Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
GuardDuty Tipos de búsqueda en S3
Los siguientes hallazgos son específicos de los recursos de Amazon S3 y tendrán un tipo de recurso deS3Bucket si la fuente de datos son eventos deCloudTrail datos para S3 oAccessKey si la fuente de datos son eventosCloudTrail de administración. La gravedad y los detalles de los resultados variarán en función del tipo de resultado y el permiso asociado con el bucket.
Los hallazgos que se enumeran aquí incluyen las fuentes de datos y los modelos utilizados para generar ese tipo de hallazgo. Para obtener más información sobre fuentes de datos y modelos, consulteorígenes de orígenes de orígenes de orígenes.
importante
Los hallazgos con una fuente de datos de eventos deCloudTrail datos para S3 solo se generan si tiene habilitada la protección de S3 para GuardDuty. La protección S3 está habilitada de forma predeterminada en todas las cuentas creadas después del 31 de julio de 2020. Para obtener información acerca de cómo habilitar o deshabilitar la protección de S3Protección de Amazon S3 en Amazon GuardDuty
Para todos losS3Bucket tipos de hallazgos, se recomienda examinar los permisos del bucket en cuestión y los permisos de los usuarios involucrados en la búsqueda. Si la actividad es inesperada, consulte las recomendaciones de corrección que se detallan enCorregir un bucket de S3 comprometido.
Temas
- Discovery:S3/AnomalousBehavior
- Discovery:S3/MaliciousIPCaller
- Discovery:S3/MaliciousIPCaller.Custom
- Discovery:S3/TorIPCaller
- Exfiltration:S3/AnomalousBehavior
- Exfiltration:S3/MaliciousIPCaller
- Impact:S3/AnomalousBehavior.Delete
- Impact:S3/AnomalousBehavior.Permission
- Impact:S3/AnomalousBehavior.Write
- Impact:S3/MaliciousIPCaller
- PenTest:S3/KaliLinux
- PenTest:S3/ParrotLinux
- PenTest:S3/PentooLinux
- Policy:S3/AccountBlockPublicAccessDisabled
- Policy:S3/BucketAnonymousAccessGranted
- Policy:S3/BucketBlockPublicAccessDisabled
- Policy:S3/BucketPublicAccessGranted
- Stealth:S3/ServerAccessLoggingDisabled
- UnauthorizedAccess:S3/MaliciousIPCaller.Custom
- UnauthorizedAccess:S3/TorIPCaller
Discovery:S3/AnomalousBehavior
Se invocó una API que se utiliza habitualmente para descubrir objetos de S3 de forma anómala.
Gravedad predeterminada: baja
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo indica que una entidad de IAM ha invocado una API de S3 para detectar buckets de S3 en su entorno, por ejemploListObjects. Este tipo de actividad está asociada a la fase de descubrimiento de un ataque, en la que un atacante recopila información para determinar si suAWS entorno es susceptible a un ataque más amplio. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una manera inusual. Por ejemplo, una entidad de IAM sin historial previo invoca una API de S3 o una entidad de IAM invoca una API de S3 desde una ubicación inusual.
Esta API se identificó como anómala mediante GuardDuty el modelo de aprendizaje automático (ML) de detección de anomalías. El modelo ML evalúa todas las solicitudes de API de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Realiza un seguimiento de varios factores de las solicitudes de API, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud, la API específica que se solicitó, el bucket que se solicitó y la cantidad de llamadas a la API realizadas. Para obtener más información sobre los factores de la solicitud de API que son inusuales para la identidad del usuario que invocó la solicitud, consulte Búsqueda de detalles.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Discovery:S3/MaliciousIPCaller
Se invocó una API de S3 que se utiliza habitualmente para descubrir recursos en unAWS entorno desde una dirección IP maliciosa conocida.
Gravedad predeterminada: alta
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo indica que se ha invocado una operación de la API de S3 desde una dirección IP asociada a una actividad maliciosa conocida. La API observada se asocia normalmente a la etapa de descubrimiento de un ataque, cuando un adversario recopila información sobre suAWS entorno. Entre los ejemplos se incluyen GetObjectAcl y ListObjects.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Discovery:S3/MaliciousIPCaller.Custom
Se invocó una API de S3 desde una dirección IP de una lista de amenazas personalizada.
Gravedad predeterminada: alta
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo le indica que se ha invocado una API de S3ListObjects, comoGetObjectAcl o, desde una dirección IP incluida en una lista de amenazas que ha subido. La lista de amenazas asociada a este hallazgo aparece en la sección Información adicional de los detalles del hallazgo. Este tipo de actividad está asociada a la fase de descubrimiento de un ataque, en la que un atacante recopila información para determinar si suAWS entorno es susceptible a un ataque más amplio.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Discovery:S3/TorIPCaller
Se invocó una API S3 desde la dirección IP de un nodo de salida de Tor.
Gravedad predeterminada: media
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo le informa de que se invocó una API de S3, comoGetObjectAcl oListObjects, desde la dirección IP de un nodo de salida de Tor. Este tipo de actividad está asociada a la fase de descubrimiento de un ataque, en la que un atacante recopila información para determinar si suAWS entorno es susceptible a un ataque más amplio. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a susAWS recursos con la intención de ocultar la verdadera identidad del atacante.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Exfiltration:S3/AnomalousBehavior
Una entidad de IAM invocó una API de S3 de forma sospechosa.
Gravedad predeterminada: alta
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo indica que una entidad de IAM está realizando llamadas a la API que involucran un bucket de S3 y que esta actividad difiere de la línea base establecida por esa entidad. La llamada a la API utilizada en esta actividad está asociada a la fase de exfiltración de un ataque, en la que un atacante intenta recopilar datos. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una manera inusual. Por ejemplo, una entidad de IAM sin historial previo invoca una API de S3 o una entidad de IAM invoca una API de S3 desde una ubicación inusual.
Esta API se identificó como anómala mediante GuardDuty el modelo de aprendizaje automático (ML) de detección de anomalías. El modelo ML evalúa todas las solicitudes de API de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Realiza un seguimiento de varios factores de las solicitudes de API, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud, la API específica que se solicitó, el bucket que se solicitó y la cantidad de llamadas a la API realizadas. Para obtener más información sobre los factores de la solicitud de API que son inusuales para la identidad del usuario que invocó la solicitud, consulte Búsqueda de detalles.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Exfiltration:S3/MaliciousIPCaller
Se invocó una API de S3 que se utiliza habitualmente para recopilar datos de unAWS entorno desde una dirección IP maliciosa conocida.
Gravedad predeterminada: alta
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo indica que se ha invocado una operación de la API de S3 desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a tácticas de exfiltración en las que un adversario intenta recopilar datos de la red. Entre los ejemplos se incluyen GetObject y CopyObject.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Impact:S3/AnomalousBehavior.Delete
Una entidad de IAM invocó una API de S3 que intenta eliminar datos de forma sospechosa.
Gravedad predeterminada: alta
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo indica que una entidad de IAM de suAWS entorno está realizando llamadas a la API que involucran un bucket de S3, y este comportamiento difiere del punto de referencia establecido por esa entidad. La llamada a la API utilizada en esta actividad está asociada a un ataque que intenta eliminar datos. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una manera inusual. Por ejemplo, una entidad de IAM sin historial previo invoca una API de S3 o una entidad de IAM invoca una API de S3 desde una ubicación inusual.
Esta API se identificó como anómala mediante GuardDuty el modelo de aprendizaje automático (ML) de detección de anomalías. El modelo ML evalúa todas las solicitudes de API de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Realiza un seguimiento de varios factores de las solicitudes de API, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud, la API específica que se solicitó, el bucket que se solicitó y la cantidad de llamadas a la API realizadas. Para obtener más información sobre los factores de la solicitud de API que son inusuales para la identidad del usuario que invocó la solicitud, consulte Búsqueda de detalles.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Recomendamos auditar el contenido del bucket de S3 para determinar si se puede o se debe restaurar la versión anterior del objeto.
Impact:S3/AnomalousBehavior.Permission
Se invocó de forma anómala los permisos de la lista de control de acceso (ACL) para la lista de control de acceso (ACL) de la lista de control de acceso (ACL) de la lista de
Gravedad predeterminada: alta
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo le informa de que una entidad de IAM de suAWS entorno ha cambiado una política de bucket o ACL en los buckets de S3 listados. Este cambio puede exponer públicamente sus buckets de S3 a todos losAWS usuarios autenticados.
Esta API se identificó como anómala mediante GuardDuty el modelo de aprendizaje automático (ML) de detección de anomalías. El modelo ML evalúa todas las solicitudes de API de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Realiza un seguimiento de varios factores de las solicitudes de API, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud, la API específica que se solicitó, el bucket que se solicitó y la cantidad de llamadas a la API realizadas. Para obtener más información sobre los factores de la solicitud de API que son inusuales para la identidad del usuario que invocó la solicitud, consulte Búsqueda de detalles.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Recomendamos auditar el contenido del bucket de S3 para garantizar que no se haya permitido el acceso público a ningún objeto de forma inesperada.
Impact:S3/AnomalousBehavior.Write
Una entidad de IAM invocó una API de S3 que intenta escribir datos de forma sospechosa.
Gravedad predeterminada: media
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo indica que una entidad de IAM de suAWS entorno está realizando llamadas a la API que involucran un bucket de S3, y este comportamiento difiere del punto de referencia establecido por esa entidad. La llamada a la API utilizada en esta actividad está asociada a un ataque que intenta escribir datos. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una manera inusual. Por ejemplo, una entidad de IAM sin historial previo invoca una API de S3 o una entidad de IAM invoca una API de S3 desde una ubicación inusual.
Esta API se identificó como anómala mediante GuardDuty el modelo de aprendizaje automático (ML) de detección de anomalías. El modelo ML evalúa todas las solicitudes de API de tu cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Realiza un seguimiento de varios factores de las solicitudes de API, como el usuario que realizó la solicitud, la ubicación desde la que se realizó la solicitud, la API específica que se solicitó, el bucket que se solicitó y la cantidad de llamadas a la API realizadas. Para obtener más información sobre los factores de la solicitud de API que son inusuales para la identidad del usuario que invocó la solicitud, consulte Búsqueda de detalles.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Te recomendamos que audites el contenido del bucket de S3 para asegurarte de que esta llamada a la API no ha escrito datos malintencionados o no autorizados.
Impact:S3/MaliciousIPCaller
Se invocó una API de S3 que se utiliza habitualmente para manipular datos o procesos de unAWS entorno desde una dirección IP maliciosa conocida.
Gravedad predeterminada: alta
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo indica que se ha invocado una operación de la API de S3 desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a tácticas de impacto en las que un adversario intenta manipular, interrumpir o destruir datos de suAWS entorno. Entre los ejemplos se incluyen PutObject y PutObjectAcl.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
PenTest:S3/KaliLinux
Se invocó una API S3 desde una máquina Kali Linux.
Gravedad predeterminada: media
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo le informa de que una máquina que ejecuta Kali Linux está realizando llamadas a la API de S3 con credenciales que pertenecen a suAWS cuenta. Sus credenciales podrían estar comprometidas. Kali Linux es una popular herramienta de pruebas de intrusión que utilizan los profesionales de la seguridad para identificar puntos débiles en las instancias EC2 que requieren la aplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en la configuración de EC2 y obtener acceso no autorizado al entorno de AWS.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
PenTest:S3/ParrotLinux
Se invocó una API S3 desde una máquina Linux de Parrot Security.
Gravedad predeterminada: media
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo le informa de que un equipo que ejecuta Parrot Security Linux está realizando llamadas a la API de S3 con credenciales que pertenecen a suAWS cuenta. Sus credenciales podrían estar comprometidas. Parrot Security Linux es una popular herramienta de pruebas de intrusión que utilizan los profesionales de la seguridad para identificar puntos débiles en las instancias EC2 que requieren la aplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en la configuración de EC2 y obtener acceso no autorizado al entorno de AWS.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
PenTest:S3/PentooLinux
Se invocó una API S3 desde una máquina Pentoo Linux.
Gravedad predeterminada: media
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo le informa de que una máquina que ejecuta Pentoo Linux está realizando llamadas a la API de S3 con credenciales que pertenecen a suAWS cuenta. Sus credenciales podrían estar comprometidas. Pentoo Linux es una popular herramienta de pruebas de intrusión que utilizan los profesionales de la seguridad para identificar puntos débiles en las instancias EC2 que requieren la aplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en la configuración de EC2 y obtener acceso no autorizado al entorno de AWS.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Policy:S3/AccountBlockPublicAccessDisabled
Una entidad de IAM invocó una API que se utiliza para deshabilitar el acceso público en bloque de S3 en una cuenta.
Gravedad predeterminada: baja
-
Fuente de datos: eventosCloudTrail de gestión
Este hallazgo le indica que Amazon S3 Block Public Access se deshabilitó a nivel de cuenta. Cuando la configuración de acceso público de S3 Block está habilitada, se utiliza para filtrar las políticas o las listas de control de acceso (ACL) de los cubos como medida de seguridad para evitar la exposición pública inadvertida de los datos.
Normalmente, el acceso público a S3 Block está desactivado en una cuenta para permitir el acceso público a un bucket o a los objetos del bucket. Cuando S3 Block Public Access está deshabilitado para una cuenta, el acceso a tus cubos se controla mediante las políticas, las ACL o la configuración de Bloquear acceso público a nivel de bucket que se aplica a tus cubos individuales. Esto no significa necesariamente que los depósitos se compartan públicamente, sino que debe auditar los permisos aplicados a los depósitos para confirmar que proporcionan el nivel de acceso adecuado.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Policy:S3/BucketAnonymousAccessGranted
Un director de IAM ha permitido el acceso a Internet a un bucket de S3 modificando las políticas de bucket o las ACL.
Gravedad predeterminada: alta
-
Fuente de datos: eventosCloudTrail de gestión
Este hallazgo le indica que el bucket de S3 de la lista se ha hecho de acceso público en Internet porque una entidad de IAM ha cambiado una política de bucket o ACL de ese bucket. Tras detectar un cambio en la política o en la ACL, utiliza el razonamiento automatizado impulsado por Zelkova
nota
Si las ACL o las políticas de un bucket están configuradas para denegar o denegar todas de forma explícita, es posible que este hallazgo no refleje el estado actual del bucket. Este hallazgo no reflejará ninguna configuración de acceso público de S3 Block que pueda haber estado habilitada para su bucket de S3. En tales casos, eleffectivePermission valor del hallazgo se marcará comoUNKNOWN.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Policy:S3/BucketBlockPublicAccessDisabled
Una entidad de IAM invocó una API que se utiliza para deshabilitar el acceso público en bloque de S3 en un bucket.
Gravedad predeterminada: baja
-
Fuente de datos: eventosCloudTrail de gestión
Este hallazgo indica que se deshabilitó Bloquear el acceso público para el bucket de S3 de la lista. Cuando está habilitada, la configuración de acceso público de S3 Block se utiliza para filtrar las políticas o listas de control de acceso (ACL) que se aplican a los cubos como medida de seguridad para evitar la exposición pública inadvertida de los datos.
Normalmente, el acceso público a S3 Block está desactivado en un bucket para permitir el acceso público al bucket o a los objetos que contiene. Cuando el acceso público a S3 Block está deshabilitado para un bucket, el acceso al bucket se controla mediante las políticas o ACL que se le apliquen. Esto no significa que el bucket se comparta públicamente, pero sí es importante auditar las políticas y ACL que se aplican al bucket para confirmar que se apliquen los permisos adecuados.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Policy:S3/BucketPublicAccessGranted
Un director de IAM ha otorgado acceso público a un bucket de S3 a todosAWS los usuarios al cambiar las políticas de bucket o las ACL.
Gravedad predeterminada: alta
-
Fuente de datos: eventosCloudTrail de gestión
Este hallazgo le informa de que el bucket de S3 de la lista se ha expuesto públicamente a todos losAWS usuarios autenticados porque una entidad de IAM ha cambiado una política de bucket o ACL de ese bucket de S3. Tras detectar un cambio en la política o en la ACL, utiliza el razonamiento automatizado impulsado por Zelkova
nota
Si las ACL o las políticas de un bucket están configuradas para denegar o denegar todas de forma explícita, es posible que este hallazgo no refleje el estado actual del bucket. Este hallazgo no reflejará ninguna configuración de acceso público de S3 Block que pueda haber estado habilitada para su bucket de S3. En tales casos, eleffectivePermission valor del hallazgo se marcará comoUNKNOWN.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
Stealth:S3/ServerAccessLoggingDisabled
El registro de acceso al servidor de S3 para un bucket.
Gravedad predeterminada: baja
-
Fuente de datos: eventosCloudTrail de gestión
Este hallazgo le indica que el registro de acceso al servidor S3 está deshabilitado para un bucket de suAWS entorno. Si se desactiva, no se crea ningún registro de solicitudes web para ningún intento de acceder al bucket de S3 identificado; sin embargo, se siguen realizando un seguimiento de las llamadas a la API de administración de S3 al bucket DeleteBucket, por ejemplo. Si el registro de eventos de datos de S3 está habilitado CloudTrail para este bucket, se seguirán realizando un seguimiento de las solicitudes web de objetos dentro del bucket. La desactivación del registro es una técnica que utilizan los usuarios no autorizados para evadir la detección. Para obtener más información sobre los registros de S3, consulte el registro de acceso al servidor de S3 y las opciones de registro de S3.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
UnauthorizedAccess:S3/MaliciousIPCaller.Custom
Se invocó una API de S3 desde una dirección IP de una lista de amenazas personalizada.
Gravedad predeterminada: alta
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo le informa de que se ha invocado una operación de la API de S3PutObjectAcl, por ejemplo,PutObject o, desde una dirección IP incluida en una lista de amenazas que ha subido. La lista de amenazas asociada a este hallazgo aparece en la sección Información adicional de los detalles del hallazgo.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
UnauthorizedAccess:S3/TorIPCaller
Se invocó una API S3 desde la dirección IP de un nodo de salida de Tor.
Gravedad predeterminada: alta
-
Fuente de datos para eventosCloudTrail de datos para S3
Este hallazgo le informa de que se invocó una operación de la API de S3PutObjectAcl, comoPutObject o, desde una dirección IP del nodo de salida de Tor. Tor es un software que permite las comunicaciones anónimas. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Este hallazgo puede indicar un acceso no autorizado a susAWS recursos con la intención de ocultar la verdadera identidad del atacante.
Recomendaciones de remediación:
Si esta actividad es inesperada para el director asociado, puede indicar que las credenciales se han expuesto o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 comprometido.
