Tipos de resultados de GuardDuty IAM - Amazon GuardDuty
CredentialAccess:IAMUser/AnomalousBehaviorDefenseEvasion:IAMUser/AnomalousBehaviorDiscovery:IAMUser/AnomalousBehaviorExfiltration:IAMUser/AnomalousBehaviorImpact:IAMUser/AnomalousBehaviorInitialAccess:IAMUser/AnomalousBehaviorPenTest:IAMUser/KaliLinuxPenTest:IAMUser/ParrotLinuxPenTest:IAMUser/PentooLinuxPersistence:IAMUser/AnomalousBehaviorPolicy:IAMUser/RootCredentialUsagePolicy:IAMUser/ShortTermRootCredentialUsagePrivilegeEscalation:IAMUser/AnomalousBehaviorRecon:IAMUser/MaliciousIPCallerRecon:IAMUser/MaliciousIPCaller.CustomRecon:IAMUser/TorIPCallerStealth:IAMUser/CloudTrailLoggingDisabledStealth:IAMUser/PasswordPolicyChangeUnauthorizedAccess:IAMUser/ConsoleLoginSuccess.BUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWSUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWSUnauthorizedAccess:IAMUser/MaliciousIPCallerUnauthorizedAccess:IAMUser/MaliciousIPCaller.CustomUnauthorizedAccess:IAMUser/TorIPCaller

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tipos de resultados de GuardDuty IAM

Los siguientes hallazgos son específicos de las IAM entidades y las claves de acceso y siempre tienen un tipo de recurso deAccessKey. La gravedad y los detalles de los resultados varían en función del tipo de resultado.

Los resultados que se muestran aquí incluyen los orígenes de datos y los modelos utilizados para generar ese tipo de resultado. Para obtener más información, consulte Orígenes de datos fundamentales de GuardDuty.

Para todos los resultados IAM relacionados, le recomendamos que examine la entidad en cuestión y se asegure de que sus permisos siguen la práctica recomendada de mínimo privilegio. Si la actividad es inesperada, las credenciales pueden verse afectadas. Para obtener más información sobre los resultados de corrección, consulte Corregir credenciales de AWS potencialmente comprometidas.

CredentialAccess:IAMUser/AnomalousBehavior

Se invocó un elemento API utilizado para acceder a un AWS entorno de forma anómala.

Gravedad predeterminada: media

  • Fuente de datos: evento CloudTrail de gestión

Este hallazgo le informa de que se ha observado una API solicitud anómala en su cuenta. Este hallazgo puede incluir una sola solicitud API o una serie de API solicitudes relacionadas realizadas de forma simultánea por una única identidad de usuario. Lo API observado suele asociarse a la fase de acceso a las credenciales de un ataque, cuando un adversario intenta recopilar contraseñas, nombres de usuario y claves de acceso para su entorno. Los de APIs esta categoría sonGetPasswordData,, yGetSecretValue. BatchGetSecretValue GenerateDbAuthToken

El modelo de aprendizaje automático (ML) de detección GuardDuty de anomalías identificó esta API solicitud como anómala. El modelo ML evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de aprendizaje automático rastrea varios factores de la API solicitud, como el usuario que la realizó, la ubicación desde la que se realizó la solicitud y la información específica API que se solicitó. Los detalles sobre qué factores de la API solicitud son inusuales para la identidad del usuario que la invocó se encuentran en los detalles de la búsqueda.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

DefenseEvasion:IAMUser/AnomalousBehavior

Se invocó de forma anómala una medida defensiva API utilizada para evadir.

Gravedad predeterminada: media

  • Fuente de datos: evento de gestión CloudTrail

Este hallazgo le informa de que se ha observado una API solicitud anómala en su cuenta. Este hallazgo puede incluir una sola solicitud API o una serie de API solicitudes relacionadas realizadas de forma simultánea por una única identidad de usuario. Lo API observado suele asociarse a las tácticas de evasión de la defensa, en las que un adversario trata de cubrir sus huellas y evitar ser detectado. APIsen esta categoría se suelen eliminar, deshabilitar o detener operaciones, como, DeleteFlowLogsDisableAlarmActions, o. StopLogging

El modelo de aprendizaje automático (ML) de detección GuardDuty de anomalías identificó esta API solicitud como anómala. El modelo ML evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de aprendizaje automático rastrea varios factores de la API solicitud, como el usuario que la realizó, la ubicación desde la que se realizó la solicitud y la información específica API que se solicitó. Los detalles sobre qué factores de la API solicitud son inusuales para la identidad del usuario que la invocó se encuentran en los detalles de la búsqueda.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Discovery:IAMUser/AnomalousBehavior

Un recurso que se utiliza API habitualmente para descubrir recursos se invocó de forma anómala.

Gravedad predeterminada: baja

  • Fuente de datos: evento CloudTrail de gestión

Este hallazgo le informa de que se ha observado una API solicitud anómala en su cuenta. Este hallazgo puede incluir una sola solicitud API o una serie de API solicitudes relacionadas realizadas de forma simultánea por una única identidad de usuario. Lo API observado suele asociarse a la fase de descubrimiento de un ataque, cuando un adversario está recopilando información para determinar si su AWS entorno es susceptible a un ataque más amplio. APIsen esta categoría suelen incluirse operaciones de obtención, descripción o lista, como, DescribeInstancesGetRolePolicy, oListAccessKeys.

El modelo de aprendizaje automático (ML) de detección GuardDuty de anomalías identificó esta API solicitud como anómala. El modelo ML evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de aprendizaje automático rastrea varios factores de la API solicitud, como el usuario que la realizó, la ubicación desde la que se realizó la solicitud y la información específica API que se solicitó. Los detalles sobre qué factores de la API solicitud son inusuales para la identidad del usuario que la invocó se encuentran en los detalles de la búsqueda.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Exfiltration:IAMUser/AnomalousBehavior

Un API elemento que se utiliza habitualmente para recopilar datos de un AWS entorno se invocó de forma anómala.

Gravedad predeterminada: alta

  • Fuente de datos: evento CloudTrail de gestión

Este hallazgo le informa de que se ha observado una API solicitud anómala en su cuenta. Este hallazgo puede incluir una sola solicitud API o una serie de API solicitudes relacionadas realizadas de forma simultánea por una única identidad de usuario. Lo API observado suele asociarse a las tácticas de exfiltración, en las que un adversario intenta recopilar datos de su red mediante el empaquetado y el cifrado para evitar ser detectado. APIseste tipo de hallazgo son únicamente operaciones de administración (plano de control) y, por lo general, están relacionadas con S3, instantáneas y bases de datos, como,, o. PutBucketReplication CreateSnapshot RestoreDBInstanceFromDBSnapshot

El modelo de aprendizaje automático (ML) de detección GuardDuty de anomalías identificó esta API solicitud como anómala. El modelo ML evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de aprendizaje automático rastrea varios factores de la API solicitud, como el usuario que la realizó, la ubicación desde la que se realizó la solicitud y la información específica API que se solicitó. Los detalles sobre qué factores de la API solicitud son inusuales para la identidad del usuario que la invocó se encuentran en los detalles de la búsqueda.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Impact:IAMUser/AnomalousBehavior

Una de las API más utilizadas para manipular datos o procesos en un AWS entorno se invocó de forma anómala.

Gravedad predeterminada: alta

  • Fuente de datos: evento de gestión CloudTrail

Este hallazgo le informa de que se ha observado una API solicitud anómala en su cuenta. Este hallazgo puede incluir una sola solicitud API o una serie de API solicitudes relacionadas realizadas de forma simultánea por una única identidad de usuario. Lo API observado suele asociarse a tácticas de impacto, en las que un adversario intenta interrumpir las operaciones y manipular, interrumpir o destruir los datos de tu cuenta. APIspara este tipo de búsqueda suelen ser operaciones de eliminación, actualización o colocación, como, DeleteSecurityGroupUpdateUser, oPutBucketPolicy.

El modelo de aprendizaje automático (ML) de detección GuardDuty de anomalías identificó esta API solicitud como anómala. El modelo ML evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de aprendizaje automático rastrea varios factores de la API solicitud, como el usuario que la realizó, la ubicación desde la que se realizó la solicitud y la información específica API que se solicitó. Los detalles sobre qué factores de la API solicitud son inusuales para la identidad del usuario que la invocó se encuentran en los detalles de la búsqueda.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

InitialAccess:IAMUser/AnomalousBehavior

Una de las API más utilizadas para obtener acceso no autorizado a un AWS entorno se invocó de forma anómala.

Gravedad predeterminada: media

  • Fuente de datos: evento CloudTrail de gestión

Este hallazgo le informa de que se ha observado una API solicitud anómala en su cuenta. Este hallazgo puede incluir una sola solicitud API o una serie de API solicitudes relacionadas realizadas de forma simultánea por una única identidad de usuario. Lo API observado suele asociarse a la etapa de acceso inicial de un ataque, cuando un adversario intenta establecer acceso a su entorno. APIsen esta categoría suelen estar las operaciones de obtención de un token o de sesión, comoStartSession, oGetAuthorizationToken.

El modelo de aprendizaje automático (ML) de detección GuardDuty de anomalías identificó esta API solicitud como anómala. El modelo ML evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de aprendizaje automático rastrea varios factores de la API solicitud, como el usuario que la realizó, la ubicación desde la que se realizó la solicitud y la información específica API que se solicitó. Los detalles sobre qué factores de la API solicitud son inusuales para la identidad del usuario que la invocó se encuentran en los detalles de la búsqueda.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

PenTest:IAMUser/KaliLinux

An API se invocó desde una máquina Kali Linux.

Gravedad predeterminada: media

  • Fuente de datos: evento CloudTrail de administración

Este hallazgo le informa de que una máquina que ejecuta Kali Linux realiza API llamadas con credenciales que pertenecen a la AWS cuenta indicada en su entorno. Kali Linux es una popular herramienta de pruebas de penetración que los profesionales de la seguridad utilizan para identificar los puntos débiles en los EC2 casos en los que es necesario aplicar parches. Los atacantes también utilizan esta herramienta para detectar puntos débiles en EC2 la configuración y obtener acceso no autorizado a su AWS entorno.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

PenTest:IAMUser/ParrotLinux

APISe ha invocado a An desde una máquina Linux de Parrot Security.

Gravedad predeterminada: media

  • Fuente de datos: evento CloudTrail de gestión

Este hallazgo le informa de que un equipo que ejecuta Parrot Security Linux realiza API llamadas con credenciales que pertenecen a la AWS cuenta indicada en su entorno. Parrot Security Linux es una popular herramienta de pruebas de penetración que los profesionales de la seguridad utilizan para identificar los puntos débiles en los EC2 casos en los que es necesario aplicar parches. Los atacantes también utilizan esta herramienta para detectar puntos débiles en EC2 la configuración y obtener acceso no autorizado a su AWS entorno.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

PenTest:IAMUser/PentooLinux

APISe invocó a An desde una máquina Pentoo Linux.

Gravedad predeterminada: media

  • Fuente de datos: evento CloudTrail de gestión

Este hallazgo le informa de que una máquina que ejecuta Pentoo Linux está realizando API llamadas con credenciales que pertenecen a la AWS cuenta indicada en su entorno. Pentoo Linux es una popular herramienta de pruebas de penetración que los profesionales de la seguridad utilizan para identificar puntos débiles en los EC2 casos en los que es necesario aplicar parches. Los atacantes también utilizan esta herramienta para detectar puntos débiles en EC2 la configuración y obtener acceso no autorizado a su AWS entorno.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Persistence:IAMUser/AnomalousBehavior

Una de las API más utilizadas para mantener el acceso no autorizado a un AWS entorno se invocó de forma anómala.

Gravedad predeterminada: media

  • Fuente de datos: evento CloudTrail de gestión

Este hallazgo le informa de que se ha observado una API solicitud anómala en su cuenta. Este hallazgo puede incluir una sola solicitud API o una serie de API solicitudes relacionadas realizadas de forma simultánea por una única identidad de usuario. Lo API observado suele asociarse a tácticas de persistencia, en las que un adversario ha conseguido acceder a su entorno e intenta mantenerlo. APIsen esta categoría suelen estar las operaciones de creación, importación o modificación, como, CreateAccessKeyImportKeyPair, oModifyInstanceAttribute.

El modelo de aprendizaje automático (ML) de detección GuardDuty de anomalías identificó esta API solicitud como anómala. El modelo ML evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de aprendizaje automático rastrea varios factores de la API solicitud, como el usuario que la realizó, la ubicación desde la que se realizó la solicitud y la información específica API que se solicitó. Los detalles sobre qué factores de la API solicitud son inusuales para la identidad del usuario que la invocó se encuentran en los detalles de la búsqueda.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Policy:IAMUser/RootCredentialUsage

Una API se invocó con las credenciales de inicio de sesión del usuario root.

Gravedad predeterminada: baja

  • Fuente de datos: eventos CloudTrail de administración o eventos CloudTrail de datos para S3

Este resultado le informa de que las credenciales de inicio de sesión del usuario raíz de la Cuenta de AWS que aparece en la lista de su entorno se están utilizando para hacer solicitudes a los servicios de AWS . Se recomienda que los usuarios nunca utilicen las credenciales de inicio de sesión del usuario raíz para acceder a AWS los servicios. En su lugar, se debe acceder a los AWS servicios con las credenciales temporales con privilegios mínimos de AWS Security Token Service (STS). Para situaciones en las AWS STS que no se admite, se recomiendan las credenciales de IAM usuario. Para obtener más información, consulte Prácticas IAM recomendadas.

nota

Si la protección para S3 está habilitada para la cuenta, este resultado se puede generar en respuesta a los intentos de ejecutar operaciones de plano de datos de S3 en recursos de Amazon S3 con credenciales de inicio de sesión de usuario raíz de la Cuenta de AWS. La API llamada utilizada aparecerá en los detalles del hallazgo. Si la protección S3 no está habilitada, solo el registro de eventos puede activar esta búsquedaAPIs. Para obtener más información sobre la protección para S3, consulte Protección de S3.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Policy:IAMUser/ShortTermRootCredentialUsage

APISe invocó a An mediante credenciales de usuario root restringidas.

Gravedad predeterminada: baja

  • Fuente de datos: eventos AWS CloudTrail de administración o eventos de AWS CloudTrail datos para S3

Este hallazgo le informa de que las credenciales de usuario restringidas creadas para los que figuran Cuenta de AWS en su entorno se utilizan para realizar solicitudes a Servicios de AWS. Se recomienda utilizar las credenciales de usuario raíz únicamente para las tareas que requieren credenciales de usuario raíz.

Siempre que sea posible, acceda a ellas Servicios de AWS utilizando IAM roles con privilegios mínimos con credenciales temporales de AWS Security Token Service (AWS STS). En los casos en los que no AWS STS se admite, la mejor práctica es utilizar las credenciales IAM de usuario. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM y las prácticas recomendadas para usuarios root Cuenta de AWS en la Guía del IAM usuario.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

PrivilegeEscalation:IAMUser/AnomalousBehavior

Una de las que se utilizaba API habitualmente para obtener permisos de alto nivel para un AWS entorno se invocaba de forma anómala.

Gravedad predeterminada: media

  • Fuente de datos: eventos CloudTrail de administración

Este hallazgo le informa de que se ha observado una API solicitud anómala en su cuenta. Este hallazgo puede incluir una sola solicitud API o una serie de API solicitudes relacionadas realizadas de forma simultánea por una única identidad de usuario. Lo API observado suele asociarse a las tácticas de escalamiento de privilegios, en las que un adversario intenta obtener permisos de nivel superior para acceder a un entorno. APIsen esta categoría suelen implicar operaciones que cambian IAM las políticas, las funciones y los usuarios, como, AssociateIamInstanceProfileAddUserToGroup, o. PutUserPolicy

El modelo de aprendizaje automático (ML) de detección GuardDuty de anomalías identificó esta API solicitud como anómala. El modelo ML evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de aprendizaje automático rastrea varios factores de la API solicitud, como el usuario que la realizó, la ubicación desde la que se realizó la solicitud y la información específica API que se solicitó. Los detalles sobre qué factores de la API solicitud son inusuales para la identidad del usuario que la invocó se encuentran en los detalles de la búsqueda.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Recon:IAMUser/MaliciousIPCaller

APISe ha invocado an desde una dirección IP maliciosa conocida.

Gravedad predeterminada: media

  • Fuente de datos: eventos CloudTrail de gestión

Este hallazgo indica que una API operación que puede enumerar o describir AWS los recursos de una cuenta de su entorno se invocó desde una dirección IP incluida en una lista de amenazas. Un atacante puede utilizar credenciales robadas para realizar este tipo de reconocimiento de sus AWS recursos con el fin de encontrar credenciales más valiosas o determinar las capacidades de las credenciales que ya tiene.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Recon:IAMUser/MaliciousIPCaller.Custom

APISe ha invocado a an desde una dirección IP maliciosa conocida.

Gravedad predeterminada: media

  • Fuente de datos: eventos CloudTrail de gestión

Este hallazgo indica que una API operación que puede enumerar o describir AWS los recursos de una cuenta de su entorno se invocó desde una dirección IP incluida en una lista de amenazas personalizada. La lista de amenazas utilizada se mostrará en los detalles del resultado. Un atacante podría utilizar credenciales robadas para realizar este tipo de reconocimiento de sus AWS recursos con el fin de encontrar credenciales más valiosas o determinar las capacidades de las credenciales que ya tiene.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Recon:IAMUser/TorIPCaller

APISe invocó una desde la dirección IP de un nodo de salida de Tor.

Gravedad predeterminada: media

  • Fuente de datos: eventos CloudTrail de gestión

Este hallazgo indica que una API operación que puede enumerar o describir AWS los recursos de una cuenta de tu entorno se invocó desde la dirección IP de un nodo de salida de Tor. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Un atacante utilizaría Tor para ocultar su verdadera identidad.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail el registro estaba deshabilitado.

Gravedad predeterminada: baja

  • Fuente de datos: eventos CloudTrail de administración

Este hallazgo le informa de que se ha desactivado un CloudTrail sendero de su AWS entorno. Puede tratarse del intento por parte de un atacante de desactivar el registro para cubrir sus rastros mediante la eliminación de cualquier indicio de su actividad y, a su vez, la obtención de acceso a los recursos de AWS con fines maliciosos. Este resultado se puede activar mediante una eliminación o actualización correcta de un registro de seguimiento. Este hallazgo también se puede provocar si se elimina correctamente un depósito de S3 que almacena los registros de un rastro al que está asociado GuardDuty.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Stealth:IAMUser/PasswordPolicyChange

La política de contraseñas de la cuenta se ha debilitado.

Gravedad predeterminada: baja*

nota

La gravedad de este resultado puede ser baja, media o alta, según la gravedad de los cambios hechos en la política de contraseñas.

  • Fuente de datos: eventos CloudTrail de administración

La política de contraseñas de AWS cuentas se ha debilitado en la cuenta incluida en la lista de su AWS entorno. Por ejemplo, se ha eliminado o actualizado para exigir menos caracteres, no requerir símbolos y números, o se ha requerido la ampliación del período de vencimiento de la contraseña. Este descubrimiento también puede deberse a un intento de actualizar o eliminar la política de contraseñas de su AWS cuenta. La política de contraseñas de las AWS cuentas define las reglas que rigen los tipos de contraseñas que se pueden establecer para IAM los usuarios. Una política de contraseñas más débil permite la creación de contraseñas que son fáciles de recordar y potencialmente más fáciles de adivinar, y que suponen un riesgo para la seguridad.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

Se han observado varios inicios de sesión correctos en la consola desde distintos lugares del mundo.

Gravedad predeterminada: media

  • Fuente de datos: eventos CloudTrail de administración

Este hallazgo le informa de que se observaron varios inicios de sesión correctos en la consola del mismo IAM usuario aproximadamente al mismo tiempo en varias ubicaciones geográficas. Estos patrones de ubicación de acceso anómalos y riesgosos indican un posible acceso no autorizado a sus AWS recursos.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

Las credenciales que se crearon exclusivamente para una EC2 instancia a través de una función de lanzamiento de la instancia se utilizan desde otra cuenta interna AWS.

Gravedad predeterminada: alta*

nota

La gravedad predeterminada de este resultado es alta. Sin embargo, si las API ha invocado una cuenta afiliada a su AWS entorno, la gravedad es media.

  • Fuente de datos: eventos CloudTrail de administración o eventos de CloudTrail datos para S3

Este hallazgo le informa cuando las credenciales de su EC2 instancia de Amazon se utilizan para invocar APIs desde una dirección IP o un VPC punto de enlace de Amazon, que es propiedad de una AWS cuenta diferente a la que se ejecuta la EC2 instancia de Amazon asociada. VPCLa detección de puntos finales solo está disponible para los servicios que admiten eventos de actividad de red en puntos VPC finales. Para obtener información sobre los servicios que admiten eventos de actividad de red para VPC puntos finales, consulte Registrar eventos de actividad de red en la Guía del AWS CloudTrail usuario.

AWS no recomienda redistribuir las credenciales temporales fuera de la entidad que las creó (por ejemplo, AWS ApplicationsEC2, Amazon o AWS Lambda). Sin embargo, los usuarios autorizados pueden exportar las credenciales de sus EC2 instancias de Amazon para realizar API llamadas legítimas. Si el remoteAccountDetails.Affiliated campo es True el que API se invocó desde una cuenta asociada a la misma cuenta de administrador. Para descartar un posible ataque y comprobar la legitimidad de la actividad, póngase en contacto con el Cuenta de AWS propietario o IAM director al que están asignadas estas credenciales.

nota

Si GuardDuty observa una actividad continua desde una cuenta remota, su modelo de aprendizaje automático (ML) identificará este comportamiento como esperado. Por lo tanto, GuardDuty dejará de generar este resultado para la actividad de esa cuenta remota. GuardDuty seguirá recopilando información sobre el nuevo comportamiento de otras cuentas remotas y volverá a evaluar las cuentas remotas detectadas a medida que el comportamiento vaya cambiando con el tiempo.

Recomendaciones de corrección:

Este hallazgo se genera cuando AWS API las solicitudes se realizan internamente AWS a través de una EC2 instancia de Amazon externa a la suya Cuenta de AWS, utilizando las credenciales de sesión de su EC2 instancia de Amazon. Puede ser habitual, como en la arquitectura Transit Gateway en una configuración de concentrador y radio, enrutar el tráfico a través de una única salida de hub VPC con puntos finales de AWS servicio. Si se espera este comportamiento, le GuardDuty recomienda usar Reglas de supresión y crear una regla con un criterio de dos filtros. El primer criterio es el tipo de hallazgo, que, en este caso, es UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. El segundo criterio de filtro es el ID de la cuenta remota de los detalles de la cuenta remota.

En respuesta a este resultado, puede utilizar el siguiente flujo de trabajo para determinar el curso de acción:

  1. Identifique la cuenta remota implicada en el campo service.action.awsApiCallAction.remoteAccountDetails.accountId.

  2. Determine si esa cuenta está afiliada a su GuardDuty entorno desde el service.action.awsApiCallAction.remoteAccountDetails.affiliated terreno.

  3. Si la cuenta está afiliada, ponte en contacto con el propietario de la cuenta remota y con el propietario de las credenciales de la EC2 instancia de Amazon para investigar.

    Si la cuenta no está afiliada, el primer paso es evaluar si esa cuenta está asociada a su organización pero no forma parte del entorno de GuardDuty cuentas múltiples configurado o si aún no se GuardDuty ha activado en esta cuenta. A continuación, ponte en contacto con el propietario de las credenciales de la EC2 instancia de Amazon para determinar si existe algún caso de uso para que una cuenta remota utilice estas credenciales.

  4. Si el propietario de las credenciales no reconoce la cuenta remota, es posible que un actor de amenazas que opere dentro de AWS haya puesto en peligro las credenciales. Debe seguir los pasos que se recomiendan en Corregir una instancia de Amazon EC2 potencialmente comprometida para proteger el entorno.

    Además, puedes enviar una denuncia de uso indebido al equipo de AWS Confianza y Seguridad para iniciar una investigación sobre la cuenta remota. Cuando envíes tu denuncia a AWS Trust and Safety, incluye todos JSON los detalles del hallazgo.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

Las credenciales que se crearon exclusivamente para una EC2 instancia a través de una función de lanzamiento de instancia se utilizan desde una dirección IP externa.

Gravedad predeterminada: alta

  • Fuente de datos: eventos CloudTrail de administración o eventos de CloudTrail datos para S3

Este hallazgo le informa de que un host externo AWS ha intentado ejecutar AWS API operaciones con AWS credenciales temporales que se crearon en una EC2 instancia de su AWS entorno. Es posible que la EC2 instancia de la lista esté comprometida y que las credenciales temporales de esta instancia se hayan filtrado a un host remoto ajeno a él. AWS AWS no recomienda redistribuir las credenciales temporales fuera de la entidad que las creó (por ejemploEC2, AWS aplicaciones o Lambda). Sin embargo, los usuarios autorizados pueden exportar las credenciales de sus EC2 instancias para realizar llamadas legítimasAPI. Para descartar un posible ataque y verificar la legitimidad de la actividad, valide si se espera el uso de credenciales de instancia por parte de la IP remota en el resultado.

nota

Si GuardDuty observa una actividad continua desde una cuenta remota, su modelo de aprendizaje automático (ML) identificará este comportamiento como esperado. Por lo tanto, GuardDuty dejará de generar este resultado para la actividad de esa cuenta remota. GuardDuty seguirá recopilando información sobre el nuevo comportamiento de otras cuentas remotas y volverá a evaluar las cuentas remotas detectadas a medida que el comportamiento vaya cambiando con el tiempo.

Recomendaciones de corrección:

Este hallazgo se genera cuando la red está configurada para enrutar el tráfico de Internet de manera que salga de una puerta de enlace local en lugar de desde una puerta de enlace de VPC Internet ()IGW. Las configuraciones habituales, como el uso o VPC VPN las conexiones AWS Outposts, pueden hacer que el tráfico se enrute de esta manera. Si se trata de un comportamiento esperado, se recomienda utilizar reglas de supresión y crear una regla que conste de dos criterios de filtrado. El primer criterio es Tipo de resultado, que debería ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. El segundo criterio de filtro es la dirección de la persona que APIllama con la IPv4 dirección IP o el CIDR rango de su puerta de enlace a Internet local. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión en GuardDuty.

nota

Si GuardDuty observa una actividad continua de una fuente externa, su modelo de aprendizaje automático identificará este comportamiento como esperado y dejará de generar este resultado para la actividad de esa fuente. GuardDuty seguirá recabando información sobre nuevos comportamientos a partir de otras fuentes y reevaluará las fuentes aprendidas a medida que el comportamiento vaya cambiando con el paso del tiempo.

Si esta actividad es inesperada sus credenciales pueden verse comprometidas, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:IAMUser/MaliciousIPCaller

APISe ha invocado a an desde una dirección IP maliciosa conocida.

Gravedad predeterminada: media

  • Fuente de datos: eventos CloudTrail de gestión

Este hallazgo indica que se ha invocado una API operación (por ejemplo, un intento de lanzar una EC2 instancia, crear un nuevo IAM usuario o modificar sus AWS privilegios) desde una dirección IP maliciosa conocida. Esto puede indicar un acceso no autorizado a AWS los recursos de su entorno.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

APISe ha invocado una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: media

  • Fuente de datos: eventos CloudTrail de gestión

Este hallazgo indica que se ha invocado una API operación (por ejemplo, un intento de lanzar una EC2 instancia, crear un nuevo IAM usuario o modificar AWS los privilegios) desde una dirección IP incluida en una lista de amenazas que ha subido. En , una lista de amenazas está formada por direcciones IP malintencionadas conocidas. Esto puede indicar un acceso no autorizado a AWS los recursos de su entorno.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:IAMUser/TorIPCaller

APISe ha invocado una dirección IP del nodo de salida de Tor.

Gravedad predeterminada: media

  • Fuente de datos: eventos CloudTrail de gestión

Este hallazgo indica que se ha invocado una API operación (por ejemplo, un intento de lanzar una EC2 instancia, crear un nuevo IAM usuario o modificar tus AWS privilegios) desde una dirección IP del nodo de salida de Tor. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a los recursos de AWS con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.