GuardDuty Types de recherche EC2 - Amazon GuardDuty
Backdoor:EC2/C&CActivity.BBackdoor:EC2/C&CActivity.B!DNSBackdoor:EC2/DenialOfService.DnsBackdoor:EC2/DenialOfService.TcpBackdoor:EC2/DenialOfService.UdpBackdoor:EC2/DenialOfService.UdpOnTcpPortsBackdoor:EC2/DenialOfService.UnusualProtocolBackdoor:EC2/SpambotBehavior:EC2/NetworkPortUnusualBehavior:EC2/TrafficVolumeUnusualCryptoCurrency:EC2/BitcoinTool.BCryptoCurrency:EC2/BitcoinTool.B!DNSDefenseEvasion:EC2/UnusualDNSResolverDefenseEvasion:EC2/UnusualDoHActivityDefenseEvasion:EC2/UnusualDoTActivityImpact:EC2/AbusedDomainRequest.ReputationImpact:EC2/BitcoinDomainRequest.ReputationImpact:EC2/MaliciousDomainRequest.ReputationImpact:EC2/PortSweepImpact:EC2/SuspiciousDomainRequest.ReputationImpact:EC2/WinRMBruteForceRecon:EC2/PortProbeEMRUnprotectedPortRecon:EC2/PortProbeUnprotectedPortRecon:EC2/PortscanTrojan:EC2/BlackholeTrafficTrojan:EC2/BlackholeTraffic!DNSTrojan:EC2/DGADomainRequest.BTrojan:EC2/DGADomainRequest.C!DNSTrojan:EC2/DNSDataExfiltrationTrojan:EC2/DriveBySourceTraffic!DNSTrojan:EC2/DropPointTrojan:EC2/DropPoint!DNSTrojan:EC2/PhishingDomainRequest!DNSUnauthorizedAccess:EC2/MaliciousIPCaller.CustomUnauthorizedAccess:EC2/MetadataDNSRebindUnauthorizedAccess:EC2/RDPBruteForceUnauthorizedAccess:EC2/SSHBruteForceUnauthorizedAccess:EC2/TorClientUnauthorizedAccess:EC2/TorRelay

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty Types de recherche EC2

Les résultats suivants sont propres aux ressources Amazon EC2 et ont toujours le type de ressource Instance. La gravité et les détails des résultats diffèrent selon le rôle de la ressource, qui indique si la ressource EC2 était la cible ou l'auteur d'une activité suspecte.

Les résultats répertoriés ici incluent les sources de données et les modèles utilisés pour générer ce type de résultat. Pour plus d'informations sur les sources de données et les modèles, veuillez consulter Source de données de base.

Note

Des détails de l'instance peuvent être manquants pour certains résultats EC2 si l'instance a déjà été résiliée ou si l'appel d'API sous-jacent faisait partie d'un appel d'API entre régions qui provenait d'une instance EC2 dans une région différente.

Pour tous les résultats EC2, il est recommandé d'examiner la ressource en question afin de déterminer si elle se comporte comme prévu. Si l'activité est autorisée, vous pouvez utiliser les listes de règles de suppression ou d'adresses IP approuvées pour éviter les notifications faussement positives pour cette ressource. En cas d'activité inattendue, la bonne pratique en matière de sécurité consiste à supposer que l'instance est compromise et à prendre les mesures détaillées dans Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/C&CActivity.B

Une instance EC2 interroge une adresse IP associée à un serveur de commande et de contrôle connu.

Gravité par défaut : élevée

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance répertoriée dans votre environnement AWS interroge une adresse IP avec un serveur de commande et de contrôle connu. L'instance répertoriée est peut-être compromise. Les serveurs de commande et de contrôle sont des ordinateurs qui lancent des commandes vers les membres d'un botnet.

Un botnet est un ensemble d'appareils connectés à Internet (PC, serveurs, appareils mobiles et appareils de l'Internet des objets, etc.) qui sont infectés et contrôlés par un type courant de programme malveillant. Les botnets sont souvent utilisés pour distribuer des programmes malveillants et voler des informations, telles que des numéros de carte de crédit. Selon l'objectif et la structure du botnet, le serveur de commande et de contrôle peut également être amené à émettre des commandes pour lancer une attaque par déni de service distribué (DDoS).

Note

Si l'adresse IP demandée est liée à log4j, les champs du résultat associé incluront les valeurs suivantes :

  • Service. Informations supplémentaires. threatListName = Amazon

  • service.additionalInfo.threatName = lié à Log4j

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/C&CActivity.B!DNS

Une instance EC2 interroge un nom de domaine associé à un serveur de commande et de contrôle connu.

Gravité par défaut : élevée

  • Source de données : journaux DNS

Ce résultat vous informe que l'instance répertoriée dans votre environnement AWS interroge un nom de domaine avec un serveur de commande et de contrôle connu. L'instance répertoriée est peut-être compromise. Les serveurs de commande et de contrôle sont des ordinateurs qui lancent des commandes vers les membres d'un botnet.

Un botnet est un ensemble d'appareils connectés à Internet (PC, serveurs, appareils mobiles et appareils de l'Internet des objets, etc.) qui sont infectés et contrôlés par un type courant de programme malveillant. Les botnets sont souvent utilisés pour distribuer des programmes malveillants et voler des informations, telles que des numéros de carte de crédit. Selon l'objectif et la structure du botnet, le serveur de commande et de contrôle peut également être amené à émettre des commandes pour lancer une attaque par déni de service distribué (DDoS).

Note

Si le nom de domaine demandé est lié à log4j, les champs du résultat associé incluront les valeurs suivantes :

  • Service. Informations supplémentaires. threatListName = Amazon

  • service.additionalInfo.threatName = lié à Log4j

Note

Pour tester le GuardDuty mode de génération de ce type de recherche, vous pouvez effectuer une requête DNS depuis votre instance dig (sous Linux ou nslookup Windows) sur un domaine de testguarddutyc2activityb.com.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/DenialOfService.Dns

Une instance EC2 se comporte d'une manière pouvant indiquer qu'elle est utilisée pour réaliser une attaque Denial of Service (DoS) à l'aide du protocole DNS.

Gravité par défaut : élevée

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS génère un important volume de trafic DNS sortant. Cela peut indiquer que l'instance répertoriée est compromise et qu'elle est utilisée pour effectuer des attaques denial-of-service (DoS) à l'aide du protocole DNS.

Note

Ce résultat détecte les attaques DoS contre les adresses IP publiquement routables uniquement, qui sont les principales cibles des attaques DoS.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/DenialOfService.Tcp

Une instance EC2 se comporte d'une manière indiquant qu'elle est utilisée pour réaliser une attaque DoS (Denial of Service) à l'aide du protocole TCP.

Gravité par défaut : élevée

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS génère un important volume de trafic TCP sortant. Cela peut indiquer que l'instance est compromise et qu'elle est utilisée pour effectuer des attaques denial-of-service (DoS) à l'aide du protocole TCP.

Note

Ce résultat détecte les attaques DoS contre les adresses IP publiquement routables uniquement, qui sont les principales cibles des attaques DoS.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/DenialOfService.Udp

Une instance EC2 se comporte d'une manière indiquant qu'elle est utilisée pour réaliser une attaque DoS (Denial of Service) à l'aide du protocole UDP.

Gravité par défaut : élevée

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS génère un important volume de trafic UDP sortant. Cela peut indiquer que l'instance répertoriée est compromise et qu'elle est utilisée pour effectuer des attaques denial-of-service (DoS) à l'aide du protocole UDP.

Note

Ce résultat détecte les attaques DoS contre les adresses IP publiquement routables uniquement, qui sont les principales cibles des attaques DoS.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Une instance EC2 se comporte d'une manière pouvant indiquer qu'elle est utilisée pour réaliser une attaque Denial of Service (DoS) à l'aide du protocole UDP sur un port TCP.

Gravité par défaut : élevée

  • Source de données : journaux de flux VPC

Ce résultat vous informe qu'une instance EC2 répertoriée de votre environnement AWS génère un important volume de trafic UDP sortant ciblé sur un port qui est généralement utilisé pour les communications TCP. Cela peut indiquer que l'instance répertoriée est compromise et qu'elle est utilisée pour effectuer des attaques denial-of-service (DoS) à l'aide du protocole UDP sur un port TCP.

Note

Ce résultat détecte les attaques DoS contre les adresses IP publiquement routables uniquement, qui sont les principales cibles des attaques DoS.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/DenialOfService.UnusualProtocol

Une instance EC2 se comporte d'une manière pouvant indiquer qu'elle est utilisée pour réaliser une attaque Denial of Service (DoS) à l'aide d'un protocole inhabituel.

Gravité par défaut : élevée

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS génère un important volume de trafic sortant d'un type de protocole inhabituel qui n'est généralement pas utilisé par des instances EC2, comme Internet Group Management Protocol. Cela peut indiquer que l'instance est compromise et qu'elle est utilisée pour effectuer des attaques denial-of-service (DoS) à l'aide d'un protocole inhabituel. Ce résultat détecte les attaques DoS contre les adresses IP publiquement routables uniquement, qui sont les principales cibles des attaques DoS.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Backdoor:EC2/Spambot

Une instance EC2 présente un comportement inhabituel en communiquant avec un hôte distant sur le port 25.

Gravité par défaut : moyenne

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS communique avec un hôte distant sur le port 25. Ce comportement est inhabituel, car cette instance EC2 n'a aucun historique de communication sur le port 25. Ce dernier est généralement utilisé par les serveurs de messagerie pour les communications SMTP. Ce résultat indique que votre instance EC2 est peut être compromise et utilisée dans le cadre d'envoi de courriers indésirables.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Behavior:EC2/NetworkPortUnusual

Une instance EC2 communique avec un hôte distant sur un port serveur inhabituel.

Gravité par défaut : moyenne

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS se comporte différemment de la référence établie. Cette instance EC2 n'a jamais communiqué sur ce port distant auparavant.

Note

Si l'instance EC2 a communiqué sur le port 389 ou le port 1389, la gravité du résultat associé sera modifiée en Élevée et les champs de recherche incluront la valeur suivante :

  • service.additionalInfo.context = possible rappel log4j

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Behavior:EC2/TrafficVolumeUnusual

Une instance EC2 génère un volume de trafic réseau inhabituellement élevé à destination d'un hôte distant.

Gravité par défaut : moyenne

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS se comporte différemment de la référence établie. Cette instance EC2 n'a jamais envoyé un tel volume de trafic vers cet hôte distant auparavant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

CryptoCurrency:EC2/BitcoinTool.B

Une instance EC2 interroge une adresse IP associée à une activité liée à une cryptomonnaie.

Gravité par défaut : élevée

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS interroge une adresse IP associée à une activité liée au Bitcoin ou à une autre cryptomonnaie. Le Bitcoin est une cryptomonnaie et un système de paiement numérique mondiaux pouvant faire l'objet d'échanges contre d'autres devises, produits et services. Le bitcoin est une récompense pour le minage de Bitcoins et est très recherché par les acteurs de la menace.

Recommandations de correction :

Si vous utilisez cette instance EC2 pour exploiter ou gérer de la cryptomonnaie, ou si cette instance est impliquée d'une autre manière dans une activité de blockchain, ce résultat peut être une activité attendue pour votre environnement. Si c'est le cas dans votre environnement AWS, nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur CryptoCurrency:EC2/BitcoinTool.B. Le deuxième critère de filtrage doit être l' ID d'instance de l'instance impliquée dans l'activité de blockchain. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression.

Si cette activité est inattendue, votre instance est probablement compromise, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Une instance EC2 interroge un nom de domaine associé à une activité liée à une cryptomonnaie.

Gravité par défaut : élevée

  • Source de données : journaux DNS

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS interroge un nom de domaine associé à une activité liée au Bitcoin ou à une autre cryptomonnaie. Le Bitcoin est une cryptomonnaie et un système de paiement numérique mondiaux pouvant faire l'objet d'échanges contre d'autres devises, produits et services. Le bitcoin est une récompense pour le minage de Bitcoins et est très recherché par les acteurs de la menace.

Recommandations de correction :

Si vous utilisez cette instance EC2 pour exploiter ou gérer de la cryptomonnaie, ou si cette instance est impliquée d'une autre manière dans une activité de blockchain, ce résultat peut être une activité attendue pour votre environnement. Si c'est le cas dans votre environnement AWS, nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur CryptoCurrency:EC2/BitcoinTool.B!DNS. Le deuxième critère de filtrage doit être l' ID d'instance de l'instance impliquée dans l'activité de blockchain. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression.

Si cette activité est inattendue, votre instance est probablement compromise, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

DefenseEvasion:EC2/UnusualDNSResolver

Une instance Amazon EC2 communique avec un résolveur DNS public inhabituel.

Gravité par défaut : moyenne

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance Amazon EC2 répertoriée de votre environnement AWS se comporte différemment du comportement de référence. Cette instance EC2 n'a aucun historique récent de communication avec ce résolveur DNS public. Le champ Unusual du panneau des détails de recherche de la GuardDuty console peut fournir des informations sur le résolveur DNS demandé.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

DefenseEvasion:EC2/UnusualDoHActivity

Une instance Amazon EC2 effectue une communication DNS sur HTTPS (DoH) inhabituelle.

Gravité par défaut : moyenne

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance Amazon EC2 répertoriée au sein de votre environnement AWS se comporte différemment de la référence établie. Cette instance EC2 n'a aucun historique récent de communications DNS sur HTTPS (DoH) avec ce serveur DoH public. Le champ Inhabituel dans les détails du résultat peut fournir des informations sur le serveur DoH interrogé.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

DefenseEvasion:EC2/UnusualDoTActivity

Une instance Amazon EC2 effectue une communication DNS sur TLS (DoT) inhabituelle.

Gravité par défaut : moyenne

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS se comporte différemment de la référence établie. Cette instance EC2 n'a aucun historique récent de communications DNS sur TLS (DoT) avec ce serveur DoT public. Le champ Inhabituel dans le volet des détails du résultat peut fournir des informations sur le serveur DoT interrogé.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/AbusedDomainRequest.Reputation

Une instance EC2 interroge un nom de domaine de mauvaise réputation associé à des domaines abusifs connus.

Gravité par défaut : moyenne

  • Source de données : journaux DNS

Ce résultat vous informe que l'instance Amazon EC2 répertoriée au sein de votre environnement AWS interroge un nom de domaine de mauvaise réputation associé à des domaines ou adresses IP abusifs connus. Les noms de domaine de premier niveau (TLD) et les noms de domaine de deuxième niveau (2LD) fournissant des enregistrements de sous-domaines gratuits ainsi que les fournisseurs de DNS dynamiques sont des exemples de domaines utilisés de manière abusive. Les acteurs de la menace ont tendance à utiliser ces services pour enregistrer des domaines gratuitement ou à faible coût. Les domaines de mauvaise réputation de cette catégorie peuvent également être des domaines expirés renvoyés à l'adresse IP de stationnement d'un bureau d'enregistrement et peuvent donc ne plus être actifs. Une adresse IP de stationnement est l'endroit où un bureau d'enregistrement dirige le trafic vers des domaines qui n'ont été liés à aucun service. L'instance Amazon EC2 répertoriée peut être compromise, car les acteurs malveillants utilisent couramment ces bureaux d'enregistrement ou ces services pour la distribution de logiciels malveillants et de commande et de contrôle.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/BitcoinDomainRequest.Reputation

Une instance EC2 interroge un nom de domaine de mauvaise réputation associé à une activité liée à une cryptomonnaie.

Gravité par défaut : élevée

  • Source de données : journaux DNS

Ce résultat vous informe que l'instance Amazon EC2 répertoriée de votre environnement AWS interroge un nom de domaine de mauvaise réputation associé à une activité liée au Bitcoin ou à une autre cryptomonnaie. Le Bitcoin est une cryptomonnaie et un système de paiement numérique mondiaux pouvant faire l'objet d'échanges contre d'autres devises, produits et services. Le bitcoin est une récompense pour le minage de Bitcoins et est très recherché par les acteurs de la menace.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

Recommandations de correction :

Si vous utilisez cette instance EC2 pour exploiter ou gérer de la cryptomonnaie, ou si cette instance est impliquée d'une autre manière dans une activité de blockchain, ce résultat peut représenter une activité attendue pour votre environnement. Si c'est le cas dans votre environnement AWS, nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur Impact:EC2/BitcoinDomainRequest.Reputation. Le deuxième critère de filtrage doit être l' ID d'instance de l'instance impliquée dans l'activité de blockchain. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression.

Si cette activité est inattendue, votre instance est probablement compromise, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/MaliciousDomainRequest.Reputation

Une instance EC2 interroge un domaine de mauvaise réputation associé à des domaines malveillants connus.

Gravité par défaut : élevée

  • Source de données : journaux DNS

Ce résultat vous informe que l'instance Amazon EC2 répertoriée au sein de votre environnement AWS interroge un nom de domaine de mauvaise réputation associé à des domaines ou adresses IP malveillants connus. Par exemple, les domaines peuvent être associés à une adresse IP de gouffre connue. Les domaines de gouffre sont des domaines qui étaient auparavant contrôlés par un acteur menaçant, et les demandes qui leur sont adressées peuvent indiquer que l'instance est compromise. Ces domaines peuvent également être corrélés à des campagnes malveillantes ou à des algorithmes de génération de domaines connus.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/PortSweep

Une instance EC2 analyse un port sur un grand nombre d'adresses IP.

Gravité par défaut : élevée

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée dans votre environnement AWS analyse un port sur un grand nombre d'adresses IP publiquement routables. Ce type d'activité est généralement utilisé pour rechercher des hôtes vulnérables à exploiter. Dans le panneau des informations de recherche de votre GuardDuty console, seule l'adresse IP distante la plus récente est affichée

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/SuspiciousDomainRequest.Reputation

Une instance EC2 interroge un nom de domaine de mauvaise réputation qui est suspect par nature en raison de son ancienneté ou de sa faible popularité.

Gravité par défaut : faible

  • Source de données : journaux DNS

Ce résultat vous informe que l'instance Amazon EC2 répertoriée dans votre environnement AWS interroge un nom de domaine de mauvaise réputation suspecté d'être malveillant. Nous avons remarqué des caractéristiques de ce domaine qui étaient cohérentes avec les domaines malveillants précédemment observés, mais notre modèle de réputation n'a pas pu les relier définitivement à une menace connue. Ces domaines sont généralement récemment observés ou reçoivent un faible trafic.

Les domaines de mauvaise réputation sont basés sur un modèle de score de réputation. Ce modèle évalue et classe les caractéristiques d'un domaine afin de déterminer sa probabilité d'être malveillant.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Impact:EC2/WinRMBruteForce

Une instance EC2 exécute une attaque sortante par force brute de Windows Remote Management.

Gravité par défaut : faible*

Note

La gravité de ce résultat est faible si votre instance EC2 était la cible d'une attaque par force brute. La gravité de ce résultat est élevée si votre instance EC2 est utilisée pour procéder à l'attaque par force brute.

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée dans votre environnement AWS exécute une attaque par force brute de Windows Remote Management (WinRM) visant à accéder au service Windows Remote Management sur les systèmes Windows.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Recon:EC2/PortProbeEMRUnprotectedPort

Un port non protégé lié à EMR d'une instance EC2 est en cours d'exploration par un hôte malveillant connu.

Gravité par défaut : élevée

  • Source de données : journaux de flux VPC

Ce résultat vous indique qu'un port sensible lié à l'EMR sur l'instance EC2 répertoriée faisant partie d'un cluster de votre AWS environnement n'est pas bloqué par un groupe de sécurité, une liste de contrôle d'accès (ACL) ou un pare-feu sur hôte tel que Linux IPtables. Cette découverte indique également que des scanners connus sur Internet explorent activement ce port. Les ports qui peuvent déclencher ce résultat, tels que le port 8088 (port YARN Web UI) sont susceptibles d'être utilisés pour l'exécution de code à distance.

Recommandations de correction :

Il est recommandé de bloquer l'accès ouvert aux ports sur les clusters à partir d'Internet et de restreindre l'accès uniquement aux adresses IP qui requièrent un accès à ces ports. Pour de plus amples informations, veuillez consulter Groupes de sécurité pour les clusters EMR.

Recon:EC2/PortProbeUnprotectedPort

Un port non protégé d'une instance EC2 est en train d'être analysé par un hôte malveillant connu.

Gravité par défaut : faible*

Note

La gravité par défaut de ce résultat est faible. Toutefois, si le port examiné est utilisé par Elasticsearch (9200 ou 9300), le niveau de gravité du résultat est élevé.

  • Source de données : journaux de flux VPC

Ce résultat vous informe qu'un port de l'instance EC2 répertoriée de votre environnement AWS n'est pas bloqué par un groupe de sécurité, une liste de contrôle d'accès (ACL) ou un pare-feu sur l'hôte, comme Linux IPTables, et qu'il est en train d'être analysé activement par des analyseurs connus sur Internet.

Si ce port est le port 22 ou 3389 et que vous utilisez ces ports pour vous connecter à votre instance, vous pouvez toujours limiter leur exposition en autorisant uniquement leur accès aux adresses IP de l'espace d'adressage IP de votre réseau d'entreprise. Pour de plus amples informations sur la restriction de l'accès au port 22 sous Linux, veuillez consulter Autorisation du trafic entrant pour vos instances Linux. Pour savoir comment restreindre l'accès au port 3389 sous Windows, veuillez consulter Autorisation du trafic entrant pour vos instances Windows.

GuardDuty ne génère pas ce résultat pour les ports 443 et 80.

Recommandations de correction :

Dans certains cas, les instances peuvent être intentionnellement exposées, par exemple si elles hébergent des serveurs Web. Si c'est le cas dans votre environnement AWS, nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur Recon:EC2/PortProbeUnprotectedPort. Le second critère de filtre doit correspondre à l'instance ou aux instances qui servent d'hôte bastion. Vous pouvez utiliser l'attribut ID d'image d'instance ou l'attribut de valeur Balise en fonction du critère identifiable avec les instances qui hébergent ces outils. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression.

Si cette activité est inattendue, votre instance est probablement compromise, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Recon:EC2/Portscan

Une instance EC2 balaie les ports sortants vers un hôte distant.

Gravité par défaut : moyenne

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS est impliquée dans une possible attaque par balayage de ports, car elle tente de se connecter à plusieurs ports sur une courte période. L'objectif d'une attaque par balayage de ports consiste à localiser les ports ouverts pour identifier les services exécutés par la machine et son système d'exploitation.

Recommandations de correction :

Ce résultat peut être un faux positif lorsque des applications d'évaluation de vulnérabilité sont déployées sur des instances EC2 dans votre environnement, car ces applications effectuent des analyses de port pour vous alerter à propos de ports ouverts mal configurés. Si c'est le cas dans votre environnement AWS, nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur Recon:EC2/Portscan. Le second critère de filtre doit correspondre à l'instance ou aux instances qui hébergent ces outils d'évaluation de vulnérabilité. Vous pouvez utiliser l'attribut ID d'image d'instance ou Valeur de balise en fonction des critères identifiables avec les instances qui hébergent ces outils. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression.

Si cette activité est inattendue, votre instance est probablement compromise, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/BlackholeTraffic

Une instance EC2 tente de communiquer avec une adresse IP d'un hôte distant qui est un trou noir connu.

Gravité par défaut : moyenne

  • Source de données : journaux de flux VPC

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS pourrait être compromise, car elle tente de communiquer avec une adresse IP d'un trou noir (ou gouffre). Les trous noirs sont des zones du réseau où le trafic entrant ou sortant est supprimé silencieusement sans informer la source que les données n'ont pas atteint leur destinataire. Une adresse IP de trou noir désigne une machine hôte qui n'est pas en cours d'exécution ou une adresse à laquelle aucun hôte n'a été attribué.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/BlackholeTraffic!DNS

Une instance EC2 interroge le nom d'un domaine qui est redirigé vers l'adresse IP d'un trou noir.

Gravité par défaut : moyenne

  • Source de données : journaux DNS

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS pourrait être compromise, car elle interroge le nom d'un domaine qui est redirigé vers l'adresse IP d'un trou noir. Les trous noirs sont des zones du réseau où le trafic entrant ou sortant est supprimé silencieusement sans informer la source que les données n'ont pas atteint leur destinataire.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DGADomainRequest.B

Une instance EC2 interroge des domaines générés par des algorithmes. Ces domaines sont couramment utilisés par des programmes malveillants et peuvent constituer une indication d'instance EC2 compromise.

Gravité par défaut : élevée

  • Source de données : journaux DNS

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS tente d'interroger des DGA (algorithmes de génération de noms de domaine). Votre instance EC2 pourrait être compromise.

Ces algorithmes servent à générer périodiquement un grand nombre de noms de domaine qui peuvent être utilisés comme points de rendez-vous avec leurs serveurs de commande et de contrôle. Les serveurs de commande et de contrôle sont des ordinateurs qui émettent des commandes aux membres d'un botnet, qui est un ensemble d'appareils connectés à Internet qui sont infectés et contrôlés par un type courant de programme malveillant. Le grand nombre de points de rendez-vous potentiels rend l'arrêt des botnets difficile, car les ordinateurs infectés tentent de contacter certains de ces noms de domaine chaque jour pour recevoir des mises à jour ou des commandes.

Note

Ce résultat est basé sur une analyse de noms de domaine utilisant une heuristique avancée et peut donc identifier de nouveaux DGA qui ne sont pas présents dans les flux d'intelligence de menaces.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DGADomainRequest.C!DNS

Une instance EC2 interroge des domaines générés par des algorithmes. Ces domaines sont couramment utilisés par des programmes malveillants et peuvent constituer une indication d'instance EC2 compromise.

Gravité par défaut : élevée

  • Source de données : journaux DNS

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS tente d'interroger des DGA (algorithmes de génération de noms de domaine). Votre instance EC2 pourrait être compromise.

Ces algorithmes servent à générer périodiquement un grand nombre de noms de domaine qui peuvent être utilisés comme points de rendez-vous avec leurs serveurs de commande et de contrôle. Les serveurs de commande et de contrôle sont des ordinateurs qui émettent des commandes aux membres d'un botnet, qui est un ensemble d'appareils connectés à Internet qui sont infectés et contrôlés par un type courant de programme malveillant. Le grand nombre de points de rendez-vous potentiels rend l'arrêt des botnets difficile, car les ordinateurs infectés tentent de contacter certains de ces noms de domaine chaque jour pour recevoir des mises à jour ou des commandes.

Note

Ce résultat est basé sur les domaines DGA connus issus des flux GuardDuty de renseignements sur les menaces.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DNSDataExfiltration

Une instance EC2 exfiltre des données via des requêtes DNS.

Gravité par défaut : élevée

  • Source de données : journaux DNS

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS exécute un programme malveillant qui utilise des requêtes DNS pour transférer des données sortantes. Ce type de transfert de données indique qu'une instance est compromise et peut entraîner l'exfiltration de données. Généralement, le trafic DNS n'est pas bloqué par des pare-feu. Par exemple, un programme malveillant dans une instance EC2 compromise peut encoder des données, (comme votre numéro de carte de crédit) dans une requête DNS et les envoyer à un serveur DNS distant contrôlé par un pirate.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DriveBySourceTraffic!DNS

Une instance EC2 interroge le nom de domaine d'un hôte distant qui est la source connue d'attaques de type « drive-by download ».

Gravité par défaut : élevée

  • Source de données : journaux DNS

Ce résultat vous informe que l'instance EC2 répertoriée de votre environnement AWS pourrait être compromise, car elle interroge un nom de domaine qui est un hôte distant étant une source connue d'attaques de type « drive-by-download ». Il s'agit de téléchargements involontaires de logiciels d'Internet qui peuvent déclencher l'installation automatique de virus, logiciels espions ou programmes malveillants.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DropPoint

Une instance EC2 tente de communiquer avec une adresse IP d'un hôte distant connu pour contenir les informations d'identification et d'autres données volées capturées par des programmes malveillants.

Gravité par défaut : moyenne

  • Source de données : journaux de flux VPC

Ce résultat vous informe qu'une instance EC2 de votre environnement AWS tente de communiquer avec une adresse IP d'un hôte distant connu pour contenir les informations d'identification et d'autres données volées capturées par des programmes malveillants.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/DropPoint!DNS

Une instance EC2 interroge le nom de domaine d'un hôte distant connu pour contenir les informations d'identification et d'autres données volées capturées par des programmes malveillants.

Gravité par défaut : moyenne

  • Source de données : journaux DNS

Ce résultat vous informe qu'une instance EC2 de votre environnement AWS interroge le nom de domaine d'un hôte distant connu pour contenir les informations d'identification et d'autres données volées capturées par des programmes malveillants.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

Trojan:EC2/PhishingDomainRequest!DNS

Une instance EC2 interroge des domaines impliqués dans des attaques d'hameçonnage. Votre instance EC2 pourrait être compromise.

Gravité par défaut : élevée

  • Source de données : journaux DNS

Ce résultat vous informe qu'une instance EC2 de votre environnement AWS tente d'interroger un domaine impliqué dans des attaques de hameçonnage. Les domaines de hameçonnage sont créés par des pirates se faisant passer pour une institution légitime afin de pousser des utilisateurs à fournir des données sensibles, telles que des informations personnelles identifiables, des coordonnées bancaires, des informations de carte bancaire ou des mots de passe. Votre instance EC2 essaie peut-être de récupérer des données sensibles stockées sur un site Web d'hameçonnage ou d'en configurer un. Votre instance EC2 pourrait être compromise.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Une instance EC2 établit des connexions à une adresse IP figurant sur une liste de menaces personnalisée.

Gravité par défaut : moyenne

  • Source de données : journaux de flux VPC

Ce résultat vous informe qu'une instance EC2 de votre environnement AWS communique avec une adresse IP figurant sur une liste de menaces que vous avez téléchargée. Dans GuardDuty, une liste de menaces comporte des adresses IP malveillantes connues. GuardDuty génère des résultats en fonction des listes de menaces chargées. La liste de menaces utilisée pour générer ce résultat sera répertoriée dans les détails du résultat.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

UnauthorizedAccess:EC2/MetadataDNSRebind

Une instance EC2 effectue des recherches DNS résolues en service de métadonnées d'instance.

Gravité par défaut : élevée

  • Source de données : journaux DNS

Ce résultat vous informe qu'une instance EC2 de votre environnement AWS interroge un domaine qui se résout en adresse IP des métadonnées EC2 (169.254.169.254). Une requête DNS de ce type peut indiquer que l'instance est une cible d'une technique de reliaison DNS. Celle-ci qui peut être utilisée pour obtenir des métadonnées à partir d'une instance EC2, y compris les informations d'identification IAM associées à l'instance.

La reliaison DNS implique de tromper une application s'exécutant sur l'instance EC2 pour charger des données de retour à partir d'une URL, où le nom de domaine de l'URL se résout en adresse IP des métadonnées EC2 (169.254.169.254). Cela conduit l'application à accéder aux métadonnées EC2 et éventuellement à les mettre à la disposition du pirate.

Il est possible d'accéder aux métadonnées EC2 à l'aide de la fonction de reliaison DNS uniquement si l'instance EC2 exécute une application vulnérable qui permet l'injection d'URL, ou si une personne accède à l'URL dans un navigateur Web s'exécutant sur l'instance EC2.

Recommandations de correction :

En réponse à ce résultat, vous devez évaluer s'il existe une application vulnérable en cours d'exécution sur l'instance EC2 ou si une personne a utilisé un navigateur pour accéder au domaine identifié dans le résultat. Si la cause première est une application vulnérable, vous devez corriger la vulnérabilité. Si une personne a navigué dans le domaine identifié, vous devez bloquer le domaine ou empêcher les utilisateurs d'y accéder. Si vous déterminez que ce résultat était lié à l'un ou l'autre des cas ci-dessus, révoquez la session associée à l'instance EC2.

Certains clients AWS mappent intentionnellement l'adresse IP des métadonnées à un nom de domaine sur leurs serveurs DNS faisant autorité. Si c'est le cas dans votre environnement , nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur UnauthorizedAccess:EC2/MetaDataDNSRebind. Le deuxième critère de filtrage doit être le DNS request domain (Domaine de demande DNS) et la valeur doit correspondre au domaine que vous avez mappé sur l'adresse IP des métadonnées (169.254.169.254). Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression.

UnauthorizedAccess:EC2/RDPBruteForce

Une instance EC2 a été impliquée dans des attaques en force RDP.

Gravité par défaut : faible*

Note

La gravité de ce résultat est faible si votre instance EC2 était la cible d'une attaque par force brute. La gravité de ce résultat est élevée si votre instance EC2 est utilisée pour procéder à l'attaque par force brute.

  • Source de données : journaux de flux VPC

Ce résultat vous informe qu'une instance EC2 de votre environnement AWS a été impliquée dans une attaque en force visant à obtenir les mots de passe de services RDP sur des systèmes Windows. Cela peut être signe d'un accès non autorisé à vos ressources AWS.

Recommandations de correction :

Si le rôle de ressource de votre instance est ACTOR, cela indique que votre instance a été utilisée pour procéder à des attaques par force brute RDP. À moins que cette instance ait une raison légitime de contacter l'adresse IP répertoriée en tant que Target, il est recommandé de supposer que votre instance est compromise et de prendre les mesures répertoriées dans Corriger une instance Amazon EC2 potentiellement compromise.

Si le rôle de ressource de votre instance est TARGET, ce résultat peut être corrigé en sécurisant votre port RDP uniquement pour des adresses IP approuvées via des groupes de sécurité, des listes de contrôle d'accès ou des pare-feu. Pour plus d'informations, veuillez consulter Conseils pour sécuriser vos instances EC2 (Linux) (langue française non garantie).

UnauthorizedAccess:EC2/SSHBruteForce

Une instance EC2 a été impliquée dans des attaques en force SSH.

Gravité par défaut : faible*

Note

La gravité de ce résultat est faible si une attaque par force brute vise l'une de vos instances EC2. La gravité de ce résultat est élevée si votre instance EC2 est utilisée pour effectuer l'attaque par force brute.

  • Source de données : journaux de flux VPC

Ce résultat vous informe qu'une instance EC2 de votre environnement AWS a été impliquée dans une attaque en force visant à obtenir les mots de passe de services SSH sur des systèmes Linux. Cela peut être signe d'un accès non autorisé à vos ressources AWS.

Note

Ce résultat est généré uniquement par la surveillance du trafic de sur le port 22. Si vos services SSH sont configurées de façon à utiliser d'autres ports, ce résultat n'est pas généré.

Recommandations de correction :

Si la cible de la tentative d'attaque en force est un hôte bastion, cela peut représenter le comportement attendu pour votre environnement AWS. Dans ce cas, nous vous recommandons de configurer une règle de suppression pour ce résultat. La règle de suppression doit comprendre deux critères de filtre. Le premier critère doit utiliser l'attribut Finding type (Type de résultat) avec la valeur UnauthorizedAccess:EC2/SSHBruteForce. Le second critère de filtre doit correspondre à l'instance ou aux instances qui servent d'hôte bastion. Vous pouvez utiliser l'attribut ID d'image d'instance ou l'attribut de valeur Balise en fonction du critère identifiable avec les instances qui hébergent ces outils. Pour de plus amples informations sur la création de règles de suppression, veuillez consulter Règles de suppression.

Si cette activité n'est pas attendue pour votre environnement et que le rôle de ressource de votre instance est TARGET, ce résultat peut être corrigé en sécurisant votre port SSH uniquement pour des adresses IP approuvées via des groupes de sécurité, des listes de contrôle d'accès ou des pare-feu. Pour plus d'informations, veuillez consulter Conseils pour sécuriser vos instances EC2 (Linux) (langue française non garantie).

Si le rôle de ressource de votre instance est ACTOR, cela indique que l'instance a été utilisée pour procéder à des attaques par force brute SSH. À moins que cette instance ait une raison légitime de contacter l'adresse IP répertoriée en tant que Target, il est recommandé de supposer que votre instance est compromise et de prendre les mesures répertoriées dans Corriger une instance Amazon EC2 potentiellement compromise.

UnauthorizedAccess:EC2/TorClient

Votre instance EC2 est en train de se connecter à un nœud Tor Guard ou Authority.

Gravité par défaut : élevée

  • Source de données : journaux de flux VPC

Ce résultat vous informe qu'une instance EC2 de votre environnement AWS est en train de se connecter à un nœud Tor Guard ou Authority. Tor est un logiciel permettant d'activer les communications anonymes. Les nœuds Tor Guards et Authority agissent en tant que passerelles initiales dans un réseau Tor. Ce trafic peut indiquer que cette instance EC2 a été compromise et agit en tant que client sur un réseau Tor. Ce résultat peut être le signe d'un accès non autorisé à vos ressources AWS dans le but de masquer la véritable identité du pirate.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d’informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.

UnauthorizedAccess:EC2/TorRelay

Votre instance EC2 est en train de se connecter à un réseau Tor en tant que relais Tor.

Gravité par défaut : élevée

  • Source de données : journaux de flux VPC

Ce résultat vous informe qu'une instance EC2 de votre environnement AWS est en train de se connecter à un réseau Tor d'une façon qui suggère qu'elle agit en tant que relais Tor. Tor est un logiciel permettant d'activer les communications anonymes. Tor augmente l'anonymat de la communication en réacheminant le trafic potentiellement illicite du client d'un relais Tor à un autre.

Recommandations de correction :

Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour plus d'informations, consultez Corriger une instance Amazon EC2 potentiellement compromise.