Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Retrait de types de résultat
Une constatation est une notification contenant des informations détaillées sur un problème de sécurité potentiel GuardDuty découvert. Pour plus d'informations sur les modifications importantes apportées aux types de GuardDuty recherche, y compris les types de recherche récemment ajoutés ou retirés, voirHistorique du document pour Amazon GuardDuty.
Les types de recherche suivants sont retirés et ne sont plus générés par GuardDuty.
Important
Vous ne pouvez pas réactiver les types de GuardDuty recherche retirés.
Rubriques
- Exfiltration:S3/ObjectRead.Unusual
- Impact:S3/PermissionsModification.Unusual
- Impact:S3/ObjectDelete.Unusual
- Discovery:S3/BucketEnumeration.Unusual
- Persistence:IAMUser/NetworkPermissions
- Persistence:IAMUser/ResourcePermissions
- Persistence:IAMUser/UserPermissions
- PrivilegeEscalation:IAMUser/AdministrativePermissions
- Recon:IAMUser/NetworkPermissions
- Recon:IAMUser/ResourcePermissions
- Recon:IAMUser/UserPermissions
- ResourceConsumption:IAMUser/ComputeResources
- Stealth:IAMUser/LoggingConfigurationModified
- UnauthorizedAccess:IAMUser/ConsoleLogin
- UnauthorizedAccess:EC2/TorIPCaller
- Backdoor:EC2/XORDDOS
- Behavior:IAMUser/InstanceLaunchUnusual
- CryptoCurrency:EC2/BitcoinTool.A
- UnauthorizedAccess:IAMUser/UnusualASNCaller
Exfiltration:S3/ObjectRead.Unusual
Une IAM entité a invoqué un S3 API de manière suspecte.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
-
Source de données : événements de CloudTrail données pour S3
Ce résultat vous indique qu'une IAM entité de votre AWS environnement effectue des API appels qui impliquent un compartiment S3 et qui diffèrent de la base de référence établie pour cette entité. L'APIappel utilisé dans cette activité est associé à la phase d'exfiltration d'une attaque, au cours de laquelle un attaquant tente de collecter des données. Cette activité est suspecte car la manière dont l'IAMentité l'a invoquée API était inhabituelle. Par exemple, cette IAM entité n'avait jamais invoqué ce type deAPI, ou API elle avait été invoquée depuis un endroit inhabituel.
Recommandations de correction :
Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.
Impact:S3/PermissionsModification.Unusual
Une IAM entité a invoqué un API pour modifier les autorisations sur une ou plusieurs ressources S3.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat vous indique qu'une IAM entité passe des API appels destinés à modifier les autorisations sur un ou plusieurs compartiments ou objets de votre AWS environnement. Cette action peut être effectuée par un pirate pour permettre le partage d'informations en dehors du compte. Cette activité est suspecte car la manière dont l'IAMentité l'a invoquée API était inhabituelle. Par exemple, cette IAM entité n'avait jamais invoqué ce type deAPI, ou API elle avait été invoquée depuis un endroit inhabituel.
Recommandations de correction :
Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.
Impact:S3/ObjectDelete.Unusual
Une IAM entité a invoqué et API utilisé pour supprimer des données dans un compartiment S3.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat vous indique qu'une IAM entité spécifique de votre AWS environnement passe des API appels destinés à supprimer des données dans le compartiment S3 répertorié en supprimant le compartiment lui-même. Cette activité est suspecte car la manière dont l'IAMentité l'a invoquée API était inhabituelle. Par exemple, cette IAM entité n'avait jamais invoqué ce type deAPI, ou API elle avait été invoquée depuis un endroit inhabituel.
Recommandations de correction :
Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.
Discovery:S3/BucketEnumeration.Unusual
Une IAM entité a invoqué un S3 API utilisé pour découvrir des compartiments S3 au sein de votre réseau.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat vous indique qu'une IAM entité a invoqué un S3 API pour découvrir des compartiments S3 dans votre environnement, tels queListBuckets. Ce type d'activité est associé à la phase de découverte d'une attaque au cours de laquelle un attaquant collecte des informations pour déterminer si votre AWS environnement est vulnérable à une attaque de plus grande envergure. Cette activité est suspecte car la manière dont l'IAMentité l'a invoquée API était inhabituelle. Par exemple, cette IAM entité n'avait jamais invoqué ce type deAPI, ou API elle avait été invoquée depuis un endroit inhabituel.
Recommandations de correction :
Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour de plus amples informations, veuillez consulter Corriger un compartiment S3 potentiellement compromis.
Persistence:IAMUser/NetworkPermissions
Une IAM entité a invoqué et est API couramment utilisée pour modifier les autorisations d'accès au réseau pour les groupes de sécurité, les itinéraires et ACLs dans votre AWS compte.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat indique qu'un principal (Utilisateur racine d'un compte AWS IAMrôle ou utilisateur) spécifique de votre AWS environnement présente un comportement différent de celui de référence établi. Ce principe n'a jamais été invoqué par le passé. API
Cette constatation est déclenchée lorsque les paramètres de configuration réseau sont modifiés dans des circonstances suspectes, par exemple lorsqu'un principal invoque le CreateSecurityGroup API nom du réseau sans aucun historique. Les attaquants tentent souvent de modifier les groupes de sécurité pour autoriser un certain trafic entrant sur différents ports afin d'améliorer leur capacité à accéder à une EC2 instance.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Persistence:IAMUser/ResourcePermissions
Un principal a invoqué et est API couramment utilisé pour modifier les politiques d'accès de sécurité de diverses ressources de votre Compte AWS.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat indique qu'un principal (Utilisateur racine d'un compte AWS IAMrôle ou utilisateur) spécifique de votre AWS environnement présente un comportement différent de celui de référence établi. Ce principe n'a jamais été invoqué par le passé. API
Cette constatation est déclenchée lorsqu'une modification est détectée dans les politiques ou les autorisations associées aux AWS ressources, par exemple lorsqu'un responsable de votre AWS environnement invoque le PutBucketPolicy API nom de la société sans aucun historique. Certains services, comme Amazon S3, prennent en charge les autorisations associées à des ressources et permettant à un ou plusieurs principaux d'accéder à la ressource. Avec des informations d'identification volées, des pirates peuvent modifier les stratégies associées à une ressource pour y obtenir l'accès.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Persistence:IAMUser/UserPermissions
Un directeur a invoqué une méthode API couramment utilisée pour ajouter, modifier ou supprimer des IAM utilisateurs, des groupes ou des politiques dans votre AWS compte.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat indique qu'un principal (Utilisateur racine d'un compte AWS IAMrôle ou utilisateur) spécifique de votre AWS environnement présente un comportement différent de celui de référence établi. Ce principe n'a jamais été invoqué par le passé. API
Cette découverte est déclenchée par des modifications suspectes apportées aux autorisations relatives aux utilisateurs dans votre AWS environnement, par exemple lorsqu'un directeur de votre AWS
environnement invoque le nom AttachUserPolicy API de l'utilisateur sans aucun historique. Les pirates peuvent utiliser des informations d'identification volées pour créer des utilisateurs, ajouter des stratégies d'accès aux utilisateurs existants ou créer des clés d'accès afin de maximiser leur accès à un compte, même si leur point d'accès d'origine est fermé. Par exemple, le propriétaire du compte peut remarquer qu'un IAM utilisateur ou un mot de passe en particulier a été volé et le supprimer du compte. Cependant, il est possible qu'ils ne suppriment pas d'autres utilisateurs créés par un administrateur principal créé de manière frauduleuse, laissant leur AWS compte accessible à l'attaquant.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
PrivilegeEscalation:IAMUser/AdministrativePermissions
Un principal a tenté de s'attribuer à lui-même une stratégie très permissive.
Gravité par défaut : faible*
Note
La gravité de ce résultat est faible si la tentative d'escalade des privilèges n'a pas abouti. Elle est moyenne si la tentative d'escalade des privilèges a réussi.
Ce résultat indique qu'une IAM entité spécifique de votre AWS environnement présente un comportement qui peut être révélateur d'une attaque par augmentation de privilèges. Cette constatation est déclenchée lorsqu'un IAM utilisateur ou un rôle tente de s'attribuer une politique hautement permissive. Si l'utilisateur ou le rôle en question n'est pas censé disposer de privilèges d'administration, soit les informations d'identification de l'utilisateur sont compromises, soit les autorisations du rôle ne sont pas configurées correctement.
Les pirates utiliseront des informations d'identification volées pour créer des utilisateurs, ajouter des stratégies d'accès aux utilisateurs existants ou créer des clés d'accès afin de maximiser leur accès à un compte, même si leur point d'accès d'origine est fermé. Par exemple, le propriétaire du compte peut remarquer que l'identifiant de connexion d'un IAM utilisateur en particulier a été volé et l'a supprimé du compte, mais il peut ne pas supprimer les autres utilisateurs créés par un administrateur principal créé de manière frauduleuse, laissant leur AWS compte toujours accessible à l'attaquant.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Recon:IAMUser/NetworkPermissions
Un principal a invoqué une API méthode couramment utilisée pour modifier les autorisations d'accès au réseau pour les groupes de sécurité, les itinéraires et ACLs pour votre AWS compte.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat indique qu'un principal (Utilisateur racine d'un compte AWS IAMrôle ou utilisateur) spécifique de votre AWS environnement présente un comportement différent de celui de référence établi. Ce principe n'a jamais été invoqué par le passé. API
Ce résultat est déclenché lorsque des autorisations d'accès à des ressources dans votre compte AWS
sont examinées dans des circonstances suspectes. Par exemple, si un directeur a invoqué le DescribeInstances API sans antécédents. Un attaquant peut utiliser des informations d'identification volées pour effectuer ce type de reconnaissance de vos AWS ressources afin de trouver des informations d'identification plus précieuses ou de déterminer les capacités des informations d'identification qu'il possède déjà.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Recon:IAMUser/ResourcePermissions
Un principal a invoqué et est API couramment utilisé pour modifier les politiques d'accès de sécurité des différentes ressources de votre AWS compte.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat indique qu'un principal (Utilisateur racine d'un compte AWS IAMrôle ou utilisateur) spécifique de votre AWS environnement présente un comportement différent de celui de référence établi. Ce principe n'a jamais été invoqué par le passé. API
Ce résultat est déclenché lorsque des autorisations d'accès à des ressources dans votre compte AWS
sont examinées dans des circonstances suspectes. Par exemple, si un directeur a invoqué le DescribeInstances API sans antécédents. Un attaquant peut utiliser des informations d'identification volées pour effectuer ce type de reconnaissance de vos AWS ressources afin de trouver des informations d'identification plus précieuses ou de déterminer les capacités des informations d'identification qu'il possède déjà.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Recon:IAMUser/UserPermissions
Un directeur a invoqué une méthode API couramment utilisée pour ajouter, modifier ou supprimer des IAM utilisateurs, des groupes ou des politiques dans votre AWS compte.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat est déclenché lorsque les autorisations des utilisateurs de votre AWS environnement sont vérifiées dans des circonstances suspectes. Par exemple, si un principal (Utilisateur racine d'un compte AWS, un IAM rôle ou un IAM utilisateur) a invoqué le ListInstanceProfilesForRole API sans aucun historique. Un attaquant peut utiliser des informations d'identification volées pour effectuer ce type de reconnaissance de vos AWS ressources afin de trouver des informations d'identification plus précieuses ou de déterminer les capacités des informations d'identification qu'il possède déjà.
Ce résultat indique qu'un principe spécifique de votre AWS environnement présente un comportement différent de celui de référence établi. Ce principe n'a jamais été invoqué de cette façon API dans le passé.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
ResourceConsumption:IAMUser/ComputeResources
Un principal a invoqué et est API couramment utilisé pour lancer des ressources de calcul telles que EC2 les instances.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat est déclenché lorsque EC2 des instances du compte répertorié dans votre AWS environnement sont lancées dans des circonstances suspectes. Ce résultat indique qu'un principal spécifique de votre AWS environnement présente un comportement différent de celui de référence établi ; par exemple, si un principal (Utilisateur racine d'un compte AWS, un IAM rôle ou un IAM utilisateur) a invoqué le RunInstances API sans aucun historique de ce type. Cela peut être le signe qu'un pirate utilise des informations d'identification volées pour voler du temps de calcul (peut-être pour le minage de monnaie cryptographique ou le cassage d'un mot de passe). Cela peut également indiquer qu'un attaquant utilise une EC2 instance de votre AWS environnement et ses informations d'identification pour conserver l'accès à votre compte.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
Stealth:IAMUser/LoggingConfigurationModified
Un directeur a invoqué une méthode API couramment utilisée pour arrêter la CloudTrail journalisation, supprimer les journaux existants ou éliminer les traces d'activité sur votre AWS compte.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat est déclenché lorsque la configuration de la journalisation dans le compte AWS
répertorié au sein de votre environnement est modifiée dans des circonstances suspectes. Ce résultat vous indique qu'un principal spécifique de votre AWS environnement présente un comportement différent de celui de la référence établie ; par exemple, si un principal (Utilisateur racine d'un compte AWS IAMrôle ou IAM utilisateur) l'StopLoggingAPIa invoqué sans aucun historique. Cela peut indiquer qu'un pirate tente de recouvrir ses traces toute trace de ses activités.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
UnauthorizedAccess:IAMUser/ConsoleLogin
Une connexion inhabituelle à la console par un mandant de votre AWS compte a été observée.
Gravité par défaut : moyenne*
Note
La gravité par défaut de ce résultat est moyenne. Toutefois, si le API est invoqué à l'aide AWS d'informations d'identification temporaires créées sur une instance, le niveau de gravité du résultat est élevé.
Ce résultat est déclenchée lorsqu'une connexion à une console est détectée dans des circonstances suspectes. Par exemple, si un directeur qui n'a jamais agi de la sorte l'a invoqué ConsoleLogin API auprès d'un never-before-used client ou d'un lieu inhabituel. Cela peut indiquer que des informations d'identification volées ont été utilisées pour accéder à votre AWS compte, ou qu'un utilisateur valide a accédé au compte d'une manière non valide ou moins sécurisée (par exemple, sans autorisation préalableVPN).
Ce résultat vous indique qu'un principe spécifique de votre AWS environnement présente un comportement différent de celui de référence établi. Ce principal n'a jamais eu d'activité de connexion à l'aide de cette application client et depuis cet emplacement spécifique auparavant.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
UnauthorizedAccess:EC2/TorIPCaller
Votre EC2 instance reçoit des connexions entrantes depuis un nœud de sortie Tor.
Gravité par défaut : moyenne
Ce résultat vous indique qu'une EC2 instance de votre AWS environnement reçoit des connexions entrantes depuis un nœud de sortie Tor. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cette découverte peut indiquer un accès non autorisé à vos AWS ressources dans le but de cacher la véritable identité de l'attaquant.
Recommandations de correction :
Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.
Backdoor:EC2/XORDDOS
Une EC2 instance tente de communiquer avec une adresse IP associée à un XOR DDoS logiciel malveillant.
Gravité par défaut : élevée
Ce résultat vous indique qu'une EC2 instance de votre AWS environnement tente de communiquer avec une adresse IP associée à un XOR DDoS logiciel malveillant. Cette EC2 instance est peut-être compromise. XORDDoSest un malware troyen qui pirate les systèmes Linux. Pour accéder au système, il lance une attaque par force brute afin de découvrir le mot de passe des services Secure Shell (SSH) sous Linux. Une fois les SSH informations d'identification obtenues et la connexion réussie, il utilise les privilèges de l'utilisateur root pour exécuter un script qui se télécharge et s'installe. XOR DDoS Ce malware est ensuite utilisé dans le cadre d'un botnet pour lancer des attaques par déni de service distribué (DDoS) contre d'autres cibles.
Recommandations de correction :
Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.
Behavior:IAMUser/InstanceLaunchUnusual
Un utilisateur a lancé une EC2 instance d'un type inhabituel.
Gravité par défaut : élevée
Ce résultat vous indique qu'un utilisateur spécifique de votre AWS environnement présente un comportement différent de celui de référence établi. Cet utilisateur n'a jamais lancé une EC2 instance de ce type dans le passé. Vos informations d'identification de connexion pourraient être compromises.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
CryptoCurrency:EC2/BitcoinTool.A
EC2l'instance communique avec les pools de minage de Bitcoin.
Gravité par défaut : élevée
Ce résultat vous indique qu'une EC2 instance de votre AWS environnement communique avec des pools de minage de bitcoins. Dans le domaine du minage de monnaies cryptographiques, un groupe de minage désigné le regroupement des ressources des mineurs, qui partagent leur puissance de traitement sur un réseau pour répartir les gains en fonction de leur contribution à la résolution d'un bloc. À moins que vous n'utilisiez cette EC2 instance pour le minage de bitcoins, votre EC2 instance risque d'être compromise.
Recommandations de correction :
Si cette activité est imprévue, il se peut que votre instance soit compromise. Pour de plus amples informations, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.
UnauthorizedAccess:IAMUser/UnusualASNCaller
An API a été invoqué à partir d'une adresse IP d'un réseau inhabituel.
Gravité par défaut : élevée
Ce résultat vous informe qu'une activité a été appelée depuis une adresse IP d'un réseau inhabituel. Ce réseau n'a jamais été observé dans l'historique d'utilisation d' AWS de l'utilisateur spécifié. Cette activité peut inclure une connexion à la console, une tentative de lancement d'une EC2 instance, de création d'un nouvel IAM utilisateur, de modification de vos AWS privilèges, etc. Cela peut indiquer un accès non autorisé à vos AWS ressources.
Recommandations de correction :
Si cette activité est inattendue, vos informations d'identification peuvent être compromises. Pour de plus amples informations, veuillez consulter Corriger les informations d'identification potentiellement compromises AWS.
