Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Un resultado es una notificación que contiene detalles sobre un problema potencial de seguridad descubierto por GuardDuty . Para obtener información sobre los cambios importantes en los tipos de GuardDuty hallazgos, incluidos los tipos de hallazgos recién agregados o retirados, consulteHistorial de documentos de Amazon GuardDuty.
Los siguientes tipos de búsqueda se retiran y ya no los genera GuardDuty.
importante
No puedes reactivar los tipos de GuardDuty búsqueda retirados.
Temas
Exfiltration:S3/ObjectRead.Unusual
Una entidad de IAM ha invocado una API de S3 de forma sospechosa.
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invoca con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
-
Fuente de datos: eventos CloudTrail de datos para S3
Este hallazgo le informa de que una entidad de IAM de su AWS entorno está realizando llamadas a la API que involucran un bucket de S3 y que difieren de la línea base establecida por esa entidad. La llamada a la API utilizada en esta actividad está asociada a la fase de exfiltración de un ataque, en la que un atacante intenta recopilar datos. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.
Recomendaciones de corrección:
Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.
Impact:S3/PermissionsModification.Unusual
Una entidad de IAM ha invocado una API para modificar los permisos en uno o más recursos de S3.
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invoca con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
Este resultado le informa de que una entidad de IAM está haciendo llamadas a la API diseñadas para modificar los permisos en uno o más buckets u objetos de su entorno de AWS . Es posible que un atacante lleve a cabo esta acción para permitir que la información se comparta fuera de la cuenta. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.
Recomendaciones de corrección:
Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.
Impact:S3/ObjectDelete.Unusual
Una entidad de IAM ha invocado una API que se utiliza para eliminar datos en un bucket de S3.
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invoca con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
Este hallazgo le informa de que una entidad de IAM específica de su AWS entorno está realizando llamadas a la API diseñadas para eliminar los datos del depósito de S3 de la lista mediante la eliminación del propio depósito. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.
Recomendaciones de corrección:
Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.
Discovery:S3/BucketEnumeration.Unusual
Una entidad de IAM ha invocado una API de S3 que se utiliza para detectar los buckets de S3 dentro de la red.
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invoca con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
Este resultado le informa de que una entidad de IAM ha invocado una API de S3 para detectar los buckets de S3 en su entorno, como, por ejemplo, ListBuckets. Este tipo de actividad está asociada a la fase de descubrimiento de un ataque, en la que un atacante recopila información para determinar si su AWS entorno es susceptible a un ataque más amplio. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.
Recomendaciones de corrección:
Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.
Persistence:IAMUser/NetworkPermissions
Una entidad de IAM ha invocado una API que se utiliza habitualmente para cambiar los permisos de acceso a la red de los grupos de seguridad, las rutas y ACLs la AWS cuenta.
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invoca con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
Este hallazgo indica que un director específico (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario) de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad de seguridad nunca antes había invocado esta API.
Este resultado se desencadena cuando los ajustes de configuración de la red se modifican en circunstancias sospechosas, como cuando una entidad principal invoca la API de CreateSecurityGroup sin antecedentes de haberlo hecho. Los atacantes suelen intentar cambiar los grupos de seguridad para permitir que cierto tráfico entrante llegue a varios puertos a fin de mejorar su capacidad de acceso a una instancia. EC2
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
Persistence:IAMUser/ResourcePermissions
Un director invocó una API que se suele utilizar para cambiar las políticas de acceso de seguridad de varios recursos de su Cuenta de AWS empresa.
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si se invoca la API con AWS credenciales temporales que se crearon en una instancia, la gravedad del hallazgo es alta.
Este hallazgo indica que un director específico (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario) de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad de seguridad nunca antes había invocado esta API.
Este hallazgo se activa cuando se detecta un cambio en las políticas o los permisos asociados a AWS los recursos, por ejemplo, cuando un director de su AWS entorno invoca la PutBucketPolicy API sin tener antecedentes de hacerlo. Algunos servicios, como Amazon S3, tienen permisos asociados a recursos que conceden a una o más entidades principales acceso a dicho recurso. Con las credenciales robadas, los atacantes pueden cambiar las políticas asociadas a un recurso para obtener acceso a dicho recurso.
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
Persistence:IAMUser/UserPermissions
Un director invocó una API que se utiliza habitualmente para añadir, modificar o eliminar usuarios, grupos o políticas de IAM en su AWS cuenta.
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invoca con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
Este hallazgo indica que un director específico (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario) de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad de seguridad nunca antes había invocado esta API.
Este hallazgo se debe a cambios sospechosos en los permisos relacionados con los usuarios de su AWS entorno, por ejemplo, cuando un director de su AWS
entorno invoca la AttachUserPolicy API sin tener antecedentes de hacerlo. Los atacantes pueden utilizar credenciales robadas para crear nuevos usuarios, agregar políticas de acceso a los usuarios existentes o crear claves de acceso para maximizar su acceso a una cuenta, incluso si su punto de acceso original está cerrado. Por ejemplo, el propietario de la cuenta podría darse cuenta del robo de una contraseña o un usuario de IAM en concreto y eliminarlos de la cuenta. Sin embargo, es posible que no eliminen a otros usuarios que hayan sido creados por un administrador principal creado de forma fraudulenta, lo que permitirá al atacante acceder a su AWS cuenta.
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
PrivilegeEscalation:IAMUser/AdministrativePermissions
Una entidad principal ha intentado asignarse una política excesivamente permisiva.
Gravedad predeterminada: baja*
nota
La gravedad de este resultado es baja si no se consigue completar el intento de escalado de privilegios o media si el intento se lleva a cabo con éxito.
Este hallazgo indica que una entidad de IAM específica de su AWS entorno presenta un comportamiento que puede ser indicativo de un ataque de escalamiento de privilegios. Este resultado se desencadena cuando un rol o un usuario de IAM intentan asignarse una política excesivamente permisiva. Si el usuario o el rol en cuestión no debe tener privilegios administrativos, puede que las credenciales del usuario estén en riesgo o que los permisos del rol no se hayan configurado correctamente.
Los atacantes utilizarán credenciales robadas para crear nuevos usuarios, agregar políticas de acceso a los usuarios existentes o crear claves de acceso para maximizar su acceso a una cuenta incluso si su punto de acceso original está cerrado. Por ejemplo, el propietario de la cuenta podría percatarse de que le han robado una credencial de inicio de sesión de un usuario de IAM específico y eliminarla de la cuenta. Sin embargo, es posible que no elimine otros usuarios creados por la entidad principal de administración creada de forma fraudulente, lo que aún dejaría su cuenta de AWS accesible para el atacante.
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
Recon:IAMUser/NetworkPermissions
Un director invocó una API que se suele utilizar para cambiar los permisos de acceso a la red para los grupos de seguridad, las rutas y ACLs la cuenta AWS .
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invoca con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
Este hallazgo indica que un director específico (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario) de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad de seguridad nunca antes había invocado esta API.
Este resultado se desencadena cuando se sondean los permisos de acceso a recursos de su cuenta de AWS
en circunstancias sospechosas. Por ejemplo, si una entidad principal invoca la API DescribeInstances cuando no tiene antecedentes de haberlo hecho. Un atacante podría utilizar credenciales robadas para realizar este tipo de reconocimiento de sus AWS recursos con el fin de encontrar credenciales más valiosas o determinar las capacidades de las credenciales que ya tiene.
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
Recon:IAMUser/ResourcePermissions
Un director invocó una API que se utiliza habitualmente para cambiar las políticas de acceso de seguridad de varios recursos de tu AWS cuenta.
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invoca con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
Este hallazgo indica que un director específico (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario) de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad de seguridad nunca antes había invocado esta API.
Este resultado se desencadena cuando se sondean los permisos de acceso a recursos de su cuenta de AWS
en circunstancias sospechosas. Por ejemplo, si una entidad principal invoca la API DescribeInstances cuando no tiene antecedentes de haberlo hecho. Un atacante podría utilizar credenciales robadas para realizar este tipo de reconocimiento de sus AWS recursos con el fin de encontrar credenciales más valiosas o determinar las capacidades de las credenciales que ya tiene.
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
Recon:IAMUser/UserPermissions
Una entidad principal ha invocado una API que suele utilizarse para agregar, modificar o eliminar políticas, grupos o usuarios de IAM de una cuenta de AWS .
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si se invoca la API con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
Este hallazgo se activa cuando se comprueban los permisos de usuario de su AWS entorno en circunstancias sospechosas. Por ejemplo, si una entidad principal (Usuario raíz de la cuenta de AWS, rol de IAM o usuario de IAM) invoca la API ListInstanceProfilesForRole cuando no tiene antecedentes de haberlo hecho. Un atacante podría utilizar credenciales robadas para realizar este tipo de reconocimiento de sus AWS recursos con el fin de encontrar credenciales más valiosas o determinar las capacidades de las credenciales que ya tiene.
Este hallazgo indica que un director específico de su AWS entorno presenta un comportamiento diferente del punto de referencia establecido. Esta entidad principal no tiene historial previo de invocación de esta API de esta manera.
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
ResourceConsumption:IAMUser/ComputeResources
Un director invocó una API que se utiliza habitualmente para lanzar recursos de cómputo, como EC2 las instancias.
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invoca con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
Este hallazgo se activa cuando EC2 las instancias de la cuenta de tu AWS entorno que aparece en la lista se lanzan en circunstancias sospechosas. Este hallazgo indica que un director específico de su AWS entorno presenta un comportamiento diferente del valor de referencia establecido; por ejemplo, si un director (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario de IAM) ha invocado la RunInstances API sin un historial previo de haberlo hecho. Esto podría ser señal de que un atacante está utilizando credenciales robadas para robar tiempo de computación (posiblemente minería de criptomoneda o violación de contraseñas). También puede indicar que un atacante está utilizando una EC2 instancia de su AWS entorno y sus credenciales para mantener el acceso a su cuenta.
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
Stealth:IAMUser/LoggingConfigurationModified
Un director ha invocado una API que se suele utilizar para detener el CloudTrail registro, eliminar los registros existentes y eliminar cualquier rastro de actividad en tu AWS cuenta.
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invoca con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
Este resultado se desencadena cuando se modifica la configuración de registro de la cuenta de AWS
, que aparece en la lista, en circunstancias sospechosas. Este resultado indica que un director específico de su AWS entorno presenta un comportamiento diferente del valor de referencia establecido; por ejemplo, si un director (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario de IAM) ha invocado la StopLogging API sin tener antecedentes de haberlo hecho. Esto puede ser señal de que un atacante está intentando cubrir sus huellas eliminando cualquier rastro de su actividad.
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
UnauthorizedAccess:IAMUser/ConsoleLogin
Se observó un inicio de sesión inusual en la consola por parte de un director de su AWS cuenta.
Gravedad predeterminada: media*
nota
La gravedad predeterminada de este resultado es media. Sin embargo, si la API se invoca con AWS credenciales temporales que se crean en una instancia, la gravedad del hallazgo es alta.
Este resultado se activa cuando se detecta un inicio de sesión en la consola en circunstancias sospechosas. Por ejemplo, si un director sin antecedentes de hacerlo invocó la ConsoleLogin API desde un never-before-used cliente o desde una ubicación inusual. Esto podría indicar que se han utilizado credenciales robadas para acceder a tu AWS cuenta o que un usuario válido ha accedido a la cuenta de forma no válida o menos segura (por ejemplo, no a través de una VPN aprobada).
Este hallazgo le informa de que un director específico de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad de seguridad nunca antes había iniciado sesión con esta aplicación cliente desde esta ubicación específica.
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
UnauthorizedAccess:EC2/TorIPCaller
Tu EC2 instancia recibe conexiones entrantes desde un nodo de salida de Tor.
Gravedad predeterminada: media
Este hallazgo te informa de que una EC2 instancia de tu AWS entorno está recibiendo conexiones entrantes desde un nodo de salida de Tor. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Este hallazgo puede indicar un acceso no autorizado a tus AWS recursos con la intención de ocultar la verdadera identidad del atacante.
Recomendaciones de corrección:
Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.
Backdoor:EC2/XORDDOS
Una EC2 instancia intenta comunicarse con una dirección IP asociada al malware XOR DDo S.
Gravedad predeterminada: alta
Este hallazgo le informa de que una EC2 instancia de su AWS entorno está intentando comunicarse con una dirección IP asociada al malware XOR DDo S. Esta EC2 instancia podría estar comprometida. XOR DDo S es un malware troyano que secuestra sistemas Linux. En un intento de obtener acceso al sistema, lanza un ataque de fuerza bruta para descubrir la contraseña de los servicios de Secure Shell (SSH) en Linux. Una vez que se adquieren las credenciales de SSH y se inicia sesión correctamente, utiliza los privilegios de usuario root para ejecutar un script que descarga e instala XOR S. DDo Luego, este malware se utiliza como parte de una red de bots para lanzar ataques de denegación de servicio distribuidos contra DDo otros objetivos.
Recomendaciones de corrección:
Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.
Behavior:IAMUser/InstanceLaunchUnusual
Un usuario lanzó una EC2 instancia de un tipo inusual.
Gravedad predeterminada: alta
Este hallazgo le informa de que un usuario específico de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Este usuario no tiene antecedentes de lanzar una EC2 instancia de este tipo. Sus credenciales de inicio de sesión podrían haberse visto afectadas.
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
CryptoCurrency:EC2/BitcoinTool.A
EC2 la instancia se está comunicando con grupos de minería de Bitcoin.
Gravedad predeterminada: alta
Este hallazgo le informa de que una EC2 instancia de su AWS entorno se está comunicando con los grupos de minería de Bitcoin. En el campo de la minería de criptomonedas, un grupo de minería es la agrupación de recursos por parte de mineros que comparten potencia de procesamiento a través de una red para dividir la compensación en función de la cantidad de trabajo con la que han contribuido para resolver un bloque. A menos que utilices esta EC2 instancia para la minería de Bitcoin, es posible que tu EC2 instancia esté comprometida.
Recomendaciones de corrección:
Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.
UnauthorizedAccess:IAMUser/UnusualASNCaller
Se ha invocado una API desde una dirección IP de una red inusual.
Gravedad predeterminada: alta
Este resultado le informa de que se ha invocado cierta actividad desde una dirección IP de una red inusual. Esta red no se ha observado nunca en todo el historial de uso de AWS del usuario descrito. Esta actividad puede incluir iniciar sesión en la consola, intentar lanzar una EC2 instancia, crear un nuevo usuario de IAM, modificar sus AWS privilegios, etc. Esto puede indicar un acceso no autorizado a sus AWS recursos.
Recomendaciones de corrección:
Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
