Dettagli degli esiti - Amazon GuardDuty
Panoramica degli esitiRisorsaDettagli del reperimento della sequenza di attaccoDettagli utente del database (DB) RDSRuntime Monitoring: dettagli relativiDettagli della scansione dei volumi EBSProtezione da malware per la EC2 ricerca di dettagliInformazioni sulla ricerca di Malware Protection for S3AzioneAttore o destinazioneDettagli sulla geolocalizzazioneInformazioni aggiuntiveEvidenzaComportamento anomalo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dettagli degli esiti

Nella GuardDuty console Amazon, puoi visualizzare i dettagli della ricerca nella sezione di riepilogo dei risultati. I dettagli degli esiti variano in base al tipo di esito.

Esistono due dettagli principali che determinano il tipo di informazioni disponibili per qualsiasi esito. Il primo è il tipo di risorsa, che può essere Instance AccessKeyS3Bucket,S3Object,Kubernetes cluster,ECS cluster,Container,RDSDBInstance,RDSLimitlessDB, oLambda. Il secondo dettaglio che determina le informazioni sull'esito è Ruolo risorsa. Il ruolo della risorsa può essereTarget, il che significa che la risorsa è stata oggetto di attività sospette. Per gli esiti del tipo istanza, il ruolo risorsa può anche essere Actor, che indica che la risorsa è stata l'attore che svolgeva attività sospette. In questo argomento vengono descritti alcuni dei dettagli degli esiti comunemente disponibili. Per GuardDuty Tipi di risultati del monitoraggio del runtime eProtezione da malware per tipo di ricerca S3, il ruolo della risorsa non è popolato.

Panoramica degli esiti

La sezione Panoramica di un esito ne contiene le caratteristiche identificative di base, incluse le informazioni seguenti:

  • ID account: l'ID dell' AWS account in cui si è svolta l'attività che ha richiesto la generazione GuardDuty di questo risultato.

  • Conteggio: il numero di volte in cui GuardDuty è stata aggregata un'attività che corrisponde a questo schema a questo risultato ID.

  • Ora creazione: la data e l'ora di creazione di questo esito. Se questo valore è diverso da Ora aggiornamento significa che l'attività si è verificata più volte e si tratta di un problema in corso.

    Nota

    I timestamp per i risultati nella GuardDuty console vengono visualizzati nel fuso orario locale, mentre le esportazioni JSON e gli output CLI visualizzano i timestamp in UTC.

  • ID risultato: un identificatore univoco per questo tipo di esito e insieme di parametri. Le nuove occorrenze di attività corrispondenti a questo modello verranno aggregate allo stesso ID.

  • Tipo di esito: una stringa formattata che rappresenta il tipo di attività che ha attivato l'esito. Per ulteriori informazioni, consulta GuardDuty formato di ricerca.

  • Regione: la regione in cui è stato generato il risultato. AWS Per ulteriori informazioni sulle regioni supportate, consulta Regioni ed endpoint.

  • ID risorsa: l'ID della AWS risorsa in base alla quale si è svolta l'attività che ha portato GuardDuty alla generazione del risultato.

  • Scan ID: applicabile ai risultati quando GuardDuty Malware Protection for EC2 è abilitato, si tratta di un identificatore della scansione antimalware eseguita sui volumi EBS collegati al carico di lavoro dell' EC2 istanza o del container potenzialmente compromessi. Per ulteriori informazioni, consulta Protezione da malware per la EC2 ricerca di dettagli.

  • Severità: a un risultato viene assegnato un livello di gravità che può essere Critico, Alto, Medio o Basso. Per ulteriori informazioni, consulta Livelli di gravità dei risultati.

  • Aggiornato il: l'ultima volta che questo risultato è stato aggiornato con nuove attività corrispondenti allo schema che ha portato GuardDuty alla generazione di questo risultato.

Risorsa

La risorsa interessata fornisce dettagli sulla AWS risorsa presa di mira dall'attività iniziale. Le informazioni disponibili variano in base al tipo di risorsa e al tipo di operazione.

Ruolo della risorsa: il ruolo della AWS risorsa che ha avviato la ricerca. Questo valore può essere TARGET o ACTOR e indica se la risorsa era la destinazione dell'attività sospetta o l'attore che l'ha messa in atto.

Tipo di risorsa: il tipo di risorsa interessata. Un esito può includere diversi tipi di risorse se sono state coinvolte più risorse. I tipi di risorse sono Instance AccessKey, S3Bucket, S3Object,,, Container KubernetesClusterECSCluster, RDSDBInstanceDB RDSLimitless e Lambda. A seconda del tipo di risorsa sono disponibili diversi dettagli degli esiti. Seleziona una scheda delle opzioni di risorsa per scoprire i dettagli disponibili per la risorsa interessata.

Instance

Dettagli dell'istanza:

Nota

Alcuni dettagli dell'istanza potrebbero mancare se l'istanza è già stata interrotta o se la chiamata all'API sottostante ha avuto origine da un' EC2istanza in una regione diversa quando si effettua una chiamata API interregionale.

  • ID istanza: l'ID dell' EC2 istanza coinvolta nell'attività che ha richiesto GuardDuty la generazione del risultato.

  • Tipo di istanza: il tipo di EC2 istanza coinvolta nel risultato.

  • Ora di avvio: la data e l'ora in cui l'istanza è stata avviata.

  • Outpost ARN — L'Amazon Resource Name (ARN) di. AWS Outposts Applicabile solo alle istanze. AWS Outposts Per ulteriori informazioni, consulta Cos'è AWS Outposts? nella Guida per l'utente degli scaffali Outposts.

  • Nome del gruppo di sicurezza: il nome del gruppo di sicurezza collegato all'istanza interessata.

  • ID gruppo di sicurezza: l'ID del gruppo di sicurezza collegato all'istanza interessata.

  • Stato dell'istanza: lo stato attuale dell'istanza di destinazione.

  • Zona di disponibilità: la zona di disponibilità della regione AWS in cui si trova l'istanza coinvolta.

  • ID immagine: l'ID dell'Amazon Machine Image utilizzato per creare l'istanza coinvolta nell'attività.

  • Descrizione immagine: una descrizione dell'ID dell'Amazon Machine Image utilizzato per creare l'istanza coinvolta nell'attività.

  • Tag: un elenco di tag collegati a questa risorsa elencati nel formato key:value.

AccessKey

Dettagli chiave di accesso:

  • ID chiave di accesso: l'ID della chiave di accesso dell'utente impegnato nell'attività che ha portato GuardDuty alla generazione del risultato.

  • ID principale: l'ID principale dell'utente impegnato nell'attività che ha richiesto GuardDuty la generazione del risultato.

  • Tipo di utente: il tipo di utente impegnato nell'attività che ha richiesto GuardDuty la generazione del risultato. Per ulteriori informazioni, consulta Elemento userIdentity di CloudTrail .

  • Nome utente: il nome dell'utente impegnato nell'attività che ha richiesto GuardDuty la generazione del risultato.

S3Bucket

Dettagli bucket Amazon S3:

  • Nome: il nome del bucket coinvolto nell'esito.

  • ARN: l'ARN del bucket coinvolto nell'esito.

  • Proprietario: l'ID utente canonico dell'utente proprietario del bucket coinvolto nell'esito. Per ulteriori informazioni sugli utenti canonici, IDs consulta AWS gli identificatori dell'account.

  • Tipo: il tipo di esito del bucket può essere Destinazione o Origine.

  • Crittografia lato server predefinita: i dettagli di crittografia per il bucket.

  • Tag bucket: un elenco dei tag collegati a questa risorsa, elencati nel formato di key:value.

  • Autorizzazioni valide: una valutazione di tutte le autorizzazioni e le policy valide nel bucket che indica se il bucket interessato è esposto pubblicamente. I valori possono essere Pubblico o Non pubblico.

S3Object

  • Dettagli dell'oggetto S3: include le seguenti informazioni sull'oggetto S3 scansionato:

    • ARN — Amazon Resource Name (ARN) dell'oggetto S3 scansionato.

    • Chiave: il nome assegnato al file quando è stato creato nel bucket S3.

    • ID versione: se hai abilitato il controllo delle versioni del bucket, questo campo indica l'ID della versione associato all'ultima versione dell'oggetto S3 scansionato. Per ulteriori informazioni, consulta Using versioning in bucket S3 nella Amazon S3 User Guide.

    • ETag: rappresenta la versione specifica dell'oggetto S3 scansionato.

    • Hash: hash della minaccia rilevata in questo risultato.

  • Dettagli sul bucket S3: include le seguenti informazioni sul bucket Amazon S3 associato all'oggetto S3 scansionato:

    • Nome: indica il nome del bucket S3 che contiene l'oggetto.

    • ARN — Amazon Resource Name (ARN) del bucket S3.

  • Proprietario: ID canonico del proprietario del bucket S3.

EKSCluster

Dettagli del cluster Kubernetes:

  • Nome: il nome del cluster Kubernetes.

  • ARN: l'ARN che identifica il cluster.

  • Ora creazione: la data e l'ora di creazione di questo cluster.

    Nota

    I timestamp per i risultati nella GuardDuty console vengono visualizzati nel fuso orario locale, mentre le esportazioni JSON e gli output CLI visualizzano i timestamp in UTC.

  • ID VPC: l'ID del VPC associato al cluster.

  • Stato: lo stato attuale del cluster.

  • Tag: i metadati applicati al cluster utili per catalogarli e organizzarli. Ciascun tag è formato da una chiave e da un valore facoltativo, elencati nel formato key:value. Puoi definire sia la chiave che il valore.

    I tag del cluster non si propagano ad altre risorse associate al cluster.

Dettagli del carico di lavoro Kubernetes:

  • Tipo: il tipo di carico di lavoro Kubernetes, ad esempio pod, implementazione e processo.

  • Nome: il nome del carico di lavoro Kubernetes.

  • Uid: l'ID univoco del carico di lavoro Kubernetes.

  • Ora creazione: la data e l'ora di creazione di questo carico di lavoro.

  • Etichette: le coppie chiave-valore collegate al carico di lavoro Kubernetes.

  • Container: i dettagli del container in esecuzione come parte del carico di lavoro Kubernetes.

  • Spazio dei nomi: il carico di lavoro appartiene a questo spazio dei nomi Kubernetes.

  • Volumi: i volumi utilizzati dal carico di lavoro Kubernetes.

    • Percorso host: rappresenta un file o una directory preesistente sulla macchina host a cui è mappato il volume.

    • Nome: il nome del volume.

  • Contesto di sicurezza del pod: definisce i privilegi e le impostazioni di controllo degli accessi per tutti i container in un pod.

  • Rete host: impostata su true se i pod sono inclusi nel carico di lavoro Kubernetes.

Dettagli utente Kubernetes:

  • Gruppi: gruppi Kubernetes RBAC (controllo degli accessi basato sul ruolo) dell'utente coinvolto nell'attività che ha generato l'esito.

  • ID: l'ID univoco dell'utente Kubernetes.

  • Nome utente: nome dell'utente Kubernetes coinvolto nell'attività che ha generato l'esito.

  • Nome sessione: entità che ha assunto il ruolo IAM con le autorizzazioni RBAC di Kubernetes.

ECSCluster

Dettagli del cluster ECS:

  • ARN: l'ARN che identifica il cluster.

  • Nome: il nome del cluster.

  • Stato: lo stato attuale del cluster.

  • Numero di servizi attivi: il numero dei servizi in esecuzione sul cluster con stato ACTIVE. Puoi visualizzare questi servizi con ListServices

  • Numero di istanze di container registrate: il numero delle istanze di container registrate nel cluster, incluse sia le istanza di container con stato ACTIVE che quelle con stato DRAINING.

  • Numero di attività in esecuzione: il numero di attività con stato RUNNING nel cluster.

  • Tag: i metadati applicati al cluster utili per catalogarli e organizzarli. Ciascun tag è formato da una chiave e da un valore facoltativo, elencati nel formato key:value. Puoi definire sia la chiave che il valore.

  • Container: i dettagli sul container associato all'attività.

    • Nome container: il nome del container.

    • Immagine del container: l'immagine del container.

  • Dettagli dell'attività: i dettagli di un'attività in un cluster.

    • ARN: il nome della risorsa Amazon (ARN) dell'attività.

    • ARN di definizione: il nome della risorsa Amazon (ARN) della definizione dell'attività che crea l'attività.

    • Versione: il contatore delle versioni per l'attività.

    • Ora creazione attività: il timestamp Unix al momento della creazione dell'attività.

    • Ora inizio attività: il timestamp Unix all'inizio dell'attività.

    • Attività iniziata da: il tag specificato all'avvio di un'attività.

Container

Dettagli container:

  • Runtime del container: il runtime del container (ad esempio docker o containerd) utilizzato per eseguire il container.

  • ID: l'ID dell'istanza di container o le voci ARN complete per l'istanza di container.

  • Nome: il nome del container.

  • Immagine: l'immagine dell'istanza di container.

  • Montaggi volume: elenco dei montaggi del volume del container. Un container può montare un volume nel proprio file system.

  • Contesto di sicurezza: il contesto di sicurezza del container definisce i privilegi e le impostazioni di controllo degli accessi per un container.

  • Dettagli del processo: descrive i dettagli del processo associato all'esito.

RDSDBInstance

RDSDBInstance dettagli:

Nota

Questa risorsa è disponibile negli esiti della Protezione RDS relativi all'istanza di database.

  • ID dell'istanza del database: l'identificatore associato all'istanza di database coinvolta nel GuardDuty risultato.

  • Motore: il nome del motore di database dell'istanza di database coinvolta nell'esito. I valori possibili sono compatibili con Aurora MySQL o Aurora PostgreSQL.

  • Versione del motore: la versione del motore di database coinvolta nel GuardDuty risultato.

  • ID del cluster di database: l'identificatore del cluster di database che contiene l'ID dell'istanza di database coinvolta nel GuardDuty risultato.

  • ARN dell'istanza di database: l'ARN che identifica l'istanza di database coinvolta nel risultato. GuardDuty

RDSLimitlessDB

RDSLimitlessDettagli del database:

Questa risorsa è disponibile nei risultati di RDS Protection relativi alla versione del motore supportata di Limitless Database.

  • Identificatore del gruppo di shard DB: il nome associato al gruppo di shard DB Limitless.

  • ID di risorsa del gruppo di shard DB: l'identificatore di risorsa del gruppo di shard DB all'interno del DB Limitless.

  • ARN del gruppo di shard DB: Amazon Resource Name (ARN) che identifica il gruppo di shard DB.

  • Motore: l'identificatore del DB Limitless coinvolto nella scoperta.

  • Versione del motore: la versione del motore Limitless DB.

  • Identificatore del cluster DB: il nome del cluster di database che fa parte del DB Limitless.

Per informazioni sui dettagli relativi all'utente e all'autenticazione del database potenzialmente interessato, vedere. Dettagli utente del database (DB) RDS

Lambda
Dettagli della funzione Lambda

  • Nome funzione: il nome della funzione Lambda coinvolta nell'esito.

  • Versione della funzione: la versione della funzione Lambda coinvolta nell'esito.

  • Descrizione della funzione: una descrizione della funzione Lambda coinvolta nell'esito.

  • Funzione ARN: il nome della risorsa Amazon (ARN) della funzione Lambda coinvolta nell'esito.

  • ID revisione: l'ID di revisione della versione della funzione Lambda.

  • Ruolo: il ruolo di esecuzione della funzione Lambda coinvolta nell'esito.

  • Configurazione VPC: la configurazione Amazon VPC, che include l'ID VPC, il gruppo di sicurezza e la sottorete associati alla funzione Lambda. IDs

    • ID VPC: l'ID dell'Amazon VPC associato alla funzione Lambda coinvolta nell'esito.

    • Subnet IDs: l'ID delle sottoreti associate alla funzione Lambda.

    • Gruppo di sicurezza: il gruppo di sicurezza collegato alla funzione Lambda coinvolta. Sono inclusi il nome e l'ID del gruppo di sicurezza.

  • Tag: un elenco di tag collegati a questa risorsa, elencati nel formato della coppia key:value.

Dettagli sulla ricerca della sequenza di attacco

GuardDuty fornisce dettagli per ogni risultato generato nel tuo account. Questi dettagli ti aiutano a comprendere i motivi alla base della scoperta. Questa sezione si concentra sui dettagli associati atipi di ricerca delle sequenze di attacco. Ciò include informazioni quali le risorse potenzialmente interessate, la cronologia degli eventi, gli indicatori, i segnali e gli endpoint coinvolti nella scoperta.

Per visualizzare i dettagli associati ai segnali considerati GuardDuty risultati, consulta le sezioni associate in questa pagina.

Nella GuardDuty console, quando selezioni la ricerca di una sequenza di attacco, il pannello laterale dei dettagli è suddiviso nelle seguenti schede:

  • Panoramica: fornisce una visione compatta dei dettagli della sequenza di attacco, inclusi segnali, tattiche MITRE e risorse potenzialmente interessate.

  • Segnali: visualizza una sequenza temporale degli eventi coinvolti in una sequenza di attacco.

  • Risorse: fornisce informazioni sulle risorse potenzialmente interessate o sulle risorse potenzialmente a rischio.

L'elenco seguente fornisce le descrizioni associate ai dettagli di ricerca della sequenza di attacco.

Segnali

Un segnale potrebbe essere un'attività API o un risultato GuardDuty utilizzato per rilevare una sequenza di attacco. GuardDuty considera i segnali deboli che non si presentano come una minaccia evidente, li mette insieme e li mette in correlazione con i risultati generati individualmente. Per un contesto più approfondito, la scheda Segnali fornisce una cronologia dei segnali, come osservato da GuardDuty.

Ogni segnale, che è un GuardDuty risultato, ha il proprio livello di gravità e il proprio valore assegnati. Nella GuardDuty console, è possibile selezionare ogni segnale per visualizzare i dettagli associati.

Attori

Fornisce dettagli sugli attori della minaccia in una sequenza di attacco. Per ulteriori informazioni, consulta Actor in Amazon GuardDuty API Reference.

Endpoints

Fornisce dettagli sugli endpoint di rete utilizzati in questa sequenza di attacco. Per ulteriori informazioni, NetworkEndpointconsulta Amazon GuardDuty API Reference. Per informazioni su come GuardDuty determina la posizione, consultaDettagli sulla geolocalizzazione.

Indicatori

Include i dati osservati che corrispondono allo schema di un problema di sicurezza. Questi dati specificano il motivo per cui GuardDuty esiste un'indicazione di un'attività potenzialmente sospetta. Ad esempio, se il nome dell'indicatore èHIGH_RISK_API, indica un'azione comunemente utilizzata dagli autori delle minacce o un'azione sensibile che può avere un impatto potenziale su di esse Account AWS, come l'accesso alle credenziali o la modifica di una risorsa.

La tabella seguente include un elenco di potenziali indicatori e le relative descrizioni:

Nome dell'indicatore Descrizione

SUSPICIOUS_USER_AGENT

Lo user agent è associato ad applicazioni sospette o sfruttate potenzialmente note, come client Amazon S3 e strumenti di attacco.

SUSPICIOUS_NETWORK

La rete è associata a punteggi di reputazione noti bassi, come provider di reti private virtuali (VPN) rischiosi e servizi proxy.

MALICIOUS_IP

L'indirizzo IP ha confermato che l'intelligence sulle minacce indica intenzioni dannose.

TOR_IP

L'indirizzo IP è associato a un nodo di uscita Tor.

HIGH_RISK_API

L' AWS API che include il Servizio AWS nome e eventName indica un'azione comunemente utilizzata dagli autori delle minacce o un'azione sensibile che può causare un potenziale impatto Account AWS, come l'accesso alle credenziali o la modifica delle risorse.

ATTACK_TACTIC

Le tattiche MITRE, come Discovery e Impact.

ATTACK_TECHNIQUE

La tecnica MITRE utilizzata dall'autore della minaccia in una sequenza di attacco. Gli esempi includono l'accesso alle risorse e il loro utilizzo involontario e lo sfruttamento delle vulnerabilità.

UNUSUAL_API_FOR_ACCOUNT

Indica che l' AWS API è stata richiamata in modo anomalo, in base alla linea di base storica dell'account. Per ulteriori informazioni, consulta Comportamento anomalo.

UNUSUAL_ASN_FOR_ACCOUNT

Indica che l'Autonomous System Number (ASN) è stato identificato come anomalo, in base alla baseline storica dell'account. Per ulteriori informazioni, consulta Comportamento anomalo.

UNUSUAL_ASN_FOR_USER

Indica che l'Autonomous System Number (ASN) è stato identificato come anomalo, in base alla baseline storica dell'utente. Per ulteriori informazioni, consulta Comportamento anomalo.

Tattiche MITRE

Questo campo specifica le tattiche MITRE ATT&CK che l'autore della minaccia tenta attraverso una sequenza di attacco. GuardDuty utilizza il framework MITRE ATT&ACK che aggiunge contesto all'intera sequenza di attacco. I colori utilizzati dalla GuardDuty console per specificare gli scopi della minaccia utilizzati dall'autore della minaccia sono allineati ai colori che indicano il livello critico, alto, medio e basso. Livelli di gravità dei risultati

Indicatori di rete

Gli indicatori includono una combinazione di valori degli indicatori di rete che spiegano perché una rete è indicativa di un comportamento sospetto. Questa sezione è applicabile solo quando l'Indicatore include SUSPICIOUS_NETWORK o. MALICIOUS_IP L'esempio seguente mostra come gli indicatori di rete potrebbero essere associati a un indicatore, dove:

  • AnyCompanyè un sistema autonomo (AS).

  • TUNNEL_VPNIS_ANONYMOUS, e ALLOWS_FREE_ACCESS sono gli indicatori di rete. 

...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...

La tabella seguente include i valori degli indicatori di rete e la loro descrizione. Questi tag vengono aggiunti in base alle informazioni sulle minacce GuardDuty raccolte da fonti come Spur

Valore dell'indicatore di rete Descrizione

TUNNEL_VPN

L'indirizzo di rete o IP è associato a un tipo di tunnel VPN. Si riferisce a un protocollo specifico che consente di stabilire una connessione sicura e crittografata tra due punti su una rete pubblica.

TUNNEL_PROXY

L'indirizzo di rete o IP è associato a un tipo di tunnel Proxy. Si riferisce a un protocollo specifico che consente di stabilire una connessione tramite un server proxy.

TUNNEL_RDP

L'indirizzo di rete o IP è associato all'utilizzo di un metodo di incapsulamento del traffico RDP (Remote Desktop) all'interno di un altro protocollo per migliorare la sicurezza, aggirare le restrizioni di rete o abilitare l'accesso remoto tramite firewall.

IS_ANONYMOUS

L'indirizzo di rete o IP è associato a un servizio anonimo o proxy noto. Ciò può indicare potenziali attività sospette nascoste dietro reti anonime.

KNOWN_THREAT_OPERATOR

La rete o l'indirizzo IP è associato a un provider di tunnel noto e rischioso. Ciò indica che è stata rilevata un'attività sospetta da un indirizzo IP collegato a una VPN, a un proxy o ad altri servizi di tunneling utilizzati frequentemente per scopi dannosi.

ALLOWS_FREE_ACCESS

L'indirizzo di rete o IP è associato a un operatore di tunnel che consente l'accesso al suo servizio senza richiedere l'autenticazione o il pagamento. Potrebbe includere anche account di prova o esperienze di utilizzo limitate offerte da vari servizi online.

ALLOWS_CRYPTO

La rete o l'indirizzo IP è associato a un provider di tunnel (come VPN o servizio proxy) che accetta esclusivamente criptovalute o altre valute digitali come metodo di pagamento.

ALLOWS_TORRENTS

L'indirizzo di rete o IP è associato a servizi o piattaforme che consentono il traffico torrent. Tali servizi sono spesso associati al supporto e all'utilizzo di torrent e ad attività di elusione del copyright.

RISK_CALLBACK_PROXY

L'indirizzo di rete o IP è associato a dispositivi noti per indirizzare il traffico verso proxy residenziali, proxy di malware o altre reti di tipo proxy di callback. Ciò non significa che tutte le attività sulla rete siano correlate ai proxy, ma piuttosto che la rete abbia la capacità di instradare il traffico per conto di queste reti proxy.

RISK_GEO_MISMATCH

Questo indicatore suggerisce che il centro dati o la posizione di hosting di una rete sono diversi dalla posizione prevista degli utenti e dei dispositivi che la gestiscono. Se questo valore dell'indicatore non è presente, ciò non significa che non vi sia alcuna discrepanza. Potrebbe significare che i dati non sono sufficienti per confermare la discrepanza.

IS_SCANNER

La rete o l'indirizzo IP sono associati all'esecuzione di tentativi di accesso persistenti ai moduli Web.

RISK_WEB_SCRAPING

La rete di indirizzi IP è associata a client Web automatizzati e ad altre attività web programmatiche.

CLIENT_BEHAVIOR_FILE_SHARING

La rete o l'indirizzo IP sono associati al comportamento del client, indicativo delle attività di condivisione di file, come reti peer-to-peer (P2P) o protocolli di condivisione di file.

CATEGORY_COMMERCIAL_VPN

L'indirizzo di rete o IP è associato a un operatore di tunnel classificato come un tradizionale servizio VPN (Commercial Virtual Private Network) che opera all'interno dello spazio del datacenter.

CATEGORY_FREE_VPN

L'indirizzo di rete o IP è associato a un operatore di tunnel classificato come servizio VPN completamente gratuito.

CATEGORY_RESIDENTIAL_PROXY

L'indirizzo di rete o IP è associato a un operatore di tunnel classificato come SDK, malware o servizio proxy di get-paid-to origine.

OPERATOR_XXX

Il nome del fornitore di servizi che gestisce questo tunnel.

Dettagli utente del database (DB) RDS

Nota

Questa sezione è applicabile ai risultati quando si abilita la funzionalità di protezione RDS in GuardDuty. Per ulteriori informazioni, consulta GuardDuty Protezione RDS.

La GuardDuty scoperta fornisce i seguenti dettagli relativi all'utente e all'autenticazione del database potenzialmente compromesso:

  • Utente: il nome utente utilizzato per effettuare il tentativo di accesso anomalo.

  • Applicazione: il nome dell'applicazione utilizzata per effettuare il tentativo di accesso anomalo.

  • Database: il nome dell'istanza di database coinvolta nel tentativo di accesso anomalo.

  • SSL: la versione del Secure Socket Layer (SSL) utilizzata per la rete.

  • Metodo di autenticazione: il metodo di autenticazione utilizzato dall'utente coinvolto nell'esito.

Per informazioni sulla risorsa potenzialmente compromessa, vedere. Risorsa

Runtime Monitoring: dettagli relativi

Nota

Questi dettagli possono essere disponibili solo se GuardDuty genera uno deiGuardDuty Tipi di risultati del monitoraggio del runtime.

Questa sezione contiene i dettagli del runtime, inclusi i dettagli del processo e qualsiasi contesto richiesto. I dettagli del processo descrivono le informazioni sul processo osservato e il contesto di runtime descrive qualsiasi informazione aggiuntiva sull'attività potenzialmente sospetta.

Dettagli del processo

  • Nome: il nome del processo.

  • Percorso eseguibile: il percorso assoluto del file eseguibile del processo.

  • SHA-256 eseguibile: l'hash SHA256 dell'eseguibile del processo.

  • PID dello spazio dei nomi: l'ID processo in un PID dello spazio dei nomi secondario diverso dal PID dello spazio dei nomi a livello di host. Per i processi all'interno di un container, corrisponde all'ID processo osservabile nel container.

  • Directory di lavoro presente: la directory di lavoro presente del processo.

  • ID processo: l'ID che il sistema operativo assegna al processo.

  • startTime: l'ora in cui è iniziato il processo. Si presenta nel formato della stringa di data UTC (2023-03-22T19:37:20.168Z).

  • UUID: l'ID univoco assegnato al processo da. GuardDuty

  • UUID padre: l'ID univoco del processo padre. Questo ID viene assegnato al processo principale da. GuardDuty

  • Utente: l'utente che ha eseguito il processo.

  • ID utente: l'ID dell'utente che ha eseguito il processo.

  • ID utente effettivo: l'ID utente effettivo del processo al momento dell'evento.

  • Eredità: informazioni sugli antenati del processo.

    • ID processo: l'ID che il sistema operativo assegna al processo.

    • UUID: l'ID univoco assegnato al processo da. GuardDuty

    • Percorso eseguibile: il percorso assoluto del file eseguibile del processo.

    • ID utente effettivo: l'ID utente effettivo del processo al momento dell'evento.

    • UUID padre: l'ID univoco del processo padre. Questo ID viene assegnato al processo principale da. GuardDuty

    • Ora di inizio: l'ora in cui è iniziato il processo.

    • PID dello spazio dei nomi: l'ID processo in un PID dello spazio dei nomi secondario diverso dal PID dello spazio dei nomi a livello di host. Per i processi all'interno di un container, corrisponde all'ID processo osservabile nel container.

    • ID utente: l'ID utente dell'utente che ha eseguito il processo.

    • Nome: il nome del processo.

Contesto di runtime

Un esito generato può includere, tra i campi seguenti, solo quelli pertinenti al tipo di esito.

  • Origine di montaggio: il percorso sull'host montato dal container.

  • Destinazione di montaggio: il percorso nel container mappato alla directory host.

  • Tipo di file system: rappresenta il tipo di file system montato.

  • Flag: rappresenta le opzioni che controllano il comportamento dell'evento coinvolto in questo esito.

  • Processo di modifica: informazioni sul processo che in fase di runtime ha creato o modificato un file binario, uno script o una libreria all'interno di un container.

  • Ora della modifica: il timestamp in cui il processo ha creato o modificato un file binario, uno script o una libreria all'interno di un container in fase di runtime. Questo campo è nel formato della stringa di data UTC (2023-03-22T19:37:20.168Z).

  • Percorso libreria: il percorso della nuova libreria che è stata caricata.

  • Valore LD Preload: il valore della variabile di ambiente LD_PRELOAD.

  • Percorso socket: il percorso del socket Docker a cui è stato effettuato l'accesso.

  • Percorso binario runc: il percorso del file binario runc.

  • Percorso agente di rilascio: il percorso del file dell'agente di rilascio cgroup.

  • Esempio di riga di comando: l'esempio della riga di comando coinvolta nell'attività potenzialmente sospetta.

  • Categoria utensile: categoria a cui appartiene lo strumento. Alcuni esempi sono Backdoor Tool, Pentest Tool, Network Scanner e Network Sniffer.

  • Nome dello strumento: il nome dello strumento potenzialmente sospetto.

  • Percorso dello script: il percorso dello script eseguito che ha generato il risultato.

  • Threat File Path: il percorso sospetto per il quale sono stati trovati i dettagli di intelligence sulle minacce.

  • Nome del servizio: il nome del servizio di sicurezza che è stato disabilitato.

Dettagli della scansione dei volumi EBS

Nota

Questa sezione è applicabile ai risultati rilevati quando si attiva la scansione antimalware GuardDuty avviata. Protezione da malware per EC2

La scansione dei volumi EBS fornisce dettagli sul volume EBS collegato all'istanza o al carico di lavoro del container potenzialmente compromessi EC2 .

  • ID scansione: l'identificatore della scansione malware.

  • Ora inizio scansione: la data e l'ora di inizio della scansione malware.

  • Ora completamento scansione: la data e l'ora di completamento della scansione malware.

  • Trigger Finding ID: l'ID di ricerca del risultato che ha avviato questa GuardDuty scansione antimalware.

  • Fonti: i valori potenziali sono Bitdefender eAmazon.

    Per ulteriori informazioni sul motore di scansione utilizzato per rilevare il malware, vedereGuardDuty motore di scansione per il rilevamento di malware.

  • Rilevamenti scansione: la visualizzazione completa dei dettagli e degli esiti di ogni scansione malware.

    • Numero elementi scansionati: il numero totale di file scansionati. Fornisce dettagli come totalGb, files e volumes.

    • Numero elementi rilevati come minacce: il numero totale di files dannosi rilevati durante la scansione.

    • Dettagli sulla minaccia con gravità più alta: i dettagli sulla minaccia di gravità più alta rilevata durante la scansione e sul numero di file dannosi. Fornisce dettagli come severity, threatName e count.

    • Minacce rilevate per nome: l'elemento container che raggruppa le minacce di tutti i livelli di gravità. Fornisce dettagli come itemCount, uniqueThreatNameCount, shortened e threatNames.

Protezione da malware per la EC2 ricerca di dettagli

Nota

Questa sezione è applicabile ai risultati ottenuti quando si attiva la scansione antimalware GuardDuty avviata. Protezione da malware per EC2

Quando la EC2 scansione Malware Protection for Scan rileva un malware, puoi visualizzare i dettagli della scansione selezionando il risultato corrispondente nella pagina Findings della console. https://console.aws.amazon.com/guardduty/ La gravità della protezione antimalware da EC2 individuare dipende dalla gravità del GuardDuty rilevamento.

Le seguenti informazioni sono disponibili nella sezione Minacce rilevate nel pannello dei dettagli.

  • Nome: il nome della minaccia, ottenuto raggruppando i file in base al rilevamento.

  • Gravità: la gravità della minaccia rilevata.

  • Hash: l'hash SHA-256 del file.

  • Percorso file: la posizione del file dannoso nel volume EBS.

  • Nome file: il nome del file in cui è stata rilevata la minaccia.

  • ARN del volume: l'ARN dei volumi EBS scansionati.

Le seguenti informazioni sono disponibili nella sezione Dettagli della scansione malware nel pannello dei dettagli.

  • ID scansione: l'ID di scansione della scansione malware.

  • Ora inizio scansione: la data e l'ora di inizio della scansione.

  • Ora completamento scansione: la data e l'ora di completamento della scansione.

  • File scansionati: il numero totale di file e directory scansionati.

  • GB totali scansionati: la quantità di spazio di archiviazione scansionato durante il processo.

  • Trigger Finding ID: l'ID identificativo del GuardDuty risultato che ha avviato questa scansione antimalware.

  • Le seguenti informazioni sono disponibili nella sezione Dettagli del volume nel pannello dei dettagli.

    • ARN del volume: il nome della risorsa Amazon (ARN) del volume.

    • SnapshotARN: l'ARN dello snapshot del volume EBS.

    • Stato: lo stato della scansione del volume, ad esempio, Running, Skipped e Completed.

    • Tipo di crittografia: il tipo di crittografia utilizzato per crittografare il volume. Ad esempio CMCMK.

    • Nome dispositivo: il nome del dispositivo. Ad esempio /dev/xvda.

Informazioni sulla ricerca di Malware Protection for S3

I seguenti dettagli di scansione antimalware sono disponibili quando attivi GuardDuty sia Malware Protection for S3 su: Account AWS

  • Minacce: un elenco di minacce rilevate durante la scansione del malware.

    Molteplici minacce potenziali nei file di archivio

    Se hai un file di archivio contenente potenzialmente più minacce, Malware Protection for S3 segnala solo la prima minaccia rilevata. Dopodiché, lo stato della scansione viene contrassegnato come completo. GuardDuty genera il tipo di ricerca associato e invia anche EventBridge gli eventi che genera. Per ulteriori informazioni sul monitoraggio delle scansioni di oggetti Amazon S3 utilizzando gli EventBridge eventi, consulta lo schema di notifica di esempio per THREATS_FOUND in. Risultato della scansione degli oggetti S3

  • Percorso dell'elemento: un elenco del percorso dell'elemento annidato e dei dettagli hash dell'oggetto S3 scansionato.

    • Percorso dell'elemento annidato: percorso dell'elemento dell'oggetto S3 scansionato in cui è stata rilevata la minaccia.

      Il valore di questo campo è disponibile solo se l'oggetto di primo livello è un archivio e se la minaccia viene rilevata all'interno di un archivio.

    • Hash: hash della minaccia rilevata in questo risultato.

  • Fonti: i valori potenziali sono Bitdefender e. Amazon

    Per ulteriori informazioni sul motore di scansione utilizzato per rilevare il malware, vedereGuardDuty motore di scansione per il rilevamento di malware.

Azione

L'Operazione di un esito fornisce dettagli sul tipo di attività che l'ha attivato. Le informazioni disponibili variano in base al tipo di operazione.

Tipo di operazione: il tipo di attività dell'esito. Questo valore può essere NETWORK_CONNECTION, PORT_PROBE, DNS_REQUEST, _CALL o RDS_LOGIN_ATTEMENT. AWS_API Le informazioni disponibili variano in base al tipo di operazione:

  • NETWORK_CONNECTION: indica che il traffico di rete è stato scambiato tra l'istanza identificata e l'host remoto. EC2 Questo tipo di operazione include le seguenti informazioni aggiuntive:

    • Direzione della connessione: la direzione della connessione di rete osservata nell'attività che ha richiesto GuardDuty la generazione del risultato. Può essere uno dei seguenti valori:

      • IN ENTRATA: indica che un host remoto ha avviato una connessione a una porta locale sull' EC2 istanza identificata nell'account.

      • IN USCITA: indica che l' EC2 istanza identificata ha avviato una connessione a un host remoto.

      • SCONOSCIUTO: indica che non è GuardDuty stato possibile determinare la direzione della connessione.

    • Protocollo: il protocollo di connessione di rete osservato nell'attività che ha richiesto GuardDuty la generazione del risultato.

    • IP locale: il primo indirizzo IP di origine del traffico che ha attivato l'esito. Queste informazioni possono essere utilizzate per distinguere tra indirizzo IP di un livello intermedio su cui fluisce il traffico e il primo indirizzo IP di origine del traffico. Ad esempio, l'indirizzo IP di un pod EKS anziché l'indirizzo IP dell'istanza in cui è in esecuzione il pod EKS.

    • Bloccata: indica se la porta di destinazione è bloccata.

  • PORT_PROBE — Indica che un host remoto ha sondato l' EC2 istanza identificata su più porte aperte. Questo tipo di operazione include le seguenti informazioni aggiuntive:

    • IP locale: il primo indirizzo IP di origine del traffico che ha attivato l'esito. Queste informazioni possono essere utilizzate per distinguere tra indirizzo IP di un livello intermedio su cui fluisce il traffico e il primo indirizzo IP di origine del traffico. Ad esempio, l'indirizzo IP di un pod EKS anziché l'indirizzo IP dell'istanza in cui è in esecuzione il pod EKS.

    • Bloccata: indica se la porta di destinazione è bloccata.

  • DNS_REQUEST — Indica che l'istanza identificata ha richiesto un nome di dominio. EC2 Questo tipo di operazione include le seguenti informazioni aggiuntive:

    • Protocollo: il protocollo di connessione di rete osservato nell'attività che ha richiesto GuardDuty la generazione del risultato.

    • Bloccata: indica se la porta di destinazione è bloccata.

  • AWS_API_CALL: indica che è stata richiamata un' AWS API. Questo tipo di operazione include le seguenti informazioni aggiuntive:

    • API: il nome dell'operazione API che è stata richiamata e quindi ha richiesto di GuardDuty generare questo risultato.

      Nota

      Queste operazioni possono anche includere eventi non API acquisiti da AWS CloudTrail. Per ulteriori informazioni, consulta Eventi non API acquisiti da. CloudTrail

    • Agente utente: l'agente utente che ha effettuato la richiesta API. Questo valore indica se la chiamata è stata effettuata da AWS Management Console, an AWS service AWS SDKs, the AWS CLI o.

    • CODICE DI ERRORE: se l'esito è stato attivato da una chiamata API non riuscita, viene visualizzato il codice di errore per tale chiamata.

    • Nome servizio: il nome DNS del servizio che ha tentato di effettuare la chiamata API che ha attivato l'esito.

  • RDS_LOGIN_ATTEMPT: indica che è stato effettuato un tentativo di accesso al database potenzialmente compromesso da un indirizzo IP remoto.

    • Indirizzo IP: l'indirizzo IP remoto utilizzato per effettuare il tentativo di accesso potenzialmente sospetto.

Attore o destinazione

Un esito ha una sezione Attore se il Ruolo risorsa era TARGET. Ciò indica che la risorsa è stata la destinazione di attività sospette e la sezione Attore contiene dettagli sull'entità che ha scelto come destinazione la risorsa.

Un esito ha una sezione Destinazione se il Ruolo risorsa era ACTOR. Ciò indica che la risorsa è stata coinvolta in attività sospette nei confronti di un host remoto e questa sezione contiene informazioni sull'IP o sul dominio di destinazione della risorsa.

Le informazioni disponibili nella sezione Attore o Destinazione possono includere quanto segue:

  • Affiliato: indica se l' AWS account del chiamante API remoto è correlato all'ambiente in uso. GuardDuty Se questo valore è true, il chiamante API è affiliato in qualche modo al tuo account. Se invece il valore è false, il chiamante API proviene da un ambiente esterno.

  • ID account remoto: l'ID dell'account che possiede l'indirizzo IP in uscita utilizzato per accedere alla risorsa sulla rete finale.

  • Indirizzo IP: l'indirizzo IP coinvolto nell'attività che ha richiesto GuardDuty la generazione del risultato.

  • Posizione: informazioni sulla posizione dell'indirizzo IP coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Organizzazione: informazioni sull'organizzazione dell'ISP relative all'indirizzo IP coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Porta: il numero di porta coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Dominio: il dominio coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Dominio con suffisso: il dominio di secondo e primo livello coinvolto in un'attività che potenzialmente ha richiesto GuardDuty la generazione del risultato. Per un elenco dei domini di primo e secondo livello, consulta l'elenco dei suffissi pubblici.

Dettagli sulla geolocalizzazione

GuardDuty determina la posizione e la rete delle richieste utilizzando i database MaxMind GeoIP. MaxMind riporta un'accuratezza molto elevata dei propri dati a livello nazionale, sebbene la precisione vari in base a fattori quali il paese e il tipo di indirizzo IP. Per ulteriori informazioni su MaxMind, consulta Geolocalizzazione MaxMind IP. Se ritieni che uno dei dati GeoIP sia errato, invia una richiesta di MaxMindcorrezione MaxMind a Correct Geo IP2 Data.

Informazioni aggiuntive

Tutti gli esiti hanno una sezione Informazioni aggiuntive che può includere le informazioni seguenti:

  • Nome dell'elenco delle minacce: il nome dell'elenco delle minacce che include l'indirizzo IP o il nome di dominio coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Esempio: un valore vero o falso che indica se si tratta di un esito di esempio.

  • Archiviato: un valore vero o falso che indica se l'esito è stato archiviato.

  • Insolito: dettagli dell'attività che non sono stati osservati in precedenza. Questi dettagli possono includere utente, posizione, bucket, comportamento di accesso od Org ASN anomali (non osservati in precedenza).

  • Protocollo insolito: il protocollo di connessione di rete coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Dettagli dell'agente: dettagli sull'agente di sicurezza attualmente implementato nel cluster EKS del tuo Account AWS. Questi dettagli sono applicabili solo ai tipi di esiti del monitoraggio del runtime EKS.

    • Versione dell'agente: la versione del GuardDuty security agent.

    • ID agente: l'identificatore univoco del GuardDuty security agent.

Evidenza

Gli esiti basati sull'intelligence sulle minacce hanno una sezione Evidenza che include le informazioni seguenti:

  • Dettagli di intelligence sulle minacce: il nome dell'elenco delle minacce in cui Threat name compaiono le minacce riconosciute.

  • Nome della minaccia: il nome della famiglia di malware o altro identificatore associato alla minaccia.

  • File di minaccia SHA256: SHA256 del file che ha generato la scoperta.

Comportamento anomalo

I tipi di risultati che terminano con AnomalousBehaviorindicano che il risultato è stato generato dal modello di apprendimento automatico per il rilevamento delle GuardDuty anomalie (ML). Il modello di ML valuta tutte le richieste API al tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l'API specifica che è stata richiesta.

I dettagli su quali fattori della richiesta API sono insoliti per l'identità CloudTrail dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato. Le identità sono definite dall'elemento CloudTrail userIdentity e i valori possibili sonoRoot:IAMUser,,,, AssumedRole FederatedUserAWSAccount, or. AWSService

Oltre ai dettagli disponibili per tutti i GuardDuty risultati associati all'attività dell'API, AnomalousBehaviori risultati contengono dettagli aggiuntivi descritti nella sezione seguente. Questi dettagli possono essere visualizzati nella console e sono disponibili anche nel JSON dell'esito.

  • Anomalo APIs: un elenco di richieste API che sono state richiamate dall'identità dell'utente in prossimità della richiesta API principale associata al risultato. Questo riquadro suddivide ulteriormente i dettagli dell'evento API nei modi seguenti.

    • La prima API elencata è l'API principale, ossia la richiesta API associata all'attività osservata con il rischio più elevato. Si tratta dell'API che ha attivato l'esito ed è correlata alla fase di attacco del tipo di esito. L'API in questione è descritta in dettaglio nella sezione Operazione della console e nel JSON dell'esito.

    • Tutte le altre APIs elencate sono ulteriori anomale APIs rispetto all'identità utente elencata osservata in prossimità dell'API principale. Se nell'elenco è presente una sola API, il modello di ML non ha identificato come anomala alcuna richiesta API aggiuntiva proveniente dall'identità utente.

    • L'elenco di APIs viene suddiviso in base al fatto che un'API sia stata chiamata con successo o se l'API sia stata chiamata senza successo, il che significa che è stata ricevuta una risposta di errore. Il tipo di risposta di errore ricevuta è elencato sopra ogni API chiamata senza successo. I possibili tipi di risposta di errore sono: access denied, access denied exception, auth failure, instance limit exceeded, invalid permission - duplicate, invalid permission - not found e operation not permitted.

    • APIs sono classificati in base al servizio associato.

    • Per maggiori informazioni, scegli Cronologico APIs per visualizzare i dettagli relativi alla parte superiore APIs, fino a un massimo di 20, in genere sia per l'identità dell'utente che per tutti gli utenti all'interno dell'account. APIs Sono contrassegnati come Rari (meno di una volta al mese), Non frequenti (alcune volte al mese) o Frequenti (da giornalieri a settimanali), a seconda della frequenza con cui vengono utilizzati nell'account.

  • Comportamento insolito (account): questa sezione fornisce ulteriori dettagli sul comportamento profilato del tuo account.

    Comportamento profilato

    GuardDuty impara continuamente sulle attività all'interno del tuo account in base agli eventi organizzati. Queste attività e la loro frequenza osservata sono note come comportamenti profilati.

    Le informazioni registrate in questo pannello includono:

    • ASN Org: l'organizzazione ASN (Autonomous System Number) da cui è stata effettuata la chiamata API anomala.

    • Nome utente: il nome dell'utente che ha effettuato la chiamata API anomala.

    • Agente utente: l'agente utente utilizzato per effettuare la chiamata API anomala. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio aws-cli o Botocore.

    • Tipo utente: il tipo di utente che ha effettuato la chiamata API anomala. I valori possibili sono AWS_SERVICE, ASSUMED_ROLE, IAM_USER o ROLE.

    • Bucket: il nome del bucket S3 a cui viene effettuato l'accesso.

  • Comportamento insolito (identità utente): questa sezione fornisce ulteriori dettagli sul comportamento profilato dell'Identità utente coinvolta nell'esito. Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non aveva mai visto l'identità dell'utente effettuare questa chiamata API in questo modo durante il periodo di formazione. Sono disponibili i seguenti dettagli aggiuntivi sull'Identità utente:

    • Org ASN: l'Org ASN da cui è stata effettuata la chiamata API anomala.

    • Agente utente: l'agente utente utilizzato per effettuare la chiamata API anomala. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio aws-cli o Botocore.

    • Bucket: il nome del bucket S3 a cui viene effettuato l'accesso.

  • Comportamento insolito (bucket): questa sezione fornisce ulteriori dettagli sul comportamento profilato del bucket S3 associato all'esito Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non aveva mai visto in precedenza chiamate API effettuate a questo bucket in questo modo durante il periodo di formazione. Le informazioni registrate in questa sezione includono:

    • Org ASN: l'Org ASN da cui è stata effettuata la chiamata API anomala.

    • Nome utente: il nome dell'utente che ha effettuato la chiamata API anomala.

    • Agente utente: l'agente utente utilizzato per effettuare la chiamata API anomala. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio aws-cli o Botocore.

    • Tipo utente: il tipo di utente che ha effettuato la chiamata API anomala. I valori possibili sono AWS_SERVICE, ASSUMED_ROLE, IAM_USER o ROLE.

    Nota

    Per maggiori informazioni sui comportamenti storici, scegli Comportamento storico nella sezione Comportamento insolito (account), ID utente o Bucket per visualizzare i dettagli sul comportamento previsto nel tuo account per ciascuna delle seguenti categorie: Raro (meno di una volta al mese), Poco frequente (alcune volte al mese) o Frequente (da giornaliero a settimanale), a seconda della frequenza con cui vengono utilizzati all'interno del tuo account.

  • Comportamento insolito (database): questa sezione fornisce ulteriori dettagli sul comportamento profilato dell'istanza di database associata all'esito Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non ha mai visto in precedenza un tentativo di accesso effettuato in questo modo a questa istanza di database durante il periodo di formazione. Le informazioni registrate nel pannello dell'esito per questa sezione includono:

    • Nome utente: il nome utente utilizzato per effettuare il tentativo di accesso anomalo.

    • Org ASN: l'Org ASN da cui è stato effettuato il tentativo di accesso anomalo.

    • Nome applicazione: il nome dell'applicazione utilizzata per effettuare il tentativo di accesso anomalo.

    • Nome database: il nome dell'istanza di database coinvolta nel tentativo di accesso anomalo.

    La sezione Comportamento storico fornisce maggiori informazioni su Nomi utente, Org ASN, Nomi applicazioni e Nomi database osservati in precedenza per il database associato. A ogni valore univoco è associato un conteggio che rappresenta il numero di volte in cui questo valore è stato osservato in un evento di accesso riuscito.

  • Comportamento insolito (account cluster Kubernetes, spazio dei nomi Kubernetes e nome utente Kubernetes): questa sezione fornisce ulteriori dettagli sul comportamento profilato per il cluster e lo spazio dei nomi Kubernetes associati all'esito. Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non ha mai osservato in precedenza questo account, cluster, namespace o nome utente in questo modo. Le informazioni registrate nel pannello dell'esito per questa sezione includono:

    • Nome utente: l'utente che ha chiamato l'API Kubernetes associata all'esito.

    • Nome utente impersonato: l'utente impersonato da username.

    • Spazio dei nomi: lo spazio dei nomi Kubernetes all'interno del cluster Amazon EKS in cui si è verificata l'operazione.

    • Agente utente: l'agente utente associato alla chiamata API Kubernetes. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio kubectl.

    • API: l'API Kubernetes chiamata da username all'interno del cluster Amazon EKS.

    • Informazioni ASN: le informazioni ASN, come Organizzazione e ISP, associate all'indirizzo IP dell'utente che effettua questa chiamata.

    • Giorno della settimana: il giorno della settimana in cui è stata effettuata la chiamata API Kubernetes.

    • Autorizzazione: il verbo e la risorsa Kubernetes di cui viene verificata l'accesso per indicare se possono utilizzare o meno l'usernameAPI Kubernetes.

    • Nome dell'account di servizio: l'account di servizio associato al carico di lavoro Kubernetes che fornisce un'identità al carico di lavoro.

    • Registro: il registro del contenitore associato all'immagine del contenitore che viene distribuito nel carico di lavoro Kubernetes.

    • Immagine: l'immagine del contenitore, senza i tag e il digest associati, che viene distribuita nel carico di lavoro Kubernetes.

    • Image Prefix Config: il prefisso dell'immagine con la configurazione di sicurezza del contenitore e del carico di lavoro abilitata, ad esempio hostNetwork privileged o, per il contenitore che utilizza l'immagine.

    • Nome del soggetto: i soggetti, ad esempio a usergroup, o serviceAccountName che sono associati a un ruolo di riferimento in un o. RoleBinding ClusterRoleBinding

    • Nome del ruolo: il nome del ruolo coinvolto nella creazione o nella modifica dei ruoli o dell'roleBindingAPI.

Anomalie basate sul volume S3

Questa sezione descrive in dettaglio le informazioni contestuali per le anomalie basate sul volume S3. L'esito basato sul volume (Exfiltration:S3/AnomalousBehavior) monitora il numero insolito di chiamate API S3 effettuate dagli utenti ai bucket S3, indicando una potenziale esfiltrazione di dati. Le seguenti chiamate API S3 vengono monitorate per rilevare eventuali anomalie basate sul volume.

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

Le metriche seguenti possono essere utili per creare una linea di base del comportamento abituale quando un'entità IAM accede a un bucket S3. Per identificare un'eventuale esfiltrazione di dati, l'esito del rilevamento delle anomalie basato sul volume valuta tutte le attività rispetto alla consueta linea di base comportamentale. Scegli Comportamento storico nelle sezioni Comportamento insolito (identità utente), Volume osservato (identità utente) e Volume osservato (Bucket) per visualizzare rispettivamente le metriche seguenti.

  • Numero di chiamate API s3-api-name richiamate dall'utente o dal ruolo IAM (in base a quello emesso) associate al bucket S3 interessato nelle ultime 24 ore.

  • Numero di chiamate API s3-api-name richiamate dall'utente o dal ruolo IAM (in base a quello emesso) associate a tutti i bucket S3 interessati nelle ultime 24 ore.

  • Numero di chiamate API s3-api-name su tutti gli utenti o ruoli IAM (in base a quelli emesso) associate al bucket S3 interessato nelle ultime 24 ore.

Anomalie basate sull'attività di accesso RDS

Questa sezione descrive in dettaglio il conteggio dei tentativi di accesso eseguiti dall'attore insolito ed è raggruppata in base al risultato dei tentativi di accesso. Tipi di esiti della Protezione RDS identifica comportamenti anomali monitorando gli eventi di accesso alla ricerca di schemi insoliti di successfulLoginCount, failedLoginCount e incompleteConnectionCount.

  • successfulLoginCount— Questo contatore rappresenta la somma delle connessioni riuscite (combinazione corretta di attributi di accesso) effettuate all'istanza del database dall'attore insolito. Gli attributi di accesso includono nome utente, password e nome del database.

  • failedLoginCount— Questo contatore rappresenta la somma dei tentativi di accesso falliti (non riusciti) effettuati per stabilire una connessione all'istanza del database. Ciò indica che uno o più attributi della combinazione di accesso, ad esempio nome utente, password o nome del database, erano errati.

  • incompleteConnectionCount— Questo contatore rappresenta il numero di tentativi di connessione che non possono essere classificati come riusciti o falliti. Queste connessioni vengono chiuse prima che il database fornisca una risposta. Ad esempio, la scansione delle porte viene effettuata dove è connessa la porta del database, ma al database non viene inviata alcuna informazione oppure la connessione è stata interrotta prima del completamento di un tentativo di accesso riuscito o fallito.