Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tipi di esiti ritirati

Un risultato è una notifica che contiene dettagli su un potenziale problema di sicurezza rilevato GuardDuty . Per informazioni sulle modifiche importanti ai tipi di risultati, inclusi i tipi di GuardDuty risultati appena aggiunti o ritirati, vedere. Cronologia dei documenti per Amazon GuardDuty

I seguenti tipi di risultati vengono ritirati e non sono più generati da. GuardDuty

Exfiltration:S3/ObjectRead.Unusual

Un'IAMentità ha richiamato un S3 API in modo sospetto.

Gravità predefinita: media*

Questo risultato indica che un'IAMentità nel tuo AWS ambiente sta effettuando API chiamate che coinvolgono un bucket S3 e che differiscono dalla linea di base stabilita da tale entità. La API chiamata utilizzata in questa attività è associata alla fase di esfiltrazione di un attacco, in cui un aggressore tenta di raccogliere dati. Questa attività è sospetta perché il modo in cui l'entità ha invocato il era insolitoIAM. API Ad esempio, questa IAM entità non aveva precedenti di invocazioni di questo tipo oppure API era stata richiamata da una posizione insolita. API

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Impact:S3/PermissionsModification.Unusual

Un'IAMentità ha richiamato an API per modificare le autorizzazioni su una o più risorse S3.

Gravità predefinita: media*

Questa scoperta indica che un'IAMentità sta effettuando API chiamate progettate per modificare le autorizzazioni su uno o più bucket o oggetti nell'ambiente. AWS Questa operazione può essere eseguita da un utente malintenzionato per consentire la condivisione di informazioni al di fuori dell'account. Questa attività è sospetta perché il modo in cui l'IAMentità ha invocato il era insolito. API Ad esempio, questa IAM entità non aveva precedenti di invocazioni di questo tipo oppure API era stata richiamata da una posizione insolita. API

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Impact:S3/ObjectDelete.Unusual

Un'IAMentità ha richiamato un utente API per eliminare i dati in un bucket S3.

Gravità predefinita: media*

Questo risultato indica che un'IAMentità specifica nel tuo AWS ambiente sta effettuando API chiamate progettate per eliminare i dati nel bucket S3 elencato eliminando il bucket stesso. Questa attività è sospetta perché il modo in cui l'entità ha invocato il era insolitoIAM. API Ad esempio, questa IAM entità non aveva precedenti di invocazioni di questo tipo oppure API era stata richiamata da una posizione insolita. API

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Discovery:S3/BucketEnumeration.Unusual

Un'IAMentità ha richiamato un S3 API utilizzato per rilevare i bucket S3 all'interno della rete.

Gravità predefinita: media*

Questo risultato ti informa che un'IAMentità ha richiamato un S3 API per scoprire i bucket S3 nel tuo ambiente, ad esempio. ListBuckets Questo tipo di attività è associata alla fase di scoperta di un attacco, in cui un utente malintenzionato raccoglie informazioni per determinare se l' AWS ambiente in uso è suscettibile a un attacco più ampio. Questa attività è sospetta perché il modo in cui l'IAMentità ha invocato il era insolito. API Ad esempio, questa IAM entità non aveva precedenti di invocazioni di questo tipo oppure API era stata richiamata da una posizione insolita. API

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Persistence:IAMUser/NetworkPermissions

Un'IAMentità ha richiamato un messaggio API comunemente utilizzato per modificare le autorizzazioni di accesso alla rete per i gruppi di sicurezza, i percorsi e ACLs l'account. AWS

Gravità predefinita: media*

Questo risultato indica che un principale (Utente root dell'account AWS, IAM ruolo o utente) specifico nell' AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questo principio non ha precedenti di invocazione di questo principio. API

Questo risultato viene attivato quando le impostazioni di configurazione della rete vengono modificate in circostanze sospette, ad esempio quando un principale richiama il comando CreateSecurityGroup API senza precedenti. Gli aggressori spesso tentano di modificare i gruppi di sicurezza per consentire un determinato traffico in entrata su varie porte per migliorare la loro capacità di accesso a un'istanza. EC2

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

Persistence:IAMUser/ResourcePermissions

Un principale è stato invocato e API comunemente utilizzato per modificare le politiche di accesso di sicurezza di varie risorse del tuo. Account AWS

Gravità predefinita: media*

Questo risultato indica che un principale (Utente root dell'account AWS, IAM ruolo o utente) specifico nell' AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questo principio non ha precedenti di invocazione di questo principio. API

Questo risultato viene attivato quando viene rilevata una modifica alle politiche o alle autorizzazioni associate alle AWS risorse, ad esempio quando un principale nell' AWS ambiente richiama il comando PutBucketPolicy API senza precedenti. Alcuni servizi, come Amazon S3, supportano le autorizzazioni collegate alle risorse che concedono a uno o più principali di accedere alla risorsa. Con le credenziali rubate, gli utenti malintenzionati possono modificare le policy collegate a una risorsa per potervi accedere.

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

Persistence:IAMUser/UserPermissions

Un principale richiamato e API comunemente utilizzato per aggiungere, modificare o eliminare IAM utenti, gruppi o politiche nel tuo account. AWS

Gravità predefinita: media*

Questo risultato indica che un principale (Utente root dell'account AWS, IAM ruolo o utente) specifico nell' AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questo principio non ha precedenti di invocazione di questo principio. API

Questo risultato è dovuto a modifiche sospette alle autorizzazioni relative all'utente nell' AWS ambiente in uso, ad esempio quando un principale AWS dell'ambiente richiama le autorizzazioni AttachUserPolicy API senza precedenti. Gli utenti malintenzionati possono utilizzare le credenziali rubate per creare nuovi utenti, aggiungere policy di accesso agli utenti esistenti o creare chiavi di accesso per massimizzare l'accesso a un account, anche se il punto di accesso originale è chiuso. Ad esempio, il proprietario dell'account potrebbe accorgersi del furto di un determinato IAM utente o di una password e quindi eliminarli dall'account. Tuttavia, potrebbero non eliminare altri utenti creati da un amministratore creato in modo fraudolento, lasciando il loro AWS account accessibile all'aggressore.

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

PrivilegeEscalation:IAMUser/AdministrativePermissions

Un principale ha tentato di assegnare una policy molto permissiva a se stessa.

Gravità predefinita: bassa*

Questo risultato indica che un'IAMentità specifica nell' AWS ambiente in uso mostra un comportamento che può essere indicativo di un attacco di escalation dei privilegi. Questo risultato si verifica quando un IAM utente o un ruolo tenta di assegnarsi una politica altamente permissiva. Se l'utente o il ruolo in questione non intende godere di privilegi amministrativi, le credenziali dell'utente possono essere state compromesse o le autorizzazioni del ruolo potrebbero non essere configurate correttamente.

Gli utenti malintenzionati utilizzeranno le credenziali rubate per creare nuovi utenti, aggiungere policy di accesso agli utenti esistenti o creare chiavi di accesso per massimizzare l'accesso a un account, anche se il punto di accesso originale è chiuso. Ad esempio, il proprietario dell'account potrebbe accorgersi che le credenziali di accesso di un determinato IAM utente sono state rubate e quindi eliminate dall'account, ma potrebbe non eliminare altri utenti creati da un amministratore creato in modo fraudolento, lasciando il loro account ancora accessibile all'aggressore. AWS

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

Recon:IAMUser/NetworkPermissions

Un principale ha richiamato una di quelle API comunemente utilizzate per modificare le autorizzazioni di accesso alla rete per i gruppi di sicurezza, le route e l'account dell'utente. ACLs AWS

Gravità predefinita: media*

Questo risultato indica che un principale (Utente root dell'account AWS, IAM ruolo o utente) specifico nell' AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questo principio non ha precedenti di invocazione di questo principio. API

Questo esito viene attivato quando le autorizzazioni di accesso alle risorse nel tuo AWS sono sottoposte a probing in circostanze sospette. Ad esempio, se un principale ha DescribeInstances API invocato il senza precedenti. Un utente malintenzionato potrebbe utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali di cui già dispone.

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

Recon:IAMUser/ResourcePermissions

Un principale è stato invocato e viene API comunemente utilizzato per modificare le politiche di accesso di sicurezza di varie risorse dell'account. AWS

Gravità predefinita: media*

Questo risultato indica che un principale (Utente root dell'account AWS, IAM ruolo o utente) specifico nell' AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questo principio non ha precedenti di invocazione di questo principio. API

Questo esito viene attivato quando le autorizzazioni di accesso alle risorse nel tuo AWS sono sottoposte a probing in circostanze sospette. Ad esempio, se un principale ha DescribeInstances API invocato il senza precedenti. Un utente malintenzionato potrebbe utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali di cui già dispone.

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

Recon:IAMUser/UserPermissions

Un principale invocato e API comunemente usato per aggiungere, modificare o eliminare IAM utenti, gruppi o politiche nel tuo account. AWS

Gravità predefinita: media*

Questo risultato viene attivato quando le autorizzazioni degli utenti nell' AWS ambiente in uso vengono rilevate in circostanze sospette. Ad esempio, se un principale (Utente root dell'account AWS, IAM ruolo o IAM utente) lo ha ListInstanceProfilesForRole API invocato senza precedenti. Un utente malintenzionato potrebbe utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali di cui già dispone.

Questo risultato indica che uno specifico preside nell' AWS ambiente in uso mostra un comportamento diverso dalla linea di base stabilita. Questo principio non ha precedenti di invocazione API in questo modo.

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

ResourceConsumption:IAMUser/ComputeResources

Un principale invocato e API comunemente usato per avviare risorse di calcolo come le istanze. EC2

Gravità predefinita: media*

Questo risultato viene attivato quando EC2 le istanze dell'account elencato all'interno dell' AWS ambiente in uso vengono avviate in circostanze sospette. Questo risultato indica che uno specifico principal nell' AWS ambiente in uso mostra un comportamento diverso dalla linea di base stabilita, ad esempio se un principale (Utente root dell'account AWS, IAM ruolo o IAM utente) lo ha richiamato senza precedenti RunInstances API di utilizzo. Questa attività potrebbe essere un'indicazione che un utente malintenzionato sta utilizzando credenziali rubate per rubare tempo di calcolo (possibilmente per il mining di criptovalute o il password cracking). Può anche indicare che un utente malintenzionato utilizza un'EC2istanza presente nell' AWS ambiente dell'utente e le relative credenziali per mantenere l'accesso all'account.

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

Stealth:IAMUser/LoggingConfigurationModified

Un principale ha invocato un API comando comunemente utilizzato per interrompere CloudTrail la registrazione, eliminare i registri esistenti ed eliminare in altro modo le tracce di attività nell'account. AWS

Gravità predefinita: media*

Questo esito viene attivato quando la configurazione della registrazione nell'account AWS elencato all'interno del tuo ambiente viene modificata in circostanze sospette. Questo risultato indica che un principio specifico nell' AWS ambiente in uso mostra un comportamento diverso dalla linea di base stabilita; ad esempio, se un principale (Utente root dell'account AWS, IAM ruolo o IAM utente) lo ha richiamato senza alcuna precedente esperienza in tal StopLogging API senso. Ciò può indicare il tentativo di un utente malintenzionato di eliminare le tracce della sua attività.

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

UnauthorizedAccess:IAMUser/ConsoleLogin

È stato rilevato un accesso insolito alla console da parte di un responsabile del tuo AWS account.

Gravità predefinita: media*

Questo risultato viene generato quando una connessione alla console viene rilevata in circostanze sospette. Ad esempio, se un preside che non ha precedenti in tal senso, lo ha richiamato ConsoleLogin API da un never-before-used cliente o da una località insolita. Potrebbe trattarsi di un'indicazione dell'utilizzo di credenziali rubate per accedere al tuo AWS account o di un utente valido che accede all'account in modo non valido o meno sicuro (ad esempio, senza previa approvazione). VPN

Questo risultato indica che uno specifico preside nel vostro AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questo principale non ha mai eseguito connessioni con questa applicazione client da questo specifico percorso in precedenza.

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

UnauthorizedAccess:EC2/TorIPCaller

La tua EC2 istanza sta ricevendo connessioni in entrata da un nodo di uscita Tor.

Gravità predefinita: media

Questa scoperta ti informa che un'EC2istanza nel tuo AWS ambiente sta ricevendo connessioni in entrata da un nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Questa scoperta può indicare un accesso non autorizzato alle tue AWS risorse con l'intento di nascondere la vera identità dell'aggressore.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Backdoor:EC2/XORDDOS

Un'EC2istanza sta tentando di comunicare con un indirizzo IP associato al malware. XOR DDoS

Gravità predefinita: alta

Questo risultato indica che un'EC2istanza nel tuo AWS ambiente sta tentando di comunicare con un indirizzo IP associato al malware. XOR DDoS Questa EC2 istanza potrebbe essere compromessa. XORDDoSè un malware Trojan che dirotta i sistemi Linux. Per accedere al sistema, lancia un attacco di forza bruta per scoprire la password dei servizi Secure Shell () SSH su Linux. Dopo aver acquisito le SSH credenziali e aver effettuato correttamente l'accesso, utilizza i privilegi di utente root per eseguire uno script che viene scaricato e installato. XOR DDoS Questo malware viene quindi utilizzato come parte di una botnet per lanciare attacchi Distributed Denial of Service (DDoS) contro altri obiettivi.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

Behavior:IAMUser/InstanceLaunchUnusual

Un utente ha lanciato un'EC2istanza di tipo insolito.

Gravità predefinita: alta

Questo risultato indica che un utente specifico del vostro AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questo utente non ha precedenti di avvio di un'EC2istanza di questo tipo. Le tue credenziali di accesso potrebbero essere compromesse.

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

CryptoCurrency:EC2/BitcoinTool.A

EC2l'istanza sta comunicando con i pool di mining di Bitcoin.

Gravità predefinita: alta

Questa scoperta ti informa che un'EC2istanza del tuo AWS ambiente sta comunicando con i pool di mining di Bitcoin. Nel settore del mining di criptovalute, un pool di mining designa il raggruppamento delle risorse dei minatori che condividono la loro potenza di elaborazione su una rete per condividere la ricompensa in funzione del loro contributo alla risoluzione di un blocco. A meno che non utilizzi questa EC2 istanza per il mining di Bitcoin, la tua EC2 istanza potrebbe essere compromessa.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon potenzialmente compromessa EC2.

UnauthorizedAccess:IAMUser/UnusualASNCaller

An API è stato richiamato da un indirizzo IP di una rete insolita.

Gravità predefinita: alta

Questo risultato segnala che un'attività è stata chiamata da un indirizzo IP di una rete inabituale. Questa rete non è mai stata osservata nello storico di utilizzo di AWS dell'utente specificato. Questa attività può includere l'accesso alla console, il tentativo di avviare un'EC2istanza, la creazione di un nuovo IAM utente, la modifica AWS dei privilegi, ecc. Ciò può indicare un accesso non autorizzato alle tue AWS risorse.

Raccomandazioni per la correzione:

Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.