Formato de descoberta do GuardDuty - Amazon GuardDuty
OBJETIVO DA AMEAÇA

Formato de descoberta do GuardDuty

Quando o GuardDuty detecta comportamento suspeito ou inesperado no seu ambiente da AWS, ele gera uma descoberta. Uma descoberta é uma notificação que contém os detalhes sobre um possível problema de segurança que o GuardDuty descobre. Os Como revisar descobertas do GuardDuty no console do GuardDuty incluem informações sobre o que aconteceu, quais recursos AWS estavam envolvidos nas atividades suspeitas, quando essa atividade ocorreu e outras informações que possam ajudar você a entender a causa raiz.

Uma das informações mais úteis nos detalhes de descoberta é um tipo de descoberta. O objetivo do tipo de descoberta é fornecer uma descrição concisa e legível do possível problema de segurança. Por exemplo, o tipo de descoberta Recon:EC2/PortProbeUnprotectedPort do GuardDuty informa a você rapidamente que, em algum lugar do seu ambiente da AWS, uma instância do EC2 tem uma porta desprotegida que está sendo testada por um possível invasor.

O GuardDuty usa o seguinte formato para nomear os vários tipos de descoberta que ele gera:

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!Artifact

Cada parte desse formato representa um aspecto de um tipo de descoberta. Esses aspectos têm as seguintes explicações:

  • ThreatPurpose: descreve o objetivo principal de uma ameaça, um tipo de ataque ou uma fase de um ataque potencial. Consulte a seção a seguir para obter uma lista completa das finalidades de ameaças do GuardDuty.

  • ResourceTypeAffected: descreve qual tipo de recurso da AWS é identificado nessa descoberta como o alvo potencial de um adversário. Atualmente, o GuardDuty pode gerar descobertas para os tipos de recursos listados no Descobertas ativas do GuardDuty.

  • ThreatFamilyName: descreve a ameaça geral ou possível atividade mal-intencionada que o GuardDuty está detectando. Por exemplo, um valor de NetworkPortUnusual indica que uma instância do EC2 identificada na descoberta do GuardDuty não tem histórico prévio de comunicações em uma determinada porta remota que também é identificada na descoberta.

  • DetectionMechanism: descreve o método pelo qual o GuardDuty detectou a descoberta. Isso pode ser usado para indicar uma variação em um tipo de descoberta comum ou uma descoberta que o GuardDuty usou um mecanismo específico para detectar. Por exemplo, Backdoor:EC2/DenialOfService.Tcp indica que a negação de serviço (DoS) foi detectada por TCP. A variante do UDP é Backdoor:EC2/DenialOfService.Udp.

    Um valor de .Custom indica que o GuardDuty detectou a descoberta com base em suas listas de ameaças personalizadas. Para ter mais informações, consulte Listas de IPs confiáveis e ameaças.

    Um valor .Reputation indica que o GuardDuty detectou a descoberta usando um modelo de pontuação de reputação de domínio. Para obter mais informações, consulte Como AWS rastrear as maiores ameaças à segurança da nuvem e ajudar a eliminá-las.

  • Artefato – descreve um recurso específico que pertence a uma ferramenta usada no ataque. Por exemplo, DNS no tipo de descoberta indica CryptoCurrency:EC2/BitcoinTool.B!DNS que uma instância do Amazon EC2 está se comunicando com um domínio conhecido relacionado a Bitcoin.

    nota

    O artefato é opcional e talvez não esteja disponível para todos os tipos de descoberta do GuardDuty.

OBJETIVO DA AMEAÇA

No GuardDuty, uma finalidade da ameaça descreve a finalidade principal de uma ameaça, um tipo de ataque ou um estágio de um possível ataque. Por exemplo, alguns propósitos de ameaça, como Backdoor, indicam um tipo de ataque. No entanto, alguns propósitos de ameaça, como Impact, estão alinhados às táticas do MITRE ATT&CK. As táticas do MITRE ATT&CK indicam diferentes fases no ciclo de ataque de um adversário. Na versão atual do GuardDuty, o ThreatPurpose pode ter os seguintes valores:

Backdoor

Esse valor indica que um adversário comprometeu um recurso da AWS e o alterou de modo que ele seja capaz de entrar em contato com o servidor de comando e controle (C&C) local para receber instruções adicionais para atividades mal-intencionadas.

Comportamento

Esse valor indica que o GuardDuty detectou atividade ou padrões de atividade que são diferentes da linha de base estabelecida para os recursos da AWS envolvidos.

CredentialAccess

Esse valor indica que o GuardDuty detectou padrões de atividade que um adversário pode usar para roubar credenciais, como senhas, nomes de usuário e chaves de acesso do seu ambiente. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.

Criptomoedas

Esse valor indica que o GuardDuty detectou que um recurso da AWS em seu ambiente está hospedando software associado a criptomoedas (por exemplo, Bitcoin).

DefenseEvasion

Esse valor indica que o GuardDuty detectou atividades ou padrões de atividade que um adversário pode usar para evitar a detecção ao se infiltrar em seu ambiente. O propósito dessa ameaça é baseado nas táticas do MITRE ATT&CK

Descoberta

Esse valor indica que o GuardDuty detectou atividades ou padrões de atividade que um adversário pode usar para expandir seu conhecimento sobre seus sistemas e redes internas. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.

Execução

Esse valor indica que o GuardDuty detectou que um adversário pode tentar executar, ou já tem um código mal-intencionado para explorar o ambiente de AWS ou roubar dados. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.

Exfiltration

Esse valor indica que o GuardDuty detectou atividades ou padrões de atividade que um adversário pode usar ao tentar roubar dados de seu ambiente. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.

Impacto

Esse valor indica que o GuardDuty detectou atividades ou padrões de atividade que sugerem que um adversário está tentando manipular, interromper ou destruir seus sistemas e dados. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.

InitialAccess

Este valor é comumente associado ao estágio inicial de acesso de um ataque, quando um adversário está tentando estabelecer acesso ao seu ambiente. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.

Teste de penetração

Às vezes, os proprietários de recursos da AWS ou seus representantes autorizados executam intencionalmente testes em aplicativos da AWS para encontrar vulnerabilidades, como grupos de segurança abertos ou chaves de acesso excessivamente permissivas. Esses testes de penetração são feitos na tentativa de identificar e bloquear recursos vulneráveis ​​antes que eles sejam descobertos por invasores. No entanto, algumas das ferramentas usadas por testadores de penetração autorizados estão disponíveis gratuitamente e podem ser usadas por usuários não autorizados ou invasores para executar testes de sondagem. Embora o GuardDuty não possa identificar a verdadeira finalidade por trás dessa atividade, o valor do Teste de penetração indica que o GuardDuty está detectando essa atividade e que ela é semelhante à atividade gerada por ferramentas de teste de penetração conhecidas e isso deve indicar sondagem mal-intencionada de sua rede.

Persistência

Esse valor indica que o GuardDuty detectou atividades ou padrões de atividade que um adversário pode usar para tentar manter o acesso aos seus sistemas, mesmo que sua rota de acesso inicial seja cortada. Por exemplo, isso pode incluir a criação de um novo usuário do IAM após obter acesso por meio das credenciais comprometidas de um usuário existente. Quando as credenciais do usuário existente forem excluídas, o adversário manterá o acesso ao novo usuário que não foi detectado como parte do evento original. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.

Política

Esse valor indica que sua conta da Conta da AWS está exibindo um comportamento que viola as práticas recomendadas de segurança. Por exemplo, a modificação não intencional de políticas de permissão associadas aos seus recursos AWS ou ambiente e o uso de contas privilegiadas que deveriam ter pouco ou nenhum uso.

PrivilegeEscalation

Esse valor informa que a entidade principal envolvida em seu ambiente da AWS está exibindo um comportamento que um adversário pode usar para obter permissões de nível superior para sua rede. Esse propósito de ameaça é baseado nas táticas do MITRE ATT&CK.

Recon

Esse valor indica que o GuardDuty detectou atividades ou padrões de atividade que um adversário pode usar ao realizar o reconhecimento de seu ambiente para determinar como ele pode ampliar seu acesso ou utilizar seus recursos. Por exemplo, essa atividade pode incluir a análise de vulnerabilidades em seu ambiente da AWS examinando portas, fazendo chamadas de API, listando usuários, tabelas de banco de dados e assim por diante.

Stealth

Esse valor indica que um adversário está ativamente tentando esconder suas ações. Por exemplo, eles podem usar um servidor proxy anônimo, tornando extremamente difícil avaliar a verdadeira natureza da atividade.

Trojan

Esse valor indica que um ataque está usando programas de Trojan que realizam atividades mal-intencionadas silenciosas. Às vezes, esse software assume a aparência de um programa legítimo. Às vezes, os usuários executam esse software acidentalmente. Outras vezes, esse software pode ser executado automaticamente por meio da exploração de uma vulnerabilidade.

UnauthorizedAccess

Esse valor indica que o GuardDuty está detectando atividade suspeita ou um padrão de atividade suspeita realizada por um indivíduo não autorizado.