GuardDuty 调查结果的严重性级别 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty 调查结果的严重性级别

根据我们的安全工程师的决定,每个 GuardDuty 发现都有指定的严重级别和值,反映了该发现可能给您的网络带来的潜在风险。严重性值可以是介于 1.0 和 8.9 之间的任何值,值越高,安全风险就越大。为了帮助您确定对调查结果中突出显示的潜在安全问题的应对措施,请将此范围 GuardDuty 分为 “高”、“中” 和 “低” 严重级别。

注意

值 0 以及介于 9.0 和 10.0 之间的值表示保留以供将来使用。

以下是目前为 GuardDuty调查结果定义的严重程度和值,以及每种严重程度的一般建议:

严重性级别 值范围

7.0-8.9

严重级别为 “高” 表示相关资源(一个EC2实例或一组IAM用户登录凭证)已被泄露并被积极用于未经授权的目的。

我们建议您优先处理任何“高”严重性的调查发现安全问题,并立即采取补救措施,以防止对您的资源进行其他未经授权的使用。例如,清理或终止您的EC2实例,或者轮换IAM证书。有关更多详细信息,请参阅补救措施

中等

4.0-6.9

“中”严重性级别表示偏离正常观察到的行为的可疑活动,根据您的使用案例,可能指示资源被盗用。

我们建议您尽可能早调查牵涉的资源。补救措施因资源和调查发现系列而异,但通常情况下,您应寻求确认活动是否已获得授权并与您的使用案例一致。如果您无法确定原因,或者无法确认该活动是否得到授权,则应考虑资源已泄露,并采取补救措施来保护资源。

查看“中”严重性级别的调查发现时,需要注意以下事项:

  • 检查是否有授权用户安装新的软件,更改了资源的行为 (例如,允许高于正常流量,或者在新端口上启用了通信)。

  • 检查授权用户是否更改了控制平面设置,例如,修改了安全组设置。

  • 在牵涉的资源上运行反病毒扫描,检测未经授权的软件。

  • 验证附加到相关IAM角色、用户、组或一组凭据的权限。可能需要更改或轮换它们。

1.0-3.9

低严重性级别表示尝试的可疑活动并未危及您的环境,例如端口扫描或入侵尝试失败。

没有建议立即采取的措施,但值得注意这些信息,因为这可能表明有人在您的环境中寻找薄弱环节。