Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
GuardDuty IAMtypes de recherche
Les résultats suivants sont spécifiques aux IAM entités et aux clés d'accès et ont toujours un type de ressource deAccessKey. La gravité et les détails des résultats diffèrent selon le type de résultat.
Les résultats répertoriés ici incluent les sources de données et les modèles utilisés pour générer ce type de résultat. Pour de plus amples informations, veuillez consulter GuardDuty sources de données de base.
Pour tous IAM les résultats connexes, nous vous recommandons d'examiner l'entité en question et de vous assurer que ses autorisations respectent les meilleures pratiques du moindre privilège. Si cette activité est inattendue, les informations d'identification peuvent être compromises. Pour plus d'informations sur la correction des résultats, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Rubriques
- CredentialAccess:IAMUser/AnomalousBehavior
- DefenseEvasion:IAMUser/AnomalousBehavior
- Discovery:IAMUser/AnomalousBehavior
- Exfiltration:IAMUser/AnomalousBehavior
- Impact:IAMUser/AnomalousBehavior
- InitialAccess:IAMUser/AnomalousBehavior
- PenTest:IAMUser/KaliLinux
- PenTest:IAMUser/ParrotLinux
- PenTest:IAMUser/PentooLinux
- Persistence:IAMUser/AnomalousBehavior
- Policy:IAMUser/RootCredentialUsage
- PrivilegeEscalation:IAMUser/AnomalousBehavior
- Recon:IAMUser/MaliciousIPCaller
- Recon:IAMUser/MaliciousIPCaller.Custom
- Recon:IAMUser/TorIPCaller
- Stealth:IAMUser/CloudTrailLoggingDisabled
- Stealth:IAMUser/PasswordPolicyChange
- UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
- UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
- UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
- UnauthorizedAccess:IAMUser/MaliciousIPCaller
- UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
- UnauthorizedAccess:IAMUser/TorIPCaller
CredentialAccess:IAMUser/AnomalousBehavior
Un API utilisateur utilisé pour accéder à un AWS environnement a été invoqué de manière anormale.
Gravité par défaut : moyenne
-
Source de données : événement CloudTrail de gestion
Ce résultat vous indique qu'une API demande anormale a été observée dans votre compte. Cette constatation peut inclure une seule demande API ou une série de API demandes connexes effectuées à proximité par une seule identité d'utilisateur. L'APIobservation est généralement associée à la phase d'accès aux informations d'identification d'une attaque lorsqu'un adversaire tente de collecter des mots de passe, des noms d'utilisateur et des clés d'accès pour votre environnement. Les APIs éléments de cette catégorie sont GetPasswordDataGetSecretValue,BatchGetSecretValue, etGenerateDbAuthToken.
Cette API demande a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Le modèle ML suit divers facteurs de la API demande, tels que l'utilisateur qui a fait la demande, le lieu d'où la demande a été faite et le API détail spécifique demandé. Vous trouverez des détails sur les facteurs de la API demande inhabituels pour l'identité de l'utilisateur qui a invoqué la demande dans les détails de la recherche.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
DefenseEvasion:IAMUser/AnomalousBehavior
Un instrument API utilisé pour échapper aux mesures défensives a été invoqué de manière anormale.
Gravité par défaut : moyenne
-
Source de données : événement CloudTrail de gestion
Ce résultat vous indique qu'une API demande anormale a été observée dans votre compte. Cette constatation peut inclure une seule demande API ou une série de API demandes connexes effectuées à proximité par une seule identité d'utilisateur. Ce qui est API observé est généralement associé à des tactiques d'évasion défensive dans lesquelles un adversaire tente de couvrir ses traces et d'éviter d'être détecté. APIsdans cette catégorie figurent généralement des opérations de suppression, de désactivation ou d'arrêt, telles queDeleteFlowLogs,DisableAlarmActions, ouStopLogging.
Cette API demande a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Le modèle ML suit divers facteurs de la API demande, tels que l'utilisateur qui a fait la demande, le lieu d'où la demande a été faite et le API détail spécifique demandé. Vous trouverez des détails sur les facteurs de la API demande inhabituels pour l'identité de l'utilisateur qui a invoqué la demande dans les détails de la recherche.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Discovery:IAMUser/AnomalousBehavior
Un API outil couramment utilisé pour découvrir des ressources a été invoqué de manière anormale.
Gravité par défaut : faible
-
Source de données : événement CloudTrail de gestion
Ce résultat vous indique qu'une API demande anormale a été observée dans votre compte. Cette constatation peut inclure une seule demande API ou une série de API demandes connexes effectuées à proximité par une seule identité d'utilisateur. L'APIobservation est généralement associée à la phase de découverte d'une attaque, au cours de laquelle un adversaire collecte des informations pour déterminer si votre AWS environnement est susceptible d'être victime d'une attaque de plus grande envergure. APIsdans cette catégorie figurent généralement des opérations d'obtention, de description ou de liste, telles queDescribeInstances,GetRolePolicy, ouListAccessKeys.
Cette API demande a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Le modèle ML suit divers facteurs de la API demande, tels que l'utilisateur qui a fait la demande, le lieu d'où la demande a été faite et le API détail spécifique demandé. Vous trouverez des détails sur les facteurs de la API demande inhabituels pour l'identité de l'utilisateur qui a invoqué la demande dans les détails de la recherche.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Exfiltration:IAMUser/AnomalousBehavior
Un outil API couramment utilisé pour collecter des données à partir d'un AWS environnement a été invoqué de manière anormale.
Gravité par défaut : élevée
-
Source de données : événement CloudTrail de gestion
Ce résultat vous indique qu'une API demande anormale a été observée dans votre compte. Cette constatation peut inclure une seule demande API ou une série de API demandes connexes effectuées à proximité par une seule identité d'utilisateur. Ce qui est API observé est généralement associé à des tactiques d'exfiltration dans le cadre desquelles un adversaire tente de collecter des données sur votre réseau en utilisant le packaging et le cryptage pour éviter d'être détecté. APIspour ce type de recherche sont uniquement des opérations de gestion (plan de contrôle) et sont généralement liées à S3, aux instantanés et aux bases de données, telles que,PutBucketReplication, CreateSnapshot ou. RestoreDBInstanceFromDBSnapshot
Cette API demande a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Le modèle ML suit divers facteurs de la API demande, tels que l'utilisateur qui a fait la demande, le lieu d'où la demande a été faite et le API détail spécifique demandé. Vous trouverez des détails sur les facteurs de la API demande inhabituels pour l'identité de l'utilisateur qui a invoqué la demande dans les détails de la recherche.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Impact:IAMUser/AnomalousBehavior
Une API méthode couramment utilisée pour altérer des données ou des processus dans un AWS environnement a été invoquée de manière anormale.
Gravité par défaut : élevée
-
Source de données : événement CloudTrail de gestion
Ce résultat vous indique qu'une API demande anormale a été observée dans votre compte. Cette constatation peut inclure une seule demande API ou une série de API demandes connexes effectuées à proximité par une seule identité d'utilisateur. Ce qui est API observé est généralement associé à des tactiques d'impact dans le cadre desquelles un adversaire tente de perturber les opérations et de manipuler, d'interrompre ou de détruire les données de votre compte. APIspour ce type de recherche sont généralement des opérations de suppression, de mise à jour ou de saisie, telles queDeleteSecurityGroup,UpdateUser, ouPutBucketPolicy.
Cette API demande a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Le modèle ML suit divers facteurs de la API demande, tels que l'utilisateur qui a fait la demande, le lieu d'où la demande a été faite et le API détail spécifique demandé. Vous trouverez des détails sur les facteurs de la API demande inhabituels pour l'identité de l'utilisateur qui a invoqué la demande dans les détails de la recherche.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
InitialAccess:IAMUser/AnomalousBehavior
Une méthode API couramment utilisée pour obtenir un accès non autorisé à un AWS environnement a été invoquée de manière anormale.
Gravité par défaut : moyenne
-
Source de données : événement CloudTrail de gestion
Ce résultat vous indique qu'une API demande anormale a été observée dans votre compte. Cette constatation peut inclure une seule demande API ou une série de API demandes connexes effectuées à proximité par une seule identité d'utilisateur. L'APIobservation est généralement associée à la phase d'accès initiale d'une attaque lorsqu'un adversaire tente d'accéder à votre environnement. APIsdans cette catégorie figurent généralement des opérations get token ou de session, telles queGetFederationToken,StartSession, ouGetAuthorizationToken.
Cette API demande a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Le modèle ML suit divers facteurs de la API demande, tels que l'utilisateur qui a fait la demande, le lieu d'où la demande a été faite et le API détail spécifique demandé. Vous trouverez des informations sur les facteurs de la API demande qui sont inhabituels pour l'identité de l'utilisateur qui a invoqué la demande dans les détails de la recherche.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
PenTest:IAMUser/KaliLinux
An API a été invoqué depuis une machine Kali Linux.
Gravité par défaut : moyenne
-
Source de données : événement CloudTrail de gestion
Ce résultat vous indique qu'une machine exécutant Kali Linux passe des API appels en utilisant des informations d'identification appartenant au AWS compte répertorié dans votre environnement. Kali Linux est un outil de test d'intrusion populaire que les professionnels de la sécurité utilisent pour identifier les faiblesses des EC2 instances nécessitant des correctifs. Les attaquants utilisent également cet outil pour détecter les faiblesses EC2 de configuration et obtenir un accès non autorisé à votre AWS environnement.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
PenTest:IAMUser/ParrotLinux
An API a été invoqué depuis une machine Parrot Security Linux.
Gravité par défaut : moyenne
-
Source de données : événement CloudTrail de gestion
Ce résultat vous indique qu'une machine exécutant Parrot Security Linux passe des API appels en utilisant des informations d'identification appartenant au AWS compte répertorié dans votre environnement. Parrot Security Linux est un outil de test d'intrusion populaire que les professionnels de la sécurité utilisent pour identifier les faiblesses des EC2 instances nécessitant des correctifs. Les attaquants utilisent également cet outil pour détecter les faiblesses EC2 de configuration et obtenir un accès non autorisé à votre AWS environnement.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
PenTest:IAMUser/PentooLinux
An API a été invoqué depuis une machine Pentoo Linux.
Gravité par défaut : moyenne
-
Source de données : événement CloudTrail de gestion
Cette découverte vous indique qu'une machine exécutant Pentoo Linux passe des API appels en utilisant des informations d'identification appartenant au AWS compte répertorié dans votre environnement. Pentoo Linux est un outil de test d'intrusion populaire que les professionnels de la sécurité utilisent pour identifier les faiblesses des EC2 instances nécessitant des correctifs. Les attaquants utilisent également cet outil pour détecter les faiblesses EC2 de configuration et obtenir un accès non autorisé à votre AWS environnement.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Persistence:IAMUser/AnomalousBehavior
Une méthode API couramment utilisée pour maintenir un accès non autorisé à un AWS environnement a été invoquée de manière anormale.
Gravité par défaut : moyenne
-
Source de données : événement CloudTrail de gestion
Ce résultat vous indique qu'une API demande anormale a été observée dans votre compte. Cette constatation peut inclure une seule demande API ou une série de API demandes connexes effectuées à proximité par une seule identité d'utilisateur. Ce qui est API observé est généralement associé à des tactiques de persistance dans le cadre desquelles un adversaire a obtenu l'accès à votre environnement et tente de conserver cet accès. APIsdans cette catégorie figurent généralement des opérations de création, d'importation ou de modification, telles queCreateAccessKey,ImportKeyPair, ouModifyInstanceAttribute.
Cette API demande a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Le modèle ML suit divers facteurs de la API demande, tels que l'utilisateur qui a fait la demande, le lieu d'où la demande a été faite et le API détail spécifique demandé. Vous trouverez des informations sur les facteurs de la API demande qui sont inhabituels pour l'identité de l'utilisateur qui a invoqué la demande dans les détails de la recherche.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Policy:IAMUser/RootCredentialUsage
Un API a été invoqué à l'aide des informations de connexion de l'utilisateur root.
Gravité par défaut : faible
-
Source de données : événements CloudTrail de gestion ou événements de CloudTrail données pour S3
Ce résultat vous informe que les informations d'identification de connexion de l'utilisateur root de l' Compte AWS répertorié dans votre environnement sont utilisées pour effectuer des demandes aux services AWS . Il est recommandé aux utilisateurs de ne jamais utiliser les informations de connexion de l'utilisateur root pour accéder aux AWS services. Les AWS services doivent plutôt être accessibles en utilisant les informations d'identification temporaires avec le moindre privilège provenant de AWS Security Token Service (STS). Dans les situations où AWS STS ce n'est pas pris en charge, les informations IAM d'identification de l'utilisateur sont recommandées. Pour plus d'informations, consultez la section IAMMeilleures pratiques.
Note
Si la protection S3 est activée pour le compte, ce résultat peut être généré en réponse aux tentatives d'exécution des opérations du plan de données S3 sur les ressources Amazon S3 en utilisant les informations de connexion de l'utilisateur root du Compte AWS. L'APIappel utilisé sera répertorié dans les détails de la recherche. Si la protection S3 n'est pas activée, cette recherche ne peut être déclenchée que par le journal des événementsAPIs. Pour plus d'informations sur S3 Protection, consultezProtection S3.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
PrivilegeEscalation:IAMUser/AnomalousBehavior
Une méthode API couramment utilisée pour obtenir des autorisations de haut niveau sur un AWS environnement a été invoquée de manière anormale.
Gravité par défaut : moyenne
-
Source de données : événements CloudTrail de gestion
Ce résultat vous indique qu'une API demande anormale a été observée dans votre compte. Cette constatation peut inclure une seule demande API ou une série de API demandes connexes effectuées à proximité par une seule identité d'utilisateur. Ce qui est API observé est généralement associé à des tactiques d'augmentation de privilèges dans le cadre desquelles un adversaire tente d'obtenir des autorisations de niveau supérieur sur un environnement. APIsdans cette catégorie, impliquent généralement des opérations qui modifient IAM les politiques, les rôles et les utilisateurs, telles queAssociateIamInstanceProfile,AddUserToGroup, ouPutUserPolicy.
Cette API demande a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Le modèle ML suit divers facteurs de la API demande, tels que l'utilisateur qui a fait la demande, le lieu d'où la demande a été faite et le API détail spécifique demandé. Vous trouverez des informations sur les facteurs de la API demande qui sont inhabituels pour l'identité de l'utilisateur qui a invoqué la demande dans les détails de la recherche.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Recon:IAMUser/MaliciousIPCaller
An API a été invoqué à partir d'une adresse IP malveillante connue.
Gravité par défaut : moyenne
-
Source de données : événements CloudTrail de gestion
Ce résultat vous indique qu'une API opération permettant de répertorier ou de décrire les AWS ressources d'un compte au sein de votre environnement a été invoquée à partir d'une adresse IP figurant sur une liste de menaces. Un attaquant peut utiliser des informations d'identification volées pour effectuer ce type de reconnaissance de vos AWS ressources afin de trouver des informations d'identification plus précieuses ou de déterminer les capacités des informations d'identification qu'il possède déjà.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Recon:IAMUser/MaliciousIPCaller.Custom
An API a été invoqué à partir d'une adresse IP malveillante connue.
Gravité par défaut : moyenne
-
Source de données : événements CloudTrail de gestion
Ce résultat vous indique qu'une API opération permettant de répertorier ou de décrire les AWS ressources d'un compte au sein de votre environnement a été invoquée à partir d'une adresse IP figurant sur une liste de menaces personnalisée. La liste de menaces utilisée sera répertoriée dans les détails du résultat. Un attaquant peut utiliser des informations d'identification volées pour effectuer ce type de reconnaissance de vos AWS ressources afin de trouver des informations d'identification plus précieuses ou de déterminer les capacités des informations d'identification qu'il possède déjà.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Recon:IAMUser/TorIPCaller
An API a été invoqué depuis l'adresse IP d'un nœud de sortie Tor.
Gravité par défaut : moyenne
-
Source de données : événements CloudTrail de gestion
Cette découverte vous indique qu'une API opération permettant de répertorier ou de décrire les AWS ressources d'un compte au sein de votre environnement a été invoquée à partir de l'adresse IP d'un nœud de sortie Tor. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Un attaquant utiliserait Tor pour masquer sa véritable identité.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Stealth:IAMUser/CloudTrailLoggingDisabled
AWS CloudTrail la journalisation a été désactivée.
Gravité par défaut : faible
-
Source de données : événements CloudTrail de gestion
Ce résultat vous indique qu'un CloudTrail sentier de votre AWS environnement a été désactivé. Il peut s'agir d'une tentative de la part d'un pirate de désactiver la journalisation pour éliminer toute trace de leur activité tout en accédant à vos ressources AWS à des fins malveillantes. Ce résultat peut également être déclenché par une suppression ou une mise à jour réussie d'un journal de suivi. Ce résultat peut également être déclenché par la suppression réussie d'un compartiment S3 qui stocke les journaux d'un journal associé à GuardDuty.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Stealth:IAMUser/PasswordPolicyChange
La stratégie de mot de passe du compte a été affaiblie.
Gravité par défaut : faible*
Note
La gravité de ce résultat peut être faible, moyenne ou élevée en fonction de la gravité des modifications apportées à la stratégie de mot de passe.
-
Source de données : événements CloudTrail de gestion
La politique de mot de passe du AWS compte a été affaiblie sur le compte répertorié dans votre AWS environnement. Par exemple, elle a été supprimée ou mise à jour pour exiger moins de caractères ou prolonger la période d'expiration des mots de passe ou ne pas exiger de symboles et de nombres. Cette constatation peut également être déclenchée par une tentative de mise à jour ou de suppression de la politique de mot de passe de votre AWS compte. La politique de mot de passe du AWS compte définit les règles qui régissent les types de mots de passe qui peuvent être définis pour vos IAM utilisateurs. Une stratégie de mots de passe affaiblie permet de créer des mots de passe faciles à mémoriser et potentiellement plus faciles à deviner, ce qui crée un risque de sécurité.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
Plusieurs connexions réussies à la console ont été observées dans le monde entier.
Gravité par défaut : moyenne
-
Source de données : événements CloudTrail de gestion
Ce résultat indique que plusieurs connexions réussies à la console pour le même IAM utilisateur ont été observées à peu près au même moment dans différentes zones géographiques. Ces modèles de localisation d'accès anormaux et risqués indiquent un accès non autorisé potentiel à vos AWS ressources.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
Les informations d'identification créées exclusivement pour une EC2 instance via un rôle de lancement d'instance sont utilisées à partir d'un autre compte interne AWS.
Gravité par défaut : élevée*
Note
La gravité par défaut de ce résultat est élevée. Toutefois, s'il a API été invoqué par un compte affilié à votre AWS environnement, le niveau de gravité est moyen.
-
Source de données : événements CloudTrail de gestion ou événements de CloudTrail données pour S3
Ce résultat vous informe lorsque les informations d'identification de votre EC2 instance sont utilisées pour appeler à APIs partir d'une adresse IP appartenant à un AWS compte différent de celui dans lequel l'EC2instance associée est exécutée.
AWS ne recommande pas de redistribuer les informations d'identification temporaires en dehors de l'entité qui les a créées (par exempleEC2, AWS applications ou Lambda). Toutefois, les utilisateurs autorisés peuvent exporter les informations d'identification de leurs EC2 instances pour passer des API appels légitimes. Si le remoteAccountDetails.Affiliated champ est True celui qui API a été invoqué depuis un compte associé à votre AWS environnement. Pour exclure une attaque potentielle et vérifier la légitimité de l'activité, contactez l'IAMutilisateur auquel ces informations d'identification sont attribuées.
Note
S'il GuardDuty observe une activité continue depuis un compte distant, son modèle d'apprentissage automatique (ML) l'identifiera comme un comportement attendu. Par conséquent, GuardDuty cessera de générer ce résultat pour l'activité de ce compte distant. GuardDuty continuera à générer des informations sur les nouveaux comportements d'autres comptes distants et réévaluera les comptes distants appris à mesure que le comportement évolue au fil du temps.
Recommandations de correction :
En réponse à ce résultat, vous pouvez utiliser le flux de travail suivant pour déterminer un plan d'action :
-
Identifiez le compte distant concerné depuis le champ
service.action.awsApiCallAction.remoteAccountDetails.accountId. -
Déterminez ensuite si ce compte est affilié à votre GuardDuty environnement depuis le
service.action.awsApiCallAction.remoteAccountDetails.affiliatedterrain. -
Si le compte est affilié, contactez le propriétaire du compte distant et le propriétaire des informations d'identification de l'EC2instance pour enquêter.
-
Si le compte n'est pas affilié, évaluez d'abord si le compte est associé à votre organisation mais qu'il ne fait pas partie de votre configuration GuardDuty multi-comptes, ou s'il n' GuardDuty a pas encore été activé dans le compte. Sinon, contactez le propriétaire des EC2 informations d'identification pour déterminer s'il existe un cas d'utilisation pour un compte distant d'utiliser ces informations d'identification.
-
Si le propriétaire des informations d'identification ne reconnaît pas le compte distant, il est possible que les informations d'identification aient été compromises par un acteur malveillant opérant au sein d' AWS. Vous devez suivre les étapes recommandées dans Corriger une instance Amazon EC2 potentiellement compromise pour sécuriser votre environnement.
En outre, vous pouvez envoyer un rapport d'abus
à l'équipe de AWS confiance et de sécurité afin de lancer une enquête sur le compte distant. Lorsque vous soumettez votre rapport à AWS Trust and Safety, incluez tous JSON les détails du résultat.
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
Les informations d'identification créées exclusivement pour une EC2 instance via un rôle de lancement d'instance sont utilisées à partir d'une adresse IP externe.
Gravité par défaut : élevée
-
Source de données : événements CloudTrail de gestion ou événements de CloudTrail données pour S3
Ce résultat vous indique qu'un hôte extérieur AWS a tenté d'exécuter des AWS API opérations à l'aide AWS d'informations d'identification temporaires créées sur une EC2 instance de votre AWS environnement. L'EC2instance répertoriée est peut-être compromise et les informations d'identification temporaires de cette instance ont peut-être été exfiltrées vers un hôte distant situé en dehors de. AWS AWS ne recommande pas de redistribuer les informations d'identification temporaires en dehors de l'entité qui les a créées (par exempleEC2, AWS applications ou Lambda). Toutefois, les utilisateurs autorisés peuvent exporter les informations d'identification de leurs EC2 instances pour passer des API appels légitimes. Pour exclure une attaque potentielle et vérifier la légitimité de l'activité, vérifiez si l'utilisation des informations d'identification de l'instance provenant de l'adresse IP distante dans le résultat est prévue.
Note
S'il GuardDuty observe une activité continue depuis un compte distant, son modèle d'apprentissage automatique (ML) l'identifiera comme un comportement attendu. Par conséquent, GuardDuty cessera de générer ce résultat pour l'activité de ce compte distant. GuardDuty continuera à générer des informations sur les nouveaux comportements d'autres comptes distants et réévaluera les comptes distants appris à mesure que le comportement évolue au fil du temps.
Recommandations de correction :
Ce résultat est généré lorsque le réseau est configuré pour acheminer le trafic Internet de manière à ce qu'il sorte d'une passerelle locale plutôt que d'une passerelle VPC Internet ()IGW. Les configurations courantes, telles que l'utilisation AWS Outpostsou VPC VPN les connexions, peuvent entraîner le routage du trafic de cette façon. Si ce comportement est attendu, nous vous recommandons d'utiliser des règles de suppression et de créer une règle composée de deux critères de filtrage. Le premier critère est le type de résultat, qui devrait être UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Le deuxième critère de filtre est l'IPv4adresse de l'APIappelant avec l'adresse IP ou la CIDR plage de votre passerelle Internet locale. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression dans GuardDuty.
Note
S'il GuardDuty observe une activité continue provenant d'une source externe, son modèle d'apprentissage automatique identifiera ce comportement comme attendu et cessera de générer ce résultat pour l'activité provenant de cette source. GuardDuty continuera à générer des résultats concernant de nouveaux comportements à partir d'autres sources et réévaluera les sources apprises à mesure que les comportements évoluent au fil du temps.
Si cette activité est inattendue, vos informations d'identification peuvent être compromises, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
UnauthorizedAccess:IAMUser/MaliciousIPCaller
An API a été invoqué à partir d'une adresse IP malveillante connue.
Gravité par défaut : moyenne
-
Source de données : événements CloudTrail de gestion
Ce résultat vous indique qu'une API opération (par exemple, une tentative de lancement d'une EC2 instance, de création d'un nouvel IAM utilisateur ou de modification de vos AWS privilèges) a été invoquée à partir d'une adresse IP malveillante connue. Cela peut indiquer un accès non autorisé aux AWS ressources de votre environnement.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
Un API a été invoqué à partir d'une adresse IP figurant sur une liste de menaces personnalisée.
Gravité par défaut : moyenne
-
Source de données : événements CloudTrail de gestion
Ce résultat vous indique qu'une API opération (par exemple, une tentative de lancement d'une EC2 instance, de création d'un nouvel IAM utilisateur ou de modification de AWS privilèges) a été invoquée à partir d'une adresse IP figurant sur une liste de menaces que vous avez téléchargée. Dans , une liste de menaces comporte des adresses IP malveillantes connues. Cela peut indiquer un accès non autorisé aux AWS ressources de votre environnement.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
UnauthorizedAccess:IAMUser/TorIPCaller
An API a été invoqué depuis l'adresse IP d'un nœud de sortie Tor.
Gravité par défaut : moyenne
-
Source de données : événements CloudTrail de gestion
Ce résultat vous indique qu'une API opération (par exemple, une tentative de lancement d'une EC2 instance, de création d'un nouvel IAM utilisateur ou de modification de vos AWS privilèges) a été invoquée à partir de l'adresse IP d'un nœud de sortie Tor. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cela peut être le signe d'un accès non autorisé à vos ressources AWS dans le but de masquer la véritable identité du pirate.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
