Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

GuardDuty tipi di ricerca della sequenza di attacco

PDF
RSS
Modalità Focus
GuardDuty tipi di ricerca della sequenza di attacco - Amazon GuardDuty
AttackSequence:IAM/CompromisedCredentialsAttackSequence:S3/CompromisedData

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

GuardDuty rileva una sequenza di attacco quando una sequenza specifica di più azioni si allinea a un'attività potenzialmente sospetta. Una sequenza di attacco include segnali come le attività e i risultati delle API. GuardDuty Quando GuardDuty osserva un gruppo di segnali in una sequenza specifica che indica una minaccia alla sicurezza in corso, in corso o recente, GuardDuty genera una rilevazione della sequenza di attacco. GuardDuty considera le singole attività delle API come weak signals se non si presentassero come una potenziale minaccia.

I rilevamenti delle sequenze di attacco si concentrano sulla potenziale compromissione dei dati di Amazon S3 (che possono far parte di un attacco ransomware più ampio) e sulla compromissione delle credenziali. AWS Le sezioni seguenti forniscono dettagli su ciascuna delle sequenze di attacco.

AttackSequence:IAM/CompromisedCredentials

Una sequenza di richieste API che sono state richiamate utilizzando credenziali potenzialmente AWS compromesse.

Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette eseguite utilizzando AWS credenziali che hanno un impatto su una o più risorse dell'ambiente. Sono stati osservati più comportamenti di attacco sospetti e anomali con le stesse credenziali, con conseguente maggiore certezza che le credenziali vengano utilizzate in modo improprio.

GuardDuty utilizza i propri algoritmi di correlazione proprietari per osservare e identificare la sequenza di azioni eseguite utilizzando la credenziale IAM. GuardDuty valuta i risultati dei piani di protezione e di altre fonti di segnale per identificare modelli di attacco comuni ed emergenti. GuardDuty utilizza diversi fattori per far emergere le minacce, come la reputazione IP, le sequenze API, la configurazione degli utenti e le risorse potenzialmente interessate.

Azioni correttive: se questo comportamento è imprevisto nell'ambiente in uso, è possibile che le AWS credenziali siano state compromesse. Per le procedure da seguire per rimediare, consulta. Riparazione delle credenziali potenzialmente compromesse AWS Le credenziali compromesse potrebbero essere state utilizzate per creare o modificare risorse aggiuntive, come bucket Amazon S3, AWS Lambda funzioni o istanze EC2 Amazon, nel tuo ambiente. Per informazioni su come correggere altre risorse che potrebbero essere state potenzialmente interessate, consulta. Correzione dei problemi di GuardDuty sicurezza rilevati

AttackSequence:S3/CompromisedData

È stata richiamata una sequenza di richieste API in un potenziale tentativo di esfiltrare o distruggere dati in Amazon S3.

Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette indicative di una compromissione dei dati in uno o più bucket Amazon Simple Storage Service (Amazon S3), utilizzando credenziali potenzialmente compromesse. AWS Sono stati osservati diversi comportamenti di attacco sospetti e anomali (richieste API), con conseguente maggiore fiducia nell'uso improprio delle credenziali.

GuardDuty utilizza i suoi algoritmi di correlazione per osservare e identificare la sequenza di azioni eseguite utilizzando la credenziale IAM. GuardDuty quindi valuta i risultati dei piani di protezione e di altre fonti di segnale per identificare modelli di attacco comuni ed emergenti. GuardDuty utilizza diversi fattori per far emergere le minacce, come la reputazione IP, le sequenze API, la configurazione degli utenti e le risorse potenzialmente interessate.

Azioni correttive: se questa attività è imprevista nel tuo ambiente, AWS le tue credenziali o i dati di Amazon S3 potrebbero essere stati potenzialmente esfiltrati o distrutti. Per le procedure di correzione, consulta e. Riparazione delle credenziali potenzialmente compromesse AWS Riparazione di un bucket S3 potenzialmente compromesso

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.