GuardDuty recherche de types en fonction des ressources potentiellement affectées GuardDuty résultats actifs

GuardDuty types de recherche

Pour plus d'informations sur les modifications importantes apportées aux types de GuardDuty recherche, y compris les types de recherche récemment ajoutés ou retirés, voirHistorique du document pour Amazon GuardDuty.

Pour plus d'informations sur les types de résultat désormais retirés, veuillez consulter Retrait de types de résultat.

GuardDuty recherche de types en fonction des ressources potentiellement affectées

Les pages suivantes sont classées selon le type de ressource potentiellement affectée associé à une GuardDuty découverte :

GuardDuty résultats actifs

Le tableau suivant présente tous les types de résultat actifs triés par source de données ou fonctionnalité de base, le cas échéant. Certains des types de résultat suivants peuvent avoir une gravité variable, indiquée par un astérisque (*). Pour plus d'informations sur la gravité variable d'un type de résultat, veuillez consulter la description détaillée qui s'y rapporte.

Type de résultat	Type de ressource	Source de données/fonctionnalité de base	Gravité du résultat
Discovery:S3/AnomalousBehavior	Amazon S3	CloudTrail événements de données pour S3	Faible
Discovery:S3/MaliciousIPCaller	Amazon S3	CloudTrail événements de données pour S3	Élevé
Discovery:S3/MaliciousIPCaller.Custom	Amazon S3	CloudTrail événements de données pour S3	Élevé
Discovery:S3/TorIPCaller	Amazon S3	CloudTrail événements de données pour S3	Moyen
Exfiltration:S3/AnomalousBehavior	Amazon S3	CloudTrail événements de données pour S3	Élevé
Exfiltration:S3/MaliciousIPCaller	Amazon S3	CloudTrail événements de données pour S3	Élevé
Impact:S3/AnomalousBehavior.Delete	Amazon S3	CloudTrail événements de données pour S3	Élevé
Impact:S3/AnomalousBehavior.Permission	Amazon S3	CloudTrail événements de données pour S3	Élevé
Impact:S3/AnomalousBehavior.Write	Amazon S3	CloudTrail événements de données pour S3	Moyen
Impact:S3/MaliciousIPCaller	Amazon S3	CloudTrail événements de données pour S3	Élevé
PenTest:S3/KaliLinux	Amazon S3	CloudTrail événements de données pour S3	Moyen
PenTest:S3/ParrotLinux	Amazon S3	CloudTrail événements de données pour S3	Moyen
PenTest:S3/PentooLinux	Amazon S3	CloudTrail événements de données pour S3	Moyen
UnauthorizedAccess:S3/TorIPCaller	Amazon S3	CloudTrail événements de données pour S3	Élevé
UnauthorizedAccess:S3/MaliciousIPCaller.Custom	Amazon S3	CloudTrail événements de données pour S3	Élevé
CredentialAccess:IAMUser/AnomalousBehavior	IAM	CloudTrail événement de gestion	Moyen
DefenseEvasion:IAMUser/AnomalousBehavior	IAM	CloudTrail événement de gestion	Moyen
Discovery:IAMUser/AnomalousBehavior	IAM	CloudTrail événement de gestion	Faible
Exfiltration:IAMUser/AnomalousBehavior	IAM	CloudTrail événement de gestion	Élevé
Impact:IAMUser/AnomalousBehavior	IAM	CloudTrail événement de gestion	Élevé
InitialAccess:IAMUser/AnomalousBehavior	IAM	CloudTrail événement de gestion	Moyen
PenTest:IAMUser/KaliLinux	IAM	CloudTrail événement de gestion	Moyen
PenTest:IAMUser/ParrotLinux	IAM	CloudTrail événement de gestion	Moyen
PenTest:IAMUser/PentooLinux	IAM	CloudTrail événement de gestion	Moyen
Persistence:IAMUser/AnomalousBehavior	IAM	CloudTrail événement de gestion	Moyen
Stealth:IAMUser/PasswordPolicyChange	IAM	CloudTrail événement de gestion	Faible*
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS	IAM	CloudTrail événement de gestion	Élevée*
Policy:S3/AccountBlockPublicAccessDisabled	Amazon S3	CloudTrail événement de gestion	Faible
Policy:S3/BucketAnonymousAccessGranted	Amazon S3	CloudTrail événement de gestion	Élevé
Policy:S3/BucketBlockPublicAccessDisabled	Amazon S3	CloudTrail événement de gestion	Faible
Policy:S3/BucketPublicAccessGranted	Amazon S3	CloudTrail événement de gestion	Élevé
PrivilegeEscalation:IAMUser/AnomalousBehavior	IAM	CloudTrail événement de gestion	Moyen
Recon:IAMUser/MaliciousIPCaller	IAM	CloudTrail événement de gestion	Moyen
Recon:IAMUser/MaliciousIPCaller.Custom	IAM	CloudTrail événement de gestion	Moyen
Recon:IAMUser/TorIPCaller	IAM	CloudTrail événement de gestion	Moyen
Stealth:IAMUser/CloudTrailLoggingDisabled	IAM	CloudTrail événement de gestion	Faible
Stealth:S3/ServerAccessLoggingDisabled	Amazon S3	CloudTrail événement de gestion	Faible
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B	IAM	CloudTrail événement de gestion	Moyen
UnauthorizedAccess:IAMUser/MaliciousIPCaller	IAM	CloudTrail événement de gestion	Moyen
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom	IAM	CloudTrail événement de gestion	Moyen
UnauthorizedAccess:IAMUser/TorIPCaller	IAM	CloudTrail événement de gestion	Moyen
Policy:IAMUser/RootCredentialUsage	IAM	CloudTrail événements de gestion ou événements de CloudTrail données pour S3	Faible
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS	IAM	CloudTrail événements de gestion ou événements de CloudTrail données pour S3	Élevé
Backdoor:EC2/C&CActivity.B!DNS	Amazon EC2	DNSjournaux	Élevé
CryptoCurrency:EC2/BitcoinTool.B!DNS	Amazon EC2	DNSjournaux	Élevé
Impact:EC2/AbusedDomainRequest.Reputation	Amazon EC2	DNSjournaux	Moyen
Impact:EC2/BitcoinDomainRequest.Reputation	Amazon EC2	DNSjournaux	Élevé
Impact:EC2/MaliciousDomainRequest.Reputation	Amazon EC2	DNSjournaux	Élevé
Impact:EC2/SuspiciousDomainRequest.Reputation	Amazon EC2	DNSjournaux	Faible
Trojan:EC2/BlackholeTraffic!DNS	Amazon EC2	DNSjournaux	Moyen
Trojan:EC2/DGADomainRequest.B	Amazon EC2	DNSjournaux	Élevé
Trojan:EC2/DGADomainRequest.C!DNS	Amazon EC2	DNSjournaux	Élevé
Trojan:EC2/DNSDataExfiltration	Amazon EC2	DNSjournaux	Élevé
Trojan:EC2/DriveBySourceTraffic!DNS	Amazon EC2	DNSjournaux	Élevé
Trojan:EC2/DropPoint!DNS	Amazon EC2	DNSjournaux	Moyen
Trojan:EC2/PhishingDomainRequest!DNS	Amazon EC2	DNSjournaux	Élevé
UnauthorizedAccess:EC2/MetadataDNSRebind	Amazon EC2	DNSjournaux	Élevé
Execution:Container/MaliciousFile	Conteneur	EBSProtection contre les logiciels malveillants	Varie en fonction de la menace détectée
Execution:Container/SuspiciousFile	Conteneur	EBSProtection contre les logiciels malveillants	Varie en fonction de la menace détectée
Execution:EC2/MaliciousFile	EC2	EBSProtection contre les logiciels malveillants	Varie en fonction de la menace détectée
Execution:EC2/SuspiciousFile	EC2	EBSProtection contre les logiciels malveillants	Varie en fonction de la menace détectée
Execution:ECS/MaliciousFile	ECS	EBSProtection contre les logiciels malveillants	Varie en fonction de la menace détectée
Execution:ECS/SuspiciousFile	ECS	EBSProtection contre les logiciels malveillants	Varie en fonction de la menace détectée
Execution:Kubernetes/MaliciousFile	Kubernetes	EBSProtection contre les logiciels malveillants	Varie en fonction de la menace détectée
Execution:Kubernetes/SuspiciousFile	Kubernetes	EBSProtection contre les logiciels malveillants	Varie en fonction de la menace détectée
CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed	Kubernetes	EKSjournaux d'audit	Moyen
CredentialAccess:Kubernetes/MaliciousIPCaller	Kubernetes	EKSjournaux d'audit	Élevé
CredentialAccess:Kubernetes/MaliciousIPCaller.Custom	Kubernetes	EKSjournaux d'audit	Élevé
CredentialAccess:Kubernetes/SuccessfulAnonymousAccess	Kubernetes	EKSjournaux d'audit	Élevé
CredentialAccess:Kubernetes/TorIPCaller	Kubernetes	EKSjournaux d'audit	Élevé
DefenseEvasion:Kubernetes/MaliciousIPCaller	Kubernetes	EKSjournaux d'audit	Élevé
DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom	Kubernetes	EKSjournaux d'audit	Élevé
DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess	Kubernetes	EKSjournaux d'audit	Élevé
DefenseEvasion:Kubernetes/TorIPCaller	Kubernetes	EKSjournaux d'audit	Élevé
Discovery:Kubernetes/AnomalousBehavior.PermissionChecked	Kubernetes	EKSjournaux d'audit	Faible
Discovery:Kubernetes/MaliciousIPCaller	Kubernetes	EKSjournaux d'audit	Moyen
Discovery:Kubernetes/MaliciousIPCaller.Custom	Kubernetes	EKSjournaux d'audit	Moyen
Discovery:Kubernetes/SuccessfulAnonymousAccess	Kubernetes	EKSjournaux d'audit	Moyen
Discovery:Kubernetes/TorIPCaller	Kubernetes	EKSjournaux d'audit	Moyen
Execution:Kubernetes/ExecInKubeSystemPod	Kubernetes	EKSjournaux d'audit	Moyen
Execution:Kubernetes/AnomalousBehavior.ExecInPod	Kubernetes	EKSjournaux d'audit	Moyen
Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed	Kubernetes	EKSjournaux d'audit	Faible
Impact:Kubernetes/MaliciousIPCaller	Kubernetes	EKSjournaux d'audit	Élevé
Impact:Kubernetes/MaliciousIPCaller.Custom	Kubernetes	EKSjournaux d'audit	Élevé
Impact:Kubernetes/SuccessfulAnonymousAccess	Kubernetes	EKSjournaux d'audit	Élevé
Impact:Kubernetes/TorIPCaller	Kubernetes	EKSjournaux d'audit	Élevé
Persistence:Kubernetes/ContainerWithSensitiveMount	Kubernetes	EKSjournaux d'audit	Moyen
Persistence:Kubernetes/MaliciousIPCaller	Kubernetes	EKSjournaux d'audit	Moyen
Persistence:Kubernetes/MaliciousIPCaller.Custom	Kubernetes	EKSjournaux d'audit	Moyen
Persistence:Kubernetes/SuccessfulAnonymousAccess	Kubernetes	EKSjournaux d'audit	Élevé
Persistence:Kubernetes/TorIPCaller	Kubernetes	EKSjournaux d'audit	Moyen
Policy:Kubernetes/AdminAccessToDefaultServiceAccount	Kubernetes	EKSjournaux d'audit	Élevé
Policy:Kubernetes/AnonymousAccessGranted	Kubernetes	EKSjournaux d'audit	Élevé
Policy:Kubernetes/KubeflowDashboardExposed	Kubernetes	EKSjournaux d'audit	Moyen
Policy:Kubernetes/ExposedDashboard	Kubernetes	EKSjournaux d'audit	Moyen
PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated	Kubernetes	EKSjournaux d'audit	Moyenne*
PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated	Kubernetes	EKSjournaux d'audit	Faible
Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount	Kubernetes	EKSjournaux d'audit	Élevé
PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer	Kubernetes	EKSjournaux d'audit	Élevé
PrivilegeEscalation:Kubernetes/PrivilegedContainer	Kubernetes	EKSjournaux d'audit	Moyen
Backdoor:Lambda/C&CActivity.B	Lambda	Surveillance de l'activité du réseau Lambda	Élevé
CryptoCurrency:Lambda/BitcoinTool.B	Lambda	Surveillance de l'activité du réseau Lambda	Élevé
Trojan:Lambda/BlackholeTraffic	Lambda	Surveillance de l'activité du réseau Lambda	Moyen
Trojan:Lambda/DropPoint	Lambda	Surveillance de l'activité du réseau Lambda	Moyen
UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom	Lambda	Surveillance de l'activité du réseau Lambda	Moyen
UnauthorizedAccess:Lambda/TorClient	Lambda	Surveillance de l'activité du réseau Lambda	Élevé
UnauthorizedAccess:Lambda/TorRelay	Lambda	Surveillance de l'activité du réseau Lambda	Élevé
CredentialAccess:RDS/AnomalousBehavior.FailedLogin	RDSBases de données Amazon Aurora et Amazon prises en charge	RDSSurveillance de l'activité de connexion	Faible
CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce	RDSBases de données Amazon Aurora et Amazon prises en charge	RDSSurveillance de l'activité de connexion	Élevé
CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin	RDSBases de données Amazon Aurora et Amazon prises en charge	RDSSurveillance de l'activité de connexion	Variable*
CredentialAccess:RDS/MaliciousIPCaller.FailedLogin	RDSBases de données Amazon Aurora et Amazon prises en charge	RDSSurveillance de l'activité de connexion	Moyen
CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin	RDSBases de données Amazon Aurora et Amazon prises en charge	RDSSurveillance de l'activité de connexion	Élevé
CredentialAccess:RDS/TorIPCaller.FailedLogin	RDSBases de données Amazon Aurora et Amazon prises en charge	RDSSurveillance de l'activité de connexion	Moyen
CredentialAccess:RDS/TorIPCaller.SuccessfulLogin	RDSBases de données Amazon Aurora et Amazon prises en charge	RDSSurveillance de l'activité de connexion	Élevé
Discovery:RDS/MaliciousIPCaller	RDSBases de données Amazon Aurora et Amazon prises en charge	RDSSurveillance de l'activité de connexion	Moyen
Discovery:RDS/TorIPCaller	RDSBases de données Amazon Aurora et Amazon prises en charge	RDSSurveillance de l'activité de connexion	Moyen
Backdoor:Runtime/C&CActivity.B	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
Backdoor:Runtime/C&CActivity.B!DNS	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
CryptoCurrency:Runtime/BitcoinTool.B	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
CryptoCurrency:Runtime/BitcoinTool.B!DNS	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
DefenseEvasion:Runtime/FilelessExecution	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
DefenseEvasion:Runtime/ProcessInjection.Proc	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
DefenseEvasion:Runtime/ProcessInjection.Ptrace	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
DefenseEvasion:Runtime/PtraceAntiDebugging	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Faible
DefenseEvasion:Runtime/SuspiciousCommand	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
Discovery:Runtime/SuspiciousCommand	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Faible
Execution:Runtime/MaliciousFileExecuted	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
Execution:Runtime/NewBinaryExecuted	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
Execution:Runtime/NewLibraryLoaded	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
Execution:Runtime/SuspiciousCommand	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Variable
Execution:Runtime/SuspiciousShellCreated	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Faible
Execution:Runtime/SuspiciousTool	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Variable
Execution:Runtime/ReverseShell	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
Impact:Runtime/AbusedDomainRequest.Reputation	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
Impact:Runtime/BitcoinDomainRequest.Reputation	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
Impact:Runtime/CryptoMinerExecuted	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
Impact:Runtime/MaliciousDomainRequest.Reputation	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
Impact:Runtime/SuspiciousDomainRequest.Reputation	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Faible
Persistence:Runtime/SuspiciousCommand	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
PrivilegeEscalation:Runtime/ContainerMountsHostDirectory	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
PrivilegeEscalation:Runtime/DockerSocketAccessed	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
PrivilegeEscalation:Runtime/ElevationToRoot	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
PrivilegeEscalation:Runtime/RuncContainerEscape	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
PrivilegeEscalation:Runtime/SuspiciousCommand	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
PrivilegeEscalation:Runtime/UserfaultfdUsage	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
Trojan:Runtime/BlackholeTraffic	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
Trojan:Runtime/BlackholeTraffic!DNS	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
Trojan:Runtime/DropPoint	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
Trojan:Runtime/DGADomainRequest.C!DNS	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
Trojan:Runtime/DriveBySourceTraffic!DNS	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
Trojan:Runtime/DropPoint!DNS	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Moyen
Trojan:Runtime/PhishingDomainRequest!DNS	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
UnauthorizedAccess:Runtime/MetadataDNSRebind	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
UnauthorizedAccess:Runtime/TorClient	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
UnauthorizedAccess:Runtime/TorRelay	Instance, EKS ECS cluster, cluster ou conteneur	Surveillance d'exécution	Élevé
Backdoor:EC2/C&CActivity.B	EC2	Journaux de flux VPC	Élevé
Backdoor:EC2/DenialOfService.Dns	EC2	Journaux de flux VPC	Élevé
Backdoor:EC2/DenialOfService.Tcp	EC2	Journaux de flux VPC	Élevé
Backdoor:EC2/DenialOfService.Udp	EC2	Journaux de flux VPC	Élevé
Backdoor:EC2/DenialOfService.UdpOnTcpPorts	EC2	Journaux de flux VPC	Élevé
Backdoor:EC2/DenialOfService.UnusualProtocol	EC2	Journaux de flux VPC	Élevé
Backdoor:EC2/Spambot	EC2	Journaux de flux VPC	Moyen
Behavior:EC2/NetworkPortUnusual	EC2	Journaux de flux VPC	Moyen
Behavior:EC2/TrafficVolumeUnusual	EC2	Journaux de flux VPC	Moyen
CryptoCurrency:EC2/BitcoinTool.B	EC2	Journaux de flux VPC	Élevé
DefenseEvasion:EC2/UnusualDNSResolver	EC2	Journaux de flux VPC	Moyen
DefenseEvasion:EC2/UnusualDoHActivity	EC2	Journaux de flux VPC	Moyen
DefenseEvasion:EC2/UnusualDoTActivity	EC2	Journaux de flux VPC	Moyen
Impact:EC2/PortSweep	EC2	Journaux de flux VPC	Élevé
Impact:EC2/WinRMBruteForce	EC2	Journaux de flux VPC	Faible*
Recon:EC2/PortProbeEMRUnprotectedPort	EC2	Journaux de flux VPC	Élevé
Recon:EC2/PortProbeUnprotectedPort	EC2	Journaux de flux VPC	Faible*
Recon:EC2/Portscan	EC2	Journaux de flux VPC	Moyen
Trojan:EC2/BlackholeTraffic	EC2	Journaux de flux VPC	Moyen
Trojan:EC2/DropPoint	EC2	Journaux de flux VPC	Moyen
UnauthorizedAccess:EC2/MaliciousIPCaller.Custom	EC2	Journaux de flux VPC	Moyen
UnauthorizedAccess:EC2/RDPBruteForce	EC2	Journaux de flux VPC	Faible*
UnauthorizedAccess:EC2/SSHBruteForce	EC2	Journaux de flux VPC	Faible*
UnauthorizedAccess:EC2/TorClient	EC2	Journaux de flux VPC	Élevé
UnauthorizedAccess:EC2/TorRelay	EC2	Journaux de flux VPC	Élevé
Object:S3/MaliciousFile	S3Object	Protection contre les logiciels malveillants pour S3	Élevé

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

GuardDuty considérations relatives à l'CSVoption d'exportation dans les comptes

EC2types de recherche