本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

GuardDuty IAM 問題清單類型

下列問題清單專屬於IAM實體和存取金鑰，且一律具有 資源類型 AccessKey。調查結果的嚴重性和詳細資訊依據調查結果類型而有所不同。

此處列出的調查結果包括用來產生該調查結果類型的資料來源和模型。如需詳細資訊，請參閱GuardDuty 基礎資料來源。

對於所有 IAM相關的調查結果，我們建議您檢查有問題的實體，並確保其許可遵循最低權限的最佳實務。如果此活動為非預期活動，即代表憑證可能已遭入侵。如需有關修復調查結果的詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

CredentialAccess:IAMUser/AnomalousBehavior

API 用來存取 AWS 環境的 是以異常方式叫用。

預設嚴重性：中

此調查結果會通知您，您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分在附近發出的單一API或一系列相關API請求。當對手嘗試收集您環境的密碼、使用者名稱和存取金鑰時，API觀察到的 通常與攻擊的登入資料存取階段相關聯。此類別APIs中的 為 GetPasswordData、BatchGetSecretValue、 GetSecretValue和 GenerateDbAuthToken。

此API請求由 GuardDuty異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求，並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素，例如提出請求的使用者、提出請求的位置，以及API請求的特定項目。有關API請求的哪些因素對調用請求的使用者身分而言不尋常的詳細資訊，請參閱調查結果詳細資訊。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

DefenseEvasion:IAMUser/AnomalousBehavior

API 用來逃避防禦措施的 是以異常方式叫用。

預設嚴重性：中

此調查結果會通知您，您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分在鄰近處提出的單一API或一系列相關API請求。API 觀察到的 通常與防禦逃避策略相關，其中對手嘗試涵蓋其軌跡並避免偵測。在此類別APIs中， 通常是刪除、停用或停止操作，例如 、 DeleteFlowLogsDisableAlarmActions或 StopLogging。

此API請求由 GuardDuty異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求，並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素，例如提出請求的使用者、提出請求的位置，以及API請求的特定項目。有關API請求的哪些因素對調用請求的使用者身分而言不尋常的詳細資訊，請參閱調查結果詳細資訊。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

Discovery:IAMUser/AnomalousBehavior

API 常用於探索資源的叫用方式異常。

預設嚴重性：低

此調查結果會通知您，您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分在鄰近處提出的單一API或一系列相關API請求。當對手收集資訊以判斷您的 AWS 環境是否容易受到更廣泛的攻擊時，API觀察到的 通常與攻擊的探索階段相關聯。在此類別APIs中， 通常是取得、描述或列出操作，例如 DescribeInstances、 GetRolePolicy或 ListAccessKeys。

此API請求由 GuardDuty異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求，並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素，例如提出請求的使用者、提出請求的位置，以及API請求的特定項目。有關API請求的哪些因素對調用請求的使用者身分而言不尋常的詳細資訊，請參閱調查結果詳細資訊。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

Exfiltration:IAMUser/AnomalousBehavior

API 通常用於從 AWS 環境收集資料的方式異常。

預設嚴重性：高

此調查結果會通知您，您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分在附近發出的單一API或一系列相關API請求。API 觀察到的 通常與外傳策略相關，其中對手嘗試使用封裝和加密從您的網路收集資料以避免偵測。 APIs 對於此調查結果類型， 僅為管理 （控制平面） 操作，通常與 S3、快照和資料庫相關，例如 PutBucketReplication、 CreateSnapshot或 RestoreDBInstanceFromDBSnapshot。

此API請求由 GuardDuty異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求，並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素，例如提出請求的使用者、提出請求的位置，以及API請求的特定項目。有關API請求的哪些因素對調用請求的使用者身分而言不尋常的詳細資訊，請參閱調查結果詳細資訊。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

Impact:IAMUser/AnomalousBehavior

API 常用於篡改 AWS 環境中的資料或程序，是以異常方式叫用。

預設嚴重性：高

此調查結果會通知您，您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分在附近發出的單一API或一系列相關API請求。API 觀察到的 通常與對手嘗試中斷操作和操縱、中斷或銷毀帳戶中資料的影響策略相關。APIs此調查結果類型的 通常是刪除、更新或放置操作，例如 DeleteSecurityGroup、 UpdateUser或 PutBucketPolicy。

此API請求由 GuardDuty異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求，並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素，例如提出請求的使用者、提出請求的位置，以及API請求的特定項目。有關API請求的哪些因素對調用請求的使用者身分而言不尋常的詳細資訊，請參閱調查結果詳細資訊。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

InitialAccess:IAMUser/AnomalousBehavior

API 常用於取得未經授權存取 AWS 環境的 是以異常方式叫用。

預設嚴重性：中

此調查結果會通知您，您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分在鄰近處提出的單一API或一系列相關API請求。當對手嘗試建立對您環境的存取時，API觀察到的 通常與攻擊的初始存取階段相關聯。在此類別APIs中， 通常是取得字符或工作階段操作，例如 StartSession或 GetAuthorizationToken。

此API請求由 GuardDuty異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求，並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素，例如提出請求的使用者、提出請求的位置，以及API請求的特定項目。有關API請求的哪些因素對調用請求的使用者身分而言不尋常的詳細資訊，請參閱調查結果詳細資訊。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

PenTest:IAMUser/KaliLinux

從 Kali Linux 機器API叫用 。

預設嚴重性：中

此調查結果會通知您，執行 Kali Linux 的機器正在使用屬於您環境中所列 AWS 帳戶的登入資料進行API呼叫。Kali Linux 是安全專業人員用來識別需要修補之EC2執行個體中弱點的熱門滲透測試工具。攻擊者也會使用此工具來尋找EC2組態弱點，並未經授權存取您的 AWS 環境。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

PenTest:IAMUser/ParrotLinux

從 Parrot Security Linux 機器API叫用 。

預設嚴重性：中

此調查結果會通知您，執行 Parrot Security Linux 的機器正在使用您環境中列出的 AWS 帳戶所屬的登入資料進行API呼叫。Parrot Security Linux 是安全專業人員用來識別需要修補之EC2執行個體中弱點的熱門滲透測試工具。攻擊者也會使用此工具來尋找EC2組態弱點，並未經授權存取您的 AWS 環境。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

PenTest:IAMUser/PentooLinux

從 Pentoo Linux 機器API叫用 。

預設嚴重性：中

此調查結果會通知您，執行 Pentoo Linux 的機器正在使用您環境中列出的 AWS 帳戶所屬的登入資料進行API呼叫。Pentoo Linux 是安全專業人員用來識別需要修補之EC2執行個體中弱點的熱門滲透測試工具。攻擊者也會使用此工具來尋找EC2組態弱點，並未經授權存取您的 AWS 環境。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

Persistence:IAMUser/AnomalousBehavior

API 常用於維護 AWS 對環境的未經授權存取，是以異常方式叫用。

預設嚴重性：中

此調查結果會通知您，您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分在附近發出的單一API或一系列相關API請求。API 觀察到的 通常與持續性策略相關，其中對手已取得您環境的存取權，並嘗試維護該存取權。在此類別APIs中， 通常是建立、匯入或修改操作，例如 CreateAccessKey、 ImportKeyPair或 ModifyInstanceAttribute。

此API請求由 GuardDuty異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求，並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素，例如提出請求的使用者、提出請求的位置，以及API請求的特定項目。有關API請求的哪些因素對調用請求的使用者身分而言不尋常的詳細資訊，請參閱調查結果詳細資訊。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

Policy:IAMUser/RootCredentialUsage

API 已使用根使用者登入憑證叫用 。

預設嚴重性：低

這個調查結果會通知您，列出的環境中的 AWS 帳戶 的根使用者登入憑證正用於向 AWS 服務提出請求。建議使用者絕對不要使用根使用者登入憑證來存取 AWS 服務。反之，應使用來自 AWS Security Token Service () 的最低權限臨時登入資料來存取 AWS 服務STS。對於不支援 AWS STS 的情況，建議使用IAM使用者登入資料。如需詳細資訊，請參閱IAM最佳實務。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

PrivilegeEscalation:IAMUser/AnomalousBehavior

API 常用於取得 AWS 環境的高階許可，是以異常方式叫用。

預設嚴重性：中

此調查結果會通知您，您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分在鄰近處提出的單一API或一系列相關API請求。API 觀察到的 通常與權限提升策略相關，其中對手嘗試取得環境的更高層級許可。在此類別APIs中， 通常涉及變更IAM政策、角色和使用者的操作，例如 AssociateIamInstanceProfile、 AddUserToGroup或 PutUserPolicy。

此API請求由 GuardDuty異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求，並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素，例如提出請求的使用者、提出請求的位置，以及API請求的特定項目。有關API請求的哪些因素對調用請求的使用者身分而言不尋常的詳細資訊，請參閱調查結果詳細資訊。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

Recon:IAMUser/MaliciousIPCaller

從已知的惡意 IP 地址API叫用 。

預設嚴重性：中

此調查結果會通知您，可從威脅清單中包含的 IP 地址叫用可列出或描述 AWS 您環境中帳戶中資源API的操作。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵查，以尋找更有價值的登入資料，或判斷他們已有的登入資料功能。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

Recon:IAMUser/MaliciousIPCaller.Custom

從已知的惡意 IP 地址API叫用 。

預設嚴重性：中

此調查結果會通知您，可從自訂威脅清單中包含的 IP 地址，叫用可列出或描述 AWS 您環境中帳戶中資源API的操作。使用的威脅清單會列在問題清單詳細資訊中。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵查，以尋找更有價值的登入資料，或判斷他們已有的登入資料功能。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

Recon:IAMUser/TorIPCaller

從 Tor 結束節點 IP 地址API叫用 。

預設嚴重性：中

此調查結果會通知您，可從 Tor 結束節點 IP 地址叫用 API操作，以列出或描述 AWS 您環境中帳戶中的資源。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。攻擊者會使用 Tor 遮罩他們的真實身分。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail 記錄已停用。

預設嚴重性：低

此調查結果會通知您環境內的 CloudTrail 追蹤 AWS 已停用。這可能是攻擊者嘗試停用日誌，以透過消除對其活動的任何追蹤進而掩蓋其蹤跡，同時為了惡意目的而取得對您的 AWS 資源之存取權限。可以透過成功刪除或更新線索來觸發此問題清單。成功刪除存放與之相關聯之線索中日誌的 S3 儲存貯體，也可以觸發此調查結果 GuardDuty。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

Stealth:IAMUser/PasswordPolicyChange

帳戶密碼政策已減弱。

預設嚴重性：低*

您 AWS 環境中列出的帳戶上的 AWS 帳戶密碼政策遭到削弱。例如，它已被刪除或更新為要求較少的字元、不需要符號和數字，或要求延長密碼過期時段。嘗試更新或刪除 AWS 您的帳戶密碼政策也會觸發此調查結果。 AWS 帳戶密碼政策會定義規則，以管理可為您的IAM使用者設定哪些類型的密碼。較弱的密碼政策將允許建立易於記憶且可能更容易猜測的密碼，從而產生安全風險。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

已觀察到多個全球主控台成功登入。

預設嚴重性：中

此調查結果會通知您，在不同的地理位置中，大約同時觀察到相同IAM使用者的多個成功主控台登入。這種異常和風險的存取位置模式表示對 AWS 資源的可能未經授權存取。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

透過EC2執行個體啟動角色專門為執行個體建立的登入資料，會從其中的另一個帳戶使用 AWS。

預設嚴重性：高*

此調查結果會通知您，當您的 Amazon EC2執行個體登入資料用於APIs從 IP 地址或 Amazon VPC端點叫用，而該 IP 地址或 Amazon 端點由與執行相關聯 Amazon EC2執行個體之帳戶不同的 AWS 帳戶所擁有。VPC端點偵測僅適用於支援VPC端點網路活動事件的服務。如需支援VPC端點網路活動事件的服務相關資訊，請參閱AWS CloudTrail 《 使用者指南》中的記錄網路活動事件。

AWS 不建議在建立臨時憑證的實體外部重新分發臨時憑證 （例如 AWS ，應用程式EC2、Amazon 或） AWS Lambda。不過，授權使用者可以從其 Amazon EC2執行個體匯出登入資料，以進行合法API呼叫。如果 remoteAccountDetails.Affiliated 欄位是從與相同管理員帳戶相關聯的帳戶API叫用 True 。若要排除潛在的攻擊並驗證活動的合法性，請聯絡指派這些登入資料的 AWS 帳戶 擁有者或IAM主體。

修復建議：

當 AWS 使用 Amazon EC2執行個體的工作階段登入資料 AWS ，透過 外部的 Amazon EC2執行個體提出API請求時 AWS 帳戶，就會產生此調查結果。使用VPC AWS 服務端點透過單一中樞輸出路由流量可能是慣例，例如中樞中的 Transit Gateway 架構和輻條組態。如果預期會發生此行為，則 GuardDuty 建議您使用 ，隱藏規則並使用兩個篩選條件建立規則。第一個條件是調查結果類型，在此案例中，其為 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS。 第二個篩選條件是遠端帳戶詳細資訊的遠端帳戶 ID。

針對此調查結果，您可以使用下列工作流程來決定動作方案：

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

透過EC2執行個體啟動角色專門為執行個體建立的登入資料，是從外部 IP 地址使用。

預設嚴重性：高

此調查結果會通知您， 外部的主機 AWS 已嘗試使用在您 AWS 環境中EC2執行個體上建立的暫時 AWS 登入資料來執行 AWS API操作。列出的EC2執行個體可能會遭到入侵，而且來自此執行個體的臨時登入資料可能已滲透到 外部的遠端主機 AWS。 AWS 不建議在建立臨時登入資料的實體 （例如 AWS 應用程式、 EC2或 Lambda) 外部重新分發臨時登入資料。不過，授權使用者可以從其EC2執行個體匯出登入資料，以進行合法API呼叫。若要排除潛在攻擊並驗證活動的合法性，請驗證是否需要在調查結果中使用來自遠端 IP 的執行個體憑證。

修復建議：

當網路設定為路由網際網路流量，使其從內部部署閘道而不是從VPC網際網路閘道 () 輸出時，就會產生此調查結果IGW。常見的組態，例如使用 AWS Outposts或 VPCVPN連線，可能會導致以這種方式路由的流量。如果這是預期的行為，我們建議您使用抑制規則，並建立包含兩個篩選條件準則的規則。第一個條件是 finding type (問題清單類型)，應該是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二個篩選條件是API呼叫者IPv4地址，其中包含您內部部署網際網路閘道的 IP 地址或CIDR範圍。若要進一步了解如何建立隱藏規則，請參閱中的隱藏規則 GuardDuty。

如果此活動非預期，即代表您的登入資料可能已遭入侵，請參閱修復可能遭到入侵 AWS 的憑證。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

從已知的惡意 IP 地址API叫用 。

預設嚴重性：中

此調查結果會通知您，已從已知的惡意 IP 地址叫用 API操作 （例如，嘗試啟動EC2執行個體、建立新IAM使用者或修改您的 AWS 權限）。這可能表示未經授權存取您環境中 AWS 的資源。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址API叫用 。

預設嚴重性：中

此調查結果會通知您， API操作 （例如，嘗試啟動EC2執行個體、建立新IAM使用者或修改 AWS 權限） 已從您上傳的威脅清單中包含的 IP 地址叫用。在 ，威脅清單包含已知的惡意 IP 地址。這可能表示未經授權存取您環境中 AWS 的資源。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。

UnauthorizedAccess:IAMUser/TorIPCaller

從 Tor 結束節點 IP 地址API叫用 。

預設嚴重性：中

此調查結果會通知您已從 Tor 結束節點 IP 地址叫用 API操作 （例如，嘗試啟動EC2執行個體、建立新IAM使用者或修改您的 AWS 權限）。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 AWS 資源有未經授權的存取，目的是隱藏攻擊者的真實身分。

修復建議：

如果此活動為非預期活動，即代表您的憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。