Dettagli degli esiti - Amazon GuardDuty
Panoramica degli esitiRisorsaDettagli del reperimento della sequenza di attaccoRDSdettagli dell'utente del database (DB)Dettagli relativi ai risultati di Runtime MonEBSdettagli di scansione dei volumiProtezione da malware per la EC2 ricerca di dettagliInformazioni sulla ricerca di Malware Protection for S3AzioneAttore o destinazioneDettagli sulla geolocalizzazioneInformazioni aggiuntiveEvidenzaComportamento anomalo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dettagli degli esiti

Nella GuardDuty console Amazon, puoi visualizzare i dettagli della ricerca nella sezione di riepilogo dei risultati. I dettagli degli esiti variano in base al tipo di esito.

Esistono due dettagli principali che determinano il tipo di informazioni disponibili per qualsiasi esito. Il primo è il tipo di risorsa, che può essere InstanceAccessKey,S3Bucket,S3Object,Kubernetes cluster,ECS cluster,Container,RDSDBInstance,RDSLimitlessDB, oLambda. Il secondo dettaglio che determina le informazioni sull'esito è Ruolo risorsa. Il ruolo della risorsa può essereTarget, il che significa che la risorsa è stata oggetto di attività sospette. Per gli esiti del tipo istanza, il ruolo risorsa può anche essere Actor, che indica che la risorsa è stata l'attore che svolgeva attività sospette. In questo argomento vengono descritti alcuni dei dettagli degli esiti comunemente disponibili. Per GuardDuty Tipi di risultati del monitoraggio del runtime eProtezione da malware per tipo di ricerca S3, il ruolo della risorsa non è popolato.

Panoramica degli esiti

La sezione Panoramica di un esito ne contiene le caratteristiche identificative di base, incluse le informazioni seguenti:

  • ID account: l'ID dell' AWS account in cui si è svolta l'attività che ha richiesto la generazione GuardDuty di questo risultato.

  • Conteggio: il numero di volte in cui GuardDuty è stata aggregata un'attività che corrisponde a questo schema a questo risultato ID.

  • Ora creazione: la data e l'ora di creazione di questo esito. Se questo valore è diverso da Ora aggiornamento significa che l'attività si è verificata più volte e si tratta di un problema in corso.

    Nota

    I timestamp dei risultati nella GuardDuty console vengono visualizzati nel fuso orario locale, mentre le JSON esportazioni e gli CLI output visualizzano i timestamp in. UTC

  • ID risultato: un identificatore univoco per questo tipo di esito e insieme di parametri. Le nuove occorrenze di attività corrispondenti a questo modello verranno aggregate allo stesso ID.

  • Tipo di esito: una stringa formattata che rappresenta il tipo di attività che ha attivato l'esito. Per ulteriori informazioni, consulta GuardDuty formato di ricerca.

  • Regione: la AWS regione in cui è stato generato il risultato. Per ulteriori informazioni sulle regioni supportate, consulta Regioni ed endpoint.

  • ID risorsa: l'ID della AWS risorsa in base alla quale si è svolta l'attività che ha portato GuardDuty alla generazione del risultato.

  • Scan ID: applicabile ai risultati quando GuardDuty Malware Protection for EC2 è abilitata, si tratta di un identificatore della scansione antimalware eseguita sui EBS volumi collegati al carico di lavoro dell'EC2istanza o del container potenzialmente compromessi. Per ulteriori informazioni, consulta Protezione da malware per la EC2 ricerca di dettagli.

  • Severità: a un risultato viene assegnato un livello di gravità che può essere Critico, Alto, Medio o Basso. Per ulteriori informazioni, consulta Livelli di gravità dei risultati.

  • Aggiornato il: l'ultima volta che questo risultato è stato aggiornato con una nuova attività corrispondente allo schema che ha portato GuardDuty alla generazione di questo risultato.

Risorsa

La risorsa interessata fornisce dettagli sulla AWS risorsa presa di mira dall'attività iniziale. Le informazioni disponibili variano in base al tipo di risorsa e al tipo di operazione.

Ruolo della risorsa: il ruolo della AWS risorsa che ha avviato la ricerca. Questo valore può essere TARGETo ACTORe indica se la risorsa era l'obiettivo dell'attività sospetta o l'attore che ha eseguito l'attività sospetta.

Tipo di risorsa: il tipo di risorsa interessata. Un esito può includere diversi tipi di risorse se sono state coinvolte più risorse. I tipi di risorse sono Instance AccessKey, S3Bucket, S3Object,, KubernetesClusterECSCluster, RDSDBInstanceContainer e Lambda. RDSLimitlessDB A seconda del tipo di risorsa sono disponibili diversi dettagli degli esiti. Seleziona una scheda delle opzioni di risorsa per scoprire i dettagli disponibili per la risorsa interessata.

Instance

Dettagli dell'istanza:

Nota

Alcuni dettagli dell'istanza potrebbero mancare se l'istanza è già stata interrotta o se la API chiamata sottostante ha avuto origine da un'EC2istanza in una regione diversa durante una chiamata interregionale. API

  • ID istanza: l'ID dell'EC2istanza coinvolta nell'attività che ha richiesto GuardDuty la generazione del risultato.

  • Tipo di istanza: il tipo di EC2 istanza coinvolta nel risultato.

  • Ora di avvio: la data e l'ora in cui l'istanza è stata avviata.

  • Outpost ARN: il nome della risorsa Amazon (ARN) di AWS Outposts. Applicabile solo alle AWS Outposts istanze. Per ulteriori informazioni, consulta Cos'è AWS Outposts? nella Guida per l'utente degli scaffali Outposts.

  • Nome del gruppo di sicurezza: il nome del gruppo di sicurezza collegato all'istanza interessata.

  • ID gruppo di sicurezza: l'ID del gruppo di sicurezza collegato all'istanza interessata.

  • Stato dell'istanza: lo stato attuale dell'istanza di destinazione.

  • Zona di disponibilità: la zona di disponibilità della regione AWS in cui si trova l'istanza coinvolta.

  • ID immagine: l'ID dell'Amazon Machine Image utilizzato per creare l'istanza coinvolta nell'attività.

  • Descrizione immagine: una descrizione dell'ID dell'Amazon Machine Image utilizzato per creare l'istanza coinvolta nell'attività.

  • Tag: un elenco di tag collegati a questa risorsa elencati nel formato key:value.

AccessKey

Dettagli chiave di accesso:

  • ID chiave di accesso: l'ID della chiave di accesso dell'utente impegnato nell'attività che ha portato GuardDuty alla generazione del risultato.

  • ID principale: l'ID principale dell'utente impegnato nell'attività che ha richiesto GuardDuty la generazione del risultato.

  • Tipo di utente: il tipo di utente impegnato nell'attività che ha richiesto GuardDuty la generazione del risultato. Per ulteriori informazioni, consulta CloudTrail userIdentity element.

  • Nome utente: il nome dell'utente impegnato nell'attività che ha portato GuardDuty alla generazione del risultato.

S3Bucket

Dettagli bucket Amazon S3:

  • Nome: il nome del bucket coinvolto nell'esito.

  • ARN— Il contenuto ARN del secchio utilizzato per il ritrovamento.

  • Proprietario: l'ID utente canonico dell'utente proprietario del bucket coinvolto nell'esito. Per ulteriori informazioni sugli utenti canonici, IDs consulta AWS gli identificatori dell'account.

  • Tipo: il tipo di esito del bucket può essere Destinazione o Origine.

  • Crittografia lato server predefinita: i dettagli di crittografia per il bucket.

  • Tag bucket: un elenco dei tag collegati a questa risorsa, elencati nel formato di key:value.

  • Autorizzazioni valide: una valutazione di tutte le autorizzazioni e le policy valide nel bucket che indica se il bucket interessato è esposto pubblicamente. I valori possono essere Pubblico o Non pubblico.

S3Object

  • Dettagli dell'oggetto S3: include le seguenti informazioni sull'oggetto S3 scansionato:

    • ARN— Amazon Resource Name (ARN) dell'oggetto S3 scansionato.

    • Chiave: il nome assegnato al file quando è stato creato nel bucket S3.

    • ID versione: se hai abilitato il controllo delle versioni del bucket, questo campo indica l'ID della versione associato all'ultima versione dell'oggetto S3 scansionato. Per ulteriori informazioni, consulta Using versioning in bucket S3 nella Amazon S3 User Guide.

    • eTag— Rappresenta la versione specifica dell'oggetto S3 scansionato.

    • Hash: hash della minaccia rilevata in questo risultato.

  • Dettagli sul bucket S3: include le seguenti informazioni sul bucket Amazon S3 associato all'oggetto S3 scansionato:

    • Nome: indica il nome del bucket S3 che contiene l'oggetto.

    • ARN— Amazon Resource Name (ARN) del bucket S3.

  • Proprietario: ID canonico del proprietario del bucket S3.

EKSCluster

Dettagli del cluster Kubernetes:

  • Nome: il nome del cluster Kubernetes.

  • ARN— Il ARN che identifica il cluster.

  • Ora creazione: la data e l'ora di creazione di questo cluster.

    Nota

    I timestamp dei risultati nella GuardDuty console vengono visualizzati nel fuso orario locale, mentre le JSON esportazioni e gli CLI output visualizzano i timestamp in. UTC

  • VPCID: l'ID di VPC che è associato al cluster.

  • Stato: lo stato attuale del cluster.

  • Tag: i metadati applicati al cluster utili per catalogarli e organizzarli. Ciascun tag è formato da una chiave e da un valore facoltativo, elencati nel formato key:value. Puoi definire sia la chiave che il valore.

    I tag del cluster non si propagano ad altre risorse associate al cluster.

Dettagli del carico di lavoro Kubernetes:

  • Tipo: il tipo di carico di lavoro Kubernetes, ad esempio pod, implementazione e processo.

  • Nome: il nome del carico di lavoro Kubernetes.

  • Uid: l'ID univoco del carico di lavoro Kubernetes.

  • Ora creazione: la data e l'ora di creazione di questo carico di lavoro.

  • Etichette: le coppie chiave-valore collegate al carico di lavoro Kubernetes.

  • Container: i dettagli del container in esecuzione come parte del carico di lavoro Kubernetes.

  • Spazio dei nomi: il carico di lavoro appartiene a questo spazio dei nomi Kubernetes.

  • Volumi: i volumi utilizzati dal carico di lavoro Kubernetes.

    • Percorso host: rappresenta un file o una directory preesistente sulla macchina host a cui è mappato il volume.

    • Nome: il nome del volume.

  • Contesto di sicurezza del pod: definisce i privilegi e le impostazioni di controllo degli accessi per tutti i container in un pod.

  • Rete host: impostata su true se i pod sono inclusi nel carico di lavoro Kubernetes.

Dettagli utente Kubernetes:

  • Gruppi: gruppi Kubernetes RBAC (controllo basato sull'accesso ai ruoli) dell'utente coinvolto nell'attività che ha generato il risultato.

  • ID: l'ID univoco dell'utente Kubernetes.

  • Nome utente: nome dell'utente Kubernetes coinvolto nell'attività che ha generato l'esito.

  • Nome sessione: entità che ha assunto il ruolo con le autorizzazioni KubernetesIAM. RBAC

ECSCluster

ECSdettagli del cluster:

  • ARN— Il ARN che identifica il cluster.

  • Nome: il nome del cluster.

  • Stato: lo stato attuale del cluster.

  • Numero di servizi attivi: il numero dei servizi in esecuzione sul cluster con stato ACTIVE. È possibile visualizzare questi servizi con ListServices

  • Numero di istanze di container registrate: il numero delle istanze di container registrate nel cluster, incluse sia le istanza di container con stato ACTIVE che quelle con stato DRAINING.

  • Numero di attività in esecuzione: il numero di attività con stato RUNNING nel cluster.

  • Tag: i metadati applicati al cluster utili per catalogarli e organizzarli. Ciascun tag è formato da una chiave e da un valore facoltativo, elencati nel formato key:value. Puoi definire sia la chiave che il valore.

  • Container: i dettagli sul container associato all'attività.

    • Nome container: il nome del container.

    • Immagine del container: l'immagine del container.

  • Dettagli dell'attività: i dettagli di un'attività in un cluster.

    • ARN— L'Amazon Resource Name (ARN) dell'attività.

    • Definizione ARN: Amazon Resource Name (ARN) della definizione dell'attività che crea l'attività.

    • Versione: il contatore delle versioni per l'attività.

    • Ora creazione attività: il timestamp Unix al momento della creazione dell'attività.

    • Ora inizio attività: il timestamp Unix all'inizio dell'attività.

    • Attività iniziata da: il tag specificato all'avvio di un'attività.

Container

Dettagli container:

  • Runtime del container: il runtime del container (ad esempio docker o containerd) utilizzato per eseguire il container.

  • ID: l'ID dell'istanza del contenitore o ARN le voci complete per l'istanza del contenitore.

  • Nome: il nome del container.

  • Immagine: l'immagine dell'istanza di container.

  • Montaggi volume: elenco dei montaggi del volume del container. Un container può montare un volume nel proprio file system.

  • Contesto di sicurezza: il contesto di sicurezza del container definisce i privilegi e le impostazioni di controllo degli accessi per un container.

  • Dettagli del processo: descrive i dettagli del processo associato all'esito.

RDSDBInstance

RDSDBInstancedettagli:

Nota

Questa risorsa è disponibile nei risultati di RDS protezione relativi all'istanza del database.

  • ID dell'istanza del database: l'identificatore associato all'istanza di database coinvolta nel GuardDuty risultato.

  • Motore: il nome del motore di database dell'istanza di database coinvolta nell'esito. I valori possibili sono Aurora My SQL -Compatible o Aurora Postgre -Compatible. SQL

  • Versione del motore: la versione del motore di database coinvolta nella ricerca. GuardDuty

  • ID del cluster di database: l'identificatore del cluster di database che contiene l'ID dell'istanza di database coinvolta nel GuardDuty risultato.

  • Istanza di database ARN: ARN identifica l'istanza di database coinvolta nel GuardDuty risultato.

RDSLimitlessDB

RDSLimitlessDBdettagli:

Questa risorsa è disponibile nei risultati di RDS protezione relativi alla versione del motore supportata di Limitless Database.

  • Identificatore del gruppo di shard DB: il nome associato al gruppo di shard DB Limitless.

  • ID di risorsa del gruppo di shard DB: l'identificatore di risorsa del gruppo di shard DB all'interno del DB Limitless.

  • Gruppo di shard DB ARN: Amazon Resource Name (ARN) che identifica il gruppo di shard DB.

  • Motore: l'identificatore del DB Limitless coinvolto nel risultato.

  • Versione del motore: la versione del motore Limitless DB.

  • Identificatore del cluster DB: il nome del cluster di database che fa parte del DB Limitless.

Per informazioni sui dettagli relativi all'utente e all'autenticazione del database potenzialmente interessato, vedere. RDSdettagli dell'utente del database (DB)

Lambda
Dettagli della funzione Lambda

  • Nome funzione: il nome della funzione Lambda coinvolta nell'esito.

  • Versione della funzione: la versione della funzione Lambda coinvolta nell'esito.

  • Descrizione della funzione: una descrizione della funzione Lambda coinvolta nell'esito.

  • Funzione ARN: Amazon Resource Name (ARN) della funzione Lambda coinvolta nella ricerca.

  • ID revisione: l'ID di revisione della versione della funzione Lambda.

  • Ruolo: il ruolo di esecuzione della funzione Lambda coinvolta nell'esito.

  • VPCconfigurazione: la VPC configurazione di Amazon, inclusi l'VPCID, il gruppo di sicurezza e la sottorete IDs associati alla funzione Lambda.

    • VPCID: l'ID di Amazon VPC associato alla funzione Lambda coinvolta nella ricerca.

    • Subnet IDs: l'ID delle sottoreti associate alla funzione Lambda.

    • Gruppo di sicurezza: il gruppo di sicurezza collegato alla funzione Lambda coinvolta. Sono inclusi il nome e l'ID del gruppo di sicurezza.

  • Tag: un elenco di tag collegati a questa risorsa, elencati nel formato della coppia key:value.

Dettagli sulla ricerca della sequenza di attacco

GuardDuty fornisce dettagli per ogni risultato generato nel tuo account. Questi dettagli ti aiutano a comprendere i motivi alla base della scoperta. Questa sezione si concentra sui dettagli associati atipi di ricerca delle sequenze di attacco. Ciò include informazioni quali le risorse potenzialmente interessate, la cronologia degli eventi, gli indicatori, i segnali e gli endpoint coinvolti nella scoperta.

Per visualizzare i dettagli associati ai segnali considerati GuardDuty risultati, consulta le sezioni associate in questa pagina.

Nella GuardDuty console, quando selezioni la ricerca di una sequenza di attacco, il pannello laterale dei dettagli è suddiviso nelle seguenti schede:

  • Panoramica: fornisce una visione compatta dei dettagli della sequenza di attacco, inclusi segnali, MITRE tattiche e risorse potenzialmente interessate.

  • Segnali: visualizza una sequenza temporale degli eventi coinvolti in una sequenza di attacco.

  • Risorse: fornisce informazioni sulle risorse potenzialmente interessate o sulle risorse potenzialmente a rischio.

L'elenco seguente fornisce le descrizioni associate ai dettagli di ricerca della sequenza di attacco.

Segnali

Un segnale potrebbe essere un'APIattività o un risultato GuardDuty utilizzato per rilevare una sequenza di attacco. GuardDuty considera i segnali deboli che non si presentano come una minaccia evidente, li mette insieme e li mette in correlazione con i risultati generati individualmente. Per un contesto più approfondito, la scheda Segnali fornisce una cronologia dei segnali, come osservato da GuardDuty.

Ogni segnale, che è un GuardDuty risultato, ha il proprio livello di gravità e il proprio valore assegnati. Nella GuardDuty console, è possibile selezionare ogni segnale per visualizzare i dettagli associati.

Attori

Fornisce dettagli sugli attori della minaccia in una sequenza di attacco. Per ulteriori informazioni, consulta Actor in Amazon GuardDuty API Reference.

Endpoints

Fornisce dettagli sugli endpoint di rete utilizzati in questa sequenza di attacco. Per ulteriori informazioni, consulta NetworkEndpointAmazon GuardDuty API Reference. Per informazioni su come GuardDuty determina la posizione, consultaDettagli sulla geolocalizzazione.

Indicatori

Include i dati osservati che corrispondono allo schema di un problema di sicurezza. Questi dati specificano il motivo per cui GuardDuty esiste un'indicazione di un'attività potenzialmente sospetta. Ad esempio, se il nome dell'indicatore èHIGH_RISK_API, indica un'azione comunemente utilizzata dagli autori delle minacce o un'azione sensibile che può avere un impatto potenziale su di esse Account AWS, come l'accesso alle credenziali o la modifica di una risorsa.

La tabella seguente include un elenco di potenziali indicatori e le relative descrizioni:

Nome dell'indicatore Descrizione

SUSPICIOUS_USER_AGENT

Lo user agent è associato ad applicazioni sospette o sfruttate potenzialmente note, come client Amazon S3 e strumenti di attacco.

SUSPICIOUS_NETWORK

La rete è associata a punteggi di reputazione notoriamente bassi, come provider di reti private virtuali (VPN) rischiose e servizi proxy.

MALICIOUS_IP

L'indirizzo IP ha confermato che le informazioni sulle minacce indicano intenzioni dannose.

TOR_IP

L'indirizzo IP è associato a un nodo di uscita Tor.

HIGH_RISK_API

AWS APICiò include il Servizio AWS nome e eventName indica un'azione comunemente utilizzata dagli autori delle minacce, oppure è un'azione sensibile che può causare un potenziale impatto Account AWS, come l'accesso alle credenziali o la modifica delle risorse.

ATTACK_TACTIC

Le MITRE tattiche, come Discovery e Impact.

ATTACK_TECHNIQUE

La MITRE tecnica utilizzata dall'autore della minaccia in una sequenza di attacco. Gli esempi includono l'accesso alle risorse e il loro utilizzo involontario e lo sfruttamento delle vulnerabilità.

UNUSUAL_API_FOR_ACCOUNT

Indica che AWS API è stato richiamato in modo anomalo, in base alla linea di base storica dell'account. Per ulteriori informazioni, consulta Comportamento anomalo.

UNUSUAL_ASN_FOR_ACCOUNT

Indica che l'Autonomous System Number (ASN) è stato identificato come anomalo, in base alla baseline storica dell'account. Per ulteriori informazioni, consulta Comportamento anomalo.

UNUSUAL_ASN_FOR_USER

Indica che l'Autonomous System Number (ASN) è stato identificato come anomalo, in base alla baseline storica dell'utente. Per ulteriori informazioni, consulta Comportamento anomalo.

MITREtattiche

Questo campo specifica le tattiche MITRE ATT &CK che l'autore della minaccia tenta attraverso una sequenza di attacco. GuardDuty utilizza il ACK framework MITREATT& che aggiunge contesto all'intera sequenza di attacco. I colori utilizzati dalla GuardDuty console per specificare gli scopi della minaccia utilizzati dall'autore della minaccia sono allineati ai colori che indicano il livello critico, alto, medio e bassoLivelli di gravità dei risultati.

Indicatori di rete

Gli indicatori includono una combinazione di valori degli indicatori di rete che spiegano perché una rete è indicativa di un comportamento sospetto. Questa sezione è applicabile solo quando l'Indicatore include SUSPICIOUS_NETWORK o. MALICIOUS_IP L'esempio seguente mostra come gli indicatori di rete potrebbero essere associati a un indicatore, dove:

  • AnyCompanyè un sistema autonomo (AS).

  • TUNNEL_VPNIS_ANONYMOUS, e ALLOWS_FREE_ACCESS sono gli indicatori di rete. 

...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...

La tabella seguente include i valori degli indicatori di rete e la loro descrizione. Questi tag vengono aggiunti in base alle informazioni sulle minacce GuardDuty raccolte da fonti come Spur

Valore dell'indicatore di rete Descrizione

TUNNEL_VPN

L'indirizzo di rete o IP è associato a un tipo di VPN tunnel. Si riferisce a un protocollo specifico che consente di stabilire una connessione sicura e crittografata tra due punti su una rete pubblica.

TUNNEL_PROXY

L'indirizzo di rete o IP è associato a un tipo di tunnel Proxy. Si riferisce a un protocollo specifico che consente di stabilire una connessione tramite un server proxy.

TUNNEL_RDP

La rete o l'indirizzo IP è associato all'utilizzo di un metodo di incapsulamento del traffico desktop remoto (RDP) all'interno di un altro protocollo per migliorare la sicurezza, aggirare le restrizioni di rete o consentire l'accesso remoto tramite firewall.

IS_ANONYMOUS

L'indirizzo di rete o IP è associato a un servizio anonimo o proxy noto. Ciò può indicare potenziali attività sospette nascoste dietro reti anonime.

KNOWN_THREAT_OPERATOR

La rete o l'indirizzo IP è associato a un provider di tunnel noto e rischioso. Ciò indica che è stata rilevata un'attività sospetta da un indirizzo IP collegato a un VPN proxy o ad altri servizi di tunneling utilizzati frequentemente per scopi dannosi.

ALLOWS_FREE_ACCESS

L'indirizzo di rete o IP è associato a un operatore di tunnel che consente l'accesso al suo servizio senza richiedere l'autenticazione o il pagamento. Potrebbe includere anche account di prova o esperienze di utilizzo limitate offerte da vari servizi online.

ALLOWS_CRYPTO

La rete o l'indirizzo IP è associato a un fornitore di tunnel (ad VPN esempio un servizio proxy) che accetta esclusivamente criptovalute o altre valute digitali come metodo di pagamento.

ALLOWS_TORRENTS

L'indirizzo di rete o IP è associato a servizi o piattaforme che consentono il traffico torrent. Tali servizi sono spesso associati al supporto e all'utilizzo di torrent e ad attività di elusione del copyright.

RISK_CALLBACK_PROXY

L'indirizzo di rete o IP è associato a dispositivi noti per indirizzare il traffico verso proxy residenziali, proxy di malware o altre reti di tipo proxy di callback. Ciò non implica che tutte le attività sulla rete siano correlate ai proxy, ma piuttosto che la rete abbia la capacità di instradare il traffico per conto di queste reti proxy.

RISK_GEO_MISMATCH

Questo indicatore suggerisce che il centro dati o la posizione di hosting di una rete sono diversi dalla posizione prevista degli utenti e dei dispositivi che la gestiscono. Se questo valore dell'indicatore non è presente, ciò non significa che non vi sia alcuna discrepanza. Potrebbe significare che i dati non sono sufficienti per confermare la discrepanza.

IS_SCANNER

La rete o l'indirizzo IP sono associati all'esecuzione di tentativi di accesso persistenti ai moduli Web.

RISK_WEB_SCRAPING

La rete di indirizzi IP è associata a client Web automatizzati e ad altre attività web programmatiche.

CLIENT_BEHAVIOR_FILE_SHARING

La rete o l'indirizzo IP sono associati al comportamento del client, indicativo delle attività di condivisione di file, come reti peer-to-peer (P2P) o protocolli di condivisione di file.

CATEGORY_COMMERCIAL_VPN

L'indirizzo di rete o IP è associato a un operatore di tunnel classificato come un tradizionale servizio di rete privata virtuale commerciale (VPN) che opera all'interno dello spazio del datacenter.

CATEGORY_FREE_VPN

L'indirizzo di rete o IP è associato a un operatore di tunnel classificato come servizio completamente gratuito. VPN

CATEGORY_RESIDENTIAL_PROXY

L'indirizzo di rete o IP è associato a un operatore di tunnel classificato come malware o servizio SDK proxy fornito da get-paid-to fonti di origine.

OPERATOR_XXX

Il nome del fornitore di servizi che gestisce questo tunnel.

RDSdettagli dell'utente del database (DB)

Nota

Questa sezione è applicabile ai risultati quando si abilita la funzionalità di RDS protezione in GuardDuty. Per ulteriori informazioni, consulta GuardDuty Protezione RDS.

La GuardDuty scoperta fornisce i seguenti dettagli relativi all'utente e all'autenticazione del database potenzialmente compromesso:

  • Utente: il nome utente utilizzato per effettuare il tentativo di accesso anomalo.

  • Applicazione: il nome dell'applicazione utilizzata per effettuare il tentativo di accesso anomalo.

  • Database: il nome dell'istanza di database coinvolta nel tentativo di accesso anomalo.

  • SSL— La versione del Secure Socket Layer (SSL) utilizzata per la rete.

  • Metodo di autenticazione: il metodo di autenticazione utilizzato dall'utente coinvolto nell'esito.

Per informazioni sulla risorsa potenzialmente compromessa, vedereRisorsa.

Dettagli relativi ai risultati di Runtime Mon

Nota

Questi dettagli possono essere disponibili solo se GuardDuty genera uno deiGuardDuty Tipi di risultati del monitoraggio del runtime.

Questa sezione contiene i dettagli del runtime, inclusi i dettagli del processo e qualsiasi contesto richiesto. I dettagli del processo descrivono le informazioni sul processo osservato e il contesto di runtime descrive qualsiasi informazione aggiuntiva sull'attività potenzialmente sospetta.

Dettagli del processo

  • Nome: il nome del processo.

  • Percorso eseguibile: il percorso assoluto del file eseguibile del processo.

  • Executable SHA -256: l'SHA256hash dell'eseguibile del processo.

  • Namespace PID: l'ID del processo in uno spazio dei PID nomi secondario diverso dallo spazio dei nomi a livello di host. PID Per i processi all'interno di un container, corrisponde all'ID processo osservabile nel container.

  • Directory di lavoro presente: la directory di lavoro presente del processo.

  • ID processo: l'ID che il sistema operativo assegna al processo.

  • startTime— L'ora in cui è iniziato il processo. È in formato stringa di UTC data (2023-03-22T19:37:20.168Z).

  • UUID— L'ID univoco assegnato al processo da GuardDuty.

  • Genitore UUID: l'ID univoco del processo principale. Questo ID viene assegnato al processo principale da GuardDuty.

  • Utente: l'utente che ha eseguito il processo.

  • ID utente: l'ID dell'utente che ha eseguito il processo.

  • ID utente effettivo: l'ID utente effettivo del processo al momento dell'evento.

  • Eredità: informazioni sugli antenati del processo.

    • ID processo: l'ID che il sistema operativo assegna al processo.

    • UUID— L'ID univoco assegnato al processo da GuardDuty.

    • Percorso eseguibile: il percorso assoluto del file eseguibile del processo.

    • ID utente effettivo: l'ID utente effettivo del processo al momento dell'evento.

    • Genitore UUID: l'ID univoco del processo principale. Questo ID viene assegnato al processo principale da GuardDuty.

    • Ora di inizio: l'ora in cui è iniziato il processo.

    • Namespace PID: l'ID del processo in uno spazio dei PID nomi secondario diverso dallo spazio dei nomi a livello di host. PID Per i processi all'interno di un container, corrisponde all'ID processo osservabile nel container.

    • ID utente: l'ID utente dell'utente che ha eseguito il processo.

    • Nome: il nome del processo.

Contesto di runtime

Un esito generato può includere, tra i campi seguenti, solo quelli pertinenti al tipo di esito.

  • Origine di montaggio: il percorso sull'host montato dal container.

  • Destinazione di montaggio: il percorso nel container mappato alla directory host.

  • Tipo di file system: rappresenta il tipo di file system montato.

  • Flag: rappresenta le opzioni che controllano il comportamento dell'evento coinvolto in questo esito.

  • Processo di modifica: informazioni sul processo che in fase di runtime ha creato o modificato un file binario, uno script o una libreria all'interno di un container.

  • Ora della modifica: il timestamp in cui il processo ha creato o modificato un file binario, uno script o una libreria all'interno di un container in fase di runtime. Questo campo è nel formato della stringa di data (). UTC 2023-03-22T19:37:20.168Z

  • Percorso libreria: il percorso della nuova libreria che è stata caricata.

  • Valore LD Preload: il valore della variabile di ambiente LD_PRELOAD.

  • Percorso socket: il percorso del socket Docker a cui è stato effettuato l'accesso.

  • Percorso binario runc: il percorso del file binario runc.

  • Percorso agente di rilascio: il percorso del file dell'agente di rilascio cgroup.

  • Esempio di riga di comando: l'esempio della riga di comando coinvolta nell'attività potenzialmente sospetta.

  • Categoria utensile: categoria a cui appartiene lo strumento. Alcuni esempi sono Backdoor Tool, Pentest Tool, Network Scanner e Network Sniffer.

  • Nome dello strumento: il nome dello strumento potenzialmente sospetto.

  • Percorso dello script: il percorso dello script eseguito che ha generato il risultato.

  • Threat File Path: il percorso sospetto per il quale sono stati trovati i dettagli di intelligence sulle minacce.

  • Nome del servizio: il nome del servizio di sicurezza che è stato disabilitato.

EBSdettagli di scansione dei volumi

Nota

Questa sezione è applicabile ai risultati rilevati quando si attiva la scansione antimalware GuardDuty avviata. Protezione da malware per EC2

La scansione EBS dei volumi fornisce dettagli sul EBS volume collegato al carico di lavoro dell'EC2istanza o del contenitore potenzialmente compromesso.

  • ID scansione: l'identificatore della scansione malware.

  • Ora inizio scansione: la data e l'ora di inizio della scansione malware.

  • Ora completamento scansione: la data e l'ora di completamento della scansione malware.

  • Trigger Finding ID: l'ID di ricerca del GuardDuty risultato che ha avviato questa scansione antimalware.

  • Fonti: i valori potenziali sono Bitdefender eAmazon.

    Per ulteriori informazioni sul motore di scansione utilizzato per rilevare il malware, vedereGuardDuty motore di scansione per il rilevamento di malware.

  • Rilevamenti scansione: la visualizzazione completa dei dettagli e degli esiti di ogni scansione malware.

    • Numero elementi scansionati: il numero totale di file scansionati. Fornisce dettagli come totalGb, files e volumes.

    • Numero elementi rilevati come minacce: il numero totale di files dannosi rilevati durante la scansione.

    • Dettagli sulla minaccia con gravità più alta: i dettagli sulla minaccia di gravità più alta rilevata durante la scansione e sul numero di file dannosi. Fornisce dettagli come severity, threatName e count.

    • Minacce rilevate per nome: l'elemento container che raggruppa le minacce di tutti i livelli di gravità. Fornisce dettagli come itemCount, uniqueThreatNameCount, shortened e threatNames.

Protezione da malware per la EC2 ricerca di dettagli

Nota

Questa sezione è applicabile ai risultati ottenuti quando si attiva la scansione antimalware GuardDuty avviata. Protezione da malware per EC2

Quando la EC2 scansione Malware Protection for Scan rileva un malware, puoi visualizzare i dettagli della scansione selezionando il risultato corrispondente nella pagina Findings della console. https://console.aws.amazon.com/guardduty/ La gravità della protezione antimalware da EC2 individuare dipende dalla gravità del GuardDuty rilevamento.

Le seguenti informazioni sono disponibili nella sezione Minacce rilevate nel pannello dei dettagli.

  • Nome: il nome della minaccia, ottenuto raggruppando i file in base al rilevamento.

  • Gravità: la gravità della minaccia rilevata.

  • Hash: il SHA -256 del file.

  • Percorso del file: la posizione del file dannoso nel EBS volume.

  • Nome file: il nome del file in cui è stata rilevata la minaccia.

  • Volume ARN: ARN i EBS volumi scansionati.

Le seguenti informazioni sono disponibili nella sezione Dettagli della scansione malware nel pannello dei dettagli.

  • ID scansione: l'ID di scansione della scansione malware.

  • Ora inizio scansione: la data e l'ora di inizio della scansione.

  • Ora completamento scansione: la data e l'ora di completamento della scansione.

  • File scansionati: il numero totale di file e directory scansionati.

  • GB totali scansionati: la quantità di spazio di archiviazione scansionato durante il processo.

  • Trigger finding ID: l'ID di ricerca del GuardDuty risultato che ha avviato questa scansione antimalware.

  • Le seguenti informazioni sono disponibili nella sezione Dettagli del volume nel pannello dei dettagli.

    • Volume ARN: il nome della risorsa Amazon (ARN) del volume.

    • Istantanea ARN: ARN l'istantanea del EBS volume.

    • Stato: lo stato della scansione del volume, ad esempio, Running, Skipped e Completed.

    • Tipo di crittografia: il tipo di crittografia utilizzato per crittografare il volume. Ad esempio CMCMK.

    • Nome dispositivo: il nome del dispositivo. Ad esempio /dev/xvda.

Informazioni sulla ricerca di Malware Protection for S3

I seguenti dettagli di scansione antimalware sono disponibili quando attivi GuardDuty sia Malware Protection for S3 su: Account AWS

  • Minacce: un elenco di minacce rilevate durante la scansione del malware.

    Molteplici minacce potenziali nei file di archivio

    Se hai un file di archivio contenente potenzialmente più minacce, Malware Protection for S3 segnala solo la prima minaccia rilevata. Dopodiché, lo stato della scansione viene contrassegnato come completo. GuardDuty genera il tipo di ricerca associato e invia anche EventBridge gli eventi che genera. Per ulteriori informazioni sul monitoraggio delle scansioni di oggetti Amazon S3 utilizzando gli EventBridge eventi, consulta lo schema di notifica di esempio per THREATS _ in. FOUND Risultato della scansione degli oggetti S3

  • Percorso dell'elemento: un elenco del percorso dell'elemento annidato e dei dettagli hash dell'oggetto S3 scansionato.

    • Percorso dell'elemento annidato: percorso dell'elemento dell'oggetto S3 scansionato in cui è stata rilevata la minaccia.

      Il valore di questo campo è disponibile solo se l'oggetto di primo livello è un archivio e se la minaccia viene rilevata all'interno di un archivio.

    • Hash: hash della minaccia rilevata in questo risultato.

  • Fonti: i valori potenziali sono Bitdefender e. Amazon

    Per ulteriori informazioni sul motore di scansione utilizzato per rilevare il malware, vedereGuardDuty motore di scansione per il rilevamento di malware.

Azione

L'Operazione di un esito fornisce dettagli sul tipo di attività che l'ha attivato. Le informazioni disponibili variano in base al tipo di operazione.

Tipo di operazione: il tipo di attività dell'esito. Questo valore può essere NETWORK_ CONNECTION, PORT_ PROBE, DNS_ REQUESTCALL, AWS_API_ o RDS_ LOGIN _ ATTEMPT. Le informazioni disponibili variano in base al tipo di operazione:

  • NETWORK_ CONNECTION — Indica che il traffico di rete è stato scambiato tra l'EC2istanza identificata e l'host remoto. Questo tipo di operazione include le seguenti informazioni aggiuntive:

    • Direzione della connessione: la direzione della connessione di rete osservata nell'attività che ha richiesto GuardDuty la generazione del risultato. Può essere uno dei seguenti valori:

      • INBOUND— Indica che un host remoto ha avviato una connessione a una porta locale sull'EC2istanza identificata nell'account.

      • OUTBOUND— Indica che l'EC2istanza identificata ha avviato una connessione a un host remoto.

      • UNKNOWN— Indica che non è GuardDuty stato possibile determinare la direzione della connessione.

    • Protocollo: il protocollo di connessione di rete osservato nell'attività che ha richiesto GuardDuty la generazione del risultato.

    • IP locale: il primo indirizzo IP di origine del traffico che ha attivato l'esito. Queste informazioni possono essere utilizzate per distinguere tra indirizzo IP di un livello intermedio su cui fluisce il traffico e il primo indirizzo IP di origine del traffico. Ad esempio, l'indirizzo IP di un EKS pod rispetto all'indirizzo IP dell'istanza su cui il EKS pod è in esecuzione.

    • Bloccata: indica se la porta di destinazione è bloccata.

  • PORT_ PROBE — Indica che un host remoto ha sondato l'EC2istanza identificata su più porte aperte. Questo tipo di operazione include le seguenti informazioni aggiuntive:

    • IP locale: il primo indirizzo IP di origine del traffico che ha attivato l'esito. Queste informazioni possono essere utilizzate per distinguere tra indirizzo IP di un livello intermedio su cui fluisce il traffico e il primo indirizzo IP di origine del traffico. Ad esempio, l'indirizzo IP di un EKS pod rispetto all'indirizzo IP dell'istanza su cui il EKS pod è in esecuzione.

    • Bloccata: indica se la porta di destinazione è bloccata.

  • DNS_ REQUEST — Indica che l'EC2istanza identificata ha richiesto un nome di dominio. Questo tipo di operazione include le seguenti informazioni aggiuntive:

    • Protocollo: il protocollo di connessione di rete osservato nell'attività che ha richiesto la generazione del GuardDuty risultato.

    • Bloccata: indica se la porta di destinazione è bloccata.

  • AWS_API_ CALL — Indica che AWS API è stato richiamato un. Questo tipo di operazione include le seguenti informazioni aggiuntive:

    • API— Il nome dell'APIoperazione che è stata richiamata e quindi richiesta GuardDuty per generare questo risultato.

      Nota

      Queste operazioni possono includere anche API eventi diversi da. AWS CloudTrail Per ulteriori informazioni, vedere APIEventi non acquisiti da CloudTrail.

    • Agente utente: l'agente utente che ha effettuato la API richiesta. Questo valore indica se la chiamata è stata effettuata da AWS Management Console, un AWS servizio, da o da AWS CLI. AWS SDKs

    • ERRORCODE— Se il risultato è stato attivato da una API chiamata fallita, viene visualizzato il codice di errore relativo a quella chiamata.

    • Nome del servizio: il DNS nome del servizio che ha tentato di effettuare la API chiamata che ha attivato il risultato.

  • RDS_ LOGIN _ ATTEMPT — Indica che è stato effettuato un tentativo di accesso al database potenzialmente compromesso da un indirizzo IP remoto.

    • Indirizzo IP: l'indirizzo IP remoto utilizzato per effettuare il tentativo di accesso potenzialmente sospetto.

Attore o destinazione

Un esito ha una sezione Attore se il Ruolo risorsa era TARGET. Ciò indica che la risorsa è stata la destinazione di attività sospette e la sezione Attore contiene dettagli sull'entità che ha scelto come destinazione la risorsa.

Un esito ha una sezione Destinazione se il Ruolo risorsa era ACTOR. Ciò indica che la risorsa è stata coinvolta in attività sospette nei confronti di un host remoto e questa sezione contiene informazioni sull'IP o sul dominio di destinazione della risorsa.

Le informazioni disponibili nella sezione Attore o Destinazione possono includere quanto segue:

  • Affiliato: indica se l' AWS account del API chiamante remoto è correlato all'ambiente in uso. GuardDuty Se questo valore ètrue, il API chiamante è in qualche modo affiliato all'account dell'utente; in caso contrariofalse, proviene da un ambiente API esterno all'utente.

  • ID account remoto: l'ID dell'account proprietario dell'indirizzo IP in uscita utilizzato per accedere alla risorsa sulla rete finale.

  • Indirizzo IP: l'indirizzo IP coinvolto nell'attività che ha richiesto GuardDuty la generazione del risultato.

  • Posizione: informazioni sulla posizione dell'indirizzo IP coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Organizzazione: informazioni sull'ISPorganizzazione dell'indirizzo IP coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Porta: il numero di porta coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Dominio: il dominio coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Dominio con suffisso: il dominio di secondo e primo livello coinvolto in un'attività che potenzialmente ha richiesto GuardDuty la generazione del risultato. Per un elenco dei domini di primo e secondo livello, consulta l'elenco dei suffissi pubblici.

Dettagli sulla geolocalizzazione

GuardDuty determina la posizione e la rete delle richieste utilizzando i database MaxMind GeoIP. MaxMind riporta un'accuratezza molto elevata dei propri dati a livello nazionale, sebbene la precisione vari in base a fattori quali il paese e il tipo di indirizzo IP. Per ulteriori informazioni su MaxMind, consulta la sezione Geolocalizzazione MaxMind IP. Se ritieni che uno qualsiasi dei dati GeoIP sia errato, invia una richiesta di MaxMindcorrezione MaxMind a Correct Geo IP2 Data.

Informazioni aggiuntive

Tutti gli esiti hanno una sezione Informazioni aggiuntive che può includere le informazioni seguenti:

  • Nome dell'elenco delle minacce: il nome dell'elenco delle minacce che include l'indirizzo IP o il nome di dominio coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Esempio: un valore vero o falso che indica se si tratta di un esito di esempio.

  • Archiviato: un valore vero o falso che indica se l'esito è stato archiviato.

  • Insolito: dettagli dell'attività che non sono stati osservati in precedenza. Questi possono includere un utente insolito (non osservato in precedenza), la posizione, l'ora, il bucket, il comportamento di accesso o ASN l'organizzazione.

  • Protocollo insolito: il protocollo di connessione di rete coinvolto nell'attività che ha portato GuardDuty alla generazione del risultato.

  • Dettagli dell'agente: dettagli sul security agent attualmente distribuito nel EKS cluster del tuo. Account AWS Questo è applicabile solo ai tipi di risultati di EKS Runtime Monitoring.

    • Versione dell'agente: la versione del GuardDuty security agent.

    • ID agente: l'identificatore univoco del GuardDuty security agent.

Evidenza

Gli esiti basati sull'intelligence sulle minacce hanno una sezione Evidenza che include le informazioni seguenti:

  • Dettagli di intelligence sulle minacce: il nome dell'elenco delle minacce in cui Threat name compaiono le minacce riconosciute.

  • Nome della minaccia: il nome della famiglia di malware o altro identificatore associato alla minaccia.

  • File di minaccia SHA256: SHA256 del file che ha generato la scoperta.

Comportamento anomalo

I tipi di risultati che terminano con AnomalousBehaviorindicano che il risultato è stato generato dal modello di apprendimento automatico per il rilevamento delle GuardDuty anomalie (ML). Il modello ML valuta tutte le API richieste inviate all'account e identifica gli eventi anomali associati alle tattiche utilizzate dagli avversari. Il modello ML tiene traccia di vari fattori della API richiesta, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e lo specifico richiesto. API

I dettagli su quali fattori della API richiesta sono insoliti per l'identità CloudTrail dell'utente che ha richiamato la richiesta sono disponibili nei dettagli del risultato. Le identità sono definite dall' CloudTrail userIdentity Elemento e i valori possibili sono:Root,,IAMUser, AssumedRole FederatedUserAWSAccount, o. AWSService

Oltre ai dettagli disponibili per tutti i GuardDuty risultati associati all'APIattività, AnomalousBehaviori risultati hanno dettagli aggiuntivi descritti nella sezione seguente. Questi dettagli possono essere visualizzati nella console e sono disponibili anche nei risultati. JSON

  • Anomala APIs: un elenco di API richieste che sono state richiamate dall'identità dell'utente in prossimità della API richiesta principale associata al risultato. Questo riquadro suddivide ulteriormente i dettagli dell'APIevento nei seguenti modi.

    • La prima API elencata è la principaleAPI, ovvero la API richiesta associata all'attività osservata con il rischio più elevato. Questa è API quella che ha innescato la scoperta ed è correlata alla fase di attacco del tipo di scoperta. Questa è anche API la descrizione dettagliata nella sezione Azione della console e nei risultati. JSON

    • Tutte le altre identità APIs elencate sono ulteriori anomale APIs rispetto all'identità utente elencata osservata in prossimità della principale. API Se ce n'è solo una API nell'elenco, il modello ML non ha identificato come anomale alcuna API richiesta aggiuntiva proveniente da quell'identità utente.

    • L'elenco di APIs viene suddiviso in base al fatto che una chiamata sia API stata effettuata correttamente o che non sia API stata chiamata con successo, il che significa che è stata ricevuta una risposta di errore. Il tipo di risposta di errore ricevuta è elencato sopra ogni chiamata non riuscita. API I possibili tipi di risposta di errore sono: access denied, access denied exception, auth failure, instance limit exceeded, invalid permission - duplicate, invalid permission - not found e operation not permitted.

    • APIssono classificati in base al servizio associato.

    • Per maggiori informazioni, scegli Cronologico APIs per visualizzare i dettagli relativi alla parte superioreAPIs, fino a un massimo di 20, in genere sia per l'identità dell'utente che per tutti gli utenti all'interno dell'account. APIsSono contrassegnati come Rari (meno di una volta al mese), Non frequenti (alcune volte al mese) o Frequenti (da giornalieri a settimanali), a seconda della frequenza con cui vengono utilizzati nell'account.

  • Comportamento insolito (account): questa sezione fornisce ulteriori dettagli sul comportamento profilato del tuo account.

    Comportamento profilato

    GuardDuty impara continuamente sulle attività all'interno del tuo account in base agli eventi organizzati. Queste attività e la loro frequenza osservata sono note come comportamenti profilati.

    Le informazioni registrate in questo pannello includono:

    • ASNOrg: il numero di sistema autonomo (ASN) org da cui è stata effettuata la API chiamata anomala.

    • Nome utente: il nome dell'utente che ha effettuato la chiamata anomalaAPI.

    • Agente utente: l'agente utente utilizzato per effettuare la chiamata anomalaAPI. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio aws-cli o Botocore.

    • Tipo di utente: il tipo di utente che ha effettuato la chiamata anomalaAPI. I valori possibili sono AWS_SERVICE, ASSUMED_ROLE, IAM_USER o ROLE.

    • Bucket: il nome del bucket S3 a cui viene effettuato l'accesso.

  • Comportamento insolito (identità utente): questa sezione fornisce ulteriori dettagli sul comportamento profilato dell'Identità utente coinvolta nell'esito. Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non aveva mai visto questa identità utente effettuare questa API chiamata in questo modo durante il periodo di formazione. Sono disponibili i seguenti dettagli aggiuntivi sull'Identità utente:

    • ASNOrg: l'ASNOrg da cui è stata effettuata la API chiamata anomala.

    • User Agent: l'agente utente utilizzato per effettuare la chiamata anomalaAPI. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio aws-cli o Botocore.

    • Bucket: il nome del bucket S3 a cui viene effettuato l'accesso.

  • Comportamento insolito (bucket): questa sezione fornisce ulteriori dettagli sul comportamento profilato del bucket S3 associato all'esito Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non aveva mai visto in precedenza API chiamate effettuate in questo modo a questo bucket durante il periodo di formazione. Le informazioni registrate in questa sezione includono:

    • ASNOrg: l'ASNOrg da cui è stata effettuata la API chiamata anomala.

    • Nome utente: il nome dell'utente che ha effettuato la chiamata anomalaAPI.

    • Agente utente: l'agente utente utilizzato per effettuare la chiamata anomalaAPI. L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio aws-cli o Botocore.

    • Tipo di utente: il tipo di utente che ha effettuato la chiamata anomalaAPI. I valori possibili sono AWS_SERVICE, ASSUMED_ROLE, IAM_USER o ROLE.

    Nota

    Per maggiori informazioni sui comportamenti storici, scegli Comportamento storico nella sezione Comportamento insolito (account), ID utente o Bucket per visualizzare i dettagli sul comportamento previsto nel tuo account per ciascuna delle seguenti categorie: Raro (meno di una volta al mese), Poco frequente (alcune volte al mese) o Frequente (da giornaliero a settimanale), a seconda della frequenza con cui vengono utilizzati all'interno del tuo account.

  • Comportamento insolito (database): questa sezione fornisce ulteriori dettagli sul comportamento profilato dell'istanza di database associata all'esito Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non ha mai visto in precedenza un tentativo di accesso effettuato in questo modo a questa istanza di database durante il periodo di formazione. Le informazioni registrate nel pannello dell'esito per questa sezione includono:

    • Nome utente: il nome utente utilizzato per effettuare il tentativo di accesso anomalo.

    • ASNOrg: l'ASNorganizzazione da cui è stato effettuato il tentativo di accesso anomalo.

    • Nome applicazione: il nome dell'applicazione utilizzata per effettuare il tentativo di accesso anomalo.

    • Nome database: il nome dell'istanza di database coinvolta nel tentativo di accesso anomalo.

    La sezione Cronologia del comportamento fornisce ulteriori informazioni sui nomi utente, le ASN organizzazioni, i nomi delle applicazioni e i nomi dei database osservati in precedenza per il database associato. A ogni valore univoco è associato un conteggio che rappresenta il numero di volte in cui questo valore è stato osservato in un evento di accesso riuscito.

  • Comportamento insolito (account cluster Kubernetes, spazio dei nomi Kubernetes e nome utente Kubernetes): questa sezione fornisce ulteriori dettagli sul comportamento profilato per il cluster e lo spazio dei nomi Kubernetes associati all'esito. Quando un comportamento non è identificato come storico, significa che il modello GuardDuty ML non ha mai osservato in precedenza questo account, cluster, namespace o nome utente in questo modo. Le informazioni registrate nel pannello dell'esito per questa sezione includono:

    • Nome utente: l'utente che ha chiamato Kubernetes API associato al risultato.

    • Nome utente impersonato: l'utente impersonato da username.

    • Namespace: lo spazio dei nomi Kubernetes all'interno del cluster Amazon in cui si è verificata l'azione. EKS

    • User Agent: l'agente utente associato alla chiamata Kubernetes. API L'agente utente è il metodo utilizzato per effettuare la chiamata, ad esempio kubectl.

    • API— I Kubernetes API richiamati username all'interno del cluster Amazon. EKS

    • ASNInformazioni: le ASN informazioni, ad esempio Organizzazione eISP, associate all'indirizzo IP dell'utente che effettua questa chiamata.

    • Giorno della settimana: il giorno della settimana in cui è stata effettuata la API chiamata Kubernetes.

    • Autorizzazione: il verbo e la risorsa Kubernetes di cui viene verificata l'accesso per indicare se possono utilizzare Kubernetes o meno. username API

    • Nome dell'account di servizio: l'account di servizio associato al carico di lavoro Kubernetes che fornisce un'identità al carico di lavoro.

    • Registro: il registro del contenitore associato all'immagine del contenitore che viene distribuito nel carico di lavoro Kubernetes.

    • Immagine: l'immagine del contenitore, senza i tag e il digest associati, che viene distribuita nel carico di lavoro Kubernetes.

    • Image Prefix Config: il prefisso dell'immagine con la configurazione di sicurezza del contenitore e del carico di lavoro abilitata, ad esempio hostNetwork privileged o, per il contenitore che utilizza l'immagine.

    • Nome del soggetto: i soggetti, ad esempio a usergroup, o serviceAccountName che sono associati a un ruolo di riferimento in un o. RoleBinding ClusterRoleBinding

    • Nome del ruolo: il nome del ruolo coinvolto nella creazione o nella modifica dei ruoli o di roleBindingAPI.

Anomalie basate sul volume S3

Questa sezione descrive in dettaglio le informazioni contestuali per le anomalie basate sul volume S3. Il volume-based finding (Exfiltration:S3/AnomalousBehavior) monitora il numero insolito di API chiamate S3 effettuate dagli utenti ai bucket S3, indicando una potenziale esfiltrazione di dati. Le seguenti chiamate S3 vengono monitorate per il rilevamento di anomalie basate sul volume. API

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

Le seguenti metriche aiuterebbero a creare una linea di base del comportamento abituale quando un'entità accede a un bucket S3. IAM Per identificare un'eventuale esfiltrazione di dati, l'esito del rilevamento delle anomalie basato sul volume valuta tutte le attività rispetto alla consueta linea di base comportamentale. Scegli Comportamento storico nelle sezioni Comportamento insolito (identità utente), Volume osservato (identità utente) e Volume osservato (Bucket) per visualizzare rispettivamente le metriche seguenti.

  • Numero di s3-api-name API chiamate richiamate dall'IAMutente o dal IAM ruolo (dipende da quale sia stata emessa) associate al bucket S3 interessato nelle ultime 24 ore.

  • Numero di s3-api-name API chiamate richiamate dall'IAMutente o dal IAM ruolo (dipende da quale sia stata emessa) associate a tutti i bucket S3 nelle ultime 24 ore.

  • Numero di s3-api-name API chiamate tra tutti gli IAM utenti o i IAM ruoli (dipende da quale sia stato emesso) associate al bucket S3 interessato nelle ultime 24 ore.

RDSanomalie basate sull'attività di accesso

Questa sezione descrive in dettaglio il conteggio dei tentativi di accesso eseguiti dall'attore insolito ed è raggruppata in base al risultato dei tentativi di accesso. RDSTipi di accertamenti di protezione identifica comportamenti anomali monitorando gli eventi di accesso alla ricerca di schemi insoliti di successfulLoginCount, failedLoginCount e incompleteConnectionCount.

  • successfulLoginCount— Questo contatore rappresenta la somma delle connessioni riuscite (combinazione corretta di attributi di accesso) effettuate all'istanza del database dall'attore insolito. Gli attributi di accesso includono nome utente, password e nome del database.

  • failedLoginCount— Questo contatore rappresenta la somma dei tentativi di accesso falliti (non riusciti) effettuati per stabilire una connessione all'istanza del database. Ciò indica che uno o più attributi della combinazione di accesso, ad esempio nome utente, password o nome del database, erano errati.

  • incompleteConnectionCount— Questo contatore rappresenta il numero di tentativi di connessione che non possono essere classificati come riusciti o falliti. Queste connessioni vengono chiuse prima che il database fornisca una risposta. Ad esempio, la scansione delle porte viene effettuata dove è connessa la porta del database, ma al database non viene inviata alcuna informazione oppure la connessione è stata interrotta prima del completamento di un tentativo di accesso riuscito o fallito.