GuardDuty formato de búsqueda - Amazon GuardDuty
Propósitos de amenaza

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

GuardDuty formato de búsqueda

Cuando GuardDuty detecta un comportamiento sospechoso o inesperado en su AWS entorno, genera un hallazgo. Un hallazgo es una notificación que contiene los detalles sobre un posible problema de seguridad que se GuardDuty descubre. Revisar GuardDuty los resultados en la consola GuardDutyIncluyen información sobre lo que ocurrió, qué AWS recursos estuvieron involucrados en la actividad sospechosa, cuándo tuvo lugar esta actividad e información relacionada que puede ayudarle a entender la causa raíz.

Uno de los datos más útiles de los detalles de los resultados es el tipo de resultado. El objetivo del tipo de resultado es proporcionar una descripción concisa pero comprensible del posible problema de seguridad. Por ejemplo, el tipo de PortProbeUnprotectedPort búsqueda GuardDuty Recon:EC2/le informa rápidamente de que, en algún lugar de su AWS entorno, una EC2 instancia tiene un puerto desprotegido que un posible atacante está investigando.

GuardDuty utiliza el siguiente formato para nombrar los distintos tipos de hallazgos que genera:

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName. DetectionMechanism! Artefacto

Cada parte de este formato representa un aspecto de un tipo de resultado. Estos aspectos tienen las siguientes explicaciones:

  • ThreatPurpose- describe el objetivo principal de una amenaza, el tipo de ataque o la fase de un posible ataque. Consulte la siguiente sección para obtener una lista completa de los propósitos de las GuardDuty amenazas.

  • ResourceTypeAffected- describe qué tipo de AWS recurso se identifica en este hallazgo como el objetivo potencial de un adversario. Actualmente, GuardDuty puede generar resultados para los tipos de recursos que se enumeran en elGuardDuty hallazgos activos.

  • ThreatFamilyName- describe la amenaza general o la posible actividad maliciosa que GuardDuty se está detectando. Por ejemplo, un valor de NetworkPortUnusualindica que una EC2 instancia identificada en el GuardDuty hallazgo no tiene un historial previo de comunicaciones en un puerto remoto concreto que también esté identificado en el hallazgo.

  • DetectionMechanism- describe el método con el que GuardDuty se detectó el hallazgo. Se puede usar para indicar una variación de un tipo de hallazgo común o un hallazgo que GuardDuty utilizó un mecanismo específico para detectarlo. Por ejemplo, Backdoor:EC2/DenialOfService.Tcp indica que se detectó un error de denegación de servicio (DoS). TCP La UDP variante es Backdoor: EC2/.UDP. DenialOfService

    Un valor de .Custom indica que GuardDuty se detectó el hallazgo en función de sus listas de amenazas personalizadas. Para obtener más información, consulte Listas de IP de confianza y de amenazas.

    Un valor de .Reputation indica que GuardDuty se detectó el hallazgo mediante un modelo de puntuación de reputación de dominio. Para obtener más información, consulte Cómo AWS rastrea las principales amenazas de seguridad de la nube y ayuda a eliminarlas.

  • Artefacto: describe un recurso específico que es propiedad de una herramienta que se utiliza en la actividad maliciosa. Por ejemplo, DNSel tipo de búsqueda CryptoCurrency:EC2/BitcoinTool.B!DNS indica que una EC2 instancia de Amazon se está comunicando con un dominio conocido relacionado con Bitcoin.

    nota

    El artefacto es opcional y puede que no esté disponible para todos los tipos de GuardDuty búsqueda.

Propósitos de amenaza

En GuardDuty una amenaza, el propósito describe el objetivo principal de una amenaza, un tipo de ataque o la fase de un posible ataque. Por ejemplo, algunos propósitos de amenaza, como Backdoor, indican un tipo de ataque. Sin embargo, algunos propósitos de amenaza, como el impacto, se alinean con las tácticas de MITRE ATT &CK. Las tácticas de MITRE ATT &CK indican distintas fases del ciclo de ataque del adversario. En la versión actual de GuardDuty, ThreatPurpose puede tener los siguientes valores:

Backdoor

Este valor indica que un adversario ha puesto en peligro un AWS recurso y lo ha modificado para que pueda ponerse en contacto con su servidor de comando y control (C&C) local y recibir más instrucciones sobre una actividad maliciosa.

Comportamiento

Este valor indica que GuardDuty ha detectado una actividad o patrones de actividad diferentes de la línea base establecida para los AWS recursos involucrados.

CredentialAccess

Este valor indica que GuardDuty ha detectado patrones de actividad que un adversario podría utilizar para robar credenciales, como contraseñas, nombres de usuario y claves de acceso, de su entorno. El objetivo de esta amenaza se basa en las tácticas de &CK MITREATT.

Cryptocurrency

Este valor indica que GuardDuty ha detectado que un AWS recurso de su entorno aloja software asociado a criptomonedas (por ejemplo, Bitcoin).

DefenseEvasion

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar para evitar ser detectado mientras se infiltra en su entorno. El objetivo de esta amenaza se basa en las tácticas de MITRE ATT &CK

Discovery

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar para ampliar su conocimiento de sus sistemas y redes internas. El objetivo de esta amenaza se basa en las tácticas de MITREATT&CK.

Execution

Este valor indica que GuardDuty ha detectado que un adversario puede intentar ejecutar o ya ha ejecutado un código malicioso para explorar el AWS entorno o robar datos. El objetivo de esta amenaza se basa en las tácticas de MITREATT&CK.

Exfiltration

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar al intentar robar datos de su entorno. El objetivo de esta amenaza se basa en las tácticas de MITREATT&CK.

Impact

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que sugieren que un adversario está intentando manipular, interrumpir o destruir sus sistemas y datos. El objetivo de esta amenaza se basa en las tácticas de MITREATT&CK.

InitialAccess

Este valor suele estar asociado a la etapa de acceso inicial de un ataque, cuando un adversario intenta establecer acceso a su entorno. El objetivo de esta amenaza se basa en las tácticas de MITREATT&CK.

Pentest

A veces, los propietarios de AWS los recursos o sus representantes autorizados realizan pruebas intencionadas en las AWS aplicaciones para detectar vulnerabilidades, como grupos de seguridad abiertos o claves de acceso demasiado permisivas. Estas pruebas de intrusión son un intento de identificar y bloquear los recursos vulnerables antes de que los descubran los adversarios. Sin embargo, algunas de las herramientas que se utilizan para las pruebas de intrusión autorizadas están disponibles de forma gratuita y, por tanto, los usuarios no autorizados o los adversarios pueden utilizarlas para llevar a cabo pruebas de sondeo. Si bien no GuardDuty puede identificar el verdadero propósito de dicha actividad, el valor de Pentest indica que GuardDuty se está detectando dicha actividad, que es similar a la que generan las conocidas herramientas de prueba con lápiz óptico y que podría indicar que se está realizando un sondeo malintencionado de la red.

Persistencia

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar para intentar mantener el acceso a sus sistemas aunque su ruta de acceso inicial esté cortada. Por ejemplo, esto podría incluir la creación de un nuevo IAM usuario después de obtener acceso a través de las credenciales comprometidas de un usuario existente. Cuando se eliminen las credenciales del usuario existente, el adversario retendrá el acceso al nuevo usuario que no se haya detectado como parte del evento original. El objetivo de esta amenaza se basa en las tácticas de MITRE ATT &CK.

Política

Este valor indica que su Cuenta de AWS comportamiento va en contra de las mejores prácticas de seguridad recomendadas. Por ejemplo, la modificación involuntaria de las políticas de permisos asociadas a sus AWS recursos o su entorno y el uso de cuentas privilegiadas que deberían tener poco o ningún uso.

PrivilegeEscalation

Este valor le informa de que la entidad principal implicada dentro de su entorno de AWS presenta un comportamiento que un adversario podría utilizar para obtener permisos de nivel superior para acceder a su red. El objetivo de esta amenaza se basa en las tácticas de MITREATT&CK.

Recon

Este valor indica que GuardDuty ha detectado actividad o patrones de actividad que un adversario podría utilizar al realizar un reconocimiento de su entorno para determinar cómo puede ampliar su acceso o utilizar sus recursos. Por ejemplo, esta actividad puede incluir la detección de vulnerabilidades en su AWS entorno mediante el sondeo de los puertos, la realización de API llamadas, la creación de listas de usuarios y la lista de tablas de bases de datos, entre otras cosas.

Stealth

Este valor indica que un adversario está intentando ocultar sus acciones de forma activa. Por ejemplo, podrían utilizar un servidor proxy anonimizador, lo que dificultaría enormemente evaluar la verdadera naturaleza de la actividad.

Trojan

Este valor indica que un ataque está utilizando programas troyanos que llevan a cabo actividad maliciosa sigilosamente. En ocasiones, este software tiene el aspecto de un programa legítimo. A veces, los usuarios ejecutan accidentalmente este software. Otras veces, este software puede ejecutarse automáticamente mediante la explotación de una vulnerabilidad.

UnauthorizedAccess

Este valor indica que GuardDuty se está detectando una actividad sospechosa o un patrón de actividad sospechoso por parte de una persona no autorizada.