GuardDuty formato de busca

Quando GuardDuty detecta um comportamento suspeito ou inesperado em seu AWS ambiente, ele gera uma descoberta. Uma descoberta é uma notificação que contém os detalhes sobre um possível problema de segurança GuardDuty descoberto. Visualizando as descobertas geradas no GuardDuty consoleIncluem informações sobre o que aconteceu, quais AWS recursos estavam envolvidos na atividade suspeita, quando essa atividade ocorreu e informações relacionadas que podem ajudar você a entender a causa raiz.

Uma das informações mais úteis nos detalhes de descoberta é um tipo de descoberta. O objetivo do tipo de descoberta é fornecer uma descrição concisa e legível do possível problema de segurança. Por exemplo, o tipo de PortProbeUnprotectedPort descoberta GuardDuty Recon:EC2/informa rapidamente que, em algum lugar do seu AWS ambiente, uma EC2 instância tem uma porta desprotegida que um potencial invasor está investigando.

GuardDuty usa o seguinte formato para nomear os vários tipos de descobertas que ele gera:

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName. DetectionMechanism! Artifato

Cada parte desse formato representa um aspecto de um tipo de descoberta. Esses aspectos têm as seguintes explicações:

ThreatPurpose- descreve o objetivo principal de uma ameaça, um tipo de ataque ou um estágio de um possível ataque. Consulte a seção a seguir para obter uma lista completa das finalidades de GuardDuty ameaças.
ResourceTypeAffected- descreve qual tipo de AWS recurso é identificado nesta descoberta como o alvo potencial de um adversário. Atualmente, GuardDuty pode gerar descobertas para os tipos de recursos listados noGuardDuty tipos de descoberta ativa.
ThreatFamilyName- descreve a ameaça geral ou a potencial atividade maliciosa que GuardDuty está sendo detectada. Por exemplo, um valor de NetworkPortUnusualindica que uma EC2 instância identificada na GuardDuty descoberta não tem histórico anterior de comunicações em uma porta remota específica que também está identificada na descoberta.
DetectionMechanism- descreve o método no qual GuardDuty detectou a descoberta. Isso pode ser usado para indicar uma variação em um tipo de descoberta comum ou uma descoberta que GuardDuty usou um mecanismo específico para detectar. Por exemplo, Backdoor:EC2/DenialOfService.Tcp indica que a negação de serviço (DoS) foi detectada por TCP. A variante UDP é Backdoor:EC2/DenialOfService.Udp.

Um valor de .Custom indica que GuardDuty detectou a descoberta com base em suas listas de ameaças personalizadas. Para obter mais informações, consulte Listas de IPs confiáveis e ameaças.

Um valor de .Reputation indica que GuardDuty detectou a descoberta usando um modelo de pontuação de reputação de domínio. Para obter mais informações, consulte Como AWS rastreia as maiores ameaças à segurança da nuvem e ajuda a eliminá-las.
Artefato: descreve um recurso específico que pertence a uma ferramenta usada no ataque. Por exemplo, o DNS no tipo de descoberta CryptoCurrency:EC2/BitcoinTool.B!DNS indica que uma EC2 instância da Amazon está se comunicando com um domínio conhecido relacionado ao Bitcoin.

nota
O artefato é opcional e pode não estar disponível para todos os tipos de GuardDuty descoberta.

OBJETIVO DA AMEAÇA

Em GuardDuty uma ameaça, o propósito descreve o objetivo principal de uma ameaça, um tipo de ataque ou um estágio de um possível ataque. Por exemplo, alguns propósitos de ameaça, como Backdoor, indicam um tipo de ataque. No entanto, alguns propósitos de ameaça, como Impact, estão alinhados às táticas do MITRE ATT&CK. As táticas do MITRE ATT&CK indicam diferentes fases no ciclo de ataque de um adversário. Na versão atual do GuardDuty, ThreatPurpose pode ter os seguintes valores:

Backdoor: Esse valor indica que um adversário comprometeu um AWS recurso e alterou o recurso para que seja capaz de entrar em contato com seu servidor de comando e controle (C&C) doméstico para receber mais instruções sobre atividades maliciosas.
Comportamento: Esse valor indica que GuardDuty detectou atividade ou padrões de atividade diferentes da linha de base estabelecida para os AWS recursos envolvidos.
CredentialAccess: Esse valor indica que GuardDuty detectou padrões de atividade que um adversário pode usar para roubar credenciais, como senhas, nomes de usuário e chaves de acesso, do seu ambiente. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.
Criptomoedas: Esse valor indica que GuardDuty foi detectado que um AWS recurso em seu ambiente está hospedando software associado a criptomoedas (por exemplo, Bitcoin).
DefenseEvasion: Esse valor indica que GuardDuty detectou atividade ou padrões de atividade que um adversário pode usar para evitar a detecção ao se infiltrar em seu ambiente. O propósito dessa ameaça é baseado nas táticas do MITRE ATT&CK
Descoberta: Esse valor indica que GuardDuty detectou atividade ou padrões de atividade que um adversário pode usar para expandir seu conhecimento sobre seus sistemas e redes internas. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.
Execução: Esse valor indica que GuardDuty detectou que um adversário pode tentar executar ou já executou um código malicioso para explorar o AWS ambiente ou roubar dados. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.
Exfiltration: Esse valor indica que GuardDuty detectou atividade ou padrões de atividade que um adversário pode usar ao tentar roubar dados do seu ambiente. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.
Impacto: Esse valor indica que GuardDuty detectou atividades ou padrões de atividade que sugerem que um adversário está tentando manipular, interromper ou destruir seus sistemas e dados. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.
InitialAccess: Este valor é comumente associado ao estágio inicial de acesso de um ataque, quando um adversário está tentando estabelecer acesso ao seu ambiente. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.
Teste de penetração: Às vezes, proprietários de AWS recursos ou seus representantes autorizados intencionalmente executam testes em AWS aplicativos para encontrar vulnerabilidades, como grupos de segurança abertos ou chaves de acesso que são excessivamente permissivas. Esses testes de penetração são feitos na tentativa de identificar e bloquear recursos vulneráveis antes que eles sejam descobertos por invasores. No entanto, algumas das ferramentas usadas por testadores de penetração autorizados estão disponíveis gratuitamente e podem ser usadas por usuários não autorizados ou invasores para executar testes de sondagem. Embora não GuardDuty consiga identificar o verdadeiro propósito por trás dessa atividade, o valor do Pentest indica que GuardDuty está detectando essa atividade, que ela é semelhante à atividade gerada por ferramentas conhecidas de teste de caneta e que pode indicar uma sondagem maliciosa de sua rede.
Persistência: Esse valor indica que GuardDuty detectou atividades ou padrões de atividade que um adversário pode usar para tentar manter o acesso aos seus sistemas, mesmo que sua rota de acesso inicial seja cortada. Por exemplo, isso pode incluir a criação de um novo usuário do IAM após obter acesso por meio das credenciais comprometidas de um usuário existente. Quando as credenciais do usuário existente forem excluídas, o adversário manterá o acesso ao novo usuário que não foi detectado como parte do evento original. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.
Política: Esse valor indica que você Conta da AWS está exibindo um comportamento que vai contra as melhores práticas de segurança recomendadas. Por exemplo, a modificação não intencional de políticas de permissão associadas aos seus recursos AWS ou ambiente e o uso de contas privilegiadas que deveriam ter pouco ou nenhum uso.
PrivilegeEscalation: Esse valor informa que a entidade principal envolvida em seu ambiente da AWS está exibindo um comportamento que um adversário pode usar para obter permissões de nível superior para sua rede. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.
Recon: Esse valor indica que GuardDuty detectou atividades ou padrões de atividade que um adversário pode usar ao realizar o reconhecimento de seu ambiente para determinar como ele pode ampliar seu acesso ou utilizar seus recursos. Por exemplo, essa atividade pode incluir a análise de vulnerabilidades em seu ambiente da AWS examinando portas, fazendo chamadas de API, listando usuários, tabelas de banco de dados e assim por diante.
Stealth: Esse valor indica que um adversário está ativamente tentando esconder suas ações. Por exemplo, eles podem usar um servidor proxy anônimo, tornando extremamente difícil avaliar a verdadeira natureza da atividade.
Trojan: Esse valor indica que um ataque está usando programas de Trojan que realizam atividades mal-intencionadas silenciosas. Às vezes, esse software assume a aparência de um programa legítimo. Às vezes, os usuários executam esse software acidentalmente. Outras vezes, esse software pode ser executado automaticamente por meio da exploração de uma vulnerabilidade.
UnauthorizedAccess: Esse valor indica que GuardDuty está detectando uma atividade suspeita ou um padrão de atividade suspeita por uma pessoa não autorizada.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Noções básicas e geração de descobertas

GuardDuty mecanismo de verificação de detecção de malware

GuardDuty formato de busca

nota

OBJETIVO DA AMEAÇA