Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty EC2types de recherche

Les résultats suivants sont spécifiques aux EC2 ressources Amazon et ont toujours un type de ressource deInstance. La gravité et les détails des résultats varient en fonction du rôle de la ressource, qui indique si la EC2 ressource a été la cible d'une activité suspecte ou si l'acteur a effectué l'activité.

Les résultats répertoriés ici incluent les sources de données et les modèles utilisés pour générer ce type de résultat. Pour plus d'informations sur les sources de données et les modèles, veuillez consulter GuardDuty sources de données de base.

Pour tous les EC2 résultats, il est recommandé d'examiner la ressource en question afin de déterminer si elle se comporte comme prévu. Si l'activité est autorisée, vous pouvez utiliser les listes de règles de suppression ou d'adresses IP approuvées pour éviter les notifications faussement positives pour cette ressource. En cas d'activité inattendue, la bonne pratique en matière de sécurité consiste à supposer que l'instance est compromise et à prendre les mesures détaillées dans Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/C&CActivity.B

Une EC2 instance interroge une adresse IP associée à un serveur de commande et de contrôle connu.

Gravité par défaut : élevée

Ce résultat vous informe que l'instance répertoriée dans votre environnement  AWS interroge une adresse IP avec un serveur de commande et de contrôle connu. L'instance répertoriée est peut-être compromise. Les serveurs de commande et de contrôle sont des ordinateurs qui lancent des commandes vers les membres d'un botnet.

Un botnet est un ensemble d'appareils connectés à InternetPCs, notamment des serveurs, des appareils mobiles et des appareils connectés à l'Internet des objets, infectés et contrôlés par un type courant de maliciel. Les botnets sont souvent utilisés pour distribuer des programmes malveillants et voler des informations, telles que des numéros de carte de crédit. En fonction de l'objectif et de la structure du botnet, le serveur C&C peut également émettre des commandes pour lancer une attaque par déni de service distribué ()DDoS.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/C&CActivity.B!DNS

Une EC2 instance demande un nom de domaine associé à un serveur de commande et de contrôle connu.

Gravité par défaut : élevée

Ce résultat vous informe que l'instance répertoriée dans votre environnement  AWS interroge un nom de domaine avec un serveur de commande et de contrôle connu. L'instance répertoriée est peut-être compromise. Les serveurs de commande et de contrôle sont des ordinateurs qui lancent des commandes vers les membres d'un botnet.

Un botnet est un ensemble d'appareils connectés à InternetPCs, notamment des serveurs, des appareils mobiles et des appareils connectés à l'Internet des objets, infectés et contrôlés par un type courant de maliciel. Les botnets sont souvent utilisés pour distribuer des programmes malveillants et voler des informations, telles que des numéros de carte de crédit. En fonction de l'objectif et de la structure du botnet, le serveur C&C peut également émettre des commandes pour lancer une attaque par déni de service distribué ()DDoS.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/DenialOfService.Dns

Une EC2 instance se comporte d'une manière qui peut indiquer qu'elle est utilisée pour effectuer une attaque par déni de service (DoS) à l'aide du DNS protocole.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement génère un volume important de DNS trafic sortant. Cela peut indiquer que l'instance répertoriée est compromise et qu'elle est utilisée pour effectuer des attaques denial-of-service (DoS) à l'aide DNS du protocole.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/DenialOfService.Tcp

Une EC2 instance se comporte d'une manière indiquant qu'elle est utilisée pour effectuer une attaque par déni de service (DoS) à l'aide du TCP protocole.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement génère un volume important de TCP trafic sortant. Cela peut indiquer que l'instance est compromise et qu'elle est utilisée pour effectuer des attaques denial-of-service (DoS) à l'aide TCP du protocole.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/DenialOfService.Udp

Une EC2 instance se comporte d'une manière indiquant qu'elle est utilisée pour effectuer une attaque par déni de service (DoS) à l'aide du UDP protocole.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement génère un volume important de UDP trafic sortant. Cela peut indiquer que l'instance répertoriée est compromise et qu'elle est utilisée pour effectuer des attaques denial-of-service (DoS) à l'aide UDP du protocole.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Une EC2 instance se comporte d'une manière qui peut indiquer qu'elle est utilisée pour effectuer une attaque par déni de service (DoS) en utilisant le UDP protocole sur un TCP port.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement génère un volume important de UDP trafic sortant destiné à un port généralement utilisé pour les TCP communications. Cela peut indiquer que l'instance répertoriée est compromise et qu'elle est utilisée pour effectuer des attaques denial-of-service (DoS) à l'aide d'un UDP protocole sur un TCP port.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/DenialOfService.UnusualProtocol

Une EC2 instance se comporte d'une manière qui peut indiquer qu'elle est utilisée pour exécuter une attaque par déni de service (DoS) à l'aide d'un protocole inhabituel.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement génère un volume important de trafic sortant à partir d'un type de protocole inhabituel qui n'est généralement pas utilisé par les EC2 instances, tel que le protocole Internet Group Management Protocol. Cela peut indiquer que l'instance est compromise et qu'elle est utilisée pour effectuer des attaques denial-of-service (DoS) à l'aide d'un protocole inhabituel. Ce résultat détecte les attaques DoS contre les adresses IP publiquement routables uniquement, qui sont les principales cibles des attaques DoS.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/Spambot

Une EC2 instance présente un comportement inhabituel en communiquant avec un hôte distant sur le port 25.

Gravité par défaut : moyenne

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement communique avec un hôte distant sur le port 25. Ce comportement est inhabituel car cette EC2 instance n'a aucun historique de communications sur le port 25. Le port 25 est traditionnellement utilisé par les serveurs de messagerie pour les SMTP communications. Ce résultat indique que votre EC2 instance est peut-être compromise pour être utilisée pour envoyer du spam.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Behavior:EC2/NetworkPortUnusual

Une EC2 instance communique avec un hôte distant sur un port de serveur inhabituel.

Gravité par défaut : moyenne

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement se comporte d'une manière qui s'écarte de la ligne de base établie. Cette EC2 instance n'a aucun historique de communications sur ce port distant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Behavior:EC2/TrafficVolumeUnusual

Une EC2 instance génère un trafic réseau anormalement important vers un hôte distant.

Gravité par défaut : moyenne

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement se comporte d'une manière qui s'écarte de la ligne de base établie. Cette EC2 instance n'a jamais envoyé une telle quantité de trafic vers cet hôte distant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

CryptoCurrency:EC2/BitcoinTool.B

Une EC2 instance demande une adresse IP associée à une activité liée aux cryptomonnaies.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement interroge une adresse IP associée au Bitcoin ou à une autre activité liée aux cryptomonnaies. Le Bitcoin est une cryptomonnaie et un système de paiement numérique mondiaux pouvant faire l'objet d'échanges contre d'autres devises, produits et services. Le bitcoin est une récompense pour le minage de Bitcoins et est très recherché par les acteurs de la menace.

Recommandations de correction :

Si vous utilisez cette EC2 instance pour extraire ou gérer des cryptomonnaies, ou si cette instance est impliquée d'une autre manière dans l'activité de la blockchain, cette découverte est probablement une activité attendue pour votre environnement. Si c'est le cas dans votre environnement AWS , nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur CryptoCurrency:EC2/BitcoinTool.B. Le deuxième critère de filtrage doit être l' ID d'instance de l'instance impliquée dans l'activité de blockchain. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression dans GuardDuty.

Si cette activité est inattendue, votre instance est probablement compromise, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Une EC2 instance demande un nom de domaine associé à une activité liée aux cryptomonnaies.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement interroge un nom de domaine associé au Bitcoin ou à une autre activité liée aux cryptomonnaies. Le Bitcoin est une cryptomonnaie et un système de paiement numérique mondiaux pouvant faire l'objet d'échanges contre d'autres devises, produits et services. Le bitcoin est une récompense pour le minage de Bitcoins et est très recherché par les acteurs de la menace.

Recommandations de correction :

Si vous utilisez cette EC2 instance pour extraire ou gérer des cryptomonnaies, ou si cette instance est impliquée d'une autre manière dans l'activité de la blockchain, cette découverte est probablement une activité attendue pour votre environnement. Si c'est le cas dans votre environnement AWS , nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur CryptoCurrency:EC2/BitcoinTool.B!DNS. Le deuxième critère de filtrage doit être l' ID d'instance de l'instance impliquée dans l'activité de blockchain. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression dans GuardDuty.

Si cette activité est inattendue, votre instance est probablement compromise, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

DefenseEvasion:EC2/UnusualDNSResolver

Une EC2 instance Amazon communique avec un DNS résolveur public inhabituel.

Gravité par défaut : moyenne

Ce résultat vous indique que l'EC2instance Amazon répertoriée dans votre AWS environnement se comporte d'une manière qui s'écarte du comportement de base. Cette EC2 instance n'a aucun historique récent de communication avec ce DNS résolveur public. Le champ Unusual du panneau des détails de recherche de la GuardDuty console peut fournir des informations sur le résolveur demandé. DNS

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

DefenseEvasion:EC2/UnusualDoHActivity

Une EC2 instance Amazon effectue une communication inhabituelle DNS sur HTTPS (DoH).

Gravité par défaut : moyenne

Ce résultat vous indique que l'EC2instance Amazon répertoriée dans votre AWS environnement se comporte d'une manière qui s'écarte de la base de référence établie. Cette EC2 instance n'a aucun historique récent de communications DNS excessives HTTPS (DoH) avec ce serveur DoH public. Le champ Inhabituel dans les détails du résultat peut fournir des informations sur le serveur DoH interrogé.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

DefenseEvasion:EC2/UnusualDoTActivity

Une EC2 instance Amazon effectue une communication DNS excessive TLS (DoT) inhabituelle.

Gravité par défaut : moyenne

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement se comporte d'une manière qui s'écarte de la ligne de base établie. Cette EC2 instance n'a aucun historique récent de communications DNS excessives TLS (DoT) avec ce serveur DoT public. Le champ Inhabituel dans le volet des détails du résultat peut fournir des informations sur le serveur DoT interrogé.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/AbusedDomainRequest.Reputation

Une EC2 instance interroge un nom de domaine de mauvaise réputation associé à des domaines connus pour être utilisés de manière abusive.

Gravité par défaut : moyenne

Ce résultat vous indique que l'EC2instance Amazon répertoriée dans votre AWS environnement interroge un nom de domaine de mauvaise réputation associé à des domaines ou adresses IP connus pour abus. Les noms de domaine de premier niveau (TLDs) et les noms de domaine de deuxième niveau (2LDs) fournissant des enregistrements de sous-domaines gratuits ainsi que les fournisseurs dynamiques DNS sont des exemples de domaines utilisés abusivement. Les acteurs de la menace ont tendance à utiliser ces services pour enregistrer des domaines gratuitement ou à faible coût. Les domaines de mauvaise réputation de cette catégorie peuvent également être des domaines expirés renvoyés à l'adresse IP de stationnement d'un bureau d'enregistrement et peuvent donc ne plus être actifs. Une adresse IP de stationnement est l'endroit où un bureau d'enregistrement dirige le trafic vers des domaines qui n'ont été liés à aucun service. L'EC2instance Amazon répertoriée peut être compromise car les acteurs malveillants utilisent couramment ces bureaux d'enregistrement ou ces services pour la distribution de logiciels malveillants et de contrôle.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/BitcoinDomainRequest.Reputation

Une EC2 instance interroge un nom de domaine de mauvaise réputation associé à une activité liée aux cryptomonnaies.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance Amazon répertoriée dans votre AWS environnement interroge un nom de domaine de mauvaise réputation associé à Bitcoin ou à une autre activité liée aux cryptomonnaies. Le Bitcoin est une cryptomonnaie et un système de paiement numérique mondiaux pouvant faire l'objet d'échanges contre d'autres devises, produits et services. Le bitcoin est une récompense pour le minage de Bitcoins et est très recherché par les acteurs de la menace.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

Recommandations de correction :

Si vous utilisez cette EC2 instance pour extraire ou gérer des cryptomonnaies, ou si cette instance est impliquée d'une autre manière dans l'activité de la blockchain, ce résultat peut représenter une activité attendue pour votre environnement. Si c'est le cas dans votre environnement AWS , nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur Impact:EC2/BitcoinDomainRequest.Reputation. Le deuxième critère de filtrage doit être l' ID d'instance de l'instance impliquée dans l'activité de blockchain. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression dans GuardDuty.

Si cette activité est inattendue, votre instance est probablement compromise, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/MaliciousDomainRequest.Reputation

Une EC2 instance interroge un domaine de mauvaise réputation associé à des domaines malveillants connus.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance Amazon répertoriée dans votre AWS environnement interroge un nom de domaine de mauvaise réputation associé à des domaines ou adresses IP malveillants connus. Par exemple, les domaines peuvent être associés à une adresse IP de gouffre connue. Les domaines de gouffre sont des domaines qui étaient auparavant contrôlés par un acteur menaçant, et les demandes qui leur sont adressées peuvent indiquer que l'instance est compromise. Ces domaines peuvent également être corrélés à des campagnes malveillantes ou à des algorithmes de génération de domaines connus.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/PortSweep

Une EC2 instance sonde un port sur un grand nombre d'adresses IP.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement sonde un port sur un grand nombre d'adresses IP routables publiquement. Ce type d'activité est généralement utilisé pour rechercher des hôtes vulnérables à exploiter. Dans le panneau des informations de recherche de votre GuardDuty console, seule l'adresse IP distante la plus récente est affichée

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/SuspiciousDomainRequest.Reputation

Une EC2 instance interroge un nom de domaine de mauvaise réputation qui est de nature suspecte en raison de son ancienneté ou de sa faible popularité.

Gravité par défaut : faible

Ce résultat vous indique que l'EC2instance Amazon répertoriée dans votre AWS environnement interroge un nom de domaine de mauvaise réputation soupçonné d'être malveillant. Nous avons remarqué des caractéristiques de ce domaine qui correspondaient à celles des domaines malveillants précédemment observés, mais notre modèle de réputation n'a pas pu le relier définitivement à une menace connue. Ces domaines sont généralement récemment observés ou reçoivent un faible trafic.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/WinRMBruteForce

Une EC2 instance exécute une attaque sortante par force brute de Windows Remote Management.

Gravité par défaut : faible*

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement exécute une attaque par force brute Windows Remote Management (WinRM) visant à accéder au service Windows Remote Management sur les systèmes Windows.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Recon:EC2/PortProbeEMRUnprotectedPort

Une EC2 instance possède un port EMR connexe non protégé qui est examiné par un hôte malveillant connu.

Gravité par défaut : élevée

Ce résultat vous indique qu'un port sensible EMR associé sur l'EC2instance répertoriée faisant partie d'un cluster de votre AWS environnement n'est pas bloqué par un groupe de sécurité, une liste de contrôle d'accès (ACL) ou un pare-feu hôte tel que LinuxIPTables. Cette découverte indique également que des scanners connus sur Internet explorent activement ce port. Les ports susceptibles de déclencher cette découverte, tels que le port 8088 (port de l'interface utilisateur YARN Web), peuvent potentiellement être utilisés pour l'exécution de code à distance.

Recommandations de correction :

Il est recommandé de bloquer l'accès ouvert aux ports sur les clusters à partir d'Internet et de restreindre l'accès uniquement aux adresses IP qui requièrent un accès à ces ports. Pour plus d'informations, voir Groupes de sécurité pour les EMR clusters.

Recon:EC2/PortProbeUnprotectedPort

Une EC2 instance possède un port non protégé qui est examiné par un hôte malveillant connu.

Gravité par défaut : faible*

Ce résultat vous indique qu'un port de l'EC2instance répertoriée dans votre AWS environnement n'est pas bloqué par un groupe de sécurité, une liste de contrôle d'accès (ACL) ou un pare-feu hôte tel que LinuxIPTables, et que des scanners connus sur Internet le testent activement.

Si ce port est le port 22 ou 3389 et que vous utilisez ces ports pour vous connecter à votre instance, vous pouvez toujours limiter leur exposition en autorisant uniquement leur accès aux adresses IP de l'espace d'adressage IP de votre réseau d'entreprise. Pour de plus amples informations sur la restriction de l'accès au port 22 sous Linux, veuillez consulter Autorisation du trafic entrant pour vos instances Linux. Pour savoir comment restreindre l'accès au port 3389 sous Windows, veuillez consulter Autorisation du trafic entrant pour vos instances Windows.

GuardDuty ne génère pas ce résultat pour les ports 443 et 80.

Recommandations de correction :

Dans certains cas, les instances peuvent être intentionnellement exposées, par exemple si elles hébergent des serveurs Web. Si tel est le cas dans votre AWS environnement, nous vous recommandons de définir une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur Recon:EC2/PortProbeUnprotectedPort. Le second critère de filtre doit correspondre à l'instance ou aux instances qui servent d'hôte bastion. Vous pouvez utiliser l'attribut ID d'image d'instance ou l'attribut de valeur Balise en fonction du critère identifiable avec les instances qui hébergent ces outils. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression dans GuardDuty.

Si cette activité est inattendue, votre instance est probablement compromise, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Recon:EC2/Portscan

Une EC2 instance effectue des scans de ports sortants vers un hôte distant.

Gravité par défaut : moyenne

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement est potentiellement impliquée dans une attaque par scan de port car elle tente de se connecter à plusieurs ports sur une courte période. L'objectif d'une attaque par balayage de ports consiste à localiser les ports ouverts pour identifier les services exécutés par la machine et son système d'exploitation.

Recommandations de correction :

Ce résultat peut être faussement positif lorsque des applications d'évaluation des vulnérabilités sont déployées sur des EC2 instances de votre environnement, car ces applications analysent les ports pour vous avertir en cas de mauvaise configuration des ports ouverts. Si tel est le cas dans votre AWS environnement, nous vous recommandons de définir une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur Recon:EC2/Portscan. Le second critère de filtre doit correspondre à l'instance ou aux instances qui hébergent ces outils d'évaluation de vulnérabilité. Vous pouvez utiliser l'attribut ID d'image d'instance ou Valeur de balise en fonction des critères identifiables avec les instances qui hébergent ces outils. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression dans GuardDuty.

Si cette activité est inattendue, votre instance est probablement compromise, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/BlackholeTraffic

Une EC2 instance tente de communiquer avec l'adresse IP d'un hôte distant connu sous la forme d'un trou noir.

Gravité par défaut : moyenne

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement est peut-être compromise car elle tente de communiquer avec l'adresse IP d'un trou noir (ou puits). Les trous noirs sont des zones du réseau où le trafic entrant ou sortant est supprimé silencieusement sans informer la source que les données n'ont pas atteint leur destinataire. Une adresse IP de trou noir désigne une machine hôte qui n'est pas en cours d'exécution ou une adresse à laquelle aucun hôte n'a été attribué.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/BlackholeTraffic!DNS

Une EC2 instance interroge un nom de domaine qui est redirigé vers une adresse IP de trou noir.

Gravité par défaut : moyenne

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement est peut-être compromise car elle interroge un nom de domaine qui est redirigé vers une adresse IP de trou noir. Les trous noirs sont des zones du réseau où le trafic entrant ou sortant est supprimé silencieusement sans informer la source que les données n'ont pas atteint leur destinataire.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DGADomainRequest.B

Une EC2 instance interroge des domaines générés de manière algorithmique. Ces domaines sont couramment utilisés par les malwares et peuvent être le signe d'une EC2 instance compromise.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement essaie d'interroger les domaines de l'algorithme de génération de domaines (DGA). Votre EC2 instance est peut-être compromise.

DGAssont utilisés pour générer périodiquement un grand nombre de noms de domaine qui peuvent être utilisés comme points de rendez-vous avec leurs serveurs de commande et de contrôle (C&C). Les serveurs de commande et de contrôle sont des ordinateurs qui émettent des commandes aux membres d'un botnet, qui est un ensemble d'appareils connectés à Internet qui sont infectés et contrôlés par un type courant de programme malveillant. Le grand nombre de points de rendez-vous potentiels rend l'arrêt des botnets difficile, car les ordinateurs infectés tentent de contacter certains de ces noms de domaine chaque jour pour recevoir des mises à jour ou des commandes.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DGADomainRequest.C!DNS

Une EC2 instance interroge des domaines générés de manière algorithmique. Ces domaines sont couramment utilisés par les malwares et peuvent être le signe d'une EC2 instance compromise.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement essaie d'interroger les domaines de l'algorithme de génération de domaines (DGA). Votre EC2 instance est peut-être compromise.

DGAssont utilisés pour générer périodiquement un grand nombre de noms de domaine qui peuvent être utilisés comme points de rendez-vous avec leurs serveurs de commande et de contrôle (C&C). Les serveurs de commande et de contrôle sont des ordinateurs qui émettent des commandes aux membres d'un botnet, qui est un ensemble d'appareils connectés à Internet qui sont infectés et contrôlés par un type courant de programme malveillant. Le grand nombre de points de rendez-vous potentiels rend l'arrêt des botnets difficile, car les ordinateurs infectés tentent de contacter certains de ces noms de domaine chaque jour pour recevoir des mises à jour ou des commandes.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DNSDataExfiltration

Une EC2 instance exfiltre des données par le biais DNS de requêtes.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement exécute un logiciel malveillant qui utilise des DNS requêtes pour les transferts de données sortants. Ce type de transfert de données indique qu'une instance est compromise et peut entraîner l'exfiltration de données. DNSle trafic n'est généralement pas bloqué par les pare-feux. Par exemple, un logiciel malveillant présent dans une EC2 instance compromise peut encoder des données (telles que votre numéro de carte de crédit) dans une DNS requête et les envoyer à un DNS serveur distant contrôlé par un attaquant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DriveBySourceTraffic!DNS

Une EC2 instance interroge le nom de domaine d'un hôte distant qui est une source connue d'attaques de téléchargement Drive-By.

Gravité par défaut : élevée

Ce résultat vous indique que l'EC2instance répertoriée dans votre AWS environnement est peut-être compromise car elle interroge le nom de domaine d'un hôte distant qui est une source connue d'attaques par téléchargement au volant. Il s'agit de téléchargements involontaires de logiciels d'Internet qui peuvent déclencher l'installation automatique de virus, logiciels espions ou programmes malveillants.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DropPoint

Une EC2 instance tente de communiquer avec l'adresse IP d'un hôte distant connu pour contenir des informations d'identification et d'autres données volées capturées par un logiciel malveillant.

Gravité par défaut : moyenne

Ce résultat vous indique qu'une EC2 instance de votre AWS environnement tente de communiquer avec l'adresse IP d'un hôte distant connu pour détenir des informations d'identification et d'autres données volées capturées par un logiciel malveillant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DropPoint!DNS

Une EC2 instance interroge le nom de domaine d'un hôte distant connu pour contenir des informations d'identification et d'autres données volées capturées par un logiciel malveillant.

Gravité par défaut : moyenne

Ce résultat vous indique qu'une EC2 instance de votre AWS environnement interroge le nom de domaine d'un hôte distant connu pour contenir des informations d'identification et d'autres données volées capturées par un logiciel malveillant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/PhishingDomainRequest!DNS

Une EC2 instance interroge des domaines impliqués dans des attaques de phishing. Votre EC2 instance est peut-être compromise.

Gravité par défaut : élevée

Ce résultat vous indique qu'une EC2 instance de votre AWS environnement tente d'interroger un domaine impliqué dans des attaques de phishing. Les domaines de hameçonnage sont créés par des pirates se faisant passer pour une institution légitime afin de pousser des utilisateurs à fournir des données sensibles, telles que des informations personnelles identifiables, des coordonnées bancaires, des informations de carte bancaire ou des mots de passe. Votre EC2 instance essaie peut-être de récupérer des données sensibles stockées sur un site Web de phishing ou de configurer un site Web de phishing. Votre EC2 instance est peut-être compromise.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Une EC2 instance établit des connexions à une adresse IP figurant sur une liste de menaces personnalisée.

Gravité par défaut : moyenne

Ce résultat vous indique qu'une EC2 instance de votre AWS environnement communique avec une adresse IP figurant sur une liste de menaces que vous avez téléchargée. Dans GuardDuty, une liste de menaces comporte des adresses IP malveillantes connues. GuardDuty génère des résultats en fonction des listes de menaces chargées. La liste de menaces utilisée pour générer ce résultat sera répertoriée dans les détails du résultat.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

UnauthorizedAccess:EC2/MetadataDNSRebind

Une EC2 instance effectue des DNS recherches qui concernent le service de métadonnées de l'instance.

Gravité par défaut : élevée

Ce résultat vous indique qu'une EC2 instance de votre AWS environnement interroge un domaine dont la résolution correspond à l'adresse IP des EC2 métadonnées (169.254.169.254). Une DNS requête de ce type peut indiquer que l'instance est la cible d'une technique de DNS reliaison. Cette technique peut être utilisée pour obtenir des métadonnées d'une EC2 instance, y compris les IAM informations d'identification associées à l'instance.

DNSla reliaison consiste à inciter une application exécutée sur l'EC2instance à charger les données de retour depuis unURL, où le nom de domaine indiqué correspond à l'adresse IP des EC2 métadonnées (169.254.169.254). URL Cela permet à l'application d'accéder aux EC2 métadonnées et de les mettre éventuellement à la disposition de l'attaquant.

Il est possible d'accéder aux EC2 métadonnées à l'aide de la DNS reliaison uniquement si l'EC2instance exécute une application vulnérable qui autorise l'injection deURLs, ou si quelqu'un y accède URL dans un navigateur Web exécuté sur l'EC2instance.

Recommandations de correction :

En réponse à cette constatation, vous devez évaluer si une application vulnérable est exécutée sur l'EC2instance ou si quelqu'un a utilisé un navigateur pour accéder au domaine identifié dans la recherche. Si la cause première est une application vulnérable, vous devez corriger la vulnérabilité. Si une personne a navigué dans le domaine identifié, vous devez bloquer le domaine ou empêcher les utilisateurs d'y accéder. Si vous déterminez que cette constatation est liée à l'un des cas ci-dessus, révoquez la session associée à l'EC2instance.

Certains AWS clients associent intentionnellement l'adresse IP des métadonnées à un nom de domaine sur leurs DNS serveurs officiels. Si c'est le cas dans votre environnement , nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur UnauthorizedAccess:EC2/MetaDataDNSRebind. Le deuxième critère de filtre doit être le domaine de DNS requête et la valeur doit correspondre au domaine que vous avez mappé à l'adresse IP des métadonnées (169.254.169.254). Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression dans GuardDuty.

UnauthorizedAccess:EC2/RDPBruteForce

Une EC2 instance a été impliquée dans des attaques RDP par force brute.

Gravité par défaut : faible*

Cette découverte vous indique qu'une EC2 instance de votre AWS environnement a été impliquée dans une attaque par force brute visant à obtenir des mots de passe pour accéder à RDP des services sur des systèmes Windows. Cela peut être signe d'un accès non autorisé à vos ressources  AWS .

Recommandations de correction :

Si le rôle de ressource de votre instance estACTOR, cela indique que votre instance a été utilisée pour effectuer des attaques RDP par force brute. À moins que cette instance ait une raison légitime de contacter l'adresse IP répertoriée en tant que Target, il est recommandé de supposer que votre instance est compromise et de prendre les mesures répertoriées dans Corriger une instance Amazon EC2 potentiellement compromise.

Si le rôle de ressource de votre instance est le mêmeTARGET, vous pouvez remédier à cette constatation en sécurisant votre RDP port pour qu'il ne soit approuvé que par le IPs biais de groupes de sécurité ou de pare-feux. ACLs Pour plus d'informations, consultez la section Conseils pour sécuriser vos EC2 instances (Linux).

UnauthorizedAccess:EC2/SSHBruteForce

Une EC2 instance a été impliquée dans des attaques SSH par force brute.

Gravité par défaut : faible*

Cette découverte vous indique qu'une EC2 instance de votre AWS environnement a été impliquée dans une attaque par force brute visant à obtenir des mots de passe pour accéder à SSH des services sur des systèmes basés sur Linux. Cela peut être signe d'un accès non autorisé à vos ressources  AWS .

Recommandations de correction :

Si la cible de la tentative de force brute est un hôte bastion, cela peut représenter le comportement attendu de votre AWS environnement. Dans ce cas, nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur UnauthorizedAccess:EC2/SSHBruteForce. Le second critère de filtre doit correspondre à l'instance ou aux instances qui servent d'hôte bastion. Vous pouvez utiliser l'attribut ID d'image d'instance ou l'attribut de valeur Balise en fonction du critère identifiable avec les instances qui hébergent ces outils. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression dans GuardDuty.

Si cette activité n'est pas prévue pour votre environnement et que le rôle de ressource de votre instance l'estTARGET, vous pouvez remédier à cette constatation en sécurisant votre SSH port pour qu'il ne soit approuvé que par le IPs biais de groupes de sécurité ou de pare-feux. ACLs Pour plus d'informations, consultez la section Conseils pour sécuriser vos EC2 instances (Linux).

Si le rôle de ressource de votre instance estACTOR, cela indique que l'instance a été utilisée pour effectuer des attaques SSH par force brute. À moins que cette instance ait une raison légitime de contacter l'adresse IP répertoriée en tant que Target, il est recommandé de supposer que votre instance est compromise et de prendre les mesures répertoriées dans Corriger une instance Amazon EC2 potentiellement compromise.

UnauthorizedAccess:EC2/TorClient

Votre EC2 instance établit des connexions à un nœud Tor Guard ou Authority.

Gravité par défaut : élevée

Cette découverte vous indique qu'une EC2 instance de votre AWS environnement établit des connexions à un nœud Tor Guard ou Authority. Tor est un logiciel permettant d'activer les communications anonymes. Les nœuds Tor Guards et Authority agissent en tant que passerelles initiales dans un réseau Tor. Ce trafic peut indiquer que cette EC2 instance a été compromise et agit en tant que client sur un réseau Tor. Cette découverte peut indiquer un accès non autorisé à vos AWS ressources dans le but de cacher la véritable identité de l'attaquant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

UnauthorizedAccess:EC2/TorRelay

Votre EC2 instance établit des connexions à un réseau Tor en tant que relais Tor.

Gravité par défaut : élevée

Cette découverte vous indique qu'une EC2 instance de votre AWS environnement établit des connexions à un réseau Tor d'une manière qui suggère qu'elle agit comme un relais Tor. Tor est un logiciel permettant d'activer les communications anonymes. Tor augmente l'anonymat de la communication en réacheminant le trafic potentiellement illicite du client d'un relais Tor à un autre.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.