Detalhes da descoberta - Amazon GuardDuty
Visão geral da descobertaRecursoDetalhes de busca da sequência de ataqueDetalhes do usuário do banco de dados (DB) do RDSDetalhes da descoberta do monitoramento de runtimeDetalhes de verificação de volumes do EBSProteção contra malware para EC2 encontrar detalhesDetalhes de descobertas sobre a Proteção contra malware para S3AçãoAgente ou destinoDetalhes de geolocalizaçãoMais informaçõesEvidências Comportamento anômalo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Detalhes da descoberta

No GuardDuty console da Amazon, você pode ver os detalhes da descoberta na seção de resumo da descoberta. Os detalhes da descoberta variam de acordo com o tipo de descoberta.

Há dois detalhes principais que determinarão quais tipos de informações serão disponibilizadas para qualquer descoberta. O primeiro é o tipo de recurso, que pode ser InstanceAccessKey,S3Bucket,S3Object,Kubernetes cluster,ECS cluster,Container,RDSDBInstance,RDSLimitlessDB, ouLambda. O segundo detalhe que determina as informações da descoberta é a Função do recurso. A função do recurso pode ser Target, o que significa que o recurso foi alvo de atividades suspeitas. Por exemplo, tipo de descoberta, a função do recurso também pode ser Actor, o que significa que seu recurso foi o agente que realizou atividades suspeitas. Este tópico descreve alguns dos detalhes geralmente disponíveis sobre descobertas. Para GuardDuty Tipos de descoberta de monitoramento de tempo de execução eTipo de descoberta da Proteção contra malware para S3, a função do recurso não foi preenchida.

Visão geral da descoberta

A seção Visão geral de uma descoberta contém os atributos de identificação mais básicos da descoberta, incluindo as seguintes informações:

  • ID da conta — A ID da AWS conta na qual a atividade ocorreu que solicitou GuardDuty a geração dessa descoberta.

  • Contagem — O número de vezes GuardDuty que agregou uma atividade que corresponde a esse padrão a essa ID de descoberta.

  • Criada em: a data e hora em que esta descoberta foi criada pela primeira vez. Se esse valor for diferente de Atualizado em indica que a atividade ocorreu várias vezes e é um problema contínuo.

    nota

    Os carimbos de data e hora das descobertas no GuardDuty console aparecem em seu fuso horário local, enquanto as exportações JSON e as saídas de CLI exibem carimbos de data e hora em UTC.

  • ID da descoberta: um ID exclusivo para este tipo de descoberta e conjunto de parâmetros. Novas ocorrências de atividades que correspondem a esse padrão serão agregadas ao mesmo ID.

  • Tipo de descoberta: uma string formatada representando o tipo de atividade que acionou a descoberta. Para obter mais informações, consulte GuardDuty formato de busca.

  • Região — A AWS região na qual a descoberta foi gerada. Para obter mais informações sobre as regiões compatíveis, consulte Regiões e endpoints

  • ID do recurso — O ID do AWS recurso contra o qual a atividade ocorreu e que solicitou GuardDuty a geração dessa descoberta.

  • ID de escaneamento — Aplicável às descobertas quando o GuardDuty Malware Protection for EC2 está ativado, é um identificador do escaneamento de malware executado nos volumes do EBS conectados à EC2 instância ou carga de trabalho do contêiner potencialmente comprometida. Para obter mais informações, consulte Proteção contra malware para EC2 encontrar detalhes.

  • Gravidade — O nível de severidade atribuído a uma descoberta é Crítico, Alto, Médio ou Baixo. Para obter mais informações, consulte Níveis de gravidade das descobertas.

  • Atualizado em — A última vez que essa descoberta foi atualizada com uma nova atividade correspondente ao padrão que levou GuardDuty à geração dessa descoberta.

Recurso

O recurso afetado fornece detalhes sobre o AWS recurso que foi alvo da atividade inicial. As informações disponíveis variam de acordo com o tipo de recurso e o tipo de ação.

Função do recurso — A função do AWS recurso que iniciou a descoberta. Esse valor pode ser TARGET ou ACTOR, e representa se seu recurso foi o alvo da atividade suspeita ou o ator que realizou a atividade suspeita, respectivamente.

Tipo de recurso: o tipo de recurso afetado. Se houver vários recursos envolvidos, uma descoberta poderá incluir vários tipos de recursos. Os tipos de recursos são Instance AccessKey, S3Bucket, S3Object,,, Container KubernetesClusterECSClusterRDSDBInstanceRDSLimitless, DB e Lambda. Dependendo do tipo de recurso, diferentes detalhes da descoberta estarão disponíveis. Selecione uma guia de opções do recurso para saber mais sobre os detalhes disponíveis para ele.

Instance

Detalhes da instância:

nota

Alguns detalhes da instância podem estar ausentes se a instância já tiver sido interrompida ou se a invocação da API subjacente tiver sido originada de uma EC2 instância em uma região diferente ao fazer uma chamada de API entre regiões.

  • ID da instância — A ID da EC2 instância envolvida na atividade que solicitou GuardDuty a geração da descoberta.

  • Tipo de instância — O tipo da EC2 instância envolvida na descoberta.

  • Hora de execução: a data e a hora em que a instância foi executada.

  • Outpost ARN — O nome de recurso da Amazon (ARN) de. AWS Outposts Aplicável somente às AWS Outposts instâncias. Para obter mais informações, consulte O que é AWS Outposts? no Guia do usuário dos racks Outposts.

  • Nome do grupo de segurança: o nome do grupo de segurança anexado à instância envolvida.

  • ID do grupo de segurança: o ID do grupo de segurança anexado à instância envolvida.

  • Estado da instância: o estado atual da instância de destino.

  • Zona de disponibilidade: a zona de disponibilidade da região da AWS em que a instância envolvida está localizada.

  • ID da imagem: o ID da imagem de máquina da Amazon usada para criar a instância envolvida na atividade.

  • Descrição da imagem: uma descrição do ID da imagem de máquina da Amazon usada para criar a instância envolvida na atividade.

  • Tags: uma lista de tags anexadas a este recurso, listadas no formato de key:value.

AccessKey

Detalhes da chave de acesso:

  • ID da chave de acesso — A ID da chave de acesso do usuário envolvido na atividade que solicitou GuardDuty a geração da descoberta.

  • ID principal — A ID principal do usuário envolvido na atividade que levou GuardDuty à geração da descoberta.

  • Tipo de usuário — O tipo de usuário envolvido na atividade que levou GuardDuty à geração da descoberta. Para obter mais informações, consulte Elemento userIdentity do CloudTrail .

  • Nome de usuário — O nome do usuário envolvido na atividade que levou GuardDuty à geração da descoberta.

S3Bucket

Detalhes do bucket Amazon S3:

  • Nome: o nome do bucket envolvido na descoberta.

  • ARN: o ARN do bucket envolvido na descoberta.

  • Proprietário: o ID de usuário canônico do usuário que possui o bucket envolvido na descoberta. Para obter mais informações sobre usuários canônicos, IDs consulte identificadores de AWS conta.

  • Tipo: o tipo de descoberta do bucket, pode ser Destino ou Origem.

  • Criptografia padrão do lado do servidor: os detalhes de criptografia para o bucket.

  • Tags de bucket: uma lista de tags anexadas a esse recurso, listadas no formato de key:value.

  • Permissões efetivas: uma avaliação de todas as permissões e políticas efetivas no bucket que indica se o bucket envolvido está exposto publicamente. Os valores podem ser públicos ou não públicos.

S3Object

  • Detalhes do objeto do S3 — Inclui as seguintes informações sobre o objeto do S3:

    • ARN — Nome do recurso da Amazon (ARN) do objeto do S3 escaneado.

    • Chave - O nome atribuído ao arquivo quando ele foi criado no bucket S3.

    • ID da versão — Quando o controle de versão do bucket estiver ativado, esse campo indicará o ID da versão associado à versão mais recente do objeto do S3 verificado. Para obter mais informações, consulte Usar o versionamento em buckets do Amazon S3 no Guia do usuário do Amazon S3.

    • ETag — Representa a versão específica do objeto do S3 verificado.

    • Hash — Hash da ameaça detectada nesta descoberta.

  • Detalhes do bucket do S3 — Inclui as seguintes informações sobre o bucket do Amazon S3 associado ao objeto do S3 verificado:

    • Nome - Indica o nome do bucket do S3 que contém o objeto.

    • ARN - Nome de recurso da Amazon (ARN) do bucket do S3.

  • Proprietário - O ID de usuário canônico do proprietário do bucket do S3.

EKSCluster

Detalhes do cluster do Kubernetes:

  • Nome: o nome do cluster do Kubernetes.

  • ARN: o ARN que identifica o cluster.

  • Criado em: a data e a hora em que o cluster foi criado.

    nota

    Os carimbos de data e hora das descobertas no GuardDuty console aparecem em seu fuso horário local, enquanto as exportações JSON e as saídas de CLI exibem carimbos de data e hora em UTC.

  • VPC ID: o ID da VPC associada ao cluster.

  • Status: o status atual do cluster.

  • Tags: os metadados que você aplica ao cluster para ajudar na categorização e organização. Cada tag consiste em uma chave e um valor opcional, listados no formato key:value. Você pode definir a chave e o valor.

    As tags de cluster não são propagadas para nenhum outro recurso associado ao cluster.

Detalhes da workload do Kubernetes:

  • Tipo: o tipo de workload do Kubernetes, como pod, implantação e trabalho.

  • Nome: o nome da workload do Kubernetes.

  • Uid: o ID exclusivo da workload do Kubernetes.

  • Criada em: a data e a hora em que essa workload foi criada.

  • Rótulos: os pares de chave-valor anexados à workload do Kubernetes.

  • Contêineres: os detalhes do contêiner em execução como parte da workload do Kubernetes.

  • Namespace: a workload pertence a esse namespace do Kubernetes.

  • Volumes: os volumes usados pela workload do Kubernetes.

    • Caminho do host: representa um arquivo ou diretório preexistente na máquina host para a qual o volume é mapeado.

    • Nome: o nome do volume.

  • contexto de segurança do pod: define as configurações de privilégio e controle de acesso para todos os contêineres em um pod.

  • Rede de host: defina como true se os pods estão incluídos na workload do Kubernetes.

Detalhes do usuário do Kubernetes:

  • Grupos: grupos com RBAC (controle baseado em acesso por função) do Kubernetes do usuário envolvido na atividade que gerou a descoberta.

  • ID: ID exclusiva do usuário do Kubernetes.

  • Nome de usuário: nome do usuário do Kubernetes envolvido na atividade que gerou a descoberta.

  • Nome da sessão: entidade que assumiu o perfil do IAM com permissões RBAC do Kubernetes.

ECSCluster

Detalhes do cluster do ECS:

  • ARN: o ARN que identifica o cluster.

  • Nome: o nome do cluster.

  • Status: o status atual do cluster.

  • Contagem de serviços ativas: o número de serviços que estão sendo executados no cluster em um estado ACTIVE. Você pode ver esses serviços com ListServices

  • Contagem de instâncias de contêiner registradas: o número de instâncias de contêiner registradas no cluster. Isso inclui instâncias de contêiner nos status ACTIVE e DRAINING.

  • Contagem de tarefas em execução: o número de tarefas no cluster que estão no estado RUNNING.

  • Tags: os metadados que você aplica ao cluster para ajudar na categorização e organização. Cada tag consiste em uma chave e um valor opcional, listados no formato key:value. Você pode definir a chave e o valor.

  • Contêineres: os detalhes sobre o contêiner associado à tarefa:

    • Nome do contêiner: o nome do contêiner.

    • Imagem do contêiner: a imagem do contêiner.

  • Detalhes da tarefa: os detalhes de uma tarefa em um cluster.

    • ARN: o nome do recurso da Amazon (ARN) da tarefa.

    • ARN da definição: o nome do recurso da Amazon (ARN) da definição de tarefa que cria a tarefa.

    • Versão: o contador de versões da tarefa.

    • Tarefa criada em: a data e hora do Unix quando a tarefa foi criada.

    • Tarefa iniciada em: a data e hora do Unix quando a tarefa foi iniciada.

    • Tarefa iniciada por: a tag especificada quando uma tarefa é iniciada.

Container

Detalhes do contêiner:

  • Runtime do contêiner: o runtime do contêiner (como docker ou containerd) usado para executar o contêiner.

  • ID: o ID da instância de contêiner ou as entradas completas do ARN para a instância de contêiner.

  • Nome: o nome do contêiner.

  • Imagem: a imagem da instância de contêiner.

  • Montagens de volume: lista de montagens de volume de contêineres. Um contêiner pode montar um volume em seu sistema de arquivos.

  • Contexto de segurança: o contexto de segurança do contêiner define as configurações de privilégio e controle de acesso para um contêiner.

  • Detalhes do processo: descreve os detalhes do processo associado à descoberta.

RDSDBInstance

RDSDBInstance detalhes:

nota

Esse recurso está disponível nas descobertas da Proteção do RDS relacionadas à instância do banco de dados.

  • ID da instância do banco de dados — O identificador associado à instância do banco de dados envolvida na GuardDuty descoberta.

  • Mecanismo: o nome do mecanismo de banco de dados da instância do banco de dados envolvida na descoberta. Os valores permitidos são Aurora compatível com MySQL ou Aurora PostgreSQL.

  • Versão do mecanismo — A versão do mecanismo de banco de dados envolvida na GuardDuty descoberta.

  • ID do cluster do banco de dados — O identificador do cluster do banco de dados que contém o ID da instância do banco de dados envolvido na GuardDuty descoberta.

  • ARN da instância do banco de dados — O ARN que identifica a instância do banco de dados envolvida na descoberta. GuardDuty

RDSLimitlessDB

RDSLimitlessDetalhes do banco de dados:

Esse recurso está disponível nas descobertas do RDS Protection relacionadas à versão de mecanismo compatível do Limitless Database.

  • Identificador do grupo de fragmentos de banco de dados — O nome associado ao grupo de fragmentos de banco de dados Limitless.

  • ID do recurso do grupo de fragmentos de banco de dados — O identificador do recurso do grupo de fragmentos de banco de dados dentro do banco de dados Limitless.

  • ARN do grupo de fragmentos de banco de dados — O nome de recurso da Amazon (ARN) que identifica o grupo de fragmentos de banco de dados.

  • Motor — O identificador do banco de dados Limitless envolvido na descoberta.

  • Versão do mecanismo — A versão do mecanismo de banco de dados Limitless.

  • Identificador de cluster de banco de dados — O nome do cluster de banco de dados que faz parte do banco de dados Limitless.

Para obter informações sobre os detalhes do usuário e da autenticação do banco de dados potencialmente afetado, consulteDetalhes do usuário do banco de dados (DB) do RDS.

Lambda
Detalhes da função do Lambda

  • Nome da função: o nome da função do Lambda que está envolvida na descoberta.

  • Versão da função: a versão da função do Lambda envolvida na descoberta.

  • Descrição da função: uma descrição da função do Lambda envolvida na descoberta.

  • ARN da função: o nome do recurso da Amazon (ARN) da função do Lambda envolvida na descoberta.

  • ID da revisão: o ID da revisão da versão da função do Lambda.

  • Perfil: o perfil de execução da função do Lambda envolvida na descoberta.

  • Configuração de VPC — A configuração da Amazon VPC, incluindo o ID da VPC, o grupo de segurança e a sub-rede associados à sua função Lambda. IDs

    • ID da VPC: o ID da Amazon VPC associado à função do Lambda envolvida na descoberta.

    • Sub-rede IDs — O ID das sub-redes associadas à sua função Lambda.

    • Grupo de segurança: o grupo de segurança vinculado à função do Lambda envolvida. Inclui o nome do grupo de segurança e o ID do grupo.

  • Tags: uma lista de tags anexadas a este recurso, listadas no formato de par de key:value.

Detalhes de busca da sequência de ataque

GuardDuty fornece detalhes de cada descoberta que ela gera em sua conta. Esses detalhes ajudam você a entender os motivos por trás da descoberta. Esta seção se concentra nos detalhes associados Tipos de localização de sequências de ataque a. Isso inclui insights como recursos potencialmente impactados, cronograma de eventos, indicadores, sinais e endpoints envolvidos na descoberta.

Para ver os detalhes associados aos sinais que são GuardDuty descobertas, consulte as seções associadas nesta página.

No GuardDuty console, quando você seleciona uma descoberta de sequência de ataque, o painel lateral de detalhes é dividido nas seguintes guias:

  • Visão geral — Fornece uma visão compacta dos detalhes da sequência de ataque, incluindo sinais, táticas do MITRE e recursos potencialmente afetados.

  • Sinais — Exibe uma linha do tempo dos eventos envolvidos em uma sequência de ataque.

  • Recursos — Fornece informações sobre os recursos potencialmente afetados ou os recursos que estão potencialmente em risco.

A lista a seguir fornece descrições associadas à sequência de ataque, encontrando detalhes.

Sinais

Um sinal pode ser uma atividade de API ou uma descoberta GuardDuty usada para detectar uma descoberta de sequência de ataque. GuardDuty considera os sinais fracos que não se apresentam como uma ameaça clara, os reúne e se correlaciona com as descobertas geradas individualmente. Para mais contexto, a guia Sinais fornece uma linha do tempo dos sinais, conforme observado por GuardDuty.

Cada sinal, que é uma GuardDuty descoberta, tem seu próprio nível de severidade e valor atribuído a ele. No GuardDuty console, você pode selecionar cada sinal para ver os detalhes associados.

Atores

Fornece detalhes sobre os agentes da ameaça em uma sequência de ataque. Para obter mais informações, consulte Actor in Amazon GuardDuty API Reference.

Endpoints

Fornece detalhes sobre os endpoints de rede que foram usados nessa sequência de ataque. Para obter mais informações, consulte NetworkEndpointa Amazon GuardDuty API Reference. Para obter informações sobre como GuardDuty determina a localização, consulteDetalhes de geolocalização.

Indicadores

Inclui dados observados que correspondem ao padrão de um problema de segurança. Esses dados especificam por que GuardDuty há uma indicação de uma atividade potencialmente suspeita. Por exemplo, quando o nome do indicador éHIGH_RISK_API, isso indica uma ação comumente usada por agentes de ameaças ou uma ação confidencial que pode causar um impacto potencial a uma Conta da AWS, como acessar credenciais ou modificar um recurso.

A tabela a seguir inclui uma lista de indicadores potenciais e suas descrições:

Nome do indicador Descrição

SUSPICIOUS_USER_AGENT

O agente do usuário está associado a aplicativos potencialmente conhecidos suspeitos ou explorados, como clientes Amazon S3 e ferramentas de ataque.

SUSPICIOUS_NETWORK

A rede está associada a pontuações conhecidas de baixa reputação, como provedores de rede privada virtual (VPN) arriscados e serviços de proxy.

MALICIOUS_IP

O endereço IP confirmou a inteligência de ameaças, indicando intenção maliciosa.

TOR_IP

O endereço IP está associado a um nó de saída do Tor.

HIGH_RISK_API

A AWS API que inclui o AWS service (Serviço da AWS) nome e eventName indica uma ação comumente usada por agentes de ameaças ou é uma ação confidencial que pode causar um impacto potencial a uma Conta da AWS, como acesso a credenciais ou modificação de recursos.

ATTACK_TACTIC

As táticas do MITRE, como Discovery e Impact.

ATTACK_TECHNIQUE

A técnica MITRE usada pelo agente da ameaça em uma sequência de ataque. Os exemplos incluem obter acesso a recursos e usá-los de forma não intencional e explorar vulnerabilidades.

UNUSUAL_API_FOR_ACCOUNT

Indica que a AWS API foi invocada de forma anômala, com base na linha de base histórica da conta. Para obter mais informações, consulte Comportamento anômalo.

UNUSUAL_ASN_FOR_ACCOUNT

Indica que o Número do Sistema Autônomo (ASN) foi identificado como anômalo, com base na linha de base histórica da conta. Para obter mais informações, consulte Comportamento anômalo.

UNUSUAL_ASN_FOR_USER

Indica que o Número do Sistema Autônomo (ASN) foi identificado como anômalo, com base na linha de base histórica do usuário. Para obter mais informações, consulte Comportamento anômalo.

Táticas MITRE

Esse campo especifica as táticas do MITRE ATT&CK que o agente da ameaça tenta por meio de uma sequência de ataque. GuardDuty usa a estrutura MITRE ATT&ACK que adiciona contexto a toda a sequência de ataque. As cores que o GuardDuty console usa para especificar as finalidades da ameaça que foram usadas pelo agente da ameaça se alinham às cores que indicam a crítica, a alta, a média e a baixaNíveis de gravidade das descobertas.

Indicadores de rede

Os indicadores incluem uma combinação de valores de indicadores de rede que explicam por que uma rede é indicativa de um comportamento suspeito. Esta seção é aplicável somente quando o Indicador inclui SUSPICIOUS_NETWORK ouMALICIOUS_IP. O exemplo a seguir mostra como os indicadores de rede podem ser associados a um indicador, onde:

  • AnyCompanyé um Sistema Autônomo (AS).

  • TUNNEL_VPN,IS_ANONYMOUS, e ALLOWS_FREE_ACCESS são os indicadores da rede. 

...{
    "key": "SUSPICIOUS_NETWORK",
    "values": [{
        "AnyCompany": [
            "TUNNEL_VPN",
            "IS_ANONYMOUS",
            "ALLOWS_FREE_ACCESS"
        ]
    }]
}
...

A tabela a seguir inclui os valores dos indicadores de rede e sua descrição. Essas tags são adicionadas com base na inteligência de ameaças GuardDuty coletada de fontes como o Spur.

Valor do indicador de rede Descrição

TUNNEL_VPN

A rede ou o endereço IP estão associados a um tipo de túnel VPN. Isso se refere a um protocolo específico que ajuda a estabelecer uma conexão segura e criptografada entre dois pontos em uma rede pública.

TUNNEL_PROXY

A rede ou o endereço IP estão associados a um tipo de túnel proxy. Isso se refere a um protocolo específico que ajuda a estabelecer uma conexão por meio de um servidor proxy.

TUNNEL_RDP

A rede ou o endereço IP estão associados ao uso de um método de encapsulamento do tráfego de desktop remoto (RDP) em outro protocolo para aumentar a segurança, contornar as restrições da rede ou permitir o acesso remoto por meio de firewalls.

IS_ANONYMOUS

A rede ou o endereço IP estão associados a serviços anônimos ou de proxy conhecidos. Isso pode indicar possíveis atividades suspeitas escondidas atrás de redes anônimas.

KNOWN_THREAT_OPERATOR

A rede ou o endereço IP estão associados a um provedor de túneis arriscado conhecido. Isso indica que atividades suspeitas foram detectadas a partir de um endereço IP vinculado a uma VPN, proxy ou outros serviços de tunelamento frequentemente usados para fins maliciosos.

ALLOWS_FREE_ACCESS

A rede ou o endereço IP estão associados a um operador de túnel que permite o acesso ao serviço sem exigir autenticação ou pagamento. Também pode incluir contas de teste ou experiências de uso limitadas oferecidas por vários serviços on-line.

ALLOWS_CRYPTO

O endereço IP ou de rede está associado a um provedor de túneis (como VPN ou serviço de proxy) que aceita exclusivamente criptomoedas ou outras moedas digitais como forma de pagamento.

ALLOWS_TORRENTS

A rede ou o endereço IP estão associados a serviços ou plataformas que permitem o tráfego de torrents. Esses serviços são frequentemente associados ao suporte e uso de torrents e atividades de evasão de direitos autorais.

RISK_CALLBACK_PROXY

A rede ou o endereço IP estão associados a dispositivos conhecidos por rotear o tráfego para proxies residenciais, proxies de malware ou outras redes do tipo proxy de retorno de chamada. Isso não significa que todas as atividades na rede estejam relacionadas ao proxy, mas sim que a rede tenha a capacidade de rotear o tráfego em nome dessas redes proxy.

RISK_GEO_MISMATCH

Esse indicador sugere que o datacenter ou o local de hospedagem de uma rede difere da localização esperada dos usuários e dispositivos por trás dela. Se esse valor do indicador não estiver presente, isso não significa que não há incompatibilidade. Isso pode implicar que não há dados suficientes para confirmar a discrepância.

IS_SCANNER

A rede ou o endereço IP estão associados à realização de tentativas persistentes de login em formulários da web.

RISK_WEB_SCRAPING

A rede de endereços IP está associada a clientes web automatizados e outras atividades programáticas da web.

CLIENT_BEHAVIOR_FILE_SHARING

A rede ou o endereço IP estão associados ao comportamento do cliente, indicativo de atividades de compartilhamento de arquivos, como redes peer-to-peer (P2P) ou protocolos de compartilhamento de arquivos.

CATEGORY_COMMERCIAL_VPN

A rede ou o endereço IP estão associados a um operador de túnel que é classificado como um serviço tradicional de Rede Privada Virtual (VPN) comercial operando dentro do espaço do datacenter.

CATEGORY_FREE_VPN

A rede ou o endereço IP estão associados a um operador de túnel que é classificado como um serviço de VPN totalmente gratuito.

CATEGORY_RESIDENTIAL_PROXY

O endereço IP ou de rede está associado a um operador de túnel que é classificado como SDK, malware ou serviço de proxy de get-paid-to origem.

OPERATOR_XXX

O nome do provedor de serviços que está operando esse túnel.

Detalhes do usuário do banco de dados (DB) do RDS

nota

Esta seção é aplicável às descobertas quando você ativa o recurso de Proteção do RDS no GuardDuty. Para obter mais informações, consulte GuardDuty Proteção RDS.

A GuardDuty descoberta fornece os seguintes detalhes de usuário e autenticação do banco de dados potencialmente comprometido:

  • Usuário: o nome de usuário usado para fazer a tentativa anômala de login.

  • Aplicação: o nome da aplicação usada para fazer a tentativa anômala de login.

  • Banco de dados: o nome da instância do banco de dados envolvida na tentativa anômala de login.

  • SSL: a versão do Secure Socket Layer (SSL) usada para a rede.

  • Método de autenticação: o método de autenticação usado pelo usuário envolvido na descoberta.

Para obter informações sobre o recurso potencialmente comprometido, consulteRecurso.

Detalhes da descoberta do monitoramento de runtime

nota

Esses detalhes podem estar disponíveis somente se GuardDuty gerar um dosGuardDuty Tipos de descoberta de monitoramento de tempo de execução.

Esta seção contém os detalhes do runtime, como detalhes do processo e qualquer contexto necessário. Os detalhes do processo descrevem as informações sobre o processo observado e o contexto do runtime descreve qualquer informação adicional sobre a atividade potencialmente suspeita.

Detalhes do processo

  • Nome: o nome do processo.

  • Caminho do executável: o caminho absoluto do arquivo executável do processo.

  • SHA-256 do executável: o hash SHA256 do executável do processo.

  • PID do Namespace: o ID do processo em um namespace PID secundário diferente do namespace PID no nível do host. Para processos em um contêiner, é o ID do processo observado dentro do contêiner.

  • Diretório de trabalho atual: o diretório de trabalho atual do processo.

  • ID do processo: o ID atribuído ao processo pelo sistema operacional.

  • startTime: a hora em que o processo foi iniciado. Está no formato de string de data UTC (2023-03-22T19:37:20.168Z).

  • UUID — O ID exclusivo atribuído ao processo por. GuardDuty

  • UUID principal: o ID exclusivo do processo principal. Essa ID é atribuída ao processo principal por GuardDuty.

  • Usuário: o usuário que executou o processo.

  • ID do usuário: o ID do usuário que executou o processo.

  • ID de usuário efetivo: o ID de usuário efetivo do processo no momento do evento.

  • Linhagem: informações sobre os ancestrais do processo.

    • ID do processo: o ID atribuído ao processo pelo sistema operacional.

    • UUID — O ID exclusivo atribuído ao processo por. GuardDuty

    • Caminho do executável: o caminho absoluto do arquivo executável do processo.

    • ID de usuário efetivo: o ID de usuário efetivo do processo no momento do evento.

    • UUID principal: o ID exclusivo do processo principal. Essa ID é atribuída ao processo principal por GuardDuty.

    • Hora de início: o hora em que o processo foi iniciado.

    • PID do Namespace: o ID do processo em um namespace PID secundário diferente do namespace PID no nível do host. Para processos em um contêiner, é o ID do processo observado dentro do contêiner.

    • ID do usuário: o ID do usuário que executou o processo.

    • Nome: o nome do processo.

Contexto de runtime

Com os campos a seguir, uma descoberta gerada pode incluir somente os campos relevantes para o tipo de descoberta.

  • Origem de montagem: o caminho no host que é montado pelo contêiner.

  • Destino de montagem: o caminho no contêiner que é mapeado para o diretório do host.

  • Tipo de sistema de arquivos: representa o tipo do sistema de arquivos montado.

  • Sinalizadores: representam opções que controlam o comportamento do evento envolvido nessa descoberta.

  • Processo de modificação: informações sobre o processo que criou ou modificou um binário, script ou biblioteca dentro de um contêiner no runtime.

  • Modificado em: o carimbo de data/hora em que o processo criou ou modificou um binário, script ou biblioteca dentro de um contêiner no runtime. Esse campo está no formato de string de data UTC (2023-03-22T19:37:20.168Z).

  • Caminho da biblioteca: o caminho para a nova biblioteca que foi carregada.

  • Valor de LD Preload: o valor da variável de ambiente LD_PRELOAD.

  • Caminho do soquete: o caminho para o soquete do Docker que foi acessado.

  • Caminho do binário Runc: o caminho para o binário runc.

  • Caminho do agente de liberação: o caminho para o arquivo do agente de liberação cgroup.

  • Exemplo de linha de comando — O exemplo da linha de comando envolvida na possível atividade suspeita.

  • Categoria da ferramenta — Categoria à qual a ferramenta pertence. Alguns dos exemplos são Backdoor Tool, Pentest Tool, Network Scanner e Network Sniffer.

  • Nome da ferramenta — O nome da ferramenta possivelmente suspeita.

  • Caminho do script — O caminho para o script executado que gerou a descoberta.

  • Caminho do arquivo da ameaça — O caminho suspeito cujos detalhes de inteligência contra ameaças foram encontrados.

  • Nome do serviço — O nome do serviço de segurança que foi desabilitado.

Detalhes de verificação de volumes do EBS

nota

Esta seção é aplicável às descobertas quando você ativa a verificação de GuardDuty malware iniciada emProteção contra malware para EC2.

A análise de volumes do EBS fornece detalhes sobre o volume do EBS anexado à carga de trabalho da EC2 instância ou do contêiner potencialmente comprometida.

  • ID da verificação: o identificador da verificação de malware.

  • Verificação começou em: a data e a hora em que a verificação de malware foi iniciado.

  • Verificação concluída em: a data e hora em que foi concluída a verificação de malware.

  • Trigger Finding ID — O ID de GuardDuty descoberta da descoberta que iniciou essa verificação de malware.

  • Fontes — Os valores potenciais são Bitdefender e Amazon.

    Para obter mais informações sobre o mecanismo de verificação usado para detectar malware, consulte GuardDuty mecanismo de verificação de detecção de malware.

  • Detecções de verificações: a visão completa dos detalhes e resultados de cada verificação de malware.

    • Contagem de itens verificados: o número total de arquivos verificados. Fornece detalhes como totalGb, files e volumes.

    • Contagem de itens detectados por ameaças: o número total de files mal-intencionados detectados durante a verificação.

    • Detalhes da ameaça de maior gravidade: os detalhes da ameaça de maior gravidade detectada durante a verificação e o número de arquivos mal-intencionados. Fornece detalhes como severity, threatName e count.

    • Ameaças detectadas por nome: o elemento de contêiner que agrupa ameaças de todos os níveis de gravidade. Fornece detalhes como itemCount, uniqueThreatNameCount,shortened e threatNames.

Proteção contra malware para EC2 encontrar detalhes

nota

Esta seção é aplicável às descobertas quando você ativa a verificação de GuardDuty malware iniciada emProteção contra malware para EC2.

Quando a Proteção contra Malware para EC2 escaneamento detecta malware, você pode ver os detalhes do escaneamento selecionando a descoberta correspondente na página Descobertas no https://console.aws.amazon.com/guardduty/console. A severidade da EC2 descoberta de sua proteção contra malware depende da gravidade da GuardDuty descoberta.

As informações exibidas a seguir estão disponíveis na seção Ameaças detectadas no painel de detalhes.

  • Nome: o nome da ameaça, obtido ao agrupar os arquivos por detecção.

  • Gravidade: a gravidade da ameaça detectada.

  • Hash: o hash SHA-256 do arquivo.

  • Caminho do arquivo: a localização do arquivo mal-intencionado no volume do EBS.

  • Nome do arquivo: o nome do arquivo em que a ameaça foi detectada.

  • ARN do volume: o ARN dos volumes do EBS verificados.

As informações a seguir estão disponíveis na seção Detalhes do verificação de malware no painel de detalhes.

  • ID de verificação: o ID de verificação da verificação de malware.

  • Verificação começou em: a data e a hora em que a verificação foi iniciada.

  • Verificação concluída em: a data e a hora em que a verificação foi concluída.

  • Arquivos verificados: o número total de arquivos e diretórios verificados.

  • Total de GB verificados: a quantidade de armazenamento verificada durante o processo.

  • ID de descoberta do gatilho — O ID de GuardDuty descoberta da descoberta que iniciou essa verificação de malware.

  • As informações exibidas a seguir estão disponíveis na seção Detalhes do volume no painel de detalhes.

    • ARN do volume: o nome do recurso da Amazon (ARN) do volume.

    • SnapshotARN: o ARN do snapshot do volume do EBS.

    • Status: o status de verificação do volume, comoRunning, Skipped e Completed.

    • Tipo de criptografia: o tipo de criptografia usado para criptografar o volume. Por exemplo, CMCMK.

    • Nome do dispositivo: o nome do dispositivo. Por exemplo, /dev/xvda.

Detalhes de descobertas sobre a Proteção contra malware para S3

Os seguintes detalhes do escaneamento de malware estão disponíveis quando você ativa o Malware Protection for S3 no seu Conta da AWS: GuardDuty

  • Ameaças — Uma lista das ameaças detectadas durante a verificação do malware.

    Várias ameaças potenciais em arquivos.

    Se você tiver um arquivo com várias ameaças potenciais, a Proteção contra Malware para S3 reportará somente a primeira ameaça detectada. Depois disso, o status da verificação é marcado como concluído. GuardDuty gera o tipo de descoberta associado e também envia EventBridge os eventos que ele gera. Para obter mais informações sobre o monitoramento das varreduras de objetos do Amazon S3 usando os EventBridge eventos, consulte o exemplo de esquema de notificação para THREATS_FOUND em. Resultado da verificação de objetos do S3

  • Caminho do item — Uma lista do caminho do item aninhado e dos detalhes de hash do objeto S3 escaneado.

    • Caminho do item aninhado — Caminho do item do objeto S3 escaneado em que a ameaça foi detectada.

      O valor desse campo só estará disponível se o objeto de nível superior for um arquivo e se a ameaça for detectada dentro de um arquivo.

    • Hash — Hash da ameaça detectada nesta descoberta.

  • Fontes — Os valores potenciais são Bitdefender e Amazon.

    Para obter mais informações sobre o mecanismo de verificação usado para detectar malware, consulte GuardDuty mecanismo de verificação de detecção de malware.

Ação

A Ação de uma descoberta fornece detalhes sobre o tipo de atividade que acionou a descoberta. As informações disponíveis variam com base no tipo de ação.

Tipo de ação: o tipo de atividade de descoberta. Esse valor pode ser NETWORK_CONNECTION, PORT_PROBE, DNS_REQUEST, _CALL ou RDS_LOGIN_ATTEMPT. AWS_API As informações disponíveis variam com base no tipo de ação:

  • NETWORK_CONNECTION — Indica que o tráfego de rede foi trocado entre a EC2 instância identificada e o host remoto. Esse tipo de ação tem as seguintes informações adicionais:

    • Direção da conexão — A direção da conexão de rede observada na atividade que levou GuardDuty à geração da descoberta. Os valores podem ser:

      • ENTRADA — Indica que um host remoto iniciou uma conexão com uma porta local na EC2 instância identificada em sua conta.

      • SAÍDA — Indica que a EC2 instância identificada iniciou uma conexão com um host remoto.

      • DESCONHECIDO — Indica que não GuardDuty foi possível determinar a direção da conexão.

    • Protocolo — O protocolo de conexão de rede observado na atividade que levou GuardDuty à geração da descoberta.

    • IP local: o endereço IP de origem original do tráfego que acionou a descoberta. Essas informações podem ser usadas para fazer a distinção entre o endereço IP de uma camada intermediária pela qual o tráfego flui e o endereço IP de origem original do tráfego que acionou a descoberta. Por exemplo, o endereço IP de um pod do EKS em oposição ao endereço IP da instância em que o pod do EKS está sendo executado.

    • Bloqueado: indica se a porta de destino está bloqueada.

  • PORT_PROBE — Indica que um host remoto sondou a EC2 instância identificada em várias portas abertas. Esse tipo de ação tem as seguintes informações adicionais:

    • IP local: o endereço IP de origem original do tráfego que acionou a descoberta. Essas informações podem ser usadas para fazer a distinção entre o endereço IP de uma camada intermediária pela qual o tráfego flui e o endereço IP de origem original do tráfego que acionou a descoberta. Por exemplo, o endereço IP de um pod do EKS em oposição ao endereço IP da instância em que o pod do EKS está sendo executado.

    • Bloqueado: indica se a porta de destino está bloqueada.

  • DNS_REQUEST — Indica que a EC2 instância identificada consultou um nome de domínio. Esse tipo de ação tem as seguintes informações adicionais:

    • Protocolo — O protocolo de conexão de rede observado na atividade que levou GuardDuty à geração da descoberta.

    • Bloqueado: indica se a porta de destino está bloqueada.

  • AWS_API_CALL — Indica que uma AWS API foi invocada. Esse tipo de ação tem as seguintes informações adicionais:

    • API — O nome da operação de API que foi invocada e, portanto, solicitada GuardDuty para gerar essa descoberta.

      nota

      Essas operações também podem incluir eventos que não são de API capturados pelo AWS CloudTrail. Para obter mais informações, consulte Eventos não relacionados à API capturados por CloudTrail.

    • Agente do usuário: o agente do usuário que fez a solicitação da API. Esse valor informa se a chamada foi feita a partir do AWS Management Console, AWS de um serviço AWS SDKs, do ou do AWS CLI.

    • CÓDIGO DE ERRO: se a descoberta foi acionada por uma falha na chamada de API, o código de erro dessa chamada será exibido.

    • Nome do serviço: o nome DNS do serviço que tentou fazer a chamada de API que acionou a descoberta.

  • RDS_LOGIN_ATTEMPT: indica que foi feita uma tentativa de login no banco de dados potencialmente comprometido de um endereço IP remoto.

    • Endereço IP: o endereço IP remoto usado para fazer a tentativa de login potencialmente suspeita.

Agente ou destino

Uma descoberta terá uma seção Agente se a Função do recurso for TARGET. Isso indicará que o recurso foi alvo de atividades suspeitas, e a seção Agente apresentará detalhes sobre a entidade que apontou para o recurso.

Uma descoberta terá uma seção Destino se a Função do recurso for ACTOR. Isso indica que o recurso estava envolvido em atividades suspeitas em um host remoto, e essa seção contém informações sobre o IP e/ou domínio para o qual o recurso apontou.

As informações disponíveis em uma seção Agente ou Destino podem incluir:

  • Afiliado — Detalhes sobre se a AWS conta do chamador remoto da API está relacionada ao seu GuardDuty ambiente. Se esse valor for true, o chamador da API está afiliado à sua conta de alguma forma. Se for false, o chamador da API é de fora do seu ambiente.

  • ID da conta remota: o ID da conta que possui o endereço IP de saída usado para acessar o recurso na rede final.

  • Endereço IP — O endereço IP envolvido na atividade que levou GuardDuty à geração da descoberta.

  • Localização — Informações de localização do endereço IP envolvido na atividade que levou GuardDuty à geração da descoberta.

  • Organização — informações da organização do ISP sobre o endereço IP envolvido na atividade que levou GuardDuty à geração da descoberta.

  • Porta — O número da porta envolvida na atividade que levou GuardDuty à geração da descoberta.

  • Domínio — O domínio envolvido na atividade que levou GuardDuty à geração da descoberta.

  • Domínio com sufixo — O domínio de segundo e primeiro nível envolvido em uma atividade que potencialmente levou GuardDuty à geração da descoberta. Para obter uma lista de domínios de primeiro e segundo nível, consulte a lista pública de sufixos.

Detalhes de geolocalização

GuardDuty determina a localização e a rede das solicitações usando bancos de dados MaxMind GeoIP. MaxMind relata uma precisão muito alta de seus dados em nível de país, embora a precisão varie de acordo com fatores como país e tipo de endereço IP. Para obter mais informações sobre MaxMind, consulte Geolocalização MaxMind IP. Se você acredita que algum dos dados do GeoIP está incorreto, envie uma solicitação de correção para MaxMind Correct MaxMindIP2 Geo Data.

Mais informações

Todas as descobertas têm uma seção Informações adicionais que pode incluir as seguintes informações:

  • Nome da lista de ameaças — O nome da lista de ameaças que inclui o endereço IP ou o nome de domínio envolvido na atividade que levou GuardDuty à geração da descoberta.

  • Amostra: um valor verdadeiro ou falso que indica se é uma descoberta de amostra.

  • Arquivada: um valor verdadeiro ou falso que indica se essa descoberta foi arquivada.

  • Incomum: detalhes da atividade que não foram observados historicamente. Eles podem incluir um usuário, local, hora, bucket, comportamento de login ou ASN Org incomum (não observado anteriormente).

  • Protocolo incomum — O protocolo de conexão de rede envolvido na atividade que levou GuardDuty à geração da descoberta.

  • Detalhes do agente: detalhes sobre o agente de segurança que está atualmente implantado no cluster do EKS em sua Conta da AWS. Isso só se aplica aos tipos de descoberta do Monitoramento de runtime do EKS.

    • Versão do agente — A versão do agente GuardDuty de segurança.

    • ID do agente — O identificador exclusivo do agente GuardDuty de segurança.

Evidências

As descobertas baseadas na inteligência de ameaças têm uma seção Evidência que inclui as seguintes informações:

  • Detalhes da inteligência de ameaças: o nome da lista de ameaças na qual o Threat name reconhecido aparece.

  • Nome da ameaça: o nome da família de malware, ou outro identificador, associado à ameaça.

  • Arquivo de ameaças SHA256 — SHA256 do arquivo que gerou a descoberta.

Comportamento anômalo

Os tipos de descobertas que terminam em AnomalousBehaviorindicam que a descoberta foi gerada pelo modelo de aprendizado de máquina (ML) de detecção de GuardDuty anomalias. O modelo de machine learning avalia todas as solicitações de API para sua conta e identifica eventos anômalos associados às táticas usadas pelos adversários. O modelo de machine learning rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada.

Detalhes sobre quais fatores da solicitação de API são incomuns para a identidade CloudTrail do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta. As identidades são definidas pelo elemento CloudTrail UserIdentity e os valores possíveis sãoRoot:IAMUser,,, AssumedRole FederatedUserAWSAccount, ou. AWSService

Além dos detalhes disponíveis para todas as GuardDuty descobertas associadas à atividade da API, AnomalousBehavioras descobertas têm detalhes adicionais que são descritos na seção a seguir. É possível visualizar esses detalhes no console e eles também estão disponíveis no JSON da descoberta.

  • Anômalo APIs — Uma lista de solicitações de API que foram invocadas pela identidade do usuário nas proximidades da solicitação de API primária associada à descoberta. Esse painel traz ainda mais detalhes do evento da API das maneiras a seguir.

    • A primeira API listada é a API primária, que é a solicitação de API associada à atividade de maior risco observada. Essa é a API que acionou a descoberta e se correlaciona ao estágio de ataque do tipo de descoberta. Essa também é a API detalhada na seção Ação do console e no JSON da descoberta.

    • Todas as outras APIs listadas são mais anômalas em APIs relação à identidade de usuário listada observada nas proximidades da API primária. Se houver apenas uma API na lista, o modelo de machine learning não identificou nenhuma solicitação de API adicional dessa identidade de usuário como anômala.

    • A lista de APIs é dividida com base no fato de uma API ter sido chamada com sucesso ou se a API foi chamada sem sucesso, o que significa que uma resposta de erro foi recebida. O tipo de resposta de erro recebida está listado acima de cada API chamada sem êxito. Os possíveis tipos de resposta de erro são: access denied, access denied exception, auth failure, instance limit exceeded, invalid permission - duplicate, invalid permission - not found e operation not permitted.

    • APIs são categorizados pelo serviço associado.

    • Para obter mais contexto, escolha Histórico APIs para ver os detalhes sobre o topo APIs, até um máximo de 20, geralmente vistos tanto para a identidade do usuário quanto para todos os usuários da conta. Eles APIs são marcados como Raros (menos de uma vez por mês), Infrequentes (algumas vezes por mês) ou Frequentes (diariamente a semanalmente), dependendo da frequência com que são usados em sua conta.

  • Comportamento incomum (conta): esta seção fornece detalhes adicionais sobre o comportamento descrito para a conta.

    Comportamento de perfil

    GuardDuty aprende continuamente sobre as atividades em sua conta com base nos eventos entregues. Essas atividades e sua frequência observada são conhecidas como comportamento de perfil.

    As informações rastreadas nesse painel incluem:

    • ASN Org: o número de sistema autônomo (ASN) da Org da qual a chamada de API anômala foi feita.

    • Nome de usuário: o nome do usuário que fez a chamada de API anômala.

    • Agente do usuário: o agente do usuário usado para fazer a chamada de API anômala. O agente do usuário é o método usado para fazer a chamada, como aws-cli ou Botocore.

    • Tipo de usuário: o tipo de usuário que fez a chamada de API anômala. Os valores possíveis são AWS_SERVICE, ASSUMED_ROLE, IAM_USER ou ROLE.

    • Bucket: o nome do bucket do S3 que está sendo acessado.

  • Comportamento incomum (identidade do usuário): esta seção fornece detalhes adicionais sobre o comportamento descrito para a identidade do usuário envolvida na descoberta. Quando um comportamento não é identificado como histórico, isso significa que o modelo de GuardDuty ML não viu anteriormente essa identidade de usuário fazendo essa chamada de API dessa forma durante o período de treinamento. Estes detalhes adicionais sobre a identidade do usuário estão disponíveis:

    • ASN Org: o ASN Org do qual a chamada de API anômala foi feita.

    • Agente do usuário: o agente do usuário usado para fazer a chamada de API anômala. O agente do usuário é o método usado para fazer a chamada, como aws-cli ou Botocore.

    • Bucket: o nome do bucket do S3 que está sendo acessado.

  • Comportamento incomum (bucket): esta seção fornece detalhes adicionais sobre o comportamento perfilado do bucket do S3 associado à descoberta. Quando um comportamento não é identificado como histórico, isso significa que o modelo de GuardDuty ML não viu anteriormente chamadas de API feitas para esse bucket dessa forma durante o período de treinamento. As informações rastreadas nessa seção incluem:

    • ASN Org: o ASN Org do qual a chamada de API anômala foi feita.

    • Nome de usuário: o nome do usuário que fez a chamada de API anômala.

    • Agente do usuário: o agente do usuário usado para fazer a chamada de API anômala. O agente do usuário é o método usado para fazer a chamada, como aws-cli ou Botocore.

    • Tipo de usuário: o tipo de usuário que fez a chamada de API anômala. Os valores possíveis são AWS_SERVICE, ASSUMED_ROLE, IAM_USER ou ROLE.

    nota

    Para obter mais contexto sobre comportamentos históricos, selecione Comportamento histórico na seção Comportamento incomum (Conta), ID de usuário ou Bucket para ver detalhes sobre o comportamento esperado em sua conta para cada uma das seguintes categorias: Raro (menos de uma vez por mês), Infrequente (algumas vezes por mês) ou Frequente (diário ou semanal), dependendo da frequência em que são usados em sua conta.

  • Comportamento incomum (banco de dados): essa seção fornece detalhes adicionais sobre o comportamento perfilado da instância do banco de dados associada à descoberta. Quando um comportamento não é identificado como histórico, isso significa que o modelo de GuardDuty ML não viu anteriormente uma tentativa de login feita nessa instância de banco de dados dessa forma durante o período de treinamento. As informações rastreadas para essa seção no painel de descoberta incluem:

    • Nome de usuário: o nome de usuário usado para fazer a tentativa anômala de login.

    • ASN Org: o ASN Org da qual a tentativa anômala de login foi feita.

    • Nome da aplicação: o nome da aplicação usada para fazer a tentativa anômala de login.

    • Nome do banco de dados: o nome da instância do banco de dados envolvida na tentativa de login anômala.

    A seção Comportamento histórico fornece mais contexto sobre os nomes de usuário, ASN Orgs, nomes de aplicações e nomes de bancos de dados observados anteriormente para o banco de dados associado. Cada valor exclusivo possui uma contagem associada que representa o número de vezes que esse valor foi observado em um evento de login bem-sucedido.

  • Comportamento incomum (cluster do Kubernetes da conta, namespace do Kubernetes e nome de usuário do Kubernetes): essa seção fornece mais detalhes sobre o comportamento do perfil do cluster e do namespace do Kubernetes associado à descoberta. Quando um comportamento não é identificado como histórico, isso significa que o modelo de GuardDuty ML não observou anteriormente essa conta, cluster, namespace ou nome de usuário dessa forma. As informações rastreadas para essa seção no painel de descoberta incluem:

    • Nome de usuário: o usuário que chamou a API do Kubernetes associada à descoberta.

    • Nome do usuário personificado: o usuário que está sendo personificado por username.

    • Namespace: o namespace do Kubernetes dentro do cluster Amazon EKS em que a ação ocorreu.

    • Agente do usuário: o agente do usuário associado à chamada de API do Kubernetes. O agente do usuário é o método usado para fazer a chamada, como kubectl.

    • API: a API do Kubernetes chamada pelo username dentro do cluster do Amazon EKS.

    • Informações de ASN: as informações de ASN, como organização e ISP, associadas ao endereço IP do usuário que está fazendo essa chamada.

    • Dia da semana: o dia da semana em que a chamada de API do Kubernetes foi feita.

    • Permissão: o verbo e o recurso do Kubernetes que estão sendo verificados quanto ao acesso para indicar se o username pode ou não usar a API do Kubernetes.

    • Nome da conta de serviço: a conta de serviço associada à workload do Kubernetes que fornece uma identidade à workload.

    • Registro: o registro do contêiner associado à imagem do contêiner que é implantada na workload do Kubernetes.

    • Imagem: a imagem do contêiner, sem as tags e o resumo associados, que é implantada na workload do Kubernetes.

    • Configuração de prefixo de imagem: o prefixo da imagem com o contêiner e a configuração de segurança da workload habilitados, como hostNetwork ou privileged, para o contêiner que usa a imagem.

    • Nome do assunto: os assuntos, como um user, group ou serviceAccountName que estão vinculados a uma função de referência em um RoleBinding ou ClusterRoleBinding.

    • Nome da função: o nome da função envolvida na criação ou modificação das funções ou da API roleBinding.

Anomalias com base em volume do S3

Esta seção detalha as informações contextuais relacionadas a anomalias baseadas em volume do S3. A descoberta baseada em volume (Exfiltration:S3/AnomalousBehavior) monitora números incomuns de chamadas de API do S3 feitas aos buckets do S3 pelos usuários, indicando uma possível exfiltração de dados. As chamadas de API do S3 a seguir são monitoradas em relação à detecção de anomalias com base em volume.

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

As métricas a seguir ajudariam a criar uma linha de base do comportamento normal quando uma entidade do IAM acessa um bucket do S3. Para detectar a exfiltração de dados, a descoberta de detecção de anomalias com base em volume avalia todas as atividades em relação à linha de base comportamental usual. Selecione Comportamento histórico nas seções Comportamento incomum (identidade do usuário), Volume observado (identidade do usuário) e Volume observado (bucket) para visualizar as seguintes métricas, respectivamente.

  • Número de chamadas da API s3-api-name invocadas pelo usuário do IAM ou pelo perfil do IAM (depende de qual deles foi emitido) associados ao bucket do S3 afetado nas últimas 24 horas.

  • Número de chamadas da API s3-api-name invocadas pelo usuário do IAM ou pelo perfil do IAM (depende de qual deles foi emitido) associados a todos os buckets do S3 nas últimas 24 horas.

  • Número de chamadas da API s3-api-name em todos os usuários ou perfis do IAM (depende de qual deles foi emitido) associados ao bucket do S3 afetado nas últimas 24 horas.

Anomalias baseadas na atividade de login do RDS

Esta seção detalha a contagem de tentativas de login realizadas pelo agente incomum e é agrupada pelo resultado das tentativas de login. Os Tipos de descoberta da Proteção do RDS identificam comportamentos anômalos monitorando os eventos de login em busca de padrões incomuns de successfulLoginCount, failedLoginCount e incompleteConnectionCount.

  • successfulLoginCount— Esse contador representa a soma das conexões bem-sucedidas (combinação correta de atributos de login) feitas na instância do banco de dados pelo ator incomum. Os atributos de login incluem o nome de usuário, a senha e o nome do banco de dados.

  • failedLoginCount— Esse contador representa a soma das tentativas de login malsucedidas feitas para estabelecer uma conexão com a instância do banco de dados. Isso indica que um ou mais atributos da combinação de login, como o nome de usuário, a senha ou o nome do banco de dados, estavam incorretos.

  • incompleteConnectionCount— Esse contador representa o número de tentativas de conexão que não podem ser classificadas como bem-sucedidas ou malsucedidas. Essas conexões são encerradas antes que o banco de dados forneça uma resposta. Por exemplo, verificação de portas em que a porta do banco de dados está conectada, mas nenhuma informação é enviada ao banco de dados, ou a conexão foi interrompida antes que o login fosse concluído em uma tentativa bem-sucedida ou malsucedida.