As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
GuardDuty IAMtipos de descoberta
As descobertas a seguir são específicas para IAM entidades e chaves de acesso e sempre têm um tipo de recurso deAccessKey
. A gravidade e os detalhes das descobertas serão diferentes com base no tipo de descoberta.
As descobertas listadas aqui incluem as fontes de dados e os modelos usados para gerar esse tipo de descoberta. Para obter mais informações, consulte GuardDuty fontes de dados fundamentais.
Para todas as descobertas IAM relacionadas, recomendamos que você examine a entidade em questão e garanta que suas permissões sigam a melhor prática de privilégio mínimo. Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Consulte . Para obter mais informações sobre correção de descobertas, consulte Correção de credenciais potencialmente comprometidas AWS.
Tópicos
- CredentialAccess:IAMUser/AnomalousBehavior
- DefenseEvasion:IAMUser/AnomalousBehavior
- Discovery:IAMUser/AnomalousBehavior
- Exfiltration:IAMUser/AnomalousBehavior
- Impact:IAMUser/AnomalousBehavior
- InitialAccess:IAMUser/AnomalousBehavior
- PenTest:IAMUser/KaliLinux
- PenTest:IAMUser/ParrotLinux
- PenTest:IAMUser/PentooLinux
- Persistence:IAMUser/AnomalousBehavior
- Policy:IAMUser/RootCredentialUsage
- PrivilegeEscalation:IAMUser/AnomalousBehavior
- Recon:IAMUser/MaliciousIPCaller
- Recon:IAMUser/MaliciousIPCaller.Custom
- Recon:IAMUser/TorIPCaller
- Stealth:IAMUser/CloudTrailLoggingDisabled
- Stealth:IAMUser/PasswordPolicyChange
- UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
- UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
- UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
- UnauthorizedAccess:IAMUser/MaliciousIPCaller
- UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
- UnauthorizedAccess:IAMUser/TorIPCaller
CredentialAccess:IAMUser/AnomalousBehavior
Um API usado para obter acesso a um AWS ambiente foi invocado de forma anômala.
Gravidade padrão: média
-
Fonte de dados: evento CloudTrail de gerenciamento
Essa descoberta informa que uma API solicitação anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de API solicitações relacionadas feitas nas proximidades por uma única identidade de usuário. O API observado é comumente associado ao estágio de acesso às credenciais de um ataque quando um adversário está tentando coletar senhas, nomes de usuário e chaves de acesso para seu ambiente. Os APIs nesta categoria são GetPasswordData
GetSecretValue
,BatchGetSecretValue
, GenerateDbAuthToken
e.
Essa API solicitação foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da API solicitação, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e o específico API que foi solicitado. Detalhes sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
DefenseEvasion:IAMUser/AnomalousBehavior
Um API usado para evitar medidas defensivas foi invocado de forma anômala.
Gravidade padrão: média
-
Fonte de dados: evento CloudTrail de gerenciamento
Essa descoberta informa que uma API solicitação anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de API solicitações relacionadas feitas nas proximidades por uma única identidade de usuário. O API observado é comumente associado a táticas de evasão de defesa, nas quais um adversário está tentando encobrir seus rastros e evitar a detecção. APIsnessa categoria, normalmente estão as operações de exclusão, desativação ou interrupção, comoDeleteFlowLogs
,DisableAlarmActions
, ouStopLogging
.
Essa API solicitação foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da API solicitação, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e o específico API que foi solicitado. Detalhes sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Discovery:IAMUser/AnomalousBehavior
Um API comumente usado para descobrir recursos foi invocado de forma anômala.
Gravidade padrão: baixa
-
Fonte de dados: evento CloudTrail de gerenciamento
Essa descoberta informa que uma API solicitação anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de API solicitações relacionadas feitas nas proximidades por uma única identidade de usuário. O API observado é comumente associado ao estágio de descoberta de um ataque, quando um adversário está coletando informações para determinar se seu AWS ambiente é suscetível a um ataque mais amplo. APIsnessa categoria, normalmente estão as operações de obtenção, descrição ou lista, comoDescribeInstances
,GetRolePolicy
, ouListAccessKeys
.
Essa API solicitação foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da API solicitação, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e o específico API que foi solicitado. Detalhes sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Exfiltration:IAMUser/AnomalousBehavior
Um API comumente usado para coletar dados de um AWS ambiente foi invocado de forma anômala.
Gravidade padrão: alta
-
Fonte de dados: evento CloudTrail de gerenciamento
Essa descoberta informa que uma API solicitação anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de API solicitações relacionadas feitas nas proximidades por uma única identidade de usuário. O API observado é comumente associado a táticas de exfiltração em que um adversário está tentando coletar dados de sua rede usando embalagem e criptografia para evitar a detecção. APIspara esse tipo de descoberta, existem apenas operações de gerenciamento (plano de controle) e geralmente estão relacionadas ao S3, aos instantâneos e aos bancos de dados, como,, ou. PutBucketReplication
CreateSnapshot
RestoreDBInstanceFromDBSnapshot
Essa API solicitação foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da API solicitação, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e o específico API que foi solicitado. Detalhes sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Impact:IAMUser/AnomalousBehavior
Um API termo comumente usado para adulterar dados ou processos em um AWS ambiente foi invocado de forma anômala.
Gravidade padrão: alta
-
Fonte de dados: evento CloudTrail de gerenciamento
Essa descoberta informa que uma API solicitação anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de API solicitações relacionadas feitas nas proximidades por uma única identidade de usuário. O API observado é comumente associado a táticas de impacto em que um adversário está tentando interromper as operações e manipular, interromper ou destruir dados em sua conta. APIspara esse tipo de descoberta, normalmente são operações de exclusão, atualização ou colocação, comoDeleteSecurityGroup
,UpdateUser
, ouPutBucketPolicy
.
Essa API solicitação foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da API solicitação, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e o específico API que foi solicitado. Detalhes sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
InitialAccess:IAMUser/AnomalousBehavior
Um API comumente usado para obter acesso não autorizado a um AWS ambiente foi invocado de forma anômala.
Gravidade padrão: média
-
Fonte de dados: evento CloudTrail de gerenciamento
Essa descoberta informa que uma API solicitação anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de API solicitações relacionadas feitas nas proximidades por uma única identidade de usuário. O API observado é comumente associado ao estágio inicial de acesso de um ataque, quando um adversário está tentando estabelecer acesso ao seu ambiente. APIsnessa categoria, normalmente estão as operações get token ou de sessão, comoGetFederationToken
,StartSession
, ouGetAuthorizationToken
.
Essa API solicitação foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da API solicitação, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e o específico API que foi solicitado. Detalhes sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
PenTest:IAMUser/KaliLinux
An API foi invocado de uma máquina Linux Kali.
Gravidade padrão: média
-
Fonte de dados: evento CloudTrail de gerenciamento
Essa descoberta informa que uma máquina executando o Kali Linux está fazendo API chamadas usando credenciais que pertencem à AWS conta listada em seu ambiente. O Kali Linux é uma ferramenta popular de teste de penetração que os profissionais de segurança usam para identificar pontos fracos em EC2 instâncias que exigem patches. Os invasores também usam essa ferramenta para encontrar pontos fracos na EC2 configuração e obter acesso não autorizado ao seu ambiente. AWS
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
PenTest:IAMUser/ParrotLinux
An API foi invocado de uma máquina Parrot Security Linux.
Gravidade padrão: média
-
Fonte de dados: evento CloudTrail de gerenciamento
Essa descoberta informa que uma máquina executando o Parrot Security Linux está fazendo API chamadas usando credenciais que pertencem à AWS conta listada em seu ambiente. O Parrot Security Linux é uma ferramenta popular de teste de penetração que os profissionais de segurança usam para identificar pontos fracos em EC2 instâncias que exigem patches. Os invasores também usam essa ferramenta para encontrar pontos fracos na EC2 configuração e obter acesso não autorizado ao seu ambiente. AWS
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
PenTest:IAMUser/PentooLinux
An API foi invocado de uma máquina Linux Pentoo.
Gravidade padrão: média
-
Fonte de dados: evento CloudTrail de gerenciamento
Essa descoberta informa que uma máquina executando o Pentoo Linux está fazendo API chamadas usando credenciais que pertencem à AWS conta listada em seu ambiente. O Pentoo Linux é uma ferramenta popular de teste de penetração que os profissionais de segurança usam para identificar pontos fracos em EC2 instâncias que exigem patches. Os invasores também usam essa ferramenta para encontrar pontos fracos na EC2 configuração e obter acesso não autorizado ao seu ambiente. AWS
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Persistence:IAMUser/AnomalousBehavior
Um API comumente usado para manter o acesso não autorizado a um AWS ambiente foi invocado de forma anômala.
Gravidade padrão: média
-
Fonte de dados: evento CloudTrail de gerenciamento
Essa descoberta informa que uma API solicitação anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de API solicitações relacionadas feitas nas proximidades por uma única identidade de usuário. O API observado é comumente associado a táticas de persistência em que um adversário obteve acesso ao seu ambiente e está tentando manter esse acesso. APIsnessa categoria, normalmente estão as operações de criação, importação ou modificação, comoCreateAccessKey
,ImportKeyPair
, ouModifyInstanceAttribute
.
Essa API solicitação foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da API solicitação, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e o específico API que foi solicitado. Detalhes sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Policy:IAMUser/RootCredentialUsage
An API foi invocado usando as credenciais de login do usuário root.
Gravidade padrão: baixa
-
Fonte de dados: eventos CloudTrail de gerenciamento ou eventos CloudTrail de dados para o S3
Essa descoberta informa que as credenciais de login do usuário raiz da Conta da AWS listada em seu ambiente estão sendo usadas para fazer solicitações aos serviços da AWS . É recomendável que os usuários nunca usem as credenciais de login do usuário root para acessar os serviços. AWS Em vez disso, AWS os serviços devem ser acessados usando credenciais temporárias de privilégio mínimo de AWS Security Token Service ()STS. Para situações em que não AWS STS há suporte, as credenciais IAM do usuário são recomendadas. Para obter mais informações, consulte IAMMelhores práticas.
nota
Se o S3 Protection estiver habilitado para a conta, essa descoberta poderá ser gerada em resposta às tentativas de executar operações de plano de dados do S3 nos recursos do Amazon S3 usando as credenciais de login do usuário raiz do. Conta da AWS A API chamada usada será listada nos detalhes da descoberta. Se o S3 Protection não estiver ativado, essa descoberta só poderá ser acionada pelo registro APIs de eventos. Para obter mais informações sobre o S3 Protection, consulteProteção S3.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
PrivilegeEscalation:IAMUser/AnomalousBehavior
Um API comumente usado para obter permissões de alto nível para um AWS ambiente foi invocado de forma anômala.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que uma API solicitação anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de API solicitações relacionadas feitas nas proximidades por uma única identidade de usuário. O API observado é comumente associado a táticas de escalonamento de privilégios em que um adversário está tentando obter permissões de nível superior para um ambiente. APIsnessa categoria geralmente envolvem operações que alteram IAM políticas, funções e usuários, comoAssociateIamInstanceProfile
,AddUserToGroup
, ouPutUserPolicy
.
Essa API solicitação foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da API solicitação, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e o específico API que foi solicitado. Detalhes sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Recon:IAMUser/MaliciousIPCaller
An API foi invocado a partir de um endereço IP malicioso conhecido.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que uma API operação que pode listar ou descrever AWS recursos em uma conta em seu ambiente foi invocada a partir de um endereço IP incluído em uma lista de ameaças. Um invasor pode usar credenciais roubadas para realizar esse tipo de reconhecimento de seus AWS recursos a fim de encontrar credenciais mais valiosas ou determinar as capacidades das credenciais que ele já possui.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Recon:IAMUser/MaliciousIPCaller.Custom
An API foi invocado a partir de um endereço IP malicioso conhecido.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que uma API operação que pode listar ou descrever AWS recursos em uma conta em seu ambiente foi invocada a partir de um endereço IP incluído em uma lista de ameaças personalizada. A lista de ameaças usada será listada nos detalhes da descoberta. Um invasor pode usar credenciais roubadas para realizar esse tipo de reconhecimento de seus AWS recursos a fim de encontrar credenciais mais valiosas ou determinar as capacidades das credenciais que ele já possui.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Recon:IAMUser/TorIPCaller
An API foi invocado a partir de um endereço IP do nó de saída do Tor.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que uma API operação que pode listar ou descrever AWS recursos em uma conta em seu ambiente foi invocada a partir de um endereço IP do nó de saída do Tor. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Um atacante usaria o Tor para mascarar sua verdadeira identidade.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Stealth:IAMUser/CloudTrailLoggingDisabled
AWS CloudTrail o registro foi desativado.
Gravidade padrão: baixa
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que uma CloudTrail trilha em seu AWS ambiente foi desativada. Isso pode ser uma tentativa de um invasor de desabilitar a gravação de logs para não deixar rastros, eliminando quaisquer evidências da atividade dele ao obter acesso aos seus recursos da AWS para fins mal-intencionados. Essa descoberta pode ser acionada por uma exclusão bem-sucedida ou atualização de uma trilha. Essa descoberta também pode ser acionada por uma exclusão bem-sucedida de um bucket do S3 que armazena os registros de uma trilha associada a. GuardDuty
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Stealth:IAMUser/PasswordPolicyChange
A política de senha da conta foi enfraquecida.
Gravidade padrão: baixa*
nota
A gravidade dessa descoberta pode ser baixa, média ou alta, dependendo da gravidade das alterações feitas na política de senhas.
-
Fonte de dados: eventos CloudTrail de gerenciamento
A política de senha da AWS conta foi enfraquecida na conta listada em seu AWS ambiente. Por exemplo, ela foi excluída ou atualizada para exigir menos caracteres, não requer símbolos nem números, ou obrigada a prolongar o período de validade da senha. Essa descoberta também pode ser desencadeada por uma tentativa de atualizar ou excluir a política de senha AWS da sua conta. A política de senha da AWS conta define as regras que regem os tipos de senhas que podem ser definidos para seus IAM usuários. Uma política de senha mais fraca permite a criação de senhas fáceis de lembrar e possivelmente mais fáceis de adivinhar, criando um risco à segurança.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
Foram observados vários logins de console bem-sucedidos em todo o mundo.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que vários logins de console bem-sucedidos para o mesmo IAM usuário foram observados ao mesmo tempo em várias localizações geográficas. Esses padrões de localização de acesso anômalos e arriscados indicam um possível acesso não autorizado aos seus recursos. AWS
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
As credenciais que foram criadas exclusivamente para uma EC2 instância por meio de uma função de lançamento de instância estão sendo usadas em outra conta interna AWS.
Gravidade padrão: alta*
nota
A gravidade padrão desta descoberta é baixa. No entanto, se o API foi invocado por uma conta afiliada ao seu AWS ambiente, a gravidade é Média.
-
Fonte de dados: eventos CloudTrail de gerenciamento ou eventos CloudTrail de dados para o S3
Essa descoberta informa quando suas credenciais de EC2 instância são usadas para invocar a APIs partir de um endereço IP que pertence a uma AWS conta diferente daquela em que a EC2 instância associada está sendo executada.
AWS não recomenda redistribuir credenciais temporárias fora da entidade que as criou (por exemplo, AWS aplicativos EC2 ou Lambda). No entanto, usuários autorizados podem exportar credenciais de suas EC2 instâncias para fazer API chamadas legítimas. Se o remoteAccountDetails.Affiliated
campo for True
API chamado de uma conta associada ao seu AWS ambiente. Para descartar um possível ataque e verificar a legitimidade da atividade, entre em contato com o IAM usuário ao qual essas credenciais foram atribuídas.
nota
Se GuardDuty observar a atividade contínua de uma conta remota, seu modelo de aprendizado de máquina (ML) identificará isso como um comportamento esperado. Portanto, GuardDuty deixará de gerar essa descoberta para atividades dessa conta remota. GuardDuty continuará gerando descobertas sobre novos comportamentos de outras contas remotas e reavaliará as contas remotas aprendidas à medida que o comportamento muda com o tempo.
Recomendações de correção:
Em resposta a essa descoberta, é possível usar o seguinte fluxo de trabalho para determinar um curso de ação:
-
Identifique a conta remota envolvida no campo
service.action.awsApiCallAction.remoteAccountDetails.accountId
. -
Em seguida, determine se essa conta está afiliada ao seu GuardDuty ambiente a partir do
service.action.awsApiCallAction.remoteAccountDetails.affiliated
campo. -
Se a conta for afiliada, entre em contato com o proprietário da conta remota e com o proprietário das credenciais da EC2 instância para investigar.
-
Se a conta não for afiliada, primeiro avalie se a conta está associada à sua organização, mas não faz parte da configuração de GuardDuty várias contas ou se ainda não GuardDuty foi ativada na conta. Caso contrário, entre em contato com o proprietário das EC2 credenciais para determinar se há um caso de uso para uma conta remota usar essas credenciais.
-
Se o proprietário das credenciais não reconhecer a conta remota, as credenciais podem ter sido comprometidas por um agente de ameaça operando na AWS. Siga as etapas recomendadas em Correção de uma instância da Amazon potencialmente comprometida EC2 para proteger seu ambiente.
Além disso, você pode enviar uma denúncia de abuso
para a equipe de AWS Confiança e Segurança para iniciar uma investigação sobre a conta remota. Ao enviar seu relatório para a AWS Trust and Safety, inclua todos JSON os detalhes da descoberta.
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
As credenciais que foram criadas exclusivamente para uma EC2 instância por meio de uma função de execução da instância estão sendo usadas a partir de um endereço IP externo.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de gerenciamento ou eventos CloudTrail de dados para o S3
Essa descoberta informa que um host externo AWS tentou executar AWS API operações usando AWS credenciais temporárias que foram criadas em uma EC2 instância em seu AWS ambiente. A EC2 instância listada pode estar comprometida e as credenciais temporárias dessa instância podem ter sido transferidas para um host remoto externo. AWS AWS não recomenda redistribuir credenciais temporárias fora da entidade que as criou (por exemplo, AWS aplicativos EC2 ou Lambda). No entanto, usuários autorizados podem exportar credenciais de suas EC2 instâncias para fazer API chamadas legítimas. Para descartar um possível ataque e verificar a legitimidade da atividade, valide se o uso de credenciais de instância do IP remoto na descoberta é esperado.
nota
Se GuardDuty observar a atividade contínua de uma conta remota, seu modelo de aprendizado de máquina (ML) identificará isso como um comportamento esperado. Portanto, GuardDuty deixará de gerar essa descoberta para atividades dessa conta remota. GuardDuty continuará gerando descobertas sobre novos comportamentos de outras contas remotas e reavaliará as contas remotas aprendidas à medida que o comportamento muda com o tempo.
Recomendações de correção:
Essa descoberta é gerada quando a rede é configurada para rotear o tráfego da Internet de forma que ele saia de um gateway local em vez de um Gateway da VPC Internet (). IGW Configurações comuns, como uso ou VPC VPN conexões AWS Outposts, podem resultar em tráfego roteado dessa forma. Se esse comportamento for esperado, é recomendável usar regras de supressão e criar uma regra que consista em dois critérios de filtro. O primeiro critério é tipo de descoberta, que deve ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
. O segundo critério de filtro é o IPv4endereço API do chamador com o endereço IP ou o CIDR intervalo do seu gateway de internet local. Para saber mais sobre a criação de regras de supressão, consulte Regras de supressão em GuardDuty.
nota
Se GuardDuty observar a atividade contínua de uma fonte externa, seu modelo de aprendizado de máquina identificará isso como comportamento esperado e deixará de gerar essa descoberta para atividades dessa fonte. GuardDuty continuará gerando descobertas sobre novos comportamentos a partir de outras fontes e reavaliará as fontes aprendidas à medida que o comportamento muda com o tempo.
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Consulte Correção de credenciais potencialmente comprometidas AWS.
UnauthorizedAccess:IAMUser/MaliciousIPCaller
An API foi invocado a partir de um endereço IP malicioso conhecido.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que uma API operação (por exemplo, uma tentativa de iniciar uma EC2 instância, criar um novo IAM usuário ou modificar seus AWS privilégios) foi invocada a partir de um endereço IP malicioso conhecido. Isso pode indicar acesso não autorizado aos AWS recursos em seu ambiente.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
An API foi invocado a partir de um endereço IP em uma lista de ameaças personalizada.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que uma API operação (por exemplo, uma tentativa de iniciar uma EC2 instância, criar um novo IAM usuário ou modificar AWS privilégios) foi invocada a partir de um endereço IP incluído em uma lista de ameaças que você enviou. No , uma lista de ameaças consiste em endereços IP mal-intencionados conhecidos. Isso pode indicar acesso não autorizado aos AWS recursos em seu ambiente.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
UnauthorizedAccess:IAMUser/TorIPCaller
An API foi invocado a partir de um endereço IP do nó de saída do Tor.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que uma API operação (por exemplo, uma tentativa de iniciar uma EC2 instância, criar um novo IAM usuário ou modificar seus AWS privilégios) foi invocada a partir de um endereço IP do nó de saída do Tor. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Isso pode indicar um acesso não autorizado aos seus recursos da AWS com a intenção de ocultar a verdadeira identidade do invasor.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.