Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gli esiti seguenti sono specifici per le entità IAM e le chiavi di accesso e avranno sempre un Tipo risorsa di AccessKey. La gravità e i dettagli degli esiti variano in base al tipo di esito.
Gli esiti qui elencati includono le origini dati e i modelli utilizzati per generare quel tipo di esito. Per ulteriori informazioni, consulta GuardDuty fonti di dati fondamentali.
Per tutti gli esiti relativi a IAM, ti consigliamo di esaminare l'entità in questione e assicurarti che le relative autorizzazioni seguano la best practice del privilegio minimo. Se l'attività non è prevista, le credenziali potrebbero essere compromesse. Per informazioni su come correggere gli esiti, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Argomenti
CredentialAccess:IAMUser/AnomalousBehavior
Un'API utilizzata per accedere a un AWS ambiente è stata richiamata in modo anomalo.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola richiesta API o una serie di richieste API correlate effettuate in prossimità da un'unica identità utente. L'API osservata è comunemente associata alla fase di accesso alle credenziali di un attacco, quando un avversario tenta di raccogliere password, nomi utente e chiavi di accesso per il tuo ambiente. APIs In questa categoria ci sono GetPasswordDataGetSecretValue,BatchGetSecretValue, eGenerateDbAuthToken.
Questa richiesta API è stata identificata come anomala dal modello ML (Anomaly GuardDuty Detection Machine Learning) di Anomaly Detection. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l'API specifica che è stata richiesta. Nei dettagli sui risultati sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
DefenseEvasion:IAMUser/AnomalousBehavior
Un'API utilizzata per eludere le misure difensive è stata richiamata in modo anomalo.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola richiesta API o una serie di richieste API correlate effettuate in prossimità da un'unica identità utente. L'API osservata è comunemente associata a tattiche di evasione difensiva in cui un avversario cerca di nascondere le proprie tracce ed evitare di essere scoperto. APIs in questa categoria si trovano in genere operazioni di eliminazione, disabilitazione o interruzione, come, o. DeleteFlowLogs DisableAlarmActions StopLogging
Questa richiesta API è stata identificata come anomala dal modello ML (Anomaly GuardDuty Detection Machine Learning) di Anomaly Detection. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l'API specifica che è stata richiesta. Nei dettagli sui risultati sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Discovery:IAMUser/AnomalousBehavior
Un'API comunemente utilizzata per scovare le risorse è stata richiamata in modo anomalo.
Gravità predefinita: bassa
-
Fonte dei dati: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola richiesta API o una serie di richieste API correlate effettuate in prossimità da un'unica identità utente. L'API osservata è generalmente associata alla fase di scoperta di un attacco, quando un avversario raccoglie informazioni per determinare se l' AWS ambiente è suscettibile a un attacco più ampio. APIs in questa categoria rientrano in genere le operazioni di recupero, descrizione o elenco, ad esempio, DescribeInstances o. GetRolePolicy ListAccessKeys
Questa richiesta API è stata identificata come anomala dal modello ML (Anomaly GuardDuty Detection Machine Learning) di Anomaly Detection. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l'API specifica che è stata richiesta. Nei dettagli sui risultati sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Exfiltration:IAMUser/AnomalousBehavior
Un'API comunemente utilizzata per raccogliere dati da un AWS ambiente è stata richiamata in modo anomalo.
Gravità predefinita: alta
-
Fonte dei dati: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola richiesta API o una serie di richieste API correlate effettuate in prossimità da un'unica identità utente. L'API osservata è comunemente associata a tattiche di esfiltrazione in cui un avversario tenta di raccogliere dati dalla rete utilizzando pacchetti e crittografia per evitare il rilevamento. APIs per questo tipo di risultato si tratta solo di operazioni di gestione (piano di controllo) e sono in genere correlate a S3, alle istantanee e ai database, come,, o. PutBucketReplication CreateSnapshot RestoreDBInstanceFromDBSnapshot
Questa richiesta API è stata identificata come anomala dal modello ML (Anomaly Detection Machine Learning) GuardDuty di Anomaly Detection. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l'API specifica che è stata richiesta. Nei dettagli sui risultati sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Impact:IAMUser/AnomalousBehavior
Un'API comunemente utilizzata per manomettere dati o processi in un AWS ambiente è stata richiamata in modo anomalo.
Gravità predefinita: alta
-
Fonte dei dati: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola richiesta API o una serie di richieste API correlate effettuate in prossimità da un'unica identità utente. L'API osservata è comunemente associata a tattiche di impatto in cui un avversario cerca di interrompere le operazioni e manipolare, interrompere o distruggere i dati dell'account. APIs per questo tipo di risultato si utilizzano in genere operazioni di eliminazione, aggiornamento o invio, come, o. DeleteSecurityGroup UpdateUser PutBucketPolicy
Questa richiesta API è stata identificata come anomala dal modello ML (Anomaly GuardDuty Detection Machine Learning) di Anomaly Detection. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l'API specifica che è stata richiesta. Nei dettagli sui risultati sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
InitialAccess:IAMUser/AnomalousBehavior
Un'API comunemente utilizzata per ottenere l'accesso non autorizzato a un AWS ambiente è stata richiamata in modo anomalo.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola richiesta API o una serie di richieste API correlate effettuate in prossimità da un'unica identità utente. L'API osservata è generalmente associata alla fase di accesso iniziale di un attacco, quando un avversario tenta di stabilire l'accesso all'ambiente. APIs in questa categoria rientrano in genere operazioni get token o di sessione, come, StartSession o. GetAuthorizationToken
Questa richiesta API è stata identificata come anomala dal modello ML ( GuardDutyAnomaly Detection Machine Learning). Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l'API specifica che è stata richiesta. Nei dettagli sui risultati sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
PenTest:IAMUser/KaliLinux
Un'API è stata richiamata da una macchina Kali Linux.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta ti informa che una macchina che esegue Kali Linux sta effettuando chiamate API utilizzando credenziali che appartengono all' AWS account elencato nel tuo ambiente. Kali Linux è un popolare strumento di test di penetrazione che i professionisti della sicurezza utilizzano per identificare i punti deboli nei casi che richiedono l'applicazione di patch. EC2 Gli aggressori utilizzano questo strumento anche per trovare punti deboli di EC2 configurazione e ottenere l'accesso non autorizzato all'ambiente. AWS
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
PenTest:IAMUser/ParrotLinux
Un'API è stata richiamata da una macchina Parrot Security Linux.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta indica che una macchina che esegue Parrot Security Linux sta effettuando chiamate API utilizzando credenziali che appartengono all' AWS account elencato nell'ambiente in uso. Parrot Security Linux è un popolare strumento di test di penetrazione che i professionisti della sicurezza utilizzano per identificare i punti deboli nelle istanze che richiedono l'applicazione di patch. EC2 Gli aggressori utilizzano questo strumento anche per individuare i punti deboli della EC2 configurazione e ottenere l'accesso non autorizzato all'ambiente. AWS
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
PenTest:IAMUser/PentooLinux
Un'API è stata richiamata da una macchina Pentoo Linux.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questa scoperta ti informa che una macchina che esegue Pentoo Linux sta effettuando chiamate API utilizzando credenziali che appartengono all' AWS account elencato nel tuo ambiente. Pentoo Linux è un popolare strumento di test di penetrazione che i professionisti della sicurezza utilizzano per identificare i punti deboli nei casi che richiedono l'applicazione di patch. EC2 Gli aggressori utilizzano questo strumento anche per trovare punti deboli di EC2 configurazione e ottenere l'accesso non autorizzato all'ambiente. AWS
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Persistence:IAMUser/AnomalousBehavior
Un'API comunemente utilizzata per mantenere l'accesso non autorizzato a un AWS ambiente è stata richiamata in modo anomalo.
Gravità predefinita: media
-
Fonte dei dati: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola richiesta API o una serie di richieste API correlate effettuate in prossimità da un'unica identità utente. L'API osservata è comunemente associata a tattiche di persistenza in cui un avversario ha ottenuto l'accesso all'ambiente dell'utente e sta tentando di mantenere tale accesso. APIs in questa categoria si trovano in genere operazioni di creazione, importazione o modifica, come, o. CreateAccessKey ImportKeyPair ModifyInstanceAttribute
Questa richiesta API è stata identificata come anomala dal modello ML (Anomaly GuardDuty Detection Machine Learning) di Anomaly Detection. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l'API specifica che è stata richiesta. Nei dettagli sui risultati sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Policy:IAMUser/RootCredentialUsage
Un'API è stata richiamata utilizzando le credenziali di accesso di un utente root.
Gravità predefinita: bassa
-
Fonte dati: eventi di CloudTrail gestione o eventi relativi ai CloudTrail dati per S3
Questo esito segnala che le credenziali di accesso dell'utente root dell' Account AWS elencato nel tuo ambiente vengono utilizzate per effettuare richieste ai servizi AWS . Si consiglia agli utenti di non utilizzare mai le credenziali di accesso dell'utente root per accedere ai servizi. AWS È invece necessario accedere AWS ai servizi utilizzando le credenziali temporanee con privilegi minimi di (STS). AWS Security Token Service Nelle situazioni in cui AWS STS non è supportato, consigliamo di utilizzare le credenziali dell'utente IAM. Per ulteriori informazioni, consulta Best Practice IAM.
Nota
Se S3 Protection è abilitato per l'account, questo risultato può essere generato in risposta ai tentativi di eseguire operazioni sul piano dati S3 sulle risorse Amazon S3 utilizzando le credenziali di accesso dell'utente root di. Account AWS La chiamata API utilizzata verrà elencata nei dettagli dell'esito. Se S3 Protection non è abilitato, questo risultato può essere attivato solo dal registro eventi. APIs Per ulteriori informazioni su S3 Protection, consulta. Protezione S3
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Policy:IAMUser/ShortTermRootCredentialUsage
È stata richiamata un'API utilizzando credenziali utente root con restrizioni.
Gravità predefinita: bassa
-
Fonte dati: eventi di AWS CloudTrail gestione o eventi AWS CloudTrail relativi ai dati per S3
Questa scoperta ti informa che le credenziali utente con restrizioni create per gli utenti elencati Account AWS nel tuo ambiente vengono utilizzate per effettuare richieste a. Servizi AWS Si consiglia di utilizzare le credenziali dell'utente root solo per quelle attività che richiedono credenziali utente root.
Quando possibile, accedi Servizi AWS utilizzando i ruoli IAM con privilegi minimi con credenziali temporanee da (). AWS Security Token Service AWS STS Per gli scenari in cui non AWS STS è supportato, la best practice consiste nell'utilizzare le credenziali utente IAM. Per ulteriori informazioni, consulta le best practice di sicurezza in IAM e le migliori pratiche per gli utenti root per te Account AWS nella IAM User Guide.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
PrivilegeEscalation:IAMUser/AnomalousBehavior
Un'API comunemente utilizzata per ottenere autorizzazioni di alto livello per un AWS ambiente è stata richiamata in modo anomalo.
Gravità predefinita: media
-
Fonte dei dati: eventi di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola richiesta API o una serie di richieste API correlate effettuate in prossimità da un'unica identità utente. L'API osservata è comunemente associata a tattiche di escalation dei privilegi in cui un avversario tenta di ottenere autorizzazioni di livello superiore per un ambiente. APIs in questa categoria si tratta in genere di operazioni che modificano le politiche, i ruoli e gli utenti di IAM, ad esempio, o. AssociateIamInstanceProfile AddUserToGroup PutUserPolicy
Questa richiesta API è stata identificata come anomala dal modello GuardDuty di machine learning (ML) di rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l'API specifica che è stata richiesta. Nei dettagli sui risultati sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Recon:IAMUser/MaliciousIPCaller
Un'API è stata chiamata da un indirizzo IP dannoso noto.
Gravità predefinita: media
-
Fonte dei dati: eventi di gestione CloudTrail
Questo esito segnala che un'operazione API in grado di elencare o descrivere le risorse AWS di un account all'interno del tuo ambiente è stata richiamata da un indirizzo IP incluso in un elenco minacce. Un utente malintenzionato può utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali già in suo possesso.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Recon:IAMUser/MaliciousIPCaller.Custom
Un'API è stata chiamata da un indirizzo IP dannoso noto.
Gravità predefinita: media
-
Fonte dei dati: eventi di gestione CloudTrail
Questo esito segnala che un'operazione API in grado di elencare o descrivere le risorse AWS di un account all'interno del tuo ambiente è stata richiamata da un indirizzo IP incluso in un elenco minacce personalizzato. L'elenco delle minacce utilizzato sarà elencato nei dettagli del risultato. Un utente malintenzionato potrebbe utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali già in suo possesso.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Recon:IAMUser/TorIPCaller
Un'API è stata chiamata dall'indirizzo IP di un nodo di uscita Tor.
Gravità predefinita: media
-
Fonte dei dati: eventi di gestione CloudTrail
Questo esito segnala che un'operazione API in grado di elencare o descrivere le risorse AWS di un account all'interno del tuo ambiente è stata richiamata dall'indirizzo IP di un nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Un utente malintenzionato può usare Tor per mascherare la propria identità.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Stealth:IAMUser/CloudTrailLoggingDisabled
AWS CloudTrail la registrazione è stata disabilitata.
Gravità predefinita: bassa
-
Fonte dei dati: eventi CloudTrail di gestione
Questa scoperta indica che una CloudTrail traccia all'interno AWS dell'ambiente in uso è stata disattivata. Può trattarsi di un tentativo di un utente malintenzionato di disabilitare la registrazione per eliminare le tracce della sua attività accedendo nel contempo alle risorse AWS per scopi dannosi. Questo risultato può essere generato dall'eliminazione o dall'aggiornamento riuscito di un trail Questo risultato può essere innescato anche dall'eliminazione riuscita di un bucket S3 che memorizza i log di un trail associato a. GuardDuty
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Stealth:IAMUser/PasswordPolicyChange
La policy delle password dell'account è stata indebolita.
Gravità predefinita: bassa*
Nota
La gravità di questo esito può essere bassa, media o alta a seconda della gravità delle modifiche apportate alla policy delle password.
-
Fonte dei dati: eventi di gestione CloudTrail
La politica relativa alle password degli AWS account è stata indebolita nell'account elencato nell' AWS ambiente in uso. Ad esempio, è stata eliminata o aggiornata per richiedere un numero minore di caratteri, non richiedere simboli e numeri o per prolungare l'estensione del periodo di scadenza delle password. Questo risultato può essere causato anche dal tentativo di aggiornare o eliminare la politica relativa alle password AWS dell'account. La politica sulle password degli AWS account definisce le regole che regolano i tipi di password che possono essere impostati per gli utenti IAM. Un policy delle password indebolita consente la creazione di password facili da ricordare e potenzialmente più facili da indovinare, creando di fatto un rischio per la sicurezza.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
Molteplici connessioni riuscite alla console sono state osservate in tutto il mondo.
Gravità predefinita: media
-
Fonte dei dati: eventi di gestione CloudTrail
Questo risultato segnala che molteplici connessioni riuscite alla console da parte dello stesso utente IAM sono state osservate simultaneamente in varie regioni geografiche. Questi modelli di localizzazione degli accessi anomali e rischiosi indicano un potenziale accesso non autorizzato alle risorse dell'utente. AWS
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
Le credenziali create esclusivamente per un' EC2 istanza tramite un ruolo di avvio dell'istanza vengono utilizzate da un altro account all'interno. AWS
Gravità predefinita: alta*
Nota
La gravità predefinita di questi esiti è alta. Tuttavia, se l'API è stata richiamata da un account affiliato AWS all'ambiente in uso, la gravità è Media.
-
Fonte dei dati: eventi di CloudTrail gestione o eventi CloudTrail relativi ai dati per S3
Questo risultato ti informa quando le credenziali dell' EC2 istanza Amazon vengono utilizzate per richiamare APIs da un indirizzo IP o da un endpoint Amazon VPC, di proprietà di un AWS account diverso da quello su cui è in esecuzione l'istanza Amazon associata. EC2 Il rilevamento degli endpoint VPC è disponibile solo per i servizi che supportano gli eventi di attività di rete per gli endpoint VPC. Per informazioni sui servizi che supportano gli eventi di attività di rete per gli endpoint VPC, consulta la sezione Registrazione degli eventi delle attività di rete nella Guida per l'utente.AWS CloudTrail
AWS non consiglia di ridistribuire le credenziali temporanee al di fuori dell'entità che le ha create (ad esempio, applicazioni AWS EC2, Amazon o). AWS Lambda Tuttavia, gli utenti autorizzati possono esportare le credenziali dalle proprie EC2 istanze Amazon per effettuare chiamate API legittime. Se il remoteAccountDetails.Affiliated campo è, True l'API è stata richiamata da un account associato allo stesso account amministratore. Per escludere un potenziale attacco e verificare la legittimità dell'attività, contatta il Account AWS proprietario o il responsabile IAM a cui sono assegnate queste credenziali.
Nota
Se GuardDuty rileva un'attività continua da un account remoto, il suo modello di machine learning (ML) la identificherà come un comportamento previsto. Pertanto, GuardDuty smetterà di generare questo risultato per l'attività da quell'account remoto. GuardDuty continuerà a generare risultati relativi a nuovi comportamenti provenienti da altri account remoti e rivaluterà gli account remoti appresi man mano che il comportamento cambia nel tempo.
Raccomandazioni per la correzione:
Questo risultato viene generato quando le richieste AWS API vengono effettuate all'interno AWS tramite un' EC2 istanza Amazon esterna alla tua Account AWS, utilizzando le credenziali di sessione dell' EC2 istanza Amazon. Potrebbe essere consuetudine, ad esempio per l'architettura Transit Gateway in una configurazione hub and spoke, instradare il traffico attraverso un singolo VPC di uscita dell'hub con endpoint di servizio. AWS Se è previsto questo comportamento, ti GuardDuty consiglia di utilizzare Regole di eliminazione e creare una regola con criteri a due filtri. Il primo criterio è il tipo di ricerca, che in questo caso è UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Il secondo criterio di filtro è l'ID dell'account remoto dei dettagli dell'account remoto.
In risposta a questo esito, puoi utilizzare il seguente flusso di lavoro per determinare una linea d'azione:
-
Identifica l'account remoto coinvolto tramite il campo
service.action.awsApiCallAction.remoteAccountDetails.accountId. -
Determina se quell'account è affiliato al tuo GuardDuty ambiente direttamente dal
service.action.awsApiCallAction.remoteAccountDetails.affiliatedcampo. -
Se l'account è affiliato, contatta il proprietario dell'account remoto e il proprietario delle credenziali dell' EC2 istanza Amazon per verificare.
Se l'account non è affiliato, il primo passo consiste nel valutare se l'account è associato alla tua organizzazione ma non fa parte della configurazione dell'ambiente con GuardDuty più account o se non è ancora GuardDuty stato abilitato in questo account. Successivamente, contatta il proprietario delle credenziali dell' EC2 istanza Amazon per determinare se esiste un caso d'uso per un account remoto in cui utilizzare queste credenziali.
-
Se il proprietario non riconosce l'account remoto, allora le credenziali potrebbero essere state compromesse da un autore di minacce che opera all'interno di AWS. È necessario adottare le misure consigliate inCorrezione di un'istanza Amazon potenzialmente compromessa EC2, per proteggere il proprio ambiente.
Inoltre, puoi inviare una segnalazione di abuso
al team AWS Trust and Safety per avviare un'indagine sull'account remoto. Quando invii la segnalazione a AWS Trust and Safety, includi i dettagli JSON completi del risultato.
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
Le credenziali create esclusivamente per un' EC2 istanza tramite un ruolo di avvio dell'istanza vengono utilizzate da un indirizzo IP esterno.
Gravità predefinita: alta
-
Fonte dei dati: eventi CloudTrail di gestione o eventi CloudTrail relativi ai dati per S3
Questo risultato ti informa che un host esterno AWS ha tentato di eseguire operazioni AWS API utilizzando AWS credenziali temporanee create su un' EC2 istanza nel tuo ambiente. AWS L' EC2 istanza elencata potrebbe essere compromessa e le credenziali temporanee di questa istanza potrebbero essere state esfiltrate su un host remoto esterno a. AWS AWS non consiglia di ridistribuire le credenziali temporanee all'esterno dell'entità che le ha create (ad esempio, AWS applicazioni EC2 o Lambda). Tuttavia, gli utenti autorizzati possono esportare le credenziali dalle proprie EC2 istanze per effettuare chiamate API legittime. Per escludere un potenziale attacco e verificare la legittimità dell'attività, verifica se nell'esito è previsto l'uso di credenziali di istanza provenienti dall'IP remoto.
Nota
Se GuardDuty rileva un'attività continua da un account remoto, il relativo modello di machine learning (ML) la identificherà come un comportamento previsto. Pertanto, GuardDuty smetterà di generare questo risultato per l'attività da quell'account remoto. GuardDuty continuerà a generare risultati relativi a nuovi comportamenti provenienti da altri account remoti e rivaluterà gli account remoti appresi man mano che il comportamento cambia nel tempo.
Raccomandazioni per la correzione:
Questo esito viene generato quando la rete è configurata per instradare il traffico Internet in modo tale da uscire da un gateway on-premise anziché da un gateway Internet (IGW) VPC. Configurazioni comuni, come l'utilizzo di AWS Outposts o delle connessioni VPN del VPC, possono instradare il traffico in questo modo. Se questo comportamento è previsto, ti consigliamo di utilizzare le regole di eliminazione e creare una regola composta da due criteri di filtro. Il primo criterio è trovare il tipo, che dovrebbe essere UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. Il secondo criterio di filtro è l' IPv4 indirizzo del chiamante API con l'indirizzo IP o l'intervallo CIDR del gateway Internet locale. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di soppressione in GuardDuty.
Nota
Se GuardDuty rileva un'attività continua proveniente da una fonte esterna, il suo modello di apprendimento automatico la identificherà come comportamento previsto e smetterà di generare questo risultato per l'attività proveniente da quella fonte. GuardDuty continuerà a generare risultati per nuovi comportamenti da altre fonti e rivaluterà le fonti apprese man mano che il comportamento cambia nel tempo.
Se questa attività non è prevista, le credenziali potrebbero essere compromesse, vedere Riparazione delle credenziali potenzialmente compromesse AWS.
UnauthorizedAccess:IAMUser/MaliciousIPCaller
Un'API è stata chiamata da un indirizzo IP dannoso noto.
Gravità predefinita: media
-
Fonte dei dati: eventi CloudTrail di gestione
Questa scoperta indica che un'operazione API (ad esempio, un tentativo di avviare un' EC2 istanza, creare un nuovo utente IAM o modificare AWS i privilegi) è stata richiamata da un indirizzo IP dannoso noto. Ciò può indicare un accesso non autorizzato alle AWS risorse all'interno dell'ambiente.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
Un'API è stata chiamata da un indirizzo IP incluso in un elenco di minacce personalizzato.
Gravità predefinita: media
-
Fonte dei dati: eventi CloudTrail di gestione
Questa scoperta ti informa che un'operazione API (ad esempio, un tentativo di avviare un' EC2 istanza, creare un nuovo utente IAM o modificare AWS i privilegi) è stata richiamata da un indirizzo IP incluso in un elenco di minacce che hai caricato. In GuardDuty, un elenco minacce include indirizzi IP dannosi noti. Ciò può indicare un accesso non autorizzato alle AWS risorse all'interno dell'ambiente.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
UnauthorizedAccess:IAMUser/TorIPCaller
Un'API è stata chiamata dall'indirizzo IP di un nodo di uscita Tor.
Gravità predefinita: media
-
Fonte dei dati: eventi CloudTrail di gestione
Questa scoperta ti informa che un'operazione API (ad esempio, un tentativo di avviare un' EC2 istanza, creare un nuovo utente IAM o modificare AWS i tuoi privilegi) è stata richiamata da un indirizzo IP del nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle risorse AWS con l'intento di nascondere la vera identità dell'utente malintenzionato.
Raccomandazioni per la correzione:
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
