Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty Types de détection de S3 Protection

Les résultats suivants sont spécifiques aux ressources Amazon S3 et comporteront un type de ressource S3Bucket indiquant si la source de CloudTrail données est constituée d'événements de données pour S3 ou AccessKey d'événements CloudTrail de gestion. La gravité et les détails des résultats diffèrent selon le type de résultat et l'autorisation associée au compartiment.

Les résultats répertoriés ici incluent les sources de données et les modèles utilisés pour générer ce type de résultat. Pour plus d'informations sur les sources de données et les modèles, veuillez consulter GuardDuty sources de données de base.

Pour tous les résultats de type S3Bucket, il est recommandé d'examiner les autorisations sur le compartiment en question et les autorisations de tous les utilisateurs impliqués dans le résultat. Si l'activité est inattendue, veuillez consulter les recommandations de correction détaillées dans Corriger un compartiment S3 potentiellement compromis.

Discovery:S3/AnomalousBehavior

Un API outil couramment utilisé pour découvrir des objets S3 a été invoqué de manière anormale.

Gravité par défaut : faible

Ce résultat vous indique qu'une IAM entité a invoqué un S3 API pour découvrir des compartiments S3 dans votre environnement, tels queListObjects. Ce type d'activité est associé à la phase de découverte d'une attaque au cours de laquelle un attaquant collecte des informations pour déterminer si votre AWS environnement est susceptible d'être victime d'une attaque de plus grande envergure. Cette activité est suspecte car l'IAMentité l'a API invoquée d'une manière inhabituelle. Par exemple, une IAM entité sans historique invoque un S3API, ou une IAM entité invoque un S3 API depuis un emplacement inhabituel.

Cela API a été identifié comme anormal par le modèle GuardDuty d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Il suit divers facteurs liés aux API demandes, tels que l'utilisateur qui a fait la demande, le lieu à partir duquel la demande a été faite, le détail de la demande, le compartiment demandé et le nombre d'APIappels passés. API Pour plus d'informations sur les facteurs de la API demande qui sont inhabituels par rapport à l'identité de l'utilisateur qui a invoqué la demande, consultez la section Recherche de détails.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Discovery:S3/MaliciousIPCaller

Un S3 API couramment utilisé pour découvrir des ressources dans un AWS environnement a été invoqué à partir d'une adresse IP malveillante connue.

Gravité par défaut : élevée

Ce résultat vous indique qu'une API opération S3 a été invoquée à partir d'une adresse IP associée à une activité malveillante connue. L'observation API est généralement associée à la phase de découverte d'une attaque lorsqu'un adversaire collecte des informations sur votre AWS environnement. Exemples : GetObjectAcl et ListObjects.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Discovery:S3/MaliciousIPCaller.Custom

Un S3 API a été invoqué à partir d'une adresse IP figurant sur une liste de menaces personnalisée.

Gravité par défaut : élevée

Ce résultat vous indique qu'un S3API, tel que GetObjectAcl ouListObjects, a été invoqué à partir d'une adresse IP figurant sur une liste de menaces que vous avez téléchargée. La liste des menaces associée à ce résultat est répertoriée dans la section Informations supplémentaires des détails d'un résultat. Ce type d'activité est associé à la phase de découverte d'une attaque au cours de laquelle un pirate collecte des informations pour déterminer si votre environnement AWS est vulnérable à une attaque de plus grande envergure.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Discovery:S3/TorIPCaller

Un S3 API a été invoqué à partir de l'adresse IP d'un nœud de sortie Tor.

Gravité par défaut : moyenne

Cette découverte vous indique qu'un S3API, tel que GetObjectAcl ouListObjects, a été invoqué à partir d'une adresse IP du nœud de sortie Tor. Ce type d'activité est associé à la phase de découverte d'une attaque au cours de laquelle un attaquant collecte des informations pour déterminer si votre AWS environnement est vulnérable à une attaque de plus grande envergure. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cela peut indiquer un accès non autorisé à vos AWS ressources dans le but de cacher la véritable identité de l'attaquant.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Exfiltration:S3/AnomalousBehavior

Une IAM entité a invoqué un S3 API de manière suspecte.

Gravité par défaut : élevée

Ce résultat vous indique qu'une IAM entité effectue des API appels impliquant un compartiment S3 et que cette activité est différente de la base de référence établie pour cette entité. L'APIappel utilisé dans cette activité est associé à la phase d'exfiltration d'une attaque, au cours de laquelle un attaquant tente de collecter des données. Cette activité est suspecte car l'IAMentité l'a API invoquée d'une manière inhabituelle. Par exemple, une IAM entité sans historique invoque un S3API, ou une IAM entité invoque un S3 API depuis un emplacement inhabituel.

Cela API a été identifié comme anormal par le modèle GuardDuty d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Il suit divers facteurs liés aux API demandes, tels que l'utilisateur qui a fait la demande, le lieu à partir duquel la demande a été faite, le détail de la demande, le compartiment demandé et le nombre d'APIappels passés. API Pour plus d'informations sur les facteurs de la API demande qui sont inhabituels par rapport à l'identité de l'utilisateur qui a invoqué la demande, consultez la section Recherche de détails.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Exfiltration:S3/MaliciousIPCaller

Un S3 API couramment utilisé pour collecter des données à partir d'un AWS environnement a été invoqué à partir d'une adresse IP malveillante connue.

Gravité par défaut : élevée

Ce résultat vous indique qu'une API opération S3 a été invoquée à partir d'une adresse IP associée à une activité malveillante connue. Ce qui API est observé est généralement associé à des tactiques d'exfiltration dans le cadre desquelles un adversaire tente de collecter des données sur votre réseau. Exemples : GetObject et CopyObject.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Impact:S3/AnomalousBehavior.Delete

Une IAM entité a invoqué un S3 API qui tente de supprimer des données de manière suspecte.

Gravité par défaut : élevée

Ce résultat vous indique qu'une IAM entité de votre AWS environnement passe des API appels impliquant un compartiment S3, et que ce comportement est différent de la base de référence établie pour cette entité. L'APIappel utilisé dans cette activité est associé à une attaque qui tente de supprimer des données. Cette activité est suspecte car l'IAMentité l'a API invoquée d'une manière inhabituelle. Par exemple, une IAM entité sans historique invoque un S3API, ou une IAM entité invoque un S3 API depuis un emplacement inhabituel.

Cela API a été identifié comme anormal par le modèle GuardDuty d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Il suit divers facteurs liés aux API demandes, tels que l'utilisateur qui a fait la demande, le lieu à partir duquel la demande a été faite, le détail de la demande, le compartiment demandé et le nombre d'APIappels passés. API Pour plus d'informations sur les facteurs de la API demande qui sont inhabituels par rapport à l'identité de l'utilisateur qui a invoqué la demande, consultez la section Recherche de détails.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Nous recommandons un audit du contenu de votre compartiment S3 afin de déterminer si la version précédente de l'objet peut ou doit être restaurée.

Impact:S3/AnomalousBehavior.Permission

Une autorisation API couramment utilisée pour définir les autorisations de la liste de contrôle d'accès (ACL) a été invoquée de manière anormale.

Gravité par défaut : élevée

Ce résultat vous indique qu'une IAM entité de votre AWS environnement a modifié une politique de compartiment ou figure ACL sur les compartiments S3 répertoriés. Cette modification peut exposer publiquement vos compartiments S3 à tous les utilisateurs authentifiés. AWS

Cela API a été identifié comme anormal par le modèle GuardDuty d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Il suit divers facteurs liés aux API demandes, tels que l'utilisateur qui a fait la demande, le lieu à partir duquel la demande a été faite, le détail de la demande, le compartiment demandé et le nombre d'APIappels passés. API Pour plus d'informations sur les facteurs de la API demande qui sont inhabituels par rapport à l'identité de l'utilisateur qui a invoqué la demande, consultez la section Recherche de détails.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Nous recommandons un audit du contenu de votre compartiment S3 pour vous assurer qu'aucun objet n'a été autorisé à être consulté publiquement de manière inattendue.

Impact:S3/AnomalousBehavior.Write

Une IAM entité a invoqué un S3 API qui tente d'écrire des données de manière suspecte.

Gravité par défaut : moyenne

Ce résultat vous indique qu'une IAM entité de votre AWS environnement passe des API appels impliquant un compartiment S3, et que ce comportement est différent de la base de référence établie pour cette entité. L'APIappel utilisé dans cette activité est associé à une attaque qui tente d'écrire des données. Cette activité est suspecte car l'IAMentité l'a API invoquée d'une manière inhabituelle. Par exemple, une IAM entité sans historique invoque un S3API, ou une IAM entité invoque un S3 API depuis un emplacement inhabituel.

Cela API a été identifié comme anormal par le modèle GuardDuty d'apprentissage automatique (ML) de détection d'anomalies. Le modèle ML évalue toutes les API demandes de votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Il suit divers facteurs liés aux API demandes, tels que l'utilisateur qui a fait la demande, le lieu à partir duquel la demande a été faite, le détail de la demande, le compartiment demandé et le nombre d'APIappels passés. API Pour plus d'informations sur les facteurs de la API demande qui sont inhabituels par rapport à l'identité de l'utilisateur qui a invoqué la demande, consultez la section Recherche de détails.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Nous recommandons un audit du contenu de votre compartiment S3 pour vous assurer que cet API appel n'a pas écrit de données malveillantes ou non autorisées.

Impact:S3/MaliciousIPCaller

Un S3 API couramment utilisé pour altérer des données ou des processus dans un AWS environnement a été invoqué à partir d'une adresse IP malveillante connue.

Gravité par défaut : élevée

Ce résultat vous indique qu'une API opération S3 a été invoquée à partir d'une adresse IP associée à une activité malveillante connue. L'observation API est généralement associée à des tactiques d'impact dans le cadre desquelles un adversaire tente de manipuler, d'interrompre ou de détruire des données au sein de votre AWS environnement. Exemples : PutObject et PutObjectAcl.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

PenTest:S3/KaliLinux

Un S3 API a été invoqué depuis une machine Kali Linux.

Gravité par défaut : moyenne

Cette découverte vous indique qu'une machine exécutant Kali Linux passe des API appels S3 en utilisant les informations d'identification qui appartiennent à votre AWS compte. Vos informations d'identification pourraient être compromises. Kali Linux est un outil de test d'intrusion populaire que les professionnels de la sécurité utilisent pour identifier les faiblesses des EC2 instances nécessitant des correctifs. Les attaquants utilisent également cet outil pour détecter les faiblesses EC2 de configuration et obtenir un accès non autorisé à votre AWS environnement.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

PenTest:S3/ParrotLinux

Un S3 API a été invoqué depuis une machine Parrot Security Linux.

Gravité par défaut : moyenne

Ce résultat vous indique qu'une machine exécutant Parrot Security Linux passe des API appels S3 en utilisant les informations d'identification qui appartiennent à votre AWS compte. Vos informations d'identification pourraient être compromises. Parrot Security Linux est un outil de test d'intrusion populaire que les professionnels de la sécurité utilisent pour identifier les faiblesses des EC2 instances nécessitant des correctifs. Les attaquants utilisent également cet outil pour détecter les faiblesses EC2 de configuration et obtenir un accès non autorisé à votre AWS environnement.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

PenTest:S3/PentooLinux

Un S3 API a été invoqué depuis une machine Pentoo Linux.

Gravité par défaut : moyenne

Cette découverte vous indique qu'une machine exécutant Pentoo Linux passe des API appels S3 en utilisant les informations d'identification qui appartiennent à votre AWS compte. Vos informations d'identification pourraient être compromises. Pentoo Linux est un outil de test d'intrusion populaire que les professionnels de la sécurité utilisent pour identifier les faiblesses des EC2 instances nécessitant des correctifs. Les attaquants utilisent également cet outil pour détecter les faiblesses EC2 de configuration et obtenir un accès non autorisé à votre AWS environnement.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Policy:S3/AccountBlockPublicAccessDisabled

Une IAM entité a invoqué un API utilisateur pour désactiver l'accès public au bloc S3 sur un compte.

Gravité par défaut : faible

Ce résultat vous informe que le blocage de l'accès public Amazon S3 a été désactivé au niveau du compte. Lorsque les paramètres S3 Block Public Access sont activés, ils sont utilisés pour filtrer les politiques ou les listes de contrôle d'accès (ACLs) sur les compartiments par mesure de sécurité afin d'empêcher toute exposition publique involontaire de données.

Généralement, le blocage de l'accès public S3 est désactivé dans un compte pour autoriser l'accès public à un compartiment ou aux objets du compartiment. Lorsque l'accès public au bloc S3 est désactivé pour un compte, l'accès à vos compartiments est contrôlé par les politiques ou les paramètres de blocage de l'accès public au niveau du compartiment appliqués à vos compartiments individuels. ACLs Cela ne signifie pas nécessairement que les compartiments sont partagés publiquement, mais que vous devez auditer les autorisations appliquées aux compartiments pour confirmer qu'elles fournissent le niveau d'accès approprié.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Policy:S3/BucketAnonymousAccessGranted

Un IAM principal a accordé l'accès à un compartiment S3 à Internet en modifiant les politiques du compartiment ouACLs.

Gravité par défaut : élevée

Ce résultat vous indique que le compartiment S3 répertorié a été rendu accessible au public sur Internet parce qu'une IAM entité a modifié une politique de compartiment ou ACL sur ce compartiment. Après la détection d'une politique ou d'un ACL changement, utilise un raisonnement automatique basé sur Zelkova pour déterminer si le bucket est accessible au public.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Policy:S3/BucketBlockPublicAccessDisabled

Une IAM entité a invoqué et API utilisé pour désactiver l'accès public au bloc S3 sur un compartiment.

Gravité par défaut : faible

Ce résultat vous informe que le blocage de l'accès public a été désactivé pour le compartiment S3 répertorié. Lorsqu'ils sont activés, les paramètres S3 Block Public Access sont utilisés pour filtrer les politiques ou les listes de contrôle d'accès (ACLs) appliquées aux compartiments par mesure de sécurité afin d'empêcher toute exposition publique involontaire de données.

Généralement, le blocage de l'accès public S3 est désactivé sur un compartiment pour autoriser l'accès public au compartiment ou aux objets qu'il contient. Lorsque l'accès public au bloc S3 est désactivé pour un compartiment, l'accès au compartiment est contrôlé par les politiques ou ACLs appliqué à celui-ci. Cela ne signifie pas que le compartiment est partagé publiquement, mais vous devez vérifier les politiques et les ACLs appliquer au compartiment pour confirmer que les autorisations appropriées sont appliquées.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Policy:S3/BucketPublicAccessGranted

Un IAM directeur a accordé l'accès public à un compartiment S3 à tous les AWS utilisateurs en modifiant les politiques du compartiment ouACLs.

Gravité par défaut : élevée

Ce résultat vous indique que le compartiment S3 répertorié a été exposé publiquement à tous les AWS utilisateurs authentifiés parce qu'une IAM entité a modifié une politique de compartiment ou ACL sur ce compartiment S3. Après la détection d'une politique ou d'un ACL changement, utilise un raisonnement automatique basé sur Zelkova pour déterminer si le bucket est accessible au public.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

Stealth:S3/ServerAccessLoggingDisabled

La journalisation des accès au serveur S3 a été désactivée pour un compartiment.

Gravité par défaut : faible

Ce résultat vous indique que la journalisation des accès au serveur S3 est désactivée pour un compartiment de votre AWS environnement. Si cette option est désactivée, aucun journal des requêtes Web n'est créé pour les tentatives d'accès au compartiment S3 identifié. Toutefois, les API appels de gestion S3 au compartiment, tels que DeleteBucket, sont toujours suivis. Si la journalisation des événements de données S3 est activée CloudTrail pour ce compartiment, les demandes Web relatives aux objets du compartiment seront toujours suivies. La désactivation de la journalisation est une technique utilisée par des utilisateurs non autorisés pour éviter la détection. Pour en savoir plus sur les journaux S3, veuillez consulter Journalisation des accès au serveur S3 et Options de journalisation S3 (langue française non garantie).

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Un S3 API a été invoqué à partir d'une adresse IP figurant sur une liste de menaces personnalisée.

Gravité par défaut : élevée

Ce résultat vous indique qu'une API opération S3, par exemplePutObjectAcl, PutObject a été invoquée à partir d'une adresse IP figurant sur une liste de menaces que vous avez téléchargée. La liste des menaces associée à ce résultat est répertoriée dans la section Informations supplémentaires des détails d'un résultat.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.

UnauthorizedAccess:S3/TorIPCaller

Un S3 API a été invoqué à partir de l'adresse IP d'un nœud de sortie Tor.

Gravité par défaut : élevée

Cette découverte vous indique qu'une API opération S3, telle que PutObject ouPutObjectAcl, a été invoquée à partir d'une adresse IP du nœud de sortie Tor. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cette découverte peut indiquer un accès non autorisé à vos AWS ressources dans le but de cacher la véritable identité de l'attaquant.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.