GuardDuty tipos de descoberta - Amazon GuardDuty
GuardDuty encontrando tipos por meio de recursos potencialmente afetadosGuardDuty descobertas ativas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

GuardDuty tipos de descoberta

Para obter informações sobre mudanças importantes nos tipos de GuardDuty descoberta, incluindo tipos de descoberta recém-adicionados ou retirados, consulteHistórico de documentos da Amazon GuardDuty.

Para obter informações sobre os tipos de busca que agora estão desabilitados, consulte Tipos de descoberta desabilitados.

GuardDuty encontrando tipos por meio de recursos potencialmente afetados

As páginas a seguir são categorizadas pelo tipo de recurso potencialmente afetado associado a uma GuardDuty descoberta:

GuardDuty descobertas ativas

A tabela a seguir mostra todos os tipos de descoberta habilita classificados pela fonte de dados ou recurso fundamental, conforme aplicável. Alguns dos tipos de descoberta a seguir podem ter uma gravidade variável, indicada por um asterisco (*). Para informações sobre a gravidade variável de um tipo de descoberta, veja a descrição detalhada desse tipo de descoberta.

Tipo de descoberta

Tipo de recurso

Fonte/atributo de dados fundamentais

Gravidade da descoberta

Discovery:S3/AnomalousBehavior

Amazon S3

CloudTrail eventos de dados para S3

Baixo

Discovery:S3/MaliciousIPCaller

Amazon S3

CloudTrail eventos de dados para S3

Alta

Discovery:S3/MaliciousIPCaller.Custom

Amazon S3

CloudTrail eventos de dados para S3

Alta

Discovery:S3/TorIPCaller

Amazon S3

CloudTrail eventos de dados para S3

Médio

Exfiltration:S3/AnomalousBehavior

Amazon S3

CloudTrail eventos de dados para S3

Alta

Exfiltration:S3/MaliciousIPCaller

Amazon S3

CloudTrail eventos de dados para S3

Alta

Impact:S3/AnomalousBehavior.Delete

Amazon S3

CloudTrail eventos de dados para S3

Alta

Impact:S3/AnomalousBehavior.Permission

Amazon S3

CloudTrail eventos de dados para S3

Alta

Impact:S3/AnomalousBehavior.Write

Amazon S3

CloudTrail eventos de dados para S3

Médio

Impact:S3/MaliciousIPCaller

Amazon S3

CloudTrail eventos de dados para S3

Alta

PenTest:S3/KaliLinux

Amazon S3

CloudTrail eventos de dados para S3

Médio

PenTest:S3/ParrotLinux

Amazon S3

CloudTrail eventos de dados para S3

Médio

PenTest:S3/PentooLinux

Amazon S3

CloudTrail eventos de dados para S3

Médio

UnauthorizedAccess:S3/TorIPCaller

Amazon S3

CloudTrail eventos de dados para S3

Alta

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Amazon S3

CloudTrail eventos de dados para S3

Alta

CredentialAccess:IAMUser/AnomalousBehavior

IAM

CloudTrail evento de gestão

Médio

DefenseEvasion:IAMUser/AnomalousBehavior

IAM

CloudTrail evento de gestão

Médio

Discovery:IAMUser/AnomalousBehavior

IAM

CloudTrail evento de gestão

Baixo

Exfiltration:IAMUser/AnomalousBehavior

IAM

CloudTrail evento de gestão

Alta

Impact:IAMUser/AnomalousBehavior

IAM

CloudTrail evento de gestão

Alta

InitialAccess:IAMUser/AnomalousBehavior

IAM

CloudTrail evento de gestão

Médio

PenTest:IAMUser/KaliLinux

IAM

CloudTrail evento de gestão

Médio

PenTest:IAMUser/ParrotLinux

IAM

CloudTrail evento de gestão

Médio

PenTest:IAMUser/PentooLinux

IAM

CloudTrail evento de gestão

Médio

Persistence:IAMUser/AnomalousBehavior

IAM

CloudTrail evento de gestão

Médio

Stealth:IAMUser/PasswordPolicyChange

IAM

CloudTrail evento de gestão

Baixo*

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

IAM

CloudTrail evento de gestão

Alto

Policy:S3/AccountBlockPublicAccessDisabled

Amazon S3

CloudTrail evento de gestão

Baixo

Policy:S3/BucketAnonymousAccessGranted

Amazon S3

CloudTrail evento de gestão

Alta

Policy:S3/BucketBlockPublicAccessDisabled

Amazon S3

CloudTrail evento de gestão

Baixo

Policy:S3/BucketPublicAccessGranted

Amazon S3

CloudTrail evento de gestão

Alta

PrivilegeEscalation:IAMUser/AnomalousBehavior

IAM

CloudTrail evento de gestão

Médio

Recon:IAMUser/MaliciousIPCaller

IAM

CloudTrail evento de gestão

Médio

Recon:IAMUser/MaliciousIPCaller.Custom

IAM

CloudTrail evento de gestão

Médio

Recon:IAMUser/TorIPCaller

IAM

CloudTrail evento de gestão

Médio

Stealth:IAMUser/CloudTrailLoggingDisabled

IAM

CloudTrail evento de gestão

Baixo

Stealth:S3/ServerAccessLoggingDisabled

Amazon S3

CloudTrail evento de gestão

Baixo

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

IAM

CloudTrail evento de gestão

Médio

UnauthorizedAccess:IAMUser/MaliciousIPCaller

IAM

CloudTrail evento de gestão

Médio

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

IAM

CloudTrail evento de gestão

Médio

UnauthorizedAccess:IAMUser/TorIPCaller

IAM

CloudTrail evento de gestão

Médio

Policy:IAMUser/RootCredentialUsage

IAM

CloudTrail eventos de gerenciamento ou eventos CloudTrail de dados para S3

Baixo

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

IAM

CloudTrail eventos de gerenciamento ou eventos CloudTrail de dados para S3

Alta

Backdoor:EC2/C&CActivity.B!DNS

Amazon EC2

DNStroncos

Alta

CryptoCurrency:EC2/BitcoinTool.B!DNS

Amazon EC2

DNStroncos

Alta

Impact:EC2/AbusedDomainRequest.Reputation

Amazon EC2

DNStroncos

Médio

Impact:EC2/BitcoinDomainRequest.Reputation

Amazon EC2

DNStroncos

Alta

Impact:EC2/MaliciousDomainRequest.Reputation

Amazon EC2

DNStroncos

Alta

Impact:EC2/SuspiciousDomainRequest.Reputation

Amazon EC2

DNStroncos

Baixo

Trojan:EC2/BlackholeTraffic!DNS

Amazon EC2

DNStroncos

Médio

Trojan:EC2/DGADomainRequest.B

Amazon EC2

DNStroncos

Alta

Trojan:EC2/DGADomainRequest.C!DNS

Amazon EC2

DNStroncos

Alta

Trojan:EC2/DNSDataExfiltration

Amazon EC2

DNStroncos

Alta

Trojan:EC2/DriveBySourceTraffic!DNS

Amazon EC2

DNStroncos

Alta

Trojan:EC2/DropPoint!DNS

Amazon EC2

DNStroncos

Médio

Trojan:EC2/PhishingDomainRequest!DNS

Amazon EC2

DNStroncos

Alta

UnauthorizedAccess:EC2/MetadataDNSRebind

Amazon EC2

DNStroncos

Alta

Execution:Container/MaliciousFile

Contêiner

EBSProteção contra malware

Varia de acordo com a ameaça detectada

Execution:Container/SuspiciousFile

Contêiner

EBSProteção contra malware

Varia de acordo com a ameaça detectada

Execution:EC2/MaliciousFile

EC2

EBSProteção contra malware

Varia de acordo com a ameaça detectada

Execution:EC2/SuspiciousFile

EC2

EBSProteção contra malware

Varia de acordo com a ameaça detectada

Execution:ECS/MaliciousFile

ECS

EBSProteção contra malware

Varia de acordo com a ameaça detectada

Execution:ECS/SuspiciousFile

ECS

EBSProteção contra malware

Varia de acordo com a ameaça detectada

Execution:Kubernetes/MaliciousFile

Kubernetes

EBSProteção contra malware

Varia de acordo com a ameaça detectada

Execution:Kubernetes/SuspiciousFile

Kubernetes

EBSProteção contra malware

Varia de acordo com a ameaça detectada

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

Kubernetes

EKSregistros de auditoria

Médio

CredentialAccess:Kubernetes/MaliciousIPCaller

Kubernetes

EKSregistros de auditoria

Alta

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

EKSregistros de auditoria

Alta

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

EKSregistros de auditoria

Alta

CredentialAccess:Kubernetes/TorIPCaller

Kubernetes

EKSregistros de auditoria

Alta

DefenseEvasion:Kubernetes/MaliciousIPCaller

Kubernetes

EKSregistros de auditoria

Alta

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

EKSregistros de auditoria

Alta

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

EKSregistros de auditoria

Alta

DefenseEvasion:Kubernetes/TorIPCaller

Kubernetes

EKSregistros de auditoria

Alta

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

Kubernetes

EKSregistros de auditoria

Baixo

Discovery:Kubernetes/MaliciousIPCaller

Kubernetes

EKSregistros de auditoria

Médio

Discovery:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

EKSregistros de auditoria

Médio

Discovery:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

EKSregistros de auditoria

Médio

Discovery:Kubernetes/TorIPCaller

Kubernetes

EKSregistros de auditoria

Médio

Execution:Kubernetes/ExecInKubeSystemPod

Kubernetes

EKSregistros de auditoria

Médio

Execution:Kubernetes/AnomalousBehavior.ExecInPod

Kubernetes

EKSregistros de auditoria

Médio

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

Kubernetes

EKSregistros de auditoria

Baixo

Impact:Kubernetes/MaliciousIPCaller

Kubernetes

EKSregistros de auditoria

Alta

Impact:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

EKSregistros de auditoria

Alta

Impact:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

EKSregistros de auditoria

Alta

Impact:Kubernetes/TorIPCaller

Kubernetes

EKSregistros de auditoria

Alta

Persistence:Kubernetes/ContainerWithSensitiveMount

Kubernetes

EKSregistros de auditoria

Médio

Persistence:Kubernetes/MaliciousIPCaller

Kubernetes

EKSregistros de auditoria

Médio

Persistence:Kubernetes/MaliciousIPCaller.Custom

Kubernetes

EKSregistros de auditoria

Médio

Persistence:Kubernetes/SuccessfulAnonymousAccess

Kubernetes

EKSregistros de auditoria

Alta

Persistence:Kubernetes/TorIPCaller

Kubernetes

EKSregistros de auditoria

Médio

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Kubernetes

EKSregistros de auditoria

Alta

Policy:Kubernetes/AnonymousAccessGranted

Kubernetes

EKSregistros de auditoria

Alta

Policy:Kubernetes/KubeflowDashboardExposed

Kubernetes

EKSregistros de auditoria

Médio

Policy:Kubernetes/ExposedDashboard

Kubernetes

EKSregistros de auditoria

Médio

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

Kubernetes

EKSregistros de auditoria

Médio*

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

Kubernetes

EKSregistros de auditoria

Baixo

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

Kubernetes

EKSregistros de auditoria

Alta

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

Kubernetes

EKSregistros de auditoria

Alta

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Kubernetes

EKSregistros de auditoria

Médio

Backdoor:Lambda/C&CActivity.B

Lambda

Monitoramento de atividades da rede Lambda

Alta

CryptoCurrency:Lambda/BitcoinTool.B

Lambda

Monitoramento de atividades da rede Lambda

Alta

Trojan:Lambda/BlackholeTraffic

Lambda

Monitoramento de atividades da rede Lambda

Médio

Trojan:Lambda/DropPoint

Lambda

Monitoramento de atividades da rede Lambda

Médio

UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom

Lambda

Monitoramento de atividades da rede Lambda

Médio

UnauthorizedAccess:Lambda/TorClient

Lambda

Monitoramento de atividades da rede Lambda

Alta

UnauthorizedAccess:Lambda/TorRelay

Lambda

Monitoramento de atividades da rede Lambda

Alta

CredentialAccess:RDS/AnomalousBehavior.FailedLogin

Bancos de dados Amazon Aurora e Amazon compatíveis RDS

RDSMonitoramento de atividades de login

Baixo

CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce

Bancos de dados Amazon Aurora e Amazon compatíveis RDS

RDSMonitoramento de atividades de login

Alta

CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin

Bancos de dados Amazon Aurora e Amazon compatíveis RDS

RDSMonitoramento de atividades de login

Variável

CredentialAccess:RDS/MaliciousIPCaller.FailedLogin

Bancos de dados Amazon Aurora e Amazon compatíveis RDS

RDSMonitoramento de atividades de login

Médio

CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin

Bancos de dados Amazon Aurora e Amazon compatíveis RDS

RDSMonitoramento de atividades de login

Alta

CredentialAccess:RDS/TorIPCaller.FailedLogin

Bancos de dados Amazon Aurora e Amazon compatíveis RDS

RDSMonitoramento de atividades de login

Médio

CredentialAccess:RDS/TorIPCaller.SuccessfulLogin

Bancos de dados Amazon Aurora e Amazon compatíveis RDS

RDSMonitoramento de atividades de login

Alta

Discovery:RDS/MaliciousIPCaller

Bancos de dados Amazon Aurora e Amazon compatíveis RDS

RDSMonitoramento de atividades de login

Médio

Discovery:RDS/TorIPCaller

Bancos de dados Amazon Aurora e Amazon compatíveis RDS

RDSMonitoramento de atividades de login

Médio

Backdoor:Runtime/C&CActivity.B

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

Backdoor:Runtime/C&CActivity.B!DNS

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

CryptoCurrency:Runtime/BitcoinTool.B

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

DefenseEvasion:Runtime/FilelessExecution

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

DefenseEvasion:Runtime/ProcessInjection.Proc

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

DefenseEvasion:Runtime/ProcessInjection.Ptrace

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

DefenseEvasion:Runtime/PtraceAntiDebugging

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Baixo

DefenseEvasion:Runtime/SuspiciousCommand

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

Discovery:Runtime/SuspiciousCommand

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Baixo

Execution:Runtime/MaliciousFileExecuted

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

Execution:Runtime/NewBinaryExecuted

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

Execution:Runtime/NewLibraryLoaded

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

Execution:Runtime/SuspiciousCommand

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Variável

Execution:Runtime/SuspiciousShellCreated

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Baixo

Execution:Runtime/SuspiciousTool

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Variável

Execution:Runtime/ReverseShell

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

Impact:Runtime/AbusedDomainRequest.Reputation

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

Impact:Runtime/BitcoinDomainRequest.Reputation

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

Impact:Runtime/CryptoMinerExecuted

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

Impact:Runtime/MaliciousDomainRequest.Reputation

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

Impact:Runtime/SuspiciousDomainRequest.Reputation

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Baixo

Persistence:Runtime/SuspiciousCommand

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

PrivilegeEscalation:Runtime/DockerSocketAccessed

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

PrivilegeEscalation:Runtime/ElevationToRoot

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

PrivilegeEscalation:Runtime/RuncContainerEscape

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

PrivilegeEscalation:Runtime/SuspiciousCommand

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

PrivilegeEscalation:Runtime/UserfaultfdUsage

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

Trojan:Runtime/BlackholeTraffic

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

Trojan:Runtime/BlackholeTraffic!DNS

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

Trojan:Runtime/DropPoint

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

Trojan:Runtime/DGADomainRequest.C!DNS

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

Trojan:Runtime/DriveBySourceTraffic!DNS

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

Trojan:Runtime/DropPoint!DNS

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Médio

Trojan:Runtime/PhishingDomainRequest!DNS

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

UnauthorizedAccess:Runtime/MetadataDNSRebind

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

UnauthorizedAccess:Runtime/TorClient

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

UnauthorizedAccess:Runtime/TorRelay

Instância, EKS cluster, ECS cluster ou contêiner

Monitoramento de runtime

Alta

Backdoor:EC2/C&CActivity.B

EC2

Logs de fluxo do VPC

Alta

Backdoor:EC2/DenialOfService.Dns

EC2

Logs de fluxo do VPC

Alta

Backdoor:EC2/DenialOfService.Tcp

EC2

Logs de fluxo do VPC

Alta

Backdoor:EC2/DenialOfService.Udp

EC2

Logs de fluxo do VPC

Alta

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2

Logs de fluxo do VPC

Alta

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2

Logs de fluxo do VPC

Alta

Backdoor:EC2/Spambot

EC2

Logs de fluxo do VPC

Médio

Behavior:EC2/NetworkPortUnusual

EC2

Logs de fluxo do VPC

Médio

Behavior:EC2/TrafficVolumeUnusual

EC2

Logs de fluxo do VPC

Médio

CryptoCurrency:EC2/BitcoinTool.B

EC2

Logs de fluxo do VPC

Alta

DefenseEvasion:EC2/UnusualDNSResolver

EC2

Logs de fluxo do VPC

Médio

DefenseEvasion:EC2/UnusualDoHActivity

EC2

Logs de fluxo do VPC

Médio

DefenseEvasion:EC2/UnusualDoTActivity

EC2

Logs de fluxo do VPC

Médio

Impact:EC2/PortSweep

EC2

Logs de fluxo do VPC

Alta

Impact:EC2/WinRMBruteForce

EC2

Logs de fluxo do VPC

Baixo*

Recon:EC2/PortProbeEMRUnprotectedPort

EC2

Logs de fluxo do VPC

Alta

Recon:EC2/PortProbeUnprotectedPort

EC2

Logs de fluxo do VPC

Baixo*

Recon:EC2/Portscan

EC2

Logs de fluxo do VPC

Médio

Trojan:EC2/BlackholeTraffic

EC2

Logs de fluxo do VPC

Médio

Trojan:EC2/DropPoint

EC2

Logs de fluxo do VPC

Médio

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2

Logs de fluxo do VPC

Médio

UnauthorizedAccess:EC2/RDPBruteForce

EC2

Logs de fluxo do VPC

Baixo*

UnauthorizedAccess:EC2/SSHBruteForce

EC2

Logs de fluxo do VPC

Baixo*

UnauthorizedAccess:EC2/TorClient

EC2

Logs de fluxo do VPC

Alta

UnauthorizedAccess:EC2/TorRelay

EC2

Logs de fluxo do VPC

Alta

Object:S3/MaliciousFile

S3Object

Proteção contra malware para o S3

Alta