Format de résultat GuardDuty

Quand GuardDuty détecte un comportement suspect ou inattendu dans votre environnement AWS, il génère un résultat. Un résultat est une notification qui contient les détails sur un problème de sécurité potentiel découvert par GuardDuty. Les détails du résultat incluent des informations sur ce qui s'est passé, les ressources AWS impliquées dans l'activité suspecte, le moment où cette activité a eu lieu et d'autres informations.

Le type de résultat est l'une des informations les plus utiles. Le type de résultat vise à fournir une description brève mais intelligible du problème de sécurité potentiel. Par exemple, le type de résultat Recon:EC2/PortProbeUnprotectedPort de GuardDuty vous informe rapidement qu'un port non protégé d'une instance EC2 de votre environnement AWS est en train d'être analysé par un pirate potentiel.

GuardDuty utilise le format de dénomination suivant pour les différents types de résultat qu'il génère :

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!Artifact

Chaque partie de ce format représente un aspect d'un type de résultat. Ces aspects sont expliqués comme suit :

ThreatPurpose : décrit l'objectif principal d'une menace, d'un type d'attaque ou d'une étape d'une attaque potentielle. Consultez la section suivante pour obtenir une liste complète des objectifs de GuardDuty en matière de menaces.
ResourceTypeAffected : décrit le type de ressource AWS identifié en tant que cible potentielle d'un adversaire dans ce résultat. Actuellement, GuardDuty peut générer des résultats pour les ressources EC2, S3, IAM et EKS.
ThreatFamilyName : décrit la menace ou l'activité malveillante potentielle globale détectée par GuardDuty. Par exemple, la valeur NetworkPortUnusual indique qu'une instance EC2 identifiée dans le résultat de GuardDuty n'a aucun historique de communication avec un port distant également identifié dans ce résultat.
DetectionMechanism : décrit la méthode par laquelle GuardDuty a détecté le résultat. Cela peut être utilisé pour indiquer une variation par rapport à un type de résultat courant ou un résultat que GuardDuty a utilisé pour détecter un mécanisme spécifique. Par exemple, Backdoor:EC2/DenialOfService.Tcp indique qu'un déni de service (DoS) a été détecté via TCP. La variante UDP est Backdoor:EC2/DenialOfService.Udp.

La valeur .Personnalisé indique que GuardDuty a détecté le résultat sur la base de vos listes de menaces personnalisées, tandis que Réputation indique que GuardDuty a détecté le résultat à l'aide d'un modèle de score de réputation de domaine.
Artefact : décrit une ressource spécifique appartenant à un outil utilisé pour l'activité malveillante. Par exemple, DNS dans le type de résultat CryptoCurrency:EC2/BitcoinTool.B!DNS indique qu'une instance EC2 communique avec un domaine connu lié au bitcoin.

Buts de la menace

Dans GuardDuty, un but de la menace décrit l'objectif principal d'une menace, un type d'attaque ou le stade d'une attaque potentielle. Par exemple, certaines menaces, telles que Backdoor, indiquent un type d'attaque. Cependant, certains buts de la menace, tels que Impact, s'alignent sur les tactiques MITRE ATT&CK. Les tactiques MITRE ATT&CK indiquent les différentes phases du cycle d'attaque d'un adversaire. Dans la version actuelle de GuardDuty, ThreatPurpose peut avoir les valeurs suivantes :

Backdoor: Cette valeur indique que l'attaque a compromis une ressource AWS et l'a modifiée afin d'être à même de contacter son serveur de contrôle et de commande (C&C) pour recevoir des instructions supplémentaires à des fins malveillantes.
Comportement: Cette valeur indique que GuardDuty a détecté une activité ou des modèles d'activité différents de la référence établie pour les ressources AWS impliquées.
CredentialAccess: Cette valeur indique que GuardDuty a détecté des modèles d'activité qu'un adversaire pourrait utiliser pour voler des informations d'identification, telles que des ID de compte ou des mots de passe, dans votre environnement. Ce but de la menace est basé sur les tactiques MITRE ATT&CK.
Cryptomonnaie: Cette valeur indique que GuardDuty a détecté qu'une ressource AWS de votre environnement héberge un logiciel associé à des cryptomonnaies (par exemple, le Bitcoin).
DefenseEvasion: Cette valeur indique que GuardDuty a détecté une activité ou des modèles d'activité qu'un adversaire peut utiliser pour éviter d'être détecté lorsqu'il infiltre votre environnement. Ce but de la menace est basé sur les tactiques MITRE ATT&CK.
Découverte: Cette valeur indique que GuardDuty a détecté des activités ou des modèles d'activité qu'un adversaire pourrait utiliser pour approfondir ses connaissances de vos systèmes et de vos réseaux internes. Ce but de la menace est basé sur les tactiques MITRE ATT&CK.
Exécution: Cette valeur indique que GuardDuty a détecté qu'un adversaire pourrait essayer d'exécuter un code malveillant pour explorer le réseau ou voler des données. Ce but de la menace est basé sur les tactiques MITRE ATT&CK.
Exfiltration: Cette valeur indique que GuardDuty a détecté une activité ou des modèles d'activité qu'un adversaire pourrait utiliser lorsqu'il tente de voler des données sur votre réseau. Ce but de la menace est basé sur les tactiques MITRE ATT&CK.
Impact: Cette valeur indique que GuardDuty a détecté une activité ou des modèles d'activité qui suggèrent qu'un adversaire tente de manipuler, d'interrompre ou de détruire vos systèmes et vos données. Ce but de la menace est basé sur les tactiques MITRE ATT&CK.
InitialAccess: Ce but de la menace est basé sur les tactiques MITRE ATT&CK.
Pentest: Parfois, les propriétaires de ressources AWS ou leurs représentants autorisés exécutent intentionnellement des tests sur des applications AWS pour identifier leurs vulnérabilités (groupes de sécurité ouverts, clés d'accès trop permissives). Ces tests d'intrusion sont réalisés pour tenter d'identifier et de verrouiller les ressources vulnérables avant qu'elles ne soient découvertes par des adversaires. Toutefois, certains des outils utilisés par les testeurs autorisés sont disponibles gratuitement et peuvent donc être utilisés par des utilisateurs non autorisés ou des adversaires à des fins d'analyse. Bien que GuardDuty ne puisse pas identifier le véritable objectif de cette activité, la valeur Pentest indique que GuardDuty détecte une telle activité, qu'elle est similaire à l'activité générée par des outils de test d'intrusion connus, et qu'elle pourrait indiquer un sondage malveillant de votre réseau.
Persistance: Cette valeur indique que GuardDuty a détecté une activité ou des modèles d'activité qu'un adversaire peut utiliser pour tenter de conserver l'accès à vos systèmes, même si sa voie d'accès initiale est coupée. Par exemple, cela peut inclure la création d'un utilisateur IAM après avoir obtenu l'accès via les informations d'identification compromises d'un utilisateur existant. Lorsque les informations d'identification de l'utilisateur existant sont supprimées, l'adversaire retient l'accès au nouvel utilisateur qui n'a pas été détecté lors de l'événement d'origine. Ce but de la menace est basé sur les tactiques MITRE ATT&CK.
Stratégie: Cette valeur indique que votre Compte AWS présente un comportement qui va à l'encontre des bonnes pratiques en matière de sécurité.
PrivilegeEscalation: Cette valeur vous indique que le principal impliqué dans votre environnement AWS présente un comportement susceptible d'être utilisé par un adversaire pour obtenir des autorisations de niveau supérieur sur votre réseau. Ce but de la menace est basé sur les tactiques MITRE ATT&CK.
Recon: Cette valeur indique que GuardDuty a détecté une activité ou des modèles d'activité qu'un adversaire peut utiliser lors de la reconnaissance de votre réseau afin de déterminer comment il peut élargir son accès ou utiliser vos ressources. Par exemple, cette activité peut inclure l'identification des vulnérabilités de votre environnement AWS en analysant les ports, en répertoriant les utilisateurs, les tables de base de données, etc.
Stealth: Cette valeur indique qu'un adversaire essaie activement de masquer ses actions. Par exemple, il peut utiliser un serveur proxy anonyme, ce qui rend extrêmement difficile l'évaluation de la véritable nature de l'activité.
Trojan: Cette valeur indique qu'une attaque utilise des chevaux de Troie pour mener une action malveillante en silence. Parfois, ce logiciel prend l'aspect d'un programme légitime. Parfois, les utilisateurs l'exécutent accidentellement. Ou bien le logiciel peut s'exécuter automatiquement en exploitant une vulnérabilité.
UnauthorizedAccess: Cette valeur indique que GuardDuty a détecté une activité suspecte ou un modèle d'activité suspecte de la part d'un individu non autorisé.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Détails d’un résultat

Exemples de résultats