Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tipe temuan yang sudah dihentikan

Temuan adalah pemberitahuan yang berisi rincian tentang potensi masalah keamanan yang GuardDuty ditemukan. Untuk informasi tentang perubahan penting pada jenis GuardDuty temuan, termasuk jenis temuan yang baru ditambahkan atau yang sudah pensiun, lihatRiwayat dokumen untuk Amazon GuardDuty.

Jenis temuan berikut sudah pensiun dan tidak lagi dihasilkan oleh GuardDuty.

Exfiltration:S3/ObjectRead.Unusual

IAMEntitas memanggil S3 dengan cara API yang mencurigakan.

Tingkat keparahan default: Medium*

Temuan ini memberi tahu Anda bahwa IAM entitas di AWS lingkungan Anda melakukan API panggilan yang melibatkan bucket S3 dan yang berbeda dari baseline yang ditetapkan entitas tersebut. APIPanggilan yang digunakan dalam kegiatan ini dikaitkan dengan tahap eksfiltrasi serangan, di mana dan penyerang berusaha mengumpulkan data. Aktivitas ini mencurigakan karena cara IAM entitas memanggilnya tidak biasaAPI. Misalnya, IAM entitas ini tidak memiliki riwayat sebelumnya untuk memanggil jenis iniAPI, atau API dipanggil dari lokasi yang tidak biasa.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Impact:S3/PermissionsModification.Unusual

IAMEntitas meminta izin API untuk memodifikasi pada satu atau beberapa sumber daya S3.

Tingkat keparahan default: Medium*

Temuan ini memberi tahu Anda bahwa IAM entitas melakukan API panggilan yang dirancang untuk mengubah izin pada satu atau beberapa bucket atau objek di lingkungan Anda. AWS Tindakan ini dapat dilakukan oleh penyerang untuk memungkinkan informasi dibagikan di luar akun. Aktivitas ini mencurigakan karena cara IAM entitas memanggilnya tidak biasaAPI. Misalnya, IAM entitas ini tidak memiliki riwayat sebelumnya untuk memanggil jenis iniAPI, atau API dipanggil dari lokasi yang tidak biasa.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Impact:S3/ObjectDelete.Unusual

IAMEntitas memanggil yang API digunakan untuk menghapus data dalam bucket S3.

Tingkat keparahan default: Medium*

Temuan ini memberi tahu Anda bahwa IAM entitas tertentu di AWS lingkungan Anda melakukan API panggilan yang dirancang untuk menghapus data di bucket S3 yang terdaftar dengan menghapus bucket itu sendiri. Aktivitas ini mencurigakan karena cara IAM entitas memanggilnya tidak biasaAPI. Misalnya, IAM entitas ini tidak memiliki riwayat sebelumnya untuk memanggil jenis iniAPI, atau API dipanggil dari lokasi yang tidak biasa.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Discovery:S3/BucketEnumeration.Unusual

IAMEntitas memanggil S3 yang API digunakan untuk menemukan bucket S3 dalam jaringan Anda.

Tingkat keparahan default: Medium*

Temuan ini memberi tahu Anda bahwa IAM entitas telah memanggil S3 API untuk menemukan bucket S3 di lingkungan Anda, seperti. ListBuckets Jenis aktivitas ini dikaitkan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah AWS lingkungan Anda rentan terhadap serangan yang lebih luas. Aktivitas ini mencurigakan karena cara IAM entitas memanggilnya tidak biasaAPI. Misalnya, IAM entitas ini tidak memiliki riwayat sebelumnya untuk memanggil jenis iniAPI, atau API dipanggil dari lokasi yang tidak biasa.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Persistence:IAMUser/NetworkPermissions

IAMEntitas memanggil yang API umum digunakan untuk mengubah izin akses jaringan untuk grup keamanan, rute, dan ACLs di akun Anda AWS .

Tingkat keparahan default: Medium*

Temuan ini menunjukkan bahwa prinsipal tertentu (Pengguna root akun AWS, IAM peran, atau pengguna) di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Kepala sekolah ini tidak memiliki riwayat sebelumnya untuk menerapkan iniAPI.

Temuan ini dipicu ketika pengaturan konfigurasi jaringan diubah dalam keadaan yang mencurigakan, seperti ketika prinsipal memanggil CreateSecurityGroup API tanpa riwayat sebelumnya untuk melakukannya. Penyerang sering mencoba mengubah kelompok keamanan untuk memungkinkan lalu lintas masuk tertentu di berbagai port untuk meningkatkan kemampuan mereka mengakses sebuah EC2 instance.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Persistence:IAMUser/ResourcePermissions

Seorang kepala sekolah meminta yang API umum digunakan untuk mengubah kebijakan akses keamanan dari berbagai sumber daya di Anda Akun AWS.

Tingkat keparahan default: Medium*

Temuan ini menunjukkan bahwa prinsipal tertentu (Pengguna root akun AWS, IAM peran, atau pengguna) di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Kepala sekolah ini tidak memiliki riwayat sebelumnya untuk menerapkan iniAPI.

Temuan ini dipicu ketika perubahan terdeteksi pada kebijakan atau izin yang dilampirkan ke AWS sumber daya, seperti ketika prinsipal di AWS lingkungan Anda memanggil PutBucketPolicy API tanpa riwayat sebelumnya untuk melakukannya. Beberapa layanan, seperti Amazon S3, mendukung izin yang melekat pada sumber daya yang memberikan satu akses utama atau lebih ke sumber daya. Dengan kredensial curian, penyerang dapat mengubah kebijakan yang melekat pada sumber daya untuk memperoleh akses ke sumber daya tersebut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Persistence:IAMUser/UserPermissions

Prinsipal memanggil yang API umum digunakan untuk menambah, memodifikasi, atau menghapus IAM pengguna, grup, atau kebijakan di AWS akun Anda.

Tingkat keparahan default: Medium*

Temuan ini menunjukkan bahwa prinsipal tertentu (Pengguna root akun AWS, IAM peran, atau pengguna) di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Kepala sekolah ini tidak memiliki riwayat sebelumnya untuk menerapkan iniAPI.

Temuan ini dipicu oleh perubahan mencurigakan pada izin terkait pengguna di AWS lingkungan Anda, seperti ketika kepala sekolah di AWS lingkungan Anda memanggil tanpa riwayat sebelumnya untuk AttachUserPolicy API melakukannya. Penyerang dapat menggunakan kredensial curian untuk membuat pengguna baru, menambahkan kebijakan akses ke pengguna yang ada, atau membuat kunci akses untuk memaksimalkan akses mereka ke akun, bahkan jika titik akses asli mereka ditutup. Misalnya, pemilik akun mungkin memperhatikan bahwa IAM pengguna atau kata sandi tertentu dicuri dan menghapusnya dari akun. Namun, mereka mungkin tidak menghapus pengguna lain yang dibuat oleh kepala admin yang dibuat secara curang, sehingga AWS akun mereka dapat diakses oleh penyerang.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

PrivilegeEscalation:IAMUser/AdministrativePermissions

Prinsipal telah berusaha untuk menetapkan kebijakan yang sangat permisif untuk diri mereka sendiri.

Tingkat keparahan default: Rendah*

Temuan ini menunjukkan bahwa IAM entitas tertentu di AWS lingkungan Anda menunjukkan perilaku yang dapat menjadi indikasi serangan eskalasi hak istimewa. Temuan ini dipicu ketika IAM pengguna atau peran mencoba untuk menetapkan kebijakan yang sangat permisif untuk diri mereka sendiri. Jika pengguna atau peran yang dimaksud tidak dimaksudkan untuk memiliki hak administratif, kredensial pengguna dapat disusupi atau izin peran mungkin tidak dikonfigurasi dengan benar.

Penyerang akan menggunakan kredensial curian untuk membuat pengguna baru, menambahkan kebijakan akses ke pengguna yang ada, atau membuat kunci akses untuk memaksimalkan akses mereka ke akun bahkan jika titik akses asli mereka ditutup. Misalnya, pemilik akun mungkin memperhatikan bahwa kredensi masuk IAM pengguna tertentu dicuri dan dihapus dari akun, tetapi mungkin tidak menghapus pengguna lain yang dibuat oleh kepala admin yang dibuat secara curang, sehingga AWS akun mereka masih dapat diakses oleh penyerang.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Recon:IAMUser/NetworkPermissions

Prinsipal memanggil yang API umum digunakan untuk mengubah izin akses jaringan untuk grup keamanan, rute, dan ACLs di akun Anda AWS .

Tingkat keparahan default: Medium*

Temuan ini menunjukkan bahwa prinsipal tertentu (Pengguna root akun AWS, IAM peran, atau pengguna) di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Kepala sekolah ini tidak memiliki riwayat sebelumnya untuk menerapkan iniAPI.

Temuan ini dipicu ketika izin akses sumber daya di akun AWS Anda diperiksa dalam keadaan yang mencurigakan. Misalnya, jika seorang kepala sekolah memanggil DescribeInstances API tanpa riwayat sebelumnya untuk melakukannya. Seorang penyerang mungkin menggunakan kredensil curian untuk melakukan jenis pengintaian AWS sumber daya Anda untuk menemukan kredensil yang lebih berharga atau menentukan kemampuan kredensil yang sudah mereka miliki.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Recon:IAMUser/ResourcePermissions

Seorang prinsipal meminta yang API umum digunakan untuk mengubah kebijakan akses keamanan berbagai sumber daya di AWS akun Anda.

Tingkat keparahan default: Medium*

Temuan ini menunjukkan bahwa prinsipal tertentu (Pengguna root akun AWS, IAM peran, atau pengguna) di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Kepala sekolah ini tidak memiliki riwayat sebelumnya untuk menerapkan iniAPI.

Temuan ini dipicu ketika izin akses sumber daya di akun AWS Anda diperiksa dalam keadaan yang mencurigakan. Misalnya, jika seorang kepala sekolah memanggil DescribeInstances API tanpa riwayat sebelumnya untuk melakukannya. Seorang penyerang mungkin menggunakan kredensil curian untuk melakukan jenis pengintaian AWS sumber daya Anda untuk menemukan kredensil yang lebih berharga atau menentukan kemampuan kredensil yang sudah mereka miliki.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Recon:IAMUser/UserPermissions

Prinsipal memanggil yang API umum digunakan untuk menambah, memodifikasi, atau menghapus IAM pengguna, grup, atau kebijakan di AWS akun Anda.

Tingkat keparahan default: Medium*

Temuan ini dipicu ketika izin pengguna di AWS lingkungan Anda diselidiki dalam keadaan yang mencurigakan. Misalnya, jika prinsipal (Pengguna root akun AWS, IAM peran, atau IAM pengguna) memanggil ListInstanceProfilesForRole API tanpa riwayat sebelumnya untuk melakukannya. Seorang penyerang mungkin menggunakan kredensil curian untuk melakukan jenis pengintaian AWS sumber daya Anda untuk menemukan kredensil yang lebih berharga atau menentukan kemampuan kredensil yang sudah mereka miliki.

Temuan ini menunjukkan bahwa prinsip tertentu di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Kepala sekolah ini tidak memiliki sejarah sebelumnya untuk menerapkan ini dengan API cara ini.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

ResourceConsumption:IAMUser/ComputeResources

Seorang prinsipal memanggil yang API umum digunakan untuk meluncurkan sumber daya Compute seperti EC2 Instances.

Tingkat keparahan default: Medium*

Temuan ini dipicu ketika EC2 instance di akun yang terdaftar di AWS lingkungan Anda diluncurkan dalam keadaan yang mencurigakan. Temuan ini menunjukkan bahwa prinsip tertentu di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan; misalnya, jika kepala sekolah (, IAM peran Pengguna root akun AWS, atau IAM pengguna) memanggil tanpa riwayat sebelumnya untuk RunInstances API melakukannya. Ini mungkin merupakan indikasi penyerang menggunakan kredensial curian untuk mencuri waktu komputasi (mungkin untuk penambangan mata uang kripto atau peretasan kata sandi). Ini juga bisa menjadi indikasi penyerang menggunakan EC2 instance di AWS lingkungan Anda dan kredensialnya untuk mempertahankan akses ke akun Anda.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Stealth:IAMUser/LoggingConfigurationModified

Prinsipal memanggil yang API biasa digunakan untuk menghentikan CloudTrail Logging, menghapus log yang ada, dan menghilangkan jejak aktivitas di AWS akun Anda.

Tingkat keparahan default: Medium*

Temuan ini dipicu ketika konfigurasi pencatatan log di akun AWS yang terdaftar dalam lingkungan Anda diubah dalam keadaan yang mencurigakan. Temuan ini memberi tahu Anda bahwa prinsip tertentu di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan; misalnya, jika kepala sekolah (, IAM peran Pengguna root akun AWS, atau IAM pengguna) memanggil tanpa riwayat sebelumnya untuk melakukannya StopLoggingAPI. Ini bisa menjadi indikasi penyerang yang mencoba menutupi jejak mereka dengan menghilangkan jejak aktivitas mereka.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensi Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

UnauthorizedAccess:IAMUser/ConsoleLogin

Login konsol yang tidak biasa oleh kepala sekolah di AWS akun Anda diamati.

Tingkat keparahan default: Medium*

Temuan ini dipicu ketika login konsol terdeteksi dalam keadaan yang mencurigakan. Misalnya, jika kepala sekolah tanpa riwayat sebelumnya melakukannya, memanggil ConsoleLogin API dari never-before-used klien atau lokasi yang tidak biasa. Ini bisa menjadi indikasi kredensi curian yang digunakan untuk mendapatkan akses ke AWS akun Anda, atau pengguna yang valid mengakses akun dengan cara yang tidak valid atau kurang aman (misalnya, tidak lebih dari yang disetujui). VPN

Temuan ini memberi tahu Anda bahwa prinsip tertentu di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Prinsipal ini tidak memiliki riwayat aktivitas login sebelumnya menggunakan aplikasi klien ini dari lokasi spesifik ini.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensil Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

UnauthorizedAccess:EC2/TorIPCaller

EC2Instance Anda menerima koneksi masuk dari node keluar Tor.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa sebuah EC2 instance di AWS lingkungan Anda menerima koneksi masuk dari node keluar Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Temuan ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.

Backdoor:EC2/XORDDOS

Sebuah EC2 contoh mencoba untuk berkomunikasi dengan alamat IP yang terkait dengan XOR DDoS malware.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa sebuah EC2 instance di AWS lingkungan Anda mencoba berkomunikasi dengan alamat IP yang terkait dengan XOR DDoS malware. EC2Contoh ini mungkin dikompromikan. XORDDoSadalah malware Trojan yang membajak sistem Linux. Untuk mendapatkan akses ke sistem, ia meluncurkan serangan brute force untuk menemukan kata sandi untuk layanan Secure Shell (SSH) di Linux. Setelah SSH kredensil diperoleh dan login berhasil, ia menggunakan hak pengguna root untuk menjalankan skrip yang mengunduh dan menginstal. XOR DDoS Malware ini kemudian digunakan sebagai bagian dari botnet untuk meluncurkan serangan penolakan layanan terdistribusi (DDoS) terhadap target lain.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.

Behavior:IAMUser/InstanceLaunchUnusual

Seorang pengguna meluncurkan EC2 instance dari tipe yang tidak biasa.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa pengguna tertentu di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari baseline yang ditetapkan. Pengguna ini tidak memiliki riwayat peluncuran EC2 instance jenis ini sebelumnya. Kredensi masuk Anda mungkin terganggu.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensil Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

CryptoCurrency:EC2/BitcoinTool.A

EC2misalnya berkomunikasi dengan kolam penambangan Bitcoin.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa sebuah EC2 contoh di AWS lingkungan Anda berkomunikasi dengan kumpulan penambangan Bitcoin. Di bidang penambangan mata uang kripto, kolam penambangan adalah kolam sumber daya penambang yang berbagi kekuatan pemrosesan mereka melalui jaringan untuk membagi hadiah sesuai dengan jumlah pekerjaan yang mereka kontribusikan untuk memecahkan blok. Kecuali Anda menggunakan EC2 contoh ini untuk penambangan Bitcoin, EC2 instans Anda mungkin dikompromikan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon yang berpotensi dikompromikan EC2.

UnauthorizedAccess:IAMUser/UnusualASNCaller

An API dipanggil dari alamat IP jaringan yang tidak biasa.

Tingkat keparahan default: Tinggi

Temuan ini menginformasikan bahwa aktivitas tertentu dipanggil dari alamat IP dari jaringan yang tidak biasa. Jaringan ini tidak pernah diamati di seluruh riwayat penggunaan AWS dari pengguna yang dimaksud. Aktivitas ini dapat mencakup login konsol, upaya untuk meluncurkan EC2 instance, membuat IAM pengguna baru, memodifikasi AWS hak istimewa Anda, dll. Ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensil Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.