Niveaux de gravité des GuardDuty résultats - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Niveaux de gravité des GuardDuty résultats

Chaque GuardDuty découverte est associée à un niveau de gravité et à une valeur qui reflètent le risque potentiel que cette découverte pourrait présenter pour votre réseau, tel que déterminé par nos ingénieurs en sécurité. La valeur de la gravité peut être comprise entre 1.0 et 8.9. Plus la valeur est élevée, plus le risque en matière de sécurité est important. Pour vous aider à déterminer la réponse à apporter à un problème de sécurité potentiel mis en évidence par une constatation, GuardDuty divisez cette plage en niveaux de gravité élevé, moyen et faible.

Note

Les valeurs 0 et de 9.0 à 10.0 sont réservées pour un usage futur.

Voici les niveaux de gravité et les valeurs actuellement définis pour les GuardDuty résultats, ainsi que les recommandations générales pour chacun d'entre eux :

Niveau de gravité Plage de valeurs

Élevée

7,0 - 8,9

Un niveau de gravité élevé indique que la ressource en question (une EC2 instance ou un ensemble d'informations de connexion IAM utilisateur) est compromise et est activement utilisée à des fins non autorisées.

Nous vous recommandons de traiter en priorité tout problème de sécurité lié à un résultat de gravité Élevée et de prendre des mesures de correction immédiates pour empêcher toute utilisation non autorisée de vos ressources. Par exemple, nettoyez votre EC2 instance, mettez-la hors service ou modifiez les IAM informations d'identification. Pour de plus amples informations, veuillez consulter Étapes de correction.

Moyenne

4,0 - 6,9

Un niveau de gravité Moyenne indique une activité suspecte qui s'écarte du comportement normalement observé et, selon votre cas d'utilisation, peut indiquer une compromission des ressources.

Nous vous recommandons d'examiner la ressource impliquée dans un délai raisonnable. Les étapes de correction varient selon la ressource et la famille du résultat mais en général, il est conseillé de chercher à confirmer que l'activité est autorisée et conforme à votre cas d'utilisation. Si vous ne pouvez pas identifier la cause ou confirmer que l'activité a été autorisée, vous devez considérer la ressource comme compromise et suivre les étapes de correction de manière à sécuriser la ressource.

Voici quelques éléments à prendre en compte lors de l'examen d'un résultat de niveau de gravité moyen :

  • Vérifiez si un utilisateur autorisé a installé un nouveau logiciel qui a changé le comportement d'une ressource (par exemple, trafic plus élevé que le trafic normal autorisé ou communication activée sur un nouveau port).

  • Vérifiez si un utilisateur autorisé a modifié les paramètres du plan de contrôle, par exemple s'il a modifié les paramètres d'un groupe de sécurité.

  • Exécutez une analyse antivirus sur les ressources impliquées pour détecter les logiciels non autorisés.

  • Vérifiez les autorisations associées au IAM rôle, à l'utilisateur, au groupe ou à l'ensemble d'informations d'identification concerné. Celles-ci peuvent avoir été modifiées ou fait l'objet d'une rotation.

Faible

1,0 - 3,9

Un faible niveau de gravité indique une tentative d'activité suspecte qui n'a pas compromis votre environnement, par exemple une analyse des ports ou une tentative d'intrusion infructueuse.

Aucune action immédiate n'est recommandée, mais il convient de prendre note de ces informations, car elles peuvent indiquer que quelqu'un recherche des points faibles dans votre environnement.