As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
GuardDuty Tipos de descoberta do S3 Protection
As descobertas a seguir são específicas dos recursos do Amazon S3 e terão um tipo de recurso de S3Bucket
se a fonte de dados for eventos de CloudTrail dados do S3 ou AccessKey
se a fonte de dados for CloudTrail eventos de gerenciamento. A gravidade e os detalhes das descobertas serão diferentes com base no tipo de descoberta e na permissão associada ao bucket.
As descobertas listadas aqui incluem as fontes de dados e os modelos usados para gerar esse tipo de descoberta. Para obter mais informações sobre modelos e fontes de dados, consulte GuardDuty fontes de dados fundamentais.
Importante
As descobertas com uma fonte de dados de eventos de CloudTrail dados para o S3 só são geradas se você tiver ativado o S3 Protection. Por padrão, após 31 de julho de 2020, o S3 Protection é ativado quando uma conta é ativada GuardDuty pela primeira vez ou quando uma conta de GuardDuty administrador delegado é ativada GuardDuty em uma conta de membro existente. No entanto, quando um novo membro ingressa na GuardDuty organização, as preferências de ativação automática da organização serão aplicadas. Para obter informações sobre preferências de ativação automática, consulteConfigurando as preferências de ativação automática da organização. Para obter informações sobre como habilitar o S3 Protection, consulte GuardDuty Proteção S3
Para todos os S3Bucket
tipos de descobertas, é recomendável que você examine as permissões no bucket em questão e as permissões de qualquer usuário envolvido na descoberta. Se a atividade for inesperada, consulte as recomendações de remediação detalhadas emCorreção de um bucket S3 potencialmente comprometido.
Tópicos
- Discovery:S3/AnomalousBehavior
- Discovery:S3/MaliciousIPCaller
- Discovery:S3/MaliciousIPCaller.Custom
- Discovery:S3/TorIPCaller
- Exfiltration:S3/AnomalousBehavior
- Exfiltration:S3/MaliciousIPCaller
- Impact:S3/AnomalousBehavior.Delete
- Impact:S3/AnomalousBehavior.Permission
- Impact:S3/AnomalousBehavior.Write
- Impact:S3/MaliciousIPCaller
- PenTest:S3/KaliLinux
- PenTest:S3/ParrotLinux
- PenTest:S3/PentooLinux
- Policy:S3/AccountBlockPublicAccessDisabled
- Policy:S3/BucketAnonymousAccessGranted
- Policy:S3/BucketBlockPublicAccessDisabled
- Policy:S3/BucketPublicAccessGranted
- Stealth:S3/ServerAccessLoggingDisabled
- UnauthorizedAccess:S3/MaliciousIPCaller.Custom
- UnauthorizedAccess:S3/TorIPCaller
Discovery:S3/AnomalousBehavior
Um API comumente usado para descobrir objetos do S3 foi invocado de forma anômala.
Gravidade padrão: baixa
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma IAM entidade invocou um S3 API para descobrir buckets do S3 em seu ambiente, como. ListObjects
Esse tipo de atividade está associado ao estágio de descoberta de um ataque, no qual um invasor coleta informações para determinar se seu AWS ambiente é suscetível a um ataque mais amplo. Essa atividade é suspeita porque a IAM entidade invocou o de uma API forma incomum. Por exemplo, uma IAM entidade sem histórico anterior invoca um S3 API ou uma IAM entidade invoca um API S3 de um local incomum.
Isso API foi identificado como anômalo pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. Ele rastreia vários fatores das API solicitações, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o específico API solicitado, o bucket solicitado e o número de API chamadas feitas. Para obter mais informações sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação, consulte Como encontrar detalhes.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Discovery:S3/MaliciousIPCaller
Um S3 API comumente usado para descobrir recursos em um AWS ambiente foi invocado a partir de um endereço IP malicioso conhecido.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma API operação do S3 foi invocada a partir de um endereço IP associado a uma atividade maliciosa conhecida. O observado API é comumente associado ao estágio de descoberta de um ataque, quando um adversário está coletando informações sobre seu AWS ambiente. Exemplos incluem GetObjectAcl
e ListObjects
.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Discovery:S3/MaliciousIPCaller.Custom
Um S3 API foi invocado a partir de um endereço IP em uma lista de ameaças personalizada.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que um S3API, como GetObjectAcl
ouListObjects
, foi invocado a partir de um endereço IP incluído na lista de ameaças que você enviou. A lista de ameaças associada a essa descoberta está listada na seção Informações adicionais dos detalhes de uma descoberta. Esse tipo de atividade está associado ao estágio de descoberta de um ataque, no qual um invasor coleta informações para determinar se seu AWS
ambiente é suscetível a um ataque mais amplo.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Discovery:S3/TorIPCaller
Um S3 API foi invocado a partir de um endereço IP do nó de saída do Tor.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que um S3API, como GetObjectAcl
ouListObjects
, foi invocado a partir de um endereço IP do nó de saída do Tor. Esse tipo de atividade está associado ao estágio de descoberta de um ataque, no qual um invasor coleta informações para determinar se seu AWS ambiente é suscetível a um ataque mais amplo. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Isso pode indicar acesso não autorizado aos seus AWS recursos com a intenção de ocultar a verdadeira identidade do atacante.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Exfiltration:S3/AnomalousBehavior
Uma IAM entidade invocou um S3 de API forma suspeita.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma IAM entidade está fazendo API chamadas que envolvem um bucket do S3 e essa atividade difere da linha de base estabelecida pela entidade. A API chamada usada nessa atividade está associada ao estágio de exfiltração de um ataque, no qual um invasor tenta coletar dados. Essa atividade é suspeita porque a IAM entidade invocou o de uma API forma incomum. Por exemplo, uma IAM entidade sem histórico anterior invoca um S3 API ou uma IAM entidade invoca um API S3 de um local incomum.
Isso API foi identificado como anômalo pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. Ele rastreia vários fatores das API solicitações, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o específico API solicitado, o bucket solicitado e o número de API chamadas feitas. Para obter mais informações sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação, consulte Como encontrar detalhes.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Exfiltration:S3/MaliciousIPCaller
Um S3 API comumente usado para coletar dados de um AWS ambiente foi invocado a partir de um endereço IP malicioso conhecido.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma API operação do S3 foi invocada a partir de um endereço IP associado a uma atividade maliciosa conhecida. O observado API é comumente associado a táticas de exfiltração em que um adversário está tentando coletar dados de sua rede. Exemplos incluem GetObject
e CopyObject
.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Impact:S3/AnomalousBehavior.Delete
Uma IAM entidade invocou um S3 API que tenta excluir dados de forma suspeita.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma IAM entidade em seu AWS ambiente está fazendo API chamadas que envolvem um bucket do S3, e esse comportamento difere da linha de base estabelecida pela entidade. A API chamada usada nessa atividade está associada a um ataque que tenta excluir dados. Essa atividade é suspeita porque a IAM entidade invocou o de uma API forma incomum. Por exemplo, uma IAM entidade sem histórico anterior invoca um S3 API ou uma IAM entidade invoca um API S3 de um local incomum.
Isso API foi identificado como anômalo pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. Ele rastreia vários fatores das API solicitações, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o específico API solicitado, o bucket solicitado e o número de API chamadas feitas. Para obter mais informações sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação, consulte Como encontrar detalhes.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Recomendamos uma auditoria do conteúdo do seu bucket do S3 para determinar se a versão anterior do objeto pode ou deve ser restaurada.
Impact:S3/AnomalousBehavior.Permission
Um API comumente usado para definir as permissões da lista de controle de acesso (ACL) foi invocado de forma anômala.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma IAM entidade em seu AWS ambiente alterou uma política de bucket ou ACL nos buckets do S3 listados. Essa alteração pode expor publicamente seus buckets do S3 a todos os usuários autenticados. AWS
Isso API foi identificado como anômalo pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. Ele rastreia vários fatores das API solicitações, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o específico API solicitado, o bucket solicitado e o número de API chamadas feitas. Para obter mais informações sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação, consulte Como encontrar detalhes.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Recomendamos uma auditoria do conteúdo do seu bucket do S3 para garantir que nenhum objeto tenha permissão inesperada para ser acessado publicamente.
Impact:S3/AnomalousBehavior.Write
Uma IAM entidade invocou um S3 API que tenta gravar dados de forma suspeita.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma IAM entidade em seu AWS ambiente está fazendo API chamadas que envolvem um bucket do S3, e esse comportamento difere da linha de base estabelecida pela entidade. A API chamada usada nessa atividade está associada a um ataque que tenta gravar dados. Essa atividade é suspeita porque a IAM entidade invocou o de uma API forma incomum. Por exemplo, uma IAM entidade sem histórico anterior invoca um S3 API ou uma IAM entidade invoca um API S3 de um local incomum.
Isso API foi identificado como anômalo pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as API solicitações em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. Ele rastreia vários fatores das API solicitações, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, o específico API solicitado, o bucket solicitado e o número de API chamadas feitas. Para obter mais informações sobre quais fatores da API solicitação são incomuns para a identidade do usuário que invocou a solicitação, consulte Como encontrar detalhes.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Recomendamos uma auditoria do conteúdo do seu bucket do S3 para garantir que essa API chamada não tenha gravado dados maliciosos ou não autorizados.
Impact:S3/MaliciousIPCaller
Um S3 API comumente usado para adulterar dados ou processos em um AWS ambiente foi invocado a partir de um endereço IP malicioso conhecido.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma API operação do S3 foi invocada a partir de um endereço IP associado a uma atividade maliciosa conhecida. O observado API é comumente associado a táticas de impacto em que um adversário está tentando manipular, interromper ou destruir dados em seu ambiente. AWS Exemplos incluem PutObject
e PutObjectAcl
.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
PenTest:S3/KaliLinux
Um S3 API foi invocado de uma máquina Linux Kali.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma máquina executando o Kali Linux está fazendo API chamadas S3 usando credenciais que pertencem à sua conta. AWS Suas credenciais podem estar comprometidas. O Kali Linux é uma ferramenta popular de teste de penetração que os profissionais de segurança usam para identificar pontos fracos em EC2 instâncias que exigem patches. Os invasores também usam essa ferramenta para encontrar pontos fracos na EC2 configuração e obter acesso não autorizado ao seu ambiente. AWS
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
PenTest:S3/ParrotLinux
Um S3 API foi invocado de uma máquina Parrot Security Linux.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma máquina executando o Parrot Security Linux está fazendo API chamadas S3 usando credenciais que pertencem à sua conta. AWS Suas credenciais podem estar comprometidas. O Parrot Security Linux é uma ferramenta popular de teste de penetração que os profissionais de segurança usam para identificar pontos fracos em EC2 instâncias que exigem patches. Os invasores também usam essa ferramenta para encontrar pontos fracos na EC2 configuração e obter acesso não autorizado ao seu ambiente. AWS
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
PenTest:S3/PentooLinux
Um S3 API foi invocado de uma máquina Linux Pentoo.
Gravidade padrão: média
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma máquina executando o Pentoo Linux está fazendo API chamadas S3 usando credenciais que pertencem à sua conta. AWS Suas credenciais podem estar comprometidas. O Pentoo Linux é uma ferramenta popular de teste de penetração que os profissionais de segurança usam para identificar pontos fracos em EC2 instâncias que exigem patches. Os invasores também usam essa ferramenta para encontrar pontos fracos na EC2 configuração e obter acesso não autorizado ao seu ambiente. AWS
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Policy:S3/AccountBlockPublicAccessDisabled
Uma IAM entidade invocou um usuário para desativar API o S3 Block Public Access em uma conta.
Gravidade padrão: baixa
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que o Amazon S3 Block Public Access foi desabilitado no nível da conta. Quando as configurações do S3 Block Public Access estão habilitadas, elas são usadas para filtrar as políticas ou as listas de controle de acesso (ACLs) nos buckets como uma medida de segurança para evitar a exposição pública inadvertida de dados.
Normalmente, o bloqueio de acesso público do S3 é desabilitado para permitir o acesso público a um bucket ou aos objetos no bucket. Quando o S3 Block Public Access é desativado para uma conta, o acesso aos seus buckets é controlado pelas políticas ou pelas configurações do Block Public Access no nível do bucket aplicadas aos seus buckets individuais. ACLs Isso não significa necessariamente que os buckets são compartilhados publicamente, mas que você deve auditar as permissões aplicadas aos buckets para confirmar que eles fornecem o nível apropriado de acesso.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Policy:S3/BucketAnonymousAccessGranted
Um IAM diretor concedeu acesso a um bucket do S3 na Internet alterando as políticas do bucket ouACLs.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que o bucket do S3 listado foi disponibilizado publicamente na Internet porque uma IAM entidade alterou uma política de bucket ou ACL nesse bucket. Depois que uma política ou ACL alteração é detectada, usa o raciocínio automatizado desenvolvido por Zelkova
nota
Se as políticas de um bucket ACLs ou bucket estiverem configuradas para negar explicitamente ou negar tudo, essa descoberta pode não refletir o estado atual do bucket. Essa descoberta não refletirá nenhuma configuração de Bloqueio de acesso público do S3 que possa ter sido habilitada para seu bucket do S3. Nesses casos, o valor de effectivePermission
na descoberta será marcado como UNKNOWN
.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Policy:S3/BucketBlockPublicAccessDisabled
Uma IAM entidade invocou um API usado para desativar o S3 Block Public Access em um bucket.
Gravidade padrão: baixa
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que o Bloqueio de acesso público foi desabilitado para o bucket do S3 listado. Quando ativadas, as configurações do S3 Block Public Access são usadas para filtrar as políticas ou listas de controle de acesso (ACLs) aplicadas aos buckets como uma medida de segurança para evitar a exposição pública inadvertida de dados.
Normalmente, o bloqueio de acesso público do S3 é desabilitado para permitir o acesso público a um bucket ou aos objetos no bucket. Quando o S3 Block Public Access é desativado para um bucket, o acesso ao bucket é controlado pelas políticas ou ACLs aplicado a ele. Isso não significa que o bucket seja compartilhado publicamente, mas você deve auditar as políticas e ACLs aplicá-las ao bucket para confirmar se as permissões apropriadas foram aplicadas.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Policy:S3/BucketPublicAccessGranted
Um IAM principal concedeu acesso público a um bucket do S3 a todos os AWS usuários alterando as políticas do bucket ouACLs.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que o bucket do S3 listado foi exposto publicamente a todos os AWS usuários autenticados porque uma IAM entidade alterou uma política do bucket ou ACL nesse bucket do S3. Depois que uma política ou ACL alteração é detectada, usa o raciocínio automatizado desenvolvido por Zelkova
nota
Se as políticas de um bucket ACLs ou bucket estiverem configuradas para negar explicitamente ou negar tudo, essa descoberta pode não refletir o estado atual do bucket. Essa descoberta não refletirá nenhuma configuração de Bloqueio de acesso público do S3 que possa ter sido habilitada para seu bucket do S3. Nesses casos, o valor de effectivePermission
na descoberta será marcado como UNKNOWN
.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
Stealth:S3/ServerAccessLoggingDisabled
O registro em log de acesso ao servidor do S3 foi desabilitado para um bucket
Gravidade padrão: baixa
-
Fonte de dados: eventos CloudTrail de gerenciamento
Essa descoberta informa que o registro de acesso ao servidor S3 está desativado para um bucket em seu AWS ambiente. Se desativado, nenhum registro de solicitação da web será criado para qualquer tentativa de acessar o bucket do S3 identificado. No entanto, as API chamadas de gerenciamento do S3 para o bucket, como DeleteBucket, ainda são rastreadas. Se o registro de eventos de dados do S3 estiver habilitado CloudTrail para esse bucket, as solicitações da web para objetos dentro do bucket ainda serão rastreadas. Desabilitar o registro em log é uma técnica frequentemente usada por usuários não autorizados para burlar a detecção. Para saber mais sobre os logs do S3, consulte Registro em log de acesso ao servidor do S3 e Opções de registro em log do S3.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
UnauthorizedAccess:S3/MaliciousIPCaller.Custom
Um S3 API foi invocado a partir de um endereço IP em uma lista de ameaças personalizada.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma API operação do S3, por exemplo, PutObject
ouPutObjectAcl
, foi invocada a partir de um endereço IP incluído em uma lista de ameaças que você enviou. A lista de ameaças associada a essa descoberta está listada na seção Informações adicionais dos detalhes de uma descoberta.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.
UnauthorizedAccess:S3/TorIPCaller
Um S3 API foi invocado a partir de um endereço IP do nó de saída do Tor.
Gravidade padrão: alta
-
Fonte de dados: eventos CloudTrail de dados para S3
Essa descoberta informa que uma API operação do S3, como PutObject
ouPutObjectAcl
, foi invocada a partir de um endereço IP do nó de saída do Tor. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Essa descoberta pode indicar acesso não autorizado aos seus AWS recursos com a intenção de ocultar a verdadeira identidade do atacante.
Recomendações de correção:
Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Correção de um bucket S3 potencialmente comprometido.