Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty Jenis temuan S3

Temuan berikut khusus untuk sumber daya Amazon S3 dan akan memiliki Jenis Sumber Daya S3Bucket jika sumber data adalah peristiwa CloudTrail data untuk S3, atau AccessKey jika sumber data adalah CloudTrail peristiwa manajemen. Tingkat kepelikan dan detail temuan akan berbeda berdasarkan tipe temuan dan izin yang terkait dengan bucket.

Temuan yang tercantum di sini termasuk sumber data dan model yang digunakan untuk menghasilkan tipe temuan. Untuk informasi lebih lanjut sumber dan model data, lihatGuardDuty sumber data dasar.

Untuk semua S3Bucket jenis temuan, Anda disarankan untuk memeriksa izin pada bucket yang bersangkutan dan izin dari setiap pengguna yang terlibat dalam temuan, jika aktivitas tidak terduga, lihat rekomendasi remediasi yang dirinci di. Memulihkan bucket S3 yang berpotensi dikompromikan

Discovery:S3/AnomalousBehavior

API yang biasa digunakan untuk menemukan objek S3 dipanggil dengan cara yang anomali.

Tingkat keparahan default: Rendah

Temuan ini menginformasikan bahwa entitas IAM telah memanggil API S3 untuk menemukan bucket S3 dalam lingkungan Anda, seperti ListObjects. Jenis aktivitas ini dikaitkan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah AWS lingkungan Anda rentan terhadap serangan yang lebih luas. Aktivitas ini mencurigakan karena entitas IAM memanggil API dengan cara yang tidak biasa. Misalnya, entitas IAM tanpa riwayat sebelumnya memanggil API S3, atau entitas IAM memanggil API S3 dari lokasi yang tidak biasa.

API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi kejadian anomali yang terkait dengan teknik yang digunakan oleh musuh. Ini melacak berbagai faktor permintaan API, seperti pengguna yang membuat permintaan, lokasi dari mana permintaan dibuat, API spesifik yang diminta, bucket yang diminta, dan jumlah panggilan API yang dibuat. Untuk informasi selengkapnya tentang faktor permintaan API yang tidak biasa untuk identitas pengguna yang memanggil permintaan, lihat Menemukan detail.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensyal telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Discovery:S3/MaliciousIPCaller

API S3 yang biasa digunakan untuk menemukan sumber daya di AWS lingkungan dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Tinggi

Temuan ini menginformasikan bahwa operasi API S3 dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. API yang diamati umumnya dikaitkan dengan tahap penemuan serangan ketika musuh mengumpulkan informasi tentang AWS lingkungan Anda. Contohnya termasuk GetObjectAcl dan ListObjects.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensyal telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Discovery:S3/MaliciousIPCaller.Custom

API S3 dipanggil dari alamat IP yang termasuk dalam daftar ancaman kustom.

Tingkat keparahan default: Tinggi

Temuan ini menginformasikan bahwa API S3, seperti GetObjectAcl atau ListObjects, dipanggil dari alamat IP yang termasuk dalam daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi tambahan dari detail temuan ini. Tipe aktivitas ini terkait dengan tahap penemuan serangan ketika penyerang mengumpulkan informasi untuk menentukan apakah lingkungan AWS Anda rentan terhadap serangan yang lebih luas.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensyal telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Discovery:S3/TorIPCaller

API S3 dipanggil dari alamat IP node keluar Tor.

Tingkat keparahan default: Sedang

Temuan ini menginformasikan bahwa API S3, seperti GetObjectAcl atau ListObjects, dipanggil dari alamat IP node keluar Tor. Jenis aktivitas ini dikaitkan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah AWS lingkungan Anda rentan terhadap serangan yang lebih luas. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Exfiltration:S3/AnomalousBehavior

Entitas IAM memanggil API S3 dengan cara yang mencurigakan.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa entitas IAM melakukan panggilan API yang melibatkan bucket S3 dan aktivitas ini berbeda dari baseline yang ditetapkan entitas tersebut. Panggilan API yang digunakan dalam aktivitas ini dikaitkan dengan tahap eksfiltrasi serangan, di mana penyerang mencoba mengumpulkan data. Aktivitas ini mencurigakan karena entitas IAM memanggil API dengan cara yang tidak biasa. Misalnya, entitas IAM tanpa riwayat sebelumnya memanggil API S3, atau entitas IAM memanggil API S3 dari lokasi yang tidak biasa.

API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi kejadian anomali yang terkait dengan teknik yang digunakan oleh musuh. Ini melacak berbagai faktor permintaan API, seperti pengguna yang membuat permintaan, lokasi dari mana permintaan dibuat, API spesifik yang diminta, bucket yang diminta, dan jumlah panggilan API yang dibuat. Untuk informasi selengkapnya tentang faktor permintaan API yang tidak biasa untuk identitas pengguna yang memanggil permintaan, lihat Menemukan detail.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Exfiltration:S3/MaliciousIPCaller

API S3 yang biasa digunakan untuk mengumpulkan data dari AWS lingkungan dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Tinggi

Temuan ini menginformasikan bahwa operasi API S3 dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. API yang diamati umumnya berkaitan dengan taktik eksfiltrasi ketika musuh mencoba mengumpulkan data dari jaringan Anda. Contohnya termasuk GetObject dan CopyObject.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Impact:S3/AnomalousBehavior.Delete

Entitas IAM memanggil API S3 yang mencoba menghapus data dengan cara yang mencurigakan.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa entitas IAM di AWS lingkungan Anda melakukan panggilan API yang melibatkan bucket S3, dan perilaku ini berbeda dari baseline yang ditetapkan entitas tersebut. Panggilan API yang digunakan dalam aktivitas ini dikaitkan dengan serangan yang mencoba menghapus data. Aktivitas ini mencurigakan karena entitas IAM memanggil API dengan cara yang tidak biasa. Misalnya, entitas IAM tanpa riwayat sebelumnya memanggil API S3, atau entitas IAM memanggil API S3 dari lokasi yang tidak biasa.

API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi kejadian anomali yang terkait dengan teknik yang digunakan oleh musuh. Ini melacak berbagai faktor permintaan API, seperti pengguna yang membuat permintaan, lokasi dari mana permintaan dibuat, API spesifik yang diminta, bucket yang diminta, dan jumlah panggilan API yang dibuat. Untuk informasi selengkapnya tentang faktor permintaan API yang tidak biasa untuk identitas pengguna yang memanggil permintaan, lihat Menemukan detail.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Kami merekomendasikan audit konten bucket S3 Anda untuk menentukan apakah versi objek sebelumnya dapat atau harus dipulihkan.

Impact:S3/AnomalousBehavior.Permission

API yang biasa digunakan untuk mengatur izin daftar kontrol akses (ACL) dipanggil dengan cara yang tidak wajar.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa entitas IAM di AWS lingkungan Anda telah mengubah kebijakan bucket atau ACL pada bucket S3 yang terdaftar. Perubahan ini dapat mengekspos bucket S3 Anda secara publik ke semua pengguna yang diautentikasi. AWS

API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi kejadian anomali yang terkait dengan teknik yang digunakan oleh musuh. Ini melacak berbagai faktor permintaan API, seperti pengguna yang membuat permintaan, lokasi dari mana permintaan dibuat, API spesifik yang diminta, bucket yang diminta, dan jumlah panggilan API yang dibuat. Untuk informasi selengkapnya tentang faktor permintaan API yang tidak biasa untuk identitas pengguna yang memanggil permintaan, lihat Menemukan detail.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Kami merekomendasikan audit konten bucket S3 Anda untuk memastikan bahwa tidak ada objek yang secara tidak terduga diizinkan untuk diakses secara publik.

Impact:S3/AnomalousBehavior.Write

Entitas IAM memanggil API S3 yang mencoba menulis data dengan cara yang mencurigakan.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa entitas IAM di AWS lingkungan Anda melakukan panggilan API yang melibatkan bucket S3, dan perilaku ini berbeda dari baseline yang ditetapkan entitas tersebut. Panggilan API yang digunakan dalam aktivitas ini dikaitkan dengan serangan yang mencoba menulis data. Aktivitas ini mencurigakan karena entitas IAM memanggil API dengan cara yang tidak biasa. Misalnya, entitas IAM tanpa riwayat sebelumnya memanggil API S3, atau entitas IAM memanggil API S3 dari lokasi yang tidak biasa.

API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi kejadian anomali yang terkait dengan teknik yang digunakan oleh musuh. Ini melacak berbagai faktor permintaan API, seperti pengguna yang membuat permintaan, lokasi dari mana permintaan dibuat, API spesifik yang diminta, bucket yang diminta, dan jumlah panggilan API yang dibuat. Untuk informasi selengkapnya tentang faktor permintaan API yang tidak biasa untuk identitas pengguna yang memanggil permintaan, lihat Menemukan detail.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Kami merekomendasikan audit konten bucket S3 Anda untuk memastikan bahwa panggilan API ini tidak menulis data berbahaya atau tidak sah.

Impact:S3/MaliciousIPCaller

API S3 yang biasa digunakan untuk mengutak-atik data atau proses di AWS lingkungan dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Tinggi

Temuan ini menginformasikan bahwa operasi API S3 dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. API yang diamati umumnya dikaitkan dengan taktik dampak di mana musuh mencoba memanipulasi, menyela, atau menghancurkan data dalam lingkungan Anda. AWS Contohnya termasuk PutObject dan PutObjectAcl.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

PenTest:S3/KaliLinux

API S3 dipanggil dari mesin Kali Linux.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Kali Linux melakukan panggilan API S3 menggunakan kredensyal milik akun Anda. AWS Kredensial Anda mungkin disusupi. Kali Linux adalah alat uji penetrasi populer yang digunakan para profesional keamanan untuk mengidentifikasi kelemahan dalam instans EC2 yang memerlukan patching. Penyerang juga menggunakan alat ini untuk menemukan kelemahan konfigurasi EC2 dan mendapatkan akses tidak sah ke lingkungan Anda. AWS

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

PenTest:S3/ParrotLinux

API S3 dipanggil dari mesin Parrot Security Linux.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Parrot Security Linux melakukan panggilan API S3 menggunakan kredensyal milik akun Anda. AWS Kredensial Anda mungkin disusupi. Parrot Security Linux adalah alat uji penetrasi populer yang digunakan para profesional keamanan untuk mengidentifikasi kelemahan dalam instans EC2 yang memerlukan patching. Penyerang juga menggunakan alat ini untuk menemukan kelemahan konfigurasi EC2 dan memperoleh akses yang tidak sah ke lingkungan AWS Anda.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

PenTest:S3/PentooLinux

API S3 dipanggil dari mesin Pentoo Linux.

Tingkat keparahan default: Sedang

Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Pentoo Linux melakukan panggilan API S3 menggunakan kredensyal milik akun Anda. AWS Kredensial Anda mungkin disusupi. Pentoo Linux adalah alat uji penetrasi populer yang digunakan para profesional keamanan untuk mengidentifikasi kelemahan dalam instans EC2 yang memerlukan patching. Penyerang juga menggunakan alat ini untuk menemukan kelemahan konfigurasi EC2 dan mendapatkan akses tidak sah ke lingkungan Anda. AWS

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Policy:S3/AccountBlockPublicAccessDisabled

Entitas IAM memanggil API yang digunakan untuk menonaktifkan S3 Block Public Access pada akun.

Tingkat keparahan default: Rendah

Temuan ini menginformasikan bahwa Blokir Akses Publik Amazon S3 dinonaktifkan pada tingkat akun. Ketika pengaturan Blokir Akses Publik S3 diaktifkan, ini digunakan untuk memfilter kebijakan atau daftar kontrol akses (ACL) pada bucket sebagai tindakan keamanan untuk mencegah eksposur data publik yang tidak disengaja.

Biasanya, Blokir Akses Umum S3 dinonaktifkan pada akun untuk memungkinkan akses publik ke bucket atau ke objek dalam bucket. Ketika Blokir Akses Publik S3 dinonaktifkan pada akun, akses ke bucket Anda dikendalikan oleh kebijakan, ACL, atau pengaturan Blokir Akses Publik tingkat bucket diterapkan ke bucket individu Anda. Ini tidak berarti bahwa bucket dibagikan secara publik, tetapi bahwa Anda harus mengaudit izin yang diterapkan ke bucket untuk mengonfirmasi bahwa mereka menyediakan tingkat akses yang sesuai.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Policy:S3/BucketAnonymousAccessGranted

Prinsipal IAM telah memberikan akses ke bucket S3 ke internet dengan mengubah kebijakan bucket atau ACL.

Tingkat keparahan default: Tinggi

Temuan ini menginformasikan bahwa bucket S3 yang terdaftar telah dibuat agar dapat diakses secara publik di internet karena entitas IAM telah mengubah kebijakan bucket atau ACL pada bucket tersebut. Setelah perubahan kebijakan atau ACL terdeteksi, menggunakan penalaran otomatis yang didukung oleh Zelkova, untuk menentukan apakah bucket dapat diakses oleh publik.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Policy:S3/BucketBlockPublicAccessDisabled

Entitas IAM memanggil API yang digunakan untuk menonaktifkan S3 Block Public Access pada bucket.

Tingkat keparahan default: Rendah

Temuan ini menginformasikan bahwa Blokir Akses Publik dinonaktifkan untuk bucket S3 yan terdaftar. Jika diaktifkan, pengaturan Blokir Akses Publik S3 digunakan untuk memfilter kebijakan atau daftar kontrol akses (ACL) yang diterapkan ke bucket sebagai tindakan keamanan untuk mencegah eksposur data publik yang tidak disengaja.

Biasanya, Blokir Akses Publik S3 dinonaktifkan pada bucket untuk memungkinkan akses publik ke bucket atau ke objek di dalamnya. Ketika Blokir Akses Publik S3 dinonaktifkan pada bucket, akses ke bucket dikendalikan oleh kebijakan atau ACL yang diterapkan padanya. Ini tidak berarti bahwa bucket dibagikan secara publik, tetapi Anda harus mengaudit kebijakan dan ACL yang diterapkan ke bucket untuk mengonfirmasi bahwa izin yang sesuai diterapkan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Policy:S3/BucketPublicAccessGranted

Prinsipal IAM telah memberikan akses publik ke bucket S3 kepada semua AWS pengguna dengan mengubah kebijakan bucket atau ACL.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa bucket S3 yang terdaftar telah diekspos secara publik ke semua AWS pengguna yang diautentikasi karena entitas IAM telah mengubah kebijakan bucket atau ACL pada bucket S3 tersebut. Setelah perubahan kebijakan atau ACL terdeteksi, menggunakan penalaran otomatis yang didukung oleh Zelkova, untuk menentukan apakah bucket dapat diakses oleh publik.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Stealth:S3/ServerAccessLoggingDisabled

Pencatatan log akses server S3 dinonaktifkan untuk bucket.

Tingkat keparahan default: Rendah

Temuan ini memberi tahu Anda bahwa pencatatan akses server S3 dinonaktifkan untuk ember di lingkungan Anda AWS . Jika dinonaktifkan, tidak ada log permintaan web yang dibuat untuk setiap upaya mengakses bucket S3 yang diidentifikasi, namun, panggilan API manajemen S3 ke bucket, seperti DeleteBucket, masih dilacak. Jika pencatatan peristiwa data S3 diaktifkan CloudTrail untuk bucket ini, permintaan web untuk objek di dalam bucket akan tetap dilacak. Menonaktifkan pencatatan log adalah teknik yang digunakan oleh pengguna yang tidak sah untuk menghindari deteksi. Untuk mempelajari selengkapnya tentang log S3, lihat Pencatatan Log Akses Server S3 dan Opsi Pencatatan Log S3.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

API S3 dipanggil dari alamat IP yang termasuk dalam daftar ancaman kustom.

Tingkat keparahan default: Tinggi

Temuan ini menginformasikan bahwa operasi API S3, seperti PutObject atau PutObjectAcl, dipanggil dari alamat IP yang termasuk dalam daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi tambahan dari detail temuan ini.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

UnauthorizedAccess:S3/TorIPCaller

API S3 dipanggil dari alamat IP node keluar Tor.

Tingkat keparahan default: Tinggi

Temuan ini menginformasikan bahwa operasi API S3, seperti PutObject atau PutObjectAcl, dipanggil dari alamat IP node keluar Tor. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Temuan ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk prinsipal terkait, ini mungkin menunjukkan bahwa kredensil telah diekspos atau izin S3 Anda tidak cukup membatasi. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.