Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

GuardDuty S3 Tipi di risultati di protezione

I seguenti risultati sono specifici per le risorse di Amazon S3 e avranno un tipo di risorsa S3Bucket se l'origine CloudTrail dati è data events per S3 o AccessKey se l'origine dati è CloudTrail un evento di gestione. La gravità e i dettagli dei risultati saranno diversi in base al tipo di ricerca e all'autorizzazione associata al bucket.

Gli esiti qui elencati includono le origini dati e i modelli utilizzati per generare quel tipo di esito. Per ulteriori informazioni sulle origini dati e sui modelli, consulta GuardDuty fonti di dati fondamentali.

Per tutti i tipi di esiti S3Bucket, ti consigliamo di esaminare le autorizzazioni sul bucket in questione e le autorizzazioni di tutti gli utenti coinvolti nell'esito. Se l'attività è non è prevista, consulta le raccomandazioni per la correzione descritte in dettaglio in Riparazione di un bucket S3 potenzialmente compromesso.

Discovery:S3/AnomalousBehavior

Un comando API comunemente usato per scoprire oggetti S3 è stato invocato in modo anomalo.

Gravità predefinita: bassa

Questo risultato ti informa che un'IAMentità ha richiamato un S3 API per rilevare i bucket S3 nel tuo ambiente, ad esempio. ListObjects Questo tipo di attività è associata alla fase di scoperta di un attacco, in cui un aggressore raccoglie informazioni per determinare se l'ambiente in uso è suscettibile a un attacco più ampio. AWS Questa attività è sospetta perché l'IAMentità l'ha invocata in modo insolito. API Ad esempio, un'IAMentità senza cronologia precedente richiama un S3 o un'IAMentità richiama un S3 API da una posizione insolita. API

Questo API è stato identificato come anomalo dal modello di machine learning (ML) GuardDuty di rilevamento delle anomalie. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle API richieste, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, API lo specifico richiesto, il bucket richiesto e il numero di chiamate effettuate. API Per ulteriori informazioni su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta, vedi Ricerca dei dettagli.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Discovery:S3/MaliciousIPCaller

Un S3, API comunemente usato per rilevare risorse in un AWS ambiente, è stato richiamato da un indirizzo IP malevolo noto.

Gravità predefinita: alta

Questo risultato indica che un'APIoperazione S3 è stata richiamata da un indirizzo IP associato ad attività dannose note. L'osservazione API è comunemente associata alla fase di scoperta di un attacco, quando un avversario sta raccogliendo informazioni sull'ambiente in uso. AWS A titolo di esempio si possono menzionare GetObjectAcl e ListObjects.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Discovery:S3/MaliciousIPCaller.Custom

Un S3 API è stato richiamato da un indirizzo IP in un elenco di minacce personalizzato.

Gravità predefinita: alta

Questa scoperta ti informa che un S3API, come GetObjectAcl oListObjects, è stato richiamato da un indirizzo IP incluso in un elenco di minacce che hai caricato. L'elenco minacce associato a questo esito è elencato nella sezione Informazioni aggiuntive dei dettagli di un esito. Questo tipo di attività è associato alla fase di scoperta di un attacco in cui l'utente malintenzionato raccoglie informazioni per determinare se il tuo ambiente AWS è suscettibile a un attacco più ampio.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Discovery:S3/TorIPCaller

Un S3 API è stato richiamato da un indirizzo IP del nodo di uscita Tor.

Gravità predefinita: media

Questa scoperta ti informa che un S3API, come GetObjectAcl orListObjects, è stato richiamato da un indirizzo IP del nodo di uscita Tor. Questo tipo di attività è associata alla fase di scoperta di un attacco, in cui un aggressore raccoglie informazioni per determinare se l' AWS ambiente in uso è suscettibile a un attacco più ampio. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle AWS risorse dell'utente con l'intento di nascondere la vera identità dell'aggressore.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Exfiltration:S3/AnomalousBehavior

Un'IAMentità ha richiamato un API S3 in modo sospetto.

Gravità predefinita: alta

Questo risultato indica che un'IAMentità sta effettuando API chiamate che coinvolgono un bucket S3 e che questa attività è diversa dalla linea di base stabilita dall'entità. La API chiamata utilizzata in questa attività è associata alla fase di esfiltrazione di un attacco, in cui un utente malintenzionato tenta di raccogliere dati. Questa attività è sospetta perché l'IAMentità l'ha invocata in un modo insolito. API Ad esempio, un'IAMentità senza cronologia precedente richiama un S3 o un'IAMentità richiama un S3 API da una posizione insolita. API

Questo API è stato identificato come anomalo dal modello di machine learning (ML) GuardDuty di rilevamento delle anomalie. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle API richieste, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, API lo specifico richiesto, il bucket richiesto e il numero di chiamate effettuate. API Per ulteriori informazioni su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta, vedi Ricerca dei dettagli.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Exfiltration:S3/MaliciousIPCaller

Un S3 API comunemente usato per raccogliere dati da un AWS ambiente è stato richiamato da un indirizzo IP noto come malevolo.

Gravità predefinita: alta

Questo risultato indica che un'APIoperazione S3 è stata richiamata da un indirizzo IP associato ad attività dannose note. L'osservazione API è comunemente associata a tattiche di esfiltrazione in cui un avversario sta cercando di raccogliere dati dalla rete. A titolo di esempio si possono menzionare GetObject e CopyObject.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Impact:S3/AnomalousBehavior.Delete

Un'IAMentità ha richiamato un S3 API che tenta di eliminare i dati in modo sospetto.

Gravità predefinita: alta

Questo risultato indica che un'IAMentità nel tuo AWS ambiente sta effettuando API chiamate che coinvolgono un bucket S3 e questo comportamento è diverso dalla linea di base stabilita da tale entità. La API chiamata utilizzata in questa attività è associata a un attacco che tenta di eliminare i dati. Questa attività è sospetta perché l'IAMentità la ha invocata API in un modo insolito. Ad esempio, un'IAMentità senza cronologia precedente richiama un S3 o un'IAMentità richiama un S3 API da una posizione insolita. API

Questo API è stato identificato come anomalo dal modello di machine learning (ML) GuardDuty di rilevamento delle anomalie. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle API richieste, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, API lo specifico richiesto, il bucket richiesto e il numero di chiamate effettuate. API Per ulteriori informazioni su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta, vedi Ricerca dei dettagli.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Ti consigliamo di controllare il contenuto del tuo bucket S3 per determinare se la versione precedente dell'oggetto può o deve essere ripristinata.

Impact:S3/AnomalousBehavior.Permission

Un permesso API comunemente usato per impostare l'access control list (ACL) è stato invocato in modo anomalo.

Gravità predefinita: alta

Questo risultato ti informa che un'IAMentità nel tuo AWS ambiente ha modificato una policy sui bucket S3 o ACL sui bucket S3 elencati. Questa modifica potrebbe esporre pubblicamente i tuoi bucket S3 a tutti gli utenti autenticati. AWS

Ciò API è stato identificato come anomalo dal modello di apprendimento automatico (ML) GuardDuty di rilevamento delle anomalie. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle API richieste, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, API lo specifico richiesto, il bucket richiesto e il numero di chiamate effettuate. API Per ulteriori informazioni su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta, vedi Ricerca dei dettagli.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Ti consigliamo di controllare il contenuto del tuo bucket S3 per assicurarti che a nessun oggetto sia stato inaspettatamente consentito l'accesso pubblico.

Impact:S3/AnomalousBehavior.Write

Un'IAMentità ha richiamato un S3 API che tenta di scrivere dati in modo sospetto.

Gravità predefinita: media

Questo risultato indica che un'IAMentità nel tuo AWS ambiente sta effettuando API chiamate che coinvolgono un bucket S3 e questo comportamento è diverso dalla linea di base stabilita da tale entità. La API chiamata utilizzata in questa attività è associata a un attacco che tenta di scrivere dati. Questa attività è sospetta perché l'IAMentità la ha invocata API in un modo insolito. Ad esempio, un'IAMentità senza cronologia precedente richiama un S3 o un'IAMentità richiama un S3 API da una posizione insolita. API

Questo API è stato identificato come anomalo dal modello di machine learning (ML) GuardDuty di rilevamento delle anomalie. Il modello ML valuta tutte le API richieste nell'account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle API richieste, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta, API lo specifico richiesto, il bucket richiesto e il numero di chiamate effettuate. API Per ulteriori informazioni su quali fattori della API richiesta sono insoliti per l'identità dell'utente che ha richiamato la richiesta, vedi Ricerca dei dettagli.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Ti consigliamo di controllare il contenuto del tuo bucket S3 per assicurarti che questa API chiamata non abbia scritto dati dannosi o non autorizzati.

Impact:S3/MaliciousIPCaller

Un S3 API comunemente usato per manomettere dati o processi in un AWS ambiente è stato richiamato da un indirizzo IP malevolo noto.

Gravità predefinita: alta

Questo risultato indica che un'APIoperazione S3 è stata richiamata da un indirizzo IP associato ad attività dannose note. L'osservazione API è comunemente associata a tattiche di impatto in cui un avversario cerca di manipolare, interrompere o distruggere i dati all'interno dell'ambiente. AWS A titolo di esempio si possono menzionare PutObject e PutObjectAcl.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

PenTest:S3/KaliLinux

Un S3 è API stato richiamato da una macchina Kali Linux.

Gravità predefinita: media

Questa scoperta ti informa che una macchina che esegue Kali Linux sta effettuando API chiamate S3 utilizzando credenziali che appartengono al tuo account. AWS Le tue credenziali potrebbero essere compromesse. Kali Linux è un popolare strumento di test di penetrazione che i professionisti della sicurezza utilizzano per identificare i punti deboli nei casi che richiedono l'applicazione di patch. EC2 Gli aggressori utilizzano questo strumento anche per trovare punti deboli di EC2 configurazione e ottenere l'accesso non autorizzato all'ambiente. AWS

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

PenTest:S3/ParrotLinux

Un S3 API è stato richiamato da una macchina Parrot Security Linux.

Gravità predefinita: media

Questa scoperta indica che una macchina che esegue Parrot Security Linux sta effettuando API chiamate S3 utilizzando credenziali che appartengono al vostro account. AWS Le tue credenziali potrebbero essere compromesse. Parrot Security Linux è un popolare strumento di test di penetrazione che i professionisti della sicurezza utilizzano per identificare i punti deboli nelle istanze che richiedono l'applicazione di patch. EC2 Gli aggressori utilizzano questo strumento anche per individuare i punti deboli della EC2 configurazione e ottenere l'accesso non autorizzato all'ambiente. AWS

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

PenTest:S3/PentooLinux

Un S3 API è stato richiamato da una macchina Pentoo Linux.

Gravità predefinita: media

Questa scoperta ti informa che una macchina che esegue Pentoo Linux sta effettuando API chiamate S3 utilizzando credenziali che appartengono al tuo account. AWS Le tue credenziali potrebbero essere compromesse. Pentoo Linux è un popolare strumento di test di penetrazione che i professionisti della sicurezza utilizzano per identificare i punti deboli nelle istanze che richiedono l'applicazione di patch. EC2 Gli aggressori utilizzano questo strumento anche per trovare punti deboli di EC2 configurazione e ottenere l'accesso non autorizzato all'ambiente. AWS

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Policy:S3/AccountBlockPublicAccessDisabled

Un'IAMentità ha invocato un utente API per disabilitare S3 Block Public Access su un account.

Gravità predefinita: bassa

Questo esito segnala che il blocco dell'accesso pubblico Amazon S3 è stato disabilitato a livello di account. Quando le impostazioni di S3 Block Public Access sono abilitate, vengono utilizzate per filtrare le politiche o gli elenchi di controllo degli accessi (ACLs) sui bucket come misura di sicurezza per prevenire l'esposizione pubblica involontaria dei dati.

In genere, il blocco dell'accesso pubblico S3 è disattivato nell'account per consentire l'accesso pubblico a un bucket o agli oggetti al suo interno. Quando S3 Block Public Access è disabilitato per un account, l'accesso ai bucket è controllato dalle policy o dalle impostazioni di Block Public Access a livello di bucket applicate ai singoli bucket. ACLs Questo non significa per forza che i bucket sono condivisi pubblicamente, ma che è necessario controllare le autorizzazioni applicate ai bucket per verificare che forniscano il livello di accesso appropriato.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Policy:S3/BucketAnonymousAccessGranted

Un IAM principale ha concesso l'accesso a un bucket S3 a Internet modificando le politiche dei bucket o. ACLs

Gravità predefinita: alta

Questa scoperta indica che il bucket S3 elencato è stato reso accessibile al pubblico su Internet perché un'IAMentità ha modificato una policy relativa al bucket o ACL su quel bucket. Una volta rilevata una policy o una ACL modifica, utilizza il ragionamento automatico fornito da Zelkova per determinare se il bucket è accessibile al pubblico.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Policy:S3/BucketBlockPublicAccessDisabled

Un'IAMentità ha richiamato un user API per disabilitare S3 Block Public Access su un bucket.

Gravità predefinita: bassa

Questo esito segnala che il blocco dell'accesso pubblico è stato disabilitato per il bucket S3 elencato. Se abilitate, le impostazioni di S3 Block Public Access vengono utilizzate per filtrare le politiche o le liste di controllo degli accessi (ACLs) applicate ai bucket come misura di sicurezza per prevenire l'esposizione pubblica involontaria dei dati.

In genere, il blocco dell'accesso pubblico S3 è disattivato su un bucket per consentire l'accesso pubblico al bucket in questione o agli oggetti al suo interno. Quando S3 Block Public Access è disabilitato per un bucket, l'accesso al bucket è controllato dalle policy o applicato ad esso. ACLs Ciò non significa che il bucket sia condiviso pubblicamente, ma è necessario verificare le politiche e ACLs applicarle al bucket per confermare che vengano applicate le autorizzazioni appropriate.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Policy:S3/BucketPublicAccessGranted

Un IAM principale ha concesso l'accesso pubblico a un bucket S3 a tutti AWS gli utenti modificando le politiche del bucket o. ACLs

Gravità predefinita: alta

Questo risultato indica che il bucket S3 elencato è stato esposto pubblicamente a tutti AWS gli utenti autenticati perché un'IAMentità ha modificato una policy sul bucket S3 o ACL su quel bucket S3. Una volta rilevata una policy o una ACL modifica, utilizza il ragionamento automatico fornito da Zelkova per determinare se il bucket è accessibile al pubblico.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Stealth:S3/ServerAccessLoggingDisabled

La registrazione degli accessi al server S3 è stata disabilitata per un bucket.

Gravità predefinita: bassa

Questa scoperta ti informa che la registrazione degli accessi al server S3 è disabilitata per un bucket all'interno del tuo ambiente. AWS Se disabilitata, non viene creato alcun registro delle richieste Web per i tentativi di accesso al bucket S3 identificato, tuttavia, le API chiamate di gestione S3 al bucket, ad esempio, vengono comunque tracciate. DeleteBucket Se la registrazione degli eventi dei dati S3 è abilitata CloudTrail per questo bucket, le richieste web per gli oggetti all'interno del bucket verranno comunque tracciate. La disabilitazione della registrazione è una tecnica utilizzata da utenti non autorizzati per evitare il rilevamento. Per ulteriori informazioni sui log S3, consulta Registrazione degli accessi al server S3 e Opzioni di registrazione S3 .

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Un S3 API è stato richiamato da un indirizzo IP su un elenco di minacce personalizzato.

Gravità predefinita: alta

Questa scoperta ti informa che un'APIoperazione S3, ad esempio, PutObject orPutObjectAcl, è stata richiamata da un indirizzo IP incluso in un elenco di minacce che hai caricato. L'elenco minacce associato a questo esito è elencato nella sezione Informazioni aggiuntive dei dettagli di un esito.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

UnauthorizedAccess:S3/TorIPCaller

Un S3 API è stato richiamato da un indirizzo IP del nodo di uscita Tor.

Gravità predefinita: alta

Questa scoperta ti informa che un'APIoperazione S3, come PutObject orPutObjectAcl, è stata richiamata da un indirizzo IP del nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Questa scoperta può indicare un accesso non autorizzato alle tue AWS risorse con l'intento di nascondere la vera identità dell'aggressore.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.