GuardDuty S3 Protection の検出結果タイプ - Amazon GuardDuty
Discovery:S3/AnomalousBehaviorDiscovery:S3/MaliciousIPCallerDiscovery:S3/MaliciousIPCaller.CustomDiscovery:S3/TorIPCallerExfiltration:S3/AnomalousBehaviorExfiltration:S3/MaliciousIPCallerImpact:S3/AnomalousBehavior.DeleteImpact:S3/AnomalousBehavior.PermissionImpact:S3/AnomalousBehavior.WriteImpact:S3/MaliciousIPCallerPenTest:S3/KaliLinuxPenTest:S3/ParrotLinuxPenTest:S3/PentooLinuxPolicy:S3/AccountBlockPublicAccessDisabledPolicy:S3/BucketAnonymousAccessGrantedPolicy:S3/BucketBlockPublicAccessDisabledPolicy:S3/BucketPublicAccessGrantedStealth:S3/ServerAccessLoggingDisabledUnauthorizedAccess:S3/MaliciousIPCaller.CustomUnauthorizedAccess:S3/TorIPCaller

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty S3 Protection の検出結果タイプ

以下の検出結果は Amazon S3 リソースに固有のものであり、データソースが CloudTrail S3 のデータイベントS3Bucketの場合、またはデータソースがCloudTrail 管理イベントAccessKeyの場合、リソースタイプ になります。検出結果の重要度と詳細は、検出結果タイプとバケットに関連付けられている許可によって異なります。

ここにリストされている検出結果には、検出結果タイプの生成に使用されるデータソースとモデルが含まれます。データソースとモデルの詳細については、「GuardDuty 基礎データソース」を参照してください。

重要

CloudTrail S3 のデータソースを持つ検出結果は、S3 Protection を有効にしている場合にのみ生成されます。デフォルトでは、2020 年 7 月 31 日以降、アカウントが GuardDuty 初めて を有効にするか、委任された GuardDuty 管理者アカウントが既存のメンバーアカウント GuardDuty で を有効にすると、S3 Protection が有効になります。ただし、新しいメンバーが GuardDuty 組織に加わると、組織の自動有効化設定が適用されます。自動有効化設定の詳細については、「」を参照してください組織の自動有効化設定の設定。S3 Protection を有効にする方法については、「」を参照してください。 GuardDuty S3 保護

すべての S3Bucket タイプの検出結果では、問題のバケットに対するアクセス権限と検出結果に関係するユーザーのアクセス権限を確認することをお勧めします。予期しないアクティビティについては、「侵害された可能性のある S3 バケットの修正」に記載されている修復レコメンデーションを参照してください。

Discovery:S3/AnomalousBehavior

S3 オブジェクトを検出するためにAPI一般的に使用される は、異常な方法で呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、IAMエンティティが S3 を呼び出しAPIて、 などの環境内の S3 バケットを検出したことを通知しますListObjects。このタイプのアクティビティは、攻撃者が情報を収集して AWS 、環境がより広範な攻撃の影響を受けやすいかどうかを判断する攻撃の検出段階に関連付けられています。このアクティビティは、IAMエンティティが異常な方法で APIを呼び出したため、疑わしいです。例えば、以前の履歴がないIAMエンティティが S3 を呼び出すかAPI、IAMエンティティが異常な場所APIから S3 を呼び出します。

これは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別APIされました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。API リクエストを行ったユーザー、リクエストが行われた場所、リクエストAPIされた特定のもの、リクエストされたバケット、実行されたAPI呼び出しの数など、リクエストのさまざまな要因を追跡します。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかの詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Discovery:S3/MaliciousIPCaller

AWS 環境内のリソースを検出するためにAPI一般的に使用される S3 は、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、既知の悪意のあるアクティビティに関連付けられている IP アドレスから S3 APIオペレーションが呼び出されたことを知らせます。観察される APIは、攻撃者が AWS 環境に関する情報を収集している場合、攻撃の検出段階に一般的に関連します。例には、GetObjectAclListObjects が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Discovery:S3/MaliciousIPCaller.Custom

S3 APIは、カスタム脅威リストの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail S3 のデータイベント

この検出結果はAPI、 GetObjectAclや などの S3 がListObjects、アップロードした脅威リストに含まれている IP アドレスから呼び出されたことを知らせるものです。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional information] (追加情報) セクションにリストされています。このタイプのアクティビティは攻撃の検出段階に関連しており、攻撃者は、 AWS 環境がより広範な攻撃を受けやすいかどうかを判断するために情報を収集しています。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Discovery:S3/TorIPCaller

S3 APIが Tor 終了ノード IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail S3 のデータイベント

この検出結果はAPI、 GetObjectAclや などの S3 ListObjectsが Tor 終了ノード IP アドレスから呼び出されたことを知らせるものです。このタイプのアクティビティは、攻撃者が情報を収集して AWS 、環境がより広範な攻撃の影響を受けやすいかどうかを判断する攻撃の検出段階に関連付けられています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者の真のアイデンティティを隠す目的で、 AWS リソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Exfiltration:S3/AnomalousBehavior

IAM エンティティが疑わしい方法で S3 APIを呼び出しました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、IAMエンティティが S3 バケットを含むAPI呼び出しを行い、このアクティビティがエンティティの確立されたベースラインと異なることを知らせるものです。このアクティビティで使用されるAPI呼び出しは、攻撃者がデータの収集を試みる攻撃の抽出ステージに関連付けられます。このアクティビティは、IAMエンティティが異常な方法で APIを呼び出したため、疑わしいです。例えば、以前の履歴がないIAMエンティティが S3 を呼び出すかAPI、IAMエンティティが異常な場所APIから S3 を呼び出します。

これは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別APIされました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。API リクエストを行ったユーザー、リクエストが行われた場所、リクエストAPIされた特定のもの、リクエストされたバケット、実行されたAPI呼び出しの数など、リクエストのさまざまな要因を追跡します。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかの詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Exfiltration:S3/MaliciousIPCaller

AWS 環境からデータを収集するためにAPI一般的に使用される S3 が、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、既知の悪意のあるアクティビティに関連付けられている IP アドレスから S3 APIオペレーションが呼び出されたことを知らせます。観測された APIは、攻撃者がネットワークからデータを収集しようとしているエクスフィルト戦術に一般的に関連しています。例には、GetObjectCopyObject が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Impact:S3/AnomalousBehavior.Delete

IAM エンティティが S3 を呼び出しAPI、不審な方法でデータを削除しようとしました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、 AWS 環境内のIAMエンティティが S3 バケットを含むAPI呼び出しを行っていることを知らせるもので、この動作はエンティティの確立されたベースラインとは異なります。このアクティビティで使用されるAPI呼び出しは、データの削除を試みる攻撃に関連付けられます。このアクティビティは、IAMエンティティが異常な方法で APIを呼び出したため、疑わしいです。例えば、以前の履歴がないIAMエンティティが S3 を呼び出すかAPI、IAMエンティティが異常な場所APIから S3 を呼び出します。

これは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別APIされました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。API リクエストを行ったユーザー、リクエストが行われた場所、リクエストAPIされた特定のもの、リクエストされたバケット、実行されたAPI呼び出しの数など、リクエストのさまざまな要因を追跡します。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかの詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

S3 バケットのコンテンツを監査して、以前のオブジェクトバージョンを復元できるかどうか、または復元する必要があるかどうかを判断することをお勧めします。

Impact:S3/AnomalousBehavior.Permission

アクセスコントロールリスト (ACL) アクセス許可を設定するためにAPI一般的に使用される は、異常な方法で呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、 AWS 環境内のIAMエンティティがバケットポリシーまたはリストされた S3 バケットACLでバケットポリシーを変更したことを通知します。この変更は、S3 バケットを認証されたすべての AWS ユーザーに公開する可能性があります。

これは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別APIされました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。API リクエストを行ったユーザー、リクエストが行われた場所、リクエストAPIされた特定のもの、リクエストされたバケット、実行されたAPI呼び出しの数など、リクエストのさまざまな要因を追跡します。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかの詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

S3 バケットのコンテンツを監査して、オブジェクトが予期せずパブリックアクセスを許可されていなかったか確認することをお勧めします。

Impact:S3/AnomalousBehavior.Write

IAM エンティティは、疑わしい方法でデータを書き込もうAPIとする S3 を呼び出しました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、 AWS 環境内のIAMエンティティが S3 バケットを含むAPI呼び出しを行っていることを知らせるもので、この動作はエンティティの確立されたベースラインとは異なります。このアクティビティで使用されるAPI呼び出しは、データの書き込みを試みる攻撃に関連付けられます。このアクティビティは、IAMエンティティが異常な方法で APIを呼び出したため、疑わしいです。例えば、以前の履歴がないIAMエンティティが S3 を呼び出すかAPI、IAMエンティティが異常な場所APIから S3 を呼び出します。

これは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別APIされました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。API リクエストを行ったユーザー、リクエストが行われた場所、リクエストAPIされた特定のもの、リクエストされたバケット、実行されたAPI呼び出しの数など、リクエストのさまざまな要因を追跡します。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかの詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

S3 バケットの内容を監査して、このAPI呼び出しで悪意のあるデータや不正なデータが書き込まれていないことを確認することをお勧めします。

Impact:S3/MaliciousIPCaller

AWS 環境内のデータまたはプロセスを改ざんするためにAPI一般的に使用される S3 が、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、既知の悪意のあるアクティビティに関連付けられている IP アドレスから S3 APIオペレーションが呼び出されたことを知らせます。観測された APIは、攻撃者が AWS 環境内のデータを操作、中断、または破壊しようとしている影響戦術に一般的に関連します。例には、PutObjectPutObjectAcl が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

PenTest:S3/KaliLinux

Kali Linux マシンから S3 がAPI呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、Kali Linux を実行しているマシンが、 AWS アカウントに属する認証情報を使用して S3 API呼び出しを行っていることを知らせるものです。認証情報は侵害されている可能性があります。Kali Linux は、セキュリティプロフェッショナルがパッチ適用が必要なEC2インスタンスの弱点を特定するために使用する一般的なペネトレーションテストツールです。攻撃者は、このツールを使用してEC2設定の弱点を見つけ、 AWS 環境への不正アクセスも行います。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

PenTest:S3/ParrotLinux

S3 APIは Parrot Security Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、Parrot Security Linux を実行しているマシンが、 AWS アカウントに属する認証情報を使用して S3 API呼び出しを行っていることを知らせるものです。認証情報は侵害されている可能性があります。Parrot Security Linux は、セキュリティプロフェッショナルがパッチ適用が必要なEC2インスタンスの弱点を特定するために使用する一般的なペネトレーションテストツールです。攻撃者は、このツールを使用してEC2設定の弱点を見つけ、環境への不正アクセスも行います AWS 。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

PenTest:S3/PentooLinux

Pentoo Linux マシンから S3 がAPI呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail S3 のデータイベント

この結果は、Pentoo Linux を実行しているマシンが、 AWS アカウントに属する認証情報を使用して S3 API呼び出しを行っていることを知らせるものです。認証情報は侵害されている可能性があります。Pentoo Linux は、セキュリティプロフェッショナルがパッチ適用が必要なEC2インスタンスの弱点を特定するために使用する一般的なペネトレーションテストツールです。攻撃者は、このツールを使用してEC2設定の弱点を見つけ、 AWS 環境への不正アクセスも行います。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Policy:S3/AccountBlockPublicAccessDisabled

IAM エンティティは、アカウントの S3 パブリックアクセスブロックを無効にするAPIために使用される を呼び出しました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail 管理イベント

この検出結果は、Amazon S3 ブロックパブリックアクセスがアカウントレベルで無効されたことを知らせるものです。S3 パブリックアクセスブロック設定を有効にすると、バケットのポリシーまたはアクセスコントロールリスト (ACLs) をフィルタリングして、データの不注意なパブリック公開を防ぐセキュリティ対策として使用されます。

バケット内、またはバケット内のオブジェクトへの公開アクセスを許可するために、通常、S3 ブロックパブリックアクセスは、アカウントでは無効になっています。アカウントで S3 パブリックアクセスブロックが無効になっている場合、バケットへのアクセスは、個々のバケットに適用されるポリシー、ACLs、またはバケットレベルのパブリックアクセスブロック設定によって制御されます。これは、必ずしもバケットがパブリックに共有されているということではありませんが、アクセスへの適切なレベルが提供されているのを確認するために、バケットに対して適用される許可を監査する必要があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Policy:S3/BucketAnonymousAccessGranted

IAM プリンシパルは、バケットポリシーまたは を変更することで、インターネットへの S3 バケットへのアクセスを許可しましたACLs。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベント

この検出結果は、IAMエンティティがバケットポリシーまたはバケットを変更したため、リストされている S3 バケットがインターネットACL上でパブリックにアクセス可能になったことを知らせるものです。ポリシーまたはACL変更が検出されると、 は Zelkova を搭載した自動推論を使用して、バケットがパブリックにアクセス可能かどうかを判断します。

注記

バケットACLsまたはバケットポリシーが明示的にすべてを拒否または拒否するように設定されている場合、この検出結果はバケットの現在の状態を反映していない可能性があります。この検出結果には、S3 バケットで有効になっている可能性のある S3 ブロックパブリックアクセス設定は反映されません。このような場合、検出結果の effectivePermission 値には UNKNOWN としてマークされます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Policy:S3/BucketBlockPublicAccessDisabled

バケットの S3 パブリックアクセスブロックを無効にするAPIために使用される を呼び出されたIAMエンティティ。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail 管理イベント

この検出結果から、リストされた S3 バケットのために、ブロックパブリックアクセスが無効になったことを知らせるものです。有効にすると、S3 パブリックアクセスブロック設定を使用して、バケットに適用されるポリシーまたはアクセスコントロールリスト (ACLs) をフィルタリングし、データの不注意な公開を防ぐセキュリティ対策として使用されます。

通常、S3 ブロックパブリックアクセスは、バケット上で無効にされ、バケットまたはバケット内のオブジェクトへの公開アクセスを許可します。バケットに対して S3 パブリックアクセスのブロックが無効になっている場合、バケットへのアクセスはポリシーによって制御されるか、ACLsバケットに適用されます。これは、バケットがパブリックに共有されていることを意味するものではありませんが、ポリシーを監査し、バケットACLsに適用して、適切なアクセス許可が適用されていることを確認する必要があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Policy:S3/BucketPublicAccessGranted

IAM プリンシパルは、バケットポリシーまたは を変更することで、すべての AWS ユーザーに S3 バケットへのパブリックアクセスを許可していますACLs。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベント

この検出結果は、IAMエンティティがバケットポリシーまたはその S3 バケットを変更したため、リストされている S3 バケットがすべての認証済み AWS ユーザーに公開されたことを知らせACLます。ポリシーまたはACL変更が検出されると、 は Zelkova を搭載した自動推論を使用して、バケットがパブリックにアクセス可能かどうかを判断します。

注記

バケットACLsまたはバケットポリシーが明示的にすべてを拒否または拒否するように設定されている場合、この検出結果はバケットの現在の状態を反映していない可能性があります。この検出結果には、S3 バケットで有効になっている可能性のある S3 ブロックパブリックアクセス設定は反映されません。このような場合、検出結果の effectivePermission 値には UNKNOWN としてマークされます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Stealth:S3/ServerAccessLoggingDisabled

バケットのために S3 サーバーアクセスのログ記録が無効になりました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail 管理イベント

この検出結果は、 AWS 環境内のバケットに対して S3 サーバーアクセスログ記録が無効になっていることを知らせるものです。無効にすると、識別された S3 バケットにアクセスしようとするウェブリクエストログは作成されませんが、 などのバケットへの S3 管理API呼び出しDeleteBucketは引き続き追跡されます。このバケット CloudTrail で S3 データイベントログ記録が を通じて有効になっている場合、バケット内のオブジェクトに対するウェブリクエストは引き続き追跡されます。ログ記録の無効化は、許可されていないユーザーがその形跡を隠すために頻繁に使用する手法です。S3 ログの詳細については、「S3 サーバーアクセスログ」と「S3 ログオプション」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

S3 APIは、カスタム脅威リストの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、S3 APIオペレーション、例えば PutObjectまたは がPutObjectAcl、アップロードした脅威リストに含まれている IP アドレスから呼び出されたことを知らせるものです。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional information] (追加情報) セクションにリストされています。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

UnauthorizedAccess:S3/TorIPCaller

S3 APIが Tor 終了ノード IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail S3 のデータイベント

この検出結果は、 PutObjectや などの S3 APIオペレーションPutObjectAclが Tor 終了ノード IP アドレスから呼び出されたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。この検出結果は、攻撃者の真のアイデンティティを隠す目的で、 AWS リソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。