本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

GuardDuty S3 保护查找类型

以下发现特定于 Amazon S3 资源，S3Bucket如果数据源是 S3 的数据事件，或者CloudTrail 数据源是CloudTrail 管理事件，AccessKey则其资源类型将为。调查发现的严重性和详细信息将因调查发现类型和与存储桶关联的权限而异。

此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关数据来源和模型的更多信息，请参阅 GuardDuty 基础数据源。

对于所有 S3Bucket 类型的调查发现，建议您检查相关存储桶的权限以及调查发现中涉及的任何用户权限，如果活动是不正常的，请参阅 修复可能遭到入侵的 S3 存储桶 中详细介绍的修复建议。

Discovery:S3/AnomalousBehavior

API通常用于发现 S3 对象的方法是以异常方式调用的。

默认严重级别：低

此发现告知您某个IAM实体已调用 S3 API 来发现您的环境中的 S3 存储桶，例如。ListObjects此类活动与攻击的发现阶段相关，在该阶段攻击者收集信息以确定您的 AWS 环境是否容易受到更广泛的攻击。这种活动是可疑的，因为该IAM实体以不寻常API的方式调用了。例如，以前没有历史记录的IAM实体调用 S3API，或者IAM实体API从不寻常的位置调用 S3。

异常检测机器学习 (ML) 模型将其确定为异常。API GuardDuty机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。它跟踪API请求的各种因素，例如发出请求的用户、发出请求的地点、请求的具体API内容、请求的存储桶以及发出的API呼叫次数。有关请求中哪些因素对调用API请求的用户身份不寻常的更多信息，请参阅查找详细信息。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Discovery:S3/MaliciousIPCaller

API通常用于在 AWS 环境中发现资源的 S3 是从已知的恶意 IP 地址调用的。

默认严重级别：高

此发现告诉您，S3 API 操作是从与已知恶意活动关联的 IP 地址调用的。观察到的情况API通常与攻击的发现阶段有关，当时攻击者正在收集有关您的 AWS 环境的信息。示例包括 GetObjectAcl 和 ListObjects。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Discovery:S3/MaliciousIPCaller.Custom

S3 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重级别：高

此发现告诉您，S3API（例如GetObjectAcl或ListObjects）是从您上传的威胁列表中包含的 IP 地址调用的。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。此类活动与攻击的发现阶段有关，攻击者会在该阶段收集信息，以确定您的 AWS 环境是否容易受到更广泛的攻击。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Discovery:S3/TorIPCaller

S3 API 是从 Tor 退出节点 IP 地址调用的。

默认严重级别：中

此发现告诉您，S3API（例如GetObjectAcl或ListObjects）是从 Tor 退出节点 IP 地址调用的。此类活动与攻击的发现阶段相关，攻击者正在收集信息以确定您的 AWS 环境是否容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示未经授权访问您的 AWS 资源，意图隐藏攻击者的真实身份。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Exfiltration:S3/AnomalousBehavior

一个IAM实体以可疑的方式调用了 S3 API。

默认严重级别：高

这一发现告诉您，某个IAM实体正在进行涉及 S3 存储桶的API调用，并且此活动与该实体的既定基准不同。本活动中使用的API呼叫与攻击的渗透阶段相关，攻击者在该阶段试图收集数据。这种活动是可疑的，因为该IAM实体以不寻常API的方式调用了。例如，以前没有历史记录的IAM实体调用 S3API，或者IAM实体API从不寻常的位置调用 S3。

异常检测机器学习 (ML) 模型将其确定为异常。API GuardDuty机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。它跟踪API请求的各种因素，例如发出请求的用户、发出请求的地点、请求的具体API内容、请求的存储桶以及发出的API呼叫次数。有关请求中哪些因素对调用API请求的用户身份不寻常的更多信息，请参阅查找详细信息。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Exfiltration:S3/MaliciousIPCaller

API通常用于从 AWS 环境中收集数据的 S3 是从已知的恶意 IP 地址调用的。

默认严重级别：高

此发现告诉您，S3 API 操作是从与已知恶意活动关联的 IP 地址调用的。观察到的情况API通常与泄露策略有关，在这种策略中，对手试图从您的网络收集数据。示例包括 GetObject 和 CopyObject。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Impact:S3/AnomalousBehavior.Delete

某IAM实体调用了 S3API，试图以可疑方式删除数据。

默认严重级别：高

这一发现告诉您，您的 AWS 环境中有一个IAM实体正在进行涉及 S3 存储桶的API调用，而这种行为与该实体的既定基准不同。本活动中使用的API呼叫与试图删除数据的攻击有关。这种活动是可疑的，因为该IAM实体以不寻常API的方式调用了。例如，以前没有历史记录的IAM实体调用 S3API，或者IAM实体API从不寻常的位置调用 S3。

异常检测机器学习 (ML) 模型将其确定为异常。API GuardDuty机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。它跟踪API请求的各种因素，例如发出请求的用户、发出请求的地点、请求的具体API内容、请求的存储桶以及发出的API呼叫次数。有关请求中哪些因素对调用API请求的用户身份不寻常的更多信息，请参阅查找详细信息。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

我们建议您对 S3 存储桶的内容进行审计，以确定是否可以或应该恢复之前的对象版本。

Impact:S3/AnomalousBehavior.Permission

API通常用于设置访问控制列表 (ACL) 权限的方法是以异常方式调用的。

默认严重级别：高

这一发现告诉您，您的 AWS 环境中的某个IAM实体更改了存储桶策略或更改了列出ACL的 S3 存储桶。此更改可能会向所有经过身份验证的 AWS 用户公开您的 S3 存储桶。

异常检测机器学习 (ML) 模型将其确定为异常。API GuardDuty机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。它跟踪API请求的各种因素，例如发出请求的用户、发出请求的地点、请求的具体API内容、请求的存储桶以及发出的API呼叫次数。有关请求中哪些因素对调用API请求的用户身份不寻常的更多信息，请参阅查找详细信息。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

我们建议对您的 S3 存储桶的内容进行审计，以确保没有对象被意外允许公开访问。

Impact:S3/AnomalousBehavior.Write

一个IAM实体调用了 S3API，试图以可疑的方式写入数据。

默认严重级别：中

这一发现告诉您，您的 AWS 环境中有一个IAM实体正在进行涉及 S3 存储桶的API调用，而这种行为与该实体的既定基准不同。本活动中使用的API呼叫与试图写入数据的攻击有关。这种活动是可疑的，因为该IAM实体以不寻常API的方式调用了。例如，以前没有历史记录的IAM实体调用 S3API，或者IAM实体API从不寻常的位置调用 S3。

异常检测机器学习 (ML) 模型将其确定为异常。API GuardDuty机器学习模型会评估您账户中的所有API请求，并识别与对手使用的技术相关的异常事件。它跟踪API请求的各种因素，例如发出请求的用户、发出请求的地点、请求的具体API内容、请求的存储桶以及发出的API呼叫次数。有关请求中哪些因素对调用API请求的用户身份不寻常的更多信息，请参阅查找详细信息。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

我们建议您对 S3 存储桶的内容进行审计，以确保此API调用未写入恶意或未经授权的数据。

Impact:S3/MaliciousIPCaller

API通常用于在 AWS 环境中篡改数据或进程的 S3 是从已知的恶意 IP 地址调用的。

默认严重级别：高

此发现告诉您，S3 API 操作是从与已知恶意活动关联的 IP 地址调用的。观察到的情况API通常与冲击策略有关，在这种策略中，对手试图操纵、中断或销毁您的 AWS 环境中的数据。示例包括 PutObject 和 PutObjectAcl。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

PenTest:S3/KaliLinux

S3 API 是从 Kali Linux 计算机上调用的。

默认严重级别：中

这一发现告诉你，一台运行 Kali Linux 的计算机正在使用属于你 AWS 账户的凭据进行 S3 API 调用。您的凭证可能遭到盗用。Kali Linux是一种流行的渗透测试工具，安全专业人员使用它来识别需要修补的EC2实例中的漏洞。攻击者还使用此工具来发现EC2配置漏洞，并获得对您的 AWS 环境的未经授权的访问权限。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

PenTest:S3/ParrotLinux

S3 API 是从 Parrot Security Linux 计算机上调用的。

默认严重级别：中

这一发现告诉你，一台运行 Parrot Security Linux 的计算机正在使用属于你 AWS 账户的凭据进行 S3 API 调用。您的凭证可能遭到盗用。Parrot Security Linux 是一种流行的渗透测试工具，安全专业人员使用它来识别需要修补的EC2实例中的漏洞。攻击者还使用此工具来发现EC2配置漏洞，并获得对您的 AWS 环境的未经授权的访问权限。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

PenTest:S3/PentooLinux

S3 API 是从 Pentoo Linux 计算机上调用的。

默认严重级别：中

这一发现告诉你，一台运行 Pentoo Linux 的计算机正在使用属于你 AWS 账户的凭据进行 S3 API 调用。您的凭证可能遭到盗用。Pentoo Linux 是一种流行的渗透测试工具，安全专业人员使用它来识别需要修补的EC2实例中的漏洞。攻击者还使用此工具来发现EC2配置漏洞，并获得对您的 AWS 环境的未经授权的访问权限。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Policy:S3/AccountBlockPublicAccessDisabled

一个IAM实体调用了，API用于禁用 S3 对账户的公共访问权限。

默认严重级别：低

此调查发现通知您，Amazon S3 屏蔽公共访问权限已在账户级别禁用。启用 S3 阻止公共访问设置后，这些设置将用于筛选存储桶上的策略或访问控制列表 (ACLs)，以此作为一项安全措施，以防止无意中向公众泄露数据。

通常情况下，会关闭账户的 S3 屏蔽公共访问权限，以允许公开访问存储桶或存储桶中的对象。当某个账户禁用 S3 阻止公共访问时，对存储桶的访问权限将由应用于您的个人存储桶的策略或存储桶级别的 “阻止公共访问” 设置来控制。ACLs这并不一定意味着将公开共享存储桶，但应审计应用于存储桶的权限，以确认这些权限提供了适当的访问级别。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Policy:S3/BucketAnonymousAccessGranted

IAM委托人已通过更改存储桶策略向互联网授予对 S3 存储桶的访问权限，或者ACLs。

默认严重级别：高

这一发现告诉您，列出的 S3 存储桶已在 Internet 上公开访问，因为某个IAM实体更改了存储桶策略或该存储桶ACL上的策略。检测到策略或ACL变更后，使用由 Zelkova 支持的自动推理来确定存储桶是否可公开访问。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Policy:S3/BucketBlockPublicAccessDisabled

一个IAM实体调用了API用于在存储桶上禁用 S3 阻止公共访问权限。

默认严重级别：低

此调查发现通知您已禁用列出的 S3 存储桶的屏蔽公开访问权限。启用后，S3 Block Public Access 设置用于筛选应用于存储桶的策略或访问控制列表 (ACLs)，以此作为一项安全措施，以防止无意中向公众泄露数据。

通常情况下，会关闭存储桶的 S3 屏蔽公共访问权限，以允许公开访问该存储桶或其中的对象。当对存储桶禁用 S3 阻止公共访问时，对该存储桶的访问权限将由策略控制或ACLs应用于该存储桶。这并不意味着存储桶已公开共享，但您应审核策略并将其ACLs应用于存储桶，以确认已应用适当的权限。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Policy:S3/BucketPublicAccessGranted

IAM委托人已通过更改存储桶策略向所有 AWS 用户授予对 S3 存储桶的公共访问权限或ACLs。

默认严重级别：高

这一发现告诉您，由于某个IAM实体更改了存储桶策略或在该 S3 存储桶ACL上更改了存储桶策略，因此列出的 S3 存储桶已向所有经过身份验证的 AWS 用户公开。检测到策略或ACL变更后，使用由 Zelkova 支持的自动推理来确定存储桶是否可公开访问。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

Stealth:S3/ServerAccessLoggingDisabled

已为存储桶禁用 S3 服务器访问日志记录。

默认严重级别：低

这一发现告诉您，您的 AWS 环境中的存储桶已禁用 S3 服务器访问日志记录。如果禁用，则不会为访问已识别的 S3 存储桶的任何尝试创建 Web 请求日志，但是，仍会跟踪对该存储桶的 S3 管理API调用（例如 DeleteBucket）。如果通过 CloudTrail 为该存储桶启用 S3 数据事件记录，则仍将跟踪对存储桶内对象的 Web 请求。禁用日志记录是未经授权的用户为逃避检测而使用的一种技术。要了解有关 S3 日志的更多信息，请参阅 S3 服务器访问日志记录和 S3 日志记录选项。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

S3 API 是从自定义威胁列表上的 IP 地址调用的。

默认严重级别：高

此发现告诉您，S3 API 操作（例如PutObject或PutObjectAcl）是从您上传的威胁列表中包含的 IP 地址调用的。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。

UnauthorizedAccess:S3/TorIPCaller

S3 API 是从 Tor 退出节点 IP 地址调用的。

默认严重级别：高

此发现告诉您，S3 API 操作（例如PutObject或PutObjectAcl）是从 Tor 退出节点 IP 地址调用的。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这一发现可能表明有人未经授权访问您的 AWS 资源，目的是隐藏攻击者的真实身份。

修复建议：

如果此活动对于关联主体来说是意外活动，则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息，请参阅 修复可能遭到入侵的 S3 存储桶。