Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Detalles de los resultados
En la GuardDuty consola de Amazon, puedes ver los detalles de búsqueda en la sección de resumen de búsquedas. Los detalles de los resultados varían según el tipo de resultado.
Hay dos detalles principales que determinarán qué tipo de información está disponibles para cualquier resultado. El primero es el tipo de recurso, que puede ser Instance
AccessKey
S3Bucket
,S3Object
,Kubernetes cluster
,ECS
cluster
,Container
,RDSDBInstance
, oLambda
. El segundo detalle que determina la información de los resultados es el rol del recurso. El rol del recurso puede ser Target
para las claves de acceso, lo que significa que el recurso fue objeto de una actividad sospechosa. En el caso de resultados por tipo de instancia, el rol del recurso también puede ser Actor
, lo que significa que el recurso fue el actor que ha llevado a cabo la actividad sospechosa. En este tema, se describen algunos de los detalles de los resultados que se encuentran disponibles con más frecuencia.
Información general de los resultados
La sección Información general de un resultado contiene las características identificativas más básicas del resultado, incluida la siguiente información:
-
ID de cuenta: el identificador de la AWS cuenta en la que se llevó GuardDuty a cabo la actividad que solicitó generar este hallazgo.
-
Recuento: el número de veces que GuardDuty se ha agregado una actividad que coincide con este patrón con este identificador de búsqueda.
-
Hora de creación: fecha y hora en que se ha creado este resultado por primera vez. Si este valor difiere de Hora de actualización, indica que la actividad se ha producido varias veces y es un problema continuo.
nota
Las marcas de tiempo de las búsquedas en la GuardDuty consola aparecen en la zona horaria local, mientras que las exportaciones de JSON y las salidas de CLI muestran las marcas de tiempo en UTC.
-
ID de resultado: un identificador único para este tipo de resultado y conjunto de parámetros. Las nuevas ocurrencias de actividad que coincidan con este patrón se añadirán al mismo ID.
-
Tipo de resultado: una cadena formateada que representa el tipo de actividad que ha desencadenado el resultado. Para obtener más información, consulte Formato de búsqueda GuardDuty.
-
Región: la AWS región en la que se generó el hallazgo. Para obtener más información acerca de las regiones admitidas, consulte Regiones y puntos de conexión
-
ID de recurso: el ID del AWS recurso con el que se llevó GuardDuty a cabo la actividad que provocó la generación de este hallazgo.
-
ID de escaneo: se aplica a los hallazgos cuando la protección contra GuardDuty malware para EC2 está habilitada y es un identificador del análisis de malware que se ejecuta en los volúmenes de EBS conectados a la carga de trabajo de la instancia de EC2 o del contenedor potencialmente comprometida. Para obtener más información, consulte Protección contra malware para EC2: detalles sobre cómo encontrar.
-
Gravedad: un nivel de gravedad alta, mediana o baja asignado al resultado. Para obtener más información, consulte Niveles de gravedad de GuardDuty los hallazgos.
-
Actualizado el: la última vez que se actualizó este hallazgo con una nueva actividad que coincidía con el patrón que llevó GuardDuty a generarlo.
Recurso
El recurso afectado proporciona detalles sobre el AWS recurso al que se dirigió la actividad iniciadora. La información disponible variará según el tipo de recurso y el tipo de acción.
Función de recurso: la función del AWS recurso que inició la búsqueda. Este valor puede ser TARGET o ACTOR y representa si su recurso era el objetivo de la actividad sospechosa o si era el actor que ha llevado a cabo la actividad sospechosa, respectivamente.
Tipo de recurso: el tipo del recurso afectado. Si estuvieron involucrados varios recursos, un resultado puede incluir varios tipos de recursos. Los tipos de recursos son Instance, S3Bucket AccessKey, S3Object, ECSCluster, Container KubernetesCluster, RDSDBInstance y Lambda. En función del tipo de recurso, habrá distintos detalles disponibles sobre el resultado. Seleccione una pestaña de opciones de recurso para obtener información sobre los detalles disponibles de ese recurso.
Detalles de usuario de la base de datos (DB) de RDS
nota
Esta sección se aplica a los hallazgos cuando se habilita la función de protección RDS en. GuardDuty Para obtener más información, consulte Protección RDS en GuardDuty.
El GuardDuty hallazgo proporciona los siguientes detalles de usuario y autenticación de la base de datos potencialmente comprometida.
-
Usuario: el nombre de usuario utilizado para llevar a cabo el intento de inicio de sesión anómalo.
-
Aplicación: el nombre de la aplicación utilizada para llevar a cabo el intento de inicio de sesión anómalo.
-
Base de datos: el nombre de la instancia de base de datos implicada en el intento de inicio de sesión anómalo.
-
SSL: la versión de capa de sockets seguros (SSL) utilizada para la red.
-
Método de autenticación: el método de autenticación utilizado por el usuario implicado en el resultado.
Detalles de búsqueda de Runtime Monitoring
nota
Es posible que estos detalles estén disponibles solo si GuardDuty genera uno de losTipos de búsqueda de Runtime Monitoring.
Esta sección contiene los detalles del tiempo de ejecución, como los detalles del proceso y cualquier contexto necesario. Los detalles del proceso describen la información sobre el proceso observado y el contexto del tiempo de ejecución describe cualquier información adicional sobre la actividad potencialmente sospechosa.
Detalles del proceso
-
Nombre: el nombre del proceso.
-
Ruta ejecutable: la ruta absoluta del archivo ejecutable del proceso.
-
SHA-256 ejecutable: el hash
SHA256
del ejecutable del proceso. -
PID del espacio de nombres: el ID del proceso en un espacio de nombres de PID secundario distinto del espacio de nombres de PID del host. En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor.
-
Directorio de trabajo actual: el directorio de trabajo actual del proceso.
-
ID del proceso: el ID asignado al proceso por el sistema operativo.
-
startTime: la hora en la que se ha iniciado el proceso. Está en formato de cadena de fecha UTC (
2023-03-22T19:37:20.168Z
). -
UUID: el identificador único asignado al proceso por GuardDuty.
-
UUID principal: el ID único del proceso principal. Esta ID se asigna al proceso principal mediante GuardDuty.
-
Usuario: el usuario que ha ejecutado el proceso.
-
ID del usuario: el ID del usuario que ha ejecutado el proceso.
-
ID del usuario efectivo: el ID del usuario efectivo del proceso en el momento del evento.
-
Linaje: información sobre los antepasados del proceso.
-
ID del proceso: el ID asignado al proceso por el sistema operativo.
-
UUID: el identificador único asignado al proceso por GuardDuty.
-
Ruta ejecutable: la ruta absoluta del archivo ejecutable del proceso.
-
ID del usuario efectivo: el ID del usuario efectivo del proceso en el momento del evento.
-
UUID principal: el ID único del proceso principal. Esta ID se asigna al proceso principal mediante GuardDuty.
-
Hora de inicio: la hora en la que se ha iniciado el proceso.
-
PID del espacio de nombres: el ID del proceso en un espacio de nombres de PID secundario distinto del espacio de nombres de PID del host. En el caso de los procesos dentro de un contenedor, es el ID de proceso observado dentro del contenedor.
-
ID del usuario: el ID del usuario que ejecutó el proceso.
-
Nombre: el nombre del proceso.
-
Contexto del tiempo de ejecución
De los siguientes campos, un resultado generado puede incluir solo los campos que son relevantes para el tipo de resultado.
-
Origen de la montura: la ruta en el host que monta el contenedor.
-
Destino de la montura: la ruta del contenedor que está asignada al directorio del host.
-
Tipo de sistema de archivos: representa el tipo de sistema de archivos montado.
-
Marcas: representan las opciones que controlan el comportamiento del evento implicado en este resultado.
-
Proceso de modificación: información sobre el proceso que ha creado o modificado un binario, un script o una biblioteca dentro de un contenedor en tiempo de ejecución.
-
Modificado el: la marca de tiempo en la que el proceso ha creado o modificado un binario, un script o una biblioteca dentro de un contenedor en tiempo de ejecución. Este campo está en formato de cadena de fecha UTC (
2023-03-22T19:37:20.168Z
). -
Ruta de la biblioteca: la ruta a la nueva biblioteca que se ha cargado.
-
Valor de precarga de LD: el valor de la variable de entorno
LD_PRELOAD
. -
Ruta del socket: la ruta al socket de Docker al que se accedió.
-
Ruta al binario Runc: la ruta al binario
runc
. -
Ruta del agente de lanzamiento: la ruta al archivo del agente de lanzamiento del
cgroup
. -
Ejemplo de línea de comandos: ejemplo de la línea de comandos implicada en la actividad potencialmente sospechosa.
-
Categoría de herramienta: categoría a la que pertenece la herramienta. Algunos de los ejemplos son Backdoor Tool, Pentest Tool, Network Scanner y Network Sniffer.
-
Nombre de la herramienta: el nombre de la herramienta potencialmente sospechosa.
-
Ruta del script: la ruta al script ejecutado que generó el hallazgo.
-
Ruta del archivo de amenazas: la ruta sospechosa en la que se encontraron los detalles de la inteligencia de amenazas.
-
Nombre del servicio: el nombre del servicio de seguridad que se ha desactivado.
Detalles del análisis de volúmenes de EBS
nota
Esta sección se aplica a los hallazgos al activar el análisis GuardDuty de malware iniciado. GuardDuty Protección contra malware para EC2
El análisis de volúmenes de EBS proporciona detalles sobre el volumen de EBS asociado a la carga de trabajo del contenedor o la instancia de EC2 potencialmente afectada.
-
ID de análisis: el identificador del análisis de malware.
-
Análisis iniciado el: la fecha y hora en que inició el análisis de malware.
-
Análisis completado el: la fecha y la hora en que se completó el análisis de malware.
-
Identificador de búsqueda de activación: el identificador de GuardDuty búsqueda del descubrimiento que inició este análisis de malware.
-
Fuentes: los valores potenciales son
Bitdefender
yAmazon
. -
Detecciones de análisis: la vista completa de los detalles y los resultados de cada análisis de malware.
-
Recuento de elementos analizados: el número total de archivos analizados. Proporciona detalles como
totalGb
,files
yvolumes
. -
Recuento de elementos de amenazas detectadas: el número total de
files
maliciosos detectados durante el análisis. -
Detalles de las amenazas de mayor gravedad: los detalles de la amenaza de mayor gravedad detectada durante el análisis y el número de archivos maliciosos. Proporciona detalles como
severity
,threatName
ycount
. -
Amenazas detectadas por nombre: el elemento del contenedor que agrupa las amenazas de todos los niveles de gravedad. Proporciona detalles como
itemCount
,uniqueThreatNameCount
,shortened
ythreatNames
.
-
Protección contra malware para EC2: detalles sobre cómo encontrar
nota
Esta sección se aplica a los hallazgos al activar el análisis GuardDuty de malware iniciado. GuardDuty Protección contra malware para EC2
Cuando el análisis de Malware Protection for EC2 detecte malware, podrá ver los detalles del análisis seleccionando el resultado correspondiente en la página de resultados de la consola https://console.aws.amazon.com/guardduty/
nota
La etiqueta GuardDutyFindingDetected
especifica que las instantáneas contienen malware.
La siguiente información está disponible en la sección Amenazas detectadas del panel de detalles.
-
Nombre: el nombre de la amenaza, obtenido al agrupar los archivos por detección.
-
Gravedad: el nivel de gravedad de la amenaza detectada.
-
Hash: el SHA-256 del archivo.
-
Ruta de archivo: la ubicación del archivo malicioso en el volumen de EBS.
-
Nombre de archivo: el nombre del archivo en el que se detectó la amenaza.
-
ARN del volumen: el ARN de los volúmenes de EBS analizados.
La siguiente información está disponible en la sección Detalles del análisis de malware del panel de detalles.
-
ID de análisis: el ID del análisis de malware.
-
Análisis iniciado el: la fecha y hora en que inició el análisis.
-
Análisis completado el: la fecha y la hora en que se completó el análisis.
-
Archivos analizados: el número total de archivos y directorios analizados.
-
Total de GB analizados: la cantidad de almacenamiento analizada durante el proceso.
-
ID de búsqueda del desencadenante: el identificador de GuardDuty búsqueda del hallazgo que inició este análisis de malware.
-
La siguiente información está disponible en la sección Detalles del volumen del panel de detalles.
-
ARN del volumen: el nombre de recurso de Amazon (ARN) del volumen.
-
SnapshotARN: el ARN de la instantánea del volumen de EBS.
-
Estado: el estado de análisis del volumen, como
Running
,Skipped
yCompleted
. -
Tipo de cifrado: el tipo de cifrado utilizado en el volumen. Por ejemplo,
CMCMK
. -
Nombre del dispositivo: el nombre del dispositivo. Por ejemplo,
/dev/xvda
.
-
Protección contra malware para S3: información sobre la búsqueda
Los siguientes detalles del análisis de malware están disponibles cuando habilita GuardDuty tanto la protección contra malware para S3 en su dispositivo Cuenta de AWS:
-
Amenazas: una lista de las amenazas detectadas durante el análisis de malware.
Para obtener información sobre el número de amenazas que puede incluir el hallazgo, consulteCuotas de protección contra malware para S3.
-
Ruta del elemento: lista de la ruta del elemento anidado y los detalles del hash del objeto S3 escaneado.
-
Ruta del elemento anidado: ruta del elemento del objeto S3 escaneado en el que se detectó la amenaza.
El valor de este campo solo está disponible si el objeto de nivel superior es un archivo y si se detecta una amenaza dentro de un archivo.
-
Hash: hash de la amenaza detectada en este hallazgo.
-
-
Fuentes: los valores potenciales son
Bitdefender
yAmazon
.
Acción
La acción de un resultado proporciona detalles sobre el tipo de actividad que desencadenó el resultado. La información disponible variará en función del tipo de acción.
Tipo de acción: el tipo de actividad del resultado. Este valor puede ser NETWORK_CONNECTION, PORT_PROBE, DNS_REQUEST, AWS_API_CALL o RDS_LOGIN_ATTEMPT. La información disponible variará en función del tipo de acción:
-
NETWORK_CONNECTION: indica que hubo un intercambio de tráfico de la red entre la instancia de EC2 identificada y el host remoto. Este tipo de acción presenta la siguiente información adicional:
-
Dirección de conexión: la dirección de conexión de red observada en la actividad GuardDuty que provocó la generación del hallazgo. Puede ser uno de los siguientes valores:
-
INBOUND: indica que un host remoto inició una conexión con un puerto local en la instancia de EC2 identificada en su cuenta.
-
OUTBOUND: indica que la instancia de EC2 identificada inició una conexión a un host remoto.
-
Desconocido: indica que no se GuardDuty pudo determinar la dirección de la conexión.
-
-
Protocolo: el protocolo de conexión de red observado en la actividad que provocó GuardDuty la generación del hallazgo.
-
IP local: la dirección IP de origen original del tráfico que activó el resultado. Se puede usar esta información para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, la dirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el pod EKS.
-
Bloqueado: indica si el puerto objetivo está bloqueado.
-
-
PORT_PROBE: indica que un host remoto sondeó la instancia de EC2 identificada en varios puertos abiertos. Este tipo de acción presenta la siguiente información adicional:
-
IP local: la dirección IP de origen original del tráfico que activó el resultado. Se puede usar esta información para distinguir entre la dirección IP de una capa intermedia a través de la que fluye el tráfico y la dirección IP de origen original del tráfico que desencadenó la búsqueda. Por ejemplo, la dirección IP de un pod EKS en lugar de la dirección IP de la instancia en la que se ejecuta el pod EKS.
-
Bloqueado: indica si el puerto objetivo está bloqueado.
-
-
DNS_REQUEST: indica que la instancia de EC2 identificada consultó un nombre de dominio. Este tipo de acción presenta la siguiente información adicional:
-
Protocolo: el protocolo de conexión de red observado en la actividad que provocó GuardDuty la generación del hallazgo.
-
Bloqueado: indica si el puerto objetivo está bloqueado.
-
-
AWS_API_CALL: indica que se ha invocado una API de AWS . Este tipo de acción presenta la siguiente información adicional:
-
API: el nombre de la operación de API que se invocó y, por lo tanto, se GuardDuty le pidió que generara este hallazgo.
nota
Estas operaciones también pueden incluir eventos que no pertenecen a la API capturados por AWS CloudTrail. Para obtener más información, consulte Eventos ajenos a la API capturados por CloudTrail.
-
Agente de usuario: el agente de usuario que hizo la solicitud de API. Este valor indica si la llamada se realizó desde AWS Management Console, un AWS servicio, los AWS SDK o el. AWS CLI
-
CÓDIGO DE ERROR: si una llamada fallida a la API ha desencadenado el resultado, se muestra el código de error de esa llamada.
-
Nombre del servicio: el nombre de DNS del servicio que ha intentado hace la llamada a la API que desencadenó el resultado.
-
-
RDS_LOGIN_ATTEMPT: indica que se intentó iniciar sesión en la base de datos potencialmente afectada desde una dirección IP remota.
-
Dirección IP: la dirección IP remota que se utilizó para llevar a cabo el intento de inicio de sesión potencialmente sospechoso.
-
Actor u objetivo
Un resultado tendrá una sección Actor si el Rol de recurso era TARGET
. Esto indica que su recurso fue objeto de actividad sospechosa y la sección Actor contendrá detalles sobre la entidad que tenía el recurso como objetivo.
Un resultado tendrá una sección Objetivo si el Rol de recurso era ACTOR
. Esto indica que su recurso estuvo involucrado en actividad sospechosa contra un host remoto y esta sección contendrá información sobre la IP o el dominio que era el objetivo de su recurso.
La información disponible en la sección Actor u Objetivo puede incluir lo siguiente:
-
Afiliado: detalla si la AWS cuenta de la persona que llama a la API remota está relacionada con su GuardDuty entorno. Si este valor es
true
, la persona que llama a la API está afiliada a su cuenta de alguna manera; si esfalse
, la persona que llama a la API es ajena a su entorno. -
ID de cuenta remota: el ID de cuenta propietario de la dirección IP saliente que se utilizó para acceder al recurso en la red final.
-
Dirección IP: la dirección IP implicada en la actividad que provocó GuardDuty la generación del hallazgo.
-
Ubicación: información de ubicación de la dirección IP implicada en la actividad que provocó GuardDuty la generación del hallazgo.
-
Organización: información de la organización del ISP sobre la dirección IP implicada en la actividad que motivó GuardDuty la generación del hallazgo.
-
Puerto: el número de puerto implicado en la actividad que motivó GuardDuty la generación del hallazgo.
-
Dominio: el dominio implicado en la actividad que motivó GuardDuty la generación del hallazgo.
-
Dominio con sufijo: el dominio de segundo y superior nivel implicado en una actividad que podría provocar la generación del hallazgo. GuardDuty Para obtener una lista de los dominios de nivel superior y segundo nivel, consulte la lista de sufijos públicos.
Información adicional
Todos los resultados tienen una sección de Información adicional donde se puede encontrar la siguiente información:
-
Nombre de la lista de amenazas: el nombre de la lista de amenazas que incluye la dirección IP o el nombre de dominio implicados en la actividad que provocó la GuardDuty búsqueda.
-
Muestra: un valor verdadero o falso que indica si se trata de un resultado de muestra.
-
Archivado: un valor verdadero o falso que indica si el resultado se ha archivado.
-
Inusual: detalles de las actividades que no se han observado históricamente. Pueden incluir cualquier usuario, hora, ubicación, bucket, comportamiento de inicio de sesión u organización de ASN inusuales (no observados previamente).
-
Protocolo inusual: el protocolo de conexión de red implicado en la actividad GuardDuty que provocó la generación del hallazgo.
-
Detalles del agente: detalles sobre el agente de seguridad que está implementado actualmente en el clúster de EKS de su Cuenta de AWS. Esto solo se aplica a los tipos de resultados de la Supervisión en tiempo de ejecución de EKS.
-
Versión del agente: la versión del agente GuardDuty de seguridad.
-
ID del agente: el identificador único del agente GuardDuty de seguridad.
-
Evidencia
Los resultados que se obtienen mediante la inteligencia sobre amenazas tienen una sección de Evidencia que incluye la siguiente información:
-
Detalles de inteligencia sobre amenazas: nombre de la lista de amenazas en la que
Threat name
aparece lo reconocido. -
Nombre de la amenaza: el nombre de la familia de malware u otro identificador asociado a la amenaza.
-
Archivo de amenaza SHA256: SHA256 del archivo que generó el hallazgo.
Comportamiento anómalo
Los tipos de hallazgos que terminan con «» AnomalousBehaviorindican que el hallazgo se generó mediante el modelo de aprendizaje automático (ML) para la detección de GuardDuty anomalías. El modelo de ML evalúa todas las solicitudes de API a su cuenta e identifica los eventos anómalos relacionados con las tácticas utilizadas por los adversarios. El modelo de ML da seguimiento a varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó.
Los detalles sobre los factores de la solicitud de API que son inusuales para la identidad del CloudTrail usuario que invocó la solicitud se encuentran en los detalles de la búsqueda. Las identidades las define el elemento CloudTrail UserIdentity y los valores posibles sonRoot
:,,IAMUser
,, AssumedRole
o. FederatedUser
AWSAccount
AWSService
Además de los detalles disponibles para todos los GuardDuty hallazgos relacionados con la actividad de la API, AnomalousBehaviorlos hallazgos tienen detalles adicionales que se describen en la siguiente sección. Estos detalles se pueden ver en la consola y también están disponibles en el JSON de los resultados.
-
API anómalas: lista de solicitudes de API invocadas por la identidad del usuario cerca de la solicitud de API principal asociada al resultado. En este panel se desglosan en profundidad los detalles del evento de la API de las siguientes maneras.
-
La primera API de la lista es la API principal, que es la solicitud de API asociada a la actividad observada de mayor riesgo. Esta es la API que ha desencadenado el resultado y se correlaciona con la fase de ataque del tipo de resultado. Esta es también la API que se detalla en la sección Acción de la consola y en el JSON del resultado.
-
Todas las demás API de la lista son API anómalas adicionales a la identidad de usuario de la lista observadas cerca de la API principal. Si solo hay una API en la lista, el modelo de ML no ha identificado como anómala ninguna solicitud de API adicional procedente de esa identidad de usuario.
-
La lista de API se divide en función de si una API se llamó correctamente o si se llamó de forma incorrecta, lo que significa que se recibió una respuesta de error. El tipo de respuesta de error recibida aparece encima de cada API llamada incorrectamente. Los posibles tipos de respuesta de error son:
access denied
,access denied exception
,auth failure
,instance limit exceeded
,invalid permission - duplicate
,invalid permission - not found
yoperation not permitted
. -
Las API se clasifican según su servicio asociado.
nota
Para obtener más contexto, seleccione API históricas para ver los detalles sobre las API principales, hasta un máximo de 20, que normalmente se muestran tanto para la identidad del usuario como para todos los usuarios de la cuenta. Las API se marcan como Raro (menos de una vez al mes), Poco frecuente (varias veces al mes) o Frecuente (diario o semanal), en función de la frecuencia con la que se usen en la cuenta.
-
-
Comportamiento inusual (cuenta): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado de su cuenta. La información rastreada en este panel incluye:
-
Organización de ASN: la organización de ASN desde la que se hizo la llamada anómala a la API.
-
Nombre de usuario: el nombre del usuario que hizo la llamada anómala a la API.
-
Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo,
aws-cli
oBotocore
. -
Tipo de usuario: el tipo de usuario que hizo la llamada anómala a la API. Los valores posibles son
AWS_SERVICE
,ASSUMED_ROLE
,IAM_USER
oROLE
. -
Bucket: el nombre del bucket de S3 al que se ha accedido.
-
-
Comportamiento inusual (identidad de usuario): en esta sección se proporcionan detalles adicionales sobre el comportamiento perfilado de la identidad de usuario implicado en el resultado. Cuando un comportamiento no se identifica como histórico, significa que el modelo de aprendizaje GuardDuty automático no había visto anteriormente esta identidad de usuario realizando esta llamada a la API de esta manera durante el período de formación. Los siguientes detalles adicionales sobre la identidad de usuario están disponibles:
-
Organización de ASN: la organización de ASN desde la que se hizo la llamada anómala a la API.
-
Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo,
aws-cli
oBotocore
. -
Bucket: el nombre del bucket de S3 al que se ha accedido.
-
-
Comportamiento inusual (bucket): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado del bucket de S3 asociado al resultado. Cuando un comportamiento no se identifica como histórico, significa que en el modelo de aprendizaje GuardDuty automático no se habían realizado anteriormente llamadas a la API a este segmento de esta manera durante el período de formación. La información rastreada en esta sección incluye:
-
Organización de ASN: la organización de ASN desde la que se hizo la llamada anómala a la API.
-
Nombre de usuario: el nombre del usuario que hizo la llamada anómala a la API.
-
Agente de usuario: el agente de usuario utilizado para hacer la llamada anómala a la API. El agente de usuario es el método utilizado para hacer la llamada, por ejemplo,
aws-cli
oBotocore
. -
Tipo de usuario: el tipo de usuario que hizo la llamada anómala a la API. Los valores posibles son
AWS_SERVICE
,ASSUMED_ROLE
,IAM_USER
oROLE
.
nota
Para más información sobre los comportamientos históricos, seleccione Comportamiento histórico en las secciones Comportamiento inusual (cuenta), ID de usuario o Bucket para ver detalles sobre el comportamiento esperado de su cuenta en cada una de las siguientes categorías: Raro (menos de una vez al mes), Poco frecuente (varias veces al mes) o Frecuente (diario o semanal), según la frecuencia con la que se usen en la cuenta.
-
-
Comportamiento inusual (base de datos): en esta sección, se proporcionan detalles adicionales sobre el comportamiento perfilado de la instancia de base de datos asociada al resultado. Cuando un comportamiento no se identifica como histórico, significa que en el modelo de aprendizaje GuardDuty automático no se ha realizado anteriormente ningún intento de inicio de sesión en esta instancia de base de datos de esta manera durante el período de entrenamiento. La información recopilada en esta sección del panel de resultados incluye:
-
Nombre de usuario: el nombre de usuario utilizado para llevar a cabo el intento de inicio de sesión anómalo.
-
Organización de ASN: la organización de ASN desde la que se hizo el intento de inicio de sesión anómalo.
-
Nombre de la aplicación: el nombre de la aplicación utilizada para llevar a cabo el intento de inicio de sesión anómalo.
-
Nombre de base de datos: el nombre de la instancia de base de datos implicada en el intento de inicio de sesión anómalo.
nota
La sección Comportamiento histórico proporciona más contexto sobre los Nombres de usuario, Organizaciones de ASN, Nombres de las aplicaciones y Nombres de bases de datos observados anteriormente para la base de datos asociada. Cada valor único tiene un recuento asociado que representa el número de veces que se observó este valor en un evento de inicio de sesión exitoso.
-
-
Comportamiento inusual (cuenta, clúster de Kubernetes, espacio de nombres de Kubernetes y nombre de usuario de Kubernetes): en esta sección se proporcionan detalles adicionales sobre el comportamiento perfilado del clúster y el espacio de nombres de Kubernetes asociado al hallazgo. Cuando un comportamiento no se identifica como histórico, significa que el modelo de aprendizaje automático no ha observado previamente esta cuenta, clúster, espacio de nombres o nombre de usuario de GuardDuty esta manera. La información recopilada en esta sección del panel de resultados incluye:
-
Nombre de usuario: el usuario que llamó a la API de Kubernetes asociada al hallazgo.
-
Nombre de usuario suplantado: el usuario al que se hace pasar por.
username
-
Espacio de nombres: el espacio de nombres de Kubernetes dentro del clúster de Amazon EKS en el que se produjo la acción.
-
Agente de usuario: el agente de usuario asociado a la llamada a la API de Kubernetes. El agente de usuario es el método utilizado para realizar la llamada, por ejemplo.
kubectl
-
API: la API de Kubernetes llamada desde
username
el clúster de Amazon EKS. -
Información de ASN: la información de ASN, como la organización y el ISP, asociada a la dirección IP del usuario que realiza esta llamada.
-
Día de la semana: el día de la semana en que se realizó la llamada a la API de Kubernetes.
-
Permiso 1: Se comprueba el acceso al verbo y al recurso de Kubernetes para indicar si pueden o no utilizar la API de Kubernetes.
username
-
Nombre de la cuenta de servicio 1: la cuenta de servicio asociada a la carga de trabajo de Kubernetes que proporciona una identidad a la carga de trabajo.
-
Registro 1: el registro del contenedor asociado a la imagen del contenedor que se implementa en la carga de trabajo de Kubernetes.
-
Imagen 1: la imagen del contenedor, sin las etiquetas ni el resumen asociados, que se despliega en la carga de trabajo de Kubernetes.
-
Image Prefix Config 1: el prefijo de la imagen con la configuración de seguridad del contenedor y la carga de trabajo habilitada, por ejemplo
privileged
,hostNetwork
o, para el contenedor que usa la imagen. -
Nombre del sujeto 1: los sujetos, como un
user
group
, oserviceAccountName
que están vinculados a un rol de referencia en unRoleBinding
o.ClusterRoleBinding
-
Nombre del rol 1: el nombre del rol que interviene en la creación o modificación de los roles o de la
roleBinding
API.
-
Anomalías basadas en el volumen de S3
En esta sección, se detalla la información contextual de las anomalías basadas en el volumen de S3. El resultado basado en el volumen (Exfiltration:S3/AnomalousBehavior) supervisa un número inusual de llamadas a la API de S3 hechas por los usuarios a los buckets de S3, lo que indica una posible exfiltración de datos. Las siguientes llamadas a la API de S3 se supervisan para detectar anomalías basadas en el volumen.
-
GetObject
-
CopyObject.Read
-
SelectObjectContent
Las siguientes métricas ayudarían a crear una referencia del comportamiento habitual cuando una entidad de IAM accede a un bucket de S3. Para detectar la exfiltración de datos, el resultado de la detección de anomalías basada en el volumen evalúa todas las actividades con respecto a la referencia de comportamiento habitual. Seleccione Comportamiento histórico en las secciones Comportamiento inusual (identidad de usuario), Volumen observado (identidad de usuario) y Volumen observado (bucket) para ver las siguientes métricas, respectivamente.
-
Número de llamadas a la API
s3-api-name
invocadas por el usuario de IAM o rol de IAM (depende de cuál se haya emitido) asociados al bucket de S3 afectado en las últimas 24 horas. -
Número de llamadas a la API
s3-api-name
invocadas por el usuario de IAM o rol de IAM (depende de cuál se haya emitido) asociados a todos los buckets de S3 afectados en las últimas 24 horas. -
Número de llamadas a la API
s3-api-name
en todos los usuarios de IAM o roles de IAM (depende de cuál se haya emitido) asociados al bucket de S3 afectado en las últimas 24 horas.
Anomalías basadas en la actividad de inicio de sesión en RDS
En esta sección, se detalla el recuento de los intentos de inicio de sesión de un actor inusual y se agrupa por el resultado de los intentos de inicio de sesión. Tipos de búsqueda de RDS Protection identifica el comportamiento anómalo mediante la supervisión de los eventos de inicio de sesión para detectar patrones inusuales de successfulLoginCount
, failedLoginCount
y incompleteConnectionCount
.
-
successfulLoginCount— Este contador representa la suma de las conexiones correctas (combinación correcta de los atributos de inicio de sesión) realizadas a la instancia de base de datos por un actor inusual. Los atributos de inicio de sesión incluyen el nombre de usuario, la contraseña y el nombre de la base de datos.
-
failedLoginCount— Este contador representa la suma de los intentos de inicio de sesión fallidos (fallidos) realizados para establecer una conexión con la instancia de base de datos. Esto indica que uno o varios atributos de la combinación de inicio de sesión, como el nombre de usuario, la contraseña o el nombre de la base de datos, eran incorrectos.
-
incompleteConnectionCount— Este contador representa el número de intentos de conexión que no se pueden clasificar como exitosos o fallidos. Estas conexiones se cierran antes de que la base de datos proporcione una respuesta. Por ejemplo, se analiza un puerto cuando el puerto de la base de datos está conectado, pero no se envía ningún dato a la base de datos o cuando la conexión se interrumpió antes de que se completara el inicio de sesión en un intento exitoso o fallido.