Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Nicht mehr aktive Erkenntnistypen
Ein Ergebnis ist eine Benachrichtigung, die Details zu einem von GuardDuty festgestellten potenziellen Sicherheitsrisiko enthält. Informationen zu wichtigen Änderungen an den GuardDuty Befundtypen, einschließlich neu hinzugefügter oder veralteter Findtypen, finden Sie unterDokumentenverlauf für Amazon GuardDuty.
Die folgenden Befundtypen wurden eingestellt und nicht mehr von generiert GuardDuty.
Wichtig
Sie können veraltete GuardDuty Findtypen nicht reaktivieren.
Themen
Exfiltration:S3/ObjectRead.Unusual
Eine IAM-Entität hat eine S3-API auf verdächtige Weise aufgerufen.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.
-
Datenquelle: CloudTrail Datenereignisse für S3
Dieses Ergebnis informiert Sie darüber, dass eine IAM-Entität in Ihrer AWS Umgebung API-Aufrufe tätigt, die einen S3-Bucket betreffen und die sich von der festgelegten Baseline dieser Entität unterscheiden. Der in dieser Aktivität verwendete API-Aufruf steht im Zusammenhang mit der Exfiltrationsphase eines Angriffs, in der ein Angreifer versucht, Daten zu sammeln. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.
Empfehlungen zur Abhilfe:
Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.
Impact:S3/PermissionsModification.Unusual
Eine IAM-Entität hat eine API aufgerufen, um die Berechtigungen für eine oder mehrere S3-Ressourcen zu ändern.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, ist der Schweregrad des Ergebnisses hoch.
Diese Erkenntnis informiert Sie darüber, dass eine IAM-Entität API-Aufrufe durchführt, um die Berechtigungen für einen oder mehrere Buckets oder Objekte in Ihrer AWS -Umgebung zu ändern. Diese Aktion kann von einem Angreifer ausgeführt werden, um die Weitergabe von Informationen außerhalb des Kontos zu ermöglichen. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.
Empfehlungen zur Abhilfe:
Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.
Impact:S3/ObjectDelete.Unusual
Eine IAM-Entität rief eine API zum Löschen von Daten in einem S3-Bucket auf.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.
Dieses Ergebnis informiert Sie darüber, dass eine bestimmte IAM-Entität in Ihrer AWS Umgebung API-Aufrufe durchführt, um Daten im aufgelisteten S3-Bucket zu löschen, indem der Bucket selbst gelöscht wird. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.
Empfehlungen zur Abhilfe:
Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.
Discovery:S3/BucketEnumeration.Unusual
Eine IAM-Entität hat eine S3-API aufgerufen, um S3-Buckets in Ihrem Netzwerk zu erkennen.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, ist der Schweregrad des Ergebnisses hoch.
Diese Erkenntnis informiert Sie darüber, dass eine IAM-Entität eine S3-API aufgerufen hat, um S3-Buckets in Ihrer Umgebung zu erkennen, z. B. ListBuckets. Diese Art von Aktivität steht im Zusammenhang mit der Erkennungsphase eines Angriffs, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS Umgebung für einen umfassenderen Angriff anfällig ist. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise hatte diese IAM-Entität noch nie zuvor diese Art von API aufgerufen, oder die API wurde von einem ungewöhnlichen Ort aus aufgerufen.
Empfehlungen zur Abhilfe:
Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.
Persistence:IAMUser/NetworkPermissions
Eine IAM-Entität hat eine API aufgerufen, die üblicherweise zur Änderung der Netzwerkzugriffsberechtigungen für Sicherheitsgruppen, Routen und ACLs in Ihrem AWS Konto verwendet wird.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.
Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Diese Erkenntnis wird ausgelöst, wenn Netzwerkkonfigurationseinstellungen unter verdächtigen Umständen geändert werden, z. B. wenn ein Prinzipal die CreateSecurityGroup-API aufruft, ohne dies jemals in der Vergangenheit getan zu haben. Angreifer versuchen häufig, Sicherheitsgruppen zu ändern, um bestimmten eingehenden Datenverkehr über verschiedene Ports zuzulassen und so ihren Zugriff auf eine Instance zu verbessern. EC2
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
Persistence:IAMUser/ResourcePermissions
Ein Principal hat eine API aufgerufen, die üblicherweise verwendet wird, um die Sicherheitszugriffsrichtlinien verschiedener Ressourcen in Ihrem System zu ändern. AWS-Konto
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die aufgerufene API jedoch temporäre AWS Anmeldeinformationen verwendet, die auf einer Instance erstellt wurden, ist der Schweregrad des Fehlers hoch.
Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Baseline unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Dieses Ergebnis wird ausgelöst, wenn eine Änderung an Richtlinien oder Berechtigungen festgestellt wird, die mit AWS Ressourcen verknüpft sind, z. B. wenn ein Principal in Ihrer AWS Umgebung die PutBucketPolicy API aufruft, ohne dies in der Vergangenheit getan zu haben. Einige Services, z. B. Amazon S3, unterstützen ressourcengebundene Berechtigungen, die einem oder mehreren Prinzipalen Zugriff auf die Ressource gewähren. Mit gestohlenen Anmeldeinformationen können Angreifer die einer Ressource zugeordneten Richtlinien ändern, um sich künftig Zugriff auf diese Ressource zu verschaffen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
Persistence:IAMUser/UserPermissions
Ein Principal hat eine API aufgerufen, die üblicherweise zum Hinzufügen, Ändern oder Löschen von IAM-Benutzern, -Gruppen oder -Richtlinien in Ihrem Konto verwendet wird. AWS
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.
Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Dieses Ergebnis wird durch verdächtige Änderungen an den benutzerbezogenen Berechtigungen in Ihrer AWS Umgebung ausgelöst, z. B. wenn ein Principal in Ihrer AWS
Umgebung die AttachUserPolicy API aufruft, ohne dies in der Vergangenheit getan zu haben. Angreifer können gestohlene Anmeldeinformationen verwenden, um neue Benutzer zu erstellen, Zugriffsrichtlinien für bestehende Benutzer hinzuzufügen oder Zugriffsschlüssel zu erstellen, um ihren Zugriff auf ein Konto zu maximieren, selbst wenn ihr ursprünglicher Zugangspunkt geschlossen ist. Beispielsweise könnte der Besitzer des Kontos feststellen, dass ein bestimmter IAM-Benutzer oder ein bestimmtes IAM-Passwort gestohlen wurde, und es aus dem Konto löschen. Andere Benutzer, die von einem betrügerisch erstellten Administratorprinzipal erstellt wurden, werden jedoch möglicherweise nicht gelöscht, sodass der Angreifer auf ihr AWS Konto zugreifen kann.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
PrivilegeEscalation:IAMUser/AdministrativePermissions
Ein Prinzipal hat versucht, sich selbst eine hochgradig weitreichende Richtlinie zuzuweisen.
Standard-Schweregrad: Niedrig*
Anmerkung
Wenn der Angriff auf die Berechtigungseskalation nicht erfolgreich war, ist der Schweregrad des Ergebnises „Niedrig“, wenn der Angriff erfolgreich war, ist der Schweregrad „Mittel“.
Dieses Ergebnis deutet darauf hin, dass eine bestimmte IAM-Entität in Ihrer AWS Umgebung ein Verhalten zeigt, das auf einen Angriff zur Eskalation von Rechten hinweisen kann. Diese Erkenntnis wird ausgelöst, wenn ein IAM-Benutzer oder eine Rolle versucht, sich selbst eine hochgradig weitreichende Richtlinie zuzuweisen. Wenn der/die entsprechende Benutzer oder Rolle nicht über administrative Rechte verfügen darf, können entweder die Anmeldeinformationen des Benutzers kompromittiert sein oder die Berechtigungen der Rolle wurden nicht ordnungsgemäß konfiguriert.
Angreifer können gestohlene Anmeldeinformationen verwenden, um neue Benutzer zu erstellen, Zugriffsrichtlinien für bestehende Benutzer hinzuzufügen oder Zugriffsschlüssel zu erstellen, um ihren Zugriff auf ein Konto zu maximieren, selbst wenn ihr ursprünglicher Zugangspunkt geschlossen ist. Der Eigentümer des Kontos stellt möglicherweise fest, dass ein bestimmter IAM-Benutzer oder ein Passwort gestohlen wurden, und löscht diese aus dem Konto. Hierbei entfernt er aber möglicherweise andere Benutzer nicht, die vom betrügerisch angelegten Admin-Prinzipal angelegt wurden, sodass ihr AWS -Konto dem Angreifer weiterhin zur Verfügung steht.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
Recon:IAMUser/NetworkPermissions
Ein Principal hat eine API aufgerufen, die üblicherweise verwendet wird, um die Netzwerkzugriffsberechtigungen für Sicherheitsgruppen, Routen und in Ihrem Konto zu ändern. ACLs AWS
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.
Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Diese Erkenntnis wird ausgelöst, wenn Ressourcen-Zugriffsberechtigungen in Ihrem AWS
-Konto unter fragwürdigen Umständen untersucht werden. Dies trifft beispielsweise dann zu, wenn ein Prinzipal zum ersten Mal die DescribeInstances-API aufgerufen hat. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
Recon:IAMUser/ResourcePermissions
Ein Principal hat eine API aufgerufen, die üblicherweise verwendet wird, um die Sicherheitszugriffsrichtlinien verschiedener Ressourcen in Ihrem Konto zu ändern. AWS
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.
Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein bestimmter Benutzer) in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Diese Erkenntnis wird ausgelöst, wenn Ressourcen-Zugriffsberechtigungen in Ihrem AWS
-Konto unter fragwürdigen Umständen untersucht werden. Dies trifft beispielsweise dann zu, wenn ein Prinzipal zum ersten Mal die DescribeInstances-API aufgerufen hat. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
Recon:IAMUser/UserPermissions
Ein Prinzipal hat eine API aufgerufen, die üblicherweise dazu verwendet wird, IAM-Benutzer, Gruppen oder Richtlinien in Ihrem AWS -Konto hinzuzufügen, zu ändern oder zu löschen.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, ist der Schweregrad des Fehlers hoch.
Dieses Ergebnis wird ausgelöst, wenn Benutzerberechtigungen in Ihrer AWS Umgebung unter verdächtigen Umständen geprüft werden. Dies trifft beispielsweise dann zu, wenn ein Prinzipal (Root-Benutzer des AWS-Kontos, IAM-Rolle, oder Benutzer) zum ersten Mal die ListInstanceProfilesForRole-API aufgerufen hat. Ein Angreifer könnte gestohlene Anmeldeinformationen verwenden, um diese Art der Erkennung Ihrer AWS Ressourcen durchzuführen, um wertvollere Anmeldeinformationen zu finden oder die Fähigkeiten der Anmeldeinformationen zu ermitteln, über die er bereits verfügt.
Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Dieser Prinzipal hat diese API bisher nicht aufgerufen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
ResourceConsumption:IAMUser/ComputeResources
Ein Principal hat eine API aufgerufen, die üblicherweise zum Starten von Compute-Ressourcen wie EC2 Instances verwendet wird.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.
Dieses Ergebnis wird ausgelöst, wenn EC2 Instanzen im aufgelisteten Konto in Ihrer AWS Umgebung unter verdächtigen Umständen gestartet werden. Dieses Ergebnis deutet darauf hin, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Baseline unterscheidet, z. B. wenn ein Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein IAM-Benutzer) die RunInstances API aufgerufen hat, ohne dies in der Vergangenheit getan zu haben. Dies kann ein Anzeichen für ein Angreifer sein, der gestohlene Anmeldeinformationen nutzt, um Rechenzeit zu stehlen (beispielsweise für das Mining von Kryptowährung, oder zum Entschlüsseln von Passwörtern). Es kann auch ein Hinweis darauf sein, dass ein Angreifer eine EC2 Instanz in Ihrer AWS Umgebung und deren Anmeldeinformationen verwendet, um den Zugriff auf Ihr Konto aufrechtzuerhalten.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
Stealth:IAMUser/LoggingConfigurationModified
Ein Principal hat eine API aufgerufen, die üblicherweise verwendet wird, um die CloudTrail Protokollierung zu beenden, bestehende Protokolle zu löschen und auf andere Weise Spuren von Aktivitäten in Ihrem AWS Konto zu beseitigen.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.
Diese Erkenntnis wird ausgelöst, wenn die Protokollierungskonfiguration in dem aufgeführten AWS
-Konto in Ihrer Umgebung unter fragwürdigen Umständen geändert wird. Dieses Ergebnis informiert Sie darüber, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Baseline unterscheidet, z. B. wenn ein Principal (Root-Benutzer des AWS-Kontos, eine IAM-Rolle oder ein IAM-Benutzer) die StopLogging API aufgerufen hat, ohne dies in der Vergangenheit getan zu haben. Dies kann darauf hinweisen, dass ein Angreifer versucht, seine Spuren zu verwischen, indem er alle Anzeichen von Aktivität entfernt.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
UnauthorizedAccess:IAMUser/ConsoleLogin
Es wurde eine ungewöhnliche Konsolenanmeldung durch einen Principal in Ihrem AWS Konto beobachtet.
Standard-Schweregrad: Mittel*
Anmerkung
Der Standard-Schweregrad dieser Erkenntnis ist Mittel. Wenn die API jedoch mit temporären AWS Anmeldeinformationen aufgerufen wird, die auf einer Instance erstellt wurden, hat das Ergebnis den Schweregrad Hoch.
Dieses Ergebnis wird ausgelöst, wenn eine Konsolenanmeldung unter fragwürdigen Umständen erkannt wird. Dies ist beispielsweise der Fall, wenn ein Principal, der dies in der Vergangenheit noch nicht getan hat, die ConsoleLogin API von einem never-before-used Client oder einem ungewöhnlichen Standort aus aufgerufen hat. Dies könnte ein Hinweis darauf sein, dass gestohlene Anmeldeinformationen verwendet wurden, um auf Ihr AWS Konto zuzugreifen, oder dass ein gültiger Benutzer auf ungültige oder weniger sichere Weise auf das Konto zugreift (z. B. nicht über ein zugelassenes VPN).
Dieses Ergebnis informiert Sie darüber, dass ein bestimmter Principal in Ihrer AWS Umgebung ein Verhalten zeigt, das sich von der festgelegten Ausgangslage unterscheidet. Für diesen Prinzipal gibt es keinen vorherigen Verlauf von Anmeldeaktivitäten mit dieser Client-Anwendung von diesem bestimmten Standort aus.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
UnauthorizedAccess:EC2/TorIPCaller
Ihre EC2 Instance empfängt eingehende Verbindungen von einem Tor-Ausgangsknoten.
Standard-Schweregrad: Mittel
Dieser Befund informiert dich darüber, dass eine EC2 Instanz in deiner AWS Umgebung eingehende Verbindungen von einem Tor-Ausgangsknoten empfängt. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dieses Ergebnis kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, mit der Absicht, die wahre Identität des Angreifers zu verbergen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.
Backdoor:EC2/XORDDOS
Eine EC2 Instanz versucht, mit einer IP-Adresse zu kommunizieren, die mit XOR DDo S-Malware verknüpft ist.
Standard-Schweregrad: Hoch
Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instanz in Ihrer AWS Umgebung versucht, mit einer IP-Adresse zu kommunizieren, die mit XOR DDo S-Malware in Verbindung steht. Diese EC2 Instanz ist möglicherweise kompromittiert. XOR DDo S ist eine trojanische Malware, die Linux-Systeme kapert. Um Zugriff auf das System zu erhalten, startet sie einen Brute-Force-Angriff, um das Passwort für Secure Shell (SSH)-Services auf Linux zu ermitteln. Nachdem die SSH-Anmeldeinformationen abgerufen wurden und die Anmeldung erfolgreich war, verwendet es Root-Benutzerrechte, um ein Skript auszuführen, das XOR S herunterlädt und installiert. DDo Diese Schadsoftware wird dann als Teil eines Botnetzes verwendet, um Distributed-Denial-of-Service (DDoS) -Angriffe gegen andere Ziele zu starten.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.
Behavior:IAMUser/InstanceLaunchUnusual
Ein Benutzer hat eine EC2 Instanz eines ungewöhnlichen Typs gestartet.
Standard-Schweregrad: Hoch
Dieses Ergebnis informiert Sie darüber, dass ein bestimmter Benutzer in Ihrer AWS Umgebung ein Verhalten zeigt, das sich vom festgelegten Ausgangswert unterscheidet. Dieser Benutzer hat noch nie zuvor eine EC2 Instance dieses Typs gestartet. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
CryptoCurrency:EC2/BitcoinTool.A
EC2 Die Instanz kommuniziert mit Bitcoin-Mining-Pools.
Standard-Schweregrad: Hoch
Dieses Ergebnis informiert Sie darüber, dass eine EC2 Instanz in Ihrer AWS Umgebung mit Bitcoin-Mining-Pools kommuniziert. Beim Mining von Kryptowährungen werden Ressourcen in einem Pool kombiniert, damit die Verarbeitungsleistung über ein Netzwerk gemeinsam genutzt werden kann. Der Gewinn wird dann nach Maßgabe der zur Lösung des Blocks beigetragenen Arbeit aufgeteilt. Sofern Sie diese EC2 Instance nicht für Bitcoin-Mining verwenden, ist Ihre EC2 Instance möglicherweise gefährdet.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, kann Ihre Instance kompromittiert sein. Weitere Informationen finden Sie unter Behebung einer potenziell gefährdeten Amazon-Instance EC2.
UnauthorizedAccess:IAMUser/UnusualASNCaller
Eine API wurde von einer IP-Adresse eines unüblichen Netzwerks aufgerufen.
Standard-Schweregrad: Hoch
Dieses Ergebnis informiert Sie darüber, dass eine bestimmte Aktivität von einer IP-Adresse eines unüblichen Netzwerks aufgerufen wurde. Dieses Netzwerk wurde im gesamten AWS -Nutzungsverlauf des beschriebenen Benutzers noch nie beobachtet. Diese Aktivität kann eine Konsolenanmeldung, den Versuch, eine EC2 Instance zu starten, einen neuen IAM-Benutzer zu erstellen, Ihre AWS Rechte zu ändern usw. beinhalten. Dies kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen.
Empfehlungen zur Abhilfe:
Wenn solche Aktivitäten unerwartet auftreten, können Ihre Anmeldeinformationen kompromittiert sein. Weitere Informationen finden Sie unter Behebung potenziell AWS kompromittierter Anmeldedaten.
