Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
GuardDuty format de recherche
Lorsqu' GuardDuty un comportement suspect ou inattendu est détecté dans votre AWS environnement, il génère une constatation. Une constatation est une notification qui contient les détails relatifs à un problème de sécurité potentiel GuardDuty découvert. Ils Affichage des résultats générés dans GuardDuty la console incluent des informations sur ce qui s'est passé, les AWS ressources impliquées dans l'activité suspecte, le moment où cette activité a eu lieu, ainsi que des informations connexes susceptibles de vous aider à en comprendre la cause première.
Le type de résultat est l'une des informations les plus utiles. Le type de résultat vise à fournir une description brève mais intelligible du problème de sécurité potentiel. Par exemple, le type de PortProbeUnprotectedPort recherche GuardDuty Recon :EC2/vous informe rapidement que quelque part dans votre AWS environnement, une EC2 instance possède un port non protégé qu'un attaquant potentiel est en train de tester.
GuardDuty utilise le format suivant pour nommer les différents types de résultats qu'il génère :
ThreatPurposeResourceTypeAffected:/ThreatFamilyName. DetectionMechanism! Artifact
Chaque partie de ce format représente un aspect d'un type de résultat. Ces aspects sont expliqués comme suit :
-
ThreatPurpose- décrit l'objectif principal d'une menace, le type d'attaque ou le stade d'une attaque potentielle. Consultez la section suivante pour obtenir une liste complète des objectifs GuardDuty liés aux menaces.
-
ResourceTypeAffected- décrit le type de AWS ressource identifié dans cette constatation comme étant la cible potentielle d'un adversaire. Actuellement, GuardDuty peut générer des résultats pour les types de ressources répertoriés dans leGuardDuty types de recherche actifs.
-
ThreatFamilyName- décrit la menace globale ou l'activité malveillante potentielle GuardDuty détectée. Par exemple, une valeur de NetworkPortUnusualindique qu'une EC2 instance identifiée dans la GuardDuty recherche n'a aucun historique de communication antérieur sur un port distant particulier qui est également identifié dans la recherche.
-
DetectionMechanism- décrit la méthode utilisée pour GuardDuty détecter le résultat. Cela peut être utilisé pour indiquer une variation par rapport à un type de découverte courant ou un résultat qui a GuardDuty utilisé un mécanisme de détection spécifique. Par exemple, Backdoor :EC2/DenialOfService.Tcp indique qu'un déni de service (DoS) a été détecté. TCP La UDP variante est Backdoor :EC2/DenialOfService.Udp.
La valeur .Custom indique que le résultat a GuardDuty été détecté sur la base de vos listes de menaces personnalisées. Pour de plus amples informations, veuillez consulter IP approuvées et listes de menaces.
La valeur .Reputation indique que le résultat a GuardDuty été détecté à l'aide d'un modèle de score de réputation de domaine. Pour plus d'informations, consultez How AWS suit les principales menaces de sécurité du cloud et aide à les neutraliser
. -
Artefact : décrit une ressource spécifique appartenant à un outil utilisé pour l'activité malveillante. Par exemple, DNSle type de recherche CryptoCurrency:EC2/BitcoinTool.B!DNS indique qu'une EC2 instance Amazon communique avec un domaine connu lié au Bitcoin.
Note
L'Artifact est facultatif et peut ne pas être disponible pour tous les types de GuardDuty recherche.
Buts de la menace
Dans GuardDuty une menace, l'objectif décrit l'objectif principal d'une menace, un type d'attaque ou un stade d'une attaque potentielle. Par exemple, certaines menaces, telles que Backdoor, indiquent un type d'attaque. Cependant, certains objectifs liés aux menaces, tels que l'impact, s'alignent sur les tactiques MITRE ATT &CK
- Backdoor
-
Cette valeur indique qu'un adversaire a compromis une AWS ressource et l'a modifiée afin de pouvoir contacter son serveur central de commande et de contrôle (C&C) pour recevoir des instructions supplémentaires concernant une activité malveillante.
- Comportement
-
Cette valeur indique que l'on GuardDuty a détecté une activité ou des modèles d'activité différents de la base de référence établie pour les AWS ressources impliquées.
- CredentialAccess
-
Cette valeur indique qu'il GuardDuty a détecté des modèles d'activité qu'un adversaire pourrait utiliser pour voler des informations d'identification, telles que des mots de passe, des noms d'utilisateur et des clés d'accès, dans votre environnement. Cet objectif de menace est basé sur les tactiques MITRE ATT &CK
. - Cryptomonnaie
-
Cette valeur indique qu' GuardDuty une AWS ressource de votre environnement héberge un logiciel associé à des cryptomonnaies (par exemple, Bitcoin).
- DefenseEvasion
-
Cette valeur indique qu'il GuardDuty a détecté une activité ou des modèles d'activité qu'un adversaire peut utiliser pour éviter d'être détecté lors de l'infiltration de votre environnement. Cet objectif de menace est basé sur les MITREATTtactiques &CK
- Découverte
-
Cette valeur indique qu'il GuardDuty a détecté une activité ou des modèles d'activité qu'un adversaire pourrait utiliser pour approfondir ses connaissances de vos systèmes et de vos réseaux internes. Cet objectif de menace est basé sur les tactiques MITRE ATT &CK
. - Exécution
-
Cette valeur indique qu'un adversaire GuardDuty a détecté qu'un adversaire essaie d'exécuter ou a déjà exécuté un code malveillant pour explorer l' AWS environnement ou pour voler des données. Cet objectif de menace est basé sur les tactiques MITRE ATT &CK
. - Exfiltration
-
Cette valeur indique qu'il GuardDuty a détecté une activité ou des modèles d'activité susceptibles d'être utilisés par un adversaire pour tenter de voler des données dans votre environnement. Cet objectif de menace est basé sur les tactiques MITRE ATT &CK
. - Impact
-
Cette valeur indique qu'une activité ou des modèles d'activité ont GuardDuty été détectés qui suggèrent qu'un adversaire tente de manipuler, d'interrompre ou de détruire vos systèmes et vos données. Cet objectif de menace est basé sur les tactiques MITRE ATT &CK
. - InitialAccess
-
Cette valeur est généralement associée à la phase d'accès initiale d'une attaque lorsqu'un adversaire tente d'accéder à votre environnement. Cet objectif de menace est basé sur les tactiques MITRE ATT &CK
. - Pentest
-
Parfois, les propriétaires de AWS ressources ou leurs représentants autorisés exécutent intentionnellement des tests sur AWS des applications pour détecter des vulnérabilités, telles que des groupes de sécurité ouverts ou des clés d'accès trop permissives. Ces tests d'intrusion sont réalisés pour tenter d'identifier et de verrouiller les ressources vulnérables avant qu'elles ne soient découvertes par des adversaires. Toutefois, certains des outils utilisés par les testeurs autorisés sont disponibles gratuitement et peuvent donc être utilisés par des utilisateurs non autorisés ou des adversaires à des fins d'analyse. Bien qu'il ne soit pas GuardDuty possible d'identifier le véritable objectif d'une telle activité, la valeur GuardDuty Pentest indique qu'il s'agit de détecter une telle activité, qu'elle est similaire à celle générée par des outils de test de stylet connus et qu'elle pourrait indiquer une enquête malveillante sur votre réseau.
- Persistance
-
Cette valeur indique qu'il GuardDuty a détecté une activité ou des modèles d'activité qu'un adversaire peut utiliser pour tenter de conserver l'accès à vos systèmes même si sa voie d'accès initiale est coupée. Par exemple, cela peut inclure la création d'un nouvel IAM utilisateur après avoir obtenu l'accès via les informations d'identification compromises d'un utilisateur existant. Lorsque les informations d'identification de l'utilisateur existant sont supprimées, l'adversaire retient l'accès au nouvel utilisateur qui n'a pas été détecté lors de l'événement d'origine. Cet objectif de menace est basé sur les tactiques MITRE ATT &CK
. - Stratégie
-
Cette valeur indique que votre comportement Compte AWS va à l'encontre des meilleures pratiques de sécurité recommandées. Par exemple, modification involontaire des politiques d'autorisation associées à vos AWS ressources ou à votre environnement, et utilisation de comptes privilégiés qui devraient être peu ou pas utilisés.
- PrivilegeEscalation
-
Cette valeur vous indique que le principal impliqué dans votre environnement AWS présente un comportement susceptible d'être utilisé par un adversaire pour obtenir des autorisations de niveau supérieur sur votre réseau. Cet objectif de menace est basé sur les tactiques MITRE ATT &CK
. - Recon
-
Cette valeur indique qu'il GuardDuty a détecté une activité ou des modèles d'activité qu'un adversaire peut utiliser lors de la reconnaissance de votre environnement afin de déterminer comment il peut élargir son accès ou utiliser vos ressources. Par exemple, cette activité peut inclure l'identification des vulnérabilités de votre AWS environnement en analysant les ports, en passant des API appels, en répertoriant les utilisateurs et en répertoriant les tables de base de données, entre autres.
- Stealth
-
Cette valeur indique qu'un adversaire essaie activement de masquer ses actions. Par exemple, il peut utiliser un serveur proxy anonyme, ce qui rend extrêmement difficile l'évaluation de la véritable nature de l'activité.
- Trojan
-
Cette valeur indique qu'une attaque utilise des chevaux de Troie pour mener une action malveillante en silence. Parfois, ce logiciel prend l'aspect d'un programme légitime. Parfois, les utilisateurs l'exécutent accidentellement. Ou bien le logiciel peut s'exécuter automatiquement en exploitant une vulnérabilité.
- UnauthorizedAccess
-
Cette valeur indique qu'une activité suspecte ou un schéma d'activité suspect GuardDuty est détecté par une personne non autorisée.
