GuardDuty S3-Suchttypen - Amazon GuardDuty
Discovery:S3/AnomalousBehaviorDiscovery:S3/MaliciousIPCallerDiscovery:S3/MaliciousIPCaller.CustomDiscovery:S3/TorIPCallerExfiltration:S3/AnomalousBehaviorExfiltration:S3/MaliciousIPCallerImpact:S3/AnomalousBehavior.DeleteImpact:S3/AnomalousBehavior.PermissionImpact:S3/AnomalousBehavior.WriteImpact:S3/MaliciousIPCallerPenTest:S3/KaliLinuxPenTest:S3/ParrotLinuxPenTest:S3/PentooLinuxPolicy:S3/AccountBlockPublicAccessDisabledPolicy:S3/BucketAnonymousAccessGrantedPolicy:S3/BucketBlockPublicAccessDisabledPolicy:S3/BucketPublicAccessGrantedStealth:S3/ServerAccessLoggingDisabledUnauthorizedAccess:S3/MaliciousIPCaller.CustomUnauthorizedAccess:S3/TorIPCaller

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty S3-Suchttypen

Die folgenden Ergebnisse sind spezifisch für Amazon S3 S3-Ressourcen und haben den Ressourcentyp, S3Bucket ob es sich bei der Datenquelle um CloudTrail Datenereignisse für S3 oder AccessKey um CloudTrail Verwaltungsereignisse handelt. Der Schweregrad und die Details der Ergebnisse unterscheiden sich je nach Ergebnistyp und Berechtigung, die dem Bucket zugeordnet sind.

Die hier aufgeführten Erkenntnisse beinhalten die Datenquellen und Modelle, die zur Generierung dieses Erkenntnistyps verwendet wurden. Weitere Informationen zu Datenquellen und Modellen finden Sie unter Grundlegende Datenquellen.

Wichtig

Ergebnisse mit einer Datenquelle für CloudTrail Datenereignisse für S3 werden nur generiert, wenn Sie den S3-Schutz aktiviert haben GuardDuty. Der S3-Schutz ist standardmäßig für alle Konten aktiviert, die nach dem 31. Juli 2020 erstellt wurden. Weitere Informationen zur Aktivierung oder Deaktivierung von S3-Schutz finden Sie unter Amazon S3 S3-Schutz bei Amazon GuardDuty

Für alle S3Bucket-Arten von Erkenntnissen wird empfohlen, die Berechtigungen für den betreffenden Bucket und die Berechtigungen aller Benutzer, die an dem Erkenntniss beteiligt waren, zu überprüfen. Falls die Aktivität unerwartet ist, lesen Sie die Empfehlungen zur Problembehebung unter Behebung eines potenziell gefährdeten S3-Buckets.

Discovery:S3/AnomalousBehavior

Eine API, die häufig zum Auffinden von S3-Objekten verwendet wird, wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Niedrig

  • Datenquelle: CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass eine IAM-Entität eine S3-API aufgerufen hat, um S3-Buckets in Ihrer Umgebung zu erkennen, z. B. ListObjects. Diese Art von Aktivität steht im Zusammenhang mit der Erkennungsphase eines Angriffs, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS Umgebung für einen umfassenderen Angriff anfällig ist. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise ruft eine IAM-Entität ohne vorherige Historie eine S3-API auf, oder eine IAM-Entität ruft eine S3-API von einem ungewöhnlichen Ort aus auf.

Diese API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Techniken von Angreifern in Verbindung gebracht werden. Es verfolgt verschiedene Faktoren der API-Anfragen, wie z. B. den Nutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische API, die angefordert wurde, den angeforderten Bucket und die Anzahl der durchgeführten API-Aufrufe. Weitere Informationen darüber, welche Faktoren der API-Anforderung für die Benutzeridentität, die die Anforderung aufgerufen hat, ungewöhnlich sind, finden Sie in den Erkenntnisdetails.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Discovery:S3/MaliciousIPCaller

Eine S3-API, die häufig zur Erkennung von Ressourcen in einer AWS Umgebung verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Hoch

  • Datenquelle: CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein S3-API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit der Erkennungsphase eines Angriffs in Verbindung gebracht, in der ein Angreifer Informationen über Ihre AWS Umgebung sammelt. Beispiele hierfür sind GetObjectAcl und ListObjects.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Discovery:S3/MaliciousIPCaller.Custom

Eine S3-API wurde von einer IP-Adresse aufgerufen, die sich auf einer benutzerdefinierten Bedrohungsliste befindet.

Standard-Schweregrad: Hoch

  • Datenquelle: CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass eine S3-API, wie z. B. GetObjectAcl oder ListObjects von einer IP-Adresse aufgerufen wurde, die auf einer von Ihnen hochgeladenen Bedrohungsliste steht. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt. Die beobachtete API wird häufig mit der Erkennungsphase eines Angriffs in Verbindung gebracht, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS -Umgebung für einen umfassenderen Angriff anfällig ist.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Discovery:S3/TorIPCaller

Eine S3-API wurde von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen.

Standard-Schweregrad: Mittel

  • Datenquelle: CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass eine S3-API, wie GetObjectAcl oderListObjects, von einer IP-Adresse des Tor-Ausgangsknotens aus aufgerufen wurde. Diese Art von Aktivität steht im Zusammenhang mit der Erkennungsphase eines Angriffs, in der ein Angreifer Informationen sammelt, um festzustellen, ob Ihre AWS Umgebung für einen umfassenderen Angriff anfällig ist. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dies kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, um die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Exfiltration:S3/AnomalousBehavior

Eine IAM-Entität hat eine S3-API auf verdächtige Weise aufgerufen.

Standard-Schweregrad: Hoch

  • Datenquelle: CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass eine IAM-Entität API-Aufrufe tätigt, die einen S3-Bucket betreffen, und dass sich diese Aktivität von der festgelegten Basisaktivität dieser Entität unterscheidet. Der in dieser Aktivität verwendete API-Aufruf steht im Zusammenhang mit der Exfiltrationsphase eines Angriffs, in der ein Angreifer versucht, Daten zu sammeln. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise ruft eine IAM-Entität ohne vorherige Historie eine S3-API auf, oder eine IAM-Entität ruft eine S3-API von einem ungewöhnlichen Ort aus auf.

Diese API wurde anhand des ML-Modells (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Techniken von Angreifern in Verbindung gebracht werden. Es verfolgt verschiedene Faktoren der API-Anfragen, wie z. B. den Nutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische API, die angefordert wurde, den angeforderten Bucket und die Anzahl der durchgeführten API-Aufrufe. Weitere Informationen darüber, welche Faktoren der API-Anforderung für die Benutzeridentität, die die Anforderung aufgerufen hat, ungewöhnlich sind, finden Sie in den Erkenntnisdetails.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Exfiltration:S3/MaliciousIPCaller

Eine S3-API, die üblicherweise zum Sammeln von Daten aus einer AWS Umgebung verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Hoch

  • Datenquelle: CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein S3-API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit Exfiltrationstaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten aus Ihrem Netzwerk zu sammeln. Beispiele hierfür sind GetObject und CopyObject.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Impact:S3/AnomalousBehavior.Delete

Eine IAM-Entität hat eine S3-API aufgerufen, die versucht, Daten auf verdächtige Weise zu löschen.

Standard-Schweregrad: Hoch

  • Datenquelle: CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass eine IAM-Entität in Ihrer AWS Umgebung API-Aufrufe tätigt, die einen S3-Bucket betreffen, und dass sich dieses Verhalten von der festgelegten Baseline dieser Entität unterscheidet. Der in dieser Aktivität verwendete API-Aufruf steht im Zusammenhang mit einem Angriff, bei dem versucht wird, Daten zu löschen. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise ruft eine IAM-Entität ohne vorherige Historie eine S3-API auf, oder eine IAM-Entität ruft eine S3-API von einem ungewöhnlichen Ort aus auf.

Diese API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Techniken von Angreifern in Verbindung gebracht werden. Es verfolgt verschiedene Faktoren der API-Anfragen, wie z. B. den Nutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische API, die angefordert wurde, den angeforderten Bucket und die Anzahl der durchgeführten API-Aufrufe. Weitere Informationen darüber, welche Faktoren der API-Anforderung für die Benutzeridentität, die die Anforderung aufgerufen hat, ungewöhnlich sind, finden Sie in den Erkenntnisdetails.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Wir empfehlen eine Prüfung des Inhalts Ihres S3-Buckets, um festzustellen, ob die vorherige Objektversion wiederhergestellt werden kann oder sollte.

Impact:S3/AnomalousBehavior.Permission

Eine API, die häufig zum Festlegen der Berechtigungen für Zugriffssteuerungslisten (ACL) verwendet wird, wurde auf ungewöhnliche Weise aufgerufen.

Standard-Schweregrad: Hoch

  • Datenquelle: CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass eine IAM-Entität in Ihrer AWS Umgebung eine Bucket-Richtlinie oder ACL für die aufgelisteten S3-Buckets geändert hat. Durch diese Änderung können Ihre S3-Buckets allen authentifizierten Benutzern öffentlich zugänglich gemacht werden. AWS

Diese API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Techniken von Angreifern in Verbindung gebracht werden. Es verfolgt verschiedene Faktoren der API-Anfragen, wie z. B. den Nutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische API, die angefordert wurde, den angeforderten Bucket und die Anzahl der durchgeführten API-Aufrufe. Weitere Informationen darüber, welche Faktoren der API-Anforderung für die Benutzeridentität, die die Anforderung aufgerufen hat, ungewöhnlich sind, finden Sie in den Erkenntnisdetails.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Wir empfehlen eine Prüfung des Inhalts Ihres S3-Buckets, um sicherzustellen, dass kein unerwarteter öffentlicher Zugriff auf Objekte gewährt wurde.

Impact:S3/AnomalousBehavior.Write

Eine IAM-Entität hat eine S3-API aufgerufen, die versucht, Daten auf verdächtige Weise zu schreiben.

Standard-Schweregrad: Mittel

  • Datenquelle: CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass eine IAM-Entität in Ihrer AWS Umgebung API-Aufrufe tätigt, die einen S3-Bucket betreffen, und dass sich dieses Verhalten von der festgelegten Baseline dieser Entität unterscheidet. Der in dieser Aktivität verwendete API-Aufruf steht im Zusammenhang mit einem Angriff, bei dem versucht wird, Daten zu schreiben. Diese Aktivität ist verdächtig, da die Art und Weise, wie die IAM-Entität die API aufgerufen hat, ungewöhnlich war. Beispielsweise ruft eine IAM-Entität ohne vorherige Historie eine S3-API auf, oder eine IAM-Entität ruft eine S3-API von einem ungewöhnlichen Ort aus auf.

Diese API wurde durch das ML-Modell (Machine Learning) zur Erkennung GuardDuty von Anomalien als anomal identifiziert. Das ML-Modell wertet alle API-Anfragen an Ihr Konto aus und identifiziert anomale Ereignisse, die mit Techniken von Angreifern in Verbindung gebracht werden. Es verfolgt verschiedene Faktoren der API-Anfragen, wie z. B. den Nutzer, der die Anfrage gestellt hat, den Standort, von dem aus die Anfrage gestellt wurde, die spezifische API, die angefordert wurde, den angeforderten Bucket und die Anzahl der durchgeführten API-Aufrufe. Weitere Informationen darüber, welche Faktoren der API-Anforderung für die Benutzeridentität, die die Anforderung aufgerufen hat, ungewöhnlich sind, finden Sie in den Erkenntnisdetails.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Wir empfehlen eine Prüfung des Inhalts Ihres S3-Buckets, um sicherzustellen, dass bei diesem API-Aufruf keine schädlichen oder unautorisierten Daten geschrieben wurden.

Impact:S3/MaliciousIPCaller

Eine S3-API, die häufig zur Manipulation von Daten oder Prozessen in einer AWS Umgebung verwendet wird, wurde von einer bekannten bösartigen IP-Adresse aus aufgerufen.

Standard-Schweregrad: Hoch

  • Datenquelle: CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein S3-API-Vorgang von einer IP-Adresse aus aufgerufen wurde, die mit bekannten böswilligen Aktivitäten in Verbindung steht. Die beobachtete API wird häufig mit Schlagtaktiken in Verbindung gebracht, bei denen ein Angreifer versucht, Daten in Ihrer Umgebung zu manipulieren, zu unterbrechen oder zu zerstören. AWS Beispiele hierfür sind PutObject und PutObjectAcl.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

PenTest:S3/KaliLinux

Eine S3-API wurde von einem Kali-Linux-Computer aus aufgerufen.

Standard-Schweregrad: Mittel

  • Datenquelle: CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Kali Linux ausgeführt wird, S3-API-Aufrufe mit Anmeldeinformationen durchführt, die zu Ihrem AWS Konto gehören. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert. Kali Linux ist ein beliebtes Tool für Penetrationstests, das von Sicherheitsexperten verwendet wird, um Schwachstellen in EC2-Instances zu erkennen, für die Patches erforderlich sind. Angreifer verwenden dieses Tool auch, um Schwachstellen in der EC2-Konfiguration zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

PenTest:S3/ParrotLinux

Eine S3-API wurde von einem Computer mit Parrot Security Linux aufgerufen.

Standard-Schweregrad: Mittel

  • Datenquelle: CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Parrot Security Linux ausgeführt wird, S3-API-Aufrufe mit Anmeldeinformationen durchführt, die zu Ihrem AWS Konto gehören. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert. Parrot Security Linux ist ein beliebtes Tool für Penetrationstests, das von Sicherheitsexperten verwendet wird, um Schwachstellen in EC2-Instances zu erkennen, für die Patches erforderlich sind. Dieses Tool wird allerdings auch von Angreifern verwendet, um Schwächen in der EC2-Konfiguration zu finden und nicht autorisierten Zugriff auf Ihre AWS -Umgebung zu erhalten.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

PenTest:S3/PentooLinux

Eine S3-API wurde von einem Pentoo-Linux-Computer aus aufgerufen.

Standard-Schweregrad: Mittel

  • Datenquelle: CloudTrail Datenereignisse für S3

Dieses Ergebnis informiert Sie darüber, dass ein Computer, auf dem Pentoo Linux ausgeführt wird, S3-API-Aufrufe mit Anmeldeinformationen durchführt, die zu Ihrem AWS Konto gehören. Ihre Anmeldeinformationen wurden möglicherweise kompromittiert. Pentoo Linux ist ein beliebtes Tool für Penetrationstests, das von Sicherheitsexperten verwendet wird, um Schwachstellen in EC2-Instances zu erkennen, für die Patches erforderlich sind. Angreifer verwenden dieses Tool auch, um Schwachstellen in der EC2-Konfiguration zu finden und sich unbefugten Zugriff auf Ihre AWS Umgebung zu verschaffen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Policy:S3/AccountBlockPublicAccessDisabled

Eine IAM-Entität hat eine API aufgerufen, die verwendet wird, um Amazon S3 Block Public Access auf einen Bucket zu deaktivieren.

Standard-Schweregrad: Niedrig

  • Datenquelle: CloudTrail Verwaltungsereignisse

Diese Erkenntnis informiert Sie darüber, dass Amazon S3 Block Public Access auf Kontoebene deaktiviert wurde. Wenn S3 Block Public Access aktiviert ist, werden entsprechende Einstellungen verwendet, um die auf den Bucket angewendeten Richtlinien oder Zugriffssteuerungslisten (ACL) zu filtern, um eine unbeabsichtigte öffentliche Offenlegung von Daten zu verhindern.

In der Regel ist S3 Block Public Access deaktiviert, um den öffentlichen Zugriff auf einen Bucket oder die Objekte im Bucket zuzulassen. Wenn S3 Block Public Access für ein Konto deaktiviert ist, wird der Zugriff auf Ihre Buckets durch die Richtlinien, ACLs oder Einstellungen von Block Public Access auf Bucket-Ebene gesteuert, die für Ihre individuellen Buckets gelten. Dies bedeutet nicht, dass der Bucket öffentlich freigegeben ist. Sie sollten die auf den Bucket angewendeten Berechtigungen jedoch überprüfen, um sicherzustellen, dass die passenden Zugangsebenen angewendet werden.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Policy:S3/BucketAnonymousAccessGranted

Ein IAM-Prinzipal hat den Zugriff auf einen S3-Bucket auf das Internet gewährt, indem er Bucket-Richtlinien oder ACLs geändert hat.

Standard-Schweregrad: Hoch

  • Datenquelle: CloudTrail Verwaltungsereignisse

Diese Erkenntnis informiert Sie darüber, dass der aufgelistete S3-Bucket im Internet öffentlich zugänglich gemacht wurde, weil eine IAM-Entität eine Bucket-Richtlinie oder ACL für diesen Bucket geändert hat. Nachdem eine Änderung an der Richtlinie oder der ACL erkannt wurde, ermittelt anhand Automated Reasoning auf Basis von Zelkova, ob der Bucket öffentlich zugänglich ist.

Anmerkung

Wenn die ACLs oder Bucket-Richtlinien eines Buckets so konfiguriert sind, dass sie explizit oder alles verweigern, spiegelt diese Erkenntnis möglicherweise nicht den aktuellen Status des Buckets wider. Diese Erkenntnis spiegelt nicht die Einstellungen für den öffentlichen Zugriff in S3, die möglicherweise für Ihren S3-Bucket aktiviert wurden, wider. In solchen Fällen wird der effectivePermission-Wert im Ergebnis als UNKNOWN markiert.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Policy:S3/BucketBlockPublicAccessDisabled

Ein IAM-Prinzipal hat eine API aufgerufen, die verwendet wird, um S3 Block Public Access auf einen Bucket zu deaktivieren.

Standard-Schweregrad: Niedrig

  • Datenquelle: CloudTrail Verwaltungsereignisse

Diese Erkenntnis informiert Sie darüber, dass Block Public Access für den S3-Bucket deaktiviert wurde. Wenn S3 Block Public Access aktiviert ist, werden entsprechende Einstellungen verwendet, um die auf den Bucket angewendeten Richtlinien oder Zugriffssteuerungslisten (ACL) zu filtern, um eine unbeabsichtigte öffentliche Offenlegung von Daten zu verhindern.

In der Regel ist S3 Block Public Access deaktiviert, um den öffentlichen Zugriff auf einen Bucket oder die Objekte im Bucket zuzulassen. Wenn S3 Block Public Access für diesen Bucket deaktiviert ist, wird der Zugriff auf den Bucket durch Richtlinien oder ACLs, gesteuert, die auf den Bucket angewendet sind. Dies bedeutet nicht, dass der Bucket öffentlich freigegeben ist. Sie sollten die auf den Bucket angewendeten Richtlinien und ACLs jedoch überprüfen, um sicherzustellen, dass die passenden Berechtigungen angewendet werden.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Policy:S3/BucketPublicAccessGranted

Ein IAM-Prinzipal hat allen AWS Benutzern öffentlichen Zugriff auf einen S3-Bucket gewährt, indem er die Bucket-Richtlinien oder ACLs geändert hat.

Standard-Schweregrad: Hoch

  • Datenquelle: Verwaltungsereignisse CloudTrail

Dieses Ergebnis informiert Sie darüber, dass der aufgelistete S3-Bucket allen authentifizierten AWS Benutzern öffentlich zugänglich gemacht wurde, weil eine IAM-Entität eine Bucket-Richtlinie oder ACL für diesen S3-Bucket geändert hat. Nachdem eine Änderung an der Richtlinie oder der ACL erkannt wurde, ermittelt anhand Automated Reasoning auf Basis von Zelkova, ob der Bucket öffentlich zugänglich ist.

Anmerkung

Wenn die ACLs oder Bucket-Richtlinien eines Buckets so konfiguriert sind, dass sie explizit oder alles verweigern, spiegelt diese Erkenntnis möglicherweise nicht den aktuellen Status des Buckets wider. Diese Erkenntnis spiegelt nicht die Einstellungen für den öffentlichen Zugriff in S3, die möglicherweise für Ihren S3-Bucket aktiviert wurden, wider. In solchen Fällen wird der effectivePermission-Wert im Ergebnis als UNKNOWN markiert.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

Stealth:S3/ServerAccessLoggingDisabled

S3-Server-Zugriffsprotokollierung für einen Bucket wurde deaktiviert.

Standard-Schweregrad: Niedrig

  • Datenquelle: Verwaltungsereignisse CloudTrail

Dieses Ergebnis informiert Sie darüber, dass die Protokollierung des S3-Serverzugriffs für einen Bucket in Ihrer AWS Umgebung deaktiviert ist. Wenn diese Option deaktiviert ist, werden keine Webanforderungsprotokolle für Versuche erstellt, auf den identifizierten S3-Bucket zuzugreifen. Aufrufe der S3-Management-API an den Bucket, z. B. DeleteBucket, werden jedoch weiterhin verfolgt. Wenn die S3-Datenereignisprotokollierung CloudTrail für diesen Bucket aktiviert ist, werden Webanfragen für Objekte innerhalb des Buckets weiterhin verfolgt. Das Deaktivieren der Protokollierung ist eine Methode, die häufig von nicht autorisierten Benutzern verwendet wird, um ihre Spuren zu verwischen. Weitere Informationen zu S3-Protokollen finden Sie unter S3-Serverzugriffsprotokollierung und Optionen für S3-Protokollierung.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Eine S3-API wurde von einer IP-Adresse aufgerufen, die sich auf einer benutzerdefinierten Bedrohungsliste befindet.

Standard-Schweregrad: Hoch

  • Datenquelle: CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass ein S3-API-Vorgang, z. B. PutObject oderPutObjectAcl , von einer IP-Adresse aufgerufen wurde, die auf einer von Ihnen hochgeladenen Bedrohungsliste steht. Die mit dieser Erkenntnis verknüpfte Bedrohungsliste ist im Abschnitt Zusätzliche Informationen der Details zu einer Erkenntnis aufgeführt.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.

UnauthorizedAccess:S3/TorIPCaller

Eine S3-API wurde von einer Tor-Ausgangsknotens-IP-Adresse aufgerufen.

Standard-Schweregrad: Hoch

  • Datenquelle: CloudTrail Datenereignisse für S3

Diese Erkenntnis informiert Sie darüber, dass ein S3-API-Vorgang, wie zum Beispiel PutObject oder PutObjectAcl, von einer IP-Adresse eines Tor-Ausgangsknotens aus aufgerufen wurde. Tor ist eine Software, die anonyme Kommunikation ermöglicht. Sie verschlüsselt Kommunikation und leitet diese beliebig durch Relays zwischen einer Reihe von Netzwerkknoten. Der letzte Tor-Knoten wird als Exit-Knoten bezeichnet. Dieser Befund kann auf einen unbefugten Zugriff auf Ihre AWS Ressourcen hinweisen, um die wahre Identität des Angreifers zu verbergen.

Empfehlungen zur Abhilfe:

Wenn diese Aktivität für den zugehörigen Prinzipal unerwartet ist, kann dies darauf hindeuten, dass die Anmeldeinformationen offengelegt wurden oder dass Ihre S3-Berechtigungen nicht restriktiv genug sind. Weitere Informationen finden Sie unter Behebung eines potenziell gefährdeten S3-Buckets.