Detail temuan - Amazon GuardDuty
Menemukan ikhtisarSumber DayaRDSdatabase (DB) detail penggunaDetail penemuan Runtime MonitoringEBSdetail pemindaian volumePerlindungan Malware untuk EC2 menemukan detailPerlindungan Malware untuk detail penemuan S3TindakanAktor atau TargetInformasi tambahanBuktiPerilaku anomali

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Detail temuan

Di GuardDuty konsol Amazon, Anda dapat melihat detail pencarian di bagian ringkasan pencarian. Detail menemukan bervariasi berdasarkan jenis temuan.

Ada dua detail utama yang menentukan jenis informasi apa yang tersedia untuk temuan apa pun. Yang pertama adalah jenis sumber daya, yang dapat berupa InstanceAccessKey,S3Bucket,S3Object,Kubernetes cluster,ECS cluster,Container,RDSDBInstance, atauLambda. Detail kedua yang menentukan informasi temuan adalah Peran Sumber Daya. Peran sumber daya bisaTarget, artinya sumber daya adalah target aktivitas yang mencurigakan. Untuk temuan tipe instans, peran sumber daya juga dapat menjadi Actor, yang berarti bahwa sumber daya Anda adalah aktor yang melakukan aktivitas mencurigakan. Topik ini menjelaskan beberapa detail umum yang tersedia untuk temuan. Untuk GuardDuty Jenis penemuan Runtime Monitoring danPerlindungan Malware untuk tipe pencarian S3, peran sumber daya tidak diisi.

Menemukan ikhtisar

Bagian Ikhtisar temuan berisi fitur pengenal paling dasar dari temuan, termasuk informasi berikut:

  • ID Akun — ID AWS akun tempat aktivitas berlangsung yang mendorong GuardDuty untuk menghasilkan temuan ini.

  • Hitung — Berapa kali GuardDuty telah mengumpulkan aktivitas yang cocok dengan pola ini dengan ID temuan ini.

  • Dibuat pada — Waktu dan tanggal ketika temuan ini pertama kali dibuat. Jika nilai ini berbeda dari Diperbarui pada, ini menunjukkan bahwa aktivitas tersebut telah terjadi beberapa kali dan merupakan masalah yang sedang berlangsung.

    catatan

    Stempel waktu untuk temuan di GuardDuty konsol muncul di zona waktu lokal Anda, sementara JSON ekspor dan CLI output menampilkan stempel waktu masuk. UTC

  • Finding ID — Pengidentifikasi unik untuk jenis temuan ini dan kumpulan parameter. Kejadian baru dari aktivitas yang cocok dengan pola ini akan digabungkan ke ID yang sama.

  • Tipe temuan – String berformat yang mewakili tipe aktivitas yang memicu temuan. Untuk informasi selengkapnya, lihat GuardDuty menemukan format.

  • Wilayah — AWS Wilayah di mana temuan itu dihasilkan. Untuk informasi selengkapnya tentang Wilayah yang didukung, lihat Wilayah dan titik akhir

  • ID Sumber Daya — ID AWS sumber daya tempat aktivitas berlangsung yang mendorong GuardDuty untuk menghasilkan temuan ini.

  • ID Pindai — Berlaku untuk temuan saat Perlindungan GuardDuty Malware untuk EC2 diaktifkan, ini adalah pengenal pemindaian malware yang berjalan pada EBS volume yang dilampirkan pada EC2 instans atau beban kerja kontainer yang berpotensi dikompromikan. Untuk informasi selengkapnya, lihat Perlindungan Malware untuk EC2 menemukan detail.

  • Keparahan — Tingkat keparahan yang ditetapkan temuan baik Tinggi, Sedang, atau Rendah. Untuk informasi selengkapnya, lihat Tingkat keparahan untuk GuardDuty temuan.

  • Diperbarui di — Terakhir kali temuan ini diperbarui dengan aktivitas baru yang cocok dengan pola yang mendorong GuardDuty untuk menghasilkan temuan ini.

Sumber Daya

Sumber daya yang terpengaruh memberikan rincian tentang AWS sumber daya yang ditargetkan oleh aktivitas inisiasi. Informasi yang tersedia bervariasi berdasarkan tipe sumber daya dan tipe tindakan.

Peran sumber daya — Peran AWS sumber daya yang memulai temuan. Nilai ini bisa TARGETatau ACTOR, dan mewakili apakah sumber daya Anda adalah target aktivitas mencurigakan atau aktor yang melakukan aktivitas mencurigakan.

Jenis sumber daya — Jenis sumber daya yang terpengaruh. Jika beberapa sumber daya terlibat, temuan dapat mencakup beberapa jenis sumber daya. Jenis sumber daya adalah Instance,, S3Bucket AccessKey, S3Object,,,, Container, KubernetesClusterECSCluster, dan Lambda. RDSDBInstance Tergantung tipe sumber dayanya, detail temuan yang berbeda tersedia. Pilih tab opsi sumber daya untuk mempelajari detail yang tersedia untuk sumber daya tersebut.

Instance

Detail contoh:

catatan

Beberapa detail instance mungkin hilang jika instance telah dihentikan atau jika API pemanggilan yang mendasarinya berasal dari EC2 instance di Wilayah lain saat melakukan panggilan Lintas wilayah. API

  • ID Instance — ID dari EC2 instance yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.

  • Jenis Instance — Jenis EC2 instance yang terlibat dalam temuan.

  • Waktu Peluncuran - Waktu dan tanggal peluncuran instans.

  • Outpost ARN — Nama Sumber Daya Amazon (ARN) dari. AWS Outposts Hanya berlaku untuk AWS Outposts instance. Untuk informasi selengkapnya, lihat Apa itu AWS Outposts?

  • Nama Grup Keamanan – Nama Grup Keamanan yang melekat pada instans yang terlibat.

  • ID Grup Keamanan – ID grup keamanan yang melekat pada instans yang terlibat.

  • Status instans – Status instans yang ditargetkan saat ini.

  • Availability Zone – Availability Zone AWS Region tempat instans yang terlibat berada.

  • ID Image – ID dari Amazon Machine Image yang digunakan untuk membangun instans yang terlibat dalam aktivitas.

  • Deskripsi Image – Deskripsi ID Amazon Machine Image yang digunakan untuk membangun instans yang terlibat dalam aktivitas.

  • Tanda – Daftar tanda yang melekat pada sumber daya ini, tercantum dalam format key:value.

AccessKey

Akses Detail Kunci:

  • ID kunci akses — ID kunci akses pengguna yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.

  • Principal ID — ID utama pengguna yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.

  • Jenis pengguna — Jenis pengguna yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan. Untuk informasi lebih lanjut, lihat CloudTrail userIdentity elemen.

  • Nama pengguna — Nama pengguna yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.

S3Bucket

Detail ember Amazon S3:

  • Nama – Nama bucket yang terlibat dalam temuan.

  • ARN— Ember yang terlibat dalam temuan. ARN

  • Pemilik – ID pengguna resmi dari pengguna yang memiliki bucket yang terlibat dalam temuan. Untuk informasi selengkapnya tentang pengguna kanonik, IDs lihat pengenal AWS akun.

  • Tipe – Tipe temuan bucket, dapat berupa Tujuan atau Sumber.

  • Enkripsi sisi server default — Detail enkripsi untuk bucket.

  • Tag Bucket — Daftar tag yang dilampirkan pada sumber daya ini, tercantum dalam formatkey:value.

  • Izin Efektif – Evaluasi dari semua izin dan kebijakan efektif pada bucket yang menunjukkan apakah bucket yang terlibat diekspos secara publik. Nilai dapat bersifat publik atau tidak publik.

S3Object

  • Detail objek S3 - Termasuk informasi berikut tentang objek S3 yang dipindai:

    • ARN— Nama Sumber Daya Amazon (ARN) dari objek S3 yang dipindai.

    • Kunci — Nama yang ditetapkan ke file saat dibuat di bucket S3.

    • Id Versi — Bila Anda telah mengaktifkan versi bucket, bidang ini menunjukkan Id versi yang terkait dengan versi terbaru dari objek S3 yang dipindai. Untuk informasi selengkapnya, lihat Menggunakan pembuatan versi di bucket S3 di Panduan Pengguna Amazon S3.

    • eTag— Merupakan versi spesifik dari objek S3 yang dipindai.

    • Hash — Hash dari ancaman yang terdeteksi dalam temuan ini.

  • Detail bucket S3 — Termasuk informasi berikut tentang bucket Amazon S3 yang terkait dengan objek S3 yang dipindai:

    • Nama - Menunjukkan nama bucket S3 yang berisi objek.

    • ARN— Nama Sumber Daya Amazon (ARN) dari ember S3.

  • Pemilik — Id Canonical dari pemilik bucket S3.

EKSCluster

Detail klaster Kubernetes:

  • Nama — Nama cluster Kubernetes.

  • ARN— ARN Yang mengidentifikasi cluster.

  • Created At — Waktu dan tanggal ketika cluster ini dibuat.

    catatan

    Stempel waktu untuk temuan di GuardDuty konsol muncul di zona waktu lokal Anda, sementara JSON ekspor dan CLI output menampilkan stempel waktu masuk. UTC

  • VPCID — ID VPC yang terkait dengan cluster Anda.

  • Status — Status cluster saat ini.

  • Tag — Metadata yang Anda terapkan ke cluster untuk membantu Anda mengkategorikan dan mengaturnya. Setiap tag terdiri dari kunci dan nilai opsional, tercantum dalam formatkey:value. Anda bisa menentukan kunci dan nilai.

    Tag cluster tidak menyebar ke sumber daya lain yang terkait dengan cluster.

Detail beban kerja Kubernetes:

  • Jenis - Jenis beban kerja Kubernetes, seperti pod, deployment, dan job.

  • Nama — Nama beban kerja Kubernetes.

  • Uid — ID unik dari beban kerja Kubernetes.

  • Dibuat pada - Waktu dan tanggal ketika beban kerja ini dibuat.

  • Label — Pasangan nilai kunci yang melekat pada beban kerja Kubernetes.

  • Container — Detail kontainer yang berjalan sebagai bagian dari beban kerja Kubernetes.

  • Namespace — Beban kerja milik namespace Kubernetes ini.

  • Volume — Volume yang digunakan oleh beban kerja Kubernetes.

    • Jalur host - Merupakan file atau direktori yang sudah ada sebelumnya di mesin host tempat volume dipetakan.

    • Nama — Nama volume.

  • konteks keamanan pod — Mendefinisikan pengaturan privilege dan acess control untuk semua kontainer dalam sebuah pod.

  • Jaringan host — Setel ke true jika pod disertakan dalam beban kerja Kubernetes.

Detail pengguna Kubernetes:

  • Grup — Kubernetes RBAC (kontrol berbasis akses peran) kelompok pengguna yang terlibat dalam aktivitas yang menghasilkan temuan.

  • ID — ID unik dari pengguna Kubernetes.

  • Nama pengguna — Nama pengguna Kubernetes yang terlibat dalam aktivitas yang menghasilkan temuan.

  • Nama sesi — Entitas yang mengambil IAM peran dengan izin KubernetesRBAC.

ECSCluster

ECSrincian cluster:

  • ARN— ARN Yang mengidentifikasi cluster.

  • Nama — Nama cluster.

  • Status — Status cluster saat ini.

  • Jumlah layanan aktif — Jumlah layanan yang berjalan di cluster dalam suatu ACTIVE keadaan. Anda dapat melihat layanan ini dengan ListServices

  • Jumlah instans kontainer terdaftar — Jumlah instance kontainer yang terdaftar ke dalam klaster. Ini termasuk instance kontainer di keduanya ACTIVE dan DRAINING status.

  • Menjalankan tugas menghitung — Jumlah tugas di cluster yang berada dalam RUNNING status.

  • Tag — Metadata yang Anda terapkan ke cluster untuk membantu Anda mengkategorikan dan mengaturnya. Setiap tag terdiri dari kunci dan nilai opsional, tercantum dalam formatkey:value. Anda bisa menentukan kunci dan nilai.

  • Kontainer — Detail tentang wadah yang terkait dengan tugas:

    • Nama kontainer — Nama wadah.

    • Gambar kontainer — Gambar wadah.

  • Detail tugas — Detail tugas dalam sebuah cluster.

    • ARN— Nama Sumber Daya Amazon (ARN) dari tugas.

    • Definisi ARN — Nama Sumber Daya Amazon (ARN) dari definisi tugas yang membuat tugas.

    • Versi - Penghitung versi untuk tugas tersebut.

    • Tugas dibuat di — Stempel waktu Unix saat tugas dibuat.

    • Tugas dimulai pada — Stempel waktu Unix saat tugas dimulai.

    • Tugas dimulai oleh — Tag yang ditentukan saat tugas dimulai.

Container

Detail kontainer:

  • Container runtime — Container runtime (seperti docker ataucontainerd) yang digunakan untuk menjalankan container.

  • ID - ID instance container atau ARN entri lengkap untuk instance container.

  • Nama — Nama wadah.

  • Gambar - Gambar dari contoh kontainer.

  • Volume mount — Daftar dudukan volume kontainer. Sebuah wadah dapat memasang volume di bawah sistem file-nya.

  • Konteks keamanan — Konteks keamanan kontainer mendefinisikan hak istimewa dan pengaturan kontrol akses untuk kontainer.

  • Detail proses — Menjelaskan detail proses yang terkait dengan temuan.

RDSDBInstance

RDSDBInstancerincian:

catatan

Sumber daya ini tersedia dalam temuan RDS Perlindungan yang terkait dengan instance database.

  • Database Instance ID — Pengidentifikasi yang terkait dengan instance database yang terlibat dalam GuardDuty temuan.

  • Engine — Nama mesin database dari instance database yang terlibat dalam temuan. Nilai yang mungkin adalah Aurora My SQL -Compatible atau Aurora Postgre -Compatible. SQL

  • Versi mesin — Versi mesin database yang terlibat dalam GuardDuty temuan.

  • Database cluster ID — Pengidentifikasi cluster database yang berisi ID instance database yang terlibat dalam GuardDuty temuan.

  • Database instance ARN — ARN Yang mengidentifikasi instance database yang terlibat dalam GuardDuty temuan.

Lambda
Detail fungsi Lambda

  • Nama fungsi — Nama fungsi Lambda yang terlibat dalam temuan.

  • Versi fungsi — Versi fungsi Lambda yang terlibat dalam temuan.

  • Deskripsi fungsi — Deskripsi fungsi Lambda yang terlibat dalam temuan.

  • Fungsi ARN — Nama Sumber Daya Amazon (ARN) dari fungsi Lambda yang terlibat dalam temuan.

  • ID Revisi — ID revisi versi fungsi Lambda.

  • Peran — Peran eksekusi fungsi Lambda yang terlibat dalam temuan.

  • VPCkonfigurasi - VPC Konfigurasi Amazon, termasuk VPC ID, grup keamanan, dan subnet yang IDs terkait dengan fungsi Lambda Anda.

    • VPCID — ID Amazon VPC yang terkait dengan fungsi Lambda yang terlibat dalam temuan.

    • Subnet IDs — ID subnet yang terkait dengan fungsi Lambda Anda.

    • Grup Keamanan — Kelompok keamanan yang melekat pada fungsi Lambda yang terlibat. Ini termasuk nama grup keamanan dan ID grup.

  • Tag — Daftar tag yang dilampirkan ke sumber daya ini, tercantum dalam formatkey: value pasangan.

RDSdatabase (DB) detail pengguna

catatan

Bagian ini berlaku untuk temuan saat Anda mengaktifkan fitur RDS Perlindungan di GuardDuty. Untuk informasi selengkapnya, lihat GuardDuty RDSPerlindungan.

GuardDuty Temuan ini memberikan rincian pengguna dan otentikasi berikut dari database yang berpotensi dikompromikan.

  • Pengguna — Nama pengguna yang digunakan untuk melakukan upaya login anomali.

  • Aplikasi — Nama aplikasi yang digunakan untuk melakukan upaya login anomali.

  • Database — Nama instance database yang terlibat dalam upaya login anomali.

  • SSL— Versi Secure Socket Layer (SSL) yang digunakan untuk jaringan.

  • Metode autentikasi — Metode otentikasi yang digunakan oleh pengguna yang terlibat dalam temuan.

Detail penemuan Runtime Monitoring

catatan

Detail ini mungkin tersedia hanya jika GuardDuty menghasilkan salah satuGuardDuty Jenis penemuan Runtime Monitoring.

Bagian ini berisi rincian runtime seperti detail proses dan konteks yang diperlukan. Detail proses menjelaskan informasi tentang proses yang diamati, dan konteks runtime menjelaskan informasi tambahan apa pun tentang aktivitas yang berpotensi mencurigakan.

Detail proses

  • Nama — Nama proses.

  • Jalur yang dapat dieksekusi — Jalur absolut dari file yang dapat dieksekusi proses.

  • Executable SHA -256SHA256 Hash dari proses yang dapat dieksekusi.

  • Namespace PID — ID proses proses di namespace sekunder selain PID namespace tingkat host. PID Untuk proses di dalam wadah, itu adalah ID proses yang diamati di dalam wadah.

  • Direktori kerja saat ini — Direktori kerja saat ini dari proses.

  • ID Proses — ID yang ditetapkan untuk proses oleh sistem operasi.

  • startTime— Waktu ketika proses dimulai. Ini dalam format string UTC tanggal (2023-03-22T19:37:20.168Z).

  • UUID— ID unik yang ditetapkan untuk proses oleh GuardDuty.

  • Induk UUID — ID unik dari proses induk. ID ini ditetapkan ke proses induk oleh GuardDuty.

  • Pengguna — Pengguna yang menjalankan proses.

  • User ID — ID pengguna yang menjalankan proses.

  • ID pengguna yang efektif — ID pengguna yang efektif dari proses pada saat acara berlangsung.

  • Silsilah — Informasi tentang nenek moyang proses.

    • ID Proses — ID yang ditetapkan untuk proses oleh sistem operasi.

    • UUID— ID unik yang ditetapkan untuk proses oleh GuardDuty.

    • Jalur yang dapat dieksekusi — Jalur absolut dari file yang dapat dieksekusi proses.

    • ID pengguna yang efektif — ID pengguna yang efektif dari proses pada saat acara berlangsung.

    • Induk UUID — ID unik dari proses induk. ID ini ditetapkan ke proses induk oleh GuardDuty.

    • Waktu Mulai — Waktu ketika proses dimulai.

    • Namespace PID — ID proses proses di namespace sekunder selain PID namespace tingkat host. PID Untuk proses di dalam wadah, itu adalah ID proses yang diamati di dalam wadah.

    • User ID — User ID pengguna yang menjalankan proses.

    • Nama — Nama proses.

Konteks runtime

Dari bidang berikut, temuan yang dihasilkan mungkin hanya mencakup bidang-bidang yang relevan dengan jenis temuan.

  • Mount Source - Jalur pada host yang dipasang oleh wadah.

  • Mount Target - Jalur dalam wadah yang dipetakan ke direktori host.

  • Jenis Sistem File - Merupakan jenis sistem file yang dipasang.

  • Bendera - Merupakan opsi yang mengontrol perilaku acara yang terlibat dalam temuan ini.

  • Memodifikasi Proses — Informasi tentang proses yang membuat atau memodifikasi biner, skrip, atau pustaka, di dalam wadah saat runtime.

  • Modified At — Stempel waktu di mana proses membuat atau memodifikasi biner, skrip, atau pustaka di dalam wadah saat runtime. Bidang ini dalam format string UTC tanggal (2023-03-22T19:37:20.168Z).

  • Library Path — Jalur ke perpustakaan baru yang dimuat.

  • LD Preload Value — Nilai variabel LD_PRELOAD lingkungan.

  • Socket Path — Jalur ke soket Docker yang diakses.

  • Runc Binary Path — Jalan menuju runc biner.

  • Release Agent Path - Jalur ke file agen cgroup rilis.

  • Contoh Baris Perintah — Contoh baris perintah yang terlibat dalam aktivitas yang berpotensi mencurigakan.

  • Kategori Alat - Kategori yang dimiliki alat tersebut. Beberapa contohnya adalah Backdoor Tool, Pentest Tool, Network Scanner, dan Network Sniffer.

  • Nama Alat — Nama alat yang berpotensi mencurigakan.

  • Script Path — Jalur ke skrip yang dieksekusi yang menghasilkan temuan.

  • Threat File Path — Jalur mencurigakan di mana rincian intelijen ancaman ditemukan.

  • Nama Layanan — Nama layanan keamanan yang telah dinonaktifkan.

EBSdetail pemindaian volume

catatan

Bagian ini berlaku untuk temuan saat Anda mengaktifkan GuardDuty pemindaian malware yang dimulai. Perlindungan Malware untuk EC2

Pemindaian EBS volume memberikan detail tentang EBS volume yang dilampirkan pada EC2 instans atau beban kerja kontainer yang berpotensi dikompromikan.

  • Scan ID — Pengidentifikasi pemindaian malware.

  • Pemindaian dimulai pada — Tanggal dan waktu ketika pemindaian malware dimulai.

  • Pemindaian selesai pada — Tanggal dan waktu pemindaian malware selesai.

  • Trigger Finding ID — ID temuan dari GuardDuty temuan yang memulai pemindaian malware ini.

  • Sumber — Nilai potensial adalah Bitdefender danAmazon.

    Untuk informasi selengkapnya tentang mesin pemindai yang digunakan untuk mendeteksi malware, lihatGuardDuty mesin pemindai deteksi malware.

  • Deteksi pemindaian — Tampilan lengkap detail dan hasil untuk setiap pemindaian malware.

    • Jumlah item yang dipindai - Jumlah total file yang dipindai. Ini memberikan rincian sepertitotalGb,files, danvolumes.

    • Jumlah item yang terdeteksi ancaman — Jumlah total berbahaya yang files terdeteksi selama pemindaian.

    • Detail ancaman tingkat keparahan tertinggi — Rincian ancaman tingkat keparahan tertinggi yang terdeteksi selama pemindaian dan jumlah file berbahaya. Ini memberikan rincian sepertiseverity,threatName, dancount.

    • Ancaman terdeteksi oleh Nama - Elemen kontainer mengelompokkan ancaman dari semua tingkat keparahan. Ini memberikan rincian sepertiitemCount,uniqueThreatNameCount,shortened, danthreatNames.

Perlindungan Malware untuk EC2 menemukan detail

catatan

Bagian ini berlaku untuk temuan saat Anda mengaktifkan GuardDuty pemindaian malware yang dimulai. Perlindungan Malware untuk EC2

Saat Perlindungan Malware untuk EC2 pemindaian mendeteksi malware, Anda dapat melihat detail pemindaian dengan memilih temuan yang sesuai di halaman Temuan di https://console.aws.amazon.com/guardduty/konsol. Tingkat keparahan Perlindungan Malware Anda untuk EC2 menemukan tergantung pada tingkat keparahan GuardDuty temuan.

Informasi berikut tersedia di bawah bagian Ancaman terdeteksi di panel detail.

  • Nama — Nama ancaman, diperoleh dengan mengelompokkan file dengan deteksi.

  • Keparahan — Tingkat keparahan ancaman yang terdeteksi.

  • Hash — The SHA -256 dari file.

  • Jalur file — Lokasi file berbahaya dalam EBS volume.

  • Nama file — Nama file di mana ancaman terdeteksi.

  • Volume ARN — ARN Volume yang dipindaiEBS.

Informasi berikut tersedia di bawah bagian Detail pemindaian Malware di panel detail.

  • Scan ID — ID pemindaian dari pemindaian malware.

  • Pemindaian dimulai pada — Tanggal dan waktu pemindaian dimulai.

  • Pemindaian selesai pada — Tanggal dan waktu pemindaian selesai.

  • File yang dipindai — Jumlah total file dan direktori yang dipindai.

  • Total GB yang dipindai — Jumlah penyimpanan yang dipindai selama proses berlangsung.

  • Trigger finding ID — ID temuan dari GuardDuty temuan yang memulai pemindaian malware ini.

  • Informasi berikut tersedia di bawah bagian Detail volume di panel detail.

    • Volume ARN — Nama Sumber Daya Amazon (ARN) dari volume.

    • Snapshot ARN — Snapshot dari volume. ARN EBS

    • Status — Status pemindaian volume, sepertiRunning,Skipped, danCompleted.

    • Jenis enkripsi — Jenis enkripsi yang digunakan untuk mengenkripsi volume. Misalnya, CMCMK.

    • Nama perangkat — Nama perangkat. Misalnya, /dev/xvda.

Perlindungan Malware untuk detail penemuan S3

Detail pemindaian malware berikut tersedia saat Anda mengaktifkan keduanya GuardDuty dan Perlindungan Malware untuk S3 di: Akun AWS

  • Ancaman — Daftar ancaman yang terdeteksi selama pemindaian malware.

  • Jalur item - Daftar jalur item bersarang dan detail hash dari objek S3 yang dipindai.

    • Jalur item bersarang - Jalur item dari objek S3 yang dipindai tempat ancaman terdeteksi.

      Nilai bidang ini hanya tersedia jika objek tingkat atas adalah arsip dan jika ancaman terdeteksi di dalam arsip.

    • Hash — Hash dari ancaman yang terdeteksi dalam temuan ini.

  • Sumber — Nilai potensial adalah Bitdefender danAmazon.

    Untuk informasi selengkapnya tentang mesin pemindai yang digunakan untuk mendeteksi malware, lihatGuardDuty mesin pemindai deteksi malware.

Tindakan

Tindakan temuan memberikan rincian tentang jenis aktivitas yang memicu temuan. Informasi yang tersedia bervariasi berdasarkan tipe tindakan.

Tipe tindakan – Tipe aktivitas temuan. Nilai ini bisa berupa NETWORK_ CONNECTION, PORT_ PROBE, DNS_ REQUEST, AWS_API_ CALL, atau RDS_ LOGIN _ ATTEMPT. Informasi yang tersedia bervariasi berdasarkan tipe tindakan:

  • NETWORK_ CONNECTION — Menunjukkan bahwa lalu lintas jaringan dipertukarkan antara EC2 instance yang diidentifikasi dan host jarak jauh. Tipe tindakan ini memiliki informasi tambahan berikut:

    • Arah koneksi — Arah koneksi jaringan diamati dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan. Nilai bisa jadi salah satu dari nilai berikut:

      • INBOUND— Menunjukkan bahwa host jarak jauh memulai koneksi ke port lokal pada EC2 instance yang diidentifikasi di akun Anda.

      • OUTBOUND— Menunjukkan bahwa EC2 instance yang diidentifikasi memulai koneksi ke host jarak jauh.

      • UNKNOWN— Menunjukkan bahwa tidak GuardDuty dapat menentukan arah koneksi.

    • Protokol — Protokol koneksi jaringan diamati dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.

    • IP lokal — Alamat IP sumber asli dari lalu lintas yang memicu temuan. Info ini dapat digunakan untuk membedakan antara alamat IP dari lapisan perantara yang dilalui arus lalu lintas, dan alamat IP sumber asal dari lalu lintas yang memicu temuan. Misalnya alamat IP dari sebuah EKS pod sebagai lawan dari alamat IP dari instance di mana EKS pod berjalan.

    • Diblokir – Menunjukkan apakah port yang ditargetkan diblokir.

  • PORT_ PROBE — Menunjukkan bahwa host jarak jauh memeriksa EC2 instance yang diidentifikasi pada beberapa port terbuka. Tipe tindakan ini memiliki informasi tambahan berikut:

    • IP lokal — Alamat IP sumber asli dari lalu lintas yang memicu temuan. Info ini dapat digunakan untuk membedakan antara alamat IP dari lapisan perantara yang dilalui arus lalu lintas, dan alamat IP sumber asal dari lalu lintas yang memicu temuan. Misalnya alamat IP dari sebuah EKS pod sebagai lawan dari alamat IP dari instance di mana EKS pod berjalan.

    • Diblokir – Menunjukkan apakah port yang ditargetkan diblokir.

  • DNS_ REQUEST — Menunjukkan bahwa EC2 instance yang diidentifikasi menanyakan nama domain. Tipe tindakan ini memiliki informasi tambahan berikut:

    • Protokol — Protokol koneksi jaringan diamati dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.

    • Diblokir – Menunjukkan apakah port yang ditargetkan diblokir.

  • AWS_API_ CALL — Menunjukkan bahwa AWS API an dipanggil. Tipe tindakan ini memiliki informasi tambahan berikut:

    • API— Nama API operasi yang dipanggil dan dengan demikian diminta GuardDuty untuk menghasilkan temuan ini.

      catatan

      Operasi ini juga dapat mencakup API non-peristiwa yang ditangkap oleh AWS CloudTrail. Untuk informasi selengkapnya, lihat APINon-event yang ditangkap oleh CloudTrail.

    • User Agent — Agen pengguna yang membuat API permintaan. Nilai ini memberi tahu Anda apakah panggilan dilakukan dari, AWS layanan AWS SDKs, atau AWS CLI. AWS Management Console

    • ERRORCODE— Jika temuan dipicu oleh API panggilan gagal, ini menampilkan kode kesalahan untuk panggilan itu.

    • Nama layanan — DNS Nama layanan yang mencoba melakukan API panggilan yang memicu temuan.

  • RDS_ LOGIN _ ATTEMPT - Menunjukkan bahwa upaya login dilakukan ke database yang berpotensi dikompromikan dari alamat IP jarak jauh.

    • Alamat IP — Alamat IP jarak jauh yang digunakan untuk melakukan upaya login yang berpotensi mencurigakan.

Aktor atau Target

Temuan memiliki bagian Aktor jika peran Sumber Daya adalah TARGET. Ini menunjukkan bahwa sumber daya Anda ditargetkan oleh aktivitas mencurigakan, dan bagian Aktor berisi detail tentang entitas yang menargetkan sumber daya Anda.

Temuan memiliki bagian Target jika peran Sumber Daya adalah ACTOR. Hal ini menunjukkan bahwa sumber daya Anda terlibat dalam aktivitas yang mencurigakan terhadap host jarak jauh, dan bagian ini berisi informasi tentang IP atau domain yang ditargetkan sumber daya Anda.

Informasi yang tersedia di bagian Aktor atau Target dapat mencakup hal-hal berikut:

  • Afiliasi — Detail tentang apakah AWS akun API penelepon jarak jauh terkait dengan lingkungan Anda GuardDuty . Jika nilai initrue, API penelepon berafiliasi dengan akun Anda dalam beberapa cara; jikafalse, API penelepon berasal dari luar lingkungan Anda.

  • ID Akun Jarak Jauh — ID akun yang memiliki alamat IP keluar yang digunakan untuk mengakses sumber daya di jaringan akhir.

  • Alamat IP — Alamat IP yang terlibat dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.

  • Lokasi — Informasi lokasi untuk alamat IP yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.

  • Organisasi — informasi ISP organisasi dari alamat IP yang terlibat dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.

  • Port — Nomor port yang terlibat dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.

  • Domain — Domain yang terlibat dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.

  • Domain dengan akhiran — Domain tingkat kedua dan teratas yang terlibat dalam aktivitas yang berpotensi mendorong GuardDuty untuk menghasilkan temuan. Untuk daftar domain tingkat atas dan tingkat kedua, lihat daftar akhiran publik.

Informasi tambahan

Semua temuan memiliki bagian Informasi tambahan yang dapat mencakup informasi berikut:

  • Nama daftar ancaman — Nama daftar ancaman yang mencakup alamat IP atau nama domain yang terlibat dalam aktivitas yang diminta GuardDuty untuk menghasilkan temuan.

  • Sampel — Nilai benar atau salah yang menunjukkan apakah ini adalah temuan sampel.

  • Diarsipkan — Nilai benar atau salah yang menunjukkan apakah temuan ini telah diarsipkan.

  • Tidak biasa — Detail aktivitas yang tidak diamati secara historis. Ini dapat mencakup pengguna yang tidak biasa (sebelumnya tidak diamati), lokasi, waktu, bucket, perilaku login, atau ASN Org.

  • Protokol yang tidak biasa — Protokol koneksi jaringan yang terlibat dalam aktivitas yang mendorong GuardDuty untuk menghasilkan temuan.

  • Detail agen — Detail tentang agen keamanan yang saat ini digunakan di EKS cluster di Anda Akun AWS. Ini hanya berlaku untuk jenis pencarian EKS Runtime Monitoring.

    • Versi agen — Versi agen GuardDuty keamanan.

    • Agen Id — Identifier unik dari agen GuardDuty keamanan.

Bukti

Temuan berdasarkan intelijen ancaman memiliki bagian Bukti yang mencakup informasi berikut:

  • Detail intelijen ancaman — Nama daftar ancaman tempat yang dikenali Threat name muncul.

  • Nama ancaman — Nama keluarga malware atau pengenal lain yang terkait dengan ancaman.

  • File ancaman SHA256 — SHA256 dari file yang menghasilkan temuan.

Perilaku anomali

Jenis temuan yang berakhir AnomalousBehaviormenunjukkan bahwa temuan tersebut dihasilkan oleh model pembelajaran mesin deteksi GuardDuty anomali (ML). Model ML mengevaluasi semua API permintaan ke akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan taktik yang digunakan oleh musuh. Model ML melacak berbagai faktor API permintaan, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, dan spesifik API yang diminta.

Detail tentang faktor API permintaan yang tidak biasa untuk identitas CloudTrail pengguna yang memanggil permintaan dapat ditemukan dalam rincian temuan. Identitas didefinisikan oleh CloudTrail userIdentity Elemen, dan nilai yang mungkin adalah:Root,,IAMUser,AssumedRole, FederatedUserAWSAccount, atauAWSService.

Selain rincian yang tersedia untuk semua GuardDuty temuan yang terkait dengan API aktivitas, AnomalousBehaviortemuan memiliki rincian tambahan yang diuraikan di bagian berikut. Detail ini dapat dilihat di konsol dan juga tersedia di temuanJSON.

  • Anomali APIs — Daftar API permintaan yang dipanggil oleh identitas pengguna di dekat API permintaan utama yang terkait dengan temuan. Panel ini selanjutnya memecah detail API acara dengan cara berikut.

    • Yang pertama API terdaftar adalah yang utamaAPI, yang merupakan API permintaan yang terkait dengan aktivitas diamati dengan risiko tertinggi. Ini adalah API yang memicu temuan dan berkorelasi dengan tahap serangan dari jenis temuan. Ini juga API yang dirinci di bawah bagian Tindakan di konsol, dan di temuannyaJSON.

    • Yang APIs terdaftar lainnya adalah anomali tambahan APIs dari identitas pengguna yang terdaftar yang diamati di dekat primer. API Jika hanya ada satu dalam API daftar, model ML tidak mengidentifikasi API permintaan tambahan apa pun dari identitas pengguna tersebut sebagai anomali.

    • Daftar APIs dibagi berdasarkan apakah an berhasil API dipanggil, atau jika tidak berhasil dipanggil, yang berarti respons kesalahan diterima. API Jenis respon kesalahan yang diterima tercantum di atas setiap gagal dipanggilAPI. Jenis respons kesalahan yang mungkin adalah:access denied,access denied exception,auth failure,instance limit exceeded,invalid permission - duplicate,invalid permission - not found, danoperation not permitted.

    • APIsdikategorikan oleh layanan terkait mereka.

    • Untuk konteks lebih lanjut, pilih Historis APIs untuk melihat detail tentang bagian atasAPIs, hingga maksimum 20, biasanya terlihat untuk identitas pengguna dan semua pengguna dalam akun. Ditandai Langka (kurang dari sebulan sekali), Jarang (beberapa kali sebulan), atau Sering (harian hingga mingguan), tergantung pada seberapa sering mereka digunakan dalam akun Anda. APIs

  • Perilaku Tidak Biasa (Akun) — Bagian ini memberikan rincian tambahan tentang perilaku yang diprofilkan untuk akun Anda.

    Perilaku yang diprofilkan

    GuardDuty terus belajar tentang aktivitas dalam akun Anda berdasarkan peristiwa yang disampaikan. Kegiatan ini dan frekuensi yang diamati dikenal sebagai perilaku yang diprofilkan.

    Informasi yang dilacak di panel ini mencakup:

    • ASNOrg — Nomor Sistem Otonom (ASN) org tempat API panggilan anomali dibuat.

    • Nama Pengguna — Nama pengguna yang melakukan panggilan anomaliAPI.

    • User Agent — Agen pengguna yang digunakan untuk melakukan panggilan anomaliAPI. Agen pengguna adalah metode yang digunakan untuk membuat panggilan seperti aws-cli atau Botocore.

    • Jenis Pengguna — Jenis pengguna yang melakukan panggilan anomaliAPI. Kemungkinan nilainya adalah AWS_SERVICE, ASSUMED_ROLE, IAM_USER, atau ROLE.

    • Bucket — Nama bucket S3 yang sedang diakses.

  • Perilaku Tidak Biasa (Identitas Pengguna) - Bagian ini memberikan rincian tambahan tentang perilaku yang diprofilkan untuk Identitas Pengguna yang terlibat dengan temuan tersebut. Ketika perilaku tidak diidentifikasi sebagai historis, ini berarti model GuardDuty ML sebelumnya tidak melihat identitas pengguna ini membuat API panggilan ini dengan cara ini dalam periode pelatihan. Berikut adalah detail tambahan tentang Identitas Pengguna yang tersedia:

    • ASNOrg — ASN Org dari mana API panggilan anomali dibuat.

    • User Agent — Agen pengguna yang digunakan untuk melakukan panggilan anomaliAPI. Agen pengguna adalah metode yang digunakan untuk membuat panggilan seperti aws-cli atau Botocore.

    • Bucket — Nama bucket S3 yang sedang diakses.

  • Perilaku Tidak Biasa (Bucket) — Bagian ini memberikan detail tambahan tentang perilaku yang diprofilkan untuk bucket S3 yang terkait dengan temuan tersebut. Ketika suatu perilaku tidak diidentifikasi sebagai historis, ini berarti model GuardDuty ML sebelumnya tidak pernah melihat API panggilan yang dibuat ke bucket ini dengan cara ini dalam periode pelatihan. Informasi yang dilacak di bagian ini meliputi:

    • ASNOrg — ASN Org dari mana API panggilan anomali dibuat.

    • Nama Pengguna — Nama pengguna yang melakukan panggilan anomaliAPI.

    • User Agent — Agen pengguna yang digunakan untuk melakukan panggilan anomaliAPI. Agen pengguna adalah metode yang digunakan untuk membuat panggilan seperti aws-cli atau Botocore.

    • Jenis Pengguna — Jenis pengguna yang melakukan panggilan anomaliAPI. Kemungkinan nilainya adalah AWS_SERVICE, ASSUMED_ROLE, IAM_USER, atau ROLE.

    catatan

    Untuk konteks lebih lanjut tentang perilaku historis, pilih Perilaku historis di bagian Perilaku Tidak Biasa (Akun), ID Pengguna, atau Bucket untuk melihat detail tentang perilaku yang diharapkan di akun Anda untuk masing-masing kategori berikut: Langka (kurang dari sebulan sekali), Jarang (beberapa kali sebulan), atau Sering (harian hingga mingguan), tergantung seberapa sering mereka digunakan dalam akun Anda.

  • Perilaku Tidak Biasa (Database) - Bagian ini memberikan rincian tambahan tentang perilaku yang diprofilkan untuk instance database yang terkait dengan temuan. Ketika perilaku tidak diidentifikasi sebagai historis, itu berarti bahwa model GuardDuty ML sebelumnya tidak melihat upaya login yang dilakukan ke instance database ini dengan cara ini dalam periode pelatihan. Informasi yang dilacak untuk bagian ini di panel temuan meliputi:

    • Nama pengguna — Nama pengguna yang digunakan untuk melakukan upaya login anomali.

    • ASNOrg — ASN Org tempat upaya login anomali dibuat.

    • Nama aplikasi — Nama aplikasi yang digunakan untuk melakukan upaya login anomali.

    • Nama database — Nama instance database yang terlibat dalam upaya login anomali.

    Bagian perilaku historis memberikan lebih banyak konteks tentang nama Pengguna, ASNOrg, nama Aplikasi, dan nama Database yang diamati sebelumnya untuk database terkait. Setiap nilai unik memiliki hitungan terkait yang mewakili berapa kali nilai ini diamati dalam peristiwa login yang berhasil.

  • Perilaku yang tidak biasa (klaster Akun Kubernetes, namespace Kubernetes, dan nama pengguna Kubernetes) — Bagian ini memberikan rincian tambahan tentang perilaku yang diprofilkan untuk klaster Kubernetes dan namespace yang terkait dengan temuan tersebut. Ketika perilaku tidak diidentifikasi sebagai historis, itu berarti bahwa model GuardDuty ML sebelumnya tidak mengamati akun, klaster, namespace, atau nama pengguna ini dengan cara ini. Informasi yang dilacak untuk bagian ini di panel temuan meliputi:

    • Username — Pengguna yang memanggil Kubernetes yang API terkait dengan temuan tersebut.

    • Nama Pengguna yang Ditiru - Pengguna yang ditiru oleh. username

    • Namespace — Namespace Kubernetes di dalam klaster Amazon tempat aksi terjadi. EKS

    • User Agent — Agen pengguna yang terkait dengan panggilan KubernetesAPI. Agen pengguna adalah metode yang digunakan untuk melakukan panggilan sepertikubectl.

    • API— Kubernetes API dipanggil oleh username dalam cluster Amazon. EKS

    • ASNInformasi — ASN Informasi, seperti Organisasi danISP, terkait dengan alamat IP pengguna yang melakukan panggilan ini.

    • Hari dalam seminggu — Hari dalam seminggu ketika API panggilan Kubernetes dilakukan.

    • Izin — Kata kerja dan sumber daya Kubernetes yang diperiksa untuk mengindikasikan apakah Kubernetes username dapat menggunakan Kubernetes atau tidak. API

    • Nama Akun Layanan — Akun layanan yang terkait dengan beban kerja Kubernetes yang memberikan identitas pada beban kerja.

    • Registry — Registry container yang terkait dengan image container yang di-deploy dalam beban kerja Kubernetes.

    • Image - Gambar kontainer, tanpa tag dan intisari terkait, yang digunakan dalam beban kerja Kubernetes.

    • Image Prefix Config - Awalan gambar dengan konfigurasi keamanan kontainer dan beban kerja diaktifkan, hostNetwork seperti privileged atau, untuk wadah yang menggunakan gambar.

    • Nama Subjek — Subjek, seperti usergroup,, atau serviceAccountName yang terikat pada peran referensi dalam RoleBinding atauClusterRoleBinding.

    • Nama Peran — Nama peran yang terlibat dalam pembuatan atau modifikasi peran atau roleBindingAPI.

Anomali berbasis volume S3

Bagian ini merinci informasi kontekstual untuk anomali berbasis volume S3. Temuan berbasis volume (Exfiltration:S3/AnomalousBehavior) memantau jumlah API panggilan S3 yang tidak biasa yang dilakukan ke bucket S3 oleh pengguna, menunjukkan potensi eksfiltrasi data. APIPanggilan S3 berikut dipantau untuk deteksi anomali berbasis volume.

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

Metrik berikut akan membantu membangun dasar perilaku biasa saat IAM entitas mengakses bucket S3. Untuk mendeteksi eksfiltrasi data, temuan deteksi anomali berbasis volume mengevaluasi semua aktivitas terhadap garis dasar perilaku yang biasa. Pilih Perilaku historis di bagian Perilaku Tidak Biasa (Identitas Pengguna), Volume yang Diamati (Identitas Pengguna), dan Volume Teramati (Bucket) untuk melihat metrik berikut.

  • Jumlah s3-api-name API panggilan yang dipanggil oleh IAM pengguna atau IAM peran (tergantung pada panggilan mana yang dikeluarkan) terkait dengan bucket S3 yang terpengaruh selama 24 jam terakhir.

  • Jumlah s3-api-name API panggilan yang dipanggil oleh IAM pengguna atau IAM peran (tergantung pada mana yang dikeluarkan) terkait dengan semua bucket S3 selama 24 jam terakhir.

  • Jumlah s3-api-name API panggilan di semua IAM pengguna atau IAM peran (tergantung pada mana yang dikeluarkan) terkait dengan bucket S3 yang terpengaruh selama 24 jam terakhir.

RDSanomali berbasis aktivitas login

Bagian ini merinci jumlah upaya login yang dilakukan oleh aktor yang tidak biasa dan dikelompokkan berdasarkan hasil upaya login. RDSJenis temuan perlindunganMengidentifikasi perilaku anomali dengan memantau peristiwa login untuk pola yang tidak biasasuccessfulLoginCount,failedLoginCount, dan. incompleteConnectionCount

  • successfulLoginCount— Penghitung ini mewakili jumlah koneksi yang berhasil (kombinasi atribut login yang benar) yang dibuat ke instance database oleh aktor yang tidak biasa. Atribut login termasuk nama pengguna, kata sandi, dan nama database.

  • failedLoginCount— Penghitung ini mewakili jumlah upaya login gagal (gagal) yang dilakukan untuk membuat koneksi ke instance database. Ini menunjukkan bahwa satu atau lebih atribut dari kombinasi login, seperti nama pengguna, kata sandi, atau nama database tidak benar.

  • incompleteConnectionCount— Penghitung ini mewakili jumlah upaya koneksi yang tidak dapat diklasifikasikan sebagai berhasil atau gagal. Koneksi ini ditutup sebelum database memberikan respons. Misalnya, pemindaian port di mana port database terhubung tetapi tidak ada informasi yang dikirim ke database, atau koneksi dibatalkan sebelum login selesai dalam upaya yang berhasil atau gagal.