翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty 攻撃シーケンスの検出結果タイプ

GuardDuty は、複数のアクションの特定のシーケンスが疑わしいアクティビティと一致する可能性がある場合に、攻撃シーケンスを検出します。攻撃シーケンスには、API アクティビティや GuardDuty の検出結果などのシグナルが含まれます。GuardDuty が、進行中、進行中、または最近のセキュリティ脅威を示す特定のシーケンスでシグナルのグループを観察すると、GuardDuty は攻撃シーケンスの検出結果を生成します。GuardDuty は、個々の API アクティビティを潜在的な脅威として提示しないweak signalsため、個々の API アクティビティを と見なします。

攻撃シーケンス検出は、Amazon S3 データの潜在的な侵害 (より広範なランサムウェア攻撃の一部である可能性がある) と AWS 認証情報の侵害に焦点を当てています。以下のセクションでは、各攻撃シーケンスについて詳しく説明します。

AttackSequence:IAM/CompromisedCredentials

侵害された可能性のある AWS 認証情報を使用して呼び出された一連の API リクエスト。

この検出結果は、GuardDuty が環境内の 1 つ以上のリソースに影響を与える認証情報を使用して AWS 行われた一連の疑わしいアクションを検出したことを知らせるものです。同じ認証情報によって複数の疑わしい攻撃動作と異常な攻撃動作が観察され、認証情報が悪用されているという信頼度が高くなります。

GuardDuty は独自の相関アルゴリズムを使用して、IAM 認証情報を使用して実行される一連のアクションを観察および特定します。GuardDuty は、保護プランやその他のシグナルソース全体の検出結果を評価し、一般的および新たな攻撃パターンを特定します。GuardDuty は、IP の評価、API シーケンス、ユーザー設定、影響を受ける可能性のあるリソースなど、複数の要因を使用して脅威を明らかにします。

修復アクション: 環境でこの動作が予期しない場合、 AWS 認証情報が侵害されている可能性があります。修正する手順については、「」を参照してください漏えいした可能性のある AWS 認証情報の修復。侵害された認証情報は、Amazon S3 バケット、 AWS Lambda 関数、Amazon EC2 インスタンスなどの追加リソースを 環境で作成または変更するために使用された可能性があります。影響を受ける可能性のある他のリソースを修正する手順については、「」を参照してください検出された GuardDuty セキュリティ検出結果の修復。

AttackSequence:S3/CompromisedData

Amazon S3 内のデータを盗んだり破壊しようとして、一連の API リクエストが呼び出されました。

この検出結果は、GuardDuty が侵害された可能性のある AWS 認証情報を使用して、1 つ以上の Amazon Simple Storage Service (Amazon S3) バケットでデータ侵害を示す一連の疑わしいアクションを検出したことを知らせるものです。複数の疑わしい攻撃動作と異常な攻撃動作 (API リクエスト) が観察され、認証情報が悪用されているという信頼度が高くなります。

GuardDuty は相関アルゴリズムを使用して、IAM 認証情報を使用して実行される一連のアクションを観察および特定します。次に、GuardDuty は保護プランやその他のシグナルソース全体の検出結果を評価し、一般的および新たな攻撃パターンを特定します。GuardDuty は、IP の評価、API シーケンス、ユーザー設定、影響を受ける可能性のあるリソースなど、複数の要因を使用して脅威を明らかにします。

修復アクション: 環境でこのアクティビティが予期しないものである場合、 AWS 認証情報または Amazon S3 データが流出または破壊される可能性があります。修正する手順については、漏えいした可能性のある AWS 認証情報の修復「」および「」を参照してください侵害された可能性のある S3 バケットの修復。