本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
以下調查結果專用於 IAM 實體和存取金鑰,而且一律具有 AccessKey 的資源類型。調查結果的嚴重性和詳細資訊依據調查結果類型而有所不同。
此處列出的調查結果包括用來產生該調查結果類型的資料來源和模型。如需詳細資訊,請參閱GuardDuty 基礎資料來源。
對於所有與 IAM 相關的調查結果,我們建議您檢查有問題的實體,並確保其許可依循最低權限的最佳實務。如果此活動為非預期活動,即代表憑證可能已遭入侵。如需有關修復調查結果的詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
主題
CredentialAccess:IAMUser/AnomalousBehavior
用來存取 AWS 環境的 API 是以異常方式叫用。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包含由單一使用者身分在鄰近提出的單一 API 或一系列相關 API 請求。當對手嘗試收集您的環境之密碼、使用者名稱和存取金鑰時,觀察到的 API 通常與攻擊的憑證存取階段相關聯。此類別中的 APIs 為 GetPasswordData、BatchGetSecretValue、 GetSecretValue和 GenerateDbAuthToken。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱調查結果詳細資訊。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
DefenseEvasion:IAMUser/AnomalousBehavior
用於逃避防禦措施的 API 調用方式異常。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包含由單一使用者身分在鄰近提出的單一 API 或一系列相關 API 請求。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試掩蓋其追蹤與避免檢測。此類別中的 API 通常是刪除、停用或停止操作,例如 DeleteFlowLogs、DisableAlarmActions 或 StopLogging。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱調查結果詳細資訊。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
Discovery:IAMUser/AnomalousBehavior
常用來探索資源的 API 調用方式異常。
預設嚴重性:低
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包含由單一使用者身分在鄰近提出的單一 API 或一系列相關 API 請求。當對手正在收集資訊以判斷您的 AWS 環境是否容易受到更廣泛的攻擊時,觀察到的 API 通常與攻擊的探索階段相關聯。此類別中的 API 通常是取得、描述或列出操作,例如 DescribeInstances、GetRolePolicy 或 ListAccessKeys。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱調查結果詳細資訊。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
Exfiltration:IAMUser/AnomalousBehavior
通常用於從 AWS 環境收集資料的 API 是以異常方式叫用。
預設嚴重性:高
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包含由單一使用者身分在鄰近提出的單一 API 或一系列相關 API 請求。觀察到的 API 通常與外流策略有關,其中對手試圖使用封裝和加密,從您的網路收集資料以避免偵測。此調查結果類型的 API 僅為管理 (控制平面) 操作,通常與 S3、快照和資料庫相關,例如 PutBucketReplication、CreateSnapshot 或 RestoreDBInstanceFromDBSnapshot。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱調查結果詳細資訊。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
Impact:IAMUser/AnomalousBehavior
通常用於竄改 AWS 環境中資料或程序的 API 是以異常方式叫用。
預設嚴重性:高
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包含由單一使用者身分在鄰近提出的單一 API 或一系列相關 API 請求。觀察到的 API 通常與影響策略相關聯,其中對手嘗試中斷操作與操縱、中斷或銷毀帳戶中的資料。此調查結果類型的 API 通常為刪除、更新或 PUT 操作,例如 DeleteSecurityGroup、UpdateUser 或 PutBucketPolicy。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱調查結果詳細資訊。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
InitialAccess:IAMUser/AnomalousBehavior
常用於取得未經授權存取 AWS 環境的 API 是以異常方式叫用。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包含由單一使用者身分在鄰近提出的單一 API 或一系列相關 API 請求。當對手嘗試建置對您環境的存取權限時,觀察到的 API 通常與攻擊的初始存取階段相關聯。此類別中的 APIs通常為取得權杖或工作階段操作,例如 StartSession或 GetAuthorizationToken。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱調查結果詳細資訊。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
PenTest:IAMUser/KaliLinux
從 Kali Linux 機器叫用 API。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,執行 Kali Linux 的機器正在使用您環境中所列 AWS 帳戶的登入資料進行 API 呼叫。Kali Linux 是一種安全專業人員所使用的熱門滲透測試工具,以在需要修補的 EC2 執行個體中找出弱點。攻擊者也會使用此工具來尋找 EC2 組態弱點,並未經授權存取您的 AWS 環境。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
PenTest:IAMUser/ParrotLinux
已從 Parrot Security Linux 機器調用一個 API。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,執行 Parrot Security Linux 的機器正在使用屬於您環境中所列 AWS 帳戶的登入資料進行 API 呼叫。Parrot Security Linux 是一種安全專業人員所使用的熱門滲透測試工具,以在需要修補的 EC2 執行個體中找出弱點。攻擊者也會使用此工具來尋找 EC2 組態弱點,並未經授權存取您的 AWS 環境。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
PenTest:IAMUser/PentooLinux
已從 Pentoo Linux 機器調用一個 API。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,執行 Pentoo Linux 的機器正在使用屬於您環境中所列 AWS 帳戶的登入資料進行 API 呼叫。Pentoo Linux 是一種安全專業人員所使用的熱門滲透測試工具,以在需要修補的 EC2 執行個體中找出弱點。攻擊者也會使用此工具來尋找 EC2 組態弱點,並未經授權存取您的 AWS 環境。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
Persistence:IAMUser/AnomalousBehavior
常用於維護未經授權存取 AWS 環境的 API 是以異常方式叫用。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包含由單一使用者身分在鄰近提出的單一 API 或一系列相關 API 請求。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的環境的存取權限,並嘗試維護該存取權限。此類別中的 API 通常是建立、匯入或修改操作,例如 CreateAccessKey、ImportKeyPair 或 ModifyInstanceAttribute。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱調查結果詳細資訊。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
Policy:IAMUser/RootCredentialUsage
使用根使用者登入憑證調用 API。
預設嚴重性:低
-
資料來源:S3 的 CloudTrail 管理事件或 CloudTrail 資料事件
這個調查結果會通知您,列出的環境中的 AWS 帳戶 的根使用者登入憑證正用於向 AWS 服務提出請求。建議使用者絕對不要使用根使用者登入憑證來存取 AWS 服務。反之,應使用來自 AWS Security Token Service (STS) 的最低權限臨時憑證來存取 AWS 服務。對於不支援 AWS STS 的情況,建議使用 IAM 使用者憑證。如需詳細資訊,請參閱 IAM 最佳實務。
注意
如果為帳戶啟用 S3 保護,則可能會產生此調查結果,以回應嘗試使用 的根使用者登入憑證在 Amazon S3 Amazon S3 資料平面操作 AWS 帳戶。使用的 API 呼叫會列示在調查結果詳細資訊中。如果未啟用 S3 保護,則此調查結果只能由事件日誌 APIs觸發。如需 S3 保護的詳細資訊,請參閱 S3 保護。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
Policy:IAMUser/ShortTermRootCredentialUsage
使用受限制的根使用者登入資料來叫用 API。
預設嚴重性:低
-
資料來源:AWS CloudTrail S3 的管理事件或 AWS CloudTrail 資料事件
此調查結果會通知您, AWS 帳戶 為 環境中列出的 建立的限制使用者登入資料正用於向 提出請求 AWS 服務。建議僅對需要根使用者憑證的任務使用根使用者憑證。
可能的話, AWS 服務 請使用具有暫時登入資料的最小權限 IAM 角色來存取 AWS Security Token Service (AWS STS)。對於 AWS STS 不支援 的案例,最佳實務是使用 IAM 使用者登入資料。如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM 和根使用者 最佳實務 AWS 帳戶中的安全最佳實務。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
PrivilegeEscalation:IAMUser/AnomalousBehavior
通常用於取得 AWS 環境高階許可的 API 是以異常方式叫用。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包含由單一使用者身分在鄰近提出的單一 API 或一系列相關 API 請求。觀察到的 API 通常與權限提升策略相關聯,其中對手嘗試取得環境的較更高層級許可。此類別中的 API 通常涉及變更 IAM 政策、角色和使用者的操作,例如 AssociateIamInstanceProfile、AddUserToGroup 或 PutUserPolicy。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱調查結果詳細資訊。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
Recon:IAMUser/MaliciousIPCaller
從已知惡意 IP 地址呼叫的 API。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,可列出或描述在您的環境內之帳戶中 AWS 資源的 API 操作,已從威脅清單中包含的 IP 地址被調用。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵查,以尋找更有價值的登入資料,或判斷他們已有的登入資料功能。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
Recon:IAMUser/MaliciousIPCaller.Custom
從已知惡意 IP 地址呼叫的 API。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,可列出或描述在您的環境內之帳戶中 AWS 資源的 API 操作,已從自訂威脅清單中包含的 IP 地址被調用。使用的威脅清單會列在問題清單詳細資訊中。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵查,以尋找更有價值的登入資料,或判斷他們已有的登入資料功能。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
Recon:IAMUser/TorIPCaller
從 Tor 退出節點的 IP 地址呼叫 API。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,可列出或描述在您的環境內之帳戶中 AWS 資源的 API 操作,已從 Tor 退出節點 IP 地址被調用。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。攻擊者會使用 Tor 遮罩他們的真實身分。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
Stealth:IAMUser/CloudTrailLoggingDisabled
AWS CloudTrail 記錄已停用。
預設嚴重性:低
-
資料來源:CloudTrail 管理事件
此調查結果會通知您環境內的 CloudTrail 追蹤 AWS 已停用。這可能是攻擊者嘗試停用日誌,以透過消除對其活動的任何追蹤進而掩蓋其蹤跡,同時為了惡意目的而取得對您的 AWS 資源之存取權限。可以透過成功刪除或更新線索來觸發此問題清單。也可以透過成功刪除 S3 儲存貯體 (其存放與 GuardDuty 相關聯之線索的日誌) ,來觸發此問題清單。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
Stealth:IAMUser/PasswordPolicyChange
帳戶密碼政策已減弱。
預設嚴重性:低*
注意
根據密碼政策變更的嚴重性,此問題清單的嚴重性可以是「低」、「中」或「高」。
-
資料來源:CloudTrail 管理事件
您 AWS 環境中列出的帳戶上的 AWS 帳戶密碼政策遭到削弱。例如,它已被刪除或更新為要求較少的字元、不需要符號和數字,或要求延長密碼過期時段。嘗試更新或刪除 AWS 您的帳戶密碼政策也會觸發此調查結果。 AWS 帳戶密碼政策會定義規則,以管理可為您的 IAM 使用者設定哪些類型的密碼。較弱的密碼政策將允許建立易於記憶且可能更容易猜測的密碼,從而產生安全風險。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
已觀察到多個全球主控台成功登入。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此問題清單會通知您在不同的地理位置、同一時間觀察到同一個 IAM 使用者的多個成功控制台登入。這種異常和風險的存取位置模式表示對 AWS 資源的可能未經授權存取。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
透過執行個體啟動角色專為 EC2 執行個體建立的憑證,正在從 AWS內的其他帳戶中使用。
預設嚴重性:高*
注意
此調查結果的預設嚴重性為「高」。不過,如果 API 是由與您的 AWS 環境相關聯的帳戶叫用,嚴重性為中。
-
資料來源:S3 的 CloudTrail 管理事件或 CloudTrail 資料事件
當您的 Amazon EC2 執行個體登入資料用於從 IP 地址或 Amazon VPC 端點叫用 APIs 時,此調查結果會通知您,而該 IP 地址或 Amazon VPC 端點是由與執行相關聯 Amazon EC2 執行個體不同的 AWS 帳戶所擁有。VPC 端點偵測僅適用於支援 VPC 端點網路活動事件的服務。如需支援 VPC 端點網路活動事件的服務相關資訊,請參閱AWS CloudTrail 《 使用者指南》中的記錄網路活動事件。
AWS 不建議在建立臨時憑證的實體外部重新分發臨時憑證 (例如 AWS ,應用程式、Amazon EC2 或 AWS Lambda)。不過,授權使用者可以從 Amazon EC2 執行個體匯出憑證,以進行合法的 API 呼叫。如果 remoteAccountDetails.Affiliated 欄位是 APITrue,則會從與相同管理員帳戶相關聯的帳戶叫用。若要排除潛在的攻擊並驗證活動的合法性,請聯絡指派這些登入資料的 AWS 帳戶 擁有者或 IAM 主體。
注意
如果 GuardDuty 從遠端帳戶觀察到持續的活動,其機器學習 (ML) 模型會將其識別為預期行為。因此,GuardDuty 將針對該遠端帳戶的活動停止產生此調查結果。GuardDuty 將繼續對來自於其他遠端帳戶的新行為產生調查結果,並會隨著行為在一段時間內的變更而重新評估已學習的遠端帳戶。
修復建議:
當使用 Amazon EC2 執行個體的工作階段登入資料 AWS ,在 外部透過 Amazon EC2 執行個體提出 API 請求時 AWS AWS 帳戶,就會產生此調查結果。使用 AWS 服務端點透過單一中樞輸出 VPC 路由流量可能是慣例,例如中樞和輻條組態中的 Transit Gateway 架構。如果預期會發生此行為,GuardDuty 建議您使用 隱藏規則 並建立具有兩個篩選條件的規則。第一個條件是問題清單類型,在這種情況下,其為 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS。第二個篩選條件是遠端帳戶詳細資訊的遠端帳戶 ID。
針對此調查結果,您可以使用下列工作流程來決定動作方案:
-
從
service.action.awsApiCallAction.remoteAccountDetails.accountId欄位識別涉及的遠端帳戶。 -
從
service.action.awsApiCallAction.remoteAccountDetails.affiliated欄位判斷該帳戶是否與您的 GuardDuty 環境相關聯。 -
如果帳戶是附屬帳戶,請聯絡遠端帳戶擁有者和 Amazon EC2 執行個體登入資料擁有者進行調查。
如果帳戶不是附屬帳戶,則第一個步驟是評估該帳戶是否與您的組織相關聯,但不是您 GuardDuty 多帳戶環境設定的一部分,或者此帳戶中尚未啟用 GuardDuty。接著,請聯絡 Amazon EC2 執行個體登入資料的擁有者,判斷遠端帳戶是否有使用這些登入資料的使用案例。
-
如果憑證的擁有者無法辨識遠端帳戶,則憑證可能已遭到在 AWS內運作的威脅執行者入侵。您應該採取 中建議的步驟修復可能遭到入侵的 Amazon EC2 執行個體來保護您的環境。
此外,您可以向 AWS 信任和安全團隊提交濫用報告
,以開始對遠端帳戶進行調查。將報告提交至 AWS Trust and Safety 時,請包含問題清單的完整 JSON 詳細資訊。
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
透過執行個體啟動角色且專為 EC2 執行個體建立的登入資料,正在從外部 IP 地址使用。
預設嚴重性:高
-
資料來源:S3 的 CloudTrail 管理事件或 CloudTrail 資料事件
此調查結果會通知您, 以外的主機 AWS 已嘗試使用在您 AWS 環境中的 EC2 執行個體上建立的暫時 AWS 登入資料來執行 AWS API 操作。列出的 EC2 執行個體可能會遭到入侵,而且此執行個體的臨時登入資料可能已滲透到外部的遠端主機 AWS。 AWS 不建議在建立登入資料的實體 (例如 AWS 應用程式、EC2 或 Lambda) 之外重新分發臨時登入資料。但是,授權的使用者可以從其 EC2 執行個體匯出登入資料以進行合法的 API 呼叫。若要排除潛在攻擊並驗證活動的合法性,請驗證是否需要在調查結果中使用來自遠端 IP 的執行個體憑證。
注意
如果 GuardDuty 從遠端帳戶觀察到持續的活動,其機器學習 (ML) 模型會將其識別為預期行為。因此,GuardDuty 將針對該遠端帳戶的活動停止產生此調查結果。GuardDuty 將繼續對來自於其他遠端帳戶的新行為產生調查結果,並會隨著行為在一段時間內的變更而重新評估已學習的遠端帳戶。
修復建議:
當將網路設定為路由網際網路流量,使其從內部部署閘道而不是從 VPC 網際網路閘道 (IGW) 輸出時,就會產生此調查結果。一般組態 (例如使用 AWS Outposts 或 VPC VPN 連接) 可能會導致流量以這種方式路由。如果這是預期的行為,我們建議您使用抑制規則,並建立包含兩個篩選條件準則的規則。第一個條件是 finding type (問題清單類型),應該是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二個篩選條件是具有內部部署網際網路閘道 IP 地址或 CIDR 範圍的 API 呼叫者 IPv4 地址。若要進一步了解如何建立隱藏規則,請參閱GuardDuty 中的隱藏規則。
注意
如果 GuardDuty 觀察來自外部來源的持續活動,則其機器學習模型會將其識別為預期行為,並停止針對來自於該來源的活動產生此調查結果。GuardDuty 將繼續對來自於其他來源的新行為產生調查結果,並會隨著行為在一段時間內的變更而重新評估已學習的來源。
如果此活動非預期,即代表您的登入資料可能已遭入侵,請參閱修復可能遭到入侵 AWS 的登入資料。
UnauthorizedAccess:IAMUser/MaliciousIPCaller
從已知惡意 IP 地址呼叫的 API。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,API 操作 (例如,嘗試啟動 EC2 執行個體、建立新的 IAM 使用者,或修改 AWS 權限) 已從已知的惡意 IP 地址被調用。這可能表示未經授權存取您環境中 AWS 的資源。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
從自訂威脅清單上的 IP 地址呼叫的 API。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,API 操作 (例如,嘗試啟動 EC2 執行個體、建立新的 IAM 使用者或修改 AWS 權限) 已從您上傳的威脅清單中包含的 IP 地址叫用。在 ,威脅清單包含已知的惡意 IP 地址。這可能表示未經授權存取您環境中 AWS 的資源。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
UnauthorizedAccess:IAMUser/TorIPCaller
從 Tor 退出節點的 IP 地址呼叫 API。
預設嚴重性:中
-
資料來源:CloudTrail 管理事件
此調查結果會通知您,API 操作 (例如,嘗試啟動 EC2 執行個體、建立新的 IAM 使用者,或修改 AWS 權限) 已從 Tor 退出節點 IP 地址被調用。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 AWS 資源有未經授權的存取,目的是隱藏攻擊者的真實身分。
修復建議:
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱修復可能遭到入侵 AWS 的登入資料。
