Detalhes da descoberta - Amazon GuardDuty
Visão geral da descobertaRecursoDetalhes do usuário do banco de dados (DB) do RDSDetalhes da descoberta do monitoramento de runtimeDetalhes de verificação de volumes do EBSDetalhes de descobertas sobre a Proteção contra malware para EC2Detalhes de descobertas sobre a Proteção contra malware para S3AçãoAgente ou destinoMais informaçõesEvidênciaComportamento anômalo

Detalhes da descoberta

É possível visualizar os detalhes da descoberta na seção de resumo da descoberta no console do Amazon GuardDuty. Os detalhes da descoberta variam de acordo com o tipo de descoberta.

Há dois detalhes principais que determinarão quais tipos de informações serão disponibilizadas para qualquer descoberta. O primeiro é o tipo de recurso, que pode ser Instance, AccessKey, S3Bucket, S3Object, Kubernetes cluster, ECS cluster, Container, RDSDBInstance ou Lambda. O segundo detalhe que determina as informações da descoberta é a Função do recurso. A função do recurso pode ser Target, o que significa que o recurso foi alvo de atividades suspeitas. Por exemplo, tipo de descoberta, a função do recurso também pode ser Actor, o que significa que seu recurso foi o agente que realizou atividades suspeitas. Este tópico descreve alguns dos detalhes geralmente disponíveis sobre descobertas. Para Tipos de descoberta do Monitoramento de runtime do GuardDuty eTipo de descoberta da Proteção contra malware para S3, a função do recurso não foi preenchida.

Visão geral da descoberta

A seção Visão geral de uma descoberta contém os atributos de identificação mais básicos da descoberta, incluindo as seguintes informações:

  • ID da conta: o ID da conta da AWS em que ocorreu a atividade que levou o GuardDuty a gerar essa descoberta.

  • Contagem: o número de vezes que o GuardDuty agregou uma atividade correspondente a esse padrão nesse ID de descoberta.

  • Criada em: a data e hora em que esta descoberta foi criada pela primeira vez. Se esse valor for diferente de Atualizado em indica que a atividade ocorreu várias vezes e é um problema contínuo.

    nota

    Os carimbos de data/hora das descobertas no console do GuardDuty aparecem em seu fuso horário local enquanto exportações de JSON e saídas da CLI exibem carimbos de data/hora em UTC.

  • ID da descoberta: um ID exclusivo para este tipo de descoberta e conjunto de parâmetros. Novas ocorrências de atividades que correspondem a esse padrão serão agregadas ao mesmo ID.

  • Tipo de descoberta: uma string formatada representando o tipo de atividade que acionou a descoberta. Para ter mais informações, consulte Formato de descoberta do GuardDuty.

  • Região: a região da AWS em que a descoberta foi gerada. Para obter mais informações sobre as regiões compatíveis, consulte Regiões e endpoints

  • ID do recurso: o ID do recurso da AWS em que ocorreu a atividade que levou o GuardDuty a gerar essa descoberta.

  • ID do verificação: aplicável às descobertas quando a Proteção contra malware para EC2 do GuardDuty está habilitada. É um identificador da verificação de malware executada nos volumes do EBS anexados à instância do EC2 ou à workload do contêiner potencialmente comprometidas. Para ter mais informações, consulte Detalhes de descobertas sobre a Proteção contra malware para EC2.

  • Gravidade: o nível de gravidade atribuído à descoberta, que pode ser Alta, Média ou Baixa. Para ter mais informações, consulte Níveis de gravidade das descobertas do GuardDuty.

  • Atualizada em: a última vez que a descoberta foi atualizada com novas atividades correspondentes ao padrão que fez com que o GuardDuty gerasse essa descoberta.

Recurso

O Recurso afetado fornece detalhes sobre o recurso da AWS que foi direcionado pela atividade inicial. As informações disponíveis variam de acordo com o tipo de recurso e o tipo de ação.

Função do recurso: a função do recurso da AWS que iniciou a descoberta. Esse valor pode ser TARGET ou ACTOR, e representa se seu recurso foi o alvo da atividade suspeita ou o ator que realizou a atividade suspeita, respectivamente.

Tipo de recurso: o tipo de recurso afetado. Se houver vários recursos envolvidos, uma descoberta poderá incluir vários tipos de recursos. Os tipos de recursos são Instance, AccessKey, S3Bucket, S3Object KubernetesCluster, ECSCluster, Container, RDSDBInstance e Lambda. Dependendo do tipo de recurso, diferentes detalhes da descoberta estarão disponíveis. Selecione uma guia de opções do recurso para saber mais sobre os detalhes disponíveis para ele.

Instance

Detalhes da instância:

nota

Alguns detalhes da instância podem estar ausentes se a instância já tiver sido interrompida ou se a invocação da API subjacente tiver se originado de uma instância do EC2 em uma região diferente ao fazer uma chamada de API entre regiões.

  • ID da instância: o ID da instância do EC2 envolvida na atividade que levou o GuardDuty a gerar a descoberta.

  • Tipo de instância: o tipo de instância do EC2 envolvida na descoberta.

  • Hora de execução: a data e a hora em que a instância foi executada.

  • ARN do Outpost: o nome do recurso da Amazon (ARN) do AWS Outposts. Aplicável somente às instâncias do AWS Outposts. Para ter mais informações, consulte O que é o AWS Outposts?

  • Nome do grupo de segurança: o nome do grupo de segurança anexado à instância envolvida.

  • ID do grupo de segurança: o ID do grupo de segurança anexado à instância envolvida.

  • Estado da instância: o estado atual da instância de destino.

  • Zona de disponibilidade: a zona de disponibilidade da região da AWS em que a instância envolvida está localizada.

  • ID da imagem: o ID da imagem de máquina da Amazon usada para criar a instância envolvida na atividade.

  • Descrição da imagem: uma descrição do ID da imagem de máquina da Amazon usada para criar a instância envolvida na atividade.

  • Tags: uma lista de tags anexadas a este recurso, listadas no formato de key:value.

AccessKey

Detalhes da chave de acesso:

  • ID de chave de acesso: ID de chave de acesso do usuário envolvido na atividade que levou o GuardDuty a gerar a descoberta.

  • ID da entidade principal: o ID da entidade principal do usuário envolvido na atividade que levou o GuardDuty a gerar a descoberta.

  • Tipo de usuário: o tipo de usuário envolvido na atividade que levou o GuardDuty a gerar a descoberta. Para obter mais informações, consulte Elemento userIdentity do CloudTrail.

  • Nome do usuário: o nome do usuário envolvido na atividade que levou o GuardDuty a gerar a descoberta.

S3Bucket

Detalhes do bucket Amazon S3:

  • Nome: o nome do bucket envolvido na descoberta.

  • ARN: o ARN do bucket envolvido na descoberta.

  • Proprietário: o ID de usuário canônico do usuário que possui o bucket envolvido na descoberta. Para obter mais informações sobre IDs de usuário canônicos, consulte Identificadores de conta da AWS.

  • Tipo: o tipo de descoberta do bucket, pode ser Destino ou Origem.

  • Criptografia padrão do lado do servidor: os detalhes de criptografia para o bucket.

  • Tags de bucket: uma lista de tags anexadas a esse recurso, listadas no formato de key:value.

  • Permissões efetivas: uma avaliação de todas as permissões e políticas efetivas no bucket que indica se o bucket envolvido está exposto publicamente. Os valores podem ser públicos ou não públicos.

S3Object

  • Detalhes do objeto do S3 — Inclui as seguintes informações sobre o objeto do S3:

    • ARN — Nome do recurso da Amazon (ARN) do objeto do S3 escaneado.

    • Chave - O nome atribuído ao arquivo quando ele foi criado no bucket S3.

    • ID da versão — Quando o controle de versão do bucket estiver ativado, esse campo indicará o ID da versão associado à versão mais recente do objeto do S3 verificado. Para obter mais informações, consulte Usar o versionamento em buckets do Amazon S3 no Guia do usuário do Amazon S3.

    • ETag — Representa a versão específica do objeto do S3 verificado.

    • Hash — Hash da ameaça detectada nesta descoberta.

  • Detalhes do bucket do S3 — Inclui as seguintes informações sobre o bucket do Amazon S3 associado ao objeto do S3 verificado:

    • Nome - Indica o nome do bucket do S3 que contém o objeto.

    • ARN - Nome de recurso da Amazon (ARN) do bucket do S3.

  • Proprietário - O ID de usuário canônico do proprietário do bucket do S3.

EKSCluster

Detalhes do cluster do Kubernetes:

  • Nome: o nome do cluster do Kubernetes.

  • ARN: o ARN que identifica o cluster.

  • Criado em: a data e a hora em que o cluster foi criado.

    nota

    Os carimbos de data/hora das descobertas no console do GuardDuty aparecem em seu fuso horário local enquanto exportações de JSON e saídas da CLI exibem carimbos de data/hora em UTC.

  • VPC ID: o ID da VPC associada ao cluster.

  • Status: o status atual do cluster.

  • Tags: os metadados que você aplica ao cluster para ajudar na categorização e organização. Cada tag consiste em uma chave e um valor opcional, listados no formato key:value. Você pode definir a chave e o valor.

    As tags de cluster não são propagadas para nenhum outro recurso associado ao cluster.

Detalhes da workload do Kubernetes:

  • Tipo: o tipo de workload do Kubernetes, como pod, implantação e trabalho.

  • Nome: o nome da workload do Kubernetes.

  • Uid: o ID exclusivo da workload do Kubernetes.

  • Criada em: a data e a hora em que essa workload foi criada.

  • Rótulos: os pares de chave-valor anexados à workload do Kubernetes.

  • Contêineres: os detalhes do contêiner em execução como parte da workload do Kubernetes.

  • Namespace: a workload pertence a esse namespace do Kubernetes.

  • Volumes: os volumes usados pela workload do Kubernetes.

    • Caminho do host: representa um arquivo ou diretório preexistente na máquina host para a qual o volume é mapeado.

    • Nome: o nome do volume.

  • contexto de segurança do pod: define as configurações de privilégio e controle de acesso para todos os contêineres em um pod.

  • Rede de host: defina como true se os pods estão incluídos na workload do Kubernetes.

Detalhes do usuário do Kubernetes:

  • Grupos: grupos com RBAC (controle baseado em acesso por função) do Kubernetes do usuário envolvido na atividade que gerou a descoberta.

  • ID: ID exclusiva do usuário do Kubernetes.

  • Nome de usuário: nome do usuário do Kubernetes envolvido na atividade que gerou a descoberta.

  • Nome da sessão: entidade que assumiu o perfil do IAM com permissões RBAC do Kubernetes.

ECSCluster

Detalhes do cluster do ECS:

  • ARN: o ARN que identifica o cluster.

  • Nome: o nome do cluster.

  • Status: o status atual do cluster.

  • Contagem de serviços ativas: o número de serviços que estão sendo executados no cluster em um estado ACTIVE. Você pode visualizar esses serviços com ListServices

  • Contagem de instâncias de contêiner registradas: o número de instâncias de contêiner registradas no cluster. Isso inclui instâncias de contêiner nos status ACTIVE e DRAINING.

  • Contagem de tarefas em execução: o número de tarefas no cluster que estão no estado RUNNING.

  • Tags: os metadados que você aplica ao cluster para ajudar na categorização e organização. Cada tag consiste em uma chave e um valor opcional, listados no formato key:value. Você pode definir a chave e o valor.

  • Contêineres: os detalhes sobre o contêiner associado à tarefa:

    • Nome do contêiner: o nome do contêiner.

    • Imagem do contêiner: a imagem do contêiner.

  • Detalhes da tarefa: os detalhes de uma tarefa em um cluster.

    • ARN: o nome do recurso da Amazon (ARN) da tarefa.

    • ARN da definição: o nome do recurso da Amazon (ARN) da definição de tarefa que cria a tarefa.

    • Versão: o contador de versões da tarefa.

    • Tarefa criada em: a data e hora do Unix quando a tarefa foi criada.

    • Tarefa iniciada em: a data e hora do Unix quando a tarefa foi iniciada.

    • Tarefa iniciada por: a tag especificada quando uma tarefa é iniciada.

Container

Detalhes do contêiner:

  • Runtime do contêiner: o runtime do contêiner (como docker ou containerd) usado para executar o contêiner.

  • ID: o ID da instância de contêiner ou as entradas completas do ARN para a instância de contêiner.

  • Nome: o nome do contêiner.

  • Imagem: a imagem da instância de contêiner.

  • Montagens de volume: lista de montagens de volume de contêineres. Um contêiner pode montar um volume em seu sistema de arquivos.

  • Contexto de segurança: o contexto de segurança do contêiner define as configurações de privilégio e controle de acesso para um contêiner.

  • Detalhes do processo: descreve os detalhes do processo associado à descoberta.

RDSDBInstance

Detalhes da instância do RDSDB:

nota

Esse recurso está disponível nas descobertas da Proteção do RDS relacionadas à instância do banco de dados.

  • ID da instância do banco de dados: o identificador associado à instância do banco de dados envolvida na descoberta do GuardDuty.

  • Mecanismo: o nome do mecanismo de banco de dados da instância do banco de dados envolvida na descoberta. Os valores permitidos são Aurora compatível com MySQL ou Aurora PostgreSQL.

  • Versão do mecanismo: a versão do mecanismo de banco de dados envolvida na descoberta do GuardDuty.

  • ID do cluster do banco de dados: o identificador do cluster do banco de dados que contém o ID da instância do banco de dados envolvido na descoberta do GuardDuty.

  • ARN da instância do banco de dados: o ARN que identifica a instância do banco de dados envolvida na descoberta do GuardDuty.

Lambda
Detalhes da função do Lambda

  • Nome da função: o nome da função do Lambda que está envolvida na descoberta.

  • Versão da função: a versão da função do Lambda envolvida na descoberta.

  • Descrição da função: uma descrição da função do Lambda envolvida na descoberta.

  • ARN da função: o nome do recurso da Amazon (ARN) da função do Lambda envolvida na descoberta.

  • ID da revisão: o ID da revisão da versão da função do Lambda.

  • Perfil: o perfil de execução da função do Lambda envolvida na descoberta.

  • Configuração da VPC: a configuração da Amazon VPC, incluindo o ID da VPC, o grupo de segurança e as IDs de sub-rede associadas à sua função do Lambda.

    • ID da VPC: o ID da Amazon VPC associado à função do Lambda envolvida na descoberta.

    • IDs de sub-rede: o ID das sub-redes associadas à sua função do Lambda.

    • Grupo de segurança: o grupo de segurança vinculado à função do Lambda envolvida. Inclui o nome do grupo de segurança e o ID do grupo.

  • Tags: uma lista de tags anexadas a este recurso, listadas no formato de par de key:value.

Detalhes do usuário do banco de dados (DB) do RDS

nota

Esta seção se aplica às descobertas quando você habilita o atributo de Proteção do RDS no GuardDuty. Para ter mais informações, consulte Proteção do RDS do GuardDuty.

A descoberta do GuardDuty fornece os detalhes do usuário e da autenticação do banco de dados potencialmente comprometido a seguir.

  • Usuário: o nome de usuário usado para fazer a tentativa anômala de login.

  • Aplicação: o nome da aplicação usada para fazer a tentativa anômala de login.

  • Banco de dados: o nome da instância do banco de dados envolvida na tentativa anômala de login.

  • SSL: a versão do Secure Socket Layer (SSL) usada para a rede.

  • Método de autenticação: o método de autenticação usado pelo usuário envolvido na descoberta.

Detalhes da descoberta do monitoramento de runtime

nota

Esses detalhes podem estar disponíveis somente se o GuardDuty gerar um dos Tipos de descoberta do Monitoramento de runtime do GuardDuty.

Esta seção contém os detalhes do runtime, como detalhes do processo e qualquer contexto necessário. Os detalhes do processo descrevem as informações sobre o processo observado e o contexto do runtime descreve qualquer informação adicional sobre a atividade potencialmente suspeita.

Detalhes do processo

  • Nome: o nome do processo.

  • Caminho do executável: o caminho absoluto do arquivo executável do processo.

  • SHA-256 do executável: o hash SHA256 do executável do processo.

  • PID do Namespace: o ID do processo em um namespace PID secundário diferente do namespace PID no nível do host. Para processos em um contêiner, é o ID do processo observado dentro do contêiner.

  • Diretório de trabalho atual: o diretório de trabalho atual do processo.

  • ID do processo: o ID atribuído ao processo pelo sistema operacional.

  • startTime: a hora em que o processo foi iniciado. Está no formato de string de data UTC (2023-03-22T19:37:20.168Z).

  • UUID: o ID exclusivo atribuído ao processo pelo GuardDuty.

  • UUID principal: o ID exclusivo do processo principal. Esse ID é atribuído ao processo principal pelo GuardDuty.

  • Usuário: o usuário que executou o processo.

  • ID do usuário: o ID do usuário que executou o processo.

  • ID de usuário efetivo: o ID de usuário efetivo do processo no momento do evento.

  • Linhagem: informações sobre os ancestrais do processo.

    • ID do processo: o ID atribuído ao processo pelo sistema operacional.

    • UUID: o ID exclusivo atribuído ao processo pelo GuardDuty.

    • Caminho do executável: o caminho absoluto do arquivo executável do processo.

    • ID de usuário efetivo: o ID de usuário efetivo do processo no momento do evento.

    • UUID principal: o ID exclusivo do processo principal. Esse ID é atribuído ao processo principal pelo GuardDuty.

    • Hora de início: o hora em que o processo foi iniciado.

    • PID do Namespace: o ID do processo em um namespace PID secundário diferente do namespace PID no nível do host. Para processos em um contêiner, é o ID do processo observado dentro do contêiner.

    • ID do usuário: o ID do usuário que executou o processo.

    • Nome: o nome do processo.

Contexto de runtime

Com os campos a seguir, uma descoberta gerada pode incluir somente os campos relevantes para o tipo de descoberta.

  • Origem de montagem: o caminho no host que é montado pelo contêiner.

  • Destino de montagem: o caminho no contêiner que é mapeado para o diretório do host.

  • Tipo de sistema de arquivos: representa o tipo do sistema de arquivos montado.

  • Sinalizadores: representam opções que controlam o comportamento do evento envolvido nessa descoberta.

  • Processo de modificação: informações sobre o processo que criou ou modificou um binário, script ou biblioteca dentro de um contêiner no runtime.

  • Modificado em: o carimbo de data/hora em que o processo criou ou modificou um binário, script ou biblioteca dentro de um contêiner no runtime. Esse campo está no formato de string de data UTC (2023-03-22T19:37:20.168Z).

  • Caminho da biblioteca: o caminho para a nova biblioteca que foi carregada.

  • Valor de LD Preload: o valor da variável de ambiente LD_PRELOAD.

  • Caminho do soquete: o caminho para o soquete do Docker que foi acessado.

  • Caminho do binário Runc: o caminho para o binário runc.

  • Caminho do agente de liberação: o caminho para o arquivo do agente de liberação cgroup.

  • Exemplo de linha de comando — O exemplo da linha de comando envolvida na possível atividade suspeita.

  • Categoria da ferramenta — Categoria à qual a ferramenta pertence. Alguns dos exemplos são Backdoor Tool, Pentest Tool, Network Scanner e Network Sniffer.

  • Nome da ferramenta — O nome da ferramenta possivelmente suspeita.

  • Caminho do script — O caminho para o script executado que gerou a descoberta.

  • Caminho do arquivo da ameaça — O caminho suspeito cujos detalhes de inteligência contra ameaças foram encontrados.

  • Nome do serviço — O nome do serviço de segurança que foi desabilitado.

Detalhes de verificação de volumes do EBS

nota

Esta seção é aplicável às descobertas quando você habilita a verificação de malware iniciada pelo GuardDuty na Proteção contra malware para o EC2.

A análise de volumes do EBS fornece detalhes sobre o volume do EBS anexado à instância EC2 ou à workload do contêiner potencialmente comprometida.

  • ID da verificação: o identificador da verificação de malware.

  • Verificação começou em: a data e a hora em que a verificação de malware foi iniciado.

  • Verificação concluída em: a data e hora em que foi concluída a verificação de malware.

  • ID da descoberta de gatilho: o ID da descoberta do GuardDuty que iniciou essa verificação de malware.

  • Fontes — Os valores potenciais são Bitdefender e Amazon.

    Para obter mais informações sobre o mecanismo de verificação usado para detectar malware, consulte Mecanismo de verificação de detecção de malware GuardDuty.

  • Detecções de verificações: a visão completa dos detalhes e resultados de cada verificação de malware.

    • Contagem de itens verificados: o número total de arquivos verificados. Fornece detalhes como totalGb, files e volumes.

    • Contagem de itens detectados por ameaças: o número total de files mal-intencionados detectados durante a verificação.

    • Detalhes da ameaça de maior gravidade: os detalhes da ameaça de maior gravidade detectada durante a verificação e o número de arquivos mal-intencionados. Fornece detalhes como severity, threatName e count.

    • Ameaças detectadas por nome: o elemento de contêiner que agrupa ameaças de todos os níveis de gravidade. Fornece detalhes como itemCount, uniqueThreatNameCount,shortened e threatNames.

Detalhes de descobertas sobre a Proteção contra malware para EC2

nota

Esta seção é aplicável às descobertas quando você habilita a verificação de malware iniciada pelo GuardDuty na Proteção contra malware para o EC2.

Quando a verificação da Proteção contra malware para EC2 detecta malware, você pode ver os detalhes do verificação selecionando a descoberta correspondente na página Descobertas no console https://console.aws.amazon.com/guardduty/. A gravidade da descoberta sobre a Proteção contra malware para EC2 depende da gravidade da descoberta do GuardDuty.

As informações exibidas a seguir estão disponíveis na seção Ameaças detectadas no painel de detalhes.

  • Nome: o nome da ameaça, obtido ao agrupar os arquivos por detecção.

  • Gravidade: a gravidade da ameaça detectada.

  • Hash: o hash SHA-256 do arquivo.

  • Caminho do arquivo: a localização do arquivo mal-intencionado no volume do EBS.

  • Nome do arquivo: o nome do arquivo em que a ameaça foi detectada.

  • ARN do volume: o ARN dos volumes do EBS verificados.

As informações a seguir estão disponíveis na seção Detalhes do verificação de malware no painel de detalhes.

  • ID de verificação: o ID de verificação da verificação de malware.

  • Verificação começou em: a data e a hora em que a verificação foi iniciada.

  • Verificação concluída em: a data e a hora em que a verificação foi concluída.

  • Arquivos verificados: o número total de arquivos e diretórios verificados.

  • Total de GB verificados: a quantidade de armazenamento verificada durante o processo.

  • ID da descoberta de gatilho: o ID da descoberta do GuardDuty que iniciou essa verificação de malware.

  • As informações exibidas a seguir estão disponíveis na seção Detalhes do volume no painel de detalhes.

    • ARN do volume: o nome do recurso da Amazon (ARN) do volume.

    • SnapshotARN: o ARN do snapshot do volume do EBS.

    • Status: o status de verificação do volume, comoRunning, Skipped e Completed.

    • Tipo de criptografia: o tipo de criptografia usado para criptografar o volume. Por exemplo, CMCMK.

    • Nome do dispositivo: o nome do dispositivo. Por exemplo, /dev/xvda.

Detalhes de descobertas sobre a Proteção contra malware para S3

Os seguintes detalhes do escaneamento de malware estão disponíveis quando você ativa o GuardDuty e a Proteção contra Malware para S3 em seu Conta da AWS:

  • Ameaças — Uma lista das ameaças detectadas durante a verificação do malware.

    Várias ameaças potenciais em arquivos.

    Se você tiver um arquivo com várias ameaças potenciais, a Proteção contra Malware para S3 reportará somente a primeira ameaça detectada. Em seguida, o status da verificação é marcado como concluído. O GuardDuty gera o tipo de descoberta associado e também envia os eventos do EventBridge gerados. Para obter mais informações sobre o monitoramento das varreduras de objetos do Amazon S3 usando os eventos do EventBridge, consulte o exemplo de esquema de notificação para THREATS_FOUND em Resultado da verificação de objetos do S3.

  • Caminho do item — Uma lista do caminho do item aninhado e dos detalhes de hash do objeto S3 escaneado.

    • Caminho do item aninhado — Caminho do item do objeto S3 escaneado em que a ameaça foi detectada.

      O valor desse campo só estará disponível se o objeto de nível superior for um arquivo e se a ameaça for detectada dentro de um arquivo.

    • Hash — Hash da ameaça detectada nesta descoberta.

  • Fontes — Os valores potenciais são Bitdefender e Amazon.

    Para obter mais informações sobre o mecanismo de verificação usado para detectar malware, consulte Mecanismo de verificação de detecção de malware GuardDuty.

Ação

A Ação de uma descoberta fornece detalhes sobre o tipo de atividade que acionou a descoberta. As informações disponíveis variam com base no tipo de ação.

Tipo de ação: o tipo de atividade de descoberta. Esse valor pode ser NETWORK_CONNECTION, PORT_PROBE, DNS_REQUEST, AWS_API_CALL ou RDS_LOGIN_ATTEMPT. As informações disponíveis variam com base no tipo de ação:

  • NETWORK_CONNECTION: indica que o tráfego de rede foi trocado entre a instância do EC2 identificada e o host remoto. Esse tipo de ação tem as seguintes informações adicionais:

    • Direção de conexão: a direção de conexão de rede observada na atividade que levou o GuardDuty a gerar a descoberta. Os valores podem ser:

      • INBOUND: indica que um host remoto iniciou uma conexão a uma porta local na instância do EC2 identificada na conta.

      • OUTBOUND: indica que a instância do EC2 identificada iniciou uma conexão a um host remoto.

      • UNKNOWN: indica que o GuardDuty não conseguiu determinar a direção da conexão.

    • Protocolo: o protocolo de conexão de rede observado na atividade que levou o GuardDuty a gerar a descoberta.

    • IP local: o endereço IP de origem original do tráfego que acionou a descoberta. Essas informações podem ser usadas para fazer a distinção entre o endereço IP de uma camada intermediária pela qual o tráfego flui e o endereço IP de origem original do tráfego que acionou a descoberta. Por exemplo, o endereço IP de um pod do EKS em oposição ao endereço IP da instância em que o pod do EKS está sendo executado.

    • Bloqueado: indica se a porta de destino está bloqueada.

  • PORT_PROBE: indica que um host remoto consultou a instância do EC2 identificada em várias portas abertas. Esse tipo de ação tem as seguintes informações adicionais:

    • IP local: o endereço IP de origem original do tráfego que acionou a descoberta. Essas informações podem ser usadas para fazer a distinção entre o endereço IP de uma camada intermediária pela qual o tráfego flui e o endereço IP de origem original do tráfego que acionou a descoberta. Por exemplo, o endereço IP de um pod do EKS em oposição ao endereço IP da instância em que o pod do EKS está sendo executado.

    • Bloqueado: indica se a porta de destino está bloqueada.

  • DNS_REQUEST: indica que a instância do EC2 identificada consultou um nome de domínio. Esse tipo de ação tem as seguintes informações adicionais:

    • Protocolo: o protocolo de conexão de rede observado na atividade que levou o GuardDuty a gerar a descoberta.

    • Bloqueado: indica se a porta de destino está bloqueada.

  • AWS_API_CALL: indica que uma API da AWS foi invocada. Esse tipo de ação tem as seguintes informações adicionais:

    • API: o nome da operação da API que foi invocada e, portanto, levou o GuardDuty a gerar essa descoberta.

      nota

      Essas operações também podem incluir eventos que não são de API capturados pelo AWS CloudTrail. Para obter mais informações, consulte Eventos que não são da API capturados pelo CloudTrail.

    • Agente do usuário: o agente do usuário que fez a solicitação da API. Esse valor informa se a chamada foi feita a partir do AWS Management Console, de um serviço da AWS, dos AWS SDKs ou da AWS CLI.

    • CÓDIGO DE ERRO: se a descoberta foi acionada por uma falha na chamada de API, o código de erro dessa chamada será exibido.

    • Nome do serviço: o nome DNS do serviço que tentou fazer a chamada de API que acionou a descoberta.

  • RDS_LOGIN_ATTEMPT: indica que foi feita uma tentativa de login no banco de dados potencialmente comprometido de um endereço IP remoto.

    • Endereço IP: o endereço IP remoto usado para fazer a tentativa de login potencialmente suspeita.

Agente ou destino

Uma descoberta terá uma seção Agente se a Função do recurso for TARGET. Isso indicará que o recurso foi alvo de atividades suspeitas, e a seção Agente apresentará detalhes sobre a entidade que apontou para o recurso.

Uma descoberta terá uma seção Destino se a Função do recurso for ACTOR. Isso indica que o recurso estava envolvido em atividades suspeitas em um host remoto, e essa seção contém informações sobre o IP e/ou domínio para o qual o recurso apontou.

As informações disponíveis em uma seção Agente ou Destino podem incluir:

  • Afiliado: detalhes sobre se a conta da AWS do chamador remoto da API está relacionada ao seu ambiente do GuardDuty. Se esse valor for true, o chamador da API está afiliado à sua conta de alguma forma. Se for false, o chamador da API é de fora do seu ambiente.

  • ID da conta remota: o ID da conta que possui o endereço IP de saída usado para acessar o recurso na rede final.

  • Endereço IP: o endereço IP envolvido na atividade que levou o GuardDuty a gerar a descoberta.

  • Local: informações sobre o local do endereço IP envolvido na atividade que levou o GuardDuty a gerar a descoberta.

  • Organização: informações da organização de ISP do endereço IP envolvido na atividade que levou o GuardDuty a gerar a descoberta.

  • Porta: o número da porta envolvida na atividade que levou o GuardDuty a gerar a descoberta.

  • Domínio: o domínio envolvido na atividade que levou o GuardDuty a gerar a descoberta.

  • Domínio com sufixo: o domínio de segundo e primeiro nível envolvido em uma atividade que potencialmente levou o GuardDuty a gerar a descoberta. Para obter uma lista de domínios de primeiro e segundo nível, consulte a lista pública de sufixos.

Mais informações

Todas as descobertas têm uma seção Informações adicionais que pode incluir as seguintes informações:

  • Nome da lista de ameaças: o nome da lista de ameaças que inclui o endereço IP ou nome do domínio envolvido na atividade que levou o GuardDuty a gerar a descoberta.

  • Amostra: um valor verdadeiro ou falso que indica se é uma descoberta de amostra.

  • Arquivada: um valor verdadeiro ou falso que indica se essa descoberta foi arquivada.

  • Incomum: detalhes da atividade que não foram observados historicamente. Eles podem incluir um usuário, local, hora, bucket, comportamento de login ou ASN Org incomum (não observado anteriormente).

  • Protocolo incomum: o protocolo de conexão de rede envolvido na atividade que levou o GuardDuty a gerar a descoberta.

  • Detalhes do agente: detalhes sobre o agente de segurança que está atualmente implantado no cluster do EKS em sua Conta da AWS. Isso só se aplica aos tipos de descoberta do Monitoramento de runtime do EKS.

    • Versão do agente: a versão do agente de segurança do GuardDuty.

    • ID do agente: o identificador exclusivo do agente de segurança do GuardDuty.

Evidência

As descobertas baseadas na inteligência de ameaças têm uma seção Evidência que inclui as seguintes informações:

  • Detalhes da inteligência de ameaças: o nome da lista de ameaças na qual o Threat name reconhecido aparece.

  • Nome da ameaça: o nome da família de malware, ou outro identificador, associado à ameaça.

  • Arquivo de ameaça SHA256 — SHA256 do arquivo que gerou a descoberta.

Comportamento anômalo

Os tipos de descobertas que terminam em AnomalousBehavior indicam que a descoberta foi gerada pelo modelo de machine learning (ML) de detecção de anomalias do GuardDuty. O modelo de machine learning avalia todas as solicitações de API para sua conta e identifica eventos anômalos associados às táticas usadas pelos adversários. O modelo de machine learning rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada.

Nos detalhes da descoberta, é possível encontrar informações sobre quais fatores da solicitação de API são incomuns para a identidade do usuário do CloudTrail que invocou a solicitação. As identidades são definidas pelo Elemento userIdentity do CloudTrail e os possíveis valores são: Root, IAMUser, AssumedRole, FederatedUser, AWSAccount ou AWSService.

Além dos detalhes disponíveis para todas as descobertas do GuardDuty associadas à atividade da API, as descobertas AnomalousBehavior têm detalhes adicionais que são descritos na seção a seguir. É possível visualizar esses detalhes no console e eles também estão disponíveis no JSON da descoberta.

  • APIs anômalas: uma lista de solicitações de API que foram invocadas pela identidade do usuário nas proximidades da solicitação de API primária associada à descoberta. Esse painel traz ainda mais detalhes do evento da API das maneiras a seguir.

    • A primeira API listada é a API primária, que é a solicitação de API associada à atividade de maior risco observada. Essa é a API que acionou a descoberta e se correlaciona ao estágio de ataque do tipo de descoberta. Essa também é a API detalhada na seção Ação do console e no JSON da descoberta.

    • Todas as outras APIs listadas são APIs anômalas adicionais provenientes da identidade de usuário listada observada nas proximidades da API principal. Se houver apenas uma API na lista, o modelo de machine learning não identificou nenhuma solicitação de API adicional dessa identidade de usuário como anômala.

    • A lista de APIs é dividida com base no fato de uma API ter sido chamada com êxito ou se a API foi chamada sem êxito, o que significa que uma resposta de erro foi recebida. O tipo de resposta de erro recebida está listado acima de cada API chamada sem êxito. Os possíveis tipos de resposta de erro são: access denied, access denied exception, auth failure, instance limit exceeded, invalid permission - duplicate, invalid permission - not found e operation not permitted.

    • As APIs são categorizadas pelo serviço associado a elas.

    • Para mais contexto, escolha APIs históricas para visualizar os detalhes das principais APIs, até um máximo de 20, geralmente vistas tanto para a identidade do usuário quanto para todos os usuários da conta. As APIs são marcadas como Raras (menos de uma vez por mês), Infrequentes (algumas vezes por mês) ou Frequentes (diárias a semanais), dependendo da frequência em que são usadas na conta.

  • Comportamento incomum (conta): esta seção fornece detalhes adicionais sobre o comportamento descrito para a conta.

    Comportamento de perfil

    O GuardDuty aprende continuamente sobre as atividades realizadas em sua conta com base nos eventos entregues. Essas atividades e sua frequência observada são conhecidas como comportamento de perfil.

    As informações rastreadas nesse painel incluem:

    • ASN Org: o número de sistema autônomo (ASN) da Org da qual a chamada de API anômala foi feita.

    • Nome de usuário: o nome do usuário que fez a chamada de API anômala.

    • Agente do usuário: o agente do usuário usado para fazer a chamada de API anômala. O agente do usuário é o método usado para fazer a chamada, como aws-cli ou Botocore.

    • Tipo de usuário: o tipo de usuário que fez a chamada de API anômala. Os valores possíveis são AWS_SERVICE, ASSUMED_ROLE, IAM_USER ou ROLE.

    • Bucket: o nome do bucket do S3 que está sendo acessado.

  • Comportamento incomum (identidade do usuário): esta seção fornece detalhes adicionais sobre o comportamento descrito para a identidade do usuário envolvida na descoberta. Quando um comportamento não é identificado como histórico, isso significa que o modelo de ML do GuardDuty não viu anteriormente essa identidade de usuário fazendo essa chamada de API dessa forma durante o período de treinamento. Estes detalhes adicionais sobre a identidade do usuário estão disponíveis:

    • ASN Org: o ASN Org do qual a chamada de API anômala foi feita.

    • Agente do usuário: o agente do usuário usado para fazer a chamada de API anômala. O agente do usuário é o método usado para fazer a chamada, como aws-cli ou Botocore.

    • Bucket: o nome do bucket do S3 que está sendo acessado.

  • Comportamento incomum (bucket): esta seção fornece detalhes adicionais sobre o comportamento perfilado do bucket do S3 associado à descoberta. Quando um comportamento não é identificado como histórico, isso significa que o modelo de ML do GuardDuty não viu anteriormente as chamadas de API feitas para esse bucket dessa forma durante o período de treinamento. As informações rastreadas nessa seção incluem:

    • ASN Org: o ASN Org do qual a chamada de API anômala foi feita.

    • Nome de usuário: o nome do usuário que fez a chamada de API anômala.

    • Agente do usuário: o agente do usuário usado para fazer a chamada de API anômala. O agente do usuário é o método usado para fazer a chamada, como aws-cli ou Botocore.

    • Tipo de usuário: o tipo de usuário que fez a chamada de API anômala. Os valores possíveis são AWS_SERVICE, ASSUMED_ROLE, IAM_USER ou ROLE.

    nota

    Para obter mais contexto sobre comportamentos históricos, selecione Comportamento histórico na seção Comportamento incomum (Conta), ID de usuário ou Bucket para ver detalhes sobre o comportamento esperado em sua conta para cada uma das seguintes categorias: Raro (menos de uma vez por mês), Infrequente (algumas vezes por mês) ou Frequente (diário ou semanal), dependendo da frequência em que são usados em sua conta.

  • Comportamento incomum (banco de dados): essa seção fornece detalhes adicionais sobre o comportamento perfilado da instância do banco de dados associada à descoberta. Quando um comportamento não é identificado como histórico, isso significa que o modelo de ML do GuardDuty não viu anteriormente uma tentativa de login feita nessa instância de banco de dados dessa forma durante o período de treinamento. As informações rastreadas para essa seção no painel de descoberta incluem:

    • Nome de usuário: o nome de usuário usado para fazer a tentativa anômala de login.

    • ASN Org: o ASN Org da qual a tentativa anômala de login foi feita.

    • Nome da aplicação: o nome da aplicação usada para fazer a tentativa anômala de login.

    • Nome do banco de dados: o nome da instância do banco de dados envolvida na tentativa de login anômala.

    A seção Comportamento histórico fornece mais contexto sobre os nomes de usuário, ASN Orgs, nomes de aplicações e nomes de bancos de dados observados anteriormente para o banco de dados associado. Cada valor exclusivo possui uma contagem associada que representa o número de vezes que esse valor foi observado em um evento de login bem-sucedido.

  • Comportamento incomum (cluster do Kubernetes da conta, namespace do Kubernetes e nome de usuário do Kubernetes): essa seção fornece mais detalhes sobre o comportamento do perfil do cluster e do namespace do Kubernetes associado à descoberta. Quando um comportamento não é identificado como histórico, significa que o modelo de machine learning do GuardDuty não observou anteriormente essa conta, cluster, namespace ou nome de usuário dessa forma. As informações rastreadas para essa seção no painel de descoberta incluem:

    • Nome de usuário: o usuário que chamou a API do Kubernetes associada à descoberta.

    • Nome do usuário personificado: o usuário que está sendo personificado por username.

    • Namespace: o namespace do Kubernetes dentro do cluster Amazon EKS em que a ação ocorreu.

    • Agente do usuário: o agente do usuário associado à chamada de API do Kubernetes. O agente do usuário é o método usado para fazer a chamada, como kubectl.

    • API: a API do Kubernetes chamada pelo username dentro do cluster do Amazon EKS.

    • Informações de ASN: as informações de ASN, como organização e ISP, associadas ao endereço IP do usuário que está fazendo essa chamada.

    • Dia da semana: o dia da semana em que a chamada de API do Kubernetes foi feita.

    • Permissão: o verbo e o recurso do Kubernetes que estão sendo verificados quanto ao acesso para indicar se o username pode ou não usar a API do Kubernetes.

    • Nome da conta de serviço: a conta de serviço associada à workload do Kubernetes que fornece uma identidade à workload.

    • Registro: o registro do contêiner associado à imagem do contêiner que é implantada na workload do Kubernetes.

    • Imagem: a imagem do contêiner, sem as tags e o resumo associados, que é implantada na workload do Kubernetes.

    • Configuração de prefixo de imagem: o prefixo da imagem com o contêiner e a configuração de segurança da workload habilitados, como hostNetwork ou privileged, para o contêiner que usa a imagem.

    • Nome do assunto: os assuntos, como um user, group ou serviceAccountName que estão vinculados a uma função de referência em um RoleBinding ou ClusterRoleBinding.

    • Nome da função: o nome da função envolvida na criação ou modificação das funções ou da API roleBinding.

Anomalias com base em volume do S3

Esta seção detalha as informações contextuais relacionadas a anomalias baseadas em volume do S3. A descoberta baseada em volume (Exfiltration:S3/AnomalousBehavior) monitora números incomuns de chamadas de API do S3 feitas aos buckets do S3 pelos usuários, indicando uma possível exfiltração de dados. As chamadas de API do S3 a seguir são monitoradas em relação à detecção de anomalias com base em volume.

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

As métricas a seguir ajudariam a criar uma linha de base do comportamento normal quando uma entidade do IAM acessa um bucket do S3. Para detectar a exfiltração de dados, a descoberta de detecção de anomalias com base em volume avalia todas as atividades em relação à linha de base comportamental usual. Selecione Comportamento histórico nas seções Comportamento incomum (identidade do usuário), Volume observado (identidade do usuário) e Volume observado (bucket) para visualizar as seguintes métricas, respectivamente.

  • Número de chamadas da API s3-api-name invocadas pelo usuário do IAM ou pelo perfil do IAM (depende de qual deles foi emitido) associados ao bucket do S3 afetado nas últimas 24 horas.

  • Número de chamadas da API s3-api-name invocadas pelo usuário do IAM ou pelo perfil do IAM (depende de qual deles foi emitido) associados a todos os buckets do S3 nas últimas 24 horas.

  • Número de chamadas da API s3-api-name em todos os usuários ou perfis do IAM (depende de qual deles foi emitido) associados ao bucket do S3 afetado nas últimas 24 horas.

Anomalias baseadas na atividade de login do RDS

Esta seção detalha a contagem de tentativas de login realizadas pelo agente incomum e é agrupada pelo resultado das tentativas de login. Os Tipos de descoberta da Proteção do RDS identificam comportamentos anômalos monitorando os eventos de login em busca de padrões incomuns de successfulLoginCount, failedLoginCount e incompleteConnectionCount.

  • successfulLoginCount: esse contador representa a soma das conexões bem-sucedidas (combinação correta de atributos de login) feitas na instância do banco de dados pelo agente incomum. Os atributos de login incluem o nome de usuário, a senha e o nome do banco de dados.

  • failedLoginCount: esse contador representa a soma das tentativas de login falhadas (malsucedidas) feitas para estabelecer uma conexão com a instância do banco de dados. Isso indica que um ou mais atributos da combinação de login, como o nome de usuário, a senha ou o nome do banco de dados, estavam incorretos.

  • incompleteConnectionCount: esse contador representa o número de tentativas de conexão que não podem ser classificadas como bem-sucedidas ou malsucedidas. Essas conexões são encerradas antes que o banco de dados forneça uma resposta. Por exemplo, verificação de portas em que a porta do banco de dados está conectada, mas nenhuma informação é enviada ao banco de dados, ou a conexão foi interrompida antes que o login fosse concluído em uma tentativa bem-sucedida ou malsucedida.