GuardDuty Types de recherche S3 - Amazon GuardDuty
Discovery:S3/AnomalousBehaviorDiscovery:S3/MaliciousIPCallerDiscovery:S3/MaliciousIPCaller.CustomDiscovery:S3/TorIPCallerExfiltration:S3/AnomalousBehaviorExfiltration:S3/MaliciousIPCallerImpact:S3/AnomalousBehavior.DeleteImpact:S3/AnomalousBehavior.PermissionImpact:S3/AnomalousBehavior.WriteImpact:S3/MaliciousIPCallerPenTest:S3/KaliLinuxPenTest:S3/ParrotLinuxPenTest:S3/PentooLinuxPolicy:S3/AccountBlockPublicAccessDisabledPolicy:S3/BucketAnonymousAccessGrantedPolicy:S3/BucketBlockPublicAccessDisabledPolicy:S3/BucketPublicAccessGrantedStealth:S3/ServerAccessLoggingDisabledUnauthorizedAccess:S3/MaliciousIPCaller.CustomUnauthorizedAccess:S3/TorIPCaller

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty Types de recherche S3

Les résultats suivants sont spécifiques aux ressources Amazon S3 et auront un type de ressource indiquant S3Bucket si la source de données est constituée d'événements de CloudTrail données pour S3 ou AccessKey si la source de données est constituée d'événements CloudTrail de gestion. La gravité et les détails des résultats diffèrent selon le type de résultat et l'autorisation associée au compartiment.

Les résultats répertoriés ici incluent les sources de données et les modèles utilisés pour générer ce type de résultat. Pour plus d'informations sur les sources de données et les modèles, veuillez consulter Source de données de base.

Important

Les résultats contenant une source de CloudTrail données contenant des événements de données pour S3 ne sont générés que si la protection S3 est activée pour GuardDuty. La protection S3 est activée par défaut dans tous les comptes créés après le 31 juillet 2020. Pour en savoir plus sur l'activation de la protection S3, veuillez consulter Protection Amazon S3 sur Amazon GuardDuty.

Pour tous les résultats de type S3Bucket, il est recommandé d'examiner les autorisations sur le compartiment en question et les autorisations de tous les utilisateurs impliqués dans le résultat. Si l'activité est inattendue, veuillez consulter les recommandations de correction détaillées dans Corriger un compartiment S3 potentiellement compromis.

Discovery:S3/AnomalousBehavior

Une API couramment utilisée pour découvrir des objets S3 a été invoquée de manière anormale.

Gravité par défaut : faible

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous informe qu'une entité IAM a invoqué une API S3 pour découvrir des compartiments S3 dans votre environnement, comme ListObjects. Ce type d'activité est associé à la phase de découverte d'une attaque au cours de laquelle un attaquant collecte des informations pour déterminer si votre AWS environnement est susceptible d'être victime d'une attaque de plus grande envergure. Cette activité est suspecte, car la l'entité IAM a invoqué l'API de façon inhabituelle. Par exemple, une entité IAM sans historique appelle une API S3, ou une entité IAM invoque une API S3 depuis un emplacement inhabituel.

Cette API a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle de ML évalue toutes les demandes d'API dans votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Il suit différents facteurs liés aux demandes d'API, tels que l'utilisateur à l'origine de la demande, l'emplacement d'origine de la demande, l'API spécifique demandée, le compartiment demandé et le nombre d'appels d'API effectués. Pour plus d'informations sur les facteurs de la demande d'API qui sont inhabituels par rapport à l'identité de l'utilisateur qui a invoqué la demande, veuillez consulter Détails du résultat.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Discovery:S3/MaliciousIPCaller

Une API S3 couramment utilisée pour découvrir des ressources dans un AWS environnement a été invoquée à partir d'une adresse IP malveillante connue.

Gravité par défaut : élevée

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous informe qu'une opération d'API S3 a été invoquée à partir d'une adresse IP associée à une activité malveillante connue. L'API observée est généralement associée à la phase de découverte d'une attaque lorsqu'un adversaire collecte des informations sur votre AWS environnement. Exemples : GetObjectAcl et ListObjects.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Discovery:S3/MaliciousIPCaller.Custom

Une API S3 a été invoquée depuis une adresse IP figurant sur une liste de menaces personnalisée.

Gravité par défaut : élevée

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous informe qu'une API S3, comme GetObjectAcl ou ListObjects, a été invoquée depuis une adresse IP figurant sur une liste de menaces que vous avez chargée. La liste des menaces associée à ce résultat est répertoriée dans la section Informations supplémentaires des détails d'un résultat. Ce type d'activité est associé à la phase de découverte d'une attaque au cours de laquelle un pirate collecte des informations pour déterminer si votre environnement AWS est vulnérable à une attaque de plus grande envergure.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Discovery:S3/TorIPCaller

Une API S3 a été appelée depuis une adresse IP du nœud de sortie Tor.

Gravité par défaut : moyenne

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous informe qu'une API S3, comme GetObjectAcl ou ListObjects, a été invoquée depuis une adresse IP du nœud de sortie Tor. Ce type d'activité est associé à la phase de découverte d'une attaque au cours de laquelle un attaquant collecte des informations pour déterminer si votre AWS environnement est vulnérable à une attaque de plus grande envergure. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cela peut indiquer un accès non autorisé à vos AWS ressources dans le but de cacher la véritable identité de l'attaquant.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Exfiltration:S3/AnomalousBehavior

Une entité IAM a invoqué une API S3 de manière suspecte.

Gravité par défaut : élevée

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous informe qu'une entité IAM effectue des appels d'API qui impliquent un compartiment S3 et que cette activité diffère de la référence établie de cette entité. L'appel d'API utilisé dans cette activité est associé à la phase d'exfiltration d'une attaque, au cours de laquelle un pirate tente de collecter des données. Cette activité est suspecte, car la l'entité IAM a invoqué l'API de façon inhabituelle. Par exemple, une entité IAM sans historique appelle une API S3, ou une entité IAM invoque une API S3 depuis un emplacement inhabituel.

Cette API a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle de ML évalue toutes les demandes d'API dans votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Il suit différents facteurs liés aux demandes d'API, tels que l'utilisateur à l'origine de la demande, l'emplacement d'origine de la demande, l'API spécifique demandée, le compartiment demandé et le nombre d'appels d'API effectués. Pour plus d'informations sur les facteurs de la demande d'API qui sont inhabituels par rapport à l'identité de l'utilisateur qui a invoqué la demande, veuillez consulter Détails du résultat.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Exfiltration:S3/MaliciousIPCaller

Une API S3 couramment utilisée pour collecter des données à partir d'un AWS environnement a été invoquée à partir d'une adresse IP malveillante connue.

Gravité par défaut : élevée

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous informe qu'une opération d'API S3 a été invoquée à partir d'une adresse IP associée à une activité malveillante connue. L'API observée est généralement associée à des tactiques d'exfiltration dans le cadre desquelles un adversaire tente de collecter des données sur votre réseau. Exemples : GetObject et CopyObject.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Impact:S3/AnomalousBehavior.Delete

Une entité IAM a invoqué une API S3 qui tente de supprimer des données de manière suspecte.

Gravité par défaut : élevée

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous indique qu'une entité IAM de votre AWS environnement effectue des appels d'API impliquant un compartiment S3, et que ce comportement est différent de la base de référence établie pour cette entité. L'appel d'API utilisé dans cette activité est associé à une attaque visant à supprimer des données. Cette activité est suspecte, car la l'entité IAM a invoqué l'API de façon inhabituelle. Par exemple, une entité IAM sans historique appelle une API S3, ou une entité IAM invoque une API S3 depuis un emplacement inhabituel.

Cette API a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle de ML évalue toutes les demandes d'API dans votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Il suit différents facteurs liés aux demandes d'API, tels que l'utilisateur à l'origine de la demande, l'emplacement d'origine de la demande, l'API spécifique demandée, le compartiment demandé et le nombre d'appels d'API effectués. Pour plus d'informations sur les facteurs de la demande d'API qui sont inhabituels par rapport à l'identité de l'utilisateur qui a invoqué la demande, veuillez consulter Détails du résultat.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Nous recommandons un audit du contenu de votre compartiment S3 afin de déterminer si la version précédente de l'objet peut ou doit être restaurée.

Impact:S3/AnomalousBehavior.Permission

Une API couramment utilisée pour définir les autorisations de liste de contrôle d'accès (ACL) a été invoquée de manière anormale.

Gravité par défaut : élevée

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous indique qu'une entité IAM de votre AWS environnement a modifié une politique de compartiment ou une ACL sur les compartiments S3 répertoriés. Cette modification peut exposer publiquement vos compartiments S3 à tous les utilisateurs authentifiés. AWS

Cette API a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle de ML évalue toutes les demandes d'API dans votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Il suit différents facteurs liés aux demandes d'API, tels que l'utilisateur à l'origine de la demande, l'emplacement d'origine de la demande, l'API spécifique demandée, le compartiment demandé et le nombre d'appels d'API effectués. Pour plus d'informations sur les facteurs de la demande d'API qui sont inhabituels par rapport à l'identité de l'utilisateur qui a invoqué la demande, veuillez consulter Détails du résultat.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Nous recommandons un audit du contenu de votre compartiment S3 pour vous assurer qu'aucun objet n'a été autorisé à être consulté publiquement de manière inattendue.

Impact:S3/AnomalousBehavior.Write

Une entité IAM a invoqué une API S3 qui tente d'écrire des données de manière suspecte.

Gravité par défaut : moyenne

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous indique qu'une entité IAM de votre AWS environnement effectue des appels d'API impliquant un compartiment S3, et que ce comportement est différent de la base de référence établie pour cette entité. L'appel d'API utilisé dans cette activité est associé à une attaque qui tente d'écrire des données. Cette activité est suspecte, car la l'entité IAM a invoqué l'API de façon inhabituelle. Par exemple, une entité IAM sans historique appelle une API S3, ou une entité IAM invoque une API S3 depuis un emplacement inhabituel.

Cette API a été identifiée comme anormale par GuardDuty le modèle d'apprentissage automatique (ML) de détection d'anomalies. Le modèle de ML évalue toutes les demandes d'API dans votre compte et identifie les événements anormaux associés aux techniques utilisées par les adversaires. Il suit différents facteurs liés aux demandes d'API, tels que l'utilisateur à l'origine de la demande, l'emplacement d'origine de la demande, l'API spécifique demandée, le compartiment demandé et le nombre d'appels d'API effectués. Pour plus d'informations sur les facteurs de la demande d'API qui sont inhabituels par rapport à l'identité de l'utilisateur qui a invoqué la demande, veuillez consulter Détails du résultat.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Nous recommandons un audit du contenu de votre compartiment S3 pour vous assurer que cet appel d'API n'a pas écrit de données malveillantes ou non autorisées.

Impact:S3/MaliciousIPCaller

Une API S3 couramment utilisée pour altérer des données ou des processus dans un AWS environnement a été invoquée à partir d'une adresse IP malveillante connue.

Gravité par défaut : élevée

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous informe qu'une opération d'API S3 a été invoquée à partir d'une adresse IP associée à une activité malveillante connue. L'API observée est généralement associée à des tactiques d'impact dans le cadre desquelles un adversaire tente de manipuler, d'interrompre ou de détruire des données au sein de votre AWS environnement. Exemples : PutObject et PutObjectAcl.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

PenTest:S3/KaliLinux

Une API S3 a été invoquée par une machine Kali Linux.

Gravité par défaut : moyenne

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous indique qu'une machine exécutant Kali Linux effectue des appels à l'API S3 en utilisant les informations d'identification qui appartiennent à votre AWS compte. Vos informations d'identification pourraient être compromises. Kali Linux est un outil de test d'intrusion populaire que des professionnels de la sécurité utilisent pour identifier les faiblesses des instances EC2 qui nécessitent l'application de correctifs. Les attaquants utilisent également cet outil pour détecter les faiblesses de configuration EC2 et obtenir un accès non autorisé à votre AWS environnement.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

PenTest:S3/ParrotLinux

Une API S3 a été invoquée par une machine Parrot Security Linux.

Gravité par défaut : moyenne

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous indique qu'une machine exécutant Parrot Security Linux passe des appels à l'API S3 en utilisant les informations d'identification qui appartiennent à votre AWS compte. Vos informations d'identification pourraient être compromises. Parrot Security Linux est un outil de test d'intrusion populaire que des professionnels de la sécurité utilisent pour identifier les faiblesses des instances EC2 qui nécessitent l'application de correctifs. Les pirates utilisent également cet outil pour identifier les faiblesses de la configuration EC2 et accéder à votre environnement  AWS sans y être autorisés.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

PenTest:S3/PentooLinux

Une API S3 a été invoquée par une machine Pentoo Linux.

Gravité par défaut : moyenne

  • Source de données : événements de CloudTrail données pour S3

Cette découverte vous indique qu'une machine exécutant Pentoo Linux passe des appels à l'API S3 en utilisant les informations d'identification qui appartiennent à votre AWS compte. Vos informations d'identification pourraient être compromises. Pentoo Linux est un outil de test d'intrusion populaire que des professionnels de la sécurité utilisent pour identifier les faiblesses des instances EC2 qui nécessitent l'application de correctifs. Les attaquants utilisent également cet outil pour détecter les faiblesses de configuration EC2 et obtenir un accès non autorisé à votre AWS environnement.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Policy:S3/AccountBlockPublicAccessDisabled

Une entité IAM a invoqué une API utilisée pour désactiver le blocage de l'accès public S3 sur un compte.

Gravité par défaut : faible

  • Source de données : événements CloudTrail de gestion

Ce résultat vous informe que le blocage de l'accès public Amazon S3 a été désactivé au niveau du compte. Lorsque les paramètres de blocage de l'accès public S3 sont activés, ils sont utilisés pour filtrer les stratégies ou les listes de contrôle d'accès (ACL) sur les compartiments en tant que mesure de sécurité afin d'empêcher l'exposition publique accidentelle des données.

Généralement, le blocage de l'accès public S3 est désactivé dans un compte pour autoriser l'accès public à un compartiment ou aux objets du compartiment. Lorsque le blocage de l'accès public S3 est désactivé pour un compte, l'accès à vos compartiments est contrôlé par les stratégies, les ACL ou les paramètres de blocage de l'accès public au niveau du compartiment appliqués à vos compartiments individuels. Cela ne signifie pas nécessairement que les compartiments sont partagés publiquement, mais que vous devez auditer les autorisations appliquées aux compartiments pour confirmer qu'elles fournissent le niveau d'accès approprié.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Policy:S3/BucketAnonymousAccessGranted

Un principal IAM a accordé l'accès à un compartiment S3 à Internet en modifiant les stratégies de compartiment ou les ACL.

Gravité par défaut : élevée

  • Source de données : événements CloudTrail de gestion

Ce résultat vous informe que le compartiment S3 répertorié a été rendu public sur Internet, car une entité IAM a modifié une stratégie de compartiment ou une ACL sur ce compartiment. Après la détection d'un changement de stratégie ou d'ACL, il utilise un raisonnement automatisé basé sur Zelkova pour déterminer si le compartiment est accessible au public.

Note

Si les ACL ou les stratégies de compartiment d'un compartiment sont configurées pour tout refuser ou refuser explicitement, ce résultat peut ne pas refléter l'état actuel du compartiment. Ce résultat ne reflétera aucun paramètre de blocage de l'accès public S3 qui aurait pu être activé pour votre compartiment S3. Dans de tels cas, la valeur effectivePermission du résultat sera marquée comme UNKNOWN.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Policy:S3/BucketBlockPublicAccessDisabled

Une entité IAM a invoqué une API utilisée pour désactiver le blocage de l'accès public S3 sur un compartiment.

Gravité par défaut : faible

  • Source de données : événements CloudTrail de gestion

Ce résultat vous informe que le blocage de l'accès public a été désactivé pour le compartiment S3 répertorié. Lorsque les paramètres de blocage de l'accès public S3 sont activés, ils sont utilisés pour filtrer les stratégies ou les listes de contrôle d'accès (ACL) appliquées aux compartiments en tant que mesure de sécurité afin d'empêcher l'exposition publique accidentelle des données.

Généralement, le blocage de l'accès public S3 est désactivé sur un compartiment pour autoriser l'accès public au compartiment ou aux objets qu'il contient. Lorsque le blocage de l'accès public S3 est désactivé pour un compartiment, les stratégies ou listes ACL appliquées au compartiment en contrôlent l'accès. Cela ne signifie pas que le compartiment est partagé publiquement, mais vous devez auditer les stratégies et les listes ACL appliquées au compartiment pour confirmer que les autorisations appropriées sont appliquées.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Policy:S3/BucketPublicAccessGranted

Un directeur IAM a accordé l'accès public à un compartiment S3 à tous les AWS utilisateurs en modifiant les politiques de compartiment ou les ACL.

Gravité par défaut : élevée

  • Source de données : événements CloudTrail de gestion

Ce résultat vous indique que le compartiment S3 répertorié a été exposé publiquement à tous les AWS utilisateurs authentifiés car une entité IAM a modifié une politique de compartiment ou une ACL sur ce compartiment S3. Après la détection d'un changement de stratégie ou d'ACL, il utilise un raisonnement automatisé basé sur Zelkova pour déterminer si le compartiment est accessible au public.

Note

Si les ACL ou les stratégies de compartiment d'un compartiment sont configurées pour tout refuser ou refuser explicitement, ce résultat peut ne pas refléter l'état actuel du compartiment. Ce résultat ne reflétera aucun paramètre de blocage de l'accès public S3 qui aurait pu être activé pour votre compartiment S3. Dans de tels cas, la valeur effectivePermission du résultat sera marquée comme UNKNOWN.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

Stealth:S3/ServerAccessLoggingDisabled

La journalisation des accès au serveur S3 a été désactivée pour un compartiment.

Gravité par défaut : faible

  • Source de données : événements CloudTrail de gestion

Ce résultat vous indique que la journalisation des accès au serveur S3 est désactivée pour un compartiment de votre AWS environnement. Si cette option est désactivée, aucun journal des requêtes Web n'est créé pour les tentatives d'accès au compartiment S3 identifié. Toutefois, les appels de l'API de gestion S3 au compartiment, tels que DeleteBucket, sont toujours suivis. Si la journalisation des événements de données S3 est activée CloudTrail pour ce compartiment, les demandes Web relatives aux objets du compartiment seront toujours suivies. La désactivation de la journalisation est une technique utilisée par des utilisateurs non autorisés pour éviter la détection. Pour en savoir plus sur les journaux S3, veuillez consulter Journalisation des accès au serveur S3 et Options de journalisation S3 (langue française non garantie).

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Une API S3 a été invoquée depuis une adresse IP figurant sur une liste de menaces personnalisée.

Gravité par défaut : élevée

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous informe qu'une opération d'API S3, comme PutObject ou PutObjectAcl, a été invoquée depuis une adresse IP figurant sur une liste de menaces que vous avez chargée. La liste des menaces associée à ce résultat est répertoriée dans la section Informations supplémentaires des détails d'un résultat.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d’informations, consultez Corriger un compartiment S3 potentiellement compromis.

UnauthorizedAccess:S3/TorIPCaller

Une API S3 a été appelée depuis une adresse IP du nœud de sortie Tor.

Gravité par défaut : élevée

  • Source de données : événements de CloudTrail données pour S3

Ce résultat vous informe qu'une opération d'API S3, comme PutObject ou PutObjectAcl, a été invoquée depuis une adresse IP du nœud de sortie Tor. Tor est un logiciel permettant d'activer les communications anonymes. Il crypte et retourne des communications de façon aléatoire à l'expéditeur via des relais entre une série de nœuds du réseau. Le dernier nœud Tor est appelé nœud de sortie. Cette découverte peut indiquer un accès non autorisé à vos AWS ressources dans le but de cacher la véritable identité de l'attaquant.

Recommandations de correction :

Si cette activité est inattendue pour le principal associé, cela peut indiquer que les informations d'identification ont été exposées ou que vos autorisations S3 ne sont pas suffisamment restrictives. Pour plus d'informations, voir Corriger un compartiment S3 potentiellement compromis.