GuardDuty format temuan - Amazon GuardDuty
Tujuan Ancaman

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty format temuan

Saat GuardDuty mendeteksi perilaku yang mencurigakan atau tidak terduga diAWS lingkungan Anda, hal ini menghasilkan temuan. Temuan adalah notifikasi yang berisi detail tentang potensi masalah keamanan yang GuardDuty ditemukan. Detail temuan mencakup informasi tentang apa yang terjadi, sumber daya AWS mana yang terlibat dalam aktivitas mencurigakan, kapan aktivitas ini terjadi, dan informasi lainnya.

Salah satu bagian informasi yang paling berguna dalam detail temuan adalah jenis temuan. Tujuan dari jenis temuan adalah untuk memberikan deskripsi ringkas namun dapat dibaca tentang potensi masalah keamanan. Misalnya, jenisPortProbeUnprotectedPort temuan GuardDuty Recon:EC2/dengan cepat menginformasikan bahwa di suatu tempat diAWS lingkungan Anda, instans EC2 memiliki port yang tidak terlindungi yang kemungkinan sedang diperiksa oleh penyerang.

GuardDuty menggunakan format berikut untuk penamaan berbagai jenis temuan yang dihasilkannya:

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName. DetectionMechanism! Artifact

Setiap bagian dari format ini mewakili aspek dari jenis temuan. Aspek-aspek ini memiliki penjelasan sebagai berikut:

  • ThreatPurpose- menjelaskan tujuan utama dari ancaman, jenis serangan atau tahap potensi serangan. Lihat bagian berikut untuk daftar lengkap dari tujuan GuardDuty ancaman.

  • ResourceTypeAffected- menjelaskan jenisAWS sumber daya mana yang diidentifikasi dalam temuan ini sebagai potensi target musuh. Saat ini, GuardDuty dapat menghasilkan temuan untuk sumber daya EC2, S3, IAM, dan EKS.

  • ThreatFamilyName- menjelaskan ancaman secara keseluruhan atau potensi aktivitas berbahaya GuardDuty yang mendeteksi. Misalnya, nilai NetworkPortUnusualmenunjukkan bahwa instans EC2 yang diidentifikasi dalam GuardDuty temuan tidak memiliki riwayat komunikasi sebelumnya pada port jarak jauh tertentu yang juga diidentifikasi dalam temuan.

  • DetectionMechanism- menjelaskan metode yang digunakan untuk GuardDuty mendeteksi temuan. Hal ini dapat digunakan untuk menunjukkan variasi pada jenis temuan umum atau temuan yang GuardDuty menggunakan mekanisme tertentu untuk mendeteksi. Misalnya, DenialOfServiceBackdoor:EC2/.Tcp menunjukkan bahwa denial of service (DoS) terdeteksi melalui TCP. Varian UDP adalah DenialOfServiceBackdoor:EC2/.Udp.

    Nilai .Custom menunjukkan bahwa GuardDuty mendeteksi temuan berdasarkan daftar ancaman kustom Anda, sementara .Reputation menunjukkan bahwa GuardDuty mendeteksi temuan menggunakan model skor reputasi domain.

  • Artifact - menjelaskan sumber daya tertentu yang dimiliki oleh alat yang digunakan dalam aktivitas berbahaya. Misalnya, DNS dalam jenis CryptoCurrencytemuan:EC2/.BBitcoinTool! DNS menunjukkan bahwa instans EC2 berkomunikasi dengan domain terkait Bitcoin yang dikenal.

Tujuan Ancaman

Dalam tujuan GuardDuty ancaman menjelaskan tujuan utama dari ancaman, jenis serangan, atau tahap potensi serangan. Misalnya, beberapa tujuan ancaman, seperti Backdoor, menunjukkan jenis serangan. Namun, beberapa tujuan ancaman, seperti Impact sejajar dengan taktik MITRE ATT&CK. Taktik MITRE ATT&CK menunjukkan fase yang berbeda dalam siklus serangan musuh. Dalam rilis saat ini GuardDuty, ThreatPurpose dapat memiliki nilai berikut:

Backdoor

Nilai ini menunjukkan bahwa musuh telah menyusupi sumber daya AWS dan mengubah sumber daya tersebut sehingga dapat menghubungi server asal perintah dan kontrol (C&C) guna menerima petunjuk lebih lanjut untuk aktivitas berbahaya.

Perilaku

Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang berbeda dari garis dasar yang ditetapkan untukAWS sumber daya yang terlibat.

CredentialAccess

Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi pola aktivitas yang dapat digunakan oleh musuh untuk mencuri kredensi, seperti ID atau kata sandi akun, dari lingkungan Anda. Tujuan ancaman ini didasarkan pada taktik MITRE ATT&CK

Mata Uang Kripto

Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi bahwaAWS sumber daya di lingkungan Anda adalah menghosting perangkat lunak yang terkait dengan mata uang kripto (misalnya, Bitcoin).

DefenseEvasion

Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang dapat digunakan oleh musuh untuk menghindari deteksi ketika menyusupi lingkungan Anda. Tujuan ancaman ini didasarkan pada taktik MITRE ATT&CK

Penemuan

Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang dapat digunakan oleh musuh untuk memperluas pengetahuan mereka tentang sistem dan jaringan internal Anda. Tujuan ancaman ini didasarkan pada taktik MITRE ATT&CK.

Eksekusi

Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi bahwa musuh mungkin mencoba menjalankan kode berbahaya untuk menjelajahi jaringan atau mencuri data. Tujuan ancaman ini didasarkan pada taktik MITRE ATT&CK.

Ekfiltrasi

Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang dapat digunakan oleh musuh ketika mencoba untuk mencuri data dari jaringan Anda. Tujuan ancaman ini didasarkan pada taktik MITRE ATT&CK.

Dampak

Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang menunjukkan bahwa musuh mencoba untuk memanipulasi, mengganggu, atau menghancurkan sistem dan data Anda. Tujuan ancaman ini didasarkan pada taktik MITRE ATT&CK

InitialAccess

Tujuan ancaman ini didasarkan pada taktik MITRE ATT&CK

Terpentest

Terkadang pemilikAWS sumber daya atau perwakilan resmi mereka sengaja menjalankan tes terhadapAWS aplikasi untuk menemukan kerentanan, seperti membuka grup keamanan atau kunci akses yang terlalu permisif. Uji penetrasi ini dilakukan dalam upaya untuk mengidentifikasi dan mengunci sumber daya yang rentan sebelum ditemukan oleh musuh. Namun, beberapa alat yang digunakan oleh penguji penetrasi resmi tersedia secara bebas dan oleh karena itu dapat digunakan oleh pengguna yang tidak sah atau musuh untuk menjalankan uji probing. Meski tidak GuardDuty dapat mengidentifikasi tujuan sebenarnya di balik aktivitas tersebut, nilai Pentest menunjukkan bahwa hal GuardDuty ini mendeteksi aktivitas tersebut, bahwa hal ini mirip dengan aktivitas yang dihasilkan oleh alat uji penetrasi yang dikenal, dan bahwa hal ini dapat menunjukkan probing berbahaya terhadap jaringan Anda.

Kegigihan

Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang dapat digunakan oleh musuh untuk mencoba dan mempertahankan akses ke sistem Anda bahkan jika rute akses awal mereka terputus. Misalnya, ini dapat termasuk membuat pengguna IAM baru setelah mendapatkan akses menggunakan kredensial pengguna yang ada. Ketika kredensial pengguna yang ada dihapus, musuh akan mempertahankan akses pada pengguna baru yang tidak terdeteksi sebagai bagian dari peristiwa asli. Tujuan ancaman ini didasarkan pada taktik MITRE ATT&CK.

Kebijakan

Nilai ini menunjukkanAkun AWS bahwa Anda menunjukkan perilaku yang bertentangan dengan praktik keamanan terbaik yang direkomendasikan.

PrivilegeEscalation

Nilai ini menginformasikan bahwa prinsipal yang terlibat dalam lingkungan AWS Anda menunjukkan perilaku yang mungkin digunakan musuh untuk mendapatkan izin dengan tingkat yang lebih tinggi ke jaringan Anda. Tujuan ancaman ini didasarkan pada taktik MITRE ATT&CK.

Pengintaian

Nilai ini menunjukkan bahwa GuardDuty telah mendeteksi aktivitas atau pola aktivitas yang dapat digunakan oleh musuh ketika melakukan pengintaian terhadap jaringan Anda untuk menentukan bagaimana mereka dapat memperluas akses mereka atau memanfaatkan sumber daya Anda. Misalnya, aktivitas ini dapat mencakup pelingkupan kerentanan di lingkungan AWS Anda dengan memeriksa port, membuat daftar pengguna, tabel basis data, dan sebagainya.

Stealth

Nilai ini menunjukkan bahwa musuh secara aktif mencoba menyembunyikan tindakan mereka. Misalnya, mereka mungkin menggunakan server proksi anonim, sehingga sangat sulit untuk mengukur sifat sebenarnya dari aktivitas tersebut.

Trojan

Nilai ini menunjukkan bahwa serangan menggunakan program Trojan yang diam-diam melakukan aktivitas berbahaya. Terkadang perangkat lunak ini mengambil tampilan program yang sah. Terkadang pengguna secara tidak sengaja menjalankan perangkat lunak ini. Lain kali perangkat lunak ini mungkin berjalan secara otomatis dengan memanfaatkan kerentanan.

UnauthorizedAccess

Nilai ini menunjukkan GuardDuty bahwa mendeteksi aktivitas yang mencurigakan atau pola aktivitas yang mencurigakan oleh individu yang tidak sah.