기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

GuardDuty S3 보호 결과 유형

다음 조사 결과는 Amazon S3 리소스에만 해당되며 데이터 소스가 CloudTrail S3에 대한 데이터 이벤트S3Bucket인 경우 또는 데이터 소스가 CloudTrail 관리 이벤트인 AccessKey 경우 리소스 유형이 입니다. 결과의 심각도 및 세부 정보는 결과 유형 및 버킷과 연결된 권한에 따라 다릅니다.

여기에 나열된 결과에는 해당 결과 유형을 생성하는 데 사용된 데이터 소스 및 모델이 포함됩니다. 데이터 소스 및 모델에 대한 자세한 내용은 GuardDuty 기본 데이터 소스 섹션을 참조하세요.

모든 S3Bucket 유형 결과의 경우 해당 버킷에 대한 권한과 결과에 관련된 모든 사용자의 권한을 검사하는 것이 좋습니다. 예기치 않은 활동인 경우 잠재적으로 손상된 S3 버킷 수정에서 설명하는 해결 권장 사항을 참조하세요.

Discovery:S3/AnomalousBehavior

S3 객체를 검색하는 데 API 일반적으로 사용되는 이 변칙적인 방식으로 호출되었습니다.

기본 심각도: 낮음

이 결과는 IAM엔터티가 와 같은 환경에서 S3 버킷을 검색API하기 위해 S3를 호출했음을 알려줍니다ListObjects. 이러한 유형의 활동은 공격자가 정보를 수집하여 AWS 환경이 더 광범위한 공격에 취약한지 확인하는 공격의 검색 단계와 관련이 있습니다. 이 활동은 IAM 개체가 비정상적인 방식으로 를 호출했기 때문에 의심API스럽습니다. 예를 들어 이전 기록이 없는 IAM엔터티는 S3 를 호출API하거나 비정상적인 위치에서 S3API를 IAM 호출합니다.

이는 GuardDuty의 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별API되었습니다. ML 모델은 계정의 모든 API 요청을 평가하고 공격자가 사용하는 기법과 관련된 이상 이벤트를 식별합니다. 요청을 수행한 사용자, API 요청이 수행된 위치, 요청API된 특정 위치, 요청된 버킷, 수행된 API 통화 수 등 요청의 다양한 요소를 추적합니다. API 요청을 호출한 사용자 자격 증명에 대해 요청의 어떤 요소가 비정상인지에 대한 자세한 내용은 결과 세부 정보 섹션을 참조하세요.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Discovery:S3/MaliciousIPCaller

AWS 환경에서 리소스를 검색하는 데 API 일반적으로 사용되는 S3는 알려진 악성 IP 주소에서 호출되었습니다.

기본 심각도: 높음

이 결과는 알려진 악성 활동과 연결된 IP 주소에서 S3 API 작업이 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 사용자 AWS 환경에 대한 정보를 수집할 때 공격의 검색 단계와 관련이 있습니다. 예를 들면 GetObjectAcl나 ListObjects와 같습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Discovery:S3/MaliciousIPCaller.Custom

사용자 지정 위협 목록의 IP 주소에서 S3가 호출API되었습니다.

기본 심각도: 높음

이 결과는 GetObjectAcl 또는 와 API같은 S3 가 업로드한 위협 목록에 포함된 IP 주소에서 호출ListObjects되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 추가 정보 섹션에 나열됩니다. 이 활동 유형은 일반적으로 공격자가 AWS 환경이 광범위한 공격에 취약한지 판단하기 위해 정보를 수집하는 공격의 발견 단계와 관련이 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Discovery:S3/TorIPCaller

S3API가 Tor 종료 노드 IP 주소에서 호출되었습니다.

기본 심각도: 중간

이 결과는 GetObjectAcl 또는 와 API같은 S3 가 Tor 출구 노드 IP 주소에서 호출ListObjects되었음을 알려줍니다. 이러한 유형의 활동은 공격자가 정보를 수집하여 AWS 환경이 더 광범위한 공격에 취약한지 확인하는 공격의 검색 단계와 관련이 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 자격 증명을 숨기려는 의도로 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Exfiltration:S3/AnomalousBehavior

한 IAM 엔터티가 의심스러운 API 방식으로 S3를 호출했습니다.

기본 심각도: 높음

이 결과는 IAM 엔터티가 S3 버킷과 관련된 API 전화를 걸고 있으며 이 활동이 해당 엔터티의 설정된 기준과 다르다는 것을 알려줍니다. 이 활동에 사용되는 API 호출은 공격자가 데이터를 수집하려고 시도하는 공격의 유출 단계와 연결됩니다. 이 활동은 IAM 개체가 비정상적인 방식으로 를 호출했기 때문에 의심API스럽습니다. 예를 들어 이전 기록이 없는 IAM엔터티는 S3 를 호출API하거나 비정상적인 위치에서 S3API를 IAM 호출합니다.

이는 GuardDuty의 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별API되었습니다. ML 모델은 계정의 모든 API 요청을 평가하고 공격자가 사용하는 기법과 관련된 이상 이벤트를 식별합니다. 요청을 수행한 사용자, API 요청이 수행된 위치, 요청API된 특정 위치, 요청된 버킷, 수행된 API 통화 수 등 요청의 다양한 요소를 추적합니다. API 요청을 호출한 사용자 자격 증명에 대해 요청의 어떤 요소가 비정상적인지에 대한 자세한 내용은 결과 세부 정보 섹션을 참조하세요.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Exfiltration:S3/MaliciousIPCaller

AWS 환경에서 데이터를 수집하는 데 API 일반적으로 사용되는 S3는 알려진 악성 IP 주소에서 호출되었습니다.

기본 심각도: 높음

이 결과는 알려진 악성 활동과 연결된 IP 주소에서 S3 API 작업이 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 네트워크에서 데이터를 수집하려고 하는 유출 전술과 관련이 있습니다. 예를 들면 GetObject나 CopyObject와 같습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Impact:S3/AnomalousBehavior.Delete

한 IAM 엔터티가 의심스러운 방식으로 데이터를 삭제하려고 시도API하는 S3를 호출했습니다.

기본 심각도: 높음

이 결과는 AWS 환경의 IAM엔터티가 S3 버킷과 관련된 API 전화를 걸고 있으며 이 동작이 해당 엔터티의 설정된 기준과 다르다는 것을 알려줍니다. 이 활동에 사용되는 API 호출은 데이터 삭제를 시도하는 공격과 관련이 있습니다. 이 활동은 IAM 개체가 비정상적인 방식으로 를 호출했기 때문에 의심API스럽습니다. 예를 들어 이전 기록이 없는 IAM엔터티는 S3 를 호출API하거나 비정상적인 위치에서 S3API를 IAM 호출합니다.

이는 GuardDuty의 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별API되었습니다. ML 모델은 계정의 모든 API 요청을 평가하고 공격자가 사용하는 기법과 관련된 이상 이벤트를 식별합니다. 요청을 수행한 사용자, API 요청이 수행된 위치, 요청API된 특정 위치, 요청된 버킷, 수행된 API 통화 수 등 요청의 다양한 요소를 추적합니다. API 요청을 호출한 사용자 자격 증명에 대해 요청의 어떤 요소가 비정상적인지에 대한 자세한 내용은 결과 세부 정보 섹션을 참조하세요.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

S3 버킷의 콘텐츠를 감사하여 이전 객체 버전을 복원할 수 있는지 또는 복원해야 하는지 판단하는 것이 좋습니다.

Impact:S3/AnomalousBehavior.Permission

액세스 제어 목록(ACL) 권한을 설정하는 데 API 일반적으로 사용되는 이 변칙적인 방식으로 호출되었습니다.

기본 심각도: 높음

이 결과는 AWS 환경의 IAM엔터티가 버킷 정책 또는 나열된 S3 버킷ACL을 변경했음을 알려줍니다. 이 변경으로 인해 인증된 모든 AWS 사용자에게 S3 버킷이 공개적으로 노출될 수 있습니다.

이는 GuardDuty의 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별API되었습니다. ML 모델은 계정의 모든 API 요청을 평가하고 공격자가 사용하는 기법과 관련된 이상 이벤트를 식별합니다. 요청을 수행한 사용자, API 요청이 수행된 위치, 요청API된 특정 위치, 요청된 버킷, 수행된 API 통화 수 등 요청의 다양한 요소를 추적합니다. API 요청을 호출한 사용자 자격 증명에 대해 요청의 어떤 요소가 비정상적인지에 대한 자세한 내용은 결과 세부 정보 섹션을 참조하세요.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

S3 버킷의 콘텐츠를 감사하여 예기치 않게 공개 액세스가 허용된 객체가 없는지 확인하는 것이 좋습니다.

Impact:S3/AnomalousBehavior.Write

한 IAM 엔터티가 의심스러운 방식으로 데이터를 쓰려고 시도API하는 S3를 호출했습니다.

기본 심각도: 중간

이 결과는 AWS 환경의 IAM엔터티가 S3 버킷과 관련된 API 전화를 걸고 있으며 이 동작이 해당 엔터티의 설정된 기준과 다르다는 것을 알려줍니다. 이 활동에 사용되는 API 호출은 데이터 쓰기를 시도하는 공격과 관련이 있습니다. 이 활동은 IAM 개체가 비정상적인 방식으로 를 호출했기 때문에 의심API스럽습니다. 예를 들어 이전 기록이 없는 IAM엔터티는 S3 를 호출API하거나 비정상적인 위치에서 S3API를 IAM 호출합니다.

이는 GuardDuty의 이상 탐지 기계 학습(ML) 모델에 의해 이상으로 식별API되었습니다. ML 모델은 계정의 모든 API 요청을 평가하고 공격자가 사용하는 기법과 관련된 이상 이벤트를 식별합니다. 요청을 수행한 사용자, API 요청이 수행된 위치, 요청API된 특정 위치, 요청된 버킷, 수행된 API 통화 수 등 요청의 다양한 요소를 추적합니다. API 요청을 호출한 사용자 자격 증명에 대해 요청의 어떤 요소가 비정상적인지에 대한 자세한 내용은 결과 세부 정보 섹션을 참조하세요.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

S3 버킷의 내용을 감사하여 이 API 호출이 악의적이거나 승인되지 않은 데이터를 쓰지 않았는지 확인하는 것이 좋습니다.

Impact:S3/MaliciousIPCaller

AWS 환경에서 데이터 또는 프로세스를 변조하는 데 API 일반적으로 사용되는 S3는 알려진 악성 IP 주소에서 호출되었습니다.

기본 심각도: 높음

이 결과는 알려진 악성 활동과 연결된 IP 주소에서 S3 API 작업이 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 AWS 환경 내에서 데이터를 조작, 중단 또는 파괴하려는 영향 전술과 관련이 있습니다. 예를 들면 PutObject나 PutObjectAcl와 같습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

PenTest:S3/KaliLinux

S3는 Kali Linux 시스템에서 호출API되었습니다.

기본 심각도: 중간

이 결과는 Kali Linux를 실행하는 머신이 AWS 계정에 속한 자격 증명을 사용하여 S3를 API 호출하고 있음을 알려줍니다. 자격 증명이 손상되었을 수 있습니다. Kali Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하는 데 사용하는 인기 있는 침투 테스트 도구입니다. 또한 공격자는 이 도구를 사용하여 EC2 구성 약점을 찾고 AWS 환경에 대한 무단 액세스를 얻습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

PenTest:S3/ParrotLinux

S3는 Parrot Security Linux 시스템에서 호출API되었습니다.

기본 심각도: 중간

이 결과는 Parrot Security Linux를 실행하는 시스템이 AWS 계정에 속한 보안 인증 정보를 사용하여 S3를 API 호출하고 있음을 알려줍니다. 자격 증명이 손상되었을 수 있습니다. Parrot Security Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하는 데 사용하는 인기 있는 침투 테스트 도구입니다. 또한 공격자는 이 도구를 사용하여 EC2 구성 약점을 찾고 환경에 대한 무단 액세스 권한을 얻습니다 AWS .

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

PenTest:S3/PentooLinux

S3는 Pentoo Linux 시스템에서 호출API되었습니다.

기본 심각도: 중간

이 결과는 Pentoo Linux를 실행하는 머신이 AWS 계정에 속한 자격 증명을 사용하여 S3를 API 호출하고 있음을 알려줍니다. 자격 증명이 손상되었을 수 있습니다. Pentoo Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하는 데 사용하는 인기 있는 침투 테스트 도구입니다. 또한 공격자는 이 도구를 사용하여 EC2 구성 약점을 찾고 AWS 환경에 대한 무단 액세스를 얻습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Policy:S3/AccountBlockPublicAccessDisabled

IAM 엔터티가 계정에서 S3 퍼블릭 액세스 차단을 비활성화하는 데 API 사용되는 를 호출했습니다.

기본 심각도: 낮음

이 결과는 Amazon S3 퍼블릭 액세스 차단이 계정 수준에서 비활성화되었음을 알려줍니다. S3 퍼블릭 액세스 차단 설정이 활성화되면 데이터의 의도하지 않은 퍼블릭 노출을 방지하기 위한 보안 조치로 버킷의 정책 또는 액세스 제어 목록(ACLs)을 필터링하는 데 사용됩니다.

일반적으로 버킷 또는 버킷의 객체에 대한 퍼블릭 액세스를 허용하기 위해 계정에서 S3 퍼블릭 액세스 차단이 해제됩니다. 계정에 대해 S3 퍼블릭 액세스 차단이 비활성화된 경우 버킷에 대한 액세스는 개별 버킷에 적용된 정책ACLs, 또는 버킷 수준 퍼블릭 액세스 차단 설정에 의해 제어됩니다. 버킷이 반드시 공개적으로 공유되는 것은 아니지만 버킷에 적용된 권한을 감사하여 적절한 액세스 수준을 제공하는지 확인해야 합니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Policy:S3/BucketAnonymousAccessGranted

IAM 보안 주체는 버킷 정책 또는 를 변경하여 인터넷에 대한 S3 버킷 액세스를 부여했습니다ACLs.

기본 심각도: 높음

이 결과는 나열된 S3 버킷이 IAM엔터티가 버킷 정책을 변경했거나 해당 버킷에서 변경되었기 때문에 인터넷ACL에서 공개적으로 액세스할 수 있음을 알려줍니다. 정책 또는 ACL 변경 사항이 감지되면 는 Zelkova 에서 제공하는 자동 추론을 사용하여 버킷에 공개적으로 액세스할 수 있는지 확인합니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Policy:S3/BucketBlockPublicAccessDisabled

IAM 개체가 버킷에서 S3 퍼블릭 액세스 차단을 비활성화하는 데 API 사용되는 를 호출했습니다.

기본 심각도: 낮음

이 결과는 퍼블릭 액세스 차단이 나열된 S3 버킷에서 비활성화되었음을 알려줍니다. 활성화되면 S3 퍼블릭 액세스 차단 설정을 사용하여 데이터의 의도하지 않은 퍼블릭 노출을 방지하기 위한 보안 조치로 버킷에 적용되는 정책 또는 액세스 제어 목록(ACLs)을 필터링합니다.

일반적으로 버킷 또는 버킷 내 객체에 대한 퍼블릭 액세스를 허용하기 위해 S3 퍼블릭 액세스 차단이 해제됩니다. 버킷에 대해 S3 퍼블릭 액세스 차단이 비활성화되면 정책에 의해 버킷에 대한 액세스가 제어되거나 버킷에 ACLs 적용됩니다. 이는 버킷이 공개적으로 공유된다는 의미는 아니지만 정책을 감사하고 버킷에 ACLs 적용하여 적절한 권한이 적용되었는지 확인해야 합니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Policy:S3/BucketPublicAccessGranted

IAM 보안 주체는 버킷 정책 또는 를 변경하여 모든 AWS 사용자에게 S3 버킷에 대한 퍼블릭 액세스 권한을 부여했습니다ACLs.

기본 심각도: 높음

이 결과는 나열된 S3 버킷이 IAM엔터티가 버킷 정책을 변경했거나 해당 S3 버킷ACL에서 변경되었기 때문에 인증된 모든 AWS 사용자에게 공개적으로 노출되었음을 알려줍니다. 정책 또는 ACL 변경 사항이 감지되면 는 Zelkova 에서 제공하는 자동 추론을 사용하여 버킷에 공개적으로 액세스할 수 있는지 확인합니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

Stealth:S3/ServerAccessLoggingDisabled

S3 서버 액세스 로깅이 버킷에 대해 비활성화되었습니다.

기본 심각도: 낮음

이 결과는 AWS 환경 내 버킷에 대해 S3 서버 액세스 로깅이 비활성화되었음을 알려줍니다. 비활성화된 경우 식별된 S3 버킷에 액세스하려는 모든 시도에 대해 웹 요청 로그가 생성되지 않지만 와 같은 버킷에 대한 S3 관리 API 호출DeleteBucket은 여전히 추적됩니다. 이 버킷에 CloudTrail 대해 를 통해 S3 데이터 이벤트 로깅이 활성화된 경우에도 버킷 내 객체에 대한 웹 요청은 계속 추적됩니다. 로깅 비활성화는 탐지를 우회하기 위해 권한이 없는 사용자가 사용하는 기법입니다. S3 로그에 대한 자세한 내용은 S3 서버 액세스 로깅 및 S3 로깅 옵션을 참조하세요.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

사용자 지정 위협 목록의 IP 주소에서 S3가 호출API되었습니다.

기본 심각도: 높음

이 결과는 예를 들어 PutObject 또는 와 같은 S3 API 작업이 업로드한 위협 목록에 포함된 IP 주소에서 호출PutObjectAcl되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 추가 정보 섹션에 나열됩니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.

UnauthorizedAccess:S3/TorIPCaller

S3API가 Tor 종료 노드 IP 주소에서 호출되었습니다.

기본 심각도: 높음

이 결과는 PutObject 또는 와 같은 S3 API 작업이 Tor 종료 노드 IP 주소에서 호출PutObjectAcl되었음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이 결과는 공격자의 실제 자격 증명을 숨기려는 의도로 AWS 리소스에 대한 무단 액세스를 나타낼 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정 단원을 참조하십시오.