Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

GuardDuty Tipos de búsqueda de protección S3

Los siguientes hallazgos son específicos de los recursos de Amazon S3 y tendrán un tipo de recurso igual a S3Bucket si la fuente de datos son eventos de CloudTrail datos de S3 o AccessKey si la fuente de datos son eventos CloudTrail de administración. La gravedad y los detalles de los resultados variarán en función del tipo de resultado y el permiso asociado con el bucket.

Los resultados que se muestran aquí incluyen los orígenes de datos y los modelos utilizados para generar ese tipo de resultado. Para obtener más información sobre orígenes de datos y modelos, consulte GuardDuty fuentes de datos fundamentales.

Para cualquier resultado del tipo S3Bucket, se recomienda examinar los permisos del bucket en cuestión y los permisos de los usuarios implicados en el resultado. Si la actividad es inesperada, consulte las recomendaciones de corrección que se detallan en Corregir un bucket de S3 potencialmente comprometido.

Discovery:S3/AnomalousBehavior

Una de las API más utilizadas para detectar objetos de S3 se invocaba de forma anómala.

Gravedad predeterminada: baja

Este hallazgo le informa de que una IAM entidad ha invocado un S3 API para detectar depósitos de S3 en su entorno, por ejemplo. ListObjects Este tipo de actividad está asociada a la fase de descubrimiento de un ataque, en la que un atacante recopila información para determinar si su AWS entorno es susceptible a un ataque más amplio. Esta actividad es sospechosa porque la IAM entidad la invocó de una API manera inusual. Por ejemplo, una IAM entidad sin historial previo invoca un S3 API o una IAM entidad invoca un S3 API desde una ubicación inusual.

Esto API se identificó como anómalo mediante el modelo GuardDuty de aprendizaje automático (ML) de detección de anomalías. El modelo de aprendizaje automático evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Realiza un seguimiento de varios factores relacionados con las API solicitudes, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud, la cantidad específica API que se solicitó, el segmento solicitado y la cantidad de API llamadas realizadas. Para obtener más información sobre los factores de la API solicitud que no son habituales para la identidad del usuario que ha invocado la solicitud, consulta Cómo encontrar detalles.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Discovery:S3/MaliciousIPCaller

Un S3 que se utiliza API habitualmente para descubrir recursos en un AWS entorno se invocó desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

Este hallazgo indica que se ha invocado una API operación de S3 desde una dirección IP asociada a una actividad maliciosa conocida. Lo observado API suele asociarse a la fase de descubrimiento de un ataque, cuando un adversario está recopilando información sobre su AWS entorno. Entre los ejemplos se incluyen GetObjectAcl y ListObjects.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Discovery:S3/MaliciousIPCaller.Custom

Se API invocó un S3 desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: alta

Este hallazgo le informa de que se ha invocado un S3 APIListObjects, como GetObjectAcl o, desde una dirección IP incluida en una lista de amenazas que usted ha subido. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. Este tipo de actividad está asociada a la fase de detección de un ataque, en la que un atacante recopila información para determinar si su entorno de AWS es susceptible de un ataque más amplio.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Discovery:S3/TorIPCaller

Se API invocó un S3 desde la dirección IP de un nodo de salida de Tor.

Gravedad predeterminada: media

Este hallazgo indica que se ha invocado un S3API, como GetObjectAcl oListObjects, desde la dirección IP de un nodo de salida de Tor. Este tipo de actividad está asociada a la fase de descubrimiento de un ataque, en la que un atacante recopila información para determinar si tu AWS entorno es susceptible a un ataque más amplio. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a sus AWS recursos con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Exfiltration:S3/AnomalousBehavior

Una IAM entidad invocó un S3 API de forma sospechosa.

Gravedad predeterminada: alta

Este hallazgo indica que una IAM entidad está realizando API llamadas que implican un segmento de S3 y que esta actividad difiere de la línea base establecida por esa entidad. La API llamada utilizada en esta actividad está asociada a la fase de exfiltración de un ataque, en la que un atacante intenta recopilar datos. Esta actividad es sospechosa porque la IAM entidad la invocó de una API manera inusual. Por ejemplo, una IAM entidad sin historial previo invoca un S3 API o una IAM entidad invoca un S3 API desde una ubicación inusual.

Esto API se identificó como anómalo mediante el modelo GuardDuty de aprendizaje automático (ML) de detección de anomalías. El modelo de aprendizaje automático evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Realiza un seguimiento de varios factores relacionados con las API solicitudes, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud, la cantidad específica API que se solicitó, el segmento solicitado y la cantidad de API llamadas realizadas. Para obtener más información sobre los factores de la API solicitud que no son habituales para la identidad del usuario que ha invocado la solicitud, consulta Cómo encontrar detalles.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Exfiltration:S3/MaliciousIPCaller

Un S3 que se utiliza API habitualmente para recopilar datos de un AWS entorno se invocó desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

Este hallazgo indica que se ha invocado una API operación de S3 desde una dirección IP asociada a una actividad maliciosa conocida. Lo observado API suele asociarse a tácticas de exfiltración, en las que un adversario intenta recopilar datos de su red. Entre los ejemplos se incluyen GetObject y CopyObject.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Impact:S3/AnomalousBehavior.Delete

Una IAM entidad invocó un S3 API que intenta eliminar datos de forma sospechosa.

Gravedad predeterminada: alta

Este hallazgo le informa de que una IAM entidad de su AWS entorno está realizando API llamadas que involucran un bucket de S3 y que este comportamiento difiere de la línea base establecida por esa entidad. La API llamada utilizada en esta actividad está asociada a un ataque que intenta eliminar datos. Esta actividad es sospechosa porque la IAM entidad la invocó de una API manera inusual. Por ejemplo, una IAM entidad sin historial previo invoca un S3 API o una IAM entidad invoca un S3 API desde una ubicación inusual.

Esto API se identificó como anómalo mediante el modelo GuardDuty de aprendizaje automático (ML) de detección de anomalías. El modelo de aprendizaje automático evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Realiza un seguimiento de varios factores relacionados con las API solicitudes, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud, la cantidad específica API que se solicitó, el segmento solicitado y la cantidad de API llamadas realizadas. Para obtener más información sobre los factores de la API solicitud que no son habituales para la identidad del usuario que ha invocado la solicitud, consulta Cómo encontrar detalles.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Se recomienda llevar a cabo una auditoría del contenido del bucket de S3 para determinar si se puede o se debe restaurar la versión anterior del objeto.

Impact:S3/AnomalousBehavior.Permission

Un permiso que se API suele utilizar para establecer la lista de control de acceso (ACL) se invocó de forma anómala.

Gravedad predeterminada: alta

Este hallazgo le informa de que una IAM entidad de su AWS entorno ha cambiado una política de bucket o ACL uno de los buckets de S3 de la lista. Este cambio puede exponer públicamente sus depósitos de S3 a todos los usuarios AWS autenticados.

Esto API se identificó como anómalo mediante el modelo GuardDuty de aprendizaje automático (ML) de detección de anomalías. El modelo de aprendizaje automático evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Realiza un seguimiento de varios factores relacionados con las API solicitudes, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud, la cantidad específica API que se solicitó, el segmento solicitado y la cantidad de API llamadas realizadas. Para obtener más información sobre los factores de la API solicitud que no son habituales para la identidad del usuario que ha invocado la solicitud, consulta Cómo encontrar detalles.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Se recomienda llevar a cabo una auditoría del contenido del bucket de S3 para asegurarse de que no se haya permitido el acceso público a ningún objeto de forma inesperada.

Impact:S3/AnomalousBehavior.Write

Una IAM entidad ha invocado un S3 API que intenta escribir datos de forma sospechosa.

Gravedad predeterminada: media

Este hallazgo le informa de que una IAM entidad de su AWS entorno está realizando API llamadas que involucran un bucket de S3 y que este comportamiento difiere de la línea base establecida por esa entidad. La API llamada utilizada en esta actividad está asociada a un ataque que intenta escribir datos. Esta actividad es sospechosa porque la IAM entidad la invocó de una API manera inusual. Por ejemplo, una IAM entidad sin historial previo invoca un S3 API o una IAM entidad invoca un S3 API desde una ubicación inusual.

Esto API se identificó como anómalo mediante el modelo GuardDuty de aprendizaje automático (ML) de detección de anomalías. El modelo de aprendizaje automático evalúa todas las API solicitudes de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Realiza un seguimiento de varios factores relacionados con las API solicitudes, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud, la cantidad específica API que se solicitó, el segmento solicitado y la cantidad de API llamadas realizadas. Para obtener más información sobre los factores de la API solicitud que no son habituales para la identidad del usuario que ha invocado la solicitud, consulta Cómo encontrar detalles.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Te recomendamos que realices una auditoría del contenido del bucket de S3 para asegurarte de que esta API llamada no contiene datos malintencionados o no autorizados.

Impact:S3/MaliciousIPCaller

Un S3 que se API suele utilizar para manipular datos o procesos en un AWS entorno se ha invocado desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

Este hallazgo indica que se ha invocado una API operación de S3 desde una dirección IP asociada a una actividad maliciosa conocida. Lo observado API suele asociarse a tácticas de impacto, en las que un adversario intenta manipular, interrumpir o destruir los datos de su AWS entorno. Entre los ejemplos se incluyen PutObject y PutObjectAcl.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

PenTest:S3/KaliLinux

Se API invocó un S3 desde una máquina Kali Linux.

Gravedad predeterminada: media

Este hallazgo le informa de que una máquina que ejecuta Kali Linux realiza API llamadas a S3 con las credenciales que pertenecen a su AWS cuenta. Sus credenciales podrían estar comprometidas. Kali Linux es una popular herramienta de pruebas de penetración que los profesionales de la seguridad utilizan para identificar los puntos débiles en los EC2 casos en los que es necesario aplicar parches. Los atacantes también utilizan esta herramienta para detectar puntos débiles en EC2 la configuración y obtener acceso no autorizado a su AWS entorno.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

PenTest:S3/ParrotLinux

Se API ha invocado un S3 desde una máquina Linux de Parrot Security.

Gravedad predeterminada: media

Este hallazgo le informa de que una máquina que ejecuta Parrot Security Linux realiza API llamadas a S3 con las credenciales que pertenecen a su AWS cuenta. Sus credenciales podrían estar comprometidas. Parrot Security Linux es una popular herramienta de pruebas de penetración que los profesionales de la seguridad utilizan para identificar los puntos débiles en los EC2 casos que requieren la aplicación de parches. Los atacantes también utilizan esta herramienta para detectar puntos débiles en EC2 la configuración y obtener acceso no autorizado a su AWS entorno.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

PenTest:S3/PentooLinux

Se API invocó un S3 desde una máquina Pentoo Linux.

Gravedad predeterminada: media

Este hallazgo le informa de que una máquina que ejecuta Pentoo Linux realiza API llamadas a S3 con las credenciales que pertenecen a su AWS cuenta. Sus credenciales podrían estar comprometidas. Pentoo Linux es una popular herramienta de pruebas de penetración que los profesionales de la seguridad utilizan para identificar puntos débiles en los EC2 casos en los que es necesario aplicar parches. Los atacantes también utilizan esta herramienta para detectar puntos débiles en EC2 la configuración y obtener acceso no autorizado a su AWS entorno.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Policy:S3/AccountBlockPublicAccessDisabled

Una IAM entidad ha invocado y API utilizado para deshabilitar S3 Block Public Access en una cuenta.

Gravedad predeterminada: baja

Este resultado le informa de que el bloqueo de acceso público de Amazon S3 estaba desactivado en la cuenta. Cuando la configuración de bloqueo de acceso público de S3 está habilitada, se utiliza para filtrar las políticas o las listas de control de acceso (ACLs) de los cubos como medida de seguridad para evitar la exposición pública inadvertida de los datos.

Normalmente, el Bloqueo de acceso público de S3 está desactivado en una cuenta para permitir el acceso público a un bucket o a los objetos que este contiene. Cuando S3 Block Public Access está desactivado para una cuenta, el acceso a sus depósitos se controla mediante las políticas o los ajustes de bloqueo de acceso público a nivel de grupo que se aplican a sus depósitos individuales. ACLs Esto no necesariamente significa que los buckets se compartan públicamente, pero sí es importante auditar los permisos que se aplican a los buckets para confirmar que proporcionan el nivel de acceso adecuado.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Policy:S3/BucketAnonymousAccessGranted

Un IAM director ha permitido el acceso a Internet a un bucket de S3 cambiando las políticas del bucket o. ACLs

Gravedad predeterminada: alta

Este hallazgo le informa de que el bucket de S3 que aparece en la lista se ha hecho accesible públicamente en Internet porque una IAM entidad ha cambiado una política de bucket o una ACL parte de ese bucket. Tras detectar una política o un ACL cambio, utiliza un razonamiento automatizado desarrollado por Zelkova para determinar si el depósito es de acceso público.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Policy:S3/BucketBlockPublicAccessDisabled

Una IAM entidad invocó y API se usó para deshabilitar S3 Block Public Access en un bucket.

Gravedad predeterminada: baja

Este resultado le informa de que el bloqueo de acceso público se ha deshabilitado para el bucket de S3 que aparece en la lista. Cuando está habilitada, la configuración de S3 Block Public Access se utiliza para filtrar las políticas o listas de control de acceso (ACLs) que se aplican a los depósitos como medida de seguridad para evitar la exposición pública inadvertida de los datos.

Normalmente, el Bloqueo de acceso público de S3 está desactivado en un bucket para permitir el acceso público a este o a los objetos que contiene. Cuando S3 Block Public Access está desactivado para un depósito, el acceso al depósito se controla mediante las políticas o ACLs se le aplican. Esto no significa que el depósito se comparta públicamente, pero debe auditar las políticas y ACLs aplicarlas al depósito para confirmar que se han aplicado los permisos adecuados.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Policy:S3/BucketPublicAccessGranted

Un IAM director ha concedido acceso público a un bucket de S3 a todos AWS los usuarios cambiando las políticas del bucket oACLs.

Gravedad predeterminada: alta

Este hallazgo le informa de que el bucket de S3 que aparece en la lista se ha expuesto públicamente a todos AWS los usuarios autenticados porque una IAM entidad ha cambiado una política de bucket o ACL una parte de ese bucket de S3. Tras detectar una política o un ACL cambio, utiliza un razonamiento automatizado desarrollado por Zelkova para determinar si el bucket es de acceso público.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Stealth:S3/ServerAccessLoggingDisabled

El registro de acceso al servidor de S3 se ha deshabilitado para un bucket.

Gravedad predeterminada: baja

Este hallazgo le informa de que el registro de acceso al servidor S3 está deshabilitado para un bucket de su AWS entorno. Si está deshabilitado, no se crea ningún registro de solicitudes web para los intentos de acceso al bucket de S3 identificado; sin embargo, se siguen rastreando las API llamadas de administración de S3 al bucket DeleteBucket, por ejemplo. Si el registro de eventos de datos de S3 está habilitado CloudTrail para este depósito, se seguirá rastreando las solicitudes web de los objetos incluidos en el depósito. La desactivación del registro es una técnica que suelen utilizar los usuarios no autorizados para evitar que los detecten. Para obtener más información sobre los registros de S3, consulte Registro de acceso al servidor de S3 y Opciones de registro para S3.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Se API invocó un S3 desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: alta

Este hallazgo indica que una API operación de S3, por ejemploPutObjectAcl, PutObject se ha invocado desde una dirección IP incluida en una lista de amenazas que usted ha subido. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

UnauthorizedAccess:S3/TorIPCaller

Se API invocó un S3 desde la dirección IP de un nodo de salida de Tor.

Gravedad predeterminada: alta

Este hallazgo indica que se ha invocado una API operación de S3, como PutObject oPutObjectAcl, desde la dirección IP de un nodo de salida de Tor. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Este hallazgo puede indicar un acceso no autorizado a tus AWS recursos con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.