本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
GuardDuty 尋找格式
當 在您的 AWS 環境中 GuardDuty 偵測到可疑或非預期行為時,會產生調查結果。調查結果是包含所 GuardDuty 發現潛在安全問題詳細資訊的通知。在主控台中 GuardDuty檢閱 GuardDuty 調查結果 包括有關發生了什麼、可疑活動涉及哪些 AWS 資源、此活動何時發生的資訊,以及可協助您了解根本原因的相關資訊。
在問題清單詳細資訊中,最有用的資訊之一是問題清單類型。問題清單類型的目的,是提供潛在安全問題精簡易讀的描述。例如, GuardDutyRecon:EC2/PortProbeUnprotectedPort 調查結果類型會快速通知您,在您 AWS 環境中的某個位置,EC2執行個體有一個未受保護的連接埠,而潛在攻擊者正在探查。
GuardDuty 使用下列格式來命名其產生的各種類型的調查結果:
ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!偽影
此格式的每個部分都代表調查結果類型的一個層面。這些層面具有以下解釋:
-
ThreatPurpose - 說明威脅、攻擊類型或潛在攻擊階段的主要目的。如需 GuardDuty 威脅目的的完整清單,請參閱下一節。
-
ResourceTypeAffected - 說明此調查結果中識別哪些 AWS 資源類型作為對手的潛在目標。目前, GuardDuty 可以為 中列出的資源類型產生調查結果GuardDuty 作用中調查結果。
-
ThreatFamilyName - 說明 GuardDuty 偵測到的整體威脅或潛在惡意活動。例如, 值NetworkPortUnusual表示 GuardDuty 調查結果中識別的EC2執行個體沒有在調查結果中識別的特定遠端連接埠上先前的通訊歷史記錄。
-
DetectionMechanism - 說明 GuardDuty 偵測調查結果的方法。這可用於指示常見調查結果類型的變化,或使用 GuardDuty 特定機制進行偵測的調查結果。例如,Backdoor:EC2/DenialOfService。Tcp 表示透過 偵測到拒絕服務 (DoS )TCP。UDP 變體為 Backdoor:EC2/DenialOfService。Udp 。
.Custom 值表示 根據您的自訂威脅清單 GuardDuty 偵測到調查結果。如需詳細資訊,請參閱信任 IP 清單和威脅清單。
.Reputation 的值表示 使用網域信譽分數模型 GuardDuty 偵測到調查結果。如需詳細資訊,請參閱如何 AWS 追蹤雲端最大的安全威脅,並協助將其關閉。
-
成品 - 描述在惡意活動中使用的工具所擁有的特定資源。例如,在調查結果類型DNS中CryptoCurrency:EC2/BitcoinTool.B!DNS表示 Amazon EC2執行個體正在與已知的比特幣相關網域通訊。
注意
偽影是選用的,可能無法用於所有 GuardDuty 調查結果類型。
威脅目的
在 GuardDuty 威脅目的中,描述威脅的主要目的、攻擊類型或潛在攻擊的階段。例如,某些威脅目的 (例如後門) 表示攻擊類型。不過,某些威脅用途,例如 Impact 與 MITRE ATT&CK 策略
- Backdoor (後門)
-
此值表示對手已入侵 AWS 資源並變更資源,以便能夠聯絡其主命令和控制 (C&C) 伺服器,以接收惡意活動的進一步指示。
- 行為
-
此值表示 GuardDuty 已偵測到與所涉及資源的已建立基準 AWS 不同的活動或活動模式。
- CredentialAccess
-
此值表示 GuardDuty 已偵測到對手用來從您的環境中竊取憑證的活動模式,例如密碼、使用者名稱和存取金鑰。此威脅目的以 MITRE ATT&CK 策略
為基礎。 - 加密貨幣
-
此值表示 GuardDuty 偵測到您環境中 AWS 的資源託管與加密貨幣相關聯的軟體 (例如 Bitcoin)。
- DefenseEvasion
-
此值表示 GuardDuty 偵測到對手可能用來避免在滲透環境時偵測的活動或活動模式。此威脅目的以 MITRE ATT&CK 策略
為基礎 - 探索
-
此值表示 GuardDuty 偵測到對手可能用來擴展其對系統和內部網路知識的活動或活動模式。此威脅目的以 MITRE ATT&CK 策略
為基礎。 - 執行
-
此值表示 GuardDuty 偵測到對手可能嘗試執行或已執行惡意程式碼來探索 AWS 環境或竊取資料。此威脅目的以 MITRE ATT&CK 策略
為基礎。 - 外流
-
此值表示 GuardDuty 偵測到對手在嘗試從環境中竊取資料時可能使用的活動或活動模式。此威脅目的以 MITRE ATT&CK 策略
為基礎。 - 影響
-
此值表示 GuardDuty 偵測到活動或活動模式,表示對手正在嘗試操縱、中斷或銷毀您的系統和資料。此威脅目的以 MITRE ATT&CK 策略
為基礎。 - InitialAccess
-
當對手嘗試建立對您環境的存取權時,此值通常與攻擊的初始存取階段相關聯。此威脅目的以 MITRE ATT&CK 策略
為基礎。 - 滲透測試
-
有時候 AWS ,資源擁有者或其授權代表會刻意針對 AWS 應用程式執行測試,以尋找弱點,例如開啟的安全群組或過度允許的存取金鑰。這些滲透測試,是要試圖在攻擊者發現易受攻擊資源之前識別並鎖定易受攻擊資源。不過,某些已授權的滲透測試者使用的工具其實是無償提供的,因此能讓未經授權的使用者或對手用於執行探測測試。雖然 GuardDuty 無法識別此類活動背後的真正目的,但 Pentest 值表示 GuardDuty 正在偵測此類活動,它類似於已知筆測試工具所產生的活動,並且可能表示網路的惡意探測。
- Persistence (持續)
-
此值表示 GuardDuty 已偵測到對手可能用來嘗試和維護系統存取權的活動或活動模式,即使其初始存取路由已中斷。例如,這可能包括在透過現有IAM使用者遭入侵的憑證取得存取權後建立新的使用者。刪除現有使用者的憑證後,對手將保留新使用者 (未偵測為原始事件一部分的新使用者) 的存取權限。此威脅目的以 MITRE ATT&CK 策略
為基礎。 - 政策
-
此值表示您的 AWS 帳戶 表現出違反建議安全最佳實務的行為。例如,意外修改與您的 AWS 資源或環境相關聯的許可政策,以及使用應該很少或沒有用量的特權帳戶。
- PrivilegeEscalation
-
此值會通知您, AWS 環境中涉及的主體正在展現對手可能用來取得較高層級網路許可的行為。此威脅目的以 MITRE ATT&CK 策略
為基礎。 - Recon (偵察)
-
此值表示 GuardDuty 偵測到對手在執行環境偵查時可能使用的活動或活動模式,以判斷他們如何擴展其存取或利用您的 資源。例如,此活動可以包括透過探查連接埠、API撥打電話、列出使用者,以及列出資料庫資料表等方式來清除 AWS 環境中的漏洞。
- Stealth (隱匿)
-
此值表示對手正在積極嘗試隱藏其動作。例如,他們可能使用匿名代理服務器,因此非常難以衡量活動的真實本質。
- Trojan (木馬程式)
-
此值表示攻擊正在使用木馬程式,以隱匿方式進行惡意活動。有時候這些軟體會隱藏在合法程式之中。有時使用者會意外的執行此軟體。其他時候這些軟體可能會利用漏洞自動執行。
- UnauthorizedAccess
-
此值表示 GuardDuty 正由未經授權的個人偵測可疑活動或可疑活動模式。
