Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

GuardDuty EC2tipi di ricerca

I seguenti risultati sono specifici per EC2 le risorse di Amazon e hanno sempre un tipo di risorsa diInstance. La gravità e i dettagli dei risultati variano in base al ruolo della risorsa, che indica se la EC2 risorsa è stata oggetto di attività sospette o l'attore che ha svolto l'attività.

Gli esiti qui elencati includono le origini dati e i modelli utilizzati per generare quel tipo di esito. Per ulteriori informazioni sulle origini dati e sui modelli, consulta GuardDuty fonti di dati fondamentali.

Per tutti i EC2 risultati, si consiglia di esaminare la risorsa in questione per determinare se si comporta nel modo previsto. Se l'attività è autorizzata, puoi utilizzare le regole di eliminazione o gli elenchi di indirizzi IP affidabili per prevenire notifiche false positive per quella risorsa. Se l'attività non è prevista, la best practice di sicurezza consiste nel presupporre che l'istanza sia stata compromessa e intraprendere le azioni dettagliate in Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/C&CActivity.B

Un'EC2istanza sta interrogando un IP associato a un server di comando e controllo noto.

Gravità predefinita: alta

Questo esito segnala che l'istanza elencata all'interno del tuo ambiente AWS esegue una query su un IP associato a un server di comando e controllo (C&C) noto. L'istanza elencata potrebbe essere compromessa. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è un insieme di dispositivi connessi a Internet che può includere serverPCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco denial of service () distribuito. DDoS

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/C&CActivity.B!DNS

Un'EC2istanza sta interrogando un nome di dominio associato a un server di comando e controllo noto.

Gravità predefinita: alta

Questo esito segnala che l'istanza elencata all'interno del tuo ambiente AWS esegue una query su un nome di dominio associato a un server di comando e controllo (C&C) noto. L'istanza elencata potrebbe essere compromessa. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è un insieme di dispositivi connessi a Internet che può includere serverPCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco denial of service () distribuito. DDoS

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/DenialOfService.Dns

Un'EC2istanza si comporta in un modo che può indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il DNS protocollo.

Gravità predefinita: alta

Questo risultato indica che l'EC2istanza elencata nel tuo AWS ambiente sta generando un grande volume di traffico in uscitaDNS. Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il DNS protocollo.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/DenialOfService.Tcp

Un'EC2istanza si comporta in un modo che indica che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il TCP protocollo.

Gravità predefinita: alta

Questo risultato indica che l'EC2istanza elencata nel tuo AWS ambiente sta generando un grande volume di traffico in uscitaTCP. Ciò può indicare che l'istanza è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il TCP protocollo.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/DenialOfService.Udp

Un'EC2istanza si comporta in un modo che indica che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il UDP protocollo.

Gravità predefinita: alta

Questo risultato indica che l'EC2istanza elencata nel tuo AWS ambiente sta generando un grande volume di traffico in uscitaUDP. Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il UDP protocollo.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Un'EC2istanza si comporta in un modo che può indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il UDP protocollo su una TCP porta.

Gravità predefinita: alta

Questo risultato indica che l'EC2istanza elencata nel vostro AWS ambiente sta generando un grande volume di UDP traffico in uscita destinato a una porta che viene generalmente utilizzata per la comunicazione. TCP Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il UDP protocollo su una TCP porta.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/DenialOfService.UnusualProtocol

Un'EC2istanza si comporta in un modo che può indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando un protocollo insolito.

Gravità predefinita: alta

Questo risultato indica che l'EC2istanza elencata nel tuo AWS ambiente genera un grande volume di traffico in uscita da un tipo di protocollo insolito che in genere non viene utilizzato dalle EC2 istanze, come Internet Group Management Protocol. Ciò può indicare che l'istanza è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando un protocollo insolito. Questo risultato rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/Spambot

Un'EC2istanza mostra un comportamento insolito quando comunica con un host remoto sulla porta 25.

Gravità predefinita: media

Questo risultato indica che l'EC2istanza elencata nel tuo AWS ambiente sta comunicando con un host remoto sulla porta 25. Questo comportamento è insolito perché questa EC2 istanza non ha una cronologia precedente di comunicazioni sulla porta 25. La porta 25 viene tradizionalmente utilizzata dai server di posta per SMTP le comunicazioni. Questo risultato indica che la tua EC2 istanza potrebbe essere compromessa per essere utilizzata per l'invio di spam.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Behavior:EC2/NetworkPortUnusual

Un'EC2istanza sta comunicando con un host remoto su una porta server insolita.

Gravità predefinita: media

Questo risultato indica che l'EC2istanza elencata nell' AWS ambiente si comporta in modo diverso dalla linea di base stabilita. Questa EC2 istanza non ha una cronologia precedente di comunicazioni su questa porta remota.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Behavior:EC2/TrafficVolumeUnusual

Un'EC2istanza sta generando quantità insolitamente elevate di traffico di rete verso un host remoto.

Gravità predefinita: media

Questo risultato indica che l'EC2istanza elencata nell' AWS ambiente si comporta in modo diverso dalla linea di base stabilita. Questa EC2 istanza non ha precedenti di invio di una tale quantità di traffico a questo host remoto.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

CryptoCurrency:EC2/BitcoinTool.B

Un'EC2istanza sta interrogando un indirizzo IP associato ad attività relative alle criptovalute.

Gravità predefinita: alta

Questa scoperta ti informa che l'EC2istanza elencata nel tuo AWS ambiente sta interrogando un indirizzo IP associato a Bitcoin o ad altre attività legate alle criptovalute. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.

Raccomandazioni per la correzione:

Se utilizzi questa EC2 istanza per estrarre o gestire criptovalute, o se questa istanza è altrimenti coinvolta in attività legate alla blockchain, questo risultato potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di CryptoCurrency:EC2/BitcoinTool.B. Il secondo criterio di filtro dovrebbe essere l'ID istanza dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di soppressione in GuardDuty.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Un'EC2istanza sta interrogando un nome di dominio associato ad attività legate alle criptovalute.

Gravità predefinita: alta

Questa scoperta ti informa che l'EC2istanza elencata nel tuo AWS ambiente sta interrogando un nome di dominio associato a Bitcoin o ad altre attività legate alle criptovalute. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.

Raccomandazioni per la correzione:

Se utilizzi questa EC2 istanza per estrarre o gestire criptovalute, o se questa istanza è altrimenti coinvolta in attività legate alla blockchain, questo risultato potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di CryptoCurrency:EC2/BitcoinTool.B!DNS. Il secondo criterio di filtro dovrebbe essere l'ID istanza dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di soppressione in GuardDuty.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

DefenseEvasion:EC2/UnusualDNSResolver

Un'EC2istanza Amazon comunica con un DNS resolver pubblico insolito.

Gravità predefinita: media

Questo risultato ti informa che l'EC2istanza Amazon elencata nel tuo AWS ambiente si comporta in modo diverso dal comportamento di base. Questa EC2 istanza non ha precedenti di comunicazione con questo resolver pubblico. DNS Il campo Unusual nel pannello dei dettagli di ricerca della GuardDuty console può fornire informazioni sul resolver interrogato. DNS

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

DefenseEvasion:EC2/UnusualDoHActivity

Un'EC2istanza Amazon sta eseguendo una comunicazione DNS over HTTPS (DoH) insolita.

Gravità predefinita: media

Questo risultato ti informa che l'EC2istanza Amazon elencata nel tuo AWS ambiente si comporta in modo diverso dalla linea di base stabilita. Questa EC2 istanza non ha alcuna cronologia recente di comunicazioni DNS over HTTPS (DoH) con questo server DoH pubblico. Il campo Insolito nei dettagli degli esiti può fornire informazioni sul server DoH su cui è stata effettuata la query.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

DefenseEvasion:EC2/UnusualDoTActivity

Un'EC2istanza Amazon sta eseguendo una comunicazione DNS Over TLS (DoT) insolita.

Gravità predefinita: media

Questo risultato indica che l'EC2istanza elencata nell' AWS ambiente si comporta in modo diverso dalla linea di base stabilita. Questa EC2 istanza non ha alcuna cronologia recente di comunicazioni DNS over TLS (DoT) con questo server DoT pubblico. Il campo Insolito nel pannello dei dettagli dell'esito può fornire informazioni sul server DoT su cui è stata effettuata la query.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/AbusedDomainRequest.Reputation

Un'EC2istanza sta interrogando un nome di dominio a bassa reputazione associato a domini noti di abuso.

Gravità predefinita: media

Questo risultato ti informa che l'EC2istanza Amazon elencata nel tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a domini o indirizzi IP noti per abuso. Esempi di domini abusati sono i nomi di dominio di primo livello (TLDs) e i nomi di dominio di secondo livello (2LDs) che offrono registrazioni gratuite di sottodomini e provider dinamici. DNS Gli autori delle minacce tendono a utilizzare questi servizi per registrare domini gratuitamente o a basso costo. I domini a bassa reputazione di questa categoria possono anche essere domini scaduti che vengono sostituiti con l'indirizzo IP di parcheggio di un registrar e quindi potrebbero non essere più attivi. Un IP di parcheggio è il luogo in cui un registrar indirizza il traffico verso domini che non sono stati collegati ad alcun servizio. L'EC2istanza Amazon elencata potrebbe essere compromessa poiché gli autori delle minacce utilizzano comunemente questi registrar o servizi per C&C e la distribuzione di malware.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/BitcoinDomainRequest.Reputation

Un'EC2istanza sta interrogando un nome di dominio a bassa reputazione associato ad attività legate alle criptovalute.

Gravità predefinita: alta

Questa scoperta ti informa che l'EC2istanza Amazon elencata nel tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a Bitcoin o ad altre attività legate alle criptovalute. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se utilizzi questa EC2 istanza per estrarre o gestire criptovalute, o se questa istanza è altrimenti coinvolta in attività legate alla blockchain, questo risultato potrebbe rappresentare l'attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Impact:EC2/BitcoinDomainRequest.Reputation. Il secondo criterio di filtro dovrebbe essere l'ID istanza dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di soppressione in GuardDuty.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/MaliciousDomainRequest.Reputation

Un'EC2istanza sta interrogando un dominio a bassa reputazione associato a domini dannosi noti.

Gravità predefinita: alta

Questo risultato ti informa che l'EC2istanza Amazon elencata nel tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a domini o indirizzi IP dannosi noti. Ad esempio, i domini possono essere associati a un indirizzo IP sinkhole noto. I domini sinkhole sono domini che sono stati precedentemente controllati da un autore di minacce e se vengono inoltrate richieste a questi domini può significare che l'istanza è compromessa. Questi domini possono anche essere correlati a campagne dannose note o algoritmi di generazione di domini.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/PortSweep

Un'EC2istanza sta sondando una porta su un gran numero di indirizzi IP.

Gravità predefinita: alta

Questo risultato indica che l'EC2istanza elencata nel tuo AWS ambiente sta sondando una porta su un gran numero di indirizzi IP instradabili pubblicamente. Questo tipo di attività viene in genere utilizzato per trovare host vulnerabili da sfruttare. Nel pannello dei dettagli di ricerca della GuardDuty console, viene visualizzato solo l'indirizzo IP remoto più recente

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/SuspiciousDomainRequest.Reputation

Un'EC2istanza consiste nell'eseguire una query su un nome di dominio di bassa reputazione che è di natura sospetta a causa della sua età o della scarsa popolarità.

Gravità predefinita: bassa

Questa scoperta ti informa che l'EC2istanza Amazon elencata nel tuo AWS ambiente sta interrogando un nome di dominio di bassa reputazione sospettato di essere dannoso. Abbiamo notato che le caratteristiche di questo dominio erano coerenti con i domini dannosi osservati in precedenza, tuttavia il nostro modello di reputazione non è stato in grado di collegarlo in modo definitivo a una minaccia nota. Questi domini vengono in genere osservati per la prima volta o ricevono una quantità di traffico ridotta.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Impact:EC2/WinRMBruteForce

Un'EC2istanza sta eseguendo un attacco di forza brute force di gestione remota di Windows in uscita.

Gravità predefinita: bassa*

Questo risultato indica che l'EC2istanza elencata nell' AWS ambiente in uso sta eseguendo un attacco di forza bruta di Windows Remote Management (WinRM) volto a ottenere l'accesso al servizio di gestione remota Windows su sistemi basati su Windows.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Recon:EC2/PortProbeEMRUnprotectedPort

Un'EC2istanza ha una porta EMR correlata non protetta che viene rilevata da un host malevolo noto.

Gravità predefinita: alta

Questa scoperta indica che una porta sensibile EMR correlata sull'EC2istanza elencata che fa parte di un cluster nell' AWS ambiente in uso non è bloccata da un gruppo di sicurezza, da una lista di controllo degli accessi (ACL) o da un firewall on-host come Linux. IPTables Questa scoperta indica inoltre che scanner noti su Internet stanno sondando attivamente questa porta. Le porte che possono attivare questo risultato, come la porta 8088 (porta dell'interfaccia utente YARN Web), potrebbero essere potenzialmente utilizzate per l'esecuzione di codice in modalità remota.

Raccomandazioni per la correzione:

Ti consigliamo di bloccare l'accesso aperto alle porte su cluster da Internet e limitare l'accesso solo a indirizzi IP specifici che richiedono l'accesso a queste porte. Per ulteriori informazioni, vedere Security Groups for EMR Clusters.

Recon:EC2/PortProbeUnprotectedPort

Un'EC2istanza ha una porta non protetta che viene rilevata da un host malevolo noto.

Gravità predefinita: bassa*

Questa scoperta indica che una porta sull'EC2istanza elencata nell' AWS ambiente in uso non è bloccata da un gruppo di sicurezza, da una lista di controllo degli accessi (ACL) o da un firewall on-host come LinuxIPTables, e che scanner noti su Internet la stanno esaminando attivamente.

Se la porta non protetta identificata è 22 o 3389 e si utilizzano queste porte per connettersi all'istanza, è comunque possibile limitare l'esposizione consentendo l'accesso a queste porte solo agli indirizzi IP dello spazio degli indirizzi IP della rete aziendale. Per limitare l'accesso alla porta 22 su Linux, consulta Authorizing Inbound Traffic for Your Linux Instance. Per limitare l'accesso alla porta 3389 su Windows, consulta Authorizing Inbound Traffic for Your Windows Instances.

GuardDuty non genera questo risultato per le porte 443 e 80.

Raccomandazioni per la correzione:

Tuttavia, ci possono essere casi in cui le istanze sono intenzionalmente esposte, ad esempio se ospitano server web. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/PortProbeUnprotectedPort. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta Regole di soppressione in GuardDuty.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Recon:EC2/Portscan

Un'EC2istanza esegue scansioni delle porte in uscita verso un host remoto.

Gravità predefinita: media

Questa scoperta indica che l'EC2istanza elencata nel vostro AWS ambiente è coinvolta in un possibile attacco di scansione delle porte perché sta tentando di connettersi a più porte in un breve periodo di tempo. Lo scopo di un attacco port scan è di individuare le porte aperte per determinare quali servizi sono in esecuzione sulla macchina e per identificarne il sistema operativo.

Raccomandazioni per la correzione:

Questo risultato può rivelarsi un falso positivo se le applicazioni di valutazione delle vulnerabilità vengono distribuite su EC2 istanze dell'ambiente in uso, poiché tali applicazioni eseguono scansioni delle porte per avvisare l'utente in caso di porte aperte configurate in modo errato. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/Portscan. Il secondo criterio di filtro dovrebbe corrispondere all'istanza o alle istanze che ospitano questi strumenti di valutazione della vulnerabilità. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda dei criteri identificabili con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta Regole di soppressione in GuardDuty.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/BlackholeTraffic

Un'EC2istanza sta tentando di comunicare con un indirizzo IP di un host remoto che è un buco nero noto.

Gravità predefinita: media

Questa scoperta indica che l'EC2istanza elencata nel vostro AWS ambiente potrebbe essere compromessa perché sta tentando di comunicare con l'indirizzo IP di un buco nero (o sink hole). I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario. L'indirizzo IP di un buco nero designa un computer host non in esecuzione o un indirizzo a cui non è stato assegnato alcun host.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/BlackholeTraffic!DNS

Un'EC2istanza sta interrogando un nome di dominio che viene reindirizzato a un indirizzo IP di un buco nero.

Gravità predefinita: media

Questa scoperta indica che l'EC2istanza elencata nel tuo AWS ambiente potrebbe essere compromessa perché sta interrogando un nome di dominio che viene reindirizzato a un indirizzo IP di un buco nero. I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DGADomainRequest.B

Un'EC2istanza sta interrogando domini generati algoritmicamente. Tali domini sono comunemente utilizzati dal malware e potrebbero essere un'indicazione di un'istanza compromessa. EC2

Gravità predefinita: alta

Questo risultato indica che l'EC2istanza elencata nel tuo AWS ambiente sta tentando di interrogare i domini dell'algoritmo di generazione del dominio (DGA). La tua EC2 istanza potrebbe essere compromessa.

DGAsvengono utilizzati per generare periodicamente un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l'arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DGADomainRequest.C!DNS

Un'EC2istanza sta interrogando domini generati algoritmicamente. Tali domini sono comunemente utilizzati dal malware e potrebbero essere un'indicazione di un'istanza compromessa. EC2

Gravità predefinita: alta

Questo risultato indica che l'EC2istanza elencata nel tuo AWS ambiente sta tentando di interrogare i domini dell'algoritmo di generazione del dominio (DGA). La tua EC2 istanza potrebbe essere compromessa.

DGAsvengono utilizzati per generare periodicamente un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l'arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DNSDataExfiltration

Un'EC2istanza sta esfiltrando dati tramite interrogazioni. DNS

Gravità predefinita: alta

Questo risultato indica che l'EC2istanza elencata nel tuo AWS ambiente utilizza un malware che utilizza DNS query per il trasferimento di dati in uscita. Questo tipo di trasferimento di dati è indicativo di un'istanza compromessa e potrebbe comportare l'esfiltrazione di dati. DNSil traffico non è in genere bloccato dai firewall. Ad esempio, il malware in un'EC2istanza compromessa può codificare i dati (come il numero della carta di credito) in una DNS query e inviarli a un DNS server remoto controllato da un utente malintenzionato.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DriveBySourceTraffic!DNS

Un'EC2istanza sta interrogando il nome di dominio di un host remoto che è una fonte nota di attacchi di download Drive-By.

Gravità predefinita: alta

Questa scoperta indica che l'EC2istanza elencata nel tuo AWS ambiente potrebbe essere compromessa perché sta interrogando il nome di dominio di un host remoto che è una fonte nota di attacchi drive-by download. Si tratta di download di software non voluti da Internet che possono attivare l'installazione automatica di virus, spyware o malware.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DropPoint

Un'EC2istanza sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati acquisiti dal malware.

Gravità predefinita: media

Questo risultato indica che un'EC2istanza del vostro AWS ambiente sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati acquisiti dal malware.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/DropPoint!DNS

Un'EC2istanza sta interrogando il nome di dominio di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.

Gravità predefinita: media

Questa scoperta indica che un'EC2istanza del vostro AWS ambiente sta interrogando il nome di dominio di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Trojan:EC2/PhishingDomainRequest!DNS

Un'EC2istanza consiste nell'interrogare i domini coinvolti negli attacchi di phishing. La tua EC2 istanza potrebbe essere compromessa.

Gravità predefinita: alta

Questa scoperta indica che esiste un'EC2istanza nel vostro AWS ambiente che sta tentando di interrogare un dominio coinvolto in attacchi di phishing. I domini di phishing sono configurati da individui che fingono di essere un'istituzione legittima allo scopo di indurre gli utenti a fornire dati sensibili come informazioni personali, coordinate bancarie, informazioni di carte di credito e password. L'EC2istanza potrebbe cercare di recuperare dati sensibili archiviati su un sito Web di phishing oppure potrebbe tentare di configurare un sito Web di phishing. La tua EC2 istanza potrebbe essere compromessa.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Un'EC2istanza sta effettuando connessioni a un indirizzo IP su un elenco di minacce personalizzato.

Gravità predefinita: media

Questa scoperta ti informa che un'EC2istanza del tuo AWS ambiente sta comunicando con un indirizzo IP incluso in un elenco di minacce che hai caricato. In GuardDuty, un elenco di minacce è composto da indirizzi IP dannosi noti. GuardDutygenera risultati basati su elenchi di minacce caricati. L'elenco delle minacce utilizzato per generare questo risultato verrà elencato nei dettagli del risultato.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

UnauthorizedAccess:EC2/MetadataDNSRebind

Un'EC2istanza esegue DNS ricerche che si indirizzano al servizio di metadati dell'istanza.

Gravità predefinita: alta

Questo risultato indica che un'EC2istanza del vostro AWS ambiente sta interrogando un dominio che si risolve nell'indirizzo IP dei EC2 metadati (169.254.169.254). Una DNS query di questo tipo può indicare che l'istanza è oggetto di una tecnica di rebinding. DNS Questa tecnica può essere utilizzata per ottenere metadati da un'EC2istanza, incluse IAM le credenziali associate all'istanza.

DNSil rebinding consiste nell'indurre un'applicazione in esecuzione sull'EC2istanza a caricare i dati di ritorno da aURL, dove il nome di dominio contenuto nel file si URL risolve nell'indirizzo IP dei EC2 metadati (169.254.169.254). Ciò fa sì che l'applicazione acceda ai metadati e possibilmente li renda disponibili all'aggressore. EC2

È possibile accedere ai EC2 metadati utilizzando il DNS rebinding solo se l'EC2istanza esegue un'applicazione vulnerabile che consente l'iniezione o se qualcuno accede ai metadati URL in un browser Web in esecuzione sull'istanza. URLs EC2

Raccomandazioni per la correzione:

In risposta a questo risultato, è necessario valutare se sull'EC2istanza è in esecuzione un'applicazione vulnerabile o se qualcuno ha utilizzato un browser per accedere al dominio identificato nel risultato. Se la causa principale è un'applicazione vulnerabile, è necessario correggere la vulnerabilità. Se qualcuno ha navigato nel dominio identificato, è necessario bloccare il dominio o impedire agli utenti di accedervi. Se ritieni che questo risultato sia correlato a uno dei casi precedenti, revoca la sessione associata all'EC2istanza.

Alcuni AWS clienti associano intenzionalmente l'indirizzo IP dei metadati a un nome di dominio sui propri server autorevoli. DNS Se questo è il caso del tuo ambiente , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:EC2/MetaDataDNSRebind. Il secondo criterio di filtro deve essere il dominio di DNS richiesta e il valore deve corrispondere al dominio mappato all'indirizzo IP dei metadati (169.254.169.254). Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di soppressione in GuardDuty.

UnauthorizedAccess:EC2/RDPBruteForce

Un'EC2istanza è stata coinvolta in attacchi di forza bruta. RDP

Gravità predefinita: bassa*

Questa scoperta indica che un'EC2istanza del vostro AWS ambiente è stata coinvolta in un attacco di forza bruta volto a ottenere le password RDP dei servizi su sistemi basati su Windows. Ciò può indicare un accesso non autorizzato alle risorse AWS .

Raccomandazioni per la correzione:

Se il ruolo di risorsa dell'istanza èACTOR, significa che l'istanza è stata utilizzata per eseguire attacchi di forza bruta. RDP A meno che questa istanza non abbia un motivo legittimo per contattare l'indirizzo IP elencato come Target, ti consigliamo di presumere che l'istanza sia stata compromessa e di intraprendere le azioni elencate in Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Se il ruolo di risorsa dell'istanza èTARGET, questo problema può essere risolto assicurando che la RDP porta sia affidabile solo IPs tramite gruppi di sicurezza o firewallACLs. Per ulteriori informazioni, consulta Suggerimenti per proteggere le EC2 istanze (Linux).

UnauthorizedAccess:EC2/SSHBruteForce

Un'EC2istanza è stata coinvolta in attacchi di forza SSH bruta.

Gravità predefinita: bassa*

Questa scoperta indica che un'EC2istanza del vostro AWS ambiente è stata coinvolta in un attacco di forza bruta volto a ottenere le password SSH dei servizi su sistemi basati su Linux. Ciò può indicare un accesso non autorizzato alle risorse AWS .

Raccomandazioni per la correzione:

Se l'obiettivo del tentativo di forza bruta è un bastion host, ciò può rappresentare il comportamento previsto per l' AWS ambiente in uso. In questo caso, si consiglia di impostare una regola di eliminazione per questa individuazione. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:EC2/SSHBruteForce. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta Regole di soppressione in GuardDuty.

Se questa attività non è prevista per l'ambiente in uso e lo è il ruolo di risorsa dell'istanzaTARGET, è possibile ovviare a questo problema assicurando che la SSH porta sia affidabile solo IPs tramite gruppi di sicurezza o firewall. ACLs Per ulteriori informazioni, consulta Suggerimenti per proteggere le EC2 istanze (Linux).

Se il ruolo di risorsa dell'istanza èACTOR, significa che l'istanza è stata utilizzata per eseguire attacchi di forza SSH bruta. A meno che questa istanza non abbia un motivo legittimo per contattare l'indirizzo IP elencato come Target, ti consigliamo di presumere che l'istanza sia stata compromessa e di intraprendere le azioni elencate in Correzione di un'istanza Amazon potenzialmente compromessa EC2.

UnauthorizedAccess:EC2/TorClient

La tua EC2 istanza sta effettuando connessioni a un nodo Tor Guard o a un nodo Authority.

Gravità predefinita: alta

Questa scoperta ti informa che un'EC2istanza nel tuo AWS ambiente sta effettuando connessioni a un nodo Tor Guard o a un nodo Authority. Tor è un software che consente la comunicazione anonima. I Tor Guard e i nodi fungono da gateway iniziali per una rete Tor. Questo traffico può indicare che questa EC2 istanza è stata compromessa e agisce come client su una rete Tor. Questa scoperta potrebbe indicare un accesso non autorizzato alle tue AWS risorse con l'intento di nascondere la vera identità dell'aggressore.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

UnauthorizedAccess:EC2/TorRelay

La tua EC2 istanza sta effettuando connessioni a una rete Tor come relè Tor.

Gravità predefinita: alta

Questa scoperta ti informa che un'EC2istanza del tuo AWS ambiente sta effettuando connessioni a una rete Tor in un modo che suggerisce che stia agendo come un relè Tor. Tor è un software che consente la comunicazione anonima. Tor aumenta l'anonimato della comunicazione inoltrando il traffico potenzialmente illecito del client da un relè Tor a un altro.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.