As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

GuardDuty tipos de localização de sequência de ataque

GuardDuty detecta uma sequência de ataque quando uma sequência específica de várias ações se alinha a uma atividade potencialmente suspeita. Uma sequência de ataque inclui sinais como API atividades e GuardDuty descobertas. Quando GuardDuty observa um grupo de sinais em uma sequência específica que indica uma ameaça à segurança em andamento, contínua ou recente, GuardDuty gera uma descoberta da sequência de ataque. GuardDuty considera API as atividades individuais weak signals porque elas não se apresentam como uma ameaça potencial.

As detecções da sequência de ataque se concentram no possível comprometimento dos dados do Amazon S3 (que podem ser parte de um ataque mais amplo de ransomware) e AWS nas credenciais comprometidas. As seções a seguir fornecem detalhes sobre cada uma das sequências de ataque.

AttackSequence:IAM/CompromisedCredentials

Uma sequência de API solicitações que foram invocadas usando credenciais potencialmente comprometidas. AWS

Essa descoberta informa que GuardDuty detectou uma sequência de ações suspeitas feitas usando AWS credenciais que afetam um ou mais recursos em seu ambiente. Vários comportamentos de ataque suspeitos e anômalos foram observados pelas mesmas credenciais, resultando em maior confiança de que as credenciais estão sendo mal utilizadas.

GuardDuty usa seus algoritmos de correlação de propriedades para observar e identificar a sequência de ações realizadas usando a IAM credencial. GuardDuty avalia as descobertas em planos de proteção e outras fontes de sinal para identificar padrões de ataque comuns e emergentes. GuardDuty usa vários fatores para revelar ameaças, como reputação de IP, API sequências, configuração do usuário e recursos potencialmente afetados.

Ações de remediação: se esse comportamento for inesperado em seu ambiente, suas AWS credenciais podem ter sido comprometidas. Para obter as etapas de correção, consulteComo corrigir credenciais possivelmente AWS comprometidas. As credenciais comprometidas podem ter sido usadas para criar ou modificar recursos adicionais, como buckets, AWS Lambda funções ou instâncias da Amazon S3, em seu EC2 ambiente. Para ver as etapas para remediar outros recursos que possam ter sido potencialmente afetados, consulte. Como corrigir as descobertas de segurança detectadas do GuardDuty

AttackSequence:S3/CompromisedData

Uma sequência de API solicitações foi invocada em uma possível tentativa de exfiltrar ou destruir dados no Amazon S3.

Essa descoberta informa que GuardDuty detectou uma sequência de ações suspeitas indicativas de comprometimento de dados em um ou mais buckets do Amazon Simple Storage Service (Amazon S3), usando credenciais potencialmente comprometidas. AWS Vários comportamentos de ataque (APIsolicitações) suspeitos e anômalos foram observados, resultando em maior confiança de que as credenciais estão sendo mal utilizadas.

GuardDuty usa seus algoritmos de correlação para observar e identificar a sequência de ações realizadas usando a IAM credencial. GuardDuty em seguida, avalia as descobertas em planos de proteção e outras fontes de sinal para identificar padrões de ataque comuns e emergentes. GuardDuty usa vários fatores para revelar ameaças, como reputação de IP, API sequências, configuração do usuário e recursos potencialmente afetados.

Ações de remediação: Se essa atividade for inesperada em seu ambiente, suas AWS credenciais ou dados do Amazon S3 podem ter sido potencialmente exfiltrados ou destruídos. Para obter as etapas de correção, consulte Como corrigir credenciais possivelmente AWS comprometidas e. Como corrigir um bucket do S3 possivelmente comprometido