EKS-Auditprotokolle, Typen finden - Amazon GuardDuty
CredentialAccess:Kubernetes/MaliciousIPCallerCredentialAccess:Kubernetes/MaliciousIPCaller.CustomCredentialAccess:Kubernetes/SuccessfulAnonymousAccessCredentialAccess:Kubernetes/TorIPCallerDefenseEvasion:Kubernetes/MaliciousIPCallerDefenseEvasion:Kubernetes/MaliciousIPCaller.CustomDefenseEvasion:Kubernetes/SuccessfulAnonymousAccessDefenseEvasion:Kubernetes/TorIPCallerDiscovery:Kubernetes/MaliciousIPCallerDiscovery:Kubernetes/MaliciousIPCaller.CustomDiscovery:Kubernetes/SuccessfulAnonymousAccessDiscovery:Kubernetes/TorIPCallerExecution:Kubernetes/ExecInKubeSystemPodImpact:Kubernetes/MaliciousIPCallerImpact:Kubernetes/MaliciousIPCaller.CustomImpact:Kubernetes/SuccessfulAnonymousAccessImpact:Kubernetes/TorIPCallerPersistence:Kubernetes/ContainerWithSensitiveMountPersistence:Kubernetes/MaliciousIPCallerPersistence:Kubernetes/MaliciousIPCaller.CustomPersistence:Kubernetes/SuccessfulAnonymousAccessPersistence:Kubernetes/TorIPCallerPolicy:Kubernetes/AdminAccessToDefaultServiceAccountPolicy:Kubernetes/AnonymousAccessGrantedPolicy:Kubernetes/ExposedDashboardPolicy:Kubernetes/KubeflowDashboardExposedPrivilegeEscalation:Kubernetes/PrivilegedContainerCredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreatedExecution:Kubernetes/AnomalousBehavior.ExecInPodPrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainerPersistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMountExecution:Kubernetes/AnomalousBehavior.WorkloadDeployedPrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreatedDiscovery:Kubernetes/AnomalousBehavior.PermissionChecked

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

EKS-Auditprotokolle, Typen finden

Die folgenden Erkenntnisse beziehen sich auf Kubernetes-Ressourcen und haben einen resource_type EKSCluster. Der Schweregrad und die Details der Erkenntnisse unterscheiden sich je nach Erkenntnistyp.

Für alle Erkenntnisse des Kubernetes-Typs empfehlen wir, dass Sie die betreffende Ressource untersuchen, um festzustellen, ob es sich um eine erwartete oder potenziell bösartige Aktivität handelt. Hinweise zur Behebung einer gefährdeten Kubernetes-Ressource, die durch einen Befund identifiziert wurde, finden Sie unter. GuardDuty Behebung der Erkenntnisse von EKS Audit Log Monitoring

Anmerkung

Wenn die Aktivität, aufgrund derer diese Erkenntnisse generiert werden, erwartet wird, sollten Sie erwägen, Unterdrückungsregeln sie hinzuzufügen, um zukünftige Benachrichtigungen zu verhindern.

Themen
Anmerkung

Vor Kubernetes Version 1.14 war die system:unauthenticated Gruppe standardmäßig mit und verknüpft. system:discovery system:basic-user ClusterRoles Diese Zuordnung kann unbeabsichtigten Zugriff durch anonyme Benutzer ermöglichen. Durch Cluster-Updates werden diese Berechtigungen nicht aufgehoben. Auch wenn Sie Ihren Cluster auf Version 1.14 oder höher aktualisiert haben, sind diese Berechtigungen möglicherweise weiterhin aktiviert. Wir empfehlen, dass Sie die Zuordnung dieser Berechtigungen zu der system:unauthenticated-Gruppe aufheben. Anleitungen zum Widerrufen dieser Berechtigungen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch.

CredentialAccess:Kubernetes/MaliciousIPCaller

Eine API, die häufig für den Zugriff auf Anmeldeinformationen oder Geheimnisse in einem Kubernetes-Cluster verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit der Phase des Zugriffs auf Anmeldeinformationen in Verbindung gebracht, wenn ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihren Kubernetes-Cluster zu sammeln.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

CredentialAccess:Kubernetes/MaliciousIPCaller.Custom

Eine API, die häufig für den Zugriff auf Anmeldeinformationen oder Geheimnisse in einem Kubernetes-Cluster verwendet wird, wurde von einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste aus aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig mit der Taktik des Zugriffs auf Anmeldeinformationen in Verbindung gebracht, wenn ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihren Kubernetes-Cluster zu sammeln.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte, und widerrufen Sie gegebenenfalls die Berechtigungen, indem Sie die Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

CredentialAccess:Kubernetes/SuccessfulAnonymousAccess

Eine API, die häufig für den Zugriff auf Anmeldeinformationen oder Geheimnisse in einem Kubernetes-Cluster verwendet wird, wurde von einem nicht authentifizierten Benutzer aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang vom system:anonymous-Benutzer erfolgreich aufgerufen wurde. API-Aufrufe von system:anonymous sind nicht authentifiziert. Die beobachtete API wird häufig mit der Taktik des Zugriffs auf Anmeldeinformationen in Verbindung gebracht, wenn ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihren Kubernetes-Cluster zu sammeln. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die in der Erkenntnis gemeldete API-Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.

Empfehlungen zur Abhilfe:

Sie sollten die Berechtigungen überprüfen, die dem system:anonymous-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch.

Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

CredentialAccess:Kubernetes/TorIPCaller

Eine API, die häufig für den Zugriff auf Anmeldeinformationen oder Geheimnisse in einem Kubernetes-Cluster verwendet wird, wurde von einer bekannten bösartigen Tor-Ausgangsknotens-Adresse aus aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Die Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Die beobachtete API wird häufig mit der Taktik des Zugriffs auf Anmeldeinformationen in Verbindung gebracht, wenn ein Angreifer versucht, Passwörter, Benutzernamen und Zugriffsschlüssel für Ihren Kubernetes-Cluster zu sammeln. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf die Kubernetes-Cluster-Ressourcen hinweisen, mit dem Ziel, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

DefenseEvasion:Kubernetes/MaliciousIPCaller

Eine API, die häufig verwendet wird, um Abwehrmaßnahmen zu umgehen, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit Umgehungstaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom

Eine API, die üblicherweise zur Umgehung von Abwehrmaßnahmen verwendet wird, wurde von einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig mit Umgehungstaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess

Eine API, die häufig verwendet wird, um Abwehrmaßnahmen zu umgehen, wurde von einem nicht authentifizierten Benutzer aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang vom system:anonymous-Benutzer erfolgreich aufgerufen wurde. API-Aufrufe von system:anonymous sind nicht authentifiziert. Die beobachtete API wird häufig mit Taktiken zur Umgehung der Verteidigung in Verbindung gebracht, bei der ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die in der Erkenntnis gemeldete API-Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.

Empfehlungen zur Abhilfe:

Sie sollten die Berechtigungen überprüfen, die dem system:anonymous-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch.

Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

DefenseEvasion:Kubernetes/TorIPCaller

Eine API, die häufig verwendet wird, um Abwehrmaßnahmen zu umgehen, wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Die Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Die beobachtete API wird häufig mit Umgehungstaktiken in Verbindung gebracht, bei denen ein Gegner versucht, seine Aktionen zu verbergen, um nicht entdeckt zu werden. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihren Kubernetes-Cluster hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Discovery:Kubernetes/MaliciousIPCaller

Eine API, die häufig zur Erkennung von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einer IP-Adresse aus aufgerufen.

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig in der Erkennungsphase eines Angriffs verwendet, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihr Kubernetes-Cluster für einen umfassenderen Angriff anfällig ist.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Discovery:Kubernetes/MaliciousIPCaller.Custom

Eine API, die häufig zur Erkennung von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einer IP-Adresse aus einer benutzerdefinierten Bedrohungsliste aufgerufen.

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass eine API von einer IP-Adresse aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig in der Erkennungsphase eines Angriffs verwendet, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihr Kubernetes-Cluster für einen umfassenderen Angriff anfällig ist.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Discovery:Kubernetes/SuccessfulAnonymousAccess

Eine API, die häufig zur Erkennung von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einem nicht authentifizierten Benutzer aufgerufen.

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang vom system:anonymous-Benutzer erfolgreich aufgerufen wurde. API-Aufrufe von system:anonymous sind nicht authentifiziert. Die beobachtete API wird häufig mit der Erkennungsphase eines Angriffs in Verbindung gebracht, in der ein Angreifer Informationen über Ihren Kubernetes-Cluster sammelt. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die in der Erkenntnis gemeldete API-Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.

Empfehlungen zur Abhilfe:

Sie sollten die Berechtigungen überprüfen, die dem system:anonymous-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch.

Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Discovery:Kubernetes/TorIPCaller

Eine API, die häufig zur Erkennung von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Die Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Die beobachtete API wird häufig in der Erkennungsphase eines Angriffs verwendet, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihr Kubernetes-Cluster für einen umfassenderen Angriff anfällig ist. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihren Kubernetes-Cluster hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen durfte, und widerrufen Sie gegebenenfalls die Berechtigungen, indem Sie die Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch befolgen. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Execution:Kubernetes/ExecInKubeSystemPod

Ein Befehl wurde in einem Pod innerhalb des kube-system-Namespace ausgeführt

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Befehl in einem Pod innerhalb des kube-system-Namespace mithilfe der Kubernetes-Exec-API ausgeführt wurde. kube-system-Namespace ist ein Standard-Namespaces, der hauptsächlich für Komponenten auf Systemebene wie kube-dns und kube-proxy verwendet wird. Es ist sehr ungewöhnlich, Befehle innerhalb von Pods oder Containern unter einem kube-system-Namespace auszuführen, was auf verdächtige Aktivitäten hinweisen kann.

Empfehlungen zur Abhilfe:

Wenn die Ausführung dieses Befehls unerwartet erfolgt, können die Anmeldeinformationen der Benutzeridentität, die zur Ausführung des Befehls verwendet wurde, kompromittiert sein. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Impact:Kubernetes/MaliciousIPCaller

Eine API, die häufig zur Manipulation von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit Schlagtaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. AWS

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Impact:Kubernetes/MaliciousIPCaller.Custom

Eine API, die häufig zur Manipulation von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einer IP-Adresse auf einer benutzerdefinierten Bedrohungsliste aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig mit Schlagtaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. AWS

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Impact:Kubernetes/SuccessfulAnonymousAccess

Eine API, die häufig zur Manipulation von Ressourcen in einem Kubernetes-Cluster verwendet wird, wurde von einem nicht authentifizierten Benutzer aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang vom system:anonymous-Benutzer erfolgreich aufgerufen wurde. API-Aufrufe von system:anonymous sind nicht authentifiziert. Die beobachtete API wird häufig mit der Auswirkungsphase eines Angriffs in Verbindung gebracht, wenn ein Angreifer Ressourcen in Ihrem Cluster manipuliert. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die in der Erkenntnis gemeldete API-Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.

Empfehlungen zur Abhilfe:

Sie sollten die Berechtigungen überprüfen, die dem system:anonymous-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch.

Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Impact:Kubernetes/TorIPCaller

Eine API, die häufig verwendet wird, um Ressourcen in einem Kubernetes-Cluster zu manipulieren, wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Die Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Die beobachtete API wird häufig mit Auswirkungstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer AWS -Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihren Kubernetes-Cluster hinweisen, der das Ziel hat, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Persistence:Kubernetes/ContainerWithSensitiveMount

Ein Container wurde gestartet, in dem ein sensibler externer Host-Pfad eingehängt war.

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Container mit einer Konfiguration gestartet wurde, die im Abschnitt volumeMounts einen sensiblen Host-Pfad mit Schreibzugriff enthielt. Dadurch ist der sensible Host-Pfad vom Container aus zugänglich und beschreibbar. Diese Technik wird häufig von Gegnern verwendet, um Zugriff auf das Dateisystem des Hosts zu erhalten.

Empfehlungen zur Abhilfe:

Wenn dieser Container-Start unerwartet erfolgt, können die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert sein. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Wenn dieser Container-Start erwartet wird, wird empfohlen, eine Unterdrückungsregel zu verwenden, die aus Filterkriterien besteht, die auf dem Feld resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix basieren. In den Filterkriterien sollte das imagePrefix-Feld dem in der Erkenntnis angegebenen Feld imagePrefix entsprechen. Weitere Informationen zum Erstellen von Unterdrückungsregeln finden Sie unter Unterdrückungsregeln.

Persistence:Kubernetes/MaliciousIPCaller

Eine API, die üblicherweise verwendet wird, um dauerhaften Zugriff auf einen Kubernetes-Cluster zu erhalten, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit Persistenz-Taktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Kubernetes-Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Persistence:Kubernetes/MaliciousIPCaller.Custom

Eine API, die häufig verwendet wird, um dauerhaften Zugriff auf einen Kubernetes-Cluster zu erhalten, wurde von einer IP-Adresse aus einer benutzerdefinierten Bedrohungsliste aufgerufen.

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die in einer von Ihnen hochgeladenen Bedrohungsliste enthalten ist. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig mit Persistenz-Taktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Kubernetes-Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Persistence:Kubernetes/SuccessfulAnonymousAccess

Eine API, die häufig verwendet wird, um hochgradige Berechtigungen für einen Kubernetes-Cluster zu erhalten, wurde von einem nicht authentifizierten Benutzer aufgerufen.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein API-Vorgang vom system:anonymous-Benutzer erfolgreich aufgerufen wurde. API-Aufrufe von system:anonymous sind nicht authentifiziert. Die beobachtete API wird häufig mit Persistenztaktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten. Diese Aktivität weist darauf hin, dass anonymer oder nicht authentifizierter Zugriff auf die in der Erkenntnis gemeldete API-Aktion zulässig ist und bei anderen Aktionen möglicherweise zulässig ist. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.

Empfehlungen zur Abhilfe:

Sie sollten die Berechtigungen überprüfen, die dem system:anonymous-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch.

Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Persistence:Kubernetes/TorIPCaller

Eine API, die häufig verwendet wird, um dauerhaften Zugriff auf einen Kubernetes-Cluster zu erhalten, wurde von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen.

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Die Erkenntnis informiert Sie darüber, dass ein API-Vorgang von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen wurde. Die beobachtete API wird häufig mit Persistenz-Taktiken in Verbindung gebracht, bei denen sich ein Angreifer Zugriff auf Ihren Kubernetes-Cluster verschafft hat und versucht, diesen Zugriff aufrechtzuerhalten. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Falls es sich bei dem in den Ergebnissen unter dem KubernetesUserDetails Abschnitt gemeldeten Benutzer um einen handeltsystem:anonymous, untersuchen Sie, warum der anonyme Benutzer die API aufrufen und gegebenenfalls die Berechtigungen widerrufen durfte. Folgen Sie dazu den Anweisungen unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn es sich bei dem Benutzer um einen authentifizierten Benutzer handelt, untersuchen Sie, ob die Aktivität legitim oder böswillig war. Wenn es sich bei der Aktivität um eine böswillige Aktivität handelte, sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Policy:Kubernetes/AdminAccessToDefaultServiceAccount

Dem Standard-Servicekonto wurden Administratorrechte auf einem Kubernetes-Cluster gewährt.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass dem Standard-Servicekonto für einen Namespace in Ihrem Kubernetes-Cluster Administratorrechte gewährt wurden. Kubernetes erstellt ein Standard-Servicekonto für alle Namespaces im Cluster. Es weist Pods, die nicht explizit einem anderen Servicekonto zugeordnet wurden, automatisch das Standard-Servicekonto als Identität zu. Wenn das Standard-Servicekonto über Administratorrechte verfügt, kann dies dazu führen, dass Pods unbeabsichtigt mit Administratorrechten gestartet werden. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.

Empfehlungen zur Abhilfe:

Sie sollten nicht das Standard-Servicekonto verwenden, um Pods Berechtigungen zu erteilen. Stattdessen sollten Sie für jeden Workload ein eigenes Servicekonto erstellen und diesem Konto je nach Bedarf Berechtigungen erteilen. Um dieses Problem zu beheben, sollten Sie spezielle Servicekonten für all Ihre Pods und Workloads erstellen und die Pods und Workloads aktualisieren, um vom Standard-Servicekonto zu ihren dedizierten Konten zu migrieren. Anschließend sollten Sie die Administratorberechtigung aus dem Standard-Servicekonto entfernen. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Policy:Kubernetes/AnonymousAccessGranted

Dem system:anonymous-Benutzer wurde die API-Berechtigung für einen Kubernetes-Cluster erteilt.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Benutzer in Ihrem Kubernetes-Cluster erfolgreich ein ClusterRoleBinding oder RoleBinding erstellt hat, um den Benutzer system:anonymous an eine Rolle zu binden. Dies ermöglicht einen nicht authentifizierten Zugriff auf die API-Vorgänge, die von der Rolle zugelassen werden. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.

Empfehlungen zur Abhilfe:

Sie sollten die Berechtigungen überprüfen, die dem system:anonymous-Benutzer oder der system:unauthenticated-Gruppe in Ihrem Cluster gewährt wurden, und unnötigen anonymen Zugriff widerrufen. Weitere Informationen finden Sie unter Bewährte Sicherheitsmethoden für Amazon EKS im Amazon EKS-Benutzerhandbuch. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Policy:Kubernetes/ExposedDashboard

Das Dashboard für einen Kubernetes-Cluster war im Internet verfügbar

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass das Kubernetes-Dashboard für Ihren Cluster über einen Load Balancer-Service dem Internet zugänglich gemacht wurde. Ein offengelegtes Dashboard ermöglicht den Zugriff auf die Verwaltungsoberfläche Ihres Clusters über das Internet und ermöglicht es Gegnern, eventuell vorhandene Lücken in der Authentifizierungs- und Zugriffssteuerung auszunutzen.

Empfehlungen zur Abhilfe:

Sie sollten sicherstellen, dass im Kubernetes-Dashboard eine starke Authentifizierung und Autorisierung durchgesetzt wird. Sie sollten auch eine Netzwerk-Zugriffssteuerung implementieren, um den Zugriff auf das Dashboard von bestimmten IP-Adressen aus zu beschränken.

Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Policy:Kubernetes/KubeflowDashboardExposed

Das Kubeflow-Dashboard für einen Kubernetes-Cluster war im Internet verfügbar

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass das Kubeflow-Dashboard für Ihren Cluster über einen Load Balancer-Service dem Internet zugänglich gemacht wurde. Ein offengelegtes Kubeflow-Dashboard ermöglicht den Zugriff auf die Verwaltungsoberfläche Ihrer Kubeflow-Umgebung über das Internet und ermöglicht es Gegnern, eventuell vorhandene Lücken in der Authentifizierung und Zugriffssteuerung auszunutzen.

Empfehlungen zur Abhilfe:

Sie sollten sicherstellen, dass im Kubeflow-Dashboard eine starke Authentifizierung und Autorisierung durchgesetzt wird. Sie sollten auch eine Netzwerk-Zugriffssteuerung implementieren, um den Zugriff auf das Dashboard von bestimmten IP-Adressen aus zu beschränken.

Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

PrivilegeEscalation:Kubernetes/PrivilegedContainer

Ein privilegierter Container mit Zugriff auf Root-Ebene wurde auf Ihrem Kubernetes-Cluster gestartet.

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein privilegierter Container, der auf Ihrem Kubernetes-Cluster mithilfe eines Images gestartet wurde, das noch nie zuvor verwendet wurde, um privilegierte Container in Ihrem Cluster zu starten. Ein privilegierter Container hat Zugriff auf Root-Ebene auf den Host. Angreifer können als Taktik zur Erweiterung ihrer Rechte privilegierte Container starten, um sich Zugriff auf den Host zu verschaffen und ihn dann zu kompromittieren.

Empfehlungen zur Abhilfe:

Wenn dieser Container-Start unerwartet erfolgt, können die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert sein. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed

Eine Kubernetes-API, die häufig für den Zugriff auf Geheimnisse verwendet wird, wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Kubernetes-Benutzer in Ihrem Cluster einen anomalen API-Vorgang zum Abrufen vertraulicher Cluster-Geheimnisse aufgerufen hat. Die beobachtete API wird häufig mit Taktiken für den Zugriff auf Anmeldeinformationen in Verbindung gebracht, die zu einer privilegierten Eskalation und weiterem Zugriff innerhalb Ihres Clusters führen können. Wenn dieses Verhalten nicht erwartet wird, kann dies entweder auf einen Konfigurationsfehler hinweisen oder darauf, dass Ihre AWS Anmeldeinformationen kompromittiert wurden.

Die beobachtete API wurde durch das Modell des maschinellen Lernens (ML) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API-Aktivitäten innerhalb Ihres EKS-Clusters und identifiziert anomale Ereignisse, die mit Techniken in Verbindung stehen, die von nicht autorisierten Benutzern verwendet werden. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Sie sollten die Berechtigungen überprüfen, die dem Kubernetes-Benutzer in Ihrem Cluster gewährt wurden, und sicherstellen, dass all diese Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell gefährdeter Anmeldeinformationen AWS.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated

In Ihrem RoleBinding ClusterRoleBinding Kubernetes-Cluster wurde ein oder für eine übermäßig freizügige Rolle oder einen sensiblen Namespace erstellt oder geändert.

Standard-Schweregrad: Mittel*

Anmerkung

Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn ein RoleBinding oder jedoch das Oder ClusterRoleBinding beinhaltet, ist der Schweregrad Hoch ClusterRoles admin. cluster-admin

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Benutzer in Ihrem Kubernetes-Cluster ein RoleBinding oder ClusterRoleBinding erstellt hat, um einen Benutzer an eine Rolle mit Administratorberechtigungen oder sensiblen Namespaces zu binden. Wenn dieses Verhalten nicht erwartet wird, kann dies entweder auf einen Konfigurationsfehler hinweisen oder darauf, dass Ihre AWS Anmeldeinformationen kompromittiert wurden.

Die beobachtete API wurde durch das Modell des maschinellen Lernens (ML) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API-Aktivitäten innerhalb Ihres EKS-Clusters. Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Untersuchen Sie die dem Kubernetes-Benutzer erteilten Berechtigungen. Diese Berechtigungen sind in der Rolle und den beteiligten Subjekten in RoleBinding und ClusterRoleBinding definiert. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell gefährdeter Anmeldeinformationen AWS.

Execution:Kubernetes/AnomalousBehavior.ExecInPod

Ein Befehl wurde in einem Pod auf ungewöhnliche Weise ausgeführt.

Standard-Schweregrad: Mittel

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Befehl in einem Pod mithilfe der Kubernetes-Exec-API ausgeführt wurde. Die Kubernetes-Exec-API ermöglicht die Ausführung beliebiger Befehle in einem Pod. Wenn dieses Verhalten für den Benutzer, den Namespace oder den Pod nicht erwartet wird, kann dies entweder auf einen Konfigurationsfehler hinweisen oder darauf, dass Ihre AWS Anmeldeinformationen kompromittiert wurden.

Die beobachtete API wurde durch das ML-Modell (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API-Aktivitäten innerhalb Ihres EKS-Clusters. Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Wenn die Ausführung dieses Befehls unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zur Ausführung des Befehls verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell gefährdeter Anmeldeinformationen AWS.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed!PrivilegedContainer

Ein Workload wurde mit einem privilegierten Container auf ungewöhnliche Weise gestartet.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Workload mit einem privilegierten Container in Ihrem Amazon-EKS-Cluster gestartet wurde. Ein privilegierter Container hat Zugriff auf Root-Ebene auf den Host. Unbefugte Benutzer können privilegierte Container als Taktik zur Rechteerweiterung starten, um sich zunächst Zugriff auf den Host zu verschaffen und ihn dann zu kompromittieren.

Die beobachtete Erstellung oder Änderung eines Containers wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API- und Container-Image-Aktivitäten innerhalb Ihres EKS-Clusters. Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, in Ihrem Konto beobachtete Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Wenn dieser Container-Start unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell gefährdeter Anmeldeinformationen AWS.

Wenn dieser Container-Start erwartet wird, empfiehlt es sich, eine Unterdrückungsregel mit Filterkriterien zu verwenden, die auf dem resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix-Feld basieren. In den Filterkriterien sollte das imagePrefix-Feld dem in der Erkenntnis angegebenen Feld imagePrefix entsprechen. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed!ContainerWithSensitiveMount

Ein Workload wurde auf ungewöhnliche Weise bereitgestellt, wobei ein sensibler Host-Pfad innerhalb des Workloads eingehängt wurde.

Standard-Schweregrad: Hoch

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Workload mit einem Container gestartet wurde, der im Abschnitt volumeMounts einen sensiblen Host-Pfad enthielt. Dadurch ist der sensible Host-Pfad potenziell vom Container aus zugänglich und beschreibbar. Diese Technik wird häufig von Gegnern verwendet, um Zugriff auf das Dateisystem des Hosts zu erhalten.

Die beobachtete Erstellung oder Änderung eines Containers wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API- und Container-Image-Aktivitäten innerhalb Ihres EKS-Clusters. Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, in Ihrem Konto beobachtete Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Wenn dieser Container-Start unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell gefährdeter Anmeldeinformationen AWS.

Wenn dieser Container-Start erwartet wird, empfiehlt es sich, eine Unterdrückungsregel mit Filterkriterien zu verwenden, die auf dem resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix-Feld basieren. In den Filterkriterien sollte das imagePrefix-Feld dem in der Erkenntnis angegebenen Feld imagePrefix entsprechen. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed

Ein Workload wurde auf ungewöhnliche Weise gestartet.

Standard-Schweregrad: Niedrig*

Anmerkung

Der Standardschweregrad ist Niedrig. Wenn der Workload jedoch einen potenziell verdächtigen Image-Namen enthält, z. B. ein bekanntes Pentest-Tool, oder einen Container, in dem beim Start ein potenziell verdächtiger Befehl ausgeführt wird, z. B. Reverse-Shell-Befehle, wird der Schweregrad dieses Ergebnistyps als Mittel eingestuft.

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Kubernetes-Workload in Ihrem Amazon EKS-Cluster auf ungewöhnliche Weise erstellt oder geändert wurde, z. B. durch eine API-Aktivität, neue Container-Images oder eine riskante Workload-Konfiguration. Unbefugte Benutzer können privilegierte Container als Taktik zur Rechteerweiterung starten, um sich zunächst Zugriff auf den Host zu verschaffen und ihn dann zu kompromittieren.

Die beobachtete Erstellung oder Änderung eines Containers wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API- und Container-Image-Aktivitäten innerhalb Ihres EKS-Clusters. Dieses ML-Modell identifiziert auch ungewöhnliche Ereignisse, die mit den von einem nicht autorisierten Benutzer verwendeten Techniken zusammenhängen. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, in Ihrem Konto beobachtete Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Wenn dieser Container-Start unerwartet erfolgt, wurden möglicherweise die Anmeldeinformationen der Benutzeridentität, die zum Starten des Containers verwendet wurde, kompromittiert. Sperren Sie dem Benutzer den Zugriff und machen Sie alle Änderungen rückgängig, die von einem Angreifer an Ihrem Cluster vorgenommen wurden. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell gefährdeter Anmeldeinformationen AWS.

Wenn dieser Container-Start erwartet wird, empfiehlt es sich, eine Unterdrückungsregel mit Filterkriterien zu verwenden, die auf dem resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix-Feld basieren. In den Filterkriterien sollte das imagePrefix-Feld dem in der Erkenntnis angegebenen Feld imagePrefix entsprechen. Weitere Informationen finden Sie unter Unterdrückungsregeln.

PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated

Eine sehr freizügige Rolle oder ClusterRole wurde auf ungewöhnliche Weise erstellt oder geändert.

Standard-Schweregrad: Niedrig

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Kubernetes-Benutzer in Ihrem Amazon-EKS-Cluster einen anomale API-Vorgang zur Erstellung eines Role oder ClusterRole mit übermäßigen Berechtigungen aufgerufen hat. Akteure können die Rollenerstellung mit leistungsstarken Berechtigungen verwenden, um die Verwendung integrierter Administratorrollen zu vermeiden und so zu verhindern, dass sie entdeckt werden. Die übermäßigen Berechtigungen können zur Eskalation von Rechten, zur Ausführung von Remote-Code und möglicherweise zur Kontrolle über einen Namespace oder Cluster führen. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre -Anmeldeinformationen kompromittiert wurden.

Die beobachtete API wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API-Aktivitäten innerhalb Ihres Amazon-EKS-Clusters und identifiziert anomale Ereignisse, die mit Techniken in Verbindung stehen, die von nicht autorisierten Benutzern verwendet werden. Das ML-Modell verfolgt mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, den verwendeten Benutzeragenten, in Ihrem Konto beobachtete Container-Images und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Prüfen Sie die in Role oder ClusterRole definierten Berechtigungen, um sicherzustellen, dass alle Berechtigungen benötigt werden, und halten Sie sich an die Grundsätze der geringsten Berechtigung. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell gefährdeter Anmeldeinformationen AWS.

Discovery:Kubernetes/AnomalousBehavior.PermissionChecked

Ein Benutzer hat seine Zugriffsberechtigungen auf ungewöhnliche Weise überprüft.

Standard-Schweregrad: Niedrig

  • Funktion: EKS-Auditprotokolle

Diese Erkenntnis informiert Sie darüber, dass ein Benutzer in Ihrem Kubernetes-Cluster erfolgreich geprüft hat, ob die bekannten mächtigen Berechtigungen, die zu privilegierter Eskalation und Remote-Codeausführung führen können, zulässig sind. Ein gängiger Befehl, der verwendet wird, um die Berechtigungen eines Benutzers zu überprüfen, ist beispielsweise kubectl auth can-i. Wenn dieses Verhalten nicht erwartet wird, deutet dies möglicherweise auf einen Konfigurationsfehler hin oder darauf, dass Ihre Anmeldeinformationen kompromittiert wurden.

Die beobachtete API wurde anhand des ML-Modells (Machine Learning) zur Erkennung von GuardDuty Anomalien als anomal identifiziert. Das ML-Modell bewertet alle Benutzer-API-Aktivitäten innerhalb Ihres Amazon-EKS-Clusters und identifiziert anomale Ereignisse, die mit Techniken in Verbindung stehen, die von nicht autorisierten Benutzern verwendet werden. Das ML-Modell verfolgt auch mehrere Faktoren des API-Vorgangs, z. B. den Benutzer, der die Anfrage stellt, den Standort, von dem aus die Anfrage gestellt wurde, die Überprüfung der Berechtigungen und den Namespace, den der Benutzer verwendet hat. Die ungewöhnlichen Details der API-Anfrage finden Sie im Bereich mit den Suchdetails in der Konsole. GuardDuty

Empfehlungen zur Abhilfe:

Prüfen Sie die dem Kubernetes-Benutzer erteilten Berechtigungen, um sicherzustellen, dass alle Berechtigungen benötigt werden. Wenn die Berechtigungen irrtümlich oder böswillig erteilt wurden, sollten Sie dem Benutzer den Zugriff entziehen und alle von einem Angreifer an Ihrem Cluster vorgenommenen Änderungen rückgängig machen. Weitere Informationen finden Sie unter Behebung der Erkenntnisse von EKS Audit Log Monitoring.

Falls Ihre AWS Anmeldedaten kompromittiert wurden, finden Sie weitere Informationen unterBehebung potenziell gefährdeter Anmeldeinformationen AWS.