Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tipe temuan yang sudah dihentikan
Temuan adalah notifikasi yang berisi detail tentang potensi masalah keamanan yang GuardDuty ditemukan. Untuk informasi tentang perubahan penting pada tipe GuardDuty temuan, termasuk tipe temuan yang baru ditambahkan atau yang sudah dihentikan, lihatRiwayat dokumen untuk Amazon GuardDuty.
Jenis temuan berikut ini pensiun dan tidak lagi dihasilkan oleh GuardDuty.
penting
Anda tidak dapat mengaktifkan kembali jenis GuardDuty penemuan pensiunan.
Topik
- Exfiltration:S3/ObjectRead.Unusual
- Impact:S3/PermissionsModification.Unusual
- Impact:S3/ObjectDelete.Unusual
- Discovery:S3/BucketEnumeration.Unusual
- Persistence:IAMUser/NetworkPermissions
- Persistence:IAMUser/ResourcePermissions
- Persistence:IAMUser/UserPermissions
- PrivilegeEscalation:IAMUser/AdministrativePermissions
- Recon:IAMUser/NetworkPermissions
- Recon:IAMUser/ResourcePermissions
- Recon:IAMUser/UserPermissions
- ResourceConsumption:IAMUser/ComputeResources
- Stealth:IAMUser/LoggingConfigurationModified
- UnauthorizedAccess:IAMUser/ConsoleLogin
- UnauthorizedAccess:EC2/TorIPCaller
- Backdoor:EC2/XORDDOS
- Behavior:IAMUser/InstanceLaunchUnusual
- CryptoCurrency:EC2/BitcoinTool.A
- UnauthorizedAccess:IAMUser/UnusualASNCaller
Exfiltration:S3/ObjectRead.Unusual
Entitas IAM memanggil API S3 dengan cara yang mencurigakan.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
-
Sumber data: peristiwaCloudTrail data untuk S3
Temuan ini menginformasikan bahwa entitas IAM di lingkungan AWS Anda membuat panggilan API yang melibatkan bucket S3 dan berbeda dari garis dasar yang ditetapkan oleh entitas tersebut. Panggilan API yang digunakan dalam aktivitas ini dikaitkan dengan tahap eksfiltrasi serangan, ketika penyerang sedang mencoba untuk mengumpulkan data. Aktivitas ini mencurigakan karena cara entitas IAM memanggil API tidak biasa. Misalnya, entitas IAM ini sebelumnya tidak memiliki riwayat memanggil tipe API ini, atau API dipanggil dari lokasi yang tidak biasa.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, hal ini mungkin menunjukkan bahwa kredensil telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memperbaiki bucket S3 yang berpotensi dikompromikan.
Impact:S3/PermissionsModification.Unusual
Entitas IAM memanggil API untuk mengubah izin pada satu sumber daya S3 atau lebih.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini menginformasikan bahwa entitas IAM membuat panggilan API yang dirancang untuk mengubah izin pada satu atau lebih bucket atau objek di lingkungan AWS Anda. Tindakan ini dapat dilakukan oleh penyerang untuk memungkinkan informasi dibagikan di luar akun. Aktivitas ini mencurigakan karena cara entitas IAM memanggil API tidak biasa. Misalnya, entitas IAM ini sebelumnya tidak memiliki riwayat memanggil tipe API ini, atau API dipanggil dari lokasi yang tidak biasa.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, hal ini mungkin menunjukkan bahwa kredensil telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memperbaiki bucket S3 yang berpotensi dikompromikan.
Impact:S3/ObjectDelete.Unusual
Entitas IAM memanggil API yang digunakan untuk menghapus data dalam bucket S3.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini menginformasikan bahwa entitas IAM tertentu di lingkungan AWS Anda membuat panggilan API yang bertujuan untuk menghapus data dalam bucket S3 yang terdaftar dengan cara menghapus bucket itu sendiri. Aktivitas ini mencurigakan karena cara entitas IAM memanggil API tidak biasa. Misalnya, entitas IAM ini sebelumnya tidak memiliki riwayat memanggil tipe API ini, atau API dipanggil dari lokasi yang tidak biasa.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, hal ini mungkin menunjukkan bahwa kredensil telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memperbaiki bucket S3 yang berpotensi dikompromikan.
Discovery:S3/BucketEnumeration.Unusual
Entitas IAM memanggil API S3 yang digunakan untuk menemukan bucket S3 dalam jaringan Anda.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini menginformasikan bahwa entitas IAM telah memanggil API S3 untuk menemukan bucket S3 dalam lingkungan Anda, seperti ListBuckets. Tipe aktivitas ini berkaitan dengan tahap penemuan serangan ketika musuh mengumpulkan informasi untuk menentukan apakah lingkungan AWS Anda rentan terhadap serangan yang lebih luas. Aktivitas ini mencurigakan karena cara entitas IAM memanggil API tidak biasa. Misalnya, entitas IAM ini sebelumnya tidak memiliki riwayat memanggil tipe API ini, atau API dipanggil dari lokasi yang tidak biasa.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga untuk prinsipal terkait, hal ini mungkin menunjukkan bahwa kredensil telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memperbaiki bucket S3 yang berpotensi dikompromikan.
Persistence:IAMUser/NetworkPermissions
Entitas IAM memanggil API yang biasa digunakan untuk mengubah izin akses jaringan untuk grup keamanan, rute, dan ACL di akun AWS Anda.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini mengindikasikan bahwa prinsipal tertentu (Pengguna root akun AWSIAM role, atau pengguna) diAWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Prinsipal ini sebelumnya tidak memiliki riwayat memanggil API ini.
Temuan ini dipicu ketika pengaturan konfigurasi jaringan berubah dalam keadaan yang mencurigakan, seperti ketika prinsipal memanggil API CreateSecurityGroup tanpa riwayat sebelumnya. Penyerang sering mencoba untuk mengubah grup keamanan untuk memungkinkan lalu lintas masuk tertentu pada berbagai port untuk meningkatkan kemampuannya untuk mengakses instans EC2.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
Persistence:IAMUser/ResourcePermissions
Prinsipal memanggil API yang biasa digunakan untuk mengubah kebijakan akses keamanan dari berbagai sumber daya di AndaAkun AWS.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini mengindikasikan bahwa prinsipal tertentu (Pengguna root akun AWSIAM role, atau pengguna) diAWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Prinsipal ini sebelumnya tidak memiliki riwayat memanggil API ini.
Temuan ini dipicu ketika perubahan terdeteksi pada kebijakan atau izin yang melekat pada sumber daya AWS, seperti ketika prinsipal dalam lingkungan AWS Anda memanggil API PutBucketPolicy tanpa riwayat sebelumnya. Beberapa layanan, seperti Amazon S3, mendukung izin yang melekat pada sumber daya yang memberikan satu akses utama atau lebih ke sumber daya. Dengan kredensial curian, penyerang dapat mengubah kebijakan yang melekat pada sumber daya untuk memperoleh akses ke sumber daya tersebut.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
Persistence:IAMUser/UserPermissions
Prinsipal memanggil API yang biasa digunakan untuk menambah, mengubah, atau menghapus pengguna, grup, atau kebijakan IAM di akun AWS Anda.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini mengindikasikan bahwa prinsipal tertentu (Pengguna root akun AWSIAM role, atau pengguna) diAWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Prinsipal ini sebelumnya tidak memiliki riwayat memanggil API ini.
Temuan ini dipicu oleh perubahan yang mencurigakan pada izin terkait pengguna dalam lingkungan AWS Anda, seperti ketika prinsipal dalam lingkungan AWS Anda memanggil API AttachUserPolicy tanpa riwayat sebelumnya. Penyerang dapat menggunakan kredensial curian untuk membuat pengguna baru, menambahkan kebijakan akses ke pengguna yang ada, atau membuat kunci akses untuk memaksimalkan akses mereka ke akun, bahkan jika titik akses asli mereka ditutup. Misalnya, pemilik akun mungkin memperhatikan bahwa pengguna atau kata sandi IAM tertentu telah dicuri dan menghapusnya dari akun. Namun, mereka mungkin tidak menghapus pengguna lain yang dibuat oleh prinsipal admin yang dibuat secara curang, sehingga akun AWS mereka dapat diakses oleh penyerang.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
PrivilegeEscalation:IAMUser/AdministrativePermissions
Prinsipal telah berusaha untuk menetapkan kebijakan yang sangat permisif untuk diri mereka sendiri.
Tingkat kepelikan default Rendah* Rendah
catatan
Tingkat kepelikan temuan ini Rendah jika upaya eskalasi hak istimewa tidak berhasil, dan Medium jika upaya eskalasi hak istimewa berhasil.
Temuan ini mengindikasikan bahwa entitas IAM tertentu dalam lingkungan AWS Anda menunjukkan perilaku yang mengindikasikan serangan eskalasi hak istimewa. Temuan ini dipicu ketika pengguna atau IAM role mencoba untuk menetapkan kebijakan yang sangat permisif untuk diri mereka sendiri. Jika pengguna atau peran yang dimaksud tidak dimaksudkan untuk memiliki hak administratif, kredensial pengguna dapat disusupi atau izin peran mungkin tidak dikonfigurasi dengan benar.
Penyerang akan menggunakan kredensial curian untuk membuat pengguna baru, menambahkan kebijakan akses ke pengguna yang ada, atau membuat kunci akses untuk memaksimalkan akses mereka ke akun bahkan jika titik akses asli mereka ditutup. Misalnya, pemilik akun mungkin memperhatikan bahwa kredenal pengguna IAM tertentu dicuri dan menghapusnya dari akun, tetapi mungkin tidak menghapus pengguna lain yang dibuat oleh kepala admin yang dibuat secara curang, sehindarkanAWS akun mereka masih dapat diakses oleh penyerang.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
Recon:IAMUser/NetworkPermissions
Prinsipal memanggil API yang biasa digunakan untuk mengubah izin akses jaringan untuk grup keamanan, rute, dan ACL di akun AWS Anda.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini mengindikasikan bahwa prinsipal tertentu (Pengguna root akun AWSIAM role, atau pengguna) diAWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Prinsipal ini sebelumnya tidak memiliki riwayat memanggil API ini.
Temuan ini dipicu ketika izin akses sumber daya di akun AWS Anda diperiksa dalam keadaan yang mencurigakan. Misalnya, jika prinsipal memanggil API DescribeInstances tanpa riwayat sebelumnya. Penyerang mungkin menggunakan kredensial curian untuk melakukan tipe pengintaian ini terhadap sumber daya AWS Anda untuk memperoleh kredensial yang lebih berharga atau menentukan kemampuan kredensial yang telah mereka miliki.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
Recon:IAMUser/ResourcePermissions
Prinsipal memanggil API yang biasa digunakan untuk mengubah kebijakan akses keamanan dari berbagai sumber daya di akun AWS Anda.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini mengindikasikan bahwa prinsipal tertentu (Pengguna root akun AWSIAM role, atau pengguna) diAWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Prinsipal ini sebelumnya tidak memiliki riwayat memanggil API ini.
Temuan ini dipicu ketika izin akses sumber daya di akun AWS Anda diperiksa dalam keadaan yang mencurigakan. Misalnya, jika prinsipal memanggil API DescribeInstances tanpa riwayat sebelumnya. Penyerang mungkin menggunakan kredensial curian untuk melakukan tipe pengintaian ini terhadap sumber daya AWS Anda untuk memperoleh kredensial yang lebih berharga atau menentukan kemampuan kredensial yang telah mereka miliki.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
Recon:IAMUser/UserPermissions
Prinsipal memanggil API yang biasa digunakan untuk menambah, mengubah, atau menghapus pengguna, grup, atau kebijakan IAM di akun AWS Anda.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini dipicu ketika izin pengguna dalam lingkungan AWS Anda diperiksa dalam keadaan yang mencurigakan. Misalnya, jika prinsipal (Pengguna root akun AWSIAM role, atau pengguna IAM) memanggilListInstanceProfilesForRole API tanpa riwayat sebelumnya. Penyerang mungkin menggunakan kredensial curian untuk melakukan tipe pengintaian ini terhadap sumber daya AWS Anda untuk memperoleh kredensial yang lebih berharga atau menentukan kemampuan kredensial yang telah mereka miliki.
Temuan ini mengindikasikan bahwa prinsipal tertentu dalam lingkungan AWS Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Prinsipal ini sebelumnya tidak memiliki riwayat memanggil API ini dengan cara ini.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
ResourceConsumption:IAMUser/ComputeResources
Prinsipal memanggil API yang biasa digunakan untuk meluncurkan sumber daya komputasi seperti instans EC2.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini dipicu ketika instans EC2 di akun yang terdaftar dalam lingkungan AWS Anda diluncurkan dalam keadaan yang mencurigakan. Temuan ini mengindikasikan bahwa prinsipal tertentu dalamAWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan; misalnya, jika prinsipal (Pengguna root akun AWSIAM role, atau pengguna IAM) memanggilRunInstances API tanpa riwayat sebelumnya. Ini mungkin merupakan indikasi penyerang menggunakan kredensial curian untuk mencuri waktu komputasi (mungkin untuk penambangan mata uang kripto atau peretasan kata sandi). Hal ini juga dapat menjadi indikasi penyerang menggunakan instans EC2 dalam lingkungan AWS Anda dan kredensialnya untuk mempertahankan akses ke akun Anda.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
Stealth:IAMUser/LoggingConfigurationModified
Prinsipal memanggil API yang biasa digunakan untuk menghentikan CloudTrail Pencatatan, menghapus log yang ada, dan menghilangkan jejak aktivitas diAWS akun Anda.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini dipicu ketika konfigurasi pencatatan log di akun AWS yang terdaftar dalam lingkungan Anda diubah dalam keadaan yang mencurigakan. Temuan ini menginformasikan bahwa prinsipal tertentu dalamAWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan; misalnya, jika prinsipal (Pengguna root akun AWSIAM role, atau pengguna IAM) memanggilStopLogging API tanpa riwayat sebelumnya. Ini bisa menjadi indikasi penyerang yang mencoba menutupi jejak mereka dengan menghilangkan jejak aktivitas mereka.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
UnauthorizedAccess:IAMUser/ConsoleLogin
Login konsol yang tidak biasa oleh prinsipal di akun AWS Anda diamati.
Medium* Medium* Medium* Medium* Medium*
catatan
Tingkat kepelikan default temuan ini adalah Medium. Namun, jika API dipanggil menggunakan kredensial AWS sementara yang dibuat pada instans, tingkat kepelikan temuan Tinggi.
Temuan ini dipicu ketika login konsol terdeteksi dalam keadaan yang mencurigakan. Misalnya, jika prinsipal tanpa riwayat sebelumnya, memanggil ConsoleLogin API dari never-before-used klien atau lokasi yang tidak biasa. Ini bisa menjadi indikasi kredensial curian yang digunakan untuk memperoleh akses ke akun AWS Anda, atau pengguna valid yang mengakses akun dengan cara yang tidak valid atau kurang aman (misalnya, bukan melalui VPN yang disetujui).
Temuan ini menginformasikan bahwa prinsipal tertentu dalam lingkungan AWS Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Prinsipal ini tidak memiliki riwayat aktivitas login sebelumnya menggunakan aplikasi klien ini dari lokasi spesifik ini.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
UnauthorizedAccess:EC2/TorIPCaller
Instans EC2 Anda menerima koneksi masuk dari node keluar Tor.
Medium default Medium Medium Medium Medium
Temuan ini menginformasikan bahwa instans EC2 dalam lingkungan AWS Anda menerima koneksi masuk dari node keluar Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relay antara serangkaian node jaringan. Node Tor terakhir disebut sebagai nod keluar. Temuan ini mungkin mengindikasikan akses yang tidak sah ke sumber daya AWS Anda yang bertujuan untuk menyembunyikan identitas penyerang yang sebenarnya.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.
Backdoor:EC2/XORDDOS
Instans EC2 mencoba untuk berkomunikasi dengan alamat IP yang terkait dengan malware XOR DDoS.
Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi
Temuan ini menginformasikan bahwa instans EC2 diAWS lingkungan Anda mencoba untuk berkomunikasi dengan alamat IP yang terkait dengan malware XOR DDoS. Instans EC2 ini mungkin disusupi. XOR DDoS adalah malware Trojan yang membajak sistem Linux. Untuk mendapatkan akses ke sistem, malware ini meluncurkan serangan brute force untuk memperoleh kata sandi ke layanan Secure Shell (SSH) di Linux. Setelah kredensil SSH diperoleh dan login berhasil, ia menggunakan hak akses pengguna akar untuk menjalankan skrip yang mengunduh dan menginstal XOR DDoS. Malware ini kemudian digunakan sebagai bagian dari botnet untuk meluncurkan serangan denial of service (DDoS) yang terdistribusi terhadap target lainnya.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.
Behavior:IAMUser/InstanceLaunchUnusual
Pengguna meluncurkan instans EC2 dari tipe yang tidak biasa.
Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi
Temuan ini menginformasikan bahwa pengguna tertentu dalamAWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Pengguna ini sebelumnya tidak memiliki riwayat meluncurkan instans EC2 tipe ini. Kredenal masuk Anda mungkin disusupi.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
CryptoCurrency:EC2/BitcoinTool.A
Instans EC2 berkomunikasi dengan kolam penambangan Bitcoin.
Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi
Temuan ini menginformasikan bahwa instans EC2 dalam lingkungan AWS Anda berkomunikasi dengan kolam penambangan Bitcoin. Di bidang penambangan mata uang kripto, kolam penambangan adalah kolam sumber daya penambang yang berbagi kekuatan pemrosesan mereka melalui jaringan untuk membagi hadiah sesuai dengan jumlah pekerjaan yang mereka kontribusikan untuk memecahkan blok. Kecuali Anda menggunakan instans EC2 ini untuk penambangan Bitcoin, instans EC2 Anda mungkin disusupi.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, instans Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan.
UnauthorizedAccess:IAMUser/UnusualASNCaller
API dipanggil dari alamat IP dari jaringan yang tidak biasa.
Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi Tinggi
Temuan ini menginformasikan bahwa aktivitas tertentu dipanggil dari alamat IP dari jaringan yang tidak biasa. Jaringan ini tidak pernah diamati di seluruh riwayat penggunaan AWS dari pengguna yang dimaksud. Kegiatan ini dapat mencakup login konsol, upaya untuk meluncurkan instans EC2, membuat pengguna IAM baru, mengubah hak istimewa AWS Anda, dll. Hal ini dapat mengindikasikan akses yang tidak sah ke sumber daya AWS Anda.
Rekomendasi remediasi:
Jika aktivitas ini tidak terduga, kredenal Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.
