本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

GuardDuty IAM 调查发现类型

以下发现特定于IAM实体和访问密钥，并且资源类型始终为AccessKey。调查发现的严重性和详细信息因调查发现类型而异。

此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关更多信息，请参阅 GuardDuty 基础数据来源。

对于所有IAM相关发现，我们建议您检查相关实体，并确保其权限遵循最低权限的最佳实践。如果此活动是意外活动，则凭证可能已泄露。有关修复调查发现的信息，请参阅 修复可能被泄露的 AWS 凭证。

CredentialAccess:IAMUser/AnomalousBehavior

以异常方式调用了API用于获取 AWS 环境访问权限的。

默认严重级别：中

这一发现告诉你，在你的账户中发现了一个异常API请求。这一发现可能包括单个用户身份在附近提出的单个API或一系列相关API请求。当攻击者试图为您的环境收集密码、用户名和访问密钥时，API观察到的情况通常与攻击的凭证访问阶段有关。此类别APIs中的是GetPasswordData、GetSecretValueBatchGetSecretValue、和GenerateDbAuthToken。

该API请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。机器学习模型跟踪API请求的各种因素，例如发出请求的用户、发出请求的位置以及请求API的具体内容。有关请求中哪些因素对调用API请求的用户身份不寻常的详细信息，可以在调查结果详细信息中找到。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

DefenseEvasion:IAMUser/AnomalousBehavior

以一种反常的方式援引了API用来逃避防御措施的手段。

默认严重级别：中

这一发现告诉你，在你的账户中发现了一个异常API请求。这一发现可能包括单个用户身份在附近提出的单个API或一系列相关API请求。API观察到的情况通常与防御逃避战术有关，在这种策略中，对手试图掩盖自己的踪迹并逃避侦查。 APIs此类别中通常包括删除、禁用或停止操作，例如DeleteFlowLogs、DisableAlarmActions、或StopLogging。

该API请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。机器学习模型跟踪API请求的各种因素，例如发出请求的用户、发出请求的位置以及请求API的具体内容。有关请求中哪些因素对调用API请求的用户身份不寻常的详细信息，可以在调查结果详细信息中找到。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

Discovery:IAMUser/AnomalousBehavior

API通常用于发现资源的方法被以异常方式调用。

默认严重级别：低

这一发现告诉你，在你的账户中发现了一个异常API请求。这一发现可能包括单个用户身份在附近提出的单个API或一系列相关API请求。API观察到的情况通常与攻击的发现阶段有关，即攻击者正在收集信息以确定您的 AWS 环境是否容易受到更广泛的攻击。 APIs此类别中通常是获取、描述或列出操作，例如DescribeInstances、GetRolePolicy、或ListAccessKeys。

该API请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。机器学习模型跟踪API请求的各种因素，例如发出请求的用户、发出请求的位置以及请求API的具体内容。有关请求中哪些因素对调用API请求的用户身份不寻常的详细信息，可以在调查结果详细信息中找到。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

Exfiltration:IAMUser/AnomalousBehavior

API通常用于从 AWS 环境中收集数据的方法被以异常方式调用。

默认严重级别：高

这一发现告诉你，在你的账户中发现了一个异常API请求。这一发现可能包括单个用户身份在附近提出的单个API或一系列相关API请求。API观察到的情况通常与泄露策略有关，在这种策略中，对手试图使用打包和加密从您的网络收集数据以避免被发现。 APIs此查找类型仅为管理（控制平面）操作，通常与 S3、快照和数据库相关，例如、PutBucketReplicationCreateSnapshot、或。RestoreDBInstanceFromDBSnapshot

该API请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。机器学习模型跟踪API请求的各种因素，例如发出请求的用户、发出请求的位置以及请求API的具体内容。有关请求中哪些因素对调用API请求的用户身份不寻常的详细信息，可以在调查结果详细信息中找到。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

Impact:IAMUser/AnomalousBehavior

API通常用于在 AWS 环境中篡改数据或进程的方法被异常调用。

默认严重级别：高

这一发现告诉你，在你的账户中发现了一个异常API请求。这一发现可能包括单个用户身份在附近提出的单个API或一系列相关API请求。API观察到的情况通常与冲击策略有关，在这种策略中，对手试图破坏运营并操纵、中断或销毁您账户中的数据。 APIs此查找类型通常是删除、更新或放置操作，例如DeleteSecurityGroup、UpdateUser、或PutBucketPolicy。

该API请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。机器学习模型跟踪API请求的各种因素，例如发出请求的用户、发出请求的位置以及请求API的具体内容。有关请求中哪些因素对调用API请求的用户身份不寻常的详细信息，可以在调查结果详细信息中找到。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

InitialAccess:IAMUser/AnomalousBehavior

API通常用于未经授权访问 AWS 环境的方法被异常调用。

默认严重级别：中

这一发现告诉你，在你的账户中发现了一个异常API请求。这一发现可能包括单个用户身份在附近提出的单个API或一系列相关API请求。API观察到的情况通常与攻击的初始访问阶段有关，即攻击者试图建立对您环境的访问权限。 APIs此类别中通常是获取令牌或会话操作，例如StartSession、或GetAuthorizationToken。

该API请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。机器学习模型跟踪API请求的各种因素，例如发出请求的用户、发出请求的位置以及请求API的具体内容。有关请求中哪些因素对调用API请求的用户身份不寻常的详细信息，可以在调查结果详细信息中找到。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

PenTest:IAMUser/KaliLinux

API是从 Kali Linux 计算机上调用的。

默认严重级别：中

这一发现告诉您，一台运行 Kali Linux 的计算机正在使用属于您环境中列出的 AWS 账户的凭据进行API呼叫。Kali Linux是一种流行的渗透测试工具，安全专业人员使用它来识别需要修补的EC2实例中的漏洞。攻击者还使用此工具来发现EC2配置漏洞，并获得对您的 AWS 环境的未经授权的访问权限。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

PenTest:IAMUser/ParrotLinux

API是从 Parrot Security Linux 计算机上调用的。

默认严重级别：中

这一发现告诉您，一台运行 Parrot Security Linux 的计算机正在使用属于您环境中列出的 AWS 账户的凭据进行API呼叫。Parrot Security Linux 是一种流行的渗透测试工具，安全专业人员使用它来识别需要修补的EC2实例中的漏洞。攻击者还使用此工具来发现EC2配置漏洞，并获得对您的 AWS 环境的未经授权的访问权限。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

PenTest:IAMUser/PentooLinux

API是从 Pentoo Linux 计算机上调用的。

默认严重级别：中

这一发现告诉你，一台运行 Pentoo Linux 的计算机正在使用属于你环境中列出的 AWS 账户的凭据进行API呼叫。Pentoo Linux 是一种流行的渗透测试工具，安全专业人员使用它来识别需要修补的EC2实例中的漏洞。攻击者还使用此工具来发现EC2配置漏洞，并获得对您的 AWS 环境的未经授权的访问权限。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

Persistence:IAMUser/AnomalousBehavior

API通常用于维护对 AWS 环境的未经授权访问的方法被异常调用。

默认严重级别：中

这一发现告诉你，在你的账户中发现了一个异常API请求。这一发现可能包括单个用户身份在附近提出的单个API或一系列相关API请求。API观察到的情况通常与持久性策略有关，在这种策略中，对手已获得对您的环境的访问权限并试图保持该访问权限。 APIs此类别中通常是创建、导入或修改操作，例如CreateAccessKey、ImportKeyPair、或ModifyInstanceAttribute。

该API请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。机器学习模型跟踪API请求的各种因素，例如发出请求的用户、发出请求的位置以及请求API的具体内容。有关请求中哪些因素对调用API请求的用户身份不寻常的详细信息，可以在调查结果详细信息中找到。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

Policy:IAMUser/RootCredentialUsage

API是使用根用户登录凭据调用的。

默认严重级别：低

此调查发现通知您，正在利用您环境中列出的 AWS 账户 根用户登录凭证，向 AWS 服务发出请求。建议用户切勿使用 root 用户登录凭据来访问 AWS 服务。相反，应使用来自 AWS Security Token Service (STS) 的最低权限临时证书访问 AWS 服务。 AWS STS 对于不支持的情况，建议IAM使用用户证书。有关更多信息，请参阅IAM最佳实践。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

PrivilegeEscalation:IAMUser/AnomalousBehavior

API通常用于获取 AWS 环境高级权限的方法被异常调用。

默认严重级别：中

这一发现告诉你，在你的账户中发现了一个异常API请求。这一发现可能包括单个用户身份在附近提出的单个API或一系列相关API请求。API观察到的情况通常与权限升级策略有关，在这种策略中，攻击者试图获得更高级别的环境权限。 APIs此类别中通常涉及更改IAM策略、角色和用户的操作，例如、AssociateIamInstanceProfileAddUserToGroup、或PutUserPolicy。

该API请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。机器学习模型跟踪API请求的各种因素，例如发出请求的用户、发出请求的位置以及请求API的具体内容。有关请求中哪些因素对调用API请求的用户身份不寻常的详细信息，可以在调查结果详细信息中找到。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

Recon:IAMUser/MaliciousIPCaller

API是从已知的恶意 IP 地址调用的。

默认严重级别：中

这一发现告诉您，可以列出或描述您环境中账户中 AWS 资源的API操作是从威胁列表中包含的 IP 地址调用的。攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察，以找到更有价值的凭据或确定他们已经拥有的凭据的功能。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

Recon:IAMUser/MaliciousIPCaller.Custom

API是从已知的恶意 IP 地址调用的。

默认严重级别：中

这一发现告诉您，可以列出或描述您环境中账户中 AWS 资源的API操作是从自定义威胁列表中包含的 IP 地址调用的。使用的威胁列表将在调查发现的详细信息中列出。攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察，以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

Recon:IAMUser/TorIPCaller

API是从 Tor 退出节点 IP 地址调用的。

默认严重级别：中

这一发现告诉你，可以列出或描述环境中账户中 AWS 资源的API操作是从 Tor 出口节点 IP 地址调用的。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。攻击者会使用 Tor 来掩盖他们的真实身份。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail 日志记录已禁用。

默认严重级别：低

此发现告知您 AWS 环境中的一条 CloudTrail 跟踪已被禁用。这可能是攻击者尝试禁用日志记录，通过消除其活动的任何痕迹来掩盖其踪迹，同时出于恶意目的获取对您 AWS 资源的访问权限。成功地删除或更新跟踪会触发此调查发现。成功删除存储与之关联的跟踪中的日志的 S3 存储桶也可能触发此发现 GuardDuty。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

Stealth:IAMUser/PasswordPolicyChange

账户密码策略受损。

默认严重级别：低*

您的 AWS 环境中列出的 AWS 账户的账户密码政策已被削弱。例如，策略已删除或者进行了更新，要求较少的字符、无需符号和数字或者要求延长密码有效期。尝试更新或删除您的 AWS 账户密码策略也可能触发此发现。 AWS 账户密码策略定义了管理可以为您的IAM用户设置哪些类型的密码的规则。较弱的密码策略允许创建易于记住同时也可能更容易被猜到的密码，因而造成安全风险。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

发现多个全球范围内的成功控制台登录。

默认严重级别：中

这一发现告诉您，大约在同一时间在不同的地理位置观察到同一IAM用户多次成功登录控制台。这种异常且有风险的访问位置模式表明您的 AWS 资源可能遭到未经授权的访问。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

通过EC2实例启动角色专为实例创建的证书正在从其中的另一个账户中使用 AWS。

默认严重级别：高*

当您的亚马逊EC2实例凭证用于APIs从 IP 地址或亚马逊终端节点调用时，该发现会通知您，该地址或VPC终端节点所拥有的 AWS 账户与运行关联的亚马逊EC2实例的账户不同。 VPC端点检测仅适用于支持VPC端点网络活动事件的服务。有关支持VPC终端网络活动事件的服务的信息，请参阅AWS CloudTrail 用户指南中的记录网络活动事件。

AWS 不建议在创建临时证书的实体（例如， AWS 应用程序EC2、Amazon 或 AWS Lambda）之外重新分配临时证书。但是，授权用户可以从其 Amazon EC2 实例导出凭证以进行合法API呼叫。如果该remoteAccountDetails.Affiliated字段为True，则API是从与同一管理员帐户关联的账户调用的。要排除潜在的攻击并验证活动的合法性，请联系分配这些证书 AWS 账户 的所有者或IAM委托人。

修复建议：

当使用您的 Amazon EC2 实例的会话凭证 AWS 通过您外部的 Amazon EC2 实例在内部 AWS API发出请求时 AWS 账户，就会生成此发现。例如，对于中心和分支配置中的 Transit Gateway 架构，通常VPC使用 AWS 服务端点通过单个中心出口路由流量。如果预期会出现这种行为，则 GuardDuty 建议您使用抑制规则并创建具有双筛选条件的规则。第一个标准是发现类型，在本例中为 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS。 第二个筛选条件是远程账户详细信息的远程账户 ID。

针对此调查发现，您可以使用以下工作流程来确定行动方案：

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

通过EC2实例启动角色专为实例创建的证书正在从外部 IP 地址使用。

默认严重级别：高

这一发现告诉您，外部的主 AWS 机试图使用在您 AWS 环境中的EC2实例上创建的临时 AWS 证书来运行 AWS API操作。列出的EC2实例可能已被泄露，并且该实例的临时证书可能已被泄露到外部的远程主机。 AWS AWS 不建议在创建临时证书的实体（例如 AWS 应用程序或 Lambda）之外重新分配临时证书。EC2但是，授权用户可以从其EC2实例中导出证书以进行合法API呼叫。要排除潜在的攻击并验证活动的合法性，请验证是否应在调查发现中使用来自远程 IP 的实例凭证。

修复建议：

当网络配置为路由 Internet 流量，使其从本地网关而不是从 Internet Gateway (IGW) 流出时，VPC就会生成此结果。常用配置（例如使用AWS Outposts或VPCVPN连接）可能会导致流量以这种方式路由。如果这是预期行为，我们建议您使用抑制规则，并创建一个包含两个过滤条件的规则。第一个标准是 finding type（调查发现类型），它应是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二个筛选条件是API呼叫者IPv4地址，其中包含您的本地 Internet 网关的 IP 地址或CIDR范围。要了解有关创建抑制规则的更多信息，请参阅 中的抑制规则 GuardDuty。

如果此活动是意外活动，则您的凭证可能已遭盗用，请参阅修复可能被泄露的 AWS 凭证。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

API是从已知的恶意 IP 地址调用的。

默认严重级别：中

此发现告诉您，某项API操作（例如，尝试启动EC2实例、创建新IAM用户或修改您的 AWS 权限）是从已知的恶意 IP 地址调用的。这可能表示对您环境中的 AWS 资源进行了未经授权的访问。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

API是从自定义威胁列表上的 IP 地址调用的。

默认严重级别：中

此发现告诉您，某项API操作（例如，尝试启动EC2实例、创建新IAM用户或修改 AWS 权限）是从您上传的威胁列表中包含的 IP 地址调用的。在 中，威胁列表包含已知的恶意 IP 地址。这可能表示对您环境中的 AWS 资源进行了未经授权的访问。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。

UnauthorizedAccess:IAMUser/TorIPCaller

API是从 Tor 退出节点 IP 地址调用的。

默认严重级别：中

这一发现告诉您，从 Tor 出口节点 IP 地址调用了一项API操作（EC2例如，尝试启动实例、创建新IAM用户或修改您的 AWS 权限）。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这种情况可能表明有人未经授权访问您的 AWS 资源，并意图隐藏攻击者的真实身份。

修复建议：

如果此活动是意外活动，则您的凭证可能已泄露。有关更多信息，请参阅 修复可能被泄露的 AWS 凭证。