调查发现详细信息 - Amazon GuardDuty
调查发现概览资源RDS数据库 (DB) 用户详细信息运行时监控查找详细信息EBS卷扫描详细信息用于EC2查找详细信息的恶意软件防护S3 恶意软件防护查找详情操作行动者或目标其他信息证据异常行为

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

调查发现详细信息

在 Amazon GuardDuty 控制台中,您可以在查找结果摘要部分查看查找详情。调查发现详细信息因调查发现类型而异。

有两类主要详细信息,用于确定哪些类型的信息可用于任何调查发现。第一个是资源类型,可以是Instance、、AccessKeyS3BucketS3ObjectKubernetes clusterECS clusterContainerRDSDBInstance、或Lambda。决定调查发现信息的第二类详细信息是资源角色。资源角色可以是访问密钥的 Target,这意味着该资源是可疑活动的目标。对于实例类型的调查发现,资源角色也可以是 Actor,这意味着您的资源是进行可疑活动的行动者。本主题介绍调查发现的一些常见可用详细信息。

调查发现概览

调查发现的概览部分包含该调查发现最基本的识别特征,包括以下信息:

  • 账户 ID — 账户的 ID AWS 促使生成此发现的活动发生 GuardDuty 在哪里。

  • 计数-将此模式与 GuardDuty 该发现 ID 相匹配的活动汇总的次数。

  • 创建时间:首次创建此调查发现的时间和日期。如果此值与更新时间不同,则表示该活动已多次发生,是一个持续的问题。

    注意

    GuardDuty 控制台中查找结果的时间戳以您的本地时区显示,而JSON导出和CLI输出显示的时间戳则显示在中。UTC

  • 调查发现 ID:此调查发现类型和参数集的唯一标识符。与此模式匹配的新活动实例将聚合到同一 ID 中。

  • 调查发现类型:表示触发调查发现的活动类型的格式化字符串。有关更多信息,请参阅 GuardDuty 查找格式

  • 地区 — AWS 生成发现的区域。有关支持的区域的更多信息,请参阅区域和端点

  • 资源 ID — 资源的 ID AWS 活动所依据的资源,促 GuardDuty 使人们得出这一发现。

  • 扫描 ID — 适用于启用 GuardDuty 恶意软件防护时的发现,这是在连接到可能受感染的EC2实例或容器工作负载的EBS卷上运行的恶意软件扫描的标识符。EC2有关更多信息,请参阅 用于EC2查找详细信息的恶意软件防护

  • 严重性:为调查发现分配的严重性级别,可以为“高”、“中”或“低”。有关更多信息,请参阅 GuardDuty 调查结果的严重性级别

  • 更新时间 — 上次更新此发现的时间,其中包含与提示 GuardDuty生成此发现的模式相匹配的新活动。

资源

受影响的资源提供了有关以下内容的详细信息 AWS 发起活动所针对的资源。可用信息因资源类型和操作类型而异。

资源角色-的角色 AWS 启动发现的资源。此值可以是TARGETACTOR,表示您的资源是可疑活动的目标还是执行可疑活动的行为者。

资源类型:受影响资源的类型。如果涉及多个资源,则调查发现可能包括多种资源类型。资源类型包括实例S3Bucket AccessKey、S3 Object、、、Cont ain er KubernetesCluster和 L ECSClusterambda RDSDBInstance根据资源类型,将提供不同的调查发现详细信息。选择资源选项卡,了解该资源的可用详细信息。

Instance

实例详细信息:

注意

如果实例已经停止,或者在进行跨API区域调用时,底层API调用来自不同区域的实例,则可能缺少一些EC2实例详细信息。

  • 实例 ID — 提示生成调查结果的活动所涉及 GuardDuty 的EC2实例的 ID。

  • 实例类型-调查结果中涉及的EC2实例的类型。

  • 启动时间:启动实例的日期和时间。

  • 前哨基地 ARN — 的亚马逊资源名称 (ARN) AWS Outposts。 仅适用于 AWS Outposts 实例。有关更多信息,请参阅什么是 AWS Outposts?

  • 安全组名称:附加到所涉及实例的安全组的名称。

  • 安全组 ID:附加到所涉及实例的安全组的 ID。

  • 实例状态:目标实例的当前状态。

  • 可用区 — AWS 相关实例所在的区域可用区。

  • 映像 ID:Amazon 系统映像的 ID,该系统映像用于构建活动中涉及的实例。

  • 映像描述: Amazon 系统映像 ID 的描述,该系统映像用于构建活动中涉及的实例。

  • 标签:附加到此资源的标签列表,格式为 key:value

AccessKey

访问密钥详细信息:

  • 访问密钥 ID — 参与提示 GuardDuty 生成调查结果的活动的用户的访问密钥 ID。

  • 委托人 ID — 参与提示 GuardDuty生成调查结果的活动的用户的委托人 ID。

  • 用户类型-参与活动并提示 GuardDuty 生成调查结果的用户类型。有关更多信息,请参阅CloudTrail userIdentity 元素

  • 用户名-参与提示 GuardDuty 生成调查结果的活动的用户的姓名。

S3Bucket

Amazon S3 存储桶详细信息:

  • 名称:存储桶的名称,在调查发现中包含该存储桶。

  • ARN— 调查结果中涉及ARN的水桶中的一部分。

  • 拥有者:用户的规范用户 ID,该用户拥有调查发现中涉及的存储桶。有关规范用户的更多信息,请参阅 IDs AWS 账户标识符

  • 类型:存储桶调查发现的类型,可以是目标

  • 默认服务器端加密:存储桶的加密详细信息。

  • 存储桶标签:附加到此资源的标签列表,以 key:value 格式列出。

  • 有效权限:评估存储桶上的所有有效权限和策略,指示涉及的存储桶是否公开。值可以是公开,也可以是非公开

S3Object

  • S3 对象详细信息-包括有关扫描的 S3 对象的以下信息:

    • ARN— 扫描的 S3 对象的亚马逊资源名称 (ARN)。

    • 密钥-在 S3 存储桶中创建文件时为其分配的名称。

    • 版本 ID — 启用存储桶版本控制后,此字段表示与扫描的 S3 对象的最新版本关联的版本 ID。有关更多信息,请参阅《Amazon S3 用户指南》中的在 S3 存储桶中使用版本控制

    • eTag— 表示扫描的 S3 对象的特定版本。

    • 哈希 — 此发现中检测到的威胁的哈希值。

  • S3 存储桶详情 — 包括与扫描的 S3 对象关联的 Amazon S3 存储桶的以下信息:

    • 名称 — 表示包含该对象的 S3 存储桶的名称。

    • ARN— S3 存储桶的亚马逊资源名称 (ARN)。

  • 所有者-S3 存储桶所有者的规范 ID。

EKSCluster

Kubernetes 集群详情:

  • 名称:Kubernetes 集群名称。

  • ARN— 用于标ARN识集群的。

  • 创建时间:创建此集群的时间和日期。

    注意

    GuardDuty 控制台中查找结果的时间戳以您的本地时区显示,而JSON导出和CLI输出显示的时间戳则显示在中。UTC

  • VPCID — 与您的集群关联VPC的 ID。

  • 状态:集群的当前状态。

  • 标签:您应用于集群以帮助您对其进行分类和组织的元数据。每个标签都由一个键和一个可选值组成,以 key:value 格式列出。您可以定义键和值。

    集群标签不会应用到与集群关联的任何其他资源。

Kubernetes 工作负载详情:

  • 类型:Kubernetes 工作负载的类型,例如容器组、部署和作业。

  • 名称:Kubernetes 工作负载的名称。

  • Uid:Kubernetes 工作负载的唯一 ID。

  • 创建时间:创建此工作负载的日期和时间。

  • 标签:附加到 Kubernetes 工作负载的键值对。

  • 容器:容器的详细信息,该容器作为 Kubernetes 工作负载的一部分运行。

  • 命名空间:工作负载所属的 Kubernetes 命名空间。

  • :Kubernetes 工作负载使用的卷。

    • 主机路径:表示卷映射的目标主机上预先存在的文件或目录。

    • 名称:卷的名称。

  • 容器组安全上下文:定义容器组中所有容器的权限和访问控制设置。

  • 主机网络:如果容器组包含在 Kubernetes 工作负载中,则设置为 true

Kubernetes 用户详细信息:

  • 群组 — 参与生成调查结果的活动所涉及的用户的 KubernetesRBAC(基于角色访问权限的控制)群组。

  • ID:Kubernetes 用户的唯一 ID。

  • 用户名:Kubernetes 用户的名称,该用户参与生成调查发现的活动。

  • 会话名称-担任 Kubernetes IAM RBAC 权限的角色的实体。

ECSCluster

ECS集群详情:

  • ARN— 用于标ARN识集群的。

  • 名称:集群的名称。

  • 状态:集群的当前状态。

  • 活动服务计数:处于 ACTIVE 状态的集群上运行的服务数量。您可以通过以下方式查看这些服务 ListServices

  • 已注册的容器实例计数:注册到集群中的容器实例数量,包括同时处于 ACTIVEDRAINING 状态的容器实例。

  • 正在运行的任务计数:集群中处于 RUNNING 状态的任务数。

  • 标签:您应用于集群以帮助您对其进行分类和组织的元数据。每个标签都由一个键和一个可选值组成,以 key:value 格式列出。您可以定义键和值。

  • 容器:与任务关联的容器的详细信息:

    • 容器名称:容器的名称。

    • 容器映像:容器的映像。

  • 任务详情:集群中任务的详细信息。

    • ARN— 任务的 Amazon 资源名称 (ARN)。

    • 定义 ARN — 创建任务的任务定义的 Amazon 资源名称 (ARN)。

    • 版本:任务的版本计数器。

    • 任务创建时间:创建任务时的 Unix 时间戳。

    • 任务开始时间:任务开始时的 Unix 时间戳。

    • 任务启动者:任务开始时指定的标签。

Container

容器详细信息:

  • 容器运行时:用于运行容器的容器运行时(例如 dockercontainerd)。

  • ID — 容器实例 ID 或容器实例的完整ARN条目。

  • 名称:容器的名称。

    如果可用,该字段将显示标签 io.kubenetes.container.name 的值。

  • 映像:容器实例的映像。

  • 卷挂载:容器卷挂载列表。容器可以在其文件系统下挂载卷。

  • 安全上下文:容器安全上下文定义容器的权限和访问控制设置。

  • 进程详细信息:描述与调查发现关联的进程的详细信息。

RDSDBInstance

RDSDBInstance详情:

注意

此资源可在与数据库实例相关的RDS保护结果中找到。

  • 数据库实例 ID-与 GuardDuty 调查结果中涉及的数据库实例关联的标识符。

  • 引擎:数据库实例的数据库引擎名称,在调查发现中包含该实例。可能的值是 Aurora 我的SQL兼容或兼容 Aurora Postgre。SQL

  • 引擎版本- GuardDuty 调查结果中涉及的数据库引擎的版本。

  • 数据库集群 ID-包含 GuardDuty 调查结果中涉及的数据库实例 ID 的数据库集群的标识符。

  • 数据库实例 ARN-用于标识 GuardDuty查找结果中涉及的数据库实例。ARN

Lambda
Lambda 函数详细信息

  • 函数名称:Lambda 函数的名称,在调查发现中包含该函数。

  • 函数版本:Lambda 函数的版本,在调查发现中包含该函数。

  • 函数描述:对 Lambda 函数的描述,在调查发现中包含该函数。

  • 函数 ARN — 调查结果中涉及的 Lambda 函数的亚马逊资源名称 (ARN)。

  • 修订 ID:Lambda 函数版本的修订 ID。

  • 角色:Lambda 函数的执行角色,在调查发现中包含该函数。

  • VPC配置 — Amazon VPC 配置,包括与您的 Lambda 函数IDs关联的 VPC ID、安全组和子网。

  • VPCID — 与调查结果中涉及VPC的 Lambda 函数关联的亚马逊 ID。

  • 子网 IDs-与您的 Lambda 函数关联的子网的 ID。

  • 安全组:附加到相关 Lambda 函数的安全组。这包括安全组名称和组 ID。

  • 标签:附加到此资源的标签列表,以 key:value 格式列出。

RDS数据库 (DB) 用户详细信息

注意

本节适用于在中启用 “RDS保护” 功能时的发现 GuardDuty。有关更多信息,请参阅 GuardDuty RDS保护

GuardDuty 调查结果提供了可能遭到入侵的数据库的以下用户和身份验证详细信息。

  • 用户:用于进行异常登录尝试的用户名。

  • 应用程序:用于进行异常登录尝试的应用程序名称。

  • 数据库:数据库实例的名称,在异常登录尝试中包含此实例。

  • SSL— 用于网络的安全套接字层 (SSL) 的版本。

  • 身份验证方法:用户使用的身份验证方法,在调查发现中包括该用户。

运行时监控查找详细信息

注意

这些详细信息只有在 GuardDuty 生成其中一个时才可用运行时监控查找类型

本节包含运行时详细信息,例如进程详细信息和任何必需的上下文。流程详细信息描述了有关观察到的进程的信息,运行时上下文描述了有关潜在可疑活动的任何其他信息。

进程详细信息

  • 名称:进程的名称。

  • 可执行文件路径:进程可执行文件的绝对路径。

  • 可执行文件 SHA -256-进程可执行文件的SHA256哈希值。

  • 命名空间 PID — 除主机级PID命名空间之外的辅助PID命名空间中进程的进程 ID。对于容器内的进程,命名空间 PID 是容器内观察到的进程 ID。

  • 当前工作目录:进程的当前工作目录。

  • 进程 ID:操作系统分配给进程的 ID。

  • startTime— 流程开始的时间。这是UTC日期字符串格式 (2023-03-22T19:37:20.168Z)。

  • UUID— 分配给进程的唯一 ID GuardDuty。

  • 父进程 UUID-父进程的唯一 ID。此 ID 由分配给父进程 GuardDuty。

  • 用户:执行进程的用户。

  • 用户 ID:执行进程的用户 ID。

  • 有效用户 ID:事件发生时进程的有效用户 ID。

  • 谱系:有关进程原级的信息。

    • 进程 ID:操作系统分配给进程的 ID。

    • UUID— 分配给进程的唯一 ID GuardDuty。

    • 可执行文件路径:进程可执行文件的绝对路径。

    • 有效用户 ID:事件发生时进程的有效用户 ID。

    • 父进程 UUID-父进程的唯一 ID。此 ID 由分配给父进程 GuardDuty。

    • 开始时间:进程启动的时间。

    • 命名空间 PID — 除主机级PID命名空间之外的辅助PID命名空间中进程的进程 ID。对于容器内的进程,命名空间 PID 是容器内观察到的进程 ID。

    • 用户 ID:执行进程用户的用户 ID。

    • 名称:进程的名称。

运行时上下文

在以下字段中,生成的调查发现可能仅包含与调查发现类型相关的字段。

  • 挂载源:被容器挂载的主机上的路径。

  • 挂载目标:容器中映射到主机目录的路径。

  • 文件系统类型:表示已挂载文件系统的类型。

  • 标志:表示控制事件行为的选项,在此调查发现中包含该事件。

  • 修改进程:有关运行时在容器内创建或修改二进制文件、脚本或库的进程的信息。

  • 修改时间:进程运行时在容器内创建或修改二进制文件、脚本或库的时间戳。此字段采用UTC日期字符串格式 (2023-03-22T19:37:20.168Z)。

  • 库路径:已加载的新库的路径。

  • LD 预加载值LD_PRELOAD 环境变量的值。

  • 套接字路径:被访问的 Docker 套接字的路径。

  • Runc 二进制文件路径runc 二进制文件的路径。

  • 版本代理路径cgroup 版本代理文件的路径。

  • 命令行示例-潜在可疑活动所涉及的命令行示例。

  • 工具类别-工具所属的类别。其中一些示例包括后门工具、Pentest 工具、网络扫描器和网络嗅探器。

  • 工具名称-潜在可疑工具的名称。

  • 脚本路径-生成结果的已执行脚本的路径。

  • 威胁文件路径-找到威胁情报详细信息的可疑路径。

  • 服务名称-已禁用的安全服务的名称。

EBS卷扫描详细信息

注意

本节适用于开启 GuardDuty启动的恶意软件扫描时发现的结果。恶意软件防护 EC2

EBS卷扫描提供有关连接到可能受损的EC2实例或容器工作负载的EBS卷的详细信息。

  • 扫描 ID:恶意软件扫描的标识符。

  • 扫描开始时间:开始恶意软件扫描的日期和时间。

  • 扫描完成时间:完成恶意软件扫描的日期和时间。

  • 触发器查找 ID — 启动此恶意软件扫描的 GuardDuty 发现的查找 ID。

  • 来源-潜在值为BitdefenderAmazon

    有关用于检测恶意软件的扫描引擎的更多信息,请参阅GuardDuty 恶意软件检测扫描引擎

  • 扫描检测:每次恶意软件扫描的详细信息和结果的完整视图。

    • 已扫描项目数:已扫描文件的总数。提供例如 totalGbfilesvolumes 的详细信息。

    • 检测到的威胁项目数:扫描期间检测到的恶意 files 总数。

    • 最高严重性威胁详细信息:扫描期间检测到的最高严重性威胁的详细信息,以及恶意文件数量。提供例如 severitythreatNamecount 的详细信息。

    • 检测到的威胁(按名称):对所有严重性级别的威胁进行分组的容器元素。提供例如itemCountuniqueThreatNameCountshortenedthreatNames 的详细信息。

用于EC2查找详细信息的恶意软件防护

注意

本节适用于开启 GuardDuty启动的恶意软件扫描时发现的结果。恶意软件防护 EC2

当用于EC2扫描的恶意软件防护检测到恶意软件时,您可以通过在https://console.aws.amazon.com/guardduty/控制台的 “发现” 页面上选择相应的发现结果来查看扫描详细信息。用于EC2发现的恶意软件防护的严重程度取决于 GuardDuty发现的严重程度。

注意

GuardDutyFindingDetected 标签指定快照包含恶意软件。

详细信息面板的检测到的威胁部分,提供以下信息。

  • 名称:威胁的名称,该名称通过将文件按检测结果分组获得。

  • 严重性:检测到的威胁的严重性。

  • 哈希 — 文件的 SHA -256。

  • 文件路径-EBS 卷中恶意文件的位置。

  • 文件名称:检测出威胁的文件的名称。

  • 体积 ARN-扫描ARN的EBS卷。

详细信息面板的恶意软件扫描详细信息部分,提供以下信息。

  • 扫描 ID:恶意软件扫描的扫描 ID。

  • 扫描开始时间:开始扫描的日期和时间。

  • 扫描完成时间:完成扫描的日期和时间。

  • 扫描的文件:扫描的文件和目录的总数。

  • 扫描总量(GB):扫描过程中扫描的存储量。

  • 触发查找 ID — 启动此恶意软件扫描的 GuardDuty 发现的查找 ID。

  • 详细信息面板的卷详细信息部分,提供以下信息。

    • 卷 ARN-卷的亚马逊资源名称 (ARN)。

    • 快照 ARN-EBS 卷快照ARN的快照。

    • 状态:卷的扫描状态,例如 RunningSkippedCompleted

    • 加密类型:用于给卷加密的加密类型。例如,CMCMK

    • 设备名称:设备的名称。例如,/dev/xvda

S3 恶意软件防护查找详情

当你同时启用 S3 中的恶意软件扫描 GuardDuty 和恶意软件防护时,以下恶意软件扫描详细信息可用 AWS 账户:

  • 威胁-恶意软件扫描期间检测到的威胁列表。

  • 项目路径-已扫描 S3 对象的嵌套项目路径和哈希详细信息的列表。

    • 嵌套项目路径-检测到威胁的已扫描 S3 对象的项目路径。

      只有当顶级对象是档案并且在档案内检测到威胁时,此字段的值才可用。

    • 哈希 — 此发现中检测到的威胁的哈希值。

  • 来源-潜在值为BitdefenderAmazon

    有关用于检测恶意软件的扫描引擎的更多信息,请参阅GuardDuty 恶意软件检测扫描引擎

操作

调查发现的操作提供触发调查发现的活动类型的详细信息。可用信息因操作类型而异。

操作类型:调查发现活动类型。此值可以是 NETWORK_ CONNECTIONPORTDNS_ PROBE REQUESTAWS_API_ CALLRDS_ 或 LOGIN _ ATTEMPT。可用信息因操作类型而异:

  • NETWORK_ CONNECTION — 表示已识别的EC2实例和远程主机之间交换了网络流量。此操作类型具有以下额外信息:

    • 连接方向-在提示生成结果的活动中观察到 GuardDuty 的网络连接方向。它可以是以下值之一:

      • INBOUND— 表示远程主机启动了与您账户中已识别EC2实例上的本地端口的连接。

      • OUTBOUND— 表示已识别的EC2实例启动了与远程主机的连接。

      • UNKNOWN— 表示 GuardDuty 无法确定连接方向。

    • 协议-在提示生成调查结果的活动中观察 GuardDuty 到的网络连接协议。

    • 本地 IP:触发调查发现的流量的原始源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查发现的流量的原始源 IP 地址。例如,EKSPod 的 IP 地址与运行 Po EKS d 的实例的 IP 地址对比。

    • 已阻止:指示目标端口是否被阻止。

  • PORT_ PROBE — 表示远程主机在多个打开的端口上探测了已识别的EC2实例。此操作类型具有以下额外信息:

    • 本地 IP:触发调查发现的流量的原始源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查发现的流量的原始源 IP 地址。例如,EKSPod 的 IP 地址与运行 Po EKS d 的实例的 IP 地址对比。

    • 已阻止:指示目标端口是否被阻止。

  • DNS_ REQUEST — 表示已识别的EC2实例查询了域名。此操作类型具有以下额外信息:

    • 协议-在提示生成调查结果的活动中观察 GuardDuty 到的网络连接协议。

    • 已阻止:指示目标端口是否被阻止。

  • AWS_API_ CALL — 表示一个 AWS API被调用了。此操作类型具有以下额外信息:

    • API— 被调用并因此被提示生成此结果 GuardDuty 的API操作的名称。

      注意

      这些操作还可以包括由捕获的非API事件 AWS CloudTrail。 有关更多信息,请参阅捕获的非API事件 CloudTrail

    • 用户代理-API 发出请求的用户代理。此值告诉您呼叫是否是从 AWS Management Console,一个 AWS 服务, AWS SDKs,或者 AWS CLI.

    • ERRORCODE— 如果发现是由失败的API呼叫触发的,则会显示该呼叫的错误代码。

    • 服务名称-尝试拨打触发查找结果的API呼叫的服务的DNS名称。

  • RDS_ LOGIN _ ATTEMPT — 表示有人尝试从远程 IP 地址登录到可能受到威胁的数据库。

    • IP 地址:用于进行潜在可疑登录尝试的远程 IP 地址。

行动者或目标

如果资源角色TARGET,则调查发现会有行动者部分。这表示您的资源是可疑活动的目标,并且行动者部分包含针对您资源的实体的详细信息。

如果资源角色ACTOR,则调查发现会有目标部分。这表示您的资源参与了针对远程主机的可疑活动,且该部分包含有关资源所针对的 IP 或域的信息。

行动者目标部分中可用的信息包括以下内容:

  • 关联公司 — 有关是否 AWS 远程API呼叫者的帐户与您的 GuardDuty 环境相关。如果此值为true,则表示API来电者以某种方式关联到您的账户;如果false,API来电者来自您的环境之外。

  • 远程帐户 ID — 拥有用于访问最终网络资源的出站 IP 地址的账户 ID。

  • IP 地址-提示 GuardDuty 生成调查结果的活动中涉及的 IP 地址。

  • 位置-提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址的位置信息。

  • ISP组织 — 提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址的组织信息。

  • 端口-提示 GuardDuty 生成查找结果的活动所涉及的端口号。

  • -提示 GuardDuty 生成调查结果的活动所涉及的域。

  • 带后缀的域-可能提示 GuardDuty 生成调查结果的活动中涉及的第二和顶级域名。有关顶级和二级域名的列表,请参阅公共后缀列表。

其他信息

调查发现的额外信息部分,包括以下信息:

  • 威胁列表名称-威胁列表的名称,其中包括提示 GuardDuty 生成发现的活动所涉及的 IP 地址或域名。

  • 示例:true 或 false 值,指示此项否为示例调查发现。

  • 已存档:true 或 false 值,指示此调查发现是否已存档。

  • 不常见:过去未观察到的活动详细信息。这些可能包括异常(以前未观察到的)用户、位置、时间、存储桶、登录行为或ASN组织。

  • 异常协议-提示生成调查结果的活动中涉及 GuardDuty 的网络连接协议。

  • 代理详细信息-有关当前部署在您的EKS集群上的安全代理的详细信息 AWS 账户。 这仅适用于 “EKS运行时监控” 查找类型。

    • 代理版本- GuardDuty 安全客户端的版本。

    • 代理 ID- GuardDuty 安全代理的唯一标识符。

证据

基于威胁情报的调查发现包括证据部分,其中包含以下信息:

  • 威胁情报详细信息-Threat name 显示已识别的威胁列表的名称。

  • 威胁名称-恶意软件系列的名称或与威胁相关的其他标识符。

  • 威胁文件 SHA256 — SHA256 生成发现的文件。

异常行为

结尾为的发现类型AnomalousBehavior表示发现是由 GuardDuty 异常检测机器学习 (ML) 模型生成的。机器学习模型会评估对您账户的所有API请求,并识别与对手使用的策略相关的异常事件。机器学习模型跟踪API请求的各种因素,例如发出请求的用户、发出请求的地点以及请求API的具体内容。

有关请求中哪些因素对于调用该API请求的 CloudTrail 用户身份来说不寻常的详细信息,可以在调查结果详细信息中找到。恒等式由 E CloudTrail userIdentity lement 定义,可能的值为:RootIAMUserAssumedRoleFederatedUserAWSAccount、或AWSService

除了与API活动相关的所有 GuardDuty 发现的详细信息外,AnomalousBehavior调查结果还有其他详细信息,将在下一节中概述。这些详细信息可以在控制台中查看,也可以在调查结果中找到JSON。

  • Anomalous APIs — 用户身份在与调查结果关联的主要API请求附近调用的请求列表。API此窗格通过以下方式进一步细分了API事件的详细信息。

    • API列出的第一个是主API请求API,即与观察到的风险最高的活动相关的请求。这是触发API发现的原因,并且与发现类型的攻击阶段相关。这也是控制台的 “操作” 部分和调查结果中详细介绍的JSON。API

    • APIs列出的任何其他用户身份都是在主要用户附近观察APIs到的列出用户身份中的其他异常情况。API如果列表中只有一个API,则机器学习模型不会将来自该用户身份的任何其他API请求识别为异常请求。

    • 列表APIs是根据调用成功还是调用失败(即API已收到错误响应)来划分的。API收到的错误响应类型列在每个未成功调用的API错误响应的上方。可能的错误响应类型有:access deniedaccess denied exceptionauth failureinstance limit exceededinvalid permission - duplicateinvalid permission - not found、和 operation not permitted

    • APIs按其相关服务分类。

    • APIs要了解更多背景信息,请选择 Historical(历史)以查看有关顶部的APIs详细信息,最多 20 个,通常同时显示用户身份和账户内所有用户。根据您账户中的使用频率,分别标记为 “稀APIs有”(每月少于一次)、“不频繁”(每月几次)或 “频繁”(从每天到每周)

  • 异常行为(账户):本部分提供有关您账户的已剖析行为的更多详细信息。

    描述的行为

    GuardDuty 根据已交付的事件持续了解您账户中的活动。这些活动及其观察到的频率被称为剖析行为。

    此面板中跟踪的信息包括:

    • ASN组织 — 发出异常API呼叫的ASN组织。

    • 用户名-发出异常API呼叫的用户的姓名。

    • 用户代理 — 用于进行异常呼叫的用户代理。API用户代理是用于发出调用的方法,例如 aws-cliBotocore

    • 用户类型-发出异常API呼叫的用户类型。可能的值为 AWS_SERVICEASSUMED_ROLEIAM_USERROLE

    • 存储桶:正在经受访问的 S3 存储桶的名称。

  • 异常行为(用户身份):本部分提供了有关调查发现所涉及的用户身份剖析行为的更多详细信息。当某项行为未被识别为历史行为时,这意味着 GuardDuty ML 模型以前没有看到此用户身份在训练期间以这种方式进行API调用。有关用户身份的以下其他详细信息可用:

    • ASN组织 — 发出异常API呼叫的ASN组织。

    • 用户代理 — 用于进行异常呼叫的用户代理。API用户代理是用于发出调用的方法,例如 aws-cliBotocore

    • 存储桶:正在经受访问的 S3 存储桶的名称。

  • 不常见行为(存储桶):本部分提供与调查发现关联的 S3 存储桶已剖析行为的更多详细信息。当某项行为未被识别为历史行为时,这意味着 GuardDuty ML 模型以前在训练期内从未见过以这种方式对该存储桶进行的API调用。此部分中跟踪的信息包括:

    • ASN组织 — 发出异常API呼叫的ASN组织。

    • 用户名-发出异常API呼叫的用户的姓名。

    • 用户代理 — 用于进行异常呼叫的用户代理。API用户代理是用于发出调用的方法,例如 aws-cliBotocore

    • 用户类型-发出异常API呼叫的用户类型。可能的值为 AWS_SERVICEASSUMED_ROLEIAM_USERROLE

    注意

    有关历史行为的更多上下文,请在不常见行为(账户)用户 ID存储桶部分中,选择历史行为,查看有关您账户中以下每个类别的预期行为的详细信息:稀有(每月少于一次)不频繁(每月几次)频繁(每天到每周),具体取决于在您账户中的使用频率。

  • 不常见行为(数据库):本部分提供有关数据库实例剖析行为的更多详细信息,该实例与调查发现相关联。如果某项行为未被识别为历史行为,则意味着 GuardDuty ML 模型在训练期内未曾尝试以这种方式登录该数据库实例。在调查发现面板中针对此部分跟踪的信息包括:

    • 用户名:用于进行异常登录尝试的用户名。

    • ASN组织 — 进行异常登录尝试的ASN组织。

    • 应用程序名称:用于进行异常登录尝试的应用程序名称。

    • 数据库名称:数据库实例的名称,在异常登录尝试中包含该实例。

    历史行为” 部分提供了有关先前观察到的关联数据库的用户名ASN组织应用程序名称数据库名称的更多背景信息。每个唯一值都有一个关联的计数,表示在成功登录事件中观察到该值的次数。

  • 异常行为(账户 Kubernetes 集群、Kubernetes 命名空间和 Kubernetes 用户名)— 本节提供了有关与发现结果关联的 Kubernetes 集群和命名空间的分析行为的更多详细信息。如果某项行为未被识别为历史行为,则意味着 GuardDuty ML 模型以前未以这种方式观察到此账户、集群、命名空间或用户名。在调查发现面板中针对此部分跟踪的信息包括:

    • 用户名 — 调用与搜索结果API关联的 Kubernetes 的用户。

    • 冒充的用户名-被冒充的用户。username

    • 命名空间 — 发生操作的亚马逊EKS集群中的 Kubernetes 命名空间。

    • 用户代理 — 与 Kubernetes API 调用关联的用户代理。用户代理是用于进行呼叫的方法,例如kubectl

    • API— 在亚马逊集群中API调用的 Kubernetes username。EKS

    • ASN信息-与进行此呼叫的用户的 IP 地址相关的ASN信息,例如组织和。ISP

    • 一周中的某一天 — 一周中发出 Kubernetes API 调用的那一天。

    • 权限 — 正在检查访问权限的 Kubernetes 动词和资源,以指示他们是否username可以使用 Kubernetes。API

    • 服务帐户名称 — 与 Kubernetes 工作负载关联的服务帐户,为工作负载提供身份。

    • 注册表 — 与 Kubernetes 工作负载中部署的容器镜像关联的容器注册表。

    • 镜像 — 部署在 Kubernetes 工作负载中的容器镜像,不带相关标签和摘要。

    • Image Prefix Config — 使用镜像的容器启用了容器和工作负载安全配置的镜像前缀privileged,例如hostNetwork或。

    • 主题名称-绑定到或serviceAccountName中参考角色的主题,例如groupRoleBindingClusterRoleBindinguser

    • 角色名称-创建或修改角色所涉及的角色的名称或 roleBindingAPI.

基于 S3 卷的异常

本节详细介绍基于 S3 卷的异常的上下文信息。基于卷的调查结果 (Exfiltration:S3/AnomalousBehavior) 监视用户对 S3 存储桶发出的异常数量的 S3 API 调用,这表明存在潜在的数据泄露。监控以下 S3 API 调用以进行基于卷的异常检测。

  • GetObject

  • CopyObject.Read

  • SelectObjectContent

以下指标将有助于建立IAM实体访问 S3 存储桶时的通常行为的基准。为了检测数据泄露,基于卷的异常检测调查发现会根据常见的行为基准评估所有活动。在不常见行为(用户身份)观测到的卷(用户身份)观测到的卷(存储桶)部分中,选择历史行为,以分别查看以下指标。

  • 在过去 24 小时内,与受影响的 S3 存储桶关联的IAM用户或IAM角色s3-api-nameAPI调用的次数(取决于发出的是哪个调用)。

  • 在过去 24 小时内,IAM用户或IAM角色s3-api-nameAPI调用的与所有 S3 存储桶关联的呼叫数(取决于发出的呼叫是哪个)。

  • 在过去 24 小时内,所有IAM用户或IAM角色中与受影响的 S3 存储桶关联的s3-api-nameAPI调用次数(取决于发出的呼叫是哪个)。

RDS基于登录活动的异常

本节详细说明了不常见行动者执行的登录尝试次数,并按登录尝试的结果进行分组。RDS 保护查找类型 通过监控登录事件中是否存在 successfulLoginCountfailedLoginCountincompleteConnectionCount 的不常见模式,来识别异常行为。

  • successfulLoginCount— 此计数器表示异常行为者成功连接到数据库实例的总和(登录属性的正确组合)。登录属性包括用户名、密码和数据库名称。

  • failedLoginCount— 此计数器表示为建立与数据库实例的连接而进行的失败(失败)登录尝试的总和。这表明登录组合的一个或多个属性(例如用户名、密码或数据库名称)不正确。

  • incompleteConnectionCount— 此计数器表示无法归类为成功或失败的连接尝试次数。这些连接在数据库提供响应之前就已关闭。例如,在端口扫描中已连接数据库端口,但没有向数据库发送任何信息,或者在成功或失败的尝试中,连接在登录完成前中止。