As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

GuardDuty Tipos de descoberta de monitoramento de tempo de execução

A Amazon GuardDuty gera as seguintes descobertas do Runtime Monitoring para indicar possíveis ameaças com base no comportamento em nível de sistema operacional dos EC2 hosts e contêineres da Amazon em seus EKS clusters da Amazon, cargas de trabalho da Fargate e da Amazon e ECS instâncias da Amazon. EC2

CryptoCurrency:Runtime/BitcoinTool.B

Uma EC2 instância da Amazon ou um contêiner está consultando um endereço IP associado a uma atividade relacionada à criptomoeda.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada ou um contêiner em seu AWS ambiente está consultando um endereço IP associado a uma atividade relacionada à criptomoeda. Os agentes de ameaças podem tentar assumir o controle dos recursos computacionais para redirecioná-los de maneira mal-intencionada para a mineração não autorizada de criptomoedas.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se você usar essa EC2 instância ou um contêiner para minerar ou gerenciar criptomoedas, ou se qualquer uma delas estiver envolvida na atividade de blockchain, o CryptoCurrency:Runtime/BitcoinTool.B a descoberta pode representar a atividade esperada para seu ambiente. Se esse for o caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de CryptoCurrency:Runtime/BitcoinTool.B. O segundo critério de filtro deve ser o ID da instância ou o ID da imagem do contêiner envolvido na atividade relacionada à criptomoeda ou blockchain. Para obter mais informações, consulte Regras de supressão.

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Backdoor:Runtime/C&CActivity.B

Uma EC2 instância da Amazon ou um contêiner está consultando um IP associado a um servidor de comando e controle conhecido.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada ou um contêiner em seu AWS ambiente está consultando um IP associado a um servidor de comando e controle (C&C) conhecido. A instância ou o contêiner listado podem estar potencialmente comprometidos. Os servidores de comando e controle são computadores que enviam comandos para membros de um botnet.

Um botnet é uma coleção de dispositivos conectados à Internet que podem incluir servidoresPCs, dispositivos móveis e dispositivos da Internet das Coisas, infectados e controlados por um tipo comum de malware. Os botnets são frequentemente usados para distribuir malwares e coletar informações inapropriadas, como números de cartão de crédito. Dependendo da finalidade e da estrutura do botnet, o servidor C&C também pode emitir comandos para iniciar um ataque distribuído de negação de serviço (). DDoS

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

UnauthorizedAccess:Runtime/TorRelay

Sua EC2 instância da Amazon ou um contêiner está fazendo conexões com uma rede Tor como um retransmissor Tor.

Gravidade padrão: alta

Essa descoberta informa que uma EC2 instância ou um contêiner em seu AWS ambiente está fazendo conexões com uma rede Tor de uma maneira que sugere que ela está agindo como um retransmissor Tor. Tor é um software para permitir a comunicação anônima. Retransmissões Tor aumentam o anonimato da comunicação encaminhando o tráfego possivelmente ilícito do cliente de uma retransmissão Tor para outra.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

UnauthorizedAccess:Runtime/TorClient

Sua EC2 instância da Amazon ou um contêiner está fazendo conexões com um Tor Guard ou um nó de Autoridade.

Gravidade padrão: alta

Essa descoberta informa que uma EC2 instância ou um contêiner em seu AWS ambiente está fazendo conexões com um Tor Guard ou um nó de Autoridade. Tor é um software para permitir a comunicação anônima. Tor Guards ou nós de autoridade atuam como gateways iniciais em uma rede do Tor. Esse tráfego pode indicar que essa EC2 instância ou o contêiner foi potencialmente comprometido e está agindo como um cliente em uma rede Tor. Essa descoberta pode indicar acesso não autorizado aos seus AWS recursos com a intenção de ocultar a verdadeira identidade do atacante.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Trojan:Runtime/BlackholeTraffic

Uma EC2 instância da Amazon ou um contêiner está tentando se comunicar com um endereço IP de um host remoto que é um conhecido buraco negro.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância listada ou um contêiner em seu AWS ambiente pode estar comprometido porque está tentando se comunicar com o endereço IP de um buraco negro (ou sumidouro). Os buracos negros são locais na rede onde o tráfego de entrada ou de saída é descartado silenciosamente sem informar a fonte de que os dados não atingiram o destinatário pretendido. Um endereço IP de buraco negro especifica uma máquina host que não está sendo executada ou um endereço para o qual nenhum host foi atribuído.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Trojan:Runtime/DropPoint

Uma EC2 instância da Amazon ou um contêiner está tentando se comunicar com um endereço IP de um host remoto que é conhecido por conter credenciais e outros dados roubados capturados por malware.

Gravidade padrão: média

Essa descoberta informa que uma EC2 instância ou um contêiner em seu AWS ambiente está tentando se comunicar com um endereço IP de um host remoto que é conhecido por conter credenciais e outros dados roubados capturados por malware.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Uma EC2 instância da Amazon ou um contêiner está consultando um nome de domínio associado a uma atividade de criptomoeda.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada ou um contêiner em seu AWS ambiente está consultando um nome de domínio associado ao Bitcoin ou a outra atividade relacionada à criptomoeda. Os agentes de ameaças podem tentar assumir o controle dos recursos computacionais a fim de redirecioná-los de maneira mal-intencionada para a mineração não autorizada de criptomoedas.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se você usar essa EC2 instância ou contêiner para minerar ou gerenciar criptomoedas, ou se qualquer um deles estiver envolvido na atividade de blockchain, o CryptoCurrency:Runtime/BitcoinTool.B!DNS descobrir pode ser uma atividade esperada para seu ambiente. Se esse for o caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de CryptoCurrency:Runtime/BitcoinTool.B!DNS. O segundo critério de filtro deve ser o ID de instância da instância ou o ID da imagem do contêiner do contêiner envolvido na atividade de criptomoedas ou blockchain. Para obter mais informações, consulte Regras de supressão.

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Backdoor:Runtime/C&CActivity.B!DNS

Uma EC2 instância da Amazon ou um contêiner está consultando um nome de domínio associado a um servidor de comando e controle conhecido.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada ou o contêiner em seu AWS ambiente está consultando um nome de domínio associado a um servidor de comando e controle (C&C) conhecido. A EC2 instância listada ou o contêiner podem estar comprometidos. Os servidores de comando e controle são computadores que enviam comandos para membros de um botnet.

Um botnet é uma coleção de dispositivos conectados à Internet que podem incluir servidoresPCs, dispositivos móveis e dispositivos da Internet das Coisas, infectados e controlados por um tipo comum de malware. Os botnets são frequentemente usados para distribuir malwares e coletar informações inapropriadas, como números de cartão de crédito. Dependendo da finalidade e da estrutura do botnet, o servidor C&C também pode emitir comandos para iniciar um ataque distribuído de negação de serviço (). DDoS

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Trojan:Runtime/BlackholeTraffic!DNS

Uma EC2 instância da Amazon ou um contêiner está consultando um nome de domínio que está sendo redirecionado para um endereço IP de buraco negro.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância listada ou o contêiner em seu AWS ambiente pode estar comprometido porque está consultando um nome de domínio que está sendo redirecionado para um endereço IP de buraco negro. Os buracos negros são locais na rede onde o tráfego de entrada ou de saída é descartado silenciosamente sem informar a fonte de que os dados não atingiram o destinatário pretendido.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Trojan:Runtime/DropPoint!DNS

Uma EC2 instância da Amazon ou um contêiner está consultando o nome de domínio de um host remoto que é conhecido por conter credenciais e outros dados roubados capturados por malware.

Gravidade padrão: média

Essa descoberta informa que uma EC2 instância ou um contêiner em seu AWS ambiente está consultando o nome de domínio de um host remoto que é conhecido por conter credenciais e outros dados roubados capturados por malware.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Trojan:Runtime/DGADomainRequest.C!DNS

Uma EC2 instância da Amazon ou um contêiner está consultando domínios gerados por algoritmos. Esses domínios são comumente usados por malware e podem ser uma indicação de uma EC2 instância comprometida ou de um contêiner.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada ou o contêiner em seu AWS ambiente está tentando consultar domínios do algoritmo de geração de domínio (DGA). Seu recurso pode ter sido comprometido.

DGAssão usados para gerar periodicamente um grande número de nomes de domínio que podem ser usados como pontos de encontro com seus servidores de comando e controle (C&C). Os servidores de comando e controle são computadores que emitem comandos para membros de um botnet, ou seja, uma coleção de dispositivos conectados à Internet infectados e controlados por um tipo comum de malware. O grande número de pontos de encontro potenciais dificulta o encerramento efetivo dos botnets, uma vez que os computadores infectados tentam entrar em contato com alguns desses nomes de domínio todos os dias para receber atualizações ou comandos.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Trojan:Runtime/DriveBySourceTraffic!DNS

Uma EC2 instância da Amazon ou um contêiner está consultando o nome de domínio de um host remoto que é uma fonte conhecida de ataques de download do Drive-By.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada ou o contêiner em seu AWS ambiente pode estar comprometido porque está consultando o nome de domínio de um host remoto que é uma fonte conhecida de ataques de download drive-by. Estes são downloads indesejados de software de computador da Internet que podem acionar uma instalação automática de vírus, spyware ou malware.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Trojan:Runtime/PhishingDomainRequest!DNS

Uma EC2 instância da Amazon ou um contêiner está consultando domínios envolvidos em ataques de phishing.

Gravidade padrão: alta

Essa descoberta informa que há uma EC2 instância ou um contêiner em seu AWS ambiente que está tentando consultar um domínio envolvido em ataques de phishing. Domínios de phishing são configuradas por alguém se passando por uma instituição legítima para induzir indivíduos a fornecerem dados confidenciais, como informações de identificação pessoal, dados bancários e de cartão de crédito, e senhas. Sua EC2 instância ou o contêiner podem estar tentando recuperar dados confidenciais armazenados em um site de phishing ou podem estar tentando configurar um site de phishing. Sua EC2 instância ou o contêiner podem estar comprometidos.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Impact:Runtime/AbusedDomainRequest.Reputation

Uma EC2 instância da Amazon ou um contêiner está consultando um nome de domínio de baixa reputação que está associado a domínios conhecidos de abuso.

Gravidade padrão: média

Essa descoberta informa que a EC2 instância listada ou o contêiner em seu AWS ambiente está consultando um nome de domínio de baixa reputação associado a domínios ou endereços IP de abuso conhecidos. Exemplos de domínios abusados são nomes de domínio de primeiro nível (TLDs) e nomes de domínio de segundo nível (2LDs) que fornecem registros gratuitos de subdomínios, bem como provedores dinâmicos. DNS Os agentes de ameaças tendem a usar esses serviços para registrar domínios gratuitamente ou a baixo custo. Os domínios de baixa reputação nessa categoria também podem ser domínios expirados que se resolvem para o endereço IP estacionário de um registrador e, portanto, podem não estar mais ativas. Um IP de estacionamento é onde um registrador direciona o tráfego para domínios que não foram vinculados a nenhum serviço. A EC2 instância listada da Amazon ou o contêiner podem estar comprometidos, pois os agentes de ameaças geralmente usam esses registradores ou serviços para C&C e distribuição de malware.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Impact:Runtime/BitcoinDomainRequest.Reputation

Uma EC2 instância da Amazon ou um contêiner está consultando um nome de domínio de baixa reputação associado a atividades relacionadas à criptomoeda.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada ou o contêiner em seu AWS ambiente está consultando um nome de domínio de baixa reputação associado ao Bitcoin ou a outra atividade relacionada à criptomoeda. Os agentes de ameaças podem tentar assumir o controle dos recursos computacionais para redirecioná-los de maneira mal-intencionada para a mineração não autorizada de criptomoedas.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se você usar essa EC2 instância ou o contêiner para minerar ou gerenciar criptomoedas, ou se esses recursos estiverem envolvidos na atividade do blockchain, essa descoberta poderá representar a atividade esperada para seu ambiente. Se esse for o caso em seu AWS ambiente, recomendamos que você configure uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de Impact:Runtime/BitcoinDomainRequest.Reputation. O segundo critério de filtro deve ser o ID da instância ou o ID da imagem do contêiner envolvido em atividades relacionadas à criptomoeda ou blockchain. Para obter mais informações, consulte Regras de supressão.

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Impact:Runtime/MaliciousDomainRequest.Reputation

Uma EC2 instância da Amazon ou um contêiner está consultando um domínio de baixa reputação associado a domínios maliciosos conhecidos.

Gravidade padrão: alta

Essa descoberta informa que a EC2 instância listada ou o contêiner em seu AWS ambiente está consultando um nome de domínio de baixa reputação associado a domínios ou endereços IP maliciosos conhecidos. Por exemplo, os domínios podem estar associados a um endereço IP sumidouro conhecido. Domínios sinkholed são domínios que antes eram controlados por um agente de ameaças, e as solicitações feitas a eles podem indicar que a instância está comprometida. Esses domínios também podem estar correlacionados com campanhas mal-intencionadas conhecidas ou algoritmos de geração de domínio.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Uma EC2 instância da Amazon ou um contêiner está consultando um nome de domínio de baixa reputação que é suspeito por natureza devido à sua idade ou baixa popularidade.

Gravidade padrão: baixa

Essa descoberta informa que a EC2 instância listada ou o contêiner em seu AWS ambiente está consultando um nome de domínio de baixa reputação que é suspeito de ser malicioso. As características observadas desse domínio foram consistentes com os domínios maliciosos observados anteriormente. No entanto, nosso modelo de reputação não conseguiu relacioná-lo definitivamente a uma ameaça conhecida. Esses domínios geralmente são observados recentemente ou recebem uma quantidade baixa de tráfego.

Os domínios de baixa reputação são baseados em um modelo de pontuação de reputação. Esse modelo avalia e classifica as características de um domínio para determinar sua probabilidade de ser mal-intencionado.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Uma EC2 instância da Amazon ou um contêiner está realizando DNS pesquisas que resolvem o serviço de metadados da instância.

Gravidade padrão: alta

Essa descoberta informa que uma EC2 instância ou um contêiner em seu AWS ambiente está consultando um domínio que resolve para o endereço IP dos EC2 metadados (169.254.169.254). Uma DNS consulta desse tipo pode indicar que a instância é alvo de uma técnica de DNS revinculação. Essa técnica pode ser usada para obter metadados de uma EC2 instância, incluindo IAM as credenciais associadas à instância.

DNSa revinculação envolve enganar um aplicativo em execução na EC2 instância para carregar dados de retorno de aURL, em que o nome de domínio é URL resolvido para o endereço IP dos EC2 metadados (). 169.254.169.254 Isso faz com que o aplicativo acesse EC2 os metadados e, possivelmente, os disponibilize para o invasor.

É possível acessar EC2 metadados usando a DNS revinculação somente se a EC2 instância estiver executando um aplicativo vulnerável que permita a injeção deURLs, ou se alguém os acessar URL em um navegador da Web em execução na instância. EC2

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Em resposta a essa descoberta, você deve avaliar se há um aplicativo vulnerável em execução na EC2 instância ou no contêiner, ou se alguém usou um navegador para acessar o domínio identificado na descoberta. Se a causa raiz for um aplicativo vulnerável, você deverá corrigir a vulnerabilidade. Se for devido à navegação de um usuário no domínio identificado, bloqueie o domínio ou impeça que os usuários o acessem. Se você determinar que essa descoberta estava relacionada a um dos casos acima, revogue a sessão associada à EC2 instância.

Alguns AWS clientes mapeiam intencionalmente o endereço IP dos metadados para um nome de domínio em seus servidores autorizadosDNS. Se esse for o caso em seu ambiente da , recomendamos configurar uma regra de supressão para essa descoberta. A regra de supressão deve consistir em dois critérios de filtro. O primeiro critério deve usar o atributo Tipo de descoberta com um valor de UnauthorizedAccess:Runtime/MetaDataDNSRebind. O segundo critério de filtro deve ser o domínio da DNS solicitação ou o ID da imagem do contêiner. O valor do domínio da DNS solicitação deve corresponder ao domínio que você mapeou para o endereço IP dos metadados ()169.254.169.254. Para obter informações sobre a criação de regras de supressão, consulte Regras de supressão.

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Execution:Runtime/NewBinaryExecuted

Um arquivo binário recém-criado ou modificado recentemente em um contêiner foi executado.

Gravidade padrão: média

Essa descoberta informa que um arquivo binário recém-criado ou modificado recentemente em um contêiner foi executado. É a melhor prática manter os contêineres imutáveis em runtime, e arquivos binários, scripts ou bibliotecas não devem ser criados ou modificados durante a vida útil do contêiner. Esse comportamento indica que um agente mal-intencionado potencialmente obteve acesso ao contêiner, baixou e executou malware ou outro software como parte do possível comprometimento. Embora esse tipo de atividade possa ser uma indicação de comprometimento, também é um padrão de uso comum. Portanto, GuardDuty usa mecanismos para identificar instâncias suspeitas dessa atividade e gera esse tipo de descoberta somente para instâncias suspeitas.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console. Para identificar o processo de modificação e o novo binário, veja os detalhes do processo de modificação e os detalhes do processo

Os detalhes do processo de modificação estão incluídos no service.runtimeDetails.context.modifyingProcess campo da descoberta JSON ou em Processo de modificação no painel de detalhes da descoberta. Para esse tipo de descoberta, o processo de modificação é/usr/bin/dpkg, conforme identificado pelo service.runtimeDetails.context.modifyingProcess.executablePath campo da descobertaJSON, ou como parte do Processo de modificação no painel de detalhes da descoberta.

Os detalhes do binário novo ou modificado executado estão incluídos na seção service.runtimeDetails.process da descoberta JSON ou na seção Processo em Detalhes do tempo de execução. Para esse tipo de descoberta, o binário novo ou modificado é /usr/bin/python3.8, conforme indicado pelo campo service.runtimeDetails.process.executablePath (Caminho executável).

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Um processo dentro de um contêiner está se comunicando com o daemon do Docker usando o soquete Docker.

Gravidade padrão: média

O soquete Docker é um soquete de domínio Unix que o daemon do Docker (dockerd) usa para se comunicar com seus clientes. Um cliente pode realizar várias ações, como criar contêineres comunicando-se com o daemon do Docker por meio do soquete do Docker. É suspeito que um processo de contêiner acesse o soquete do Docker. Um processo de contêiner pode escapar do contêiner e obter acesso em nível de host ao se comunicar com o soquete Docker e criar um contêiner privilegiado.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

PrivilegeEscalation:Runtime/RuncContainerEscape

Foi detectada uma tentativa de fuga do contêiner por meio do runC.

Gravidade padrão: alta

O runC é o runtime de contêiner de baixo nível que os runtimes de contêineres de alto nível, como Docker e Containerd, usam para gerar e executar contêineres. O runC é sempre executado com privilégios de root porque precisa executar a tarefa de baixo nível de criar um contêiner. Um agente de ameaça pode obter acesso no nível do host modificando ou explorando uma vulnerabilidade no binário runC.

Essa descoberta detecta a modificação do binário runC e possíveis tentativas de explorar as seguintes vulnerabilidades do runC:

Essa descoberta pode indicar que um agente mal-intencionado tentou realizar a exploração em um dos seguintes tipos de contêineres:

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

Foi detectada uma tentativa de fuga do contêiner por meio CGroups do agente desmoldante.

Gravidade padrão: alta

Essa descoberta informa que foi detectada uma tentativa de modificar um arquivo do agente de liberação do grupo de controle (cgroup). O Linux usa grupos de controle (cgroups) para limitar, contabilizar e isolar o uso de recursos de uma coleção de processos. Cada cgroup tem um arquivo de agente de lançamento (release_agent), um script que o Linux executa quando qualquer processo dentro do cgroup é encerrado. O arquivo do agente de liberação é sempre executado no nível do host. Um agente de ameaça dentro de um contêiner pode escapar para o host escrevendo comandos arbitrários no arquivo do agente de lançamento que pertence a um cgroup. Quando um processo dentro desse cgroup termina, os comandos escritos pelo ator são executados.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

DefenseEvasion:Runtime/ProcessInjection.Proc

Uma injeção de processo usando o sistema de arquivos proc foi detectada em um contêiner ou em uma instância da Amazon. EC2

Gravidade padrão: alta

A injeção de processos é uma técnica que os agentes de ameaças usam para injetar código nos processos para evitar as defesas e potencialmente elevar os privilégios. O sistema de arquivos proc (procfs) é um sistema de arquivos especial no Linux que apresenta a memória virtual do processo como um arquivo. O caminho desse arquivo é /proc/PID/mem, onde PID é o ID exclusivo do processo. Um agente de ameaça pode gravar nesse arquivo para injetar código no processo. Essa descoberta identifica possíveis tentativas de gravação nesse arquivo.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu tipo de recurso pode ter sido comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

Uma injeção de processo usando a chamada do sistema ptrace foi detectada em um contêiner ou em uma EC2 instância da Amazon.

Gravidade padrão: média

A injeção de processos é uma técnica que os agentes de ameaças usam para injetar código nos processos para evitar as defesas e potencialmente elevar os privilégios. Um processo pode usar a chamada do sistema ptrace para injetar código em outro processo. Essa descoberta identifica uma possível tentativa de injetar código em um processo usando a chamada de sistema ptrace.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu tipo de recurso pode ter sido comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

Uma injeção de processo por meio de uma gravação direta na memória virtual foi detectada em um contêiner ou em uma EC2 instância da Amazon.

Gravidade padrão: alta

A injeção de processos é uma técnica que os agentes de ameaças usam para injetar código nos processos para evitar as defesas e potencialmente elevar os privilégios. Um processo pode usar uma chamada de sistema, por exemplo, process_vm_writev para injetar código diretamente na memória virtual de outro processo. Essa descoberta identifica uma possível tentativa de injetar código em um processo usando uma chamada de sistema para gravação na memória virtual do processo.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu tipo de recurso pode ter sido comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Execution:Runtime/ReverseShell

Um processo em um contêiner ou em uma EC2 instância da Amazon criou um shell reverso.

Gravidade padrão: alta

Um shell reverso é uma sessão de shell criada em uma conexão que é iniciada do host de destino para o host do ator. Isso é o oposto de um shell normal iniciado do hospedeiro do agente para o hospedeiro do destino. Os agentes da ameaça criam um shell reverso para executar comandos no alvo depois de obter acesso inicial ao alvo. Essa descoberta identifica uma possível tentativa de criar um shell reverso.

Recomendações de correção:

Se essa atividade for inesperada, seu tipo de recurso pode ter sido comprometido.

DefenseEvasion:Runtime/FilelessExecution

Um processo em um contêiner ou EC2 instância da Amazon está executando código a partir da memória.

Gravidade padrão: média

Essa descoberta informa quando um processo é executado usando um arquivo executável na memória no disco. Essa é uma técnica comum de evasão de defesa que evita gravar o executável mal-intencionado no disco para evitar a detecção baseada na verificação do sistema de arquivos. Embora essa técnica seja usada por malware, ela também tem alguns casos de uso legítimos. Um dos exemplos é um compilador just-in-time (JIT) que grava código compilado na memória e o executa a partir da memória.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Impact:Runtime/CryptoMinerExecuted

Um contêiner ou uma EC2 instância da Amazon está executando um arquivo binário associado a uma atividade de mineração de criptomoedas.

Gravidade padrão: alta

Essa descoberta informa que um contêiner ou uma EC2 instância em seu AWS ambiente está executando um arquivo binário associado a uma atividade de mineração de criptomoedas. Os agentes de ameaças podem tentar assumir o controle dos recursos computacionais para redirecioná-los de maneira mal-intencionada para a mineração não autorizada de criptomoedas.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso no painel de descobertas no GuardDuty console.

Recomendações de correção:

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso afetado, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console e vejaComo corrigir as descobertas do Monitoramento de runtime.

Execution:Runtime/NewLibraryLoaded

Uma biblioteca recém-criada ou modificada recentemente foi carregada por um processo dentro de um contêiner.

Gravidade padrão: média

Essa descoberta informa que uma biblioteca foi criada ou modificada dentro de um contêiner durante o runtime e carregada por um processo executado dentro do contêiner. A melhor prática é manter os contêineres imutáveis no runtime e não criar ou modificar os arquivos binários, scripts ou bibliotecas durante a vida útil do contêiner. O carregamento de uma biblioteca recém-criada ou modificada em um contêiner pode indicar atividade suspeita. Esse comportamento indica que um agente mal-intencionado potencialmente obteve acesso ao contêiner, baixou e executou malware ou outro software como parte do possível comprometimento. Embora esse tipo de atividade possa ser uma indicação de comprometimento, também é um padrão de uso comum. Portanto, GuardDuty usa mecanismos para identificar instâncias suspeitas dessa atividade e gera esse tipo de descoberta somente para instâncias suspeitas.

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso afetado, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Um processo dentro de um contêiner montou um sistema de arquivos hospedeiro em runtime.

Gravidade padrão: média

Várias técnicas de escape de contêiner envolvem a montagem de um sistema de arquivos hospedeiro dentro de um contêiner em runtime. Essa descoberta informa que um processo dentro de um contêiner potencialmente tentou montar um sistema de arquivos do host, o que pode indicar uma tentativa de escapar para o host.

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso afetado, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Um processo usou chamadas de sistema userfaultfd para lidar com falhas de página no espaço do usuário.

Gravidade padrão: média

Normalmente, as falhas de página são tratadas pelo kernel no espaço do kernel. No entanto, a chamada de sistema userfaultfd permite que um processo manipule falhas de página em um sistema de arquivos no espaço do usuário. Esse é um recurso útil que permite a implementação de sistemas de arquivos no espaço do usuário. Por outro lado, ele também pode ser usado por um processo potencialmente mal-intencionado para interromper o kernel do espaço do usuário. Interromper o kernel usando a chamada de sistema userfaultfd é uma técnica de exploração comum para estender as janelas de corrida durante a exploração das condições de corrida do kernel. O uso de userfaultfd pode indicar atividade suspeita na instância do Amazon Elastic Compute Cloud (AmazonEC2).

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso afetado, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Execution:Runtime/SuspiciousTool

Um contêiner ou uma EC2 instância da Amazon está executando um arquivo binário ou script que é frequentemente usado em cenários de segurança ofensivos, como testes de engajamento.

Gravidade padrão: variável

A gravidade dessa descoberta pode ser alta ou baixa, dependendo se a ferramenta suspeita detectada é considerada de uso duplo ou se é exclusivamente para uso ofensivo.

Essa descoberta informa que uma ferramenta suspeita foi executada em uma EC2 instância ou contêiner em seu AWS ambiente. Isso inclui ferramentas usadas em projetos de teste de penetração, também conhecidas como ferramentas de backdoor, scanners de rede e detectores de rede. Todas essas ferramentas podem ser usadas em contextos benignos, mas também são frequentemente usadas por agentes de ameaças com intenções maliciosas. A observação de ferramentas de segurança ofensivas pode indicar que a EC2 instância ou o contêiner associado foi comprometido.

GuardDuty examina a atividade e o contexto de tempo de execução relacionados para gerar essa descoberta somente quando a atividade e o contexto associados forem potencialmente suspeitos.

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso afetado, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Execution:Runtime/SuspiciousCommand

Um comando suspeito foi executado em uma EC2 instância da Amazon ou em um contêiner que indica um comprometimento.

Gravidade padrão: variável

Dependendo do impacto do padrão malicioso observado, a gravidade desse tipo de descoberta pode ser baixa, média ou alta.

Essa descoberta informa que um comando suspeito foi executado e indica que uma EC2 instância da Amazon ou um contêiner em seu AWS ambiente foi comprometido. Isso pode significar que um arquivo foi baixado de uma fonte suspeita e depois executado, ou que um processo em execução exibe um padrão malicioso conhecido em sua linha de comando. Isso indica ainda que o malware está sendo executado no sistema.

GuardDuty examina a atividade e o contexto de tempo de execução relacionados para gerar essa descoberta somente quando a atividade e o contexto associados forem potencialmente suspeitos.

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso afetado, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

DefenseEvasion:Runtime/SuspiciousCommand

Um comando executado na EC2 instância listada da Amazon ou em um contêiner tenta modificar ou desativar um mecanismo de defesa do Linux, como firewall ou serviços essenciais do sistema.

Gravidade padrão: variável

Dependendo de qual mecanismo de defesa foi modificado ou desativado, a gravidade desse tipo de descoberta pode ser alta, média ou baixa.

Essa descoberta informa que um comando que tenta ocultar um ataque dos serviços de segurança do sistema local foi executado. Isso inclui ações como desabilitar o firewall Unix, modificar tabelas IP locais, remover crontab entradas, desabilitando um serviço local ou assumindo a LDPreload função. Qualquer modificação é altamente suspeita e um potencial indicador de comprometimento. Portanto, esses mecanismos detectam ou evitam maiores comprometimentos do sistema.

GuardDuty examina a atividade e o contexto de tempo de execução relacionados para gerar essa descoberta somente quando a atividade e o contexto associados forem potencialmente suspeitos.

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso potencialmente comprometido, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

DefenseEvasion:Runtime/PtraceAntiDebugging

Um processo em um contêiner ou em uma EC2 instância da Amazon executou uma medida anti-depuração usando a chamada do sistema ptrace.

Gravidade padrão: baixa

Essa descoberta mostra que um processo em execução em uma EC2 instância da Amazon ou em um contêiner em seu AWS ambiente usou a chamada do sistema ptrace com a PTRACE_TRACEME opção. Essa atividade faria com que um depurador conectado se separasse do processo em execução. De outra forma, se não houver um depurador conectado, ela não terá efeito. No entanto, a atividade por si só levanta suspeitas. Isso indica ainda que o malware está sendo executado no sistema. O malware frequentemente usa técnicas de antidepuração para evitar a análise, e essas técnicas podem ser detectadas em runtime.

GuardDuty examina a atividade e o contexto de tempo de execução relacionados para gerar essa descoberta somente quando a atividade e o contexto associados forem potencialmente suspeitos.

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso afetado, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Execution:Runtime/MaliciousFileExecuted

Um arquivo executável malicioso conhecido foi executado em uma EC2 instância da Amazon ou em um contêiner.

Gravidade padrão: alta

Essa descoberta informa que um executável malicioso conhecido foi executado na EC2 instância da Amazon ou em um contêiner em seu AWS ambiente. Esse é um forte indicador de que a instância ou o contêiner foram potencialmente comprometidos e que o malware foi executado.

GuardDuty examina a atividade e o contexto de tempo de execução relacionados para gerar essa descoberta somente quando a atividade e o contexto associados forem potencialmente suspeitos.

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso afetado, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Execution:Runtime/SuspiciousShellCreated

Um serviço de rede ou processo acessível pela rede em uma EC2 instância da Amazon ou em um contêiner iniciou um processo de shell interativo.

Gravidade padrão: baixa

Essa descoberta informa que um serviço acessível pela rede em uma EC2 instância da Amazon ou em um contêiner em seu AWS ambiente lançou um shell interativo. Sob certas circunstâncias, esse cenário pode indicar um comportamento pós-exploração. Os shells interativos permitem que os invasores executem comandos arbitrários em uma instância ou contêiner comprometido.

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso afetado, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console. Você pode visualizar as informações do processo acessível pela rede nos detalhes do processo principal.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

PrivilegeEscalation:Runtime/ElevationToRoot

Um processo em execução na EC2 instância ou contêiner listado da Amazon assumiu privilégios de root.

Gravidade padrão: média

Essa descoberta informa que um processo em execução na Amazon listada EC2 ou no contêiner listado em seu AWS ambiente assumiu privilégios de root por meio de execução setuid binária incomum ou suspeita. Isso indica que um processo em execução foi potencialmente comprometido, por EC2 exemplo, por meio de uma exploração ou por meio setuid de exploração. Ao usar os privilégios de root, o invasor pode potencialmente executar comandos na instância ou no contêiner.

Embora tenha sido GuardDuty projetado para não gerar esse tipo de descoberta para atividades que envolvam o uso regular do sudo comando, ele gerará essa descoberta quando identificar a atividade como incomum ou suspeita.

GuardDuty examina a atividade e o contexto relacionados ao tempo de execução e gera esse tipo de descoberta somente quando a atividade e o contexto associados são incomuns ou suspeitos.

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso afetado, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Discovery:Runtime/SuspiciousCommand

Um comando suspeito foi executado em uma EC2 instância da Amazon ou em um contêiner, o que permite que um invasor obtenha informações sobre o sistema local, a AWS infraestrutura circundante ou a infraestrutura do contêiner.

Gravidade padrão: baixa

Atributo: Monitoramento de runtime

Essa descoberta informa que a EC2 instância ou contêiner da Amazon listado em seu AWS ambiente executou um comando que pode fornecer ao invasor informações cruciais para potencialmente avançar no ataque. As seguintes informações podem ter sido recuperadas:

A EC2 instância da Amazon ou o contêiner que está listado nos detalhes da descoberta pode ter sido comprometido.

O agente GuardDuty de tempo de execução monitora eventos de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console. Você pode encontrar os detalhes sobre o comando suspeito no service.runtimeDetails.context campo da descobertaJSON.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

Persistence:Runtime/SuspiciousCommand

Um comando suspeito foi executado em uma EC2 instância da Amazon ou em um contêiner, o que permite que um invasor persista no acesso e no controle do seu AWS ambiente.

Gravidade padrão: média

Essa descoberta informa que um comando suspeito foi executado em uma EC2 instância da Amazon ou em um contêiner dentro do seu AWS ambiente. O comando instala um método de persistência que permite que o malware seja executado ininterruptamente ou permite que um invasor acesse continuamente a instância ou o tipo de recurso de contêiner potencialmente comprometido. Isso pode significar que um serviço do sistema foi instalado ou modificado, que crontab foi modificado ou que um novo usuário foi adicionado à configuração do sistema.

GuardDuty examina a atividade e o contexto relacionados ao tempo de execução e gera esse tipo de descoberta somente quando a atividade e o contexto associados são incomuns ou suspeitos.

A EC2 instância da Amazon ou o contêiner que está listado nos detalhes da descoberta pode ter sido comprometido.

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso potencialmente comprometido, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console. Você pode encontrar os detalhes sobre o comando suspeito no service.runtimeDetails.context campo da descobertaJSON.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.

PrivilegeEscalation:Runtime/SuspiciousCommand

Um comando suspeito foi executado em uma EC2 instância da Amazon ou em um contêiner, o que permite que um invasor aumente os privilégios.

Gravidade padrão: média

Essa descoberta informa que um comando suspeito foi executado em uma EC2 instância da Amazon ou em um contêiner dentro do seu AWS ambiente. O comando tenta realizar o escalonamento de privilégios, o que permite que um adversário execute tarefas de alto privilégio.

GuardDuty examina a atividade e o contexto relacionados ao tempo de execução e gera esse tipo de descoberta somente quando a atividade e o contexto associados são incomuns ou suspeitos.

A EC2 instância da Amazon ou o contêiner que está listado nos detalhes da descoberta pode ter sido comprometido.

O agente GuardDuty de tempo de execução monitora eventos de vários recursos. Para identificar o recurso afetado, veja o tipo de recurso nos detalhes das descobertas no GuardDuty console.

Recomendações de correção:

Se essa atividade for inesperada, seu recurso pode estar comprometido. Para obter mais informações, consulte Como corrigir as descobertas do Monitoramento de runtime.