GuardDuty IAM 調查結果類型 - Amazon GuardDuty
CredentialAccess:IAMUser/AnomalousBehaviorDefenseEvasion:IAMUser/AnomalousBehaviorDiscovery:IAMUser/AnomalousBehaviorExfiltration:IAMUser/AnomalousBehaviorImpact:IAMUser/AnomalousBehaviorInitialAccess:IAMUser/AnomalousBehaviorPenTest:IAMUser/KaliLinuxPenTest:IAMUser/ParrotLinuxPenTest:IAMUser/PentooLinuxPersistence:IAMUser/AnomalousBehaviorPolicy:IAMUser/RootCredentialUsagePrivilegeEscalation:IAMUser/AnomalousBehaviorRecon:IAMUser/MaliciousIPCallerRecon:IAMUser/MaliciousIPCaller.CustomRecon:IAMUser/TorIPCallerStealth:IAMUser/CloudTrailLoggingDisabledStealth:IAMUser/PasswordPolicyChangeUnauthorizedAccess:IAMUser/ConsoleLoginSuccess.BUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWSUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWSUnauthorizedAccess:IAMUser/MaliciousIPCallerUnauthorizedAccess:IAMUser/MaliciousIPCaller.CustomUnauthorizedAccess:IAMUser/TorIPCaller

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty IAM 調查結果類型

下列調查結果是IAM實體和存取金鑰特有的,且一律具有 資源類型 AccessKey。調查結果的嚴重性和詳細資訊依據調查結果類型而有所不同。

此處列出的調查結果包括用來產生該調查結果類型的資料來源和模型。如需詳細資訊,請參閱GuardDuty 基礎資料來源

對於所有 IAM相關的調查結果,我們建議您檢查有問題的實體,並確保其許可遵循最低權限的最佳實務。如果此活動為非預期活動,即代表憑證可能已遭入侵。如需有關修復調查結果的詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

CredentialAccess:IAMUser/AnomalousBehavior

API 用於存取 AWS 環境的 是以異常方式叫用。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分 鄰近的單一API或一系列相關API請求。當對手嘗試收集您環境的密碼、使用者名稱和存取金鑰時,API觀察到的 通常與攻擊的憑證存取階段相關聯。此類別APIs中的 為 GetPasswordDataBatchGetSecretValueGetSecretValueGenerateDbAuthToken

此API請求由 GuardDuty的異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置,以及API請求的特定項目。有關調用API請求的使用者身分異常請求因素的詳細資訊,請參閱調查結果詳細資訊

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

DefenseEvasion:IAMUser/AnomalousBehavior

API 用來逃避防禦措施的 是以異常方式叫用。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分 鄰近的單一API或一系列相關API請求。API 觀察到的 通常與防禦逃避策略相關,其中對手嘗試涵蓋其追蹤並避免偵測。APIs 此類別中的 通常是刪除、停用或停止操作,例如 、 DeleteFlowLogsDisableAlarmActionsStopLogging

此API請求由 GuardDuty的異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置,以及API請求的特定項目。有關調用API請求的使用者身分異常請求因素的詳細資訊,請參閱調查結果詳細資訊

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

Discovery:IAMUser/AnomalousBehavior

API 常用於探索資源的叫用方式異常。

預設嚴重性:低

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分 鄰近的單一API或一系列相關API請求。當對手收集資訊以判斷您的 AWS 環境是否容易受到更廣泛的攻擊時,API觀察到的結果通常與攻擊的探索階段相關聯。APIs 此類別中的 通常是取得、描述或列出操作,例如 、 DescribeInstancesGetRolePolicyListAccessKeys

此API請求由 GuardDuty的異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置,以及API請求的特定項目。有關調用API請求的使用者身分異常請求因素的詳細資訊,請參閱調查結果詳細資訊

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

Exfiltration:IAMUser/AnomalousBehavior

API 常用於從 AWS 環境收集資料的 是以異常方式叫用。

預設嚴重性:高

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分 鄰近的單一API或一系列相關API請求。API 觀察到的 通常與洩漏策略相關,其中對手嘗試使用包裝和加密從您的網路收集資料,以避免偵測。APIs 適用於此調查結果類型僅是管理 (控制平面) 操作,通常與 S3、快照和資料庫相關,例如 、 PutBucketReplicationCreateSnapshotRestoreDBInstanceFromDBSnapshot

此API請求由 GuardDuty的異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置,以及API請求的特定項目。有關調用API請求的使用者身分異常請求因素的詳細資訊,請參閱調查結果詳細資訊

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

Impact:IAMUser/AnomalousBehavior

API 常用於篡改 AWS 環境中的資料或程序,以異常方式叫用。

預設嚴重性:高

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分 鄰近的單一API或一系列相關API請求。API 觀察到的 通常與對手嘗試中斷操作和操縱、中斷或銷毀帳戶中資料的影響策略相關。APIs 此調查結果類型的 通常是刪除、更新或放置操作,例如 、 DeleteSecurityGroupUpdateUserPutBucketPolicy

此API請求由 GuardDuty的異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置,以及API請求的特定項目。有關調用API請求的使用者身分異常請求因素的詳細資訊,請參閱調查結果詳細資訊

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

InitialAccess:IAMUser/AnomalousBehavior

API 常用於取得未經授權存取 AWS 環境的 是以異常方式叫用。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分 鄰近的單一API或一系列相關API請求。當對手嘗試建立對您環境的存取時,API觀察到的 通常與攻擊的初始存取階段相關聯。APIs 此類別中的 通常是取得權杖或工作階段操作,例如 、 GetFederationTokenStartSessionGetAuthorizationToken

此API請求由 GuardDuty的異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置,以及API請求的特定項目。有關調用API請求的使用者身分異常請求因素的詳細資訊,請參閱調查結果詳細資訊

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

PenTest:IAMUser/KaliLinux

從 Kali Linux 機器API叫用 。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,執行 Kali Linux 的機器正在使用屬於您環境中所列 AWS 帳戶的憑證API撥打電話。Kali Linux 是安全專業人員用來識別需要修補之EC2執行個體中弱點的常用滲透測試工具。攻擊者也會使用此工具來尋找EC2組態弱點,並未經授權存取您的 AWS 環境。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

PenTest:IAMUser/ParrotLinux

從 Parrot Security Linux 機器API叫用 。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,執行 Parrot Security Linux 的機器正在使用您環境中所列 AWS 帳戶的憑證API撥打電話。Parrot Security Linux 是常見的滲透測試工具,安全專業人員使用它來識別需要修補的EC2執行個體中的弱點。攻擊者也會使用此工具來尋找EC2組態弱點,並未經授權存取您的 AWS 環境。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

PenTest:IAMUser/PentooLinux

從 Pentoo Linux 機器API叫用 。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,執行 Pentoo Linux 的機器正在使用您環境中所列 AWS 帳戶的憑證API撥打電話。Pentoo Linux 是安全專業人員用來識別需要修補之EC2執行個體中弱點的常用滲透測試工具。攻擊者也會使用此工具來尋找EC2組態弱點,並未經授權存取您的 AWS 環境。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

Persistence:IAMUser/AnomalousBehavior

API 常用於維護 AWS 對環境的未經授權存取,是以異常方式叫用。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分 鄰近的單一API或一系列相關API請求。API 觀察到的 通常與持續性策略相關,其中對手已取得您環境的存取權,並嘗試維護該存取權。APIs 此類別中的 通常是建立、匯入或修改操作,例如 、 CreateAccessKeyImportKeyPairModifyInstanceAttribute

此API請求由 GuardDuty的異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置,以及API請求的特定項目。有關調用API請求的使用者身分異常請求因素的詳細資訊,請參閱調查結果詳細資訊

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

Policy:IAMUser/RootCredentialUsage

API 已使用根使用者登入憑證叫用 。

預設嚴重性:低

  • 資料來源:CloudTrail S3 的管理事件或 CloudTrail 資料事件

這個調查結果會通知您,列出的環境中的 AWS 帳戶 的根使用者登入憑證正用於向 AWS 服務提出請求。建議使用者絕對不要使用根使用者登入憑證來存取 AWS 服務。反之,應使用來自 AWS Security Token Service () 的最小權限臨時憑證來存取 AWS 服務STS。對於不支援的情況 AWS STS ,建議使用IAM使用者憑證。如需詳細資訊,請參閱IAM最佳實務

注意

如果為 帳戶啟用 S3 保護,則可能會產生此調查結果,以回應嘗試使用 的根使用者登入憑證在 Amazon S3 資源上執行 S3 資料平面操作。 Amazon S3 AWS 帳戶使用的API呼叫會列在調查結果詳細資訊中。如果未啟用 S3 保護,則此調查結果只能由事件日誌 觸發APIs。如需 S3 保護的詳細資訊,請參閱 S3 保護

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

PrivilegeEscalation:IAMUser/AnomalousBehavior

API 常用於取得 AWS 環境的高階許可,是以異常方式叫用。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,您的帳戶中觀察到異常API請求。此調查結果可能包括單一使用者身分 鄰近的單一API或一系列相關API請求。API 觀察到的 通常與權限提升策略相關,其中對手正在嘗試取得環境的更高層級許可。APIs 此類別中的 通常涉及變更IAM政策、角色和使用者的操作,例如 、 AssociateIamInstanceProfileAddUserToGroupPutUserPolicy

此API請求由 GuardDuty的異常偵測機器學習 (ML) 模型識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置,以及API請求的特定項目。有關調用API請求的使用者身分異常請求因素的詳細資訊,請參閱調查結果詳細資訊

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

Recon:IAMUser/MaliciousIPCaller

從已知的惡意 IP 地址API叫用 。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,可從威脅清單中包含的 IP 地址調用可列出或描述 AWS 環境中帳戶中資源API的操作。攻擊者可能會使用遭竊的憑證來執行這類 AWS 資源偵查,以尋找更有價值的憑證,或判斷他們已經擁有的憑證功能。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

Recon:IAMUser/MaliciousIPCaller.Custom

從已知的惡意 IP 地址API叫用 。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,可從自訂威脅清單中包含的 IP 地址調用可列出或描述 AWS 環境中帳戶中資源API的操作。使用的威脅清單會列在問題清單詳細資訊中。攻擊者可能會使用遭竊的憑證來執行這類 AWS 資源偵查,以尋找更有價值的憑證,或判斷他們已有的憑證功能。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

Recon:IAMUser/TorIPCaller

從 Tor 結束節點 IP 地址API叫用 。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,可從 Tor 結束節點 IP 地址叫用可列出或描述 AWS 環境中帳戶中資源API的操作。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。攻擊者會使用 Tor 遮罩他們的真實身分。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail 記錄已停用。

預設嚴重性:低

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您環境內的 CloudTrail 追蹤 AWS 已停用。這可能是攻擊者嘗試停用日誌,以透過消除對其活動的任何追蹤進而掩蓋其蹤跡,同時為了惡意目的而取得對您的 AWS 資源之存取權限。可以透過成功刪除或更新線索來觸發此問題清單。此調查結果也可能因為成功刪除 S3 儲存貯體而觸發,該儲存貯體會儲存與 相關聯的追蹤日誌 GuardDuty。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

Stealth:IAMUser/PasswordPolicyChange

帳戶密碼政策已減弱。

預設嚴重性:低*

注意

根據密碼政策變更的嚴重性,此問題清單的嚴重性可以是「低」、「中」或「高」。

  • 資料來源:CloudTrail 管理事件

您 AWS 環境中列出的 AWS 帳戶上的帳戶密碼政策遭到削弱。例如,它已被刪除或更新為要求較少的字元、不需要符號和數字,或要求延長密碼過期時段。嘗試更新或刪除 AWS 您的帳戶密碼政策也會觸發此調查結果。 AWS 帳戶密碼政策會定義規則,以管理可為您的IAM使用者設定哪些類型的密碼。較弱的密碼政策將允許建立易於記憶且可能更容易猜測的密碼,從而產生安全風險。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

已觀察到多個全球主控台成功登入。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,在不同的地理位置中,大約同時觀察到相同IAM使用者的多個成功主控台登入。這種異常和風險存取位置模式表示對 AWS 資源的可能未經授權存取。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

透過EC2執行個體啟動角色專門為執行個體建立的憑證,正從 中的另一個帳戶使用 AWS。

預設嚴重性:高*

注意

此調查結果的預設嚴重性為「高」。不過,如果 是由與您的 AWS 環境相關聯的 帳戶API叫用,則嚴重性為中。

  • 資料來源:CloudTrail S3 的管理事件或 CloudTrail 資料事件

此調查結果會通知您,當您的EC2執行個體憑證用於APIs從與執行相關聯EC2執行個體之帳戶不同的 AWS 帳戶所擁有的 IP 地址叫用時。

AWS 不建議在建立臨時憑證的實體之外重新分發臨時憑證 (例如 AWS 應用程式EC2、 或 Lambda)。不過,授權使用者可以從EC2執行個體匯出憑證,以進行合法API呼叫。如果 remoteAccountDetails.Affiliated 欄位是從與您 AWS 環境相關聯的帳戶API叫用 True 。若要排除潛在攻擊並驗證活動的合法性,請聯絡指派這些憑證IAM的使用者。

注意

如果 GuardDuty 觀察到遠端帳戶的持續活動,其機器學習 (ML) 模型會將此識別為預期的行為。因此, GuardDuty 會停止為來自該遠端帳戶的活動產生此調查結果。 GuardDuty 會繼續從其他遠端帳戶產生新行為的調查結果,並在行為隨時間變更時重新評估學習的遠端帳戶。

修復建議:

針對此調查結果,您可以使用下列工作流程來決定動作方案:

  1. service.action.awsApiCallAction.remoteAccountDetails.accountId 欄位識別涉及的遠端帳戶。

  2. 接下來,從 service.action.awsApiCallAction.remoteAccountDetails.affiliated 欄位判斷該帳戶是否與您的 GuardDuty環境相關聯。

  3. 如果帳戶是關聯帳戶,請聯絡遠端帳戶擁有者,以及EC2執行個體憑證的擁有者進行調查。

  4. 如果帳戶不是關聯帳戶,則首先評估是該帳戶與您的組織相關聯,但不是多 GuardDuty帳戶設定的一部分,或者如果帳戶中 GuardDuty 尚未啟用 。否則,請聯絡EC2憑證的擁有者,以判斷是否有使用案例讓遠端帳戶使用這些憑證。

  5. 如果憑證的擁有者無法辨識遠端帳戶,則憑證可能已遭到在 AWS內運作的威脅執行者入侵。您應該採取 修復可能遭到入侵的 Amazon EC2執行個體 中建議的步驟來保護您的環境。

    此外,您可以向 AWS 信任和安全團隊提交濫用報告,以開始對遠端帳戶進行調查。將報告提交至 AWS Trust and Safety 時,請包含調查結果的完整JSON詳細資訊。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

透過EC2執行個體啟動角色專門為執行個體建立的憑證,會從外部 IP 地址使用。

預設嚴重性:高

  • 資料來源:CloudTrail S3 的管理事件或 CloudTrail 資料事件

此調查結果會通知您, 以外的主機 AWS 已嘗試使用在您 AWS 環境中EC2執行個體上建立的暫時 AWS 憑證來執行 AWS API操作。列出的EC2執行個體可能會遭到入侵,而且此執行個體的臨時憑證可能已滲透到 以外的遠端主機 AWS。 AWS 不建議將臨時憑證重新分發到建立憑證的實體之外 (例如 AWS 應用程式、 EC2或 Lambda)。不過,授權使用者可以從EC2執行個體匯出憑證,以進行合法API呼叫。若要排除潛在攻擊並驗證活動的合法性,請驗證是否需要在調查結果中使用來自遠端 IP 的執行個體憑證。

注意

如果 GuardDuty 觀察到遠端帳戶的持續活動,其機器學習 (ML) 模型會將此識別為預期的行為。因此, GuardDuty 會停止為來自該遠端帳戶的活動產生此調查結果。 GuardDuty 會繼續從其他遠端帳戶產生新行為的調查結果,並在行為隨時間變更時重新評估學習的遠端帳戶。

修復建議:

當網路設定為路由網際網路流量,使其從內部部署閘道而不是從VPC網際網路閘道 () 輸出時,就會產生此調查結果IGW。常見的組態,例如使用 AWS Outposts或 VPCVPN連線,可能會導致以這種方式路由的流量。如果這是預期的行為,我們建議您使用抑制規則,並建立包含兩個篩選條件準則的規則。第一個條件是 finding type (問題清單類型),應該是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二個篩選條件是呼叫API者IPv4地址,其中包含內部部署網際網路閘道的 IP 地址或CIDR範圍。若要進一步了解如何建立隱藏規則,請參閱中的隱藏規則 GuardDuty

注意

如果從外部來源 GuardDuty 觀察到持續活動,其機器學習模型會將此識別為預期行為,並停止為該來源的活動產生此調查結果。 GuardDuty 將繼續從其他來源產生新行為的調查結果,並在行為隨時間變化時重新評估學習的來源。

如果此活動非預期,即代表您的登入資料可能已遭入侵,請參閱修復可能遭到入侵 AWS 的憑證

UnauthorizedAccess:IAMUser/MaliciousIPCaller

從已知的惡意 IP 地址API叫用 。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,已從已知的惡意 IP 地址叫用 API操作 (例如,嘗試啟動EC2執行個體、建立新IAM使用者或修改您的 AWS 權限)。這可能表示未經授權存取您環境中 AWS 的資源。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

從自訂威脅清單上的 IP 地址API叫用 。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,已從您上傳的威脅清單中包含的 IP 地址叫用 API操作 (例如,嘗試啟動EC2執行個體、建立新IAM使用者或修改 AWS 權限)。在 ,威脅清單包含已知的惡意 IP 地址。這可能表示未經授權存取您環境中 AWS 的資源。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證

UnauthorizedAccess:IAMUser/TorIPCaller

從 Tor 結束節點 IP 地址API叫用 。

預設嚴重性:中

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您已從 Tor 結束節點 IP 地址叫用 API操作 (例如,嘗試啟動EC2執行個體、建立新IAM使用者或修改您的 AWS 權限)。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 AWS 資源有未經授權的存取,目的是隱藏攻擊者的真實身分。

修復建議:

如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的憑證