GuardDuty S3 保護調查結果類型 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty S3 保護調查結果類型

下列調查結果是 Amazon S3 資源特有的,S3Bucket如果資料來源是 CloudTrail S3 的 資料事件,或者資料來源是 管理事件 AccessKey,則資源類型為 。 CloudTrail 問題清單的嚴重性和詳細資訊,依問題清單類型以及與該儲存貯體相關聯的許可而有所不同。

此處列出的調查結果包括用來產生該調查結果類型的資料來源和模型。如需有關資料來源和模型的詳細資訊,請參閱GuardDuty 基礎資料來源

重要

只有在您啟用 CloudTrail S3 保護時,才會產生具有 S3 資料來源的調查結果。 S3 根據預設,在 2020 年 7 月 31 日後,當帳戶 GuardDuty 第一次啟用時,或委派 GuardDuty 管理員帳戶 GuardDuty 在現有成員帳戶中啟用時,會啟用 S3 保護。不過,當新會員加入 GuardDuty 組織時,組織的自動啟用偏好設定將適用。如需自動啟用偏好設定的相關資訊,請參閱 設定組織自動啟用偏好設定。如需有關如何啟用 S3 保護的資訊,請參閱 GuardDuty S3 保護

對於所有 S3Bucket 類型的調查結果,建議您檢查有問題儲存貯體的許可,以及與調查結果涉及之任何使用者的許可,如果活動是非預期的結果,請參閱修復可能遭到入侵的 S3 儲存貯體中詳細說明的修復建議。

Discovery:S3/AnomalousBehavior

API 常用於探索 S3 物件的叫用方式異常。

預設嚴重性:低

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,IAM實體已叫用 S3 API 來探索您環境中的 S3 儲存貯體,例如 ListObjects。這種類型的活動與攻擊的探索階段相關聯,其中攻擊者會收集資訊,以判斷您的 AWS 環境是否容易受到更廣泛的攻擊。此活動很可疑,因為IAM實體API以不尋常的方式叫用 。例如,沒有先前歷史記錄的IAM實體調用 S3 API,或IAM實體API從異常位置調用 S3。

這由 GuardDuty的異常偵測機器學習 (ML) 模型API識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。它會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置、請求的特定API項目、請求的儲存貯體,以及撥打的API通話數量。如需API請求哪些因素對調用請求的使用者身分而言不尋常的詳細資訊,請參閱尋找詳細資訊

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

Discovery:S3/MaliciousIPCaller

從已知的惡意 IP 地址調用API通常用於探索 AWS 環境中資源的 S3。

預設嚴重性:高

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,已從與已知惡意活動相關聯的 IP 地址叫用 S3 API操作。當對手收集您 AWS 環境的相關資訊時,觀察到的 API通常與攻擊的探索階段相關聯。範例包括 GetObjectAclListObjects

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

Discovery:S3/MaliciousIPCaller.Custom

API 已從自訂威脅清單上的 IP 地址叫用 S3。

預設嚴重性:高

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,從您上傳的威脅清單中包含的 IP 地址叫用 S3 ListObjects,API例如 GetObjectAcl或 。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。這類活動與攻擊的探索階段相關聯,攻擊者會在此階段收集資訊,以判斷 AWS 環境是否容易受到更廣泛的攻擊。

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

Discovery:S3/TorIPCaller

從 Tor 結束節點 IP 地址API叫用 S3。

預設嚴重性:中

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,已從 Tor 結束節點 IP 地址叫用 S3 ListObjects,API例如 GetObjectAcl或 。這種類型的活動與攻擊的探索階段相關聯,其中攻擊者正在收集資訊,以確定您的 AWS 環境是否容易受到更廣泛的攻擊。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示為了隱藏攻擊者的真實身分,而未經授權存取您的 AWS 資源。

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

Exfiltration:S3/AnomalousBehavior

IAM 實體以API可疑方式叫用 S3。

預設嚴重性:高

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,IAM實體正在撥打涉及 S3 儲存貯體的API通話,且此活動與該實體已建立的基準不同。此活動中使用的API呼叫與攻擊的洩漏階段相關聯,其中攻擊者會嘗試收集資料。此活動很可疑,因為IAM實體API以不尋常的方式叫用 。例如,沒有先前歷史記錄的IAM實體調用 S3 API,或IAM實體API從異常位置調用 S3。

這由 GuardDuty的異常偵測機器學習 (ML) 模型API識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。它會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置、請求的特定API項目、請求的儲存貯體,以及撥打的API通話數量。如需API請求的哪些因素對於叫用請求的使用者身分而言不尋常的詳細資訊,請參閱尋找詳細資訊

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

Exfiltration:S3/MaliciousIPCaller

從已知的惡意 IP 地址叫用API常用於從 AWS 環境收集資料的 S3。

預設嚴重性:高

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,已從與已知惡意活動相關聯的 IP 地址叫用 S3 API操作。觀察到的 API通常與對手嘗試從網路收集資料的竊取策略相關。範例包括 GetObjectCopyObject

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

Impact:S3/AnomalousBehavior.Delete

IAM 實體調用 S3API,嘗試以可疑方式刪除資料。

預設嚴重性:高

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您, AWS 環境中的IAM實體正在撥打涉及 S3 儲存貯體的API通話,且此行為與該實體已建立的基準不同。此活動中使用的API呼叫與嘗試刪除資料的攻擊相關聯。此活動很可疑,因為IAM實體API以不尋常的方式叫用 。例如,沒有先前歷史記錄的IAM實體調用 S3 API,或IAM實體API從異常位置調用 S3。

這由 GuardDuty的異常偵測機器學習 (ML) 模型API識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。它會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置、請求的特定API項目、請求的儲存貯體,以及撥打的API通話數量。如需API請求的哪些因素對調用請求的使用者身分而言不尋常的詳細資訊,請參閱尋找詳細資訊

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

我們建議您稽核 S3 儲存貯體的內容,以判斷您是否可以還原先前的物件版本。

Impact:S3/AnomalousBehavior.Permission

API 常用於設定存取控制清單 (ACL) 許可的叫用方式異常。

預設嚴重性:高

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您環境中的IAM實體 AWS 已變更儲存貯體政策或列出的 S3 儲存貯體ACL。此變更可能會公開將您的 S3 儲存貯體公開給所有已驗證 AWS 的使用者。

這由 GuardDuty的異常偵測機器學習 (ML) 模型API識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。它會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置、請求的特定API項目、請求的儲存貯體,以及撥打的API通話數量。如需API請求的哪些因素對調用請求的使用者身分而言不尋常的詳細資訊,請參閱尋找詳細資訊

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

我們建議您稽核 S3 儲存貯體的內容,以確保不會以非預期的方式允許公開存取所有物件。

Impact:S3/AnomalousBehavior.Write

IAM 實體調用 S3API,嘗試以可疑方式寫入資料。

預設嚴重性:中

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您, AWS 環境中的IAM實體正在撥打涉及 S3 儲存貯體的API通話,且此行為與該實體已建立的基準不同。此活動中使用的API呼叫與嘗試寫入資料的攻擊相關聯。此活動很可疑,因為IAM實體API以不尋常的方式叫用 。例如,沒有先前歷史記錄的IAM實體調用 S3 API,或IAM實體API從異常位置調用 S3。

這由 GuardDuty的異常偵測機器學習 (ML) 模型API識別為異常。ML 模型會評估您帳戶中的所有API請求,並識別與對手使用的技術相關聯的異常事件。它會追蹤API請求的各種因素,例如提出請求的使用者、提出請求的位置、請求的特定API項目、請求的儲存貯體,以及撥打的API通話數量。如需API請求的哪些因素對調用請求的使用者身分而言不尋常的詳細資訊,請參閱尋找詳細資訊

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

我們建議您稽核 S3 儲存貯體的內容,以確保此API呼叫不會寫入惡意或未經授權的資料。

Impact:S3/MaliciousIPCaller

從已知的惡意 IP 地址調用API常用於竄改 AWS 環境中資料或程序的 S3。

預設嚴重性:高

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,已從與已知惡意活動相關聯的 IP 地址叫用 S3 API操作。觀察到的 API通常與對手嘗試操縱、中斷或破壞 AWS 環境中資料的影響策略相關。範例包括 PutObjectPutObjectAcl

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

PenTest:S3/KaliLinux

從 Kali Linux 機器API叫用 S3。

預設嚴重性:中

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,執行 Kali Linux 的機器正在使用屬於您 AWS 帳戶的憑證進行 S3 API呼叫。您的登入資料可能已被盜用。Kali Linux 是安全專業人員用來識別需要修補之EC2執行個體中弱點的常用滲透測試工具。攻擊者也會使用此工具來尋找EC2組態弱點,並未經授權存取您的 AWS 環境。

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

PenTest:S3/ParrotLinux

從 Parrot Security Linux 機器API叫用 S3。

預設嚴重性:中

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,執行 Parrot Security Linux 的機器正在使用屬於您 AWS 帳戶的憑證進行 S3 API呼叫。您的登入資料可能已被盜用。Parrot Security Linux 是常見的滲透測試工具,安全專業人員會用來識別需要修補的EC2執行個體中的弱點。攻擊者也會使用此工具來尋找EC2組態弱點,並未經授權存取您的 AWS 環境。

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

PenTest:S3/PentooLinux

從 Pentoo Linux 機器API叫用 S3。

預設嚴重性:中

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,執行 Pentoo Linux 的機器正在使用屬於您 AWS 帳戶的憑證進行 S3 API呼叫。您的登入資料可能已被盜用。Pentoo Linux 是安全專業人員用來識別需要修補之EC2執行個體中弱點的常用滲透測試工具。攻擊者也會使用此工具來尋找EC2組態弱點,並未經授權存取您的 AWS 環境。

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

Policy:S3/AccountBlockPublicAccessDisabled

IAM 實體調用 API 來停用 帳戶的 S3 Block Public Access。

預設嚴重性:低

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,Amazon S3 封鎖公開存取已在帳戶層級停用。啟用 S3 Block Public Access 設定時,它們會用來篩選儲存貯體上的政策或存取控制清單 (ACLs),作為安全措施,以防止不慎公開暴露資料。

一般而言,帳戶中的 S3 封鎖公開存取會關閉,以允許公開存取儲存貯體或儲存貯體中的物件。當 帳戶的 S3 Block Public Access 停用時,對儲存貯體的存取會受到套用至個別儲存貯體的政策、 ACLs或儲存貯體層級 Block Public Access 設定所控制。這並不表示儲存貯體是公開共用的,但您應該稽核向儲存貯體套用的政策和 ACL,以確認其提供的是適當的許可層級。

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

Policy:S3/BucketAnonymousAccessGranted

IAM 委託人已透過變更儲存貯體政策或 授予存取 S3 儲存貯體的存取權ACLs。

預設嚴重性:高

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,列出的 S3 儲存貯體已在網際網路上公開存取,因為IAM實體已變更儲存貯體政策或該儲存貯體ACL。偵測到政策或ACL變更後, 會使用 Zelkova 支援的自動推理來判斷儲存貯體是否可以公開存取。

注意

如果儲存貯體ACLs或儲存貯體政策設定為明確拒絕或拒絕全部,則此調查結果可能不會反映儲存貯體的目前狀態。此調查結果不會反映可能已為 S3 儲存貯體啟用的任何 S3 封鎖公開存取設定。在這種情況下,調查結果中的 effectivePermission 值將標記為 UNKNOWN

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

Policy:S3/BucketBlockPublicAccessDisabled

IAM 實體調用 ,API用於停用儲存貯體上的 S3 Block Public Access。

預設嚴重性:低

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,已針對列出的 S3 儲存貯體停用封鎖公開存取。啟用時,S3 Block Public Access 設定會用來篩選套用至儲存貯體的政策或存取控制清單 (ACLs),以做為安全措施,防止不慎公開暴露資料。

一般而言,儲存貯體上的 S3 封鎖公開存取會關閉,以允許公開存取儲存貯體或儲存貯體中的物件。當儲存貯體的 S3 Block Public Access 停用時,存取儲存貯體的權限會由 政策控制或ACLs套用。這並不表示儲存貯體是公開共用的,但您應該稽核政策並ACLs套用至儲存貯體,以確認套用了適當的許可。

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

Policy:S3/BucketPublicAccessGranted

IAM 委託人已透過變更儲存貯體政策或 ,將 S3 儲存貯體的公開存取權授予 AWS 所有使用者ACLs。

預設嚴重性:高

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,列出的 S3 儲存貯體已公開公開給所有已驗證 AWS 的使用者,因為IAM實體已變更儲存貯體政策或該 S3 儲存貯體ACL上的 。偵測到政策或ACL變更後, 會使用 Zelkova 支援的自動推理來判斷儲存貯體是否可以公開存取。

注意

如果儲存貯體ACLs或儲存貯體政策設定為明確拒絕或拒絕全部,則此調查結果可能不會反映儲存貯體的目前狀態。此調查結果不會反映可能已為 S3 儲存貯體啟用的任何 S3 封鎖公開存取設定。在這種情況下,調查結果中的 effectivePermission 值將標記為 UNKNOWN

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

Stealth:S3/ServerAccessLoggingDisabled

儲存貯體的 S3 伺服器存取記錄已停用。

預設嚴重性:低

  • 資料來源:CloudTrail 管理事件

此調查結果會通知您,您 AWS 環境中儲存貯體的 S3 伺服器存取日誌已停用。如果停用,則不會針對任何嘗試存取已識別 S3 儲存貯體的嘗試建立 Web 請求日誌,但DeleteBucket仍會追蹤對儲存貯體的 S3 管理API呼叫,例如 。如果透過 CloudTrail 為此儲存貯體啟用 S3 資料事件記錄,仍會追蹤儲存貯體中物件的 Web 請求。停用記錄是未經授權的使用者用來逃避偵測的技術。若要進一步了解 S3 日誌,請參閱 S3 伺服器存取記錄S3 記錄選項

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

API 已從自訂威脅清單上的 IP 地址叫用 S3。

預設嚴重性:高

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,例如 PutObjectPutObjectAcl,S3 API操作是從您上傳的威脅清單中包含的 IP 地址叫用。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的其他資訊區段中。

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體

UnauthorizedAccess:S3/TorIPCaller

從 Tor 結束節點 IP 地址API叫用 S3。

預設嚴重性:高

  • 資料來源:CloudTrail S3 的資料事件

此調查結果會通知您,已從 Tor 結束節點 IP 地址叫用 S3 API操作PutObjectAcl,例如 PutObject或 。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。此調查結果可能表示未經授權存取您的 AWS 資源,目的是隱藏攻擊者的真實身分。

修復建議:

如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱修復可能遭到入侵的 S3 儲存貯體