GuardDuty Tipi di risultati del monitoraggio del runtime

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Amazon GuardDuty genera i seguenti risultati di Runtime Monitoring per indicare potenziali minacce in base al comportamento a livello di sistema operativo degli EC2 host e dei container Amazon nei cluster Amazon EKS, nei carichi di lavoro Fargate e Amazon ECS e nelle istanze Amazon. EC2

CryptoCurrency:Runtime/BitcoinTool.B

Un' EC2 istanza o un contenitore Amazon sta interrogando un indirizzo IP associato a un'attività correlata alla criptovaluta.

Gravità predefinita: alta

Questa scoperta ti informa che l' EC2 istanza o un contenitore elencato nel tuo AWS ambiente sta interrogando un indirizzo IP associato a un'attività correlata alla criptovaluta. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se utilizzi questa EC2 istanza o un contenitore per estrarre o gestire criptovalute, o se uno di questi è coinvolto in altro modo nell'attività della blockchain, il CryptoCurrency:Runtime/BitcoinTool.B la scoperta potrebbe rappresentare l'attività prevista per l'ambiente in uso. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l'attributo Tipo di risultato con un valore di CryptoCurrency:Runtime/BitcoinTool.B. Il secondo criterio di filtro deve essere l'ID istanza dell'istanza o l'ID immagine del container del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B

Un' EC2 istanza o un contenitore Amazon sta interrogando un IP associato a un server di comando e controllo noto.

Gravità predefinita: alta

Questa scoperta ti informa che l' EC2 istanza o un contenitore elencato all'interno del tuo AWS ambiente sta interrogando un IP associato a un server di comando e controllo (C&C) noto. L'istanza elencata o il container potrebbero essere potenzialmente compromessi. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è un insieme di dispositivi connessi a Internet che possono includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco Denial of Service (S) distribuito. DDo

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

UnauthorizedAccess:Runtime/TorRelay

La tua EC2 istanza Amazon o un contenitore sta effettuando connessioni a una rete Tor come relè Tor.

Gravità predefinita: alta

Questa scoperta ti informa che un' EC2 istanza o un contenitore nel tuo AWS ambiente sta effettuando connessioni a una rete Tor in un modo che suggerisce che stia agendo come un relè Tor. Tor è un software che consente la comunicazione anonima. Tor aumenta l'anonimato della comunicazione inoltrando il traffico potenzialmente illecito del client da un relè Tor a un altro.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

UnauthorizedAccess:Runtime/TorClient

La tua EC2 istanza Amazon o un container sta effettuando connessioni a un nodo Tor Guard o Authority.

Gravità predefinita: alta

Questa scoperta ti informa che un' EC2 istanza o un contenitore nel tuo AWS ambiente sta effettuando connessioni a un nodo Tor Guard o a un nodo Authority. Tor è un software che consente la comunicazione anonima. I Tor Guard e i nodi fungono da gateway iniziali per una rete Tor. Questo traffico può indicare che questa EC2 istanza o il contenitore sono stati potenzialmente compromessi e agiscono come client su una rete Tor. Questa scoperta potrebbe indicare un accesso non autorizzato alle tue AWS risorse con l'intento di nascondere la vera identità dell'aggressore.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic

Un' EC2 istanza o un contenitore Amazon sta tentando di comunicare con un indirizzo IP di un host remoto che è un buco nero noto.

Gravità predefinita: media

Questa scoperta indica che l' EC2 istanza elencata o un contenitore nel tuo AWS ambiente potrebbero essere compromessi perché sta tentando di comunicare con l'indirizzo IP di un buco nero (o sink hole). I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario. L'indirizzo IP di un buco nero designa un computer host non in esecuzione o un indirizzo a cui non è stato assegnato alcun host.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/DropPoint

Un' EC2 istanza o un contenitore Amazon sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati acquisiti dal malware.

Gravità predefinita: media

Questa scoperta indica che un' EC2 istanza o un contenitore nel tuo AWS ambiente sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati acquisiti dal malware.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Un' EC2 istanza o un contenitore Amazon sta interrogando un nome di dominio associato a un'attività di criptovaluta.

Gravità predefinita: alta

Questa scoperta ti informa che l' EC2 istanza o un contenitore elencato nel tuo AWS ambiente sta interrogando un nome di dominio associato a Bitcoin o ad altre attività legate alle criptovalute. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo al fine di riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se utilizzi questa EC2 istanza o contenitore per estrarre o gestire criptovalute, o se uno di questi è coinvolto in altro modo nell'attività della blockchain, il CryptoCurrency:Runtime/BitcoinTool.B!DNS la ricerca potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di eliminazione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di CryptoCurrency:Runtime/BitcoinTool.B!DNS. Il secondo criterio di filtro deve essere l'ID istanza dell'istanza o l'ID immagine del container del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Backdoor:Runtime/C&CActivity.B!DNS

Un' EC2 istanza o un contenitore Amazon sta interrogando un nome di dominio associato a un server di comando e controllo noto.

Gravità predefinita: alta

Questa scoperta ti informa che l' EC2 istanza o il contenitore elencato all'interno del tuo AWS ambiente sta interrogando un nome di dominio associato a un server di comando e controllo (C&C) noto. L' EC2 istanza o il contenitore elencati potrebbero essere compromessi. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è un insieme di dispositivi connessi a Internet che può includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco Denial of Service (S) distribuito. DDo

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/BlackholeTraffic!DNS

Un' EC2 istanza o un contenitore Amazon sta interrogando un nome di dominio che viene reindirizzato a un indirizzo IP nero.

Gravità predefinita: media

Questa scoperta indica che l' EC2 istanza o il contenitore elencato nel tuo AWS ambiente potrebbero essere compromessi perché sta interrogando un nome di dominio che viene reindirizzato a un indirizzo IP di buco nero. I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/DropPoint!DNS

Un' EC2 istanza o un contenitore Amazon sta interrogando il nome di dominio di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.

Gravità predefinita: media

Questa scoperta indica che un' EC2 istanza o un contenitore nel tuo AWS ambiente sta interrogando il nome di dominio di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/DGADomainRequest.C!DNS

Un' EC2 istanza o un contenitore Amazon sta interrogando domini generati algoritmicamente. Tali domini sono comunemente utilizzati dal malware e potrebbero essere un'indicazione di un'istanza o di un contenitore compromessi. EC2

Gravità predefinita: alta

Questo risultato indica che l' EC2 istanza o il contenitore elencati nell' AWS ambiente in uso sta tentando di interrogare i domini DGA (Domain Generation Algorithm). La risorsa potrebbe essere stata compromessa.

DGAs vengono utilizzati per generare periodicamente un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l'arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/DriveBySourceTraffic!DNS

Un' EC2 istanza o un contenitore Amazon sta interrogando il nome di dominio di un host remoto che è una fonte nota di attacchi di download Drive-By.

Gravità predefinita: alta

Questa scoperta ti informa che l' EC2 istanza o il contenitore elencati nel tuo AWS ambiente potrebbero essere compromessi perché sta interrogando il nome di dominio di un host remoto che è una fonte nota di attacchi drive-by download. Si tratta di download di software non voluti da Internet che possono avviare l'installazione automatica di virus, spyware o malware.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Trojan:Runtime/PhishingDomainRequest!DNS

Un' EC2 istanza o un contenitore Amazon interroga i domini coinvolti negli attacchi di phishing.

Gravità predefinita: alta

Questa scoperta indica che nel tuo AWS ambiente è presente un' EC2 istanza o un contenitore che sta cercando di interrogare un dominio coinvolto in attacchi di phishing. I domini di phishing sono configurati da individui che fingono di essere un'istituzione legittima allo scopo di indurre gli utenti a fornire dati sensibili come informazioni personali, coordinate bancarie, informazioni di carte di credito e password. L' EC2 istanza o il contenitore potrebbero tentare di recuperare dati sensibili archiviati su un sito Web di phishing oppure di configurare un sito Web di phishing. L' EC2istanza o il contenitore potrebbero essere compromessi.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Impact:Runtime/AbusedDomainRequest.Reputation

Un' EC2 istanza o un contenitore Amazon sta interrogando un nome di dominio a bassa reputazione associato a domini noti di abuso.

Gravità predefinita: media

Questa scoperta ti informa che l' EC2 istanza o il contenitore elencato all'interno del tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a domini o indirizzi IP noti per abuso. Esempi di domini abusati sono i nomi di dominio di primo livello (TLDs) e i nomi di dominio di secondo livello (2LDs) che offrono registrazioni gratuite di sottodomini e provider DNS dinamici. Gli autori delle minacce tendono a utilizzare questi servizi per registrare domini gratuitamente o a basso costo. I domini a bassa reputazione di questa categoria possono anche essere domini scaduti che vengono sostituiti con l'indirizzo IP di parcheggio di un registrar e quindi potrebbero non essere più attivi. Un IP di parcheggio è il luogo in cui un registrar indirizza il traffico verso domini che non sono stati collegati ad alcun servizio. L' EC2 istanza Amazon o il contenitore elencati potrebbero essere compromessi poiché gli autori delle minacce utilizzano comunemente questi registrar o servizi per C&C e la distribuzione di malware.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Impact:Runtime/BitcoinDomainRequest.Reputation

Un' EC2 istanza o un contenitore Amazon sta interrogando un nome di dominio a bassa reputazione associato ad attività legate alle criptovalute.

Gravità predefinita: alta

Questa scoperta ti informa che l' EC2 istanza elencata o il contenitore all'interno del tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a Bitcoin o ad altre attività legate alle criptovalute. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se utilizzate questa EC2 istanza o il contenitore per estrarre o gestire criptovalute, o se queste risorse sono altrimenti coinvolte nell'attività della blockchain, questo risultato potrebbe rappresentare l'attività prevista per il vostro ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l'attributo Tipo di risultato con un valore di Impact:Runtime/BitcoinDomainRequest.Reputation. Il secondo criterio di filtro deve essere l'ID istanza dell'istanza o l'ID immagine del container del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Impact:Runtime/MaliciousDomainRequest.Reputation

Un' EC2 istanza o un contenitore Amazon sta interrogando un dominio di bassa reputazione associato a domini dannosi noti.

Gravità predefinita: alta

Questa scoperta ti informa che l' EC2 istanza o il contenitore elencato all'interno del tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a domini o indirizzi IP dannosi noti. Ad esempio, i domini possono essere associati a un indirizzo IP sinkhole noto. I domini sinkhole sono domini che sono stati precedentemente controllati da un autore di minacce e se vengono inoltrate richieste a questi domini può significare che l'istanza è compromessa. Questi domini possono anche essere correlati a campagne dannose note o algoritmi di generazione di domini.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Un' EC2 istanza o un contenitore Amazon sta interrogando un nome di dominio di bassa reputazione di natura sospetta a causa della sua età o della sua scarsa popolarità.

Gravità predefinita: bassa

Questa scoperta ti informa che l' EC2 istanza o il contenitore elencato all'interno del tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione sospettato di essere dannoso. Le caratteristiche osservate di questo dominio erano coerenti con i domini dannosi osservati in precedenza. Tuttavia, il nostro modello di reputazione non è stato in grado di collegarlo in modo definitivo a una minaccia nota. Questi domini vengono in genere osservati per la prima volta o ricevono una quantità di traffico ridotta.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Un' EC2 istanza o un contenitore Amazon esegue ricerche DNS che si risolvono nel servizio di metadati dell'istanza.

Gravità predefinita: alta

Questo risultato indica che un' EC2 istanza o un contenitore nell' AWS ambiente in uso sta interrogando un dominio che si risolve nell'indirizzo IP dei EC2 metadati (169.254.169.254). Una query DNS di questo tipo può indicare che l'istanza è la destinazione di una tecnica di rebinding DNS. Questa tecnica può essere utilizzata per ottenere metadati da un'istanza, incluse le credenziali IAM associate all'istanza. EC2

Il rebinding DNS consiste nell'indurre un'applicazione in esecuzione sull' EC2 istanza a caricare i dati di ritorno da un URL, dove il nome di dominio nell'URL si risolve nell'indirizzo IP dei metadati (). EC2 169.254.169.254 Ciò fa sì che l'applicazione acceda ai EC2 metadati e possibilmente li renda disponibili all'aggressore.

È possibile accedere ai EC2 metadati utilizzando il rebinding DNS solo se l' EC2 istanza esegue un'applicazione vulnerabile che consente l'iniezione di URLs o se qualcuno accede all'URL in un browser Web in esecuzione sull'istanza. EC2

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

In risposta a questo risultato, è necessario valutare se sull' EC2 istanza o sul contenitore è in esecuzione un'applicazione vulnerabile o se qualcuno ha utilizzato un browser per accedere al dominio identificato nel risultato. Se la causa principale è un'applicazione vulnerabile, procedi alla correzione della vulnerabilità. Se qualcuno ha navigato nel dominio identificato, blocca il dominio o impedisci agli utenti di accedervi. Se ritieni che questo risultato sia correlato a uno dei casi precedenti, revoca la sessione associata all' EC2 istanza.

Alcuni AWS clienti associano intenzionalmente l'indirizzo IP dei metadati a un nome di dominio sui propri server DNS autoritativi. Se questo è il caso del tuo ambiente , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:Runtime/MetaDataDNSRebind. Il secondo criterio di filtro deve essere il Dominio richiesta DNS o l'ID immagine del container. Il valore del Dominio richiesta DNS deve corrispondere al dominio mappato all'indirizzo IP dei metadati (169.254.169.254). Per informazioni sulla creazione di regole di eliminazione, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Execution:Runtime/NewBinaryExecuted

È stato eseguito un file binario appena creato o modificato di recente in un container.

Gravità predefinita: media

Questo risultato indica che è stato eseguito un file binario appena creato o modificato di recente in un contenitore. Ti consigliamo di mantenere i container non modificabili in fase di runtime. Inoltre, i file binari, gli script e le librerie non devono essere creati o modificati durante il ciclo di vita del container. Questo comportamento indica che un malintenzionato che ha ottenuto l'accesso al contenitore ha scaricato ed eseguito malware o altro software come parte della potenziale compromissione. Sebbene questo tipo di attività possa essere indice di una compromissione, è anche un modello di utilizzo comune. Pertanto, GuardDuty utilizza meccanismi per identificare i casi sospetti di questa attività e genera questo tipo di risultati solo per i casi sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Per identificare il processo di modifica e il nuovo file binario, visualizza i dettagli del processo di modifica e i dettagli del processo

I dettagli del processo di modifica sono inclusi nel service.runtimeDetails.context.modifyingProcess campo del codice JSON di ricerca o in Processo di modifica nel pannello dei dettagli di ricerca. Per questo tipo di ricerca, il processo di modifica è /usr/bin/dpkg identificato dal service.runtimeDetails.context.modifyingProcess.executablePath campo del JSON di ricerca o come parte del processo di modifica nel pannello dei dettagli del risultato.

I dettagli del file binario nuovo o modificato eseguito sono inclusi nella sezione JSON service.runtimeDetails.process di ricerca o nella sezione Process in Runtime details. Per questo tipo di ricerca, il file binario nuovo o modificato è/usr/bin/python3.8, come indicato dal campo service.runtimeDetails.process.executablePath (Percorso eseguibile).

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Un processo all'interno di un container comunica con il daemon Docker utilizzando il socket Docker.

Gravità predefinita: media

Il socket Docker è un socket di dominio Unix utilizzato da daemon Docker (dockerd) per comunicare con i propri client. Un client può eseguire varie operazioni, come la creazione di container comunicando con il daemon Docker tramite il socket Docker. È sospetto che un processo del container acceda al socket Docker. Un processo contenitore può uscire dal contenitore e ottenere un accesso a livello di host comunicando con il socket Docker e creando un contenitore privilegiato.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/RuncContainerEscape

È stato rilevato un tentativo di fuga dal contenitore tramite RunC.

Gravità predefinita: alta

RunC è il runtime di container di basso livello utilizzato dai runtime di container di alto livello, come Docker e Containerd, per generare ed eseguire contenitori. RunC viene sempre eseguito con i privilegi di root perché deve eseguire l'operazione di basso livello di creazione di un contenitore. Un autore di minacce può ottenere l'accesso a livello di host modificando o sfruttando una vulnerabilità nel binario RunC.

Questa scoperta rileva la modifica del binario RunC e i potenziali tentativi di sfruttare le seguenti vulnerabilità RunC:

Questo risultato può indicare che un malintenzionato ha tentato di sfruttare uno dei seguenti tipi di contenitori:

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

È stato rilevato un tentativo di fuga dal container tramite il CGroups release agent.

Gravità predefinita: alta

Questo esito segnala che è stato rilevato un tentativo di modificare un file dell'agente di rilascio del gruppo di controllo (cgroup). Linux utilizza i gruppi di controllo (cgroup) per limitare, tenere in considerazione e isolare l'utilizzo delle risorse di una raccolta di processi. Ogni cgroup ha un file dell'agente di rilascio (release_agent), uno script che Linux esegue quando termina un processo all'interno del cgroup. Il file dell'agente di rilascio viene sempre eseguito a livello di host. Un autore di minacce all'interno di un container può sfuggire all'host scrivendo comandi arbitrari nel file dell'agente di rilascio che appartiene a un cgroup. Al termine di un processo all'interno di questo cgroup, i comandi scritti dall'autore vengono eseguiti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Proc

È stata rilevata un'iniezione di processo utilizzando il filesystem proc in un contenitore o in un'istanza Amazon. EC2

Gravità predefinita: alta

L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Il file system proc (procfs) è un particolare file system in Linux che presenta la memoria virtuale del processo come file. Il percorso di questo file è /proc/PID/mem, in cui PID è l'ID univoco del processo. Un autore di minacce può scrivere su questo file per iniettare codice nel processo. Questo esito identifica potenziali tentativi di scrittura sul file in questione.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

È stata rilevata un'iniezione di processo utilizzando la chiamata di sistema ptrace in un contenitore o in un' EC2 istanza Amazon.

Gravità predefinita: media

L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Un processo può utilizzare la chiamata di sistema ptrace per iniettare codice in un altro processo. Questo esito identifica un potenziale tentativo di iniettare codice in un processo utilizzando la chiamata di sistema ptrace.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

È stata rilevata un'iniezione di processo tramite scrittura diretta nella memoria virtuale in un contenitore o in un' EC2istanza Amazon.

Gravità predefinita: alta

L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Un processo può utilizzare una chiamata di sistema, ad esempio process_vm_writev, per iniettare codice direttamente nella memoria virtuale di un altro processo. Questo esito identifica un potenziale tentativo di iniettare codice in un processo utilizzando una chiamata di sistema per scrivere nella memoria virtuale del processo stesso.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Execution:Runtime/ReverseShell

Un processo in un contenitore o in un' EC2 istanza Amazon ha creato una shell inversa.

Gravità predefinita: alta

Una shell (interprete di comandi) inversa è una sessione di shell creata su una connessione avviata dall'host di destinazione all'host dell'attore, ossia l'opposto di una normale shell (interprete di comandi), che viene invece avviata dall'host dell'attore all'host di destinazione. Gli autori delle minacce creano una shell (interprete di comandi) inversa per eseguire comandi sulla destinazione dopo aver ottenuto l'accesso iniziale. Questo esito identifica un potenziale tentativo di creare una shell (interprete di comandi) inversa.

Raccomandazioni per la correzione:

Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso.

DefenseEvasion:Runtime/FilelessExecution

Un processo in un contenitore o in un' EC2 istanza Amazon esegue codice dalla memoria.

Gravità predefinita: media

Questo esito segnala un processo eseguito utilizzando un file eseguibile in memoria su disco. Si tratta di una tecnica comune di evasione della difesa in cui il file eseguibile dannoso non viene scritto sul disco per eludere il rilevamento basato sulla scansione del file system. Sebbene questa sia una tecnica utilizzata dal malware, presenta anche alcuni casi d'uso legittimi. Uno degli esempi è un compilatore just-in-time (JIT) che scrive codice compilato in memoria e lo esegue dalla memoria.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Impact:Runtime/CryptoMinerExecuted

Un container o un' EC2istanza Amazon sta eseguendo un file binario associato a un'attività di mining di criptovalute.

Gravità predefinita: alta

Questa scoperta ti informa che un contenitore o un' EC2 istanza nel tuo AWS ambiente sta eseguendo un file binario associato a un'attività di mining di criptovalute. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console e vediCorrezione dei risultati del Runtime Monitoring.

Execution:Runtime/NewLibraryLoaded

Una libreria appena creata o modificata di recente è stata caricata da un processo all'interno di un container.

Gravità predefinita: media

Questo esito segnala che una libreria è stata creata o modificata all'interno di un container durante il runtime e caricata da un processo in esecuzione all'interno del container. La best practice è quella di mantenere i container non modificabili in fase di runtime e di non creare o modificare i file binari, gli script e le librerie durante il ciclo di vita del container. Il caricamento di una libreria appena creata o modificata in un container può indicare attività sospette. Questo comportamento indica che un utente malintenzionato ha potenzialmente ottenuto l'accesso al container e che ha scaricato ed eseguito malware o altro software come parte della potenziale compromissione. Sebbene questo tipo di attività possa essere indice di un compromesso, è anche un modello di utilizzo comune. Pertanto, GuardDuty utilizza meccanismi per identificare i casi sospetti di questa attività e genera questo tipo di risultati solo per i casi sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Un processo all'interno di un container ha montato un file system host in fase di runtime.

Gravità predefinita: media

Diverse tecniche di evasione da un container prevedono il montaggio di un file system host al suo interno in fase di runtime. Questo esito segnala che un processo all'interno di un container ha potenzialmente tentato di montare un file system host, il che potrebbe indicare un tentativo di sfuggire all'host.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Un processo ha utilizzato chiamate di sistema userfaultfd per gestire errori di pagina nello spazio utente.

Gravità predefinita: media

In genere, gli errori di pagina vengono gestiti dal kernel nello spazio corrispondente. Tuttavia, la chiamata di sistema userfaultfd consente a un processo di gestire gli errori di pagina su un file system nello spazio utente. Questa funzionalità è utile perché abilita l'implementazione di file system nello spazio utente. D'altra parte, può anche essere usata da un processo potenzialmente dannoso per interrompere il kernel dallo spazio utente. L'interruzione del kernel tramite la chiamata di sistema userfaultfd è una tecnica di sfruttamento comune volta a estendere le finestre di gara durante lo sfruttamento delle condizioni di gara del kernel. L'uso di userfaultfd può indicare attività sospette sull'istanza Amazon Elastic Compute Cloud EC2 (Amazon).

L'agente GuardDuty di runtime monitora gli eventi da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Execution:Runtime/SuspiciousTool

Un container o un' EC2 istanza Amazon esegue un file o uno script binario che viene spesso utilizzato in scenari di sicurezza offensivi come il pentesting engagement.

Gravità predefinita: variabile

La gravità di questo risultato può essere elevata o bassa, a seconda che lo strumento sospetto rilevato sia considerato a duplice uso o destinato esclusivamente a un uso offensivo.

Questo risultato indica che uno strumento sospetto è stato eseguito su un' EC2 istanza o un contenitore all'interno del vostro ambiente. AWS Ciò include gli strumenti utilizzati nelle interazioni di pentesting, noti anche come strumenti di backdoor, scanner di rete e sniffer di rete. Tutti questi strumenti possono essere utilizzati in contesti benigni, ma sono spesso utilizzati anche da autori di minacce con intenzioni malevole. L'osservazione di strumenti di sicurezza offensivi potrebbe indicare che l' EC2 istanza o il contenitore associati sono stati compromessi.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Execution:Runtime/SuspiciousCommand

Un comando sospetto è stato eseguito su un' EC2 istanza Amazon o su un contenitore indicativo di una compromissione.

Gravità predefinita: variabile

A seconda dell'impatto del pattern dannoso osservato, la gravità di questo tipo di rilevamento potrebbe essere bassa, media o alta.

Questo risultato indica che è stato eseguito un comando sospetto e indica che un' EC2 istanza Amazon o un contenitore nel tuo AWS ambiente sono stati compromessi. Ciò potrebbe significare che un file è stato scaricato da una fonte sospetta e quindi eseguito oppure che un processo in esecuzione mostra uno schema dannoso noto nella riga di comando. Ciò indica inoltre che sul sistema è in esecuzione del malware.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

DefenseEvasion:Runtime/SuspiciousCommand

Un comando è stato eseguito sull' EC2 istanza Amazon o su un contenitore elencato, tenta di modificare o disabilitare un meccanismo di difesa Linux, come un firewall o servizi di sistema essenziali.

Gravità predefinita: variabile

A seconda del meccanismo di difesa modificato o disabilitato, la gravità di questo tipo di risultato può essere alta, media o bassa.

Questa scoperta indica che è stato eseguito un comando che tenta di nascondere un attacco ai servizi di sicurezza del sistema locale. Ciò include azioni come la disabilitazione del firewall Unix, la modifica delle tabelle IP locali, la rimozione crontab voci, disabilitazione di un servizio locale o assunzione della funzione. LDPreload Qualsiasi modifica è altamente sospetta e rappresenta un potenziale indicatore di compromissione. Pertanto, questi meccanismi rilevano o impediscono ulteriori compromissioni del sistema.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

DefenseEvasion:Runtime/PtraceAntiDebugging

Un processo in un contenitore o in un' EC2 istanza Amazon ha eseguito una misura anti-debug utilizzando la chiamata di sistema ptrace.

Gravità predefinita: bassa

Questo risultato mostra che un processo in esecuzione su un' EC2 istanza Amazon o su un contenitore all'interno del tuo AWS ambiente ha utilizzato la chiamata di sistema ptrace con l'PTRACE_TRACEMEopzione. Questa attività provocherebbe il distacco di un debugger collegato dal processo in esecuzione. Se non è collegato alcun debugger, non ha alcun effetto. Tuttavia, l'attività di per sé solleva sospetti. Ciò potrebbe indicare che sul sistema è in esecuzione del malware. Il malware utilizza spesso tecniche anti-debug per eludere l'analisi e queste tecniche possono essere rilevate in fase di esecuzione.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Execution:Runtime/MaliciousFileExecuted

Un file eseguibile dannoso noto è stato eseguito su un' EC2 istanza o un contenitore Amazon.

Gravità predefinita: alta

Questa scoperta ti informa che un file eseguibile dannoso noto è stato eseguito su un' EC2istanza Amazon o su un contenitore all'interno del tuo AWS ambiente. Si tratta di un forte indicatore del fatto che l'istanza o il contenitore sono stati potenzialmente compromessi e che il malware è stato eseguito.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Execution:Runtime/SuspiciousShellCreated

Un servizio di rete o un processo accessibile dalla rete su un' EC2 istanza Amazon o in un contenitore ha avviato un processo shell interattivo.

Gravità predefinita: bassa

Questa scoperta ti informa che un servizio accessibile in rete su un' EC2 istanza Amazon o in un contenitore all'interno del tuo AWS ambiente ha lanciato una shell interattiva. In determinate circostanze, questo scenario può indicare un comportamento successivo allo sfruttamento. Le shell interattive consentono agli aggressori di eseguire comandi arbitrari su un'istanza o un contenitore compromessi.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. È possibile visualizzare le informazioni sul processo accessibili dalla rete nei dettagli del processo principale.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/ElevationToRoot

Un processo in esecuzione sull' EC2 istanza o sul contenitore Amazon elencato ha assunto i privilegi di root.

Gravità predefinita: media

Questa scoperta ti informa che un processo in esecuzione sull'Amazon elencato EC2 o nel contenitore elencato all'interno del tuo AWS ambiente ha assunto i privilegi di root a causa di un'esecuzione binaria insolita o sospettasetuid. Ciò indica che un processo in esecuzione è stato potenzialmente compromesso, EC2 ad esempio a causa di un exploit o di uno sfruttamento. setuid Utilizzando i privilegi di root, l'aggressore può potenzialmente eseguire comandi sull'istanza o sul contenitore.

Sebbene GuardDuty sia progettato per non generare questo tipo di risultati per attività che richiedono l'uso regolare del sudo comando, lo genererà quando identificherà l'attività come insolita o sospetta.

GuardDuty esamina l'attività e il contesto di runtime correlati e genera questo tipo di risultato solo quando l'attività e il contesto associati sono insoliti o sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Discovery:Runtime/SuspiciousCommand

È stato eseguito un comando sospetto su un' EC2 istanza Amazon o in un container, che consente a un utente malintenzionato di ottenere informazioni sul sistema locale, sull' AWS infrastruttura circostante o sull'infrastruttura del container.

Gravità predefinita: bassa

Funzionalità: monitoraggio del runtime

Questo risultato ti informa che l' EC2 istanza o il contenitore Amazon elencato nel tuo AWS ambiente ha eseguito un comando che potrebbe fornire a un utente malintenzionato informazioni cruciali per far avanzare potenzialmente l'attacco. È possibile che siano state recuperate le seguenti informazioni:

L' EC2 istanza Amazon o il contenitore elencato nei dettagli del risultato potrebbero essere stati compromessi.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Puoi trovare i dettagli sul comando sospetto nel service.runtimeDetails.context campo del file JSON di ricerca.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

Persistence:Runtime/SuspiciousCommand

È stato eseguito un comando sospetto su un' EC2 istanza Amazon o in un container, che consente a un utente malintenzionato di mantenere l'accesso e il controllo nel tuo ambiente. AWS

Gravità predefinita: media

Questa scoperta ti informa che un comando sospetto è stato eseguito su un' EC2 istanza Amazon o in un contenitore all'interno del tuo AWS ambiente. Il comando installa un metodo di persistenza che consente al malware di funzionare senza interruzioni o consente a un utente malintenzionato di accedere continuamente all'istanza o al tipo di risorsa del contenitore potenzialmente compromessi. Ciò potrebbe potenzialmente significare che un servizio di sistema è stato installato o modificato, che è crontab stato modificato o che un nuovo utente è stato aggiunto alla configurazione del sistema.

GuardDuty esamina l'attività e il contesto di runtime correlati e genera questo tipo di risultato solo quando l'attività e il contesto associati sono insoliti o sospetti.

L' EC2 istanza Amazon o il contenitore elencato nei dettagli del risultato potrebbero essere stati compromessi.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Puoi trovare i dettagli sul comando sospetto nel service.runtimeDetails.context campo del file JSON di ricerca.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.

PrivilegeEscalation:Runtime/SuspiciousCommand

È stato eseguito un comando sospetto su un' EC2 istanza Amazon o in un contenitore, che consente a un utente malintenzionato di aumentare i privilegi.

Gravità predefinita: media

Questa scoperta ti informa che un comando sospetto è stato eseguito su un' EC2 istanza Amazon o in un contenitore all'interno del tuo AWS ambiente. Il comando tenta di eseguire l'escalation dei privilegi, che consente a un avversario di eseguire attività con privilegi elevati.

GuardDuty esamina l'attività e il contesto di runtime correlati e genera questo tipo di risultato solo quando l'attività e il contesto associati sono insoliti o sospetti.

L' EC2 istanza Amazon o il contenitore elencato nei dettagli del risultato potrebbero essere stati compromessi.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Correzione dei risultati del Runtime Monitoring.