GuardDuty IAMmenemukan jenis

Temuan berikut khusus untuk IAM entitas dan kunci akses dan selalu memiliki Jenis Sumber DayaAccessKey. Tingkat kepelikan dan detail temuan berbeda berdasarkan tipe temuan.

Temuan yang tercantum di sini termasuk sumber data dan model yang digunakan untuk menghasilkan tipe temuan. Untuk informasi selengkapnya, lihat GuardDuty sumber data dasar.

Untuk semua temuan IAM terkait, kami menyarankan Anda memeriksa entitas yang bersangkutan dan memastikan bahwa izin mereka mengikuti praktik terbaik dengan hak istimewa yang paling sedikit. Jika aktivitas tidak terduga, kredensial mungkin disusupi. Untuk informasi tentang remediasi temuan, lihatMemulihkan kredensi yang berpotensi dikompromikan AWS.

Topik

CredentialAccess:IAMUser/AnomalousBehavior
DefenseEvasion:IAMUser/AnomalousBehavior
Discovery:IAMUser/AnomalousBehavior
Exfiltration:IAMUser/AnomalousBehavior
Impact:IAMUser/AnomalousBehavior
InitialAccess:IAMUser/AnomalousBehavior
PenTest:IAMUser/KaliLinux
PenTest:IAMUser/ParrotLinux
PenTest:IAMUser/PentooLinux
Persistence:IAMUser/AnomalousBehavior
Policy:IAMUser/RootCredentialUsage
PrivilegeEscalation:IAMUser/AnomalousBehavior
Recon:IAMUser/MaliciousIPCaller
Recon:IAMUser/MaliciousIPCaller.Custom
Recon:IAMUser/TorIPCaller
Stealth:IAMUser/CloudTrailLoggingDisabled
Stealth:IAMUser/PasswordPolicyChange
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
UnauthorizedAccess:IAMUser/MaliciousIPCaller
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
UnauthorizedAccess:IAMUser/TorIPCaller

CredentialAccess:IAMUser/AnomalousBehavior

APIDigunakan untuk mendapatkan akses ke AWS lingkungan dipanggil dengan cara yang anomali.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API permintaan anomali diamati di akun Anda. Temuan ini dapat mencakup satu API atau serangkaian API permintaan terkait yang dibuat di dekat oleh identitas pengguna tunggal. Yang API diamati umumnya dikaitkan dengan tahap akses kredenal serangan ketika musuh mencoba mengumpulkan kata sandi, nama pengguna, dan kunci akses untuk lingkungan Anda. APIsDalam kategori ini adalahGetPasswordData,GetSecretValue,BatchGetSecretValue, danGenerateDbAuthToken.

APIPermintaan ini diidentifikasi sebagai anomali dengan GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua API permintaan di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Model ML melacak berbagai faktor API permintaan, seperti, pengguna yang membuat permintaan, lokasi permintaan dibuat, dan spesifik API yang diminta. Detail tentang faktor API permintaan yang tidak biasa untuk identitas pengguna yang memanggil permintaan dapat ditemukan dalam rincian temuan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

DefenseEvasion:IAMUser/AnomalousBehavior

APIDigunakan untuk menghindari tindakan defensif digunakan dengan cara yang anomali.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API permintaan anomali diamati di akun Anda. Temuan ini dapat mencakup satu API atau serangkaian API permintaan terkait yang dibuat di dekat oleh identitas pengguna tunggal. Yang API diamati umumnya dikaitkan dengan taktik penghindaran pertahanan di mana musuh mencoba menutupi jejak mereka dan menghindari deteksi. APIsdalam kategori ini biasanya menghapus, menonaktifkan, atau menghentikan operasi, seperti,DeleteFlowLogs,DisableAlarmActions, atauStopLogging.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Discovery:IAMUser/AnomalousBehavior

APIYang umum digunakan untuk menemukan sumber daya dipanggil dengan cara yang anomali.

Tingkat keparahan default: Rendah

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API permintaan anomali diamati di akun Anda. Temuan ini dapat mencakup satu API atau serangkaian API permintaan terkait yang dibuat di dekat oleh identitas pengguna tunggal. Yang API diamati umumnya dikaitkan dengan tahap penemuan serangan ketika musuh mengumpulkan informasi untuk menentukan apakah AWS lingkungan Anda rentan terhadap serangan yang lebih luas. APIsdalam kategori ini biasanya mendapatkan, mendeskripsikan, atau daftar operasi, seperti,DescribeInstances,GetRolePolicy, atauListAccessKeys.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Exfiltration:IAMUser/AnomalousBehavior

APIYang biasa digunakan untuk mengumpulkan data dari AWS lingkungan dipanggil dengan cara yang anomali.

Tingkat keparahan default: Tinggi

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API permintaan anomali diamati di akun Anda. Temuan ini dapat mencakup satu API atau serangkaian API permintaan terkait yang dibuat di dekat oleh identitas pengguna tunggal. Yang API diamati umumnya dikaitkan dengan taktik eksfiltrasi di mana musuh mencoba mengumpulkan data dari jaringan Anda menggunakan pengemasan dan enkripsi untuk menghindari deteksi. APIsuntuk jenis temuan ini hanya operasi manajemen (bidang kontrol) dan biasanya terkait dengan S3, snapshot, dan database, seperti,,, atau. PutBucketReplication CreateSnapshot RestoreDBInstanceFromDBSnapshot

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Impact:IAMUser/AnomalousBehavior

APIYang biasa digunakan untuk mengutak-atik data atau proses dalam suatu AWS lingkungan dipanggil dengan cara yang anomali.

Tingkat keparahan default: Tinggi

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API permintaan anomali diamati di akun Anda. Temuan ini dapat mencakup satu API atau serangkaian API permintaan terkait yang dibuat di dekat oleh identitas pengguna tunggal. Yang API diamati umumnya dikaitkan dengan taktik dampak di mana musuh mencoba mengganggu operasi dan memanipulasi, mengganggu, atau menghancurkan data di akun Anda. APIsuntuk jenis temuan ini biasanya menghapus, memperbarui, atau menempatkan operasi, seperti,DeleteSecurityGroup,UpdateUser, atauPutBucketPolicy.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

InitialAccess:IAMUser/AnomalousBehavior

APIYang umum digunakan untuk mendapatkan akses tidak sah ke AWS lingkungan dipanggil dengan cara yang anomali.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API permintaan anomali diamati di akun Anda. Temuan ini dapat mencakup satu API atau serangkaian API permintaan terkait yang dibuat di dekat oleh identitas pengguna tunggal. Yang API diamati umumnya dikaitkan dengan tahap akses awal serangan ketika musuh mencoba untuk membangun akses ke lingkungan Anda. APIsdalam kategori ini biasanya mendapatkan token, atau operasi sesi, seperti,StartSession, atauGetAuthorizationToken.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

PenTest:IAMUser/KaliLinux

An API dipanggil dari mesin Kali Linux.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Kali Linux melakukan API panggilan menggunakan kredensil milik AWS akun yang terdaftar di lingkungan Anda. Kali Linux adalah alat pengujian penetrasi populer yang digunakan oleh para profesional keamanan untuk mengidentifikasi kelemahan dalam EC2 kasus yang memerlukan penambalan. Penyerang juga menggunakan alat ini untuk menemukan kelemahan EC2 konfigurasi dan mendapatkan akses tidak sah ke lingkungan Anda. AWS

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

PenTest:IAMUser/ParrotLinux

An API dipanggil dari mesin Parrot Security Linux.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Parrot Security Linux melakukan API panggilan menggunakan kredensil milik AWS akun yang terdaftar di lingkungan Anda. Parrot Security Linux adalah alat pengujian penetrasi populer yang digunakan para profesional keamanan untuk mengidentifikasi kelemahan dalam EC2 kasus yang memerlukan penambalan. Penyerang juga menggunakan alat ini untuk menemukan kelemahan EC2 konfigurasi dan mendapatkan akses tidak sah ke lingkungan Anda. AWS

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

PenTest:IAMUser/PentooLinux

An API dipanggil dari mesin Pentoo Linux.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Pentoo Linux melakukan API panggilan menggunakan kredensil milik AWS akun yang terdaftar di lingkungan Anda. Pentoo Linux adalah alat pengujian penetrasi populer yang digunakan oleh para profesional keamanan untuk mengidentifikasi kelemahan dalam EC2 kasus yang memerlukan penambalan. Penyerang juga menggunakan alat ini untuk menemukan kelemahan EC2 konfigurasi dan mendapatkan akses tidak sah ke lingkungan Anda. AWS

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Persistence:IAMUser/AnomalousBehavior

APIYang umum digunakan untuk mempertahankan akses tidak sah ke AWS lingkungan dipanggil dengan cara yang anomali.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API permintaan anomali diamati di akun Anda. Temuan ini dapat mencakup satu API atau serangkaian API permintaan terkait yang dibuat di dekat oleh identitas pengguna tunggal. Yang API diamati umumnya dikaitkan dengan taktik ketekunan di mana musuh telah mendapatkan akses ke lingkungan Anda dan berusaha mempertahankan akses itu. APIsdalam kategori ini biasanya membuat, mengimpor, atau memodifikasi operasi, seperti,CreateAccessKey,ImportKeyPair, atauModifyInstanceAttribute.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Policy:IAMUser/RootCredentialUsage

An API dipanggil menggunakan kredenal masuk pengguna root.

Tingkat keparahan default: Rendah

Sumber data: peristiwa CloudTrail manajemen atau peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa kredenal masuk pengguna root dari yang tercantum Akun AWS di lingkungan Anda digunakan untuk membuat permintaan ke layanan. AWS Disarankan agar pengguna tidak pernah menggunakan kredenal masuk pengguna root untuk mengakses layanan. AWS Sebagai gantinya, AWS layanan harus diakses menggunakan kredensi sementara hak istimewa terkecil dari AWS Security Token Service (). STS Untuk situasi di AWS STS mana tidak didukung, kredensi IAM pengguna direkomendasikan. Untuk informasi selengkapnya, lihat Praktik IAM Terbaik.

catatan

Jika Perlindungan S3 diaktifkan untuk akun, maka temuan ini dapat dihasilkan sebagai tanggapan atas upaya untuk menjalankan operasi bidang data S3 di sumber daya Amazon S3 dengan menggunakan kredenal masuk pengguna root dari file. Akun AWS APIPanggilan yang digunakan akan tercantum dalam detail temuan. Jika Perlindungan S3 tidak diaktifkan, maka temuan ini hanya dapat dipicu oleh log APIs Peristiwa. Untuk informasi lebih lanjut tentang Perlindungan S3, lihatPerlindungan S3.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

PrivilegeEscalation:IAMUser/AnomalousBehavior

APIYang umum digunakan untuk mendapatkan izin tingkat tinggi ke AWS lingkungan dipanggil dengan cara yang anomali.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API permintaan anomali diamati di akun Anda. Temuan ini dapat mencakup satu API atau serangkaian API permintaan terkait yang dibuat di dekat oleh identitas pengguna tunggal. Yang API diamati umumnya dikaitkan dengan taktik eskalasi hak istimewa di mana musuh berusaha mendapatkan izin tingkat yang lebih tinggi ke suatu lingkungan. APIsdalam kategori ini biasanya melibatkan operasi yang mengubah IAM kebijakan, peran, dan pengguna, sepertiAssociateIamInstanceProfile,AddUserToGroup, atauPutUserPolicy.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Recon:IAMUser/MaliciousIPCaller

An API dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API operasi yang dapat mencantumkan atau menjelaskan AWS sumber daya di akun di lingkungan Anda dipanggil dari alamat IP yang disertakan dalam daftar ancaman. Penyerang dapat menggunakan kredensil curian untuk melakukan jenis pengintaian AWS sumber daya Anda untuk menemukan kredensil yang lebih berharga atau menentukan kemampuan kredensil yang sudah mereka miliki.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Recon:IAMUser/MaliciousIPCaller.Custom

An API dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API operasi yang dapat mencantumkan atau menjelaskan AWS sumber daya di akun di lingkungan Anda dipanggil dari alamat IP yang disertakan dalam daftar ancaman khusus. Daftar ancaman yang digunakan akan tercantum dalam detail temuan. Seorang penyerang mungkin menggunakan kredensil curian untuk melakukan jenis pengintaian AWS sumber daya Anda untuk menemukan kredensil yang lebih berharga atau menentukan kemampuan kredensil yang sudah mereka miliki.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Recon:IAMUser/TorIPCaller

An API dipanggil dari alamat IP node keluar Tor.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API operasi yang dapat mencantumkan atau mendeskripsikan AWS sumber daya di akun dalam lingkungan Anda dipanggil dari alamat IP node keluar Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Penyerang akan menggunakan Tor untuk menutupi identitas mereka yang sebenarnya.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail logging dinonaktifkan.

Tingkat keparahan default: Rendah

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa CloudTrail jejak di AWS lingkungan Anda dinonaktifkan. Ini bisa menjadi upaya penyerang untuk menonaktifkan pencatatan log untuk menutupi jejak mereka dengan menghilangkan jejak aktivitas mereka sekaligus mendapatkan akses ke sumber daya AWS Anda untuk tujuan berbahaya. Temuan ini dapat dipicu oleh penghapusan atau pembaruan jejak yang berhasil. Temuan ini juga dapat dipicu oleh penghapusan bucket S3 yang berhasil menyimpan log dari jejak yang terkait dengannya. GuardDuty

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Stealth:IAMUser/PasswordPolicyChange

Kebijakan kata sandi akun dilemahkan.

Tingkat keparahan default: Rendah*

catatan

Tingkat keparahan temuan ini bisa Rendah, Sedang, atau Tinggi tergantung pada tingkat keparahan perubahan yang dibuat pada kebijakan kata sandi.

Sumber data: acara CloudTrail manajemen

Kebijakan kata sandi AWS akun dilemahkan pada akun yang terdaftar di AWS lingkungan Anda. Misalnya, kata sandi dihapus atau diperbarui untuk memerlukan lebih sedikit karakter, tidak memerlukan simbol dan angka, atau diperlukan untuk memperpanjang masa kedaluwarsa kata sandi. Temuan ini juga dapat dipicu oleh upaya untuk memperbarui atau menghapus kebijakan kata sandi AWS akun Anda. Kebijakan kata sandi AWS akun menentukan aturan yang mengatur jenis kata sandi apa yang dapat ditetapkan untuk pengguna AndaIAM. Kebijakan kata sandi yang lebih lemah memungkinkan pembuatan kata sandi yang mudah diingat dan berpotensi lebih mudah ditebak, sehingga menimbulkan risiko keamanan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

Beberapa login konsol yang berhasil di seluruh dunia diamati.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa beberapa login konsol yang berhasil untuk IAM pengguna yang sama diamati sekitar waktu yang sama di berbagai lokasi geografis. Pola lokasi akses anomali dan berisiko seperti itu menunjukkan potensi akses tidak sah ke sumber daya Anda. AWS

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

Kredenal yang dibuat secara eksklusif untuk sebuah EC2 instance melalui peran peluncuran Instance digunakan dari akun lain di dalamnya. AWS

Tingkat keparahan default: Tinggi*

catatan

Tingkat keparahan default temuan ini adalah Tinggi. Namun, jika dipanggil API oleh akun yang berafiliasi dengan AWS lingkungan Anda, tingkat keparahannya adalah Medium.

Sumber data: peristiwa CloudTrail manajemen atau peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda kapan kredensi EC2 instans Amazon Anda digunakan untuk memanggil APIs dari alamat IP atau VPC titik akhir Amazon, yang dimiliki oleh akun yang berbeda dari AWS akun yang dijalankan instans Amazon EC2 terkait. VPCDeteksi titik akhir hanya tersedia untuk layanan yang mendukung peristiwa aktivitas jaringan untuk titik VPC akhir. Untuk informasi tentang layanan yang mendukung peristiwa aktivitas jaringan untuk VPC titik akhir, lihat Mencatat peristiwa aktivitas jaringan di Panduan AWS CloudTrail Pengguna.

AWS tidak merekomendasikan untuk mendistribusikan ulang kredensi sementara di luar entitas yang membuatnya (misalnya AWS , aplikasi, AmazonEC2, atau). AWS Lambda Namun, pengguna yang berwenang dapat mengekspor kredensional dari EC2 instans Amazon mereka untuk melakukan panggilan yang sah. API Jika remoteAccountDetails.Affiliated bidang True tersebut API dipanggil dari akun yang terkait dengan akun administrator yang sama. Untuk mengesampingkan potensi serangan dan memverifikasi legitimasi aktivitas, hubungi Akun AWS pemilik atau IAM kepala sekolah kepada siapa kredensi ini diberikan.

catatan

Jika GuardDuty mengamati aktivitas lanjutan dari akun jarak jauh, model pembelajaran mesin (ML) akan mengidentifikasi ini sebagai perilaku yang diharapkan. Oleh karena itu, GuardDuty akan berhenti menghasilkan temuan ini untuk aktivitas dari akun jarak jauh itu. GuardDuty akan terus menghasilkan temuan untuk perilaku baru dari akun jarak jauh lainnya dan akan mengevaluasi kembali akun jarak jauh yang dipelajari saat perilaku berubah seiring waktu.

Rekomendasi remediasi:

Temuan ini akan dihasilkan saat AWS API permintaan dibuat di dalam AWS melalui EC2 instans Amazon di luar instans Anda Akun AWS, dengan menggunakan kredenal sesi EC2 instans Amazon Anda. Mungkin lazim, seperti untuk arsitektur Transit Gateway dalam konfigurasi hub dan spoke, untuk merutekan lalu lintas melalui jalan keluar hub tunggal VPC dengan AWS titik akhir layanan. Jika perilaku ini diharapkan, maka GuardDuty sarankan Anda untuk menggunakan Aturan penekanan dan membuat aturan dengan kriteria dua filter. Kriteria pertama adalah tipe temuan, yang, dalam hal ini, adalah UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Kriteria filter kedua adalah ID akun jarak jauh dari detail akun jarak jauh.

Menanggapi temuan ini, Anda dapat menggunakan alur kerja berikut untuk menentukan tindakan:

Identifikasi akun jarak jauh yang terlibat dari service.action.awsApiCallAction.remoteAccountDetails.accountId lapangan.
Tentukan apakah akun itu berafiliasi dengan GuardDuty lingkungan Anda dari service.action.awsApiCallAction.remoteAccountDetails.affiliated lapangan.
Jika akun tersebut berafiliasi, hubungi pemilik akun jarak jauh dan pemilik kredenal EC2 instans Amazon untuk menyelidiki.

Jika akun tidak berafiliasi, maka langkah pertama adalah mengevaluasi apakah akun tersebut terkait dengan organisasi Anda tetapi bukan bagian dari pengaturan lingkungan beberapa GuardDuty akun Anda, atau jika GuardDuty belum diaktifkan di akun ini. Selanjutnya, hubungi pemilik kredensil EC2 instans Amazon untuk menentukan apakah ada kasus penggunaan untuk akun jarak jauh untuk menggunakan kredensil ini.
Jika pemilik kredensil tidak mengenali akun jarak jauh, kredensialnya mungkin telah dikompromikan oleh aktor ancaman yang beroperasi di dalamnya. AWS Anda harus mengambil langkah-langkah yang direkomendasikanMemperbaiki instans Amazon yang berpotensi dikompromikan EC2, untuk mengamankan lingkungan Anda.

Selain itu, Anda dapat mengirimkan laporan penyalahgunaan ke tim AWS Trust and Safety untuk memulai penyelidikan ke akun jarak jauh. Saat mengirimkan laporan Anda ke AWS Trust and Safety, sertakan JSON detail lengkap temuan tersebut.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

Kredensial yang dibuat secara eksklusif untuk sebuah EC2 instance melalui peran peluncuran Instance sedang digunakan dari alamat IP eksternal.

Tingkat keparahan default: Tinggi

Sumber data: peristiwa CloudTrail manajemen atau peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa host di luar AWS telah mencoba menjalankan AWS API operasi menggunakan AWS kredensil sementara yang dibuat pada EC2 instance di lingkungan Anda. AWS EC2Instance yang terdaftar mungkin dikompromikan, dan kredensional sementara dari instance ini mungkin telah diekstraksi ke host jarak jauh di luar. AWS AWS tidak merekomendasikan untuk mendistribusikan ulang kredensi sementara di luar entitas yang membuatnya (misalnya, AWS aplikasi, EC2 atau Lambda). Namun, pengguna yang berwenang dapat mengekspor kredensional dari EC2 instans mereka untuk melakukan panggilan yang sah. API Untuk mengesampingkan serangan potensial dan memverifikasi legitimasi aktivitas, validasi jika penggunaan kredenal instance dari IP jarak jauh dalam temuan diharapkan.

catatan

Rekomendasi remediasi:

Temuan ini dihasilkan ketika jaringan dikonfigurasi untuk merutekan lalu lintas internet sedemikian rupa sehingga keluar dari gateway lokal dan bukan dari VPC Internet Gateway (). IGW Konfigurasi umum, seperti menggunakan, atau VPC VPN koneksi AWS Outposts, dapat mengakibatkan lalu lintas dirutekan dengan cara ini. Jika ini adalah perilaku yang diharapkan, kami sarankan Anda menggunakan aturan penekanan dan membuat aturan yang terdiri dari dua kriteria filter. Kriteria pertama adalah tipe temuan, yaitu UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Kriteria filter kedua adalah IPv4Alamat API pemanggil dengan alamat IP atau CIDR rentang gateway internet lokal Anda. Untuk mempelajari selengkapnya tentang cara membuat aturan penekanan, lihat Aturan penindasan di GuardDuty.

catatan

Jika GuardDuty mengamati aktivitas lanjutan dari sumber eksternal, model pembelajaran mesinnya akan mengidentifikasi ini sebagai perilaku yang diharapkan dan berhenti menghasilkan temuan ini untuk aktivitas dari sumber itu. GuardDuty akan terus menghasilkan temuan untuk perilaku baru dari sumber lain, dan akan mengevaluasi kembali sumber yang dipelajari saat perilaku berubah seiring waktu.

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

UnauthorizedAccess:IAMUser/MaliciousIPCaller

An API dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

An API dipanggil dari alamat IP pada daftar ancaman khusus.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API operasi (misalnya, upaya untuk meluncurkan EC2 instance, membuat IAM pengguna baru, atau memodifikasi AWS hak istimewa) dipanggil dari alamat IP yang disertakan pada daftar ancaman yang Anda unggah. Di , daftar ancaman terdiri dari alamat IP berbahaya yang diketahui. Ini dapat menunjukkan akses tidak sah ke AWS sumber daya dalam lingkungan Anda.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

UnauthorizedAccess:IAMUser/TorIPCaller

An API dipanggil dari alamat IP node keluar Tor.

Tingkat keparahan default: Sedang

Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa API operasi (misalnya, upaya untuk meluncurkan EC2 instance, membuat IAM pengguna baru, atau memodifikasi AWS hak istimewa Anda) dipanggil dari alamat IP node keluar Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Temuan ini mungkin mengindikasikan akses yang tidak sah ke sumber daya AWS Anda yang bertujuan untuk menyembunyikan identitas penyerang yang sebenarnya.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

EC2menemukan jenis

Jenis pencarian urutan serangan