GuardDuty EC2 tipi di ricerca

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

I seguenti risultati sono specifici per EC2 le risorse di Amazon e hanno sempre un tipo di risorsa diInstance. La gravità e i dettagli dei risultati variano in base al ruolo della risorsa, che indica se la EC2 risorsa è stata oggetto di attività sospette o l'attore che ha svolto l'attività.

Gli esiti qui elencati includono le origini dati e i modelli utilizzati per generare quel tipo di esito. Per ulteriori informazioni sulle origini dati e sui modelli, consulta GuardDuty fonti di dati fondamentali.

Per tutti i EC2 risultati, si consiglia di esaminare la risorsa in questione per determinare se si comporta nel modo previsto. Se l'attività è autorizzata, puoi utilizzare le regole di eliminazione o gli elenchi di indirizzi IP affidabili per prevenire notifiche false positive per quella risorsa. Se l'attività non è prevista, la best practice di sicurezza consiste nel presupporre che l'istanza sia stata compromessa e intraprendere le azioni dettagliate in Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/C&CActivity.B

Un' EC2 istanza sta interrogando un IP associato a un server di comando e controllo noto.

Gravità predefinita: alta

Questo esito segnala che l'istanza elencata all'interno del tuo ambiente AWS esegue una query su un IP associato a un server di comando e controllo (C&C) noto. L'istanza elencata potrebbe essere compromessa. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è un insieme di dispositivi connessi a Internet che può includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco Denial of Service (S) distribuito. DDo

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/C&CActivity.B!DNS

Un' EC2 istanza sta interrogando un nome di dominio associato a un server di comando e controllo noto.

Gravità predefinita: alta

Questo esito segnala che l'istanza elencata all'interno del tuo ambiente AWS esegue una query su un nome di dominio associato a un server di comando e controllo (C&C) noto. L'istanza elencata potrebbe essere compromessa. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è un insieme di dispositivi connessi a Internet che può includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco Denial of Service (S) distribuito. DDo

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/DenialOfService.Dns

Un' EC2 istanza si comporta in un modo che può indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo DNS.

Gravità predefinita: alta

Questo risultato indica che l' EC2 istanza elencata nel tuo AWS ambiente sta generando un grande volume di traffico DNS in uscita. Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo DNS.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/DenialOfService.Tcp

Un' EC2 istanza si comporta in un modo che indica che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo TCP.

Gravità predefinita: alta

Questo risultato indica che l' EC2 istanza elencata nel tuo AWS ambiente sta generando un grande volume di traffico TCP in uscita. Ciò può indicare che l'istanza è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo TCP.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/DenialOfService.Udp

Un' EC2 istanza si comporta in un modo che indica che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo UDP.

Gravità predefinita: alta

Questo risultato indica che l' EC2 istanza elencata all'interno del vostro AWS ambiente sta generando un grande volume di traffico UDP in uscita. Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo UDP.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Un' EC2istanza si comporta in un modo che può indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo UDP su una porta TCP.

Gravità predefinita: alta

Questo risultato indica che l' EC2 istanza elencata nell' AWS ambiente in uso sta generando un grande volume di traffico UDP in uscita destinato a una porta generalmente utilizzata per la comunicazione TCP. Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo UDP su una porta TCP.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/DenialOfService.UnusualProtocol

Un' EC2istanza si comporta in un modo che può indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando un protocollo insolito.

Gravità predefinita: alta

Questo risultato indica che l' EC2 istanza elencata nell' AWS ambiente in uso genera un grande volume di traffico in uscita da un tipo di protocollo insolito che in genere non viene utilizzato dalle EC2 istanze, come Internet Group Management Protocol. Ciò può indicare che l'istanza è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando un protocollo insolito. Questo risultato rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/Spambot

Un' EC2 istanza mostra un comportamento insolito quando comunica con un host remoto sulla porta 25.

Gravità predefinita: media

Questo risultato indica che l' EC2 istanza elencata nel vostro AWS ambiente sta comunicando con un host remoto sulla porta 25. Questo comportamento è insolito perché questa EC2 istanza non ha una cronologia precedente di comunicazioni sulla porta 25. La porta 25 è tradizionalmente utilizzata dai server di posta per le comunicazioni SMTP. Questo risultato indica che la tua EC2 istanza potrebbe essere compromessa per essere utilizzata per l'invio di spam.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Behavior:EC2/NetworkPortUnusual

Un' EC2 istanza sta comunicando con un host remoto su una porta server insolita.

Gravità predefinita: media

Questo risultato indica che l' EC2 istanza elencata nell' AWS ambiente in uso si comporta in modo diverso dalla linea di base stabilita. Questa EC2 istanza non ha una cronologia precedente di comunicazioni su questa porta remota.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Behavior:EC2/TrafficVolumeUnusual

Un' EC2 istanza genera quantità insolitamente elevate di traffico di rete verso un host remoto.

Gravità predefinita: media

Questo risultato indica che l' EC2 istanza elencata nell' AWS ambiente in uso si comporta in modo diverso dalla linea di base stabilita. Questa EC2 istanza non ha precedenti di invio di una tale quantità di traffico a questo host remoto.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

CryptoCurrency:EC2/BitcoinTool.B

Un' EC2 istanza sta interrogando un indirizzo IP associato ad attività relative alle criptovalute.

Gravità predefinita: alta

Questa scoperta ti informa che l' EC2 istanza elencata nel tuo AWS ambiente sta interrogando un indirizzo IP associato a Bitcoin o ad altre attività legate alle criptovalute. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.

Raccomandazioni per la correzione:

Se utilizzi questa EC2 istanza per estrarre o gestire criptovalute, o se questa istanza è altrimenti coinvolta in attività legate alla blockchain, questo risultato potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di CryptoCurrency:EC2/BitcoinTool.B. Il secondo criterio di filtro dovrebbe essere l'ID istanza dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di soppressione in GuardDuty.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Un' EC2 istanza sta interrogando un nome di dominio associato ad attività legate alle criptovalute.

Gravità predefinita: alta

Questa scoperta ti informa che l' EC2 istanza elencata nel tuo AWS ambiente sta interrogando un nome di dominio associato a Bitcoin o ad altre attività legate alle criptovalute. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.

Raccomandazioni per la correzione:

Se utilizzi questa EC2 istanza per estrarre o gestire criptovalute, o se questa istanza è altrimenti coinvolta in attività legate alla blockchain, questo risultato potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di CryptoCurrency:EC2/BitcoinTool.B!DNS. Il secondo criterio di filtro dovrebbe essere l'ID istanza dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di soppressione in GuardDuty.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

DefenseEvasion:EC2/UnusualDNSResolver

Un' EC2istanza Amazon comunica con un resolver DNS pubblico insolito.

Gravità predefinita: media

Questo risultato ti informa che l' EC2 istanza Amazon elencata nel tuo AWS ambiente si comporta in modo diverso dal comportamento di base. Questa EC2 istanza non ha precedenti di comunicazione con questo resolver DNS pubblico. Il campo Insolito nel pannello dei dettagli di ricerca della GuardDuty console può fornire informazioni sul resolver DNS richiesto.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

DefenseEvasion:EC2/UnusualDoHActivity

Un' EC2 istanza Amazon sta eseguendo una comunicazione DNS su HTTPS (DoH) insolita.

Gravità predefinita: media

Questo risultato indica che l' EC2 istanza Amazon elencata nel tuo AWS ambiente si comporta in modo diverso dalla linea di base stabilita. Questa EC2 istanza non ha alcuna cronologia recente di comunicazioni DNS su HTTPS (DoH) con questo server DoH pubblico. Il campo Insolito nei dettagli degli esiti può fornire informazioni sul server DoH su cui è stata effettuata la query.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

DefenseEvasion:EC2/UnusualDoTActivity

Un' EC2istanza Amazon sta eseguendo una comunicazione DNS over TLS (DoT) insolita.

Gravità predefinita: media

Questo risultato ti informa che l' EC2 istanza elencata nel tuo AWS ambiente si comporta in modo diverso dalla linea di base stabilita. Questa EC2 istanza non ha alcuna cronologia recente di comunicazioni DNS over TLS (DoT) con questo server DoT pubblico. Il campo Insolito nel pannello dei dettagli dell'esito può fornire informazioni sul server DoT su cui è stata effettuata la query.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/AbusedDomainRequest.Reputation

Un' EC2istanza sta interrogando un nome di dominio a bassa reputazione associato a domini noti di abuso.

Gravità predefinita: media

Questo risultato ti informa che l' EC2 istanza Amazon elencata nel tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a domini o indirizzi IP noti per abuso. Esempi di domini abusati sono i nomi di dominio di primo livello (TLDs) e i nomi di dominio di secondo livello (2LDs) che offrono registrazioni gratuite di sottodomini e provider DNS dinamici. Gli autori delle minacce tendono a utilizzare questi servizi per registrare domini gratuitamente o a basso costo. I domini a bassa reputazione di questa categoria possono anche essere domini scaduti che vengono sostituiti con l'indirizzo IP di parcheggio di un registrar e quindi potrebbero non essere più attivi. Un IP di parcheggio è il luogo in cui un registrar indirizza il traffico verso domini che non sono stati collegati ad alcun servizio. L' EC2 istanza Amazon elencata potrebbe essere compromessa poiché gli autori delle minacce utilizzano comunemente questi registrar o servizi per C&C e la distribuzione di malware.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/BitcoinDomainRequest.Reputation

Un' EC2istanza sta interrogando un nome di dominio a bassa reputazione associato ad attività legate alle criptovalute.

Gravità predefinita: alta

Questa scoperta ti informa che l' EC2 istanza Amazon elencata nel tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a Bitcoin o ad altre attività legate alle criptovalute. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se utilizzi questa EC2 istanza per estrarre o gestire criptovalute, o se questa istanza è altrimenti coinvolta in attività legate alla blockchain, questo risultato potrebbe rappresentare l'attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Impact:EC2/BitcoinDomainRequest.Reputation. Il secondo criterio di filtro dovrebbe essere l'ID istanza dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di soppressione in GuardDuty.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/MaliciousDomainRequest.Reputation

Un' EC2istanza sta interrogando un dominio a bassa reputazione associato a domini dannosi noti.

Gravità predefinita: alta

Questo risultato ti informa che l' EC2 istanza Amazon elencata nel tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a domini o indirizzi IP dannosi noti. Ad esempio, i domini possono essere associati a un indirizzo IP sinkhole noto. I domini sinkhole sono domini che sono stati precedentemente controllati da un autore di minacce e se vengono inoltrate richieste a questi domini può significare che l'istanza è compromessa. Questi domini possono anche essere correlati a campagne dannose note o algoritmi di generazione di domini.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/PortSweep

Un' EC2 istanza sta sondando una porta su un gran numero di indirizzi IP.

Gravità predefinita: alta

Questo risultato indica che l' EC2 istanza elencata nel tuo AWS ambiente sta controllando una porta su un gran numero di indirizzi IP instradabili pubblicamente. Questo tipo di attività viene in genere utilizzato per trovare host vulnerabili da sfruttare. Nel pannello dei dettagli di ricerca della GuardDuty console, viene visualizzato solo l'indirizzo IP remoto più recente

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/SuspiciousDomainRequest.Reputation

Un' EC2istanza consiste nell'eseguire una query su un nome di dominio di bassa reputazione che è di natura sospetta a causa della sua età o della scarsa popolarità.

Gravità predefinita: bassa

Questa scoperta ti informa che l' EC2 istanza Amazon elencata nel tuo AWS ambiente sta interrogando un nome di dominio di bassa reputazione sospettato di essere dannoso. Abbiamo notato che le caratteristiche di questo dominio erano coerenti con i domini dannosi osservati in precedenza, tuttavia il nostro modello di reputazione non è stato in grado di collegarlo in modo definitivo a una minaccia nota. Questi domini vengono in genere osservati per la prima volta o ricevono una quantità di traffico ridotta.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/WinRMBruteForce

Un' EC2 istanza sta eseguendo un attacco di forza brute force di gestione remota di Windows in uscita.

Gravità predefinita: bassa*

Questo risultato indica che l' EC2 istanza elencata nell' AWS ambiente in uso sta eseguendo un attacco di forza bruta di Windows Remote Management (WinRM) volto a ottenere l'accesso al servizio di gestione remota Windows su sistemi basati su Windows.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Recon:EC2/PortProbeEMRUnprotectedPort

Un' EC2 istanza ha una porta relativa all'EMR non protetta che viene rilevata da un host malevolo noto.

Gravità predefinita: alta

Questo risultato indica che una porta sensibile relativa all'EMR sull'istanza EC2 elencata che fa parte di un cluster nell'ambiente in AWS uso non è bloccata da un gruppo di sicurezza, da una lista di controllo degli accessi (ACL) o da un firewall on-host come Linux. IPTables Questa scoperta indica inoltre che scanner noti su Internet stanno esaminando attivamente questa porta. Le porte che possono attivare questo esito, ad esempio la porta 8088 (porta dell'interfaccia utente Web YARN), potrebbero potenzialmente essere utilizzate per l'esecuzione di codice in modalità remota.

Raccomandazioni per la correzione:

Ti consigliamo di bloccare l'accesso aperto alle porte su cluster da Internet e limitare l'accesso solo a indirizzi IP specifici che richiedono l'accesso a queste porte. Per ulteriori informazioni, consultare Gruppi di sicurezza per cluster EMR.

Recon:EC2/PortProbeUnprotectedPort

Un' EC2 istanza ha una porta non protetta che viene rilevata da un host malevolo noto.

Gravità predefinita: bassa*

Questo risultato indica che una porta sull' EC2 istanza elencata nell' AWS ambiente in uso non è bloccata da un gruppo di sicurezza, da una lista di controllo degli accessi (ACL) o da un firewall on-host come Linux IPTables, e che noti scanner su Internet la stanno esaminando attivamente.

Se la porta non protetta identificata è 22 o 3389 e si utilizzano queste porte per connettersi all'istanza, è comunque possibile limitare l'esposizione consentendo l'accesso a queste porte solo agli indirizzi IP dello spazio degli indirizzi IP della rete aziendale. Per limitare l'accesso alla porta 22 su Linux, consulta Authorizing Inbound Traffic for Your Linux Instance. Per limitare l'accesso alla porta 3389 su Windows, consulta Authorizing Inbound Traffic for Your Windows Instances.

GuardDuty non genera questo risultato per le porte 443 e 80.

Raccomandazioni per la correzione:

Tuttavia, ci possono essere casi in cui le istanze sono intenzionalmente esposte, ad esempio se ospitano server web. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/PortProbeUnprotectedPort. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta Regole di soppressione in GuardDuty.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Recon:EC2/Portscan

Un' EC2 istanza sta eseguendo scansioni delle porte in uscita verso un host remoto.

Gravità predefinita: media

Questo risultato indica che l' EC2 istanza elencata nel vostro AWS ambiente è coinvolta in un possibile attacco di scansione delle porte perché sta tentando di connettersi a più porte in un breve periodo di tempo. Lo scopo di un attacco port scan è di individuare le porte aperte per determinare quali servizi sono in esecuzione sulla macchina e per identificarne il sistema operativo.

Raccomandazioni per la correzione:

Questo risultato può rivelarsi un falso positivo se le applicazioni di valutazione delle vulnerabilità vengono distribuite su EC2 istanze dell'ambiente in uso, poiché tali applicazioni eseguono scansioni delle porte per avvisare l'utente in caso di porte aperte configurate in modo errato. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/Portscan. Il secondo criterio di filtro dovrebbe corrispondere all'istanza o alle istanze che ospitano questi strumenti di valutazione della vulnerabilità. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda dei criteri identificabili con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta Regole di soppressione in GuardDuty.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/BlackholeTraffic

Un' EC2 istanza sta tentando di comunicare con un indirizzo IP di un host remoto che è un buco nero noto.

Gravità predefinita: media

Questa scoperta indica che l' EC2 istanza elencata nel vostro AWS ambiente potrebbe essere compromessa perché sta tentando di comunicare con l'indirizzo IP di un buco nero (o sink hole). I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario. L'indirizzo IP di un buco nero designa un computer host non in esecuzione o un indirizzo a cui non è stato assegnato alcun host.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/BlackholeTraffic!DNS

Un' EC2 istanza sta interrogando un nome di dominio che viene reindirizzato a un indirizzo IP di un buco nero.

Gravità predefinita: media

Questa scoperta indica che l' EC2 istanza elencata nel tuo AWS ambiente potrebbe essere compromessa perché sta interrogando un nome di dominio che viene reindirizzato a un indirizzo IP di un buco nero. I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DGADomainRequest.B

Un' EC2 istanza sta interrogando domini generati algoritmicamente. Tali domini sono comunemente utilizzati dal malware e potrebbero essere un'indicazione di un'istanza compromessa. EC2

Gravità predefinita: alta

Questo risultato indica che l' EC2 istanza elencata nel tuo AWS ambiente sta tentando di interrogare i domini DGA (Domain Generation Algorithm). La tua EC2 istanza potrebbe essere compromessa.

DGAs vengono utilizzati per generare periodicamente un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l'arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DGADomainRequest.C!DNS

Un' EC2 istanza sta interrogando domini generati algoritmicamente. Tali domini sono comunemente utilizzati dal malware e potrebbero essere un'indicazione di un'istanza compromessa. EC2

Gravità predefinita: alta

Questo risultato indica che l' EC2 istanza elencata nel tuo AWS ambiente sta tentando di interrogare i domini DGA (Domain Generation Algorithm). La tua EC2 istanza potrebbe essere compromessa.

DGAs vengono utilizzati per generare periodicamente un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l'arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DNSDataExfiltration

Un' EC2 istanza sta esfiltrando dati tramite query DNS.

Gravità predefinita: alta

Questo risultato indica che l' EC2 istanza elencata nel tuo AWS ambiente utilizza un malware che utilizza query DNS per i trasferimenti di dati in uscita. Questo tipo di trasferimento di dati è indicativo di un'istanza compromessa e potrebbe comportare l'esfiltrazione di dati. Di solito, il traffico DNS non è bloccato dai firewall. Ad esempio, il malware presente in un' EC2 istanza compromessa può codificare i dati (come il numero della carta di credito) in una query DNS e inviarli a un server DNS remoto controllato da un utente malintenzionato.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DriveBySourceTraffic!DNS

Un' EC2 istanza sta interrogando il nome di dominio di un host remoto che è una fonte nota di attacchi di download Drive-By.

Gravità predefinita: alta

Questa scoperta indica che l' EC2 istanza elencata nell' AWS ambiente in uso potrebbe essere compromessa perché interroga il nome di dominio di un host remoto che è una fonte nota di attacchi drive-by download. Si tratta di download di software non voluti da Internet che possono attivare l'installazione automatica di virus, spyware o malware.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DropPoint

Un' EC2 istanza sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati acquisiti dal malware.

Gravità predefinita: media

Questo risultato indica che un' EC2 istanza del vostro AWS ambiente sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DropPoint!DNS

Un' EC2 istanza sta interrogando il nome di dominio di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.

Gravità predefinita: media

Questa scoperta indica che un' EC2 istanza del vostro AWS ambiente sta interrogando il nome di dominio di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/PhishingDomainRequest!DNS

Un' EC2 istanza consiste nell'interrogare i domini coinvolti negli attacchi di phishing. La tua EC2 istanza potrebbe essere compromessa.

Gravità predefinita: alta

Questa scoperta indica che nel tuo AWS ambiente è presente un' EC2 istanza che sta tentando di interrogare un dominio coinvolto in attacchi di phishing. I domini di phishing sono configurati da individui che fingono di essere un'istituzione legittima allo scopo di indurre gli utenti a fornire dati sensibili come informazioni personali, coordinate bancarie, informazioni di carte di credito e password. L' EC2 istanza potrebbe cercare di recuperare dati sensibili archiviati su un sito Web di phishing oppure potrebbe tentare di configurare un sito Web di phishing. La tua EC2 istanza potrebbe essere compromessa.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Un' EC2istanza sta effettuando connessioni a un indirizzo IP su un elenco di minacce personalizzato.

Gravità predefinita: media

Questa scoperta ti informa che un' EC2 istanza del tuo AWS ambiente sta comunicando con un indirizzo IP incluso in un elenco di minacce che hai caricato. In GuardDuty, un elenco di minacce è costituito da indirizzi IP dannosi noti. GuardDuty genera i risultati in base agli elenchi di minacce caricati. L'elenco delle minacce utilizzato per generare questo risultato verrà elencato nei dettagli del risultato.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

UnauthorizedAccess:EC2/MetadataDNSRebind

Un' EC2istanza sta eseguendo ricerche DNS che si risolvono nel servizio di metadati dell'istanza.

Gravità predefinita: alta

Questo risultato indica che un' EC2 istanza del vostro AWS ambiente sta interrogando un dominio che si risolve nell'indirizzo IP dei metadati (169.254.169.254). EC2 Una query DNS di questo tipo può indicare che l'istanza è la destinazione di una tecnica di rebinding DNS. Questa tecnica può essere utilizzata per ottenere metadati da un'istanza, incluse le credenziali IAM associate all'istanza. EC2

Il rebinding DNS consiste nell'indurre un'applicazione in esecuzione sull' EC2 istanza a caricare i dati di ritorno da un URL, dove il nome di dominio nell'URL si risolve nell'indirizzo IP dei metadati (169.254.169.254). EC2 Ciò fa sì che l'applicazione acceda ai metadati e, possibilmente, li renda disponibili all'aggressore. EC2

È possibile accedere ai EC2 metadati utilizzando il rebinding DNS solo se l' EC2istanza esegue un'applicazione vulnerabile che consente l'iniezione di URLs o se qualcuno accede all'URL in un browser Web in esecuzione sull'istanza. EC2

Raccomandazioni per la correzione:

In risposta a questo risultato, è necessario valutare se sull' EC2 istanza è in esecuzione un'applicazione vulnerabile o se qualcuno ha utilizzato un browser per accedere al dominio identificato nel risultato. Se la causa principale è un'applicazione vulnerabile, è necessario correggere la vulnerabilità. Se qualcuno ha navigato nel dominio identificato, è necessario bloccare il dominio o impedire agli utenti di accedervi. Se ritieni che questo risultato sia correlato a uno dei casi precedenti, revoca la sessione associata all' EC2 istanza.

Alcuni AWS clienti associano intenzionalmente l'indirizzo IP dei metadati a un nome di dominio sui propri server DNS autoritativi. Se questo è il caso del tuo ambiente , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:EC2/MetaDataDNSRebind. Il secondo criterio di filtro deve essere il dominio di richiesta DNS e il valore deve corrispondere al dominio mappato all'indirizzo IP dei metadati (169.254.169.254). Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di soppressione in GuardDuty.

UnauthorizedAccess:EC2/RDPBruteForce

Un' EC2 istanza è stata coinvolta in attacchi di forza bruta RDP.

Gravità predefinita: bassa*

Questo risultato indica che un' EC2 istanza del vostro AWS ambiente è stata coinvolta in un attacco di forza bruta volto a ottenere le password per i servizi RDP su sistemi basati su Windows. Ciò può indicare un accesso non autorizzato alle risorse AWS .

Raccomandazioni per la correzione:

Se il Ruolo risorsa dell'istanza è ACTOR, significa che l'istanza è stata utilizzata per eseguire gli attacchi di forza bruta RDP. A meno che questa istanza non abbia un motivo legittimo per contattare l'indirizzo IP elencato come Target, ti consigliamo di presumere che l'istanza sia stata compromessa e di intraprendere le azioni elencate in Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Se il ruolo di risorsa dell'istanza èTARGET, è possibile ovviare a questo problema assicurando che la porta RDP sia affidabile solo tramite gruppi di sicurezza o firewall. IPs ACLs Per ulteriori informazioni, consulta Suggerimenti per proteggere le istanze (Linux). EC2

UnauthorizedAccess:EC2/SSHBruteForce

Un' EC2 istanza è stata coinvolta in attacchi di forza bruta SSH.

Gravità predefinita: bassa*

Questa scoperta indica che un' EC2 istanza del vostro AWS ambiente è stata coinvolta in un attacco di forza bruta volto a ottenere le password per i servizi SSH su sistemi basati su Linux. Ciò può indicare un accesso non autorizzato alle risorse AWS .

Raccomandazioni per la correzione:

Se l'obiettivo del tentativo di forza bruta è un bastion host, questo potrebbe rappresentare il comportamento previsto per l'ambiente in uso. AWS In questo caso, si consiglia di impostare una regola di eliminazione per questa individuazione. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:EC2/SSHBruteForce. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta Regole di soppressione in GuardDuty.

Se questa attività non è prevista per l'ambiente in uso e lo è il ruolo di risorsa dell'istanzaTARGET, è possibile porre rimedio a questo problema assicurando che la porta SSH sia affidabile solo IPs tramite gruppi di sicurezza o firewall. ACLs Per ulteriori informazioni, consulta Suggerimenti per proteggere le istanze (Linux). EC2

Se il Ruolo risorsa dell'istanza è ACTOR, questo indica che l'istanza è stata utilizzata per eseguire gli attacchi di forza bruta SSH. A meno che questa istanza non abbia un motivo legittimo per contattare l'indirizzo IP elencato come Target, ti consigliamo di presumere che l'istanza sia stata compromessa e di intraprendere le azioni elencate in Correzione di un'istanza Amazon potenzialmente compromessa EC2.

UnauthorizedAccess:EC2/TorClient

La tua EC2 istanza sta effettuando connessioni a un nodo Tor Guard o a un nodo Authority.

Gravità predefinita: alta

Questa scoperta ti informa che un' EC2 istanza nel tuo AWS ambiente sta effettuando connessioni a un nodo Tor Guard o a un nodo Authority. Tor è un software che consente la comunicazione anonima. I Tor Guard e i nodi fungono da gateway iniziali per una rete Tor. Questo traffico può indicare che questa EC2 istanza è stata compromessa e agisce come client su una rete Tor. Questa scoperta potrebbe indicare un accesso non autorizzato alle tue AWS risorse con l'intento di nascondere la vera identità dell'aggressore.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

UnauthorizedAccess:EC2/TorRelay

La tua EC2 istanza sta effettuando connessioni a una rete Tor come relè Tor.

Gravità predefinita: alta

Questa scoperta ti informa che un' EC2 istanza del tuo AWS ambiente sta effettuando connessioni a una rete Tor in un modo che suggerisce che stia agendo come un relè Tor. Tor è un software che consente la comunicazione anonima. Tor aumenta l'anonimato della comunicazione inoltrando il traffico potenzialmente illecito del client da un relè Tor a un altro.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.