Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
GuardDuty IAMtipi di ricerca
I seguenti risultati sono specifici per le IAM entità e le chiavi di accesso e hanno sempre un tipo di risorsa pari a. AccessKey La gravità e i dettagli degli esiti variano in base al tipo di esito.
Gli esiti qui elencati includono le origini dati e i modelli utilizzati per generare quel tipo di esito. Per ulteriori informazioni, consulta GuardDuty fonti di dati fondamentali.
Per tutti i risultati IAM correlati, ti consigliamo di esaminare l'entità in questione e assicurarti che le relative autorizzazioni seguano la migliore pratica del privilegio minimo. Se l'attività non è prevista, le credenziali potrebbero essere compromesse. Per informazioni su come correggere gli esiti, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Argomenti
- CredentialAccess:IAMUser/AnomalousBehavior
- DefenseEvasion:IAMUser/AnomalousBehavior
- Discovery:IAMUser/AnomalousBehavior
- Exfiltration:IAMUser/AnomalousBehavior
- Impact:IAMUser/AnomalousBehavior
- InitialAccess:IAMUser/AnomalousBehavior
- PenTest:IAMUser/KaliLinux
- PenTest:IAMUser/ParrotLinux
- PenTest:IAMUser/PentooLinux
- Persistence:IAMUser/AnomalousBehavior
- Policy:IAMUser/RootCredentialUsage
- PrivilegeEscalation:IAMUser/AnomalousBehavior
- Recon:IAMUser/MaliciousIPCaller
- Recon:IAMUser/MaliciousIPCaller.Custom
- Recon:IAMUser/TorIPCaller
- Stealth:IAMUser/CloudTrailLoggingDisabled
- Stealth:IAMUser/PasswordPolicyChange
- UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
- UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
- UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
- UnauthorizedAccess:IAMUser/MaliciousIPCaller
- UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
- UnauthorizedAccess:IAMUser/TorIPCaller
CredentialAccess:IAMUser/AnomalousBehavior
Un utente API per accedere a un AWS ambiente è stato richiamato in modo anomalo.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta ti informa che è stata rilevata una API richiesta anomala nel tuo account. Questo risultato può includere una API o una serie di API richieste correlate effettuate in prossimità di un'unica identità utente. L'APIosservazione è comunemente associata alla fase di accesso alle credenziali di un attacco, quando un avversario tenta di raccogliere password, nomi utente e chiavi di accesso per l'ambiente in uso. APIsIn questa categoria ci sono,, e. GetPasswordData GetSecretValue BatchGetSecretValue GenerateDbAuthToken
Questa API richiesta è stata identificata come anomala dal modello ML (Anomaly GuardDuty Detection Machine Learning) di Anomaly Detection. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello ML tiene traccia di vari fattori della API richiesta, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e lo specifico richiesto. API I dettagli su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
DefenseEvasion:IAMUser/AnomalousBehavior
Un dispositivo API usato per eludere le misure difensive è stato invocato in modo anomalo.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta ti informa che è stata rilevata una API richiesta anomala nel tuo account. Questo risultato può includere una API o una serie di API richieste correlate effettuate in prossimità di un'unica identità utente. L'APIosservazione è comunemente associata a tattiche di evasione difensiva in cui un avversario cerca di coprire le proprie tracce ed evitare di essere scoperto. APIsin questa categoria si trovano in genere operazioni di eliminazione, disabilitazione o interruzione, come, o. DeleteFlowLogs DisableAlarmActions StopLogging
Questa API richiesta è stata identificata come anomala dal modello ML (Anomaly GuardDuty Detection Machine Learning) di Anomaly Detection. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello ML tiene traccia di vari fattori della API richiesta, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e lo specifico richiesto. API I dettagli su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Discovery:IAMUser/AnomalousBehavior
Un comando API comunemente usato per scoprire risorse è stato invocato in modo anomalo.
Gravità predefinita: bassa
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta ti informa che è stata rilevata una API richiesta anomala nel tuo account. Questo risultato può includere una API o una serie di API richieste correlate effettuate in prossimità di un'unica identità utente. L'APIosservazione è generalmente associata alla fase di scoperta di un attacco, quando un avversario raccoglie informazioni per determinare se l' AWS ambiente è suscettibile a un attacco più ampio. APIsin questa categoria rientrano in genere le operazioni di recupero, descrizione o elenco, ad esempio, DescribeInstances o. GetRolePolicy ListAccessKeys
Questa API richiesta è stata identificata come anomala dal modello ML (Anomaly GuardDuty Detection Machine Learning) di Anomaly Detection. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello ML tiene traccia di vari fattori della API richiesta, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e lo specifico richiesto. API I dettagli su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Exfiltration:IAMUser/AnomalousBehavior
Un API comando comunemente usato per raccogliere dati da un AWS ambiente è stato richiamato in modo anomalo.
Gravità predefinita: alta
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta ti informa che è stata rilevata una API richiesta anomala nel tuo account. Questo risultato può includere una API o una serie di API richieste correlate effettuate in prossimità di un'unica identità utente. Quanto API osservato è comunemente associato a tattiche di esfiltrazione in cui un avversario tenta di raccogliere dati dalla rete utilizzando pacchetti e crittografia per evitare il rilevamento. APIsper questo tipo di risultato si tratta solo di operazioni di gestione (piano di controllo) e sono in genere correlate a S3, alle istantanee e ai database, come,, o. PutBucketReplication CreateSnapshot RestoreDBInstanceFromDBSnapshot
Questa API richiesta è stata identificata come anomala dal modello di machine learning (ML) GuardDuty di anomaly detection. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello ML tiene traccia di vari fattori della API richiesta, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e lo specifico richiesto. API I dettagli su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Impact:IAMUser/AnomalousBehavior
Un comando API comunemente usato per manomettere dati o processi in un AWS ambiente è stato invocato in modo anomalo.
Gravità predefinita: alta
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta ti informa che è stata rilevata una API richiesta anomala nel tuo account. Questo risultato può includere una API o una serie di API richieste correlate effettuate in prossimità di un'unica identità utente. Quanto API osservato è comunemente associato a tattiche di impatto in cui un avversario cerca di interrompere le operazioni e manipolare, interrompere o distruggere i dati del tuo account. APIsper questo tipo di risultato sono in genere operazioni di eliminazione, aggiornamento o invio, come, o. DeleteSecurityGroup UpdateUser PutBucketPolicy
Questa API richiesta è stata identificata come anomala dal modello GuardDuty di machine learning (ML) per il rilevamento delle anomalie. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello ML tiene traccia di vari fattori della API richiesta, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e lo specifico richiesto. API I dettagli su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
InitialAccess:IAMUser/AnomalousBehavior
Un comando API comunemente usato per ottenere l'accesso non autorizzato a un AWS ambiente è stato invocato in modo anomalo.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta ti informa che è stata rilevata una API richiesta anomala nel tuo account. Questo risultato può includere una API o una serie di API richieste correlate effettuate in prossimità di un'unica identità utente. Quanto API osservato è comunemente associato alla fase di accesso iniziale di un attacco, quando un avversario tenta di stabilire l'accesso all'ambiente dell'utente. APIsin questa categoria rientrano in genere operazioni get token o di sessione, come,GetFederationToken, StartSession o. GetAuthorizationToken
Questa API richiesta è stata identificata come anomala dal modello GuardDuty di machine learning (ML) per il rilevamento delle anomalie. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello ML tiene traccia di vari fattori della API richiesta, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e lo specifico richiesto. API I dettagli su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
PenTest:IAMUser/KaliLinux
An API è stato richiamato da una macchina Kali Linux.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta ti informa che una macchina che esegue Kali Linux sta effettuando API chiamate utilizzando credenziali che appartengono all' AWS account elencato nel tuo ambiente. Kali Linux è un popolare strumento di test di penetrazione che i professionisti della sicurezza utilizzano per identificare i punti deboli nei casi che richiedono l'applicazione di patch. EC2 Gli aggressori utilizzano questo strumento anche per trovare punti deboli di EC2 configurazione e ottenere l'accesso non autorizzato all'ambiente. AWS
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
PenTest:IAMUser/ParrotLinux
An API è stato richiamato da una macchina Parrot Security Linux.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta indica che una macchina su cui è in esecuzione Parrot Security Linux sta effettuando API chiamate utilizzando credenziali che appartengono all' AWS account elencato nell'ambiente in uso. Parrot Security Linux è un popolare strumento di test di penetrazione che i professionisti della sicurezza utilizzano per identificare i punti deboli nelle istanze che richiedono l'applicazione di patch. EC2 Gli aggressori utilizzano questo strumento anche per individuare i punti deboli della EC2 configurazione e ottenere l'accesso non autorizzato all'ambiente. AWS
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
PenTest:IAMUser/PentooLinux
An API è stato richiamato da una macchina Pentoo Linux.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta ti informa che una macchina che esegue Pentoo Linux sta effettuando API chiamate utilizzando credenziali che appartengono all' AWS account elencato nel tuo ambiente. Pentoo Linux è un popolare strumento di test di penetrazione che i professionisti della sicurezza utilizzano per identificare i punti deboli nei casi che richiedono l'applicazione di patch. EC2 Gli aggressori utilizzano questo strumento anche per trovare punti deboli di EC2 configurazione e ottenere l'accesso non autorizzato all'ambiente. AWS
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Persistence:IAMUser/AnomalousBehavior
Uno strumento API comunemente usato per mantenere l'accesso non autorizzato a un AWS ambiente è stato invocato in modo anomalo.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta ti informa che è stata rilevata una API richiesta anomala nel tuo account. Questo risultato può includere una API o una serie di API richieste correlate effettuate in prossimità di un'unica identità utente. L'APIosservazione è comunemente associata a tattiche di persistenza in cui un avversario ha ottenuto l'accesso all'ambiente dell'utente e sta tentando di mantenere tale accesso. APIsin questa categoria rientrano in genere operazioni di creazione, importazione o modifica, come, o. CreateAccessKey ImportKeyPair ModifyInstanceAttribute
Questa API richiesta è stata identificata come anomala dal modello ML (Anomaly GuardDuty Detection Machine Learning) di Anomaly Detection. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello ML tiene traccia di vari fattori della API richiesta, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e lo specifico richiesto. API I dettagli su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Policy:IAMUser/RootCredentialUsage
An API è stato richiamato utilizzando le credenziali di accesso dell'utente root.
Gravità predefinita: bassa
-
Fonte dati: eventi di CloudTrail gestione o eventi relativi ai CloudTrail dati per S3
Questo esito segnala che le credenziali di accesso dell'utente root dell' Account AWS elencato nel tuo ambiente vengono utilizzate per effettuare richieste ai servizi AWS . Si consiglia agli utenti di non utilizzare mai le credenziali di accesso dell'utente root per accedere ai servizi. AWS È invece necessario accedere AWS ai servizi utilizzando le credenziali temporanee con privilegi minimi di (). AWS Security Token Service STS Per le situazioni in cui non AWS STS è supportata, si consigliano le credenziali IAM utente. Per ulteriori informazioni, consulta IAMBest Practices.
Nota
Se S3 Protection è abilitato per l'account, questo risultato può essere generato in risposta ai tentativi di eseguire operazioni sul piano dati S3 sulle risorse Amazon S3 utilizzando le credenziali di accesso dell'utente root di. Account AWS La API chiamata utilizzata verrà elencata nei dettagli del risultato. Se la protezione S3 non è abilitata, questo risultato può essere attivato solo dal registro eventi. APIs Per ulteriori informazioni su S3 Protection, consulta. Protezione S3
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
PrivilegeEscalation:IAMUser/AnomalousBehavior
Un comando API comunemente usato per ottenere autorizzazioni di alto livello per un AWS ambiente è stato invocato in modo anomalo.
Gravità predefinita: media
-
Fonte dei dati: eventi di gestione CloudTrail
Questa scoperta ti informa che è stata rilevata una API richiesta anomala nel tuo account. Questo risultato può includere una API o una serie di API richieste correlate effettuate in prossimità di un'unica identità utente. L'APIosservazione è comunemente associata a tattiche di escalation dei privilegi in cui un avversario tenta di ottenere autorizzazioni di livello superiore per un ambiente. APIsin questa categoria si tratta in genere di operazioni che modificano le IAM politiche, i ruoli e gli utenti, ad esempio, o. AssociateIamInstanceProfile AddUserToGroup PutUserPolicy
Questa API richiesta è stata identificata come anomala dal modello GuardDuty di machine learning (ML) per il rilevamento delle anomalie. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello ML tiene traccia di vari fattori della API richiesta, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e lo specifico richiesto. API I dettagli su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Recon:IAMUser/MaliciousIPCaller
An API è stato richiamato da un indirizzo IP malevolo noto.
Gravità predefinita: media
-
Fonte dei dati: eventi CloudTrail di gestione
Questa scoperta indica che un'APIoperazione in grado di elencare o descrivere AWS le risorse in un account all'interno dell'ambiente è stata richiamata da un indirizzo IP incluso in un elenco di minacce. Un utente malintenzionato può utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali di cui già dispone.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Recon:IAMUser/MaliciousIPCaller.Custom
An è API stato richiamato da un indirizzo IP malevolo noto.
Gravità predefinita: media
-
Fonte dei dati: eventi CloudTrail di gestione
Questa scoperta indica che un'APIoperazione in grado di elencare o descrivere AWS le risorse in un account all'interno dell'ambiente è stata richiamata da un indirizzo IP incluso in un elenco di minacce personalizzato. L'elenco delle minacce utilizzato sarà elencato nei dettagli del risultato. Un utente malintenzionato potrebbe utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali già in suo possesso.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Recon:IAMUser/TorIPCaller
Un API è stato richiamato da un indirizzo IP del nodo di uscita Tor.
Gravità predefinita: media
-
Fonte dei dati: eventi CloudTrail di gestione
Questa scoperta ti informa che un'APIoperazione in grado di elencare o descrivere AWS le risorse in un account all'interno del tuo ambiente è stata richiamata da un indirizzo IP del nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Un utente malintenzionato può usare Tor per mascherare la propria identità.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Stealth:IAMUser/CloudTrailLoggingDisabled
AWS CloudTrail la registrazione è stata disabilitata.
Gravità predefinita: bassa
-
Fonte dei dati: eventi CloudTrail di gestione
Questa scoperta indica che una CloudTrail traccia all'interno AWS dell'ambiente in uso è stata disattivata. Può trattarsi di un tentativo di un utente malintenzionato di disabilitare la registrazione per eliminare le tracce della sua attività accedendo nel contempo alle risorse AWS per scopi dannosi. Questo risultato può essere generato dall'eliminazione o dall'aggiornamento riuscito di un trail Questo risultato può essere innescato anche dall'eliminazione riuscita di un bucket S3 che memorizza i log di un trail associato a. GuardDuty
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Stealth:IAMUser/PasswordPolicyChange
La policy delle password dell'account è stata indebolita.
Gravità predefinita: bassa*
Nota
La gravità di questo esito può essere bassa, media o alta a seconda della gravità delle modifiche apportate alla policy delle password.
-
Fonte dei dati: eventi di gestione CloudTrail
La politica relativa alle password degli AWS account è stata indebolita nell'account elencato nell' AWS ambiente in uso. Ad esempio, è stata eliminata o aggiornata per richiedere un numero minore di caratteri, non richiedere simboli e numeri o per prolungare l'estensione del periodo di scadenza delle password. Questo risultato può essere causato anche da un tentativo di aggiornare o eliminare la politica relativa alle password AWS dell'account. La politica sulle password degli AWS account definisce le regole che regolano i tipi di password che possono essere impostati per gli utenti. IAM Un policy delle password indebolita consente la creazione di password facili da ricordare e potenzialmente più facili da indovinare, creando di fatto un rischio per la sicurezza.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
Molteplici connessioni riuscite alla console sono state osservate in tutto il mondo.
Gravità predefinita: media
-
Fonte dei dati: eventi di gestione CloudTrail
Questo risultato indica che più accessi riusciti alla console per lo stesso IAM utente sono stati rilevati più o meno nello stesso periodo in diverse aree geografiche. Questi modelli di posizione di accesso anomali e rischiosi indicano un potenziale accesso non autorizzato alle risorse dell'utente. AWS
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
Le credenziali create esclusivamente per un'EC2istanza tramite un ruolo di avvio dell'istanza vengono utilizzate da un altro account all'interno. AWS
Gravità predefinita: alta*
Nota
La gravità predefinita di questi esiti è alta. Tuttavia, se API è stato richiamato da un account affiliato al tuo AWS ambiente, la gravità è Media.
-
Fonte dei dati: eventi di CloudTrail gestione o eventi CloudTrail relativi ai dati per S3
Questo risultato ti informa quando le credenziali dell'EC2istanza vengono utilizzate per richiamare l'istanza APIs da un indirizzo IP di proprietà di un AWS account diverso da quello su cui è in esecuzione l'EC2istanza associata.
AWS non consiglia di ridistribuire le credenziali temporanee all'esterno dell'entità che le ha create (ad esempio, AWS applicazioni EC2 o Lambda). Tuttavia, gli utenti autorizzati possono esportare le credenziali dalle proprie EC2 istanze per effettuare chiamate legittime. API Se il remoteAccountDetails.Affiliated campo è True API stato richiamato da un account associato al tuo ambiente. AWS Per escludere un potenziale attacco e verificare la legittimità dell'attività, contatta l'IAMutente a cui sono assegnate queste credenziali.
Nota
Se GuardDuty rileva un'attività continua da un account remoto, il relativo modello di machine learning (ML) la identificherà come un comportamento previsto. Pertanto, GuardDuty smetterà di generare questo risultato per l'attività da quell'account remoto. GuardDuty continuerà a generare risultati relativi a nuovi comportamenti provenienti da altri account remoti e rivaluterà gli account remoti appresi man mano che il comportamento cambia nel tempo.
Raccomandazioni per la correzione:
In risposta a questo esito, puoi utilizzare il seguente flusso di lavoro per determinare una linea d'azione:
-
Identifica l'account remoto coinvolto tramite il campo
service.action.awsApiCallAction.remoteAccountDetails.accountId. -
Successivamente, stabilisci direttamente sul campo se quell'account è affiliato al tuo GuardDuty ambiente.
service.action.awsApiCallAction.remoteAccountDetails.affiliated -
Se l'account è affiliato, contatta il proprietario dell'account remoto e il proprietario delle credenziali dell'EC2istanza per verificare.
-
Se l'account non è affiliato, per prima cosa valuta se è associato alla tua organizzazione ma non fa parte della configurazione GuardDuty multiaccount o se non GuardDuty è ancora stato abilitato nell'account. Altrimenti contatta il proprietario delle EC2 credenziali per determinare se esiste un caso d'uso per un account remoto in cui utilizzare tali credenziali.
-
Se il proprietario non riconosce l'account remoto, allora le credenziali potrebbero essere state compromesse da un autore di minacce che opera all'interno di AWS. Segui i passaggi consigliati in Correzione di un'istanza Amazon potenzialmente compromessa EC2 per proteggere il tuo ambiente.
Inoltre, puoi inviare una segnalazione di abuso
al team AWS Trust and Safety per avviare un'indagine sull'account remoto. Quando invii la segnalazione a AWS Trust and Safety, includi tutti JSON i dettagli della scoperta.
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
Le credenziali create esclusivamente per un'EC2istanza tramite un ruolo di avvio dell'istanza vengono utilizzate da un indirizzo IP esterno.
Gravità predefinita: alta
-
Fonte dei dati: eventi CloudTrail di gestione o eventi CloudTrail relativi ai dati per S3
Questo risultato ti informa che un host esterno AWS ha tentato di eseguire AWS API operazioni utilizzando AWS credenziali temporanee create su un'EC2istanza del tuo ambiente. AWS L'EC2istanza elencata potrebbe essere compromessa e le credenziali temporanee di questa istanza potrebbero essere state esfiltrate su un host remoto esterno a. AWS AWS non consiglia di ridistribuire le credenziali temporanee all'esterno dell'entità che le ha create (ad esempio, AWS applicazioni EC2 o Lambda). Tuttavia, gli utenti autorizzati possono esportare le credenziali dalle proprie EC2 istanze per effettuare chiamate legittime. API Per escludere un potenziale attacco e verificare la legittimità dell'attività, verifica se nell'esito è previsto l'uso di credenziali di istanza provenienti dall'IP remoto.
Nota
Se GuardDuty rileva un'attività continua da un account remoto, il relativo modello di machine learning (ML) la identificherà come un comportamento previsto. Pertanto, GuardDuty smetterà di generare questo risultato per l'attività da quell'account remoto. GuardDuty continuerà a generare risultati relativi a nuovi comportamenti provenienti da altri account remoti e rivaluterà gli account remoti appresi man mano che il comportamento cambia nel tempo.
Raccomandazioni per la correzione:
Questo risultato viene generato quando la rete è configurata per instradare il traffico Internet in modo che esca da un gateway locale anziché da un VPC Internet Gateway ()IGW. Le configurazioni comuni, ad esempio l'utilizzo o le VPC VPN connessioni AWS Outposts, possono far sì che il traffico venga instradato in questo modo. Se questo comportamento è previsto, ti consigliamo di utilizzare le regole di eliminazione e creare una regola composta da due criteri di filtro. Il primo criterio è trovare il tipo, che dovrebbe essere UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Il secondo criterio di filtro è l'IPv4indirizzo del API chiamante con l'indirizzo IP o l'CIDRintervallo del gateway Internet locale. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di soppressione in GuardDuty.
Nota
Se GuardDuty rileva un'attività continua proveniente da una fonte esterna, il suo modello di apprendimento automatico identificherà questo comportamento come previsto e smetterà di generare questo risultato per l'attività proveniente da quella fonte. GuardDuty continuerà a generare risultati per nuovi comportamenti da altre fonti e rivaluterà le fonti apprese man mano che il comportamento cambia nel tempo.
Se questa attività non è prevista, le credenziali potrebbero essere compromesse, vedere Riparazione delle credenziali potenzialmente compromesse AWS.
UnauthorizedAccess:IAMUser/MaliciousIPCaller
An API è stato richiamato da un indirizzo IP malevolo noto.
Gravità predefinita: media
-
Fonte dei dati: eventi CloudTrail di gestione
Questa scoperta indica che un'APIoperazione (ad esempio, un tentativo di avviare un'EC2istanza, creare un nuovo IAM utente o modificare AWS i privilegi) è stata richiamata da un indirizzo IP dannoso noto. Ciò può indicare un accesso non autorizzato alle AWS risorse all'interno dell'ambiente.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
An API è stato richiamato da un indirizzo IP in un elenco di minacce personalizzato.
Gravità predefinita: media
-
Fonte dei dati: eventi CloudTrail di gestione
Questa scoperta ti informa che un'APIoperazione (ad esempio, un tentativo di avviare un'EC2istanza, creare un nuovo IAM utente o modificare AWS i privilegi) è stata richiamata da un indirizzo IP incluso in un elenco di minacce che hai caricato. In GuardDuty, un elenco minacce include indirizzi IP dannosi noti. Ciò può indicare un accesso non autorizzato alle AWS risorse all'interno dell'ambiente.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
UnauthorizedAccess:IAMUser/TorIPCaller
An API è stato richiamato da un indirizzo IP del nodo di uscita Tor.
Gravità predefinita: media
-
Fonte dei dati: eventi CloudTrail di gestione
Questa scoperta ti informa che un'APIoperazione (ad esempio, un tentativo di avviare un'EC2istanza, creare un nuovo IAM utente o modificare AWS i tuoi privilegi) è stata richiamata da un indirizzo IP del nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle risorse AWS con l'intento di nascondere la vera identità dell'utente malintenzionato.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
