Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
GuardDuty Jenis temuan Perlindungan S3
Temuan berikut khusus untuk sumber daya Amazon S3 dan akan memiliki Jenis Sumber Daya S3Bucket jika sumber data adalah peristiwa CloudTrail data untuk S3, atau AccessKey jika sumber data adalah CloudTrail peristiwa manajemen. Tingkat kepelikan dan detail temuan akan berbeda berdasarkan tipe temuan dan izin yang terkait dengan bucket.
Temuan yang tercantum di sini termasuk sumber data dan model yang digunakan untuk menghasilkan tipe temuan. Untuk informasi lebih lanjut sumber dan model data, lihatGuardDuty sumber data dasar.
penting
Temuan dengan sumber data peristiwa CloudTrail data untuk S3 hanya dihasilkan jika Anda telah mengaktifkan Perlindungan S3. Secara default, setelah 31 Juli 2020, Perlindungan S3 diaktifkan saat akun diaktifkan GuardDuty untuk pertama kalinya, atau ketika akun GuardDuty administrator yang didelegasikan diaktifkan GuardDuty di akun anggota yang ada. Namun, ketika anggota baru bergabung dengan GuardDuty organisasi, preferensi pengaktifan otomatis organisasi akan berlaku. Untuk informasi tentang preferensi aktifkan otomatis, lihatMenyetel preferensi aktifkan otomatis organisasi. Untuk informasi tentang cara mengaktifkan Perlindungan S3, lihat GuardDuty Perlindungan S3
Untuk semua S3Bucket jenis temuan, Anda disarankan untuk memeriksa izin pada bucket yang bersangkutan dan izin dari setiap pengguna yang terlibat dalam temuan, jika aktivitas tidak terduga, lihat rekomendasi remediasi yang dirinci di. Memulihkan bucket S3 yang berpotensi dikompromikan
Topik
- Discovery:S3/AnomalousBehavior
- Discovery:S3/MaliciousIPCaller
- Discovery:S3/MaliciousIPCaller.Custom
- Discovery:S3/TorIPCaller
- Exfiltration:S3/AnomalousBehavior
- Exfiltration:S3/MaliciousIPCaller
- Impact:S3/AnomalousBehavior.Delete
- Impact:S3/AnomalousBehavior.Permission
- Impact:S3/AnomalousBehavior.Write
- Impact:S3/MaliciousIPCaller
- PenTest:S3/KaliLinux
- PenTest:S3/ParrotLinux
- PenTest:S3/PentooLinux
- Policy:S3/AccountBlockPublicAccessDisabled
- Policy:S3/BucketAnonymousAccessGranted
- Policy:S3/BucketBlockPublicAccessDisabled
- Policy:S3/BucketPublicAccessGranted
- Stealth:S3/ServerAccessLoggingDisabled
- UnauthorizedAccess:S3/MaliciousIPCaller.Custom
- UnauthorizedAccess:S3/TorIPCaller
Discovery:S3/AnomalousBehavior
APIYang umum digunakan untuk menemukan objek S3 dipanggil dengan cara yang anomali.
Tingkat keparahan default: Rendah
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa IAM entitas telah memanggil S3 API untuk menemukan bucket S3 di lingkungan Anda, seperti. ListObjects Jenis aktivitas ini dikaitkan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah AWS lingkungan Anda rentan terhadap serangan yang lebih luas. Aktivitas ini mencurigakan karena IAM entitas memanggil dengan API cara yang tidak biasa. Misalnya, IAM entitas tanpa riwayat sebelumnya memanggil S3API, atau IAM entitas memanggil S3 API dari lokasi yang tidak biasa.
Ini API diidentifikasi sebagai anomali dengan GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua API permintaan di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Ini melacak berbagai faktor API permintaan, seperti pengguna yang membuat permintaan, lokasi dari mana permintaan dibuat, spesifik API yang diminta, ember yang diminta, dan jumlah API panggilan yang dilakukan. Untuk informasi selengkapnya tentang faktor API permintaan yang tidak biasa untuk identitas pengguna yang memanggil permintaan, lihat Menemukan detail.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Discovery:S3/MaliciousIPCaller
S3 yang API biasa digunakan untuk menemukan sumber daya di AWS lingkungan dipanggil dari alamat IP berbahaya yang diketahui.
Tingkat keparahan default: Tinggi
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa API operasi S3 dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. Yang API diamati umumnya dikaitkan dengan tahap penemuan serangan ketika musuh mengumpulkan informasi tentang AWS lingkungan Anda. Contohnya termasuk GetObjectAcl dan ListObjects.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Discovery:S3/MaliciousIPCaller.Custom
S3 API dipanggil dari alamat IP pada daftar ancaman khusus.
Tingkat keparahan default: Tinggi
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa S3API, seperti GetObjectAcl atauListObjects, dipanggil dari alamat IP yang disertakan dalam daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi tambahan dari detail temuan ini. Tipe aktivitas ini terkait dengan tahap penemuan serangan ketika penyerang mengumpulkan informasi untuk menentukan apakah lingkungan AWS
Anda rentan terhadap serangan yang lebih luas.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Discovery:S3/TorIPCaller
Sebuah S3 API dipanggil dari alamat IP node keluar Tor.
Tingkat keparahan default: Sedang
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa S3API, seperti GetObjectAcl atauListObjects, dipanggil dari alamat IP node keluar Tor. Jenis aktivitas ini dikaitkan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah AWS lingkungan Anda rentan terhadap serangan yang lebih luas. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Exfiltration:S3/AnomalousBehavior
IAMEntitas memanggil S3 dengan cara API yang mencurigakan.
Tingkat keparahan default: Tinggi
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa IAM entitas melakukan API panggilan yang melibatkan bucket S3 dan aktivitas ini berbeda dari baseline yang ditetapkan entitas tersebut. APIPanggilan yang digunakan dalam aktivitas ini dikaitkan dengan tahap eksfiltrasi serangan, di mana penyerang mencoba mengumpulkan data. Aktivitas ini mencurigakan karena IAM entitas memanggil dengan API cara yang tidak biasa. Misalnya, IAM entitas tanpa riwayat sebelumnya memanggil S3API, atau IAM entitas memanggil S3 API dari lokasi yang tidak biasa.
Ini API diidentifikasi sebagai anomali dengan GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua API permintaan di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Ini melacak berbagai faktor API permintaan, seperti pengguna yang membuat permintaan, lokasi dari mana permintaan dibuat, spesifik API yang diminta, ember yang diminta, dan jumlah API panggilan yang dilakukan. Untuk informasi selengkapnya tentang faktor API permintaan yang tidak biasa untuk identitas pengguna yang memanggil permintaan, lihat Menemukan detail.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Exfiltration:S3/MaliciousIPCaller
S3 yang API biasa digunakan untuk mengumpulkan data dari AWS lingkungan dipanggil dari alamat IP berbahaya yang diketahui.
Tingkat keparahan default: Tinggi
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa API operasi S3 dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. Yang diamati umumnya API dikaitkan dengan taktik eksfiltrasi di mana musuh mencoba mengumpulkan data dari jaringan Anda. Contohnya termasuk GetObject dan CopyObject.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Impact:S3/AnomalousBehavior.Delete
IAMEntitas memanggil S3 API yang mencoba menghapus data dengan cara yang mencurigakan.
Tingkat keparahan default: Tinggi
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa IAM entitas di AWS lingkungan Anda melakukan API panggilan yang melibatkan bucket S3, dan perilaku ini berbeda dari baseline yang ditetapkan entitas tersebut. APIPanggilan yang digunakan dalam aktivitas ini dikaitkan dengan serangan yang mencoba menghapus data. Aktivitas ini mencurigakan karena IAM entitas memanggil dengan API cara yang tidak biasa. Misalnya, IAM entitas tanpa riwayat sebelumnya memanggil S3API, atau IAM entitas memanggil S3 API dari lokasi yang tidak biasa.
Ini API diidentifikasi sebagai anomali dengan GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua API permintaan di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Ini melacak berbagai faktor API permintaan, seperti pengguna yang membuat permintaan, lokasi dari mana permintaan dibuat, spesifik API yang diminta, ember yang diminta, dan jumlah API panggilan yang dilakukan. Untuk informasi selengkapnya tentang faktor API permintaan yang tidak biasa untuk identitas pengguna yang memanggil permintaan, lihat Menemukan detail.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Kami merekomendasikan audit konten bucket S3 Anda untuk menentukan apakah versi objek sebelumnya dapat atau harus dipulihkan.
Impact:S3/AnomalousBehavior.Permission
Izin yang API umum digunakan untuk mengatur akses control list (ACL) izin dipanggil dengan cara yang anomali.
Tingkat keparahan default: Tinggi
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa IAM entitas di AWS lingkungan Anda telah mengubah kebijakan bucket atau ACL pada bucket S3 yang terdaftar. Perubahan ini dapat mengekspos bucket S3 Anda secara publik ke semua pengguna yang diautentikasi. AWS
Ini API diidentifikasi sebagai anomali dengan GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua API permintaan di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Ini melacak berbagai faktor API permintaan, seperti pengguna yang membuat permintaan, lokasi dari mana permintaan dibuat, spesifik API yang diminta, ember yang diminta, dan jumlah API panggilan yang dilakukan. Untuk informasi selengkapnya tentang faktor API permintaan yang tidak biasa untuk identitas pengguna yang memanggil permintaan, lihat Menemukan detail.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Kami merekomendasikan audit konten bucket S3 Anda untuk memastikan bahwa tidak ada objek yang secara tidak terduga diizinkan untuk diakses secara publik.
Impact:S3/AnomalousBehavior.Write
IAMEntitas memanggil S3 API yang mencoba menulis data dengan cara yang mencurigakan.
Tingkat keparahan default: Sedang
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa IAM entitas di AWS lingkungan Anda melakukan API panggilan yang melibatkan bucket S3, dan perilaku ini berbeda dari baseline yang ditetapkan entitas tersebut. APIPanggilan yang digunakan dalam aktivitas ini dikaitkan dengan serangan yang mencoba menulis data. Aktivitas ini mencurigakan karena IAM entitas memanggil dengan API cara yang tidak biasa. Misalnya, IAM entitas tanpa riwayat sebelumnya memanggil S3API, atau IAM entitas memanggil S3 API dari lokasi yang tidak biasa.
Ini API diidentifikasi sebagai anomali dengan GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua API permintaan di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh musuh. Ini melacak berbagai faktor API permintaan, seperti pengguna yang membuat permintaan, lokasi dari mana permintaan dibuat, spesifik API yang diminta, ember yang diminta, dan jumlah API panggilan yang dilakukan. Untuk informasi selengkapnya tentang faktor API permintaan yang tidak biasa untuk identitas pengguna yang memanggil permintaan, lihat Menemukan detail.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Kami merekomendasikan audit konten bucket S3 Anda untuk memastikan bahwa API panggilan ini tidak menulis data berbahaya atau tidak sah.
Impact:S3/MaliciousIPCaller
S3 yang API biasa digunakan untuk mengutak-atik data atau proses di AWS lingkungan dipanggil dari alamat IP berbahaya yang diketahui.
Tingkat keparahan default: Tinggi
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa API operasi S3 dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. Yang diamati umumnya API dikaitkan dengan taktik dampak di mana musuh mencoba memanipulasi, menyela, atau menghancurkan data dalam lingkungan Anda. AWS Contohnya termasuk PutObject dan PutObjectAcl.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
PenTest:S3/KaliLinux
Sebuah S3 API dipanggil dari mesin Kali Linux.
Tingkat keparahan default: Sedang
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Kali Linux melakukan API panggilan S3 menggunakan kredensil milik akun Anda. AWS Kredensial Anda mungkin disusupi. Kali Linux adalah alat pengujian penetrasi populer yang digunakan oleh para profesional keamanan untuk mengidentifikasi kelemahan dalam EC2 kasus yang memerlukan penambalan. Penyerang juga menggunakan alat ini untuk menemukan kelemahan EC2 konfigurasi dan mendapatkan akses tidak sah ke lingkungan Anda. AWS
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
PenTest:S3/ParrotLinux
Sebuah S3 API dipanggil dari mesin Parrot Security Linux.
Tingkat keparahan default: Sedang
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Parrot Security Linux melakukan API panggilan S3 menggunakan kredensil milik akun Anda. AWS Kredensial Anda mungkin disusupi. Parrot Security Linux adalah alat pengujian penetrasi populer yang digunakan para profesional keamanan untuk mengidentifikasi kelemahan dalam EC2 kasus yang memerlukan penambalan. Penyerang juga menggunakan alat ini untuk menemukan kelemahan EC2 konfigurasi dan mendapatkan akses tidak sah ke lingkungan Anda. AWS
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
PenTest:S3/PentooLinux
Sebuah S3 API dipanggil dari mesin Pentoo Linux.
Tingkat keparahan default: Sedang
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Pentoo Linux melakukan API panggilan S3 menggunakan kredensil milik akun Anda. AWS Kredensial Anda mungkin disusupi. Pentoo Linux adalah alat pengujian penetrasi populer yang digunakan oleh para profesional keamanan untuk mengidentifikasi kelemahan dalam EC2 kasus yang memerlukan penambalan. Penyerang juga menggunakan alat ini untuk menemukan kelemahan EC2 konfigurasi dan mendapatkan akses tidak sah ke lingkungan Anda. AWS
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Policy:S3/AccountBlockPublicAccessDisabled
IAMEntitas memanggil yang API digunakan untuk menonaktifkan S3 Block Public Access pada akun.
Tingkat keparahan default: Rendah
-
Sumber data: acara CloudTrail manajemen
Temuan ini menginformasikan bahwa Blokir Akses Publik Amazon S3 dinonaktifkan pada tingkat akun. Ketika pengaturan Akses Publik Blok S3 diaktifkan, pengaturan tersebut digunakan untuk memfilter kebijakan atau daftar kontrol akses (ACLs) pada bucket sebagai langkah keamanan untuk mencegah paparan data publik yang tidak disengaja.
Biasanya, Blokir Akses Umum S3 dinonaktifkan pada akun untuk memungkinkan akses publik ke bucket atau ke objek dalam bucket. Saat S3 Block Public Access dinonaktifkan untuk sebuah akun, akses ke bucket Anda dikontrol oleh kebijakanACLs, atau setelan Blokir Akses Publik tingkat ember yang diterapkan ke bucket individual Anda. Ini tidak berarti bahwa bucket dibagikan secara publik, tetapi bahwa Anda harus mengaudit izin yang diterapkan ke bucket untuk mengonfirmasi bahwa mereka menyediakan tingkat akses yang sesuai.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Policy:S3/BucketAnonymousAccessGranted
IAMPrinsipal telah memberikan akses ke bucket S3 ke internet dengan mengubah kebijakan bucket atauACLs.
Tingkat keparahan default: Tinggi
-
Sumber data: acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa bucket S3 yang terdaftar telah dibuat dapat diakses publik di internet karena IAM entitas telah mengubah kebijakan bucket atau ACL pada bucket itu. Setelah kebijakan atau ACL perubahan terdeteksi, gunakan penalaran otomatis yang didukung oleh Zelkova
catatan
Jika kebijakan bucket ACLs atau bucket dikonfigurasi untuk secara eksplisit menolak atau menolak semuanya, temuan ini mungkin tidak mencerminkan status bucket saat ini. Temuan ini tidak akan mencerminkan pengaturan Akses Publik Blok S3 yang mungkin telah diaktifkan untuk bucket S3 Anda. Dalam kasus seperti itu, effectivePermission nilai dalam temuan akan ditandai sebagaiUNKNOWN.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Policy:S3/BucketBlockPublicAccessDisabled
IAMEntitas memanggil sebuah API used untuk menonaktifkan S3 Block Public Access pada bucket.
Tingkat keparahan default: Rendah
-
Sumber data: acara CloudTrail manajemen
Temuan ini menginformasikan bahwa Blokir Akses Publik dinonaktifkan untuk bucket S3 yan terdaftar. Saat diaktifkan, setelan Akses Publik Blok S3 digunakan untuk memfilter kebijakan atau daftar kontrol akses (ACLs) yang diterapkan ke bucket sebagai langkah keamanan untuk mencegah paparan data publik yang tidak disengaja.
Biasanya, Blokir Akses Publik S3 dinonaktifkan pada bucket untuk memungkinkan akses publik ke bucket atau ke objek di dalamnya. Jika S3 Block Public Access dinonaktifkan untuk bucket, akses ke bucket dikontrol oleh kebijakan atau ACLs diterapkan padanya. Ini tidak berarti bahwa bucket dibagikan secara publik, tetapi Anda harus mengaudit kebijakan dan ACLs diterapkan ke bucket untuk mengonfirmasi bahwa izin yang sesuai diterapkan.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Policy:S3/BucketPublicAccessGranted
IAMPrinsipal telah memberikan akses publik ke bucket S3 kepada semua AWS pengguna dengan mengubah kebijakan bucket atauACLs.
Tingkat keparahan default: Tinggi
-
Sumber data: acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa bucket S3 yang terdaftar telah diekspos secara publik ke semua AWS pengguna yang diautentikasi karena IAM entitas telah mengubah kebijakan bucket atau ACL pada bucket S3 tersebut. Setelah kebijakan atau ACL perubahan terdeteksi, gunakan penalaran otomatis yang didukung oleh Zelkova
catatan
Jika kebijakan bucket ACLs atau bucket dikonfigurasi untuk secara eksplisit menolak atau menolak semuanya, temuan ini mungkin tidak mencerminkan status bucket saat ini. Temuan ini tidak akan mencerminkan pengaturan Akses Publik Blok S3 yang mungkin telah diaktifkan untuk bucket S3 Anda. Dalam kasus seperti itu, effectivePermission nilai dalam temuan akan ditandai sebagaiUNKNOWN.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
Stealth:S3/ServerAccessLoggingDisabled
Pencatatan log akses server S3 dinonaktifkan untuk bucket.
Tingkat keparahan default: Rendah
-
Sumber data: acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa pencatatan akses server S3 dinonaktifkan untuk ember di lingkungan Anda AWS . Jika dinonaktifkan, tidak ada log permintaan web yang dibuat untuk setiap upaya mengakses bucket S3 yang diidentifikasi, namun, API panggilan manajemen S3 ke bucket, seperti DeleteBucket, masih dilacak. Jika pencatatan peristiwa data S3 diaktifkan CloudTrail untuk bucket ini, permintaan web untuk objek di dalam bucket akan tetap dilacak. Menonaktifkan pencatatan log adalah teknik yang digunakan oleh pengguna yang tidak sah untuk menghindari deteksi. Untuk mempelajari selengkapnya tentang log S3, lihat Pencatatan Log Akses Server S3 dan Opsi Pencatatan Log S3.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
UnauthorizedAccess:S3/MaliciousIPCaller.Custom
S3 API dipanggil dari alamat IP pada daftar ancaman khusus.
Tingkat keparahan default: Tinggi
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa API operasi S3, misalnya, PutObject atauPutObjectAcl, dipanggil dari alamat IP yang disertakan dalam daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi tambahan dari detail temuan ini.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
UnauthorizedAccess:S3/TorIPCaller
Sebuah S3 API dipanggil dari alamat IP node keluar Tor.
Tingkat keparahan default: Tinggi
-
Sumber data: peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa API operasi S3, seperti PutObject atauPutObjectAcl, dipanggil dari alamat IP node keluar Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Temuan ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.
