, die während des Scans erkannt wurde, und die Anzahl der schädlichen Dateien. Liefert Details wie severity, threatName und count.

    • Nach Namen erkannte Bedrohungen – Das Container-Element, in dem Bedrohungen aller Schweregrade gruppiert werden. Liefert Details wie itemCount, uniqueThreatNameCount, shortened und threatNames.

Malware-Schutz zum EC2 Auffinden von Details

Anmerkung

Dieser Abschnitt bezieht sich auf Ergebnisse, die sich ergeben, wenn Sie den GuardDuty -initiierten Malware-Scan in Malware-Schutz für EC2 aktivieren.

Wenn der Malware-Schutz für den EC2 Scan Malware entdeckt, können Sie die Scandetails anzeigen, indem Sie auf der Seite Ergebnisse in der https://console.aws.amazon.com/guardduty/Konsole den entsprechenden Befund auswählen. Der Schweregrad Ihres EC2 Malware-Schutzes bei der Entdeckung hängt vom Schweregrad des GuardDuty Fundes ab.

Die folgenden Informationen sind im Abschnitt Entdeckte Bedrohungen im Detailbereich verfügbar.

  • Name – Der Name der Bedrohung, der durch Gruppierung der Dateien nach Entdeckung ermittelt wurde.

  • Schweregrad – Der Schweregrad der erkannten Bedrohung.

  • Hash — Der SHA -256 der Datei.

  • Dateipfad — Der Speicherort der schädlichen Datei im EBS Volume.

  • Dateiname – Der Name der Datei, in der die Bedrohung erkannt wurde.

  • Volumen ARN — Das ARN der gescannten EBS Volumes.

Die folgenden Informationen sind im Abschnitt Malware-Scan-Details im Detailbereich verfügbar.

  • Scan-ID – Die Kennung des Malware-Scans.

  • Scan gestartet am – Das Datum und die Uhrzeit, zu der der Malware-Scan gestartet wurde.

  • Scan abgeschlossen am – Das Datum und die Uhrzeit, zu der der Scan abgeschlossen wurde.

  • Gescannte Dateien – Die Gesamtzahl der gescannten Dateien und Verzeichnisse.

  • Gescannte GB insgesamt – Die Menge an Speicherplatz, die während des Vorgangs gescannt wurde.

  • Erkennungs-ID des Auslösers — Die Finde-ID des GuardDuty Fundes, das diesen Malware-Scan ausgelöst hat.

  • Die folgenden Informationen sind im Abschnitt Volume-Details im Detailbereich verfügbar.

    • Volume ARN — Der Amazon-Ressourcenname (ARN) des Volumes.

    • Snapshot ARN — Der ARN Snapshot des EBS Volumes.

    • Status – Der Scan-Status des Volumes, z. B. Running, Skipped und Completed.

    • Verschlüsselungstyp – Der Verschlüsselungstyp, der zur Verschlüsselung des Volumes verwendet wird. Beispiel, CMCMK.

    • Gerätename – Der Name des Geräts. Beispiel, /dev/xvda.

Informationen zum Malware-Schutz für S3

Die folgenden Informationen zum Malware-Scan sind verfügbar, wenn Sie GuardDuty sowohl als auch Malware Protection for S3 in Ihrem aktivieren AWS-Konto:

  • Bedrohungen — Eine Liste der Bedrohungen, die während des Malware-Scans erkannt wurden.

    Mehrere potenzielle Bedrohungen in Archivdateien

    Wenn Sie eine Archivdatei mit potenziell mehreren Bedrohungen haben, meldet Malware Protection for S3 nur die erste erkannte Bedrohung. Danach wird der Scanstatus als abgeschlossen markiert. GuardDuty generiert den zugehörigen Befundtyp und sendet auch die von ihm generierten EventBridge Ereignisse. Weitere Informationen zur Überwachung der Amazon S3 S3-Objektscans mithilfe der EventBridge Ereignisse finden Sie im Beispiel-Benachrichtigungsschema für THREATS_ FOUND inErgebnis des S3-Objektscans.

  • Elementpfad — Eine Liste der verschachtelten Elementpfad- und Hash-Details des gescannten S3-Objekts.

    • Verschachtelter Elementpfad — Elementpfad des gescannten S3-Objekts, in dem die Bedrohung erkannt wurde.

      Der Wert dieses Felds ist nur verfügbar, wenn es sich bei dem Objekt der obersten Ebene um ein Archiv handelt und wenn in einem Archiv eine Bedrohung erkannt wurde.

    • Hash — Hash der Bedrohung, die in diesem Ergebnis erkannt wurde.

  • Quellen — Die möglichen Werte sind Bitdefender undAmazon.

    Weitere Informationen zur Scan-Engine, die zur Erkennung von Malware verwendet wird, finden Sie unterGuardDuty Scan-Engine zur Malware-Erkennung.

Aktion

Die Aktion einer Erkenntnis gibt Details über die Art der Aktivität, durch die das Ergebnis ausgelöst wurde. Die verfügbaren Informationen variieren je nach Aktionstyp.

Aktionstyp – Der Aktivitätstyp der Erkenntnis. Dieser Wert kann NETWORK_ CONNECTION, PORT_ PROBE, DNS_ REQUESTCALL, AWS_API_ oder RDS_ LOGIN _ seinATTEMPT. Die verfügbaren Informationen variieren je nach Aktionstyp:

  • NETWORK_ CONNECTION — Zeigt an, dass Netzwerkverkehr zwischen der identifizierten EC2 Instance und dem Remote-Host ausgetauscht wurde. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:

    • Verbindungsrichtung — Die Netzwerkverbindungsrichtung, die bei der Aktivität beobachtet wurde, die GuardDuty zur Generierung des Ergebnisses geführt hat. Bei ihnen kann es sich um einen der folgenden Werte handeln:

      • INBOUND— Zeigt an, dass ein Remote-Host eine Verbindung zu einem lokalen Port auf der identifizierten EC2 Instanz in Ihrem Konto initiiert hat.

      • OUTBOUND— Zeigt an, dass die identifizierte EC2 Instanz eine Verbindung zu einem Remote-Host initiiert hat.

      • UNKNOWN— Zeigt an, dass die Richtung der Verbindung nicht bestimmt werden GuardDuty konnte.

    • Protokoll — Das Netzwerkverbindungsprotokoll, das bei der Aktivität beobachtet wurde, die GuardDuty zur Generierung des Ergebnisses geführt hat.

    • Lokale IP – Die ursprüngliche Quell-IP-Adresse des Datenverkehrs, der die Erkenntnis ausgelöst hat. Diese Informationen können verwendet werden, um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der ursprünglichen Quell-IP-Adresse des Datenverkehrs , der die Suche ausgelöst hat, zu unterscheiden. Zum Beispiel die IP-Adresse eines EKS Pods im Gegensatz zur IP-Adresse der Instanz, auf der der EKS Pod ausgeführt wird.

    • Blockiert – Gibt an, ob der Ziel-Port blockiert ist.

  • PORT_ PROBE — Zeigt an, dass ein Remote-Host die identifizierte EC2 Instanz an mehreren offenen Ports getestet hat. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:

    • Lokale IP – Die ursprüngliche Quell-IP-Adresse des Datenverkehrs, der die Erkenntnis ausgelöst hat. Diese Informationen können verwendet werden, um zwischen der IP-Adresse einer Zwischenebene, durch die Datenverkehr fließt, und der ursprünglichen Quell-IP-Adresse des Datenverkehrs , der die Suche ausgelöst hat, zu unterscheiden. Zum Beispiel die IP-Adresse eines EKS Pods im Gegensatz zur IP-Adresse der Instance, auf der der EKS Pod ausgeführt wird.

    • Blockiert – Gibt an, ob der Ziel-Port blockiert ist.

  • DNS_ REQUEST — Zeigt an, dass die identifizierte EC2 Instanz einen Domainnamen abgefragt hat. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:

    • Protokoll — Das Netzwerkverbindungsprotokoll, das bei der Aktivität beobachtet wurde, die GuardDuty zur Generierung des Ergebnisses führte.

    • Blockiert – Gibt an, ob der Ziel-Port blockiert ist.

  • AWS_API_ CALL — Zeigt an, dass ein aufgerufen AWS API wurde. Dieser Aktionstyp enthält die folgenden zusätzlichen Informationen:

    • API— Der Name der API Operation, die aufgerufen und somit GuardDuty zur Generierung dieses Ergebnisses aufgefordert wurde.

      Anmerkung

      Diese Operationen können auch API Ereignisse umfassen, die nicht von AWS CloudTrail erfasst wurden. Weitere Informationen finden Sie unter Nicht- API Ereignisse erfasst von CloudTrail.

    • Benutzeragent — Der Benutzeragent, der die API Anfrage gestellt hat. Dieser Wert gibt an, ob der Anruf von AWS Management Console, einem AWS Dienst AWS SDKs, dem oder dem getätigt wurde AWS CLI.

    • ERRORCODE— Wenn das Ergebnis durch einen fehlgeschlagenen API Anruf ausgelöst wurde, wird der Fehlercode für diesen Anruf angezeigt.

    • Dienstname — Der DNS Name des Dienstes, der versucht hat, den API Anruf zu tätigen, der den Befund ausgelöst hat.

  • RDS_ LOGIN _ ATTEMPT — Zeigt an, dass von einer Remote-IP-Adresse aus ein Anmeldeversuch bei der potenziell gefährdeten Datenbank unternommen wurde.

    • IP-Adresse – Die Remote-IP-Adresse, die für den potenziell verdächtigen Anmeldeversuch verwendet wurde.

Akteur oder Ziel

Eine Erkenntnis verfügt über den Abschnitt Actor, wenn die Ressourcenrolle TARGET war. Dies zeigt an, dass verdächtige Aktivitäten auf Ihre Ressource ausgerichtet waren, und der Abschnitt Actor enthält Details zur Entität, von der diese auf Ihre Ressource ausgerichtet wurden.

Eine Erkenntnis hat einen Ziel-Abschnitt, wenn die Ressourcenrolle ACTOR lautete. Dies zeigt an, dass Ihre Ressource an verdächtigen Aktivitäten gegen einen Remote-Host beteiligt war. Dieser Abschnitt enthält Informationen zur IP-Adresse und/oder Domain, auf die Ihre Ressource ausgerichtet ist.

Im Abschnitt Actor oder Ziel können folgende Informationen verfügbar sein:

  • Verbunden — Gibt an, ob das AWS Konto des API Remote-Anrufers mit Ihrer GuardDuty Umgebung in Verbindung steht. Wenn dieser Wert isttrue, ist der API Anrufer in irgendeiner Weise mit Ihrem Konto verbunden. Falls false der API Anrufer von außerhalb Ihrer Umgebung stammt.

  • Remote-Konto-ID — Die Konto-ID, der die ausgehende IP-Adresse gehört, die für den Zugriff auf die Ressource im endgültigen Netzwerk verwendet wurde.

  • IP-Adresse — Die IP-Adresse, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

  • Standort — Standortinformationen für die IP-Adresse, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

  • Organisation — Informationen zur ISP Organisation der IP-Adresse, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

  • Port — Die Portnummer, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

  • Domain — Die Domain, die an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

  • Domain mit Suffix — Die Domain der zweiten und obersten Ebene, die an einer Aktivität beteiligt war, die möglicherweise GuardDuty zur Generierung des Ergebnisses geführt hat. Eine Liste der Domänen der obersten und zweiten Ebene finden Sie in der Liste der öffentlichen Suffixe.

Einzelheiten zur Geolokalisierung

GuardDuty bestimmt den Standort und das Netzwerk von Anfragen mithilfe von MaxMind GeoIP-Datenbanken. MaxMind meldet eine sehr hohe Genauigkeit ihrer Daten auf Landesebene, obwohl die Genauigkeit je nach Faktoren wie Land und Art der IP-Adresse variiert. Weitere Informationen MaxMind dazu finden Sie unter MaxMind IP-Geolokalisierung. Wenn Sie der Meinung sind, dass einige der GeoIP-Daten falsch sind, senden Sie eine Korrekturanfrage MaxMind an MaxMindCorrect Geo IP2 Data.

Zusätzliche Informationen

Alle Erkenntnisse verfügen über einen Abschnitt Zusätzliche Informationen, der die folgenden Informationen enthalten kann:

  • Name der Bedrohungsliste — Der Name der Bedrohungsliste, die die IP-Adresse oder den Domainnamen enthält, der an der Aktivität beteiligt war, die GuardDuty zur Generierung des Fundes geführt hat.

  • Beispiel – Der Wert Wahr oder Falsch, gibt an, ob es sich um ein Beispiel-Erkenntnis handelt.

  • Archiviert – Der Wert Wahr oder Falsch, gibt an, ob diese Erkenntnis archiviert wurde.

  • Ungewöhnlich – Aktivitätsdetails, die zuvor noch nicht beobachtet wurden. Dazu können ein ungewöhnlicher (zuvor nicht beobachteter) Benutzer, ein ungewöhnlicher Ort, eine Uhrzeit, ein Bucket, ein Anmeldeverhalten oder eine ASN Organisation gehören.

  • Ungewöhnliches Protokoll — Das Netzwerkverbindungsprotokoll, das an der Aktivität beteiligt war, die GuardDuty zur Generierung des Ergebnisses geführt hat.

  • Agentendetails — Details über den Security Agent, der derzeit auf dem EKS Cluster in Ihrem installiert ist AWS-Konto. Dies gilt nur für Findetypen von EKS Runtime Monitoring.

    • Agent-Version — Die Version des GuardDuty Security Agents.

    • Agenten-ID — Die eindeutige Kennung des GuardDuty Security Agents.

Beweise

Erkenntnisse, die auf Bedrohungsinformationen basieren, haben einen Abschnitt Beweise, der die folgenden Informationen enthält:

  • Informationen zur Bedrohungsinformation — Der Name der Bedrohungsliste, auf der die erkannte Bedrohung aufgeführt Threat name ist.

  • Name der Bedrohung — Der Name der Malware-Familie oder eine andere Kennung, die mit der Bedrohung verknüpft ist.

  • Bedrohungsdatei SHA256 — SHA256 der Datei, die den Befund generiert hat.

Anormales Verhalten

Arten von Ergebnissen, die AnomalousBehaviorauf Folgendes enden, weisen darauf hin, dass der Befund durch das ML-Modell (Machine Learning) zur Erkennung von GuardDuty Anomalien generiert wurde. Das ML-Modell bewertet alle API Anfragen an Ihr Konto und identifiziert ungewöhnliche Ereignisse, die im Zusammenhang mit den Taktiken der Gegner stehen. Das ML-Modell verfolgt verschiedene Faktoren der API Anfrage, z. B. den Benutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, und den spezifischen Typ, der angefordert wurde. API

Einzelheiten darüber, welche Faktoren der API Anfrage für die CloudTrail Benutzeridentität, die die Anfrage aufgerufen hat, ungewöhnlich sind, finden Sie in den Ergebnisdetails. Die Identitäten werden durch das CloudTrail userIdentity Element definiert, und die möglichen Werte sind:Root,,IAMUser, AssumedRole FederatedUserAWSAccount, oder. AWSService

Zusätzlich zu den verfügbaren Informationen zu allen GuardDuty Ergebnissen, die mit API Aktivitäten in Verbindung stehen, enthalten die AnomalousBehaviorErgebnisse zusätzliche Details, die im folgenden Abschnitt beschrieben werden. Diese Details können in der Konsole eingesehen werden und sind auch in den Ergebnissen verfügbarJSON.

  • Anomal APIs — Eine Liste von API Anfragen, die von der Benutzeridentität in der Nähe der mit dem Ergebnis API verknüpften primären Anfrage aufgerufen wurden. In diesem Bereich werden die Details des API Ereignisses wie folgt weiter aufgeschlüsselt.

    • Die erste API aufgelistete ist die primäreAPI, d. h. die API Anfrage, die mit der beobachteten Aktivität mit dem höchsten Risiko verknüpft ist. Dies ist diejenigeAPI, die den Befund ausgelöst hat und mit der Angriffsphase des Befundtyps korreliert. Dies ist auch API das, was im Abschnitt Aktion in der Konsole und in den Ergebnissen detailliert beschrieben wird. JSON

    • Bei allen anderen APIs aufgelisteten Benutzern handelt es sich um weitere Anomalien APIs im Vergleich zur aufgelisteten Benutzeridentität, die in der Nähe des primären Benutzers beobachtet wurden. API Wenn nur eine Benutzeridentität API auf der Liste steht, hat das ML-Modell keine zusätzlichen API Anfragen von dieser Benutzeridentität als anomal identifiziert.

    • Die Liste von APIs ist danach unterteilt, ob eine erfolgreich aufgerufen API wurde oder ob eine nicht erfolgreich aufgerufen API wurde, was bedeutet, dass eine Fehlerantwort empfangen wurde. Die Art der empfangenen Fehlerantwort ist über jeder erfolglos aufgerufenen Antwort aufgeführt. API Mögliche Fehlerantworttypen sind: access denied, access denied exception, auth failure, instance limit exceeded, invalid permission - duplicate, invalid permission - not found und operation not permitted.

    • APIswerden nach dem zugehörigen Dienst kategorisiert.

    • Wenn Sie mehr Kontext benötigen, wählen Sie „Historisch“ aus, APIs um die wichtigsten Informationen zu sehenAPIs, bis zu einem Maximum von 20, die in der Regel sowohl für die Benutzeridentität als auch für alle Benutzer innerhalb des Kontos angezeigt werden. Sie APIs sind als Selten (weniger als einmal pro Monat), Selten (einige Male im Monat) oder Häufig (täglich bis wöchentlich) gekennzeichnet, je nachdem, wie oft sie in Ihrem Konto verwendet werden.

  • Ungewöhnliches Verhalten (Konto) – In diesem Abschnitt finden Sie zusätzliche Informationen zum profilierten Verhalten Ihres Kontos.

    Profiliertes Verhalten

    GuardDuty erfährt anhand der bereitgestellten Ereignisse kontinuierlich mehr über die Aktivitäten in Ihrem Konto. Diese Aktivitäten und ihre beobachtete Häufigkeit werden als profiliertes Verhalten bezeichnet.

    Zu den in diesem Bereich erfassten Informationen gehören:

    • ASNOrg — Die autonome Systemnummer (ASN), von der aus der ungewöhnliche API Anruf getätigt wurde.

    • Benutzername — Der Name des Benutzers, der den anomalen API Anruf getätigt hat.

    • Benutzeragent — Der Benutzeragent, der für den anomalen API Anruf verwendet wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. aws-cli oder Botocore.

    • Benutzertyp — Der Benutzertyp, der den anomalen API Anruf getätigt hat. Mögliche Werte sind AWS_SERVICE, ASSUMED_ROLE, IAM_USER oder ROLE.

    • Bucket – Der Name des S3-Buckets, auf den zugegriffen wurde.

  • Ungewöhnliches Verhalten (Benutzeridentität) – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten der Benutzeridentität, die an der Erkenntnis beteiligt war. Wenn ein Verhalten nicht als historisch identifiziert wurde, bedeutet dies, dass das GuardDuty ML-Modell diese Benutzeridentität während des Trainingszeitraums noch nicht auf diese Weise API aufgerufen hat. Die folgenden zusätzlichen Details zur Benutzeridentität sind verfügbar:

    • ASNOrg — Die ASN Organisation, von der aus der anomale API Aufruf getätigt wurde.

    • Benutzeragent — Der Benutzeragent, mit dem der anomale API Anruf getätigt wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. aws-cli oder Botocore.

    • Bucket – Der Name des S3-Buckets, auf den zugegriffen wurde.

  • Ungewöhnliches Verhalten (Bucket) – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten des S3-Buckets, der mit der Erkenntnis verknüpft ist. Wenn ein Verhalten nicht als historisch identifiziert wurde, bedeutet dies, dass das GuardDuty ML-Modell innerhalb des Trainingszeitraums noch keine API Aufrufe an diesen Bucket auf diese Weise gesehen hat. Zu den in diesem Bereich erfassten Informationen gehören:

    • ASNOrg — Die ASN Organisation, von der aus der anomale API Anruf getätigt wurde.

    • Benutzername — Der Name des Benutzers, der den anomalen API Anruf getätigt hat.

    • Benutzeragent — Der Benutzeragent, der für den anomalen API Anruf verwendet wurde. Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. aws-cli oder Botocore.

    • Benutzertyp — Der Benutzertyp, der den anomalen API Anruf getätigt hat. Mögliche Werte sind AWS_SERVICE, ASSUMED_ROLE, IAM_USER oder ROLE.

    Anmerkung

    Weitere Informationen zu historischen Verhaltensweisen finden Sie unter Historisches Verhalten in den Abschnitten Ungewöhnliches Verhalten (Konto), Benutzer-ID oder Bucket, wo Sie Details zum erwarteten Verhalten in Ihrem Konto für jede der folgenden Kategorien anzeigen können: Selten (weniger als einmal pro Monat), Gelegentlich (einige Male pro Monat) oder Häufig (täglich bis wöchentlich), je nachdem, wie oft sie in Ihrem Konto verwendet werden.

  • Ungewöhnliches Verhalten (Datenbank) – Dieser Abschnitt enthält zusätzliche Informationen zum profilierten Verhalten der Datenbank-Instance, das mit der Erkenntnis verknüpft ist. Wenn ein Verhalten nicht als historisch identifiziert wird, bedeutet dies, dass das GuardDuty ML-Modell innerhalb des Trainingszeitraums noch keinen Anmeldeversuch auf diese Weise bei dieser Datenbankinstanz festgestellt hat. Zu den Informationen, die für diesen Abschnitt im Erkenntnisbereich verfolgt werden, gehören:

    • Benutzer – Der Benutzername, der für den anomalen Anmeldeversuch verwendet wurde.

    • ASNOrganisation — Die ASN Organisation, von der aus der ungewöhnliche Anmeldeversuch unternommen wurde.

    • Anwendung – Der Anwendungsname, der für den anomalen Anmeldeversuch verwendet wurde.

    • Datenbank – Der Name der Datenbank-Instance, die an dem anomalen Anmeldeversuch beteiligt war.

    Der Abschnitt Historisches Verhalten bietet mehr Kontext zu den zuvor beobachteten Benutzernamen, ASNOrganisationen, Anwendungsnamen und Datenbanknamen für die zugehörige Datenbank. Jedem Einzelwert ist eine Anzahl zugeordnet, die angibt, wie oft dieser Wert bei einer erfolgreichen Anmeldung beobachtet wurde.

  • Ungewöhnliches Verhalten (Konto-Kubernetes-Cluster, Kubernetes-Namespace und Kubernetes-Benutzername) – In diesem Abschnitt finden Sie zusätzliche Informationen zum profilierten Verhalten des Kubernetes-Clusters und des mit der Erkenntnis verbundenen Namespaces. Wenn ein Verhalten nicht als historisch identifiziert wird, bedeutet dies, dass das GuardDuty ML-Modell dieses Konto, diesen Cluster, diesen Namespace oder diesen Benutzernamen zuvor nicht auf diese Weise beobachtet hat. Zu den Informationen, die für diesen Abschnitt im Erkenntnisbereich verfolgt werden, gehören:

    • Benutzername — Der Benutzer, der das mit dem Ergebnis API verknüpfte Kubernetes aufgerufen hat.

    • Impersonierter Nutzername – Der Benutzer, für den sich username ausgibt.

    • Namespace — Der Kubernetes-Namespace innerhalb des EKS Amazon-Clusters, in dem die Aktion stattgefunden hat.

    • User Agent — Der Benutzeragent, der dem Kubernetes-Aufruf zugeordnet ist. API Der Benutzeragent ist die Methode, mit der der Aufruf ausgeführt wird, z. B. kubectl.

    • API— Die Kubernetes, die username innerhalb des EKS Amazon-Clusters API aufgerufen wurden.

    • ASNInformationen — Die ASN Informationen, wie Organisation undISP, die mit der IP-Adresse des Benutzers verknüpft sind, der diesen Anruf tätigt.

    • Wochentag — Der Wochentag, an dem der API Kubernetes-Anruf getätigt wurde.

    • Erlaubnis — Das Kubernetes-Verb und die Ressource, die auf Zugriff geprüft werden, um anzugeben, ob sie Kubernetes verwenden username können oder nicht. API

    • Dienstkontoname — Das dem Kubernetes-Workload zugeordnete Dienstkonto, das dem Workload eine Identität verleiht.

    • Registrierung — Die Container-Registry, die dem Container-Image zugeordnet ist, das im Kubernetes-Workload bereitgestellt wird.

    • Image — Das Container-Image ohne die zugehörigen Tags und Digest, das im Kubernetes-Workload bereitgestellt wird.

    • Image-Präfix-Konfiguration — Das Image-Präfix mit aktivierter Container- und Workload-Sicherheitskonfiguration, z. B. hostNetwork oderprivileged, für den Container, der das Image verwendet.

    • Betreffname — Die Subjekte, wie z. B. a usergroup, oder, serviceAccountName die an eine Referenzrolle in einem RoleBinding oder gebunden sindClusterRoleBinding.

    • Rollenname — Der Name der Rolle, die an der Erstellung oder Änderung von Rollen beteiligt ist, oder roleBinding API

Volumenbezogene S3-Anomalien

In diesem Abschnitt werden die Kontextinformationen für volumenbasierte S3-Anomalien detailliert beschrieben. Das volumenbasierte Ergebnis (Exfiltration:S3/AnomalousBehavior) sucht nach ungewöhnlich vielen API S3-Aufrufen von Benutzern an die S3-Buckets, was auf eine mögliche Datenexfiltration hindeutet. Die folgenden API S3-Aufrufe werden im Hinblick auf die volumenabhängige Erkennung von Anomalien überwacht.

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

Die folgenden Metriken würden dabei helfen, eine Grundlage für das übliche Verhalten zu schaffen, wenn eine IAM Entität auf einen S3-Bucket zugreift. Um Datenexfiltration zu erkennen, werden bei der volumenbasierten Erkennung von Anomalien alle Aktivitäten anhand der üblichen Verhaltensgrundlagen bewertet. Wählen Sie die Option Historisches Verhalten in den Abschnitten Ungewöhnliches Verhalten (Benutzeridentität), Beobachtetes Volumen (Benutzeridentität) und Beobachtetes Volumen (Bucket) aus, um jeweils die folgenden Metriken anzuzeigen.

  • Anzahl der vom IAM Benutzer oder der IAM Rolle aufgerufenen s3-api-name API Aufrufe (hängt davon ab, welcher ausgelöst wurde), die mit dem betroffenen S3-Bucket in den letzten 24 Stunden verknüpft sind.

  • Anzahl der vom IAM Benutzer oder der IAM Rolle aufgerufenen s3-api-name API Aufrufe (hängt davon ab, welcher ausgelöst wurde), die allen S3-Buckets in den letzten 24 Stunden zugeordnet wurden.

  • Anzahl der s3-api-name API Aufrufe für alle IAM Benutzer oder IAM Rollen (hängt davon ab, welcher ausgelöst wurde), die mit dem betroffenen S3-Bucket in den letzten 24 Stunden verknüpft waren.

RDSAnomalien aufgrund von Anmeldeaktivitäten

In diesem Abschnitt wird die Anzahl der Anmeldeversuche des ungewöhnlichen Akteurs detailliert beschrieben und nach den Ergebnissen der Anmeldeversuche gruppiert. Die RDSArten der Suche nach Schutzmaßnahmen identifizieren anomales Verhalten, indem sie die Anmeldeereignisse auf ungewöhnliche Muster von successfulLoginCount, failedLoginCount und incompleteConnectionCount überwachen.

  • successfulLoginCount— Dieser Zähler stellt die Summe der erfolgreichen Verbindungen (richtige Kombination von Anmeldeattributen) dar, die der ungewöhnliche Akteur mit der Datenbankinstanz hergestellt hat. Zu den Anmeldeattributen gehören Benutzername, Passwort und Datenbankname.

  • failedLoginCount— Dieser Zähler stellt die Summe der fehlgeschlagenen (erfolglosen) Anmeldeversuche dar, die unternommen wurden, um eine Verbindung zur Datenbankinstanz herzustellen. Dies weist darauf hin, dass ein oder mehrere Attribute der Anmeldekombination, wie Benutzername, Passwort oder Datenbankname, falsch waren.

  • incompleteConnectionCount— Dieser Zähler stellt die Anzahl der Verbindungsversuche dar, die nicht als erfolgreich oder gescheitert eingestuft werden können. Diese Verbindungen werden geschlossen, bevor die Datenbank eine Antwort liefert. Beispielsweise Port-Scanning, bei dem der Datenbank-Port zwar verbunden ist, aber keine Information an die Datenbank gesendet wird, oder die Verbindung vor Abschluss der Anmeldung entweder erfolgreich oder fehlgeschlagen abgebrochen wurde.