Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Dettagli degli esiti
Nella GuardDuty console Amazon, puoi visualizzare i dettagli della ricerca nella sezione di riepilogo dei risultati. I dettagli degli esiti variano in base al tipo di esito.
Esistono due dettagli principali che determinano il tipo di informazioni disponibili per qualsiasi esito. Il primo è il tipo di risorsa, che può essere Instance
AccessKey
S3Bucket
,S3Object
,Kubernetes
cluster
,ECS cluster
,Container
,RDSDBInstance
,RDSLimitlessDB
, oLambda
. Il secondo dettaglio che determina le informazioni sull'esito è Ruolo risorsa. Il ruolo della risorsa può essereTarget
, il che significa che la risorsa è stata oggetto di attività sospette. Per gli esiti del tipo istanza, il ruolo risorsa può anche essere Actor
, che indica che la risorsa è stata l'attore che svolgeva attività sospette. In questo argomento vengono descritti alcuni dei dettagli degli esiti comunemente disponibili. Per GuardDuty Tipi di risultati del monitoraggio del runtime eProtezione da malware per tipo di ricerca S3, il ruolo della risorsa non è popolato.
Argomenti
Panoramica degli esiti
La sezione Panoramica di un esito ne contiene le caratteristiche identificative di base, incluse le informazioni seguenti:
-
ID account: l'ID dell' AWS account in cui si è svolta l'attività che ha richiesto la generazione GuardDuty di questo risultato.
-
Conteggio: il numero di volte in cui GuardDuty è stata aggregata un'attività che corrisponde a questo schema a questo risultato ID.
-
Ora creazione: la data e l'ora di creazione di questo esito. Se questo valore è diverso da Ora aggiornamento significa che l'attività si è verificata più volte e si tratta di un problema in corso.
Nota
I timestamp per i risultati nella GuardDuty console vengono visualizzati nel fuso orario locale, mentre le esportazioni JSON e gli output CLI visualizzano i timestamp in UTC.
-
ID risultato: un identificatore univoco per questo tipo di esito e insieme di parametri. Le nuove occorrenze di attività corrispondenti a questo modello verranno aggregate allo stesso ID.
-
Tipo di esito: una stringa formattata che rappresenta il tipo di attività che ha attivato l'esito. Per ulteriori informazioni, consulta GuardDuty formato di ricerca.
-
Regione: la regione in cui è stato generato il risultato. AWS Per ulteriori informazioni sulle regioni supportate, consulta Regioni ed endpoint.
-
ID risorsa: l'ID della AWS risorsa in base alla quale si è svolta l'attività che ha portato GuardDuty alla generazione del risultato.
-
Scan ID: applicabile ai risultati quando GuardDuty Malware Protection for EC2 è abilitato, si tratta di un identificatore della scansione antimalware eseguita sui volumi EBS collegati al carico di lavoro dell' EC2 istanza o del container potenzialmente compromessi. Per ulteriori informazioni, consulta Protezione da malware per la EC2 ricerca di dettagli.
-
Severità: a un risultato viene assegnato un livello di gravità che può essere Critico, Alto, Medio o Basso. Per ulteriori informazioni, consulta Livelli di gravità dei risultati.
-
Aggiornato il: l'ultima volta che questo risultato è stato aggiornato con nuove attività corrispondenti allo schema che ha portato GuardDuty alla generazione di questo risultato.
Risorsa
La risorsa interessata fornisce dettagli sulla AWS risorsa presa di mira dall'attività iniziale. Le informazioni disponibili variano in base al tipo di risorsa e al tipo di operazione.
Ruolo della risorsa: il ruolo della AWS risorsa che ha avviato la ricerca. Questo valore può essere TARGET o ACTOR e indica se la risorsa era la destinazione dell'attività sospetta o l'attore che l'ha messa in atto.
Tipo di risorsa: il tipo di risorsa interessata. Un esito può includere diversi tipi di risorse se sono state coinvolte più risorse. I tipi di risorse sono Instance AccessKey, S3Bucket, S3Object,,, Container KubernetesClusterECSCluster, RDSDBInstanceDB RDSLimitless e Lambda. A seconda del tipo di risorsa sono disponibili diversi dettagli degli esiti. Seleziona una scheda delle opzioni di risorsa per scoprire i dettagli disponibili per la risorsa interessata.
Dettagli sulla ricerca della sequenza di attacco
GuardDuty fornisce dettagli per ogni risultato generato nel tuo account. Questi dettagli ti aiutano a comprendere i motivi alla base della scoperta. Questa sezione si concentra sui dettagli associati atipi di ricerca delle sequenze di attacco. Ciò include informazioni quali le risorse potenzialmente interessate, la cronologia degli eventi, gli indicatori, i segnali e gli endpoint coinvolti nella scoperta.
Per visualizzare i dettagli associati ai segnali considerati GuardDuty risultati, consulta le sezioni associate in questa pagina.
Nella GuardDuty console, quando selezioni la ricerca di una sequenza di attacco, il pannello laterale dei dettagli è suddiviso nelle seguenti schede:
-
Panoramica: fornisce una visione compatta dei dettagli della sequenza di attacco, inclusi segnali, tattiche MITRE e risorse potenzialmente interessate.
-
Segnali: visualizza una sequenza temporale degli eventi coinvolti in una sequenza di attacco.
-
Risorse: fornisce informazioni sulle risorse potenzialmente interessate o sulle risorse potenzialmente a rischio.
L'elenco seguente fornisce le descrizioni associate ai dettagli di ricerca della sequenza di attacco.
- Segnali
-
Un segnale potrebbe essere un'attività API o un risultato GuardDuty utilizzato per rilevare una sequenza di attacco. GuardDuty considera i segnali deboli che non si presentano come una minaccia evidente, li mette insieme e li mette in correlazione con i risultati generati individualmente. Per un contesto più approfondito, la scheda Segnali fornisce una cronologia dei segnali, come osservato da GuardDuty.
Ogni segnale, che è un GuardDuty risultato, ha il proprio livello di gravità e il proprio valore assegnati. Nella GuardDuty console, è possibile selezionare ogni segnale per visualizzare i dettagli associati.
- Attori
-
Fornisce dettagli sugli attori della minaccia in una sequenza di attacco. Per ulteriori informazioni, consulta Actor in Amazon GuardDuty API Reference.
- Endpoints
-
Fornisce dettagli sugli endpoint di rete utilizzati in questa sequenza di attacco. Per ulteriori informazioni, NetworkEndpointconsulta Amazon GuardDuty API Reference. Per informazioni su come GuardDuty determina la posizione, consultaDettagli sulla geolocalizzazione.
- Indicatori
-
Include i dati osservati che corrispondono allo schema di un problema di sicurezza. Questi dati specificano il motivo per cui GuardDuty esiste un'indicazione di un'attività potenzialmente sospetta. Ad esempio, se il nome dell'indicatore è
HIGH_RISK_API
, indica un'azione comunemente utilizzata dagli autori delle minacce o un'azione sensibile che può avere un impatto potenziale su di esse Account AWS, come l'accesso alle credenziali o la modifica di una risorsa.La tabella seguente include un elenco di potenziali indicatori e le relative descrizioni:
Nome dell'indicatore Descrizione SUSPICIOUS_USER_AGENT
Lo user agent è associato ad applicazioni sospette o sfruttate potenzialmente note, come client Amazon S3 e strumenti di attacco.
SUSPICIOUS_NETWORK
La rete è associata a punteggi di reputazione noti bassi, come provider di reti private virtuali (VPN) rischiosi e servizi proxy.
MALICIOUS_IP
L'indirizzo IP ha confermato che l'intelligence sulle minacce indica intenzioni dannose.
TOR_IP
L'indirizzo IP è associato a un nodo di uscita Tor.
HIGH_RISK_API
L' AWS API che include il Servizio AWS nome e
eventName
indica un'azione comunemente utilizzata dagli autori delle minacce o un'azione sensibile che può causare un potenziale impatto Account AWS, come l'accesso alle credenziali o la modifica delle risorse.ATTACK_TACTIC
Le tattiche MITRE, come Discovery e Impact.
ATTACK_TECHNIQUE
La tecnica MITRE utilizzata dall'autore della minaccia in una sequenza di attacco. Gli esempi includono l'accesso alle risorse e il loro utilizzo involontario e lo sfruttamento delle vulnerabilità.
UNUSUAL_API_FOR_ACCOUNT
Indica che l' AWS API è stata richiamata in modo anomalo, in base alla linea di base storica dell'account. Per ulteriori informazioni, consulta Comportamento anomalo.
UNUSUAL_ASN_FOR_ACCOUNT
Indica che l'Autonomous System Number (ASN) è stato identificato come anomalo, in base alla baseline storica dell'account. Per ulteriori informazioni, consulta Comportamento anomalo.
UNUSUAL_ASN_FOR_USER
Indica che l'Autonomous System Number (ASN) è stato identificato come anomalo, in base alla baseline storica dell'utente. Per ulteriori informazioni, consulta Comportamento anomalo.
Tattiche MITRE
Questo campo specifica le tattiche MITRE ATT&CK che l'autore della minaccia tenta attraverso una sequenza di attacco. GuardDuty utilizza il framework MITRE ATT&ACK che aggiunge contesto all'intera sequenza di attacco. I colori utilizzati dalla GuardDuty console per specificare gli scopi della minaccia utilizzati dall'autore della minaccia sono allineati ai colori che indicano il livello critico, alto, medio e basso. Livelli di gravità dei risultati
- Indicatori di rete
-
Gli indicatori includono una combinazione di valori degli indicatori di rete che spiegano perché una rete è indicativa di un comportamento sospetto. Questa sezione è applicabile solo quando l'Indicatore include
SUSPICIOUS_NETWORK
o.MALICIOUS_IP
L'esempio seguente mostra come gli indicatori di rete potrebbero essere associati a un indicatore, dove:-
AnyCompany
è un sistema autonomo (AS). -
TUNNEL_VPN
IS_ANONYMOUS
, eALLOWS_FREE_ACCESS
sono gli indicatori di rete.
...{ "key": "SUSPICIOUS_NETWORK", "values": [{ "
AnyCompany
": [ "TUNNEL_VPN", "IS_ANONYMOUS", "ALLOWS_FREE_ACCESS" ] }] } ...La tabella seguente include i valori degli indicatori di rete e la loro descrizione. Questi tag vengono aggiunti in base alle informazioni sulle minacce GuardDuty raccolte da fonti come Spur
Valore dell'indicatore di rete Descrizione TUNNEL_VPN
L'indirizzo di rete o IP è associato a un tipo di tunnel VPN. Si riferisce a un protocollo specifico che consente di stabilire una connessione sicura e crittografata tra due punti su una rete pubblica.
TUNNEL_PROXY
L'indirizzo di rete o IP è associato a un tipo di tunnel Proxy. Si riferisce a un protocollo specifico che consente di stabilire una connessione tramite un server proxy.
TUNNEL_RDP
L'indirizzo di rete o IP è associato all'utilizzo di un metodo di incapsulamento del traffico RDP (Remote Desktop) all'interno di un altro protocollo per migliorare la sicurezza, aggirare le restrizioni di rete o abilitare l'accesso remoto tramite firewall.
IS_ANONYMOUS
L'indirizzo di rete o IP è associato a un servizio anonimo o proxy noto. Ciò può indicare potenziali attività sospette nascoste dietro reti anonime.
KNOWN_THREAT_OPERATOR
La rete o l'indirizzo IP è associato a un provider di tunnel noto e rischioso. Ciò indica che è stata rilevata un'attività sospetta da un indirizzo IP collegato a una VPN, a un proxy o ad altri servizi di tunneling utilizzati frequentemente per scopi dannosi.
ALLOWS_FREE_ACCESS
L'indirizzo di rete o IP è associato a un operatore di tunnel che consente l'accesso al suo servizio senza richiedere l'autenticazione o il pagamento. Potrebbe includere anche account di prova o esperienze di utilizzo limitate offerte da vari servizi online.
ALLOWS_CRYPTO
La rete o l'indirizzo IP è associato a un provider di tunnel (come VPN o servizio proxy) che accetta esclusivamente criptovalute o altre valute digitali come metodo di pagamento.
ALLOWS_TORRENTS
L'indirizzo di rete o IP è associato a servizi o piattaforme che consentono il traffico torrent. Tali servizi sono spesso associati al supporto e all'utilizzo di torrent e ad attività di elusione del copyright.
RISK_CALLBACK_PROXY
L'indirizzo di rete o IP è associato a dispositivi noti per indirizzare il traffico verso proxy residenziali, proxy di malware o altre reti di tipo proxy di callback. Ciò non significa che tutte le attività sulla rete siano correlate ai proxy, ma piuttosto che la rete abbia la capacità di instradare il traffico per conto di queste reti proxy.
RISK_GEO_MISMATCH
Questo indicatore suggerisce che il centro dati o la posizione di hosting di una rete sono diversi dalla posizione prevista degli utenti e dei dispositivi che la gestiscono. Se questo valore dell'indicatore non è presente, ciò non significa che non vi sia alcuna discrepanza. Potrebbe significare che i dati non sono sufficienti per confermare la discrepanza.
IS_SCANNER
La rete o l'indirizzo IP sono associati all'esecuzione di tentativi di accesso persistenti ai moduli Web.
RISK_WEB_SCRAPING
La rete di indirizzi IP è associata a client Web automatizzati e ad altre attività web programmatiche.
CLIENT_BEHAVIOR_FILE_SHARING
La rete o l'indirizzo IP sono associati al comportamento del client, indicativo delle attività di condivisione di file, come reti peer-to-peer (P2P) o protocolli di condivisione di file.
CATEGORY_COMMERCIAL_VPN
L'indirizzo di rete o IP è associato a un operatore di tunnel classificato come un tradizionale servizio VPN (Commercial Virtual Private Network) che opera all'interno dello spazio del datacenter.
CATEGORY_FREE_VPN
L'indirizzo di rete o IP è associato a un operatore di tunnel classificato come servizio VPN completamente gratuito.
CATEGORY_RESIDENTIAL_PROXY
L'indirizzo di rete o IP è associato a un operatore di tunnel classificato come SDK, malware o servizio proxy di get-paid-to origine.
OPERATOR_XXX
Il nome del fornitore di servizi che gestisce questo tunnel.
-
Dettagli utente del database (DB) RDS
Nota
Questa sezione è applicabile ai risultati quando si abilita la funzionalità di protezione RDS in GuardDuty. Per ulteriori informazioni, consulta GuardDuty Protezione RDS.
La GuardDuty scoperta fornisce i seguenti dettagli relativi all'utente e all'autenticazione del database potenzialmente compromesso:
-
Utente: il nome utente utilizzato per effettuare il tentativo di accesso anomalo.
-
Applicazione: il nome dell'applicazione utilizzata per effettuare il tentativo di accesso anomalo.
-
Database: il nome dell'istanza di database coinvolta nel tentativo di accesso anomalo.
-
SSL: la versione del Secure Socket Layer (SSL) utilizzata per la rete.
-
Metodo di autenticazione: il metodo di autenticazione utilizzato dall'utente coinvolto nell'esito.
Per informazioni sulla risorsa potenzialmente compromessa, vedere. Risorsa
Runtime Monitoring: dettagli relativi
Nota
Questi dettagli possono essere disponibili solo se GuardDuty genera uno deiGuardDuty Tipi di risultati del monitoraggio del runtime.
Questa sezione contiene i dettagli del runtime, inclusi i dettagli del processo e qualsiasi contesto richiesto. I dettagli del processo descrivono le informazioni sul processo osservato e il contesto di runtime descrive qualsiasi informazione aggiuntiva sull'attività potenzialmente sospetta.
Dettagli del processo
-
Nome: il nome del processo.
-
Percorso eseguibile: il percorso assoluto del file eseguibile del processo.
-
SHA-256 eseguibile: l'hash
SHA256
dell'eseguibile del processo. -
PID dello spazio dei nomi: l'ID processo in un PID dello spazio dei nomi secondario diverso dal PID dello spazio dei nomi a livello di host. Per i processi all'interno di un container, corrisponde all'ID processo osservabile nel container.
-
Directory di lavoro presente: la directory di lavoro presente del processo.
-
ID processo: l'ID che il sistema operativo assegna al processo.
-
startTime: l'ora in cui è iniziato il processo. Si presenta nel formato della stringa di data UTC (
2023-03-22T19:37:20.168Z
). -
UUID: l'ID univoco assegnato al processo da. GuardDuty
-
UUID padre: l'ID univoco del processo padre. Questo ID viene assegnato al processo principale da. GuardDuty
-
Utente: l'utente che ha eseguito il processo.
-
ID utente: l'ID dell'utente che ha eseguito il processo.
-
ID utente effettivo: l'ID utente effettivo del processo al momento dell'evento.
-
Eredità: informazioni sugli antenati del processo.
-
ID processo: l'ID che il sistema operativo assegna al processo.
-
UUID: l'ID univoco assegnato al processo da. GuardDuty
-
Percorso eseguibile: il percorso assoluto del file eseguibile del processo.
-
ID utente effettivo: l'ID utente effettivo del processo al momento dell'evento.
-
UUID padre: l'ID univoco del processo padre. Questo ID viene assegnato al processo principale da. GuardDuty
-
Ora di inizio: l'ora in cui è iniziato il processo.
-
PID dello spazio dei nomi: l'ID processo in un PID dello spazio dei nomi secondario diverso dal PID dello spazio dei nomi a livello di host. Per i processi all'interno di un container, corrisponde all'ID processo osservabile nel container.
-
ID utente: l'ID utente dell'utente che ha eseguito il processo.
-
Nome: il nome del processo.
-
Contesto di runtime
Un esito generato può includere, tra i campi seguenti, solo quelli pertinenti al tipo di esito.
-
Origine di montaggio: il percorso sull'host montato dal container.
-
Destinazione di montaggio: il percorso nel container mappato alla directory host.
-
Tipo di file system: rappresenta il tipo di file system montato.
-
Flag: rappresenta le opzioni che controllano il comportamento dell'evento coinvolto in questo esito.
-
Processo di modifica: informazioni sul processo che in fase di runtime ha creato o modificato un file binario, uno script o una libreria all'interno di un container.
-
Ora della modifica: il timestamp in cui il processo ha creato o modificato un file binario, uno script o una libreria all'interno di un container in fase di runtime. Questo campo è nel formato della stringa di data UTC (
2023-03-22T19:37:20.168Z
). -
Percorso libreria: il percorso della nuova libreria che è stata caricata.
-
Valore LD Preload: il valore della variabile di ambiente
LD_PRELOAD
. -
Percorso socket: il percorso del socket Docker a cui è stato effettuato l'accesso.
-
Percorso binario runc: il percorso del file binario
runc
. -
Percorso agente di rilascio: il percorso del file dell'agente di rilascio
cgroup
. -
Esempio di riga di comando: l'esempio della riga di comando coinvolta nell'attività potenzialmente sospetta.
-
Categoria utensile: categoria a cui appartiene lo strumento. Alcuni esempi sono Backdoor Tool, Pentest Tool, Network Scanner e Network Sniffer.
-
Nome dello strumento: il nome dello strumento potenzialmente sospetto.
-
Percorso dello script: il percorso dello script eseguito che ha generato il risultato.
-
Threat File Path: il percorso sospetto per il quale sono stati trovati i dettagli di intelligence sulle minacce.
-
Nome del servizio: il nome del servizio di sicurezza che è stato disabilitato.
Dettagli della scansione dei volumi EBS
Nota
Questa sezione è applicabile ai risultati rilevati quando si attiva la scansione antimalware GuardDuty avviata. Protezione da malware per EC2
La scansione dei volumi EBS fornisce dettagli sul volume EBS collegato all'istanza o al carico di lavoro del container potenzialmente compromessi EC2 .
-
ID scansione: l'identificatore della scansione malware.
-
Ora inizio scansione: la data e l'ora di inizio della scansione malware.
-
Ora completamento scansione: la data e l'ora di completamento della scansione malware.
-
Trigger Finding ID: l'ID di ricerca del risultato che ha avviato questa GuardDuty scansione antimalware.
-
Fonti: i valori potenziali sono
Bitdefender
eAmazon
.Per ulteriori informazioni sul motore di scansione utilizzato per rilevare il malware, vedereGuardDuty motore di scansione per il rilevamento di malware.
-
Rilevamenti scansione: la visualizzazione completa dei dettagli e degli esiti di ogni scansione malware.
-
Numero elementi scansionati: il numero totale di file scansionati. Fornisce dettagli come
totalGb
,files
evolumes
. -
Numero elementi rilevati come minacce: il numero totale di
files
dannosi rilevati durante la scansione. -
Dettagli sulla minaccia con gravità più alta: i dettagli sulla minaccia di gravità più alta rilevata durante la scansione e sul numero di file dannosi. Fornisce dettagli come
severity
,threatName
ecount
. -
Minacce rilevate per nome: l'elemento container che raggruppa le minacce di tutti i livelli di gravità. Fornisce dettagli come
itemCount
,uniqueThreatNameCount
,shortened
ethreatNames
.
-
Protezione da malware per la EC2 ricerca di dettagli
Nota
Questa sezione è applicabile ai risultati ottenuti quando si attiva la scansione antimalware GuardDuty avviata. Protezione da malware per EC2
Quando la EC2 scansione Malware Protection for Scan rileva un malware, puoi visualizzare i dettagli della scansione selezionando il risultato corrispondente nella pagina Findings della console. https://console.aws.amazon.com/guardduty/
Le seguenti informazioni sono disponibili nella sezione Minacce rilevate nel pannello dei dettagli.
-
Nome: il nome della minaccia, ottenuto raggruppando i file in base al rilevamento.
-
Gravità: la gravità della minaccia rilevata.
-
Hash: l'hash SHA-256 del file.
-
Percorso file: la posizione del file dannoso nel volume EBS.
-
Nome file: il nome del file in cui è stata rilevata la minaccia.
-
ARN del volume: l'ARN dei volumi EBS scansionati.
Le seguenti informazioni sono disponibili nella sezione Dettagli della scansione malware nel pannello dei dettagli.
-
ID scansione: l'ID di scansione della scansione malware.
-
Ora inizio scansione: la data e l'ora di inizio della scansione.
-
Ora completamento scansione: la data e l'ora di completamento della scansione.
-
File scansionati: il numero totale di file e directory scansionati.
-
GB totali scansionati: la quantità di spazio di archiviazione scansionato durante il processo.
-
Trigger Finding ID: l'ID identificativo del GuardDuty risultato che ha avviato questa scansione antimalware.
-
Le seguenti informazioni sono disponibili nella sezione Dettagli del volume nel pannello dei dettagli.
-
ARN del volume: il nome della risorsa Amazon (ARN) del volume.
-
SnapshotARN: l'ARN dello snapshot del volume EBS.
-
Stato: lo stato della scansione del volume, ad esempio,
Running
,Skipped
eCompleted
. -
Tipo di crittografia: il tipo di crittografia utilizzato per crittografare il volume. Ad esempio
CMCMK
. -
Nome dispositivo: il nome del dispositivo. Ad esempio
/dev/xvda
.
-
Informazioni sulla ricerca di Malware Protection for S3
I seguenti dettagli di scansione antimalware sono disponibili quando attivi GuardDuty sia Malware Protection for S3 su: Account AWS
-
Minacce: un elenco di minacce rilevate durante la scansione del malware.
Molteplici minacce potenziali nei file di archivio
Se hai un file di archivio contenente potenzialmente più minacce, Malware Protection for S3 segnala solo la prima minaccia rilevata. Dopodiché, lo stato della scansione viene contrassegnato come completo. GuardDuty genera il tipo di ricerca associato e invia anche EventBridge gli eventi che genera. Per ulteriori informazioni sul monitoraggio delle scansioni di oggetti Amazon S3 utilizzando gli EventBridge eventi, consulta lo schema di notifica di esempio per THREATS_FOUND in. Risultato della scansione degli oggetti S3
-
Percorso dell'elemento: un elenco del percorso dell'elemento annidato e dei dettagli hash dell'oggetto S3 scansionato.
-
Percorso dell'elemento annidato: percorso dell'elemento dell'oggetto S3 scansionato in cui è stata rilevata la minaccia.
Il valore di questo campo è disponibile solo se l'oggetto di primo livello è un archivio e se la minaccia viene rilevata all'interno di un archivio.
-
Hash: hash della minaccia rilevata in questo risultato.
-
-
Fonti: i valori potenziali sono
Bitdefender
e.Amazon
Per ulteriori informazioni sul motore di scansione utilizzato per rilevare il malware, vedereGuardDuty motore di scansione per il rilevamento di malware.
Azione
L'Operazione di un esito fornisce dettagli sul tipo di attività che l'ha attivato. Le informazioni disponibili variano in base al tipo di operazione.
Tipo di operazione: il tipo di attività dell'esito. Questo valore può essere NETWORK_CONNECTION, PORT_PROBE, DNS_REQUEST, _CALL o RDS_LOGIN_ATTEMENT. AWS_API Le informazioni disponibili variano in base al tipo di operazione:
-
NETWORK_CONNECTION: indica che il traffico di rete è stato scambiato tra l'istanza identificata e l'host remoto. EC2 Questo tipo di operazione include le seguenti informazioni aggiuntive:
-
Direzione della connessione: la direzione della connessione di rete osservata nell'attività che ha richiesto GuardDuty la generazione del risultato. Può essere uno dei seguenti valori:
-
IN ENTRATA: indica che un host remoto ha avviato una connessione a una porta locale sull' EC2 istanza identificata nell'account.
-
IN USCITA: indica che l' EC2 istanza identificata ha avviato una connessione a un host remoto.
-
SCONOSCIUTO: indica che non è GuardDuty stato possibile determinare la direzione della connessione.
-
-
Protocollo: il protocollo di connessione di rete osservato nell'attività che ha richiesto GuardDuty la generazione del risultato.
-
IP locale: il primo indirizzo IP di origine del traffico che ha attivato l'esito. Queste informazioni possono essere utilizzate per distinguere tra indirizzo IP di un livello intermedio su cui fluisce il traffico e il primo indirizzo IP di origine del traffico. Ad esempio, l'indirizzo IP di un pod EKS anziché l'indirizzo IP dell'istanza in cui è in esecuzione il pod EKS.
-
Bloccata: indica se la porta di destinazione è bloccata.
-
-
PORT_PROBE — Indica che un host remoto ha sondato l' EC2 istanza identificata su più porte aperte. Questo tipo di operazione include le seguenti informazioni aggiuntive:
-
IP locale: il primo indirizzo IP di origine del traffico che ha attivato l'esito. Queste informazioni possono essere utilizzate per distinguere tra indirizzo IP di un livello intermedio su cui fluisce il traffico e il primo indirizzo IP di origine del traffico. Ad esempio, l'indirizzo IP di un pod EKS anziché l'indirizzo IP dell'istanza in cui è in esecuzione il pod EKS.
-
Bloccata: indica se la porta di destinazione è bloccata.
-
-
DNS_REQUEST — Indica che l'istanza identificata ha richiesto un nome di dominio. EC2 Questo tipo di operazione include le seguenti informazioni aggiuntive:
-
Protocollo: il protocollo di connessione di rete osservato nell'attività che ha richiesto GuardDuty la generazione del risultato.
-
Bloccata: indica se la porta di destinazione è bloccata.
-
-
AWS_API_CALL: indica che è stata richiamata un' AWS API. Questo tipo di operazione include le seguenti informazioni aggiuntive:
-
API: il nome dell'operazione API che è stata richiamata e quindi ha richiesto di GuardDuty generare questo risultato.
Nota
Queste operazioni possono anche includere eventi non API acquisiti da AWS CloudTrail. Per ulteriori informazioni, consulta Eventi non API acquisiti da. CloudTrail
-
Agente utente: l'agente utente che ha effettuato la richiesta API. Questo valore indica se la chiamata è stata effettuata da AWS Management Console, an AWS service AWS SDKs, the AWS CLI o.
-
CODICE DI ERRORE: se l'esito è stato attivato da una chiamata API non riuscita, viene visualizzato il codice di errore per tale chiamata.
-
Nome servizio: il nome DNS del servizio che ha tentato di effettuare la chiamata API che ha attivato l'esito.
-
-
RDS_LOGIN_ATTEMPT: indica che è stato effettuato un tentativo di accesso al database potenzialmente compromesso da un indirizzo IP remoto.
-
Indirizzo IP: l'indirizzo IP remoto utilizzato per effettuare il tentativo di accesso potenzialmente sospetto.
-
Attore o destinazione
Un esito ha una sezione Attore se il Ruolo risorsa era TARGET
. Ciò indica che la risorsa è stata la destinazione di attività sospette e la sezione Attore contiene dettagli sull'entità che ha scelto come destinazione la risorsa.
Un esito ha una sezione Destinazione se il Ruolo risorsa era ACTOR
. Ciò indica che la risorsa è stata coinvolta in attività sospette nei confronti di un host remoto e questa sezione contiene informazioni sull'IP o sul dominio di destinazione della risorsa.
Le informazioni disponibili nella sezione Attore o Destinazione possono includere quanto segue:
-
Affiliato: indica se l' AWS account del chiamante API remoto è correlato all'ambiente in uso. GuardDuty Se questo valore è
true
, il chiamante API è affiliato in qualche modo al tuo account. Se invece il valore èfalse
, il chiamante API proviene da un ambiente esterno. -
ID account remoto: l'ID dell'account che possiede l'indirizzo IP in uscita utilizzato per accedere alla risorsa sulla rete finale.
-
Indirizzo IP: l'indirizzo IP coinvolto nell'attività che ha richiesto GuardDuty la generazione del risultato.
-
Posizione: informazioni sulla posizione dell'indirizzo IP coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.
-
Organizzazione: informazioni sull'organizzazione dell'ISP relative all'indirizzo IP coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.
-
Porta: il numero di porta coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.
-
Dominio: il dominio coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.
-
Dominio con suffisso: il dominio di secondo e primo livello coinvolto in un'attività che potenzialmente ha richiesto GuardDuty la generazione del risultato. Per un elenco dei domini di primo e secondo livello, consulta l'elenco dei suffissi pubblici.
Dettagli sulla geolocalizzazione
GuardDuty determina la posizione e la rete delle richieste utilizzando i database MaxMind GeoIP. MaxMind riporta un'accuratezza molto elevata dei propri dati a livello nazionale, sebbene la precisione vari in base a fattori quali il paese e il tipo di indirizzo IP. Per ulteriori informazioni su MaxMind, consulta Geolocalizzazione MaxMind IP
Informazioni aggiuntive
Tutti gli esiti hanno una sezione Informazioni aggiuntive che può includere le informazioni seguenti:
-
Nome dell'elenco delle minacce: il nome dell'elenco delle minacce che include l'indirizzo IP o il nome di dominio coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.
-
Esempio: un valore vero o falso che indica se si tratta di un esito di esempio.
-
Archiviato: un valore vero o falso che indica se l'esito è stato archiviato.
-
Insolito: dettagli dell'attività che non sono stati osservati in precedenza. Questi dettagli possono includere utente, posizione, bucket, comportamento di accesso od Org ASN anomali (non osservati in precedenza).
-
Protocollo insolito: il protocollo di connessione di rete coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.
-
Dettagli dell'agente: dettagli sull'agente di sicurezza attualmente implementato nel cluster EKS del tuo Account AWS. Questi dettagli sono applicabili solo ai tipi di esiti del monitoraggio del runtime EKS.
-
Versione dell'agente: la versione del GuardDuty security agent.
-
ID agente: l'identificatore univoco del GuardDuty security agent.
-
Evidenza
Gli esiti basati sull'intelligence sulle minacce hanno una sezione Evidenza che include le informazioni seguenti:
-
Dettagli di intelligence sulle minacce: il nome dell'elenco delle minacce in cui
Threat name
compaiono le minacce riconosciute. -
Nome della minaccia: il nome della famiglia di malware o altro identificatore associato alla minaccia.
-
File di minaccia SHA256: SHA256 del file che ha generato la scoperta.
Comportamento anomalo
I tipi di risultati che terminano con AnomalousBehaviorindicano che il risultato è stato generato dal modello di apprendimento automatico per il rilevamento delle GuardDuty anomalie (ML). Il modello di ML valuta tutte le richieste API al tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l'API specifica che è stata richiesta.
I dettagli su quali fattori della richiesta API sono insoliti per l'identità CloudTrail dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato. Le identità sono definite dall'elemento CloudTrail userIdentity e i valori possibili sonoRoot
:IAMUser
,,,, AssumedRole
FederatedUser
AWSAccount
, or. AWSService
Oltre ai dettagli disponibili per tutti i GuardDuty risultati associati all'attività dell'API, AnomalousBehaviori risultati contengono dettagli aggiuntivi descritti nella sezione seguente. Questi dettagli possono essere visualizzati nella console e sono disponibili anche nel JSON dell'esito.
-
Anomalo APIs: un elenco di richieste API che sono state richiamate dall'identità dell'utente in prossimità della richiesta API principale associata al risultato. Questo riquadro suddivide ulteriormente i dettagli dell'evento API nei modi seguenti.
-
La prima API elencata è l'API principale, ossia la richiesta API associata all'attività osservata con il rischio più elevato. Si tratta dell'API che ha attivato l'esito ed è correlata alla fase di attacco del tipo di esito. L'API in questione è descritta in dettaglio nella sezione Operazione della console e nel JSON dell'esito.
-
Tutte le altre APIs elencate sono ulteriori anomale APIs rispetto all'identità utente elencata osservata in prossimità dell'API principale. Se nell'elenco è presente una sola API, il modello di ML non ha identificato come anomala alcuna richiesta API aggiuntiva proveniente dall'identità utente.
-
L'elenco di APIs viene suddiviso in base al fatto che un'API sia stata chiamata con successo o se l'API sia stata chiamata senza successo, il che significa che è stata ricevuta una risposta di errore. Il tipo di risposta di errore ricevuta è elencato sopra ogni API chiamata senza successo. I possibili tipi di risposta di errore sono:
access denied
,access denied exception
,auth failure
,instance limit exceeded
,invalid permission - duplicate
,invalid permission - not found
eoperation not permitted
. -
APIs sono classificati in base al servizio associato.
-
Per maggiori informazioni, scegli Cronologico APIs per visualizzare i dettagli relativi alla parte superiore APIs, fino a un massimo di 20, in genere sia per l'identità dell'utente che per tutti gli utenti all'interno dell'account. APIs Sono contrassegnati come Rari (meno di una volta al mese), Non frequenti (alcune volte al mese) o Frequenti (da giornalieri a settimanali), a seconda della frequenza con cui vengono utilizzati nell'account.
-
-
Comportamento insolito (account): questa sezione fornisce ulteriori dettagli sul comportamento profilato del tuo account.
Comportamento profilato
GuardDuty impara continuamente sulle attività all'interno del tuo account in base agli eventi organizzati. Queste attività e la loro frequenza osservata sono note come comportamenti profilati.
Le informazioni registrate in questo pannello includono:
-
ASN Org: l'organizzazione ASN (Autonomous System Number) da cui è stata effettuata la chiamata API anomala.
-
Nome utente: il nome dell'utente che ha effettuato la chiamata API anomala.
-
Agente utente: l'agente utente utilizzato per effettuare la chiamata API anomala. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio
aws-cli
oBotocore
. -
Tipo utente: il tipo di utente che ha effettuato la chiamata API anomala. I valori possibili sono
AWS_SERVICE
,ASSUMED_ROLE
,IAM_USER
oROLE
. -
Bucket: il nome del bucket S3 a cui viene effettuato l'accesso.
-
-
Comportamento insolito (identità utente): questa sezione fornisce ulteriori dettagli sul comportamento profilato dell'Identità utente coinvolta nell'esito. Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non aveva mai visto l'identità dell'utente effettuare questa chiamata API in questo modo durante il periodo di formazione. Sono disponibili i seguenti dettagli aggiuntivi sull'Identità utente:
-
Org ASN: l'Org ASN da cui è stata effettuata la chiamata API anomala.
-
Agente utente: l'agente utente utilizzato per effettuare la chiamata API anomala. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio
aws-cli
oBotocore
. -
Bucket: il nome del bucket S3 a cui viene effettuato l'accesso.
-
-
Comportamento insolito (bucket): questa sezione fornisce ulteriori dettagli sul comportamento profilato del bucket S3 associato all'esito Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non aveva mai visto in precedenza chiamate API effettuate a questo bucket in questo modo durante il periodo di formazione. Le informazioni registrate in questa sezione includono:
-
Org ASN: l'Org ASN da cui è stata effettuata la chiamata API anomala.
-
Nome utente: il nome dell'utente che ha effettuato la chiamata API anomala.
-
Agente utente: l'agente utente utilizzato per effettuare la chiamata API anomala. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio
aws-cli
oBotocore
. -
Tipo utente: il tipo di utente che ha effettuato la chiamata API anomala. I valori possibili sono
AWS_SERVICE
,ASSUMED_ROLE
,IAM_USER
oROLE
.
Nota
Per maggiori informazioni sui comportamenti storici, scegli Comportamento storico nella sezione Comportamento insolito (account), ID utente o Bucket per visualizzare i dettagli sul comportamento previsto nel tuo account per ciascuna delle seguenti categorie: Raro (meno di una volta al mese), Poco frequente (alcune volte al mese) o Frequente (da giornaliero a settimanale), a seconda della frequenza con cui vengono utilizzati all'interno del tuo account.
-
-
Comportamento insolito (database): questa sezione fornisce ulteriori dettagli sul comportamento profilato dell'istanza di database associata all'esito Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non ha mai visto in precedenza un tentativo di accesso effettuato in questo modo a questa istanza di database durante il periodo di formazione. Le informazioni registrate nel pannello dell'esito per questa sezione includono:
-
Nome utente: il nome utente utilizzato per effettuare il tentativo di accesso anomalo.
-
Org ASN: l'Org ASN da cui è stato effettuato il tentativo di accesso anomalo.
-
Nome applicazione: il nome dell'applicazione utilizzata per effettuare il tentativo di accesso anomalo.
-
Nome database: il nome dell'istanza di database coinvolta nel tentativo di accesso anomalo.
La sezione Comportamento storico fornisce maggiori informazioni su Nomi utente, Org ASN, Nomi applicazioni e Nomi database osservati in precedenza per il database associato. A ogni valore univoco è associato un conteggio che rappresenta il numero di volte in cui questo valore è stato osservato in un evento di accesso riuscito.
-
-
Comportamento insolito (account cluster Kubernetes, spazio dei nomi Kubernetes e nome utente Kubernetes): questa sezione fornisce ulteriori dettagli sul comportamento profilato per il cluster e lo spazio dei nomi Kubernetes associati all'esito. Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non ha mai osservato in precedenza questo account, cluster, namespace o nome utente in questo modo. Le informazioni registrate nel pannello dell'esito per questa sezione includono:
-
Nome utente: l'utente che ha chiamato l'API Kubernetes associata all'esito.
-
Nome utente impersonato: l'utente impersonato da
username
. -
Spazio dei nomi: lo spazio dei nomi Kubernetes all'interno del cluster Amazon EKS in cui si è verificata l'operazione.
-
Agente utente: l'agente utente associato alla chiamata API Kubernetes. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio
kubectl
. -
API: l'API Kubernetes chiamata da
username
all'interno del cluster Amazon EKS. -
Informazioni ASN: le informazioni ASN, come Organizzazione e ISP, associate all'indirizzo IP dell'utente che effettua questa chiamata.
-
Giorno della settimana: il giorno della settimana in cui è stata effettuata la chiamata API Kubernetes.
-
Autorizzazione: il verbo e la risorsa Kubernetes di cui viene verificata l'accesso per indicare se possono utilizzare o meno l'
username
API Kubernetes. -
Nome dell'account di servizio: l'account di servizio associato al carico di lavoro Kubernetes che fornisce un'identità al carico di lavoro.
-
Registro: il registro del contenitore associato all'immagine del contenitore che viene distribuito nel carico di lavoro Kubernetes.
-
Immagine: l'immagine del contenitore, senza i tag e il digest associati, che viene distribuita nel carico di lavoro Kubernetes.
-
Image Prefix Config: il prefisso dell'immagine con la configurazione di sicurezza del contenitore e del carico di lavoro abilitata, ad esempio
hostNetwork
privileged
o, per il contenitore che utilizza l'immagine. -
Nome del soggetto: i soggetti, ad esempio a
user
group
, oserviceAccountName
che sono associati a un ruolo di riferimento in un o.RoleBinding
ClusterRoleBinding
-
Nome del ruolo: il nome del ruolo coinvolto nella creazione o nella modifica dei ruoli o dell'
roleBinding
API.
-
Anomalie basate sul volume S3
Questa sezione descrive in dettaglio le informazioni contestuali per le anomalie basate sul volume S3. L'esito basato sul volume (Exfiltration:S3/AnomalousBehavior) monitora il numero insolito di chiamate API S3 effettuate dagli utenti ai bucket S3, indicando una potenziale esfiltrazione di dati. Le seguenti chiamate API S3 vengono monitorate per rilevare eventuali anomalie basate sul volume.
-
GetObject
-
CopyObject.Read
-
SelectObjectContent
Le metriche seguenti possono essere utili per creare una linea di base del comportamento abituale quando un'entità IAM accede a un bucket S3. Per identificare un'eventuale esfiltrazione di dati, l'esito del rilevamento delle anomalie basato sul volume valuta tutte le attività rispetto alla consueta linea di base comportamentale. Scegli Comportamento storico nelle sezioni Comportamento insolito (identità utente), Volume osservato (identità utente) e Volume osservato (Bucket) per visualizzare rispettivamente le metriche seguenti.
-
Numero di chiamate API
s3-api-name
richiamate dall'utente o dal ruolo IAM (in base a quello emesso) associate al bucket S3 interessato nelle ultime 24 ore. -
Numero di chiamate API
s3-api-name
richiamate dall'utente o dal ruolo IAM (in base a quello emesso) associate a tutti i bucket S3 interessati nelle ultime 24 ore. -
Numero di chiamate API
s3-api-name
su tutti gli utenti o ruoli IAM (in base a quelli emesso) associate al bucket S3 interessato nelle ultime 24 ore.
Anomalie basate sull'attività di accesso RDS
Questa sezione descrive in dettaglio il conteggio dei tentativi di accesso eseguiti dall'attore insolito ed è raggruppata in base al risultato dei tentativi di accesso. Tipi di esiti della Protezione RDS identifica comportamenti anomali monitorando gli eventi di accesso alla ricerca di schemi insoliti di successfulLoginCount
, failedLoginCount
e incompleteConnectionCount
.
-
successfulLoginCount— Questo contatore rappresenta la somma delle connessioni riuscite (combinazione corretta di attributi di accesso) effettuate all'istanza del database dall'attore insolito. Gli attributi di accesso includono nome utente, password e nome del database.
-
failedLoginCount— Questo contatore rappresenta la somma dei tentativi di accesso falliti (non riusciti) effettuati per stabilire una connessione all'istanza del database. Ciò indica che uno o più attributi della combinazione di accesso, ad esempio nome utente, password o nome del database, erano errati.
-
incompleteConnectionCount— Questo contatore rappresenta il numero di tentativi di connessione che non possono essere classificati come riusciti o falliti. Queste connessioni vengono chiuse prima che il database fornisca una risposta. Ad esempio, la scansione delle porte viene effettuata dove è connessa la porta del database, ma al database non viene inviata alcuna informazione oppure la connessione è stata interrotta prima del completamento di un tentativo di accesso riuscito o fallito.