Formato degli esiti di GuardDuty - Amazon GuardDuty
Scopi delle minacce

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Formato degli esiti di GuardDuty

GuardDuty genera un esito se rileva un comportamento sospetto o non previsto nel tuo ambiente AWS. Un esito è una notifica che contiene i dettagli su un potenziale problema di sicurezza rilevato da GuardDuty. I dettagli degli esiti includono informazioni su quanto è accaduto, sulle risorse AWS coinvolte nell'attività sospetta, sul momento in cui questa è avvenuta e molto altro.

Una delle informazioni più utili di questi dettagli è il tipo di risultato. La funzione del tipo di risultato è di fornire una descrizione concisa ma intelligibile del potenziale problema di sicurezza. Ad esempio, il tipo di esito di GuardDuty Recon:EC2/PortProbeUnprotectedPort ti informa rapidamente che una porta non protetta di un'istanza EC2 nel tuo ambiente AWS è sottoposta a probing da parte di un potenziale utente malintenzionato.

GuardDuty utilizza il formato seguente per nominare i vari tipi di esiti che genera:

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!Artifact

Ogni parte di questo formato rappresenta un aspetto di un tipo di esito. Di seguito le spiegazioni di questi aspetti:

  • ThreatPurpose: descrive l'obiettivo principale di una minaccia, di un tipo di attacco o della fase di un potenziale attacco. Consulta la sezione seguente per un elenco completo degli scopi delle minacce GuardDuty.

  • ResourceTypeAffected: descrive il tipo di risorse AWS identificate in questo esito come potenziali destinazioni di un attacco. Attualmente, GuardDuty è in grado di generare esiti per le risorse EC2, S3, IAM ed EKS.

  • ThreatFamilyName: descrive la minaccia o la potenziale attività dannosa globale in corso di rilevamento da parte di GuardDuty. Ad esempio, il valore NetworkPortUnusual indica che un'istanza EC2 identificata nell'esito di GuardDuty non ha mai comunicato su una determinata porta remota (anch'essa identificata nell'esito) in precedenza.

  • DetectionMechanism: descrive il metodo con cui GuardDuty ha rilevato l'esito. Questo aspetto può essere utilizzato per indicare la variazione di un tipo di esito comune o un esito che GuardDuty ha rilevato utilizzando un meccanismo specifico. Ad esempio, Backdoor:EC2/DenialOfService.Tcp indica che il Denial of Service (DoS) è stato rilevato tramite TCP. La variante UDP è Backdoor:EC2/DenialOfService.Udp.

    Il valore .Custom indica che GuardDuty ha rilevato l'esito in base agli elenchi minacce personalizzati, mentre .Reputation indica che GuardDuty ha rilevato l'esito utilizzando un modello di punteggio di reputazione del dominio.

  • Artefatto: descrive una risorsa specifica di proprietà di uno strumento utilizzato nell'attività dannosa. Ad esempio, DNS nel tipo di risultato CryptoCurrency:EC2/BitcoinTool.B!DNS indica che un'istanza EC2 sta comunicando con un noto dominio correlato al bitcoin.

Scopi delle minacce

In GuardDuty, lo scopo della minaccia descrive l'obiettivo principale di una minaccia, di un tipo di attacco o della fase di un potenziale attacco. Ad esempio, alcuni scopi delle minacce, come Backdoor, indicano un tipo di attacco. Tuttavia, alcuni scopi delle minacce, come Impatto, sono in linea con le Tattiche MITRE ATT&CK. Le tattiche MITRE ATT&CK indicano diverse fasi del ciclo di attacco di un avversario. Nella versione corrente di GuardDuty, ThreatPurpose può avere i valori seguenti:

Backdoor

Questo valore indica che un avversario ha compromesso una risorsa AWS e l'ha alterata in modo da riuscire a contattare il relativo server di comando e controllo (C&C) per ricevere ulteriori istruzioni a fini dannosi.

Comportamento

Questo valore indica che GuardDuty ha rilevato un'attività o modelli di attività che differiscono dalla linea di base stabilita per la risorsa AWS coinvolta.

CredentialAccess

Questo valore indica che GuardDuty ha rilevato modelli di attività che un avversario potrebbe utilizzare per rubare credenziali, come ID account o password, dal tuo ambiente. Questo scopo di minaccia si basa sulle Tattiche MITRE ATT&CK

Criptovalute

Questo valore indica che GuardDuty ha rilevato che una risorsa AWS nel tuo ambiente ospita un software associato a criptovalute (ad esempio, Bitcoin).

DefenseEvasion

Questo valore indica che GuardDuty ha rilevato attività o modelli di attività che un avversario potrebbe utilizzare per non essere rilevato mentre si infiltra nel tuo ambiente. Questo scopo di minaccia si basa sulle Tattiche MITRE ATT&CK

Individuazione

Questo valore indica che GuardDuty ha rilevato attività o modelli di attività che un avversario potrebbe utilizzare per ampliare la propria conoscenza dei sistemi e delle reti interne. Questo scopo di minaccia si basa sulle Tattiche MITRE ATT&CK.

Esecuzione

Questo valore indica che GuardDuty ha rilevato che un avversario potrebbe tentare di eseguire codice dannoso per esplorare la rete o rubare dati. Questo scopo di minaccia si basa sulle Tattiche MITRE ATT&CK .

Esfiltrazione

Questo valore indica che GuardDuty ha rilevato attività o modelli di attività che un avversario potrebbe utilizzare per tentare di rubare dati dalla rete. Questo scopo di minaccia si basa sulle Tattiche MITRE ATT&CK.

Impatto

Questo valore indica che GuardDuty ha rilevato attività o modelli di attività che suggeriscono il tentativo di un avversario di manipolare, interrompere o distruggere i sistemi e i dati. Questo scopo di minaccia si basa sulle Tattiche MITRE ATT&CK

InitialAccess

Questo scopo di minaccia si basa sulle Tattiche MITRE ATT&CK

Test di penetrazione (pen-test)

A volte i proprietari di risorse AWS o i loro rappresentanti autorizzati eseguono intenzionalmente dei test su determinate applicazioni AWS per identificarne le vulnerabilità, come gruppi di sicurezza aperti o chiavi di accesso troppo permissive. Questi test di penetrazione vengono eseguiti nel tentativo di identificare e bloccare le risorse vulnerabili prima che siano individuate dagli avversari. Tuttavia, alcuni degli strumenti utilizzati dai tester autorizzati sono disponibili gratuitamente e quindi possono essere utilizzati da utenti non autorizzati o malintenzionati per eseguire test di probing. Sebbene GuardDuty non sia in grado di identificare il vero scopo di tale attività, il valore Test di penetrazione (pen-test) indica che GuardDuty rileva un'attività simile a quella generata da strumenti di test di penetrazione noti, attività che potrebbe indicare un'azione di probing dannosa della rete.

Persistence

Questo valore indica che GuardDuty ha rilevato attività o modelli di attività che un avversario potrebbe utilizzare per cercare di mantenere l'accesso ai sistemi anche se la loro via di accesso iniziale è interrotta. Ad esempio, ciò potrebbe includere la creazione di un nuovo utente IAM dopo aver ottenuto l'accesso tramite le credenziali compromesse di un utente esistente. Quando le credenziali dell'utente esistente vengono eliminate, l'avversario manterrà l'accesso al nuovo utente che non è stato rilevato come parte dell'evento originale. Questo scopo di minaccia si basa sulle Tattiche MITRE ATT&CK.

Policy

Questo valore indica che il tuo account Account AWS ha un comportamento che va contro le best practice di sicurezza consigliate.

PrivilegeEscalation

Questo valore indica che il principale coinvolto nel tuo ambiente AWS ha un comportamento che un avversario potrebbe utilizzare per ottenere autorizzazioni di livello superiore per accedere alla rete. Questo scopo di minaccia si basa sulle Tattiche MITRE ATT&CK.

Recon

Questo valore indica che GuardDuty ha rilevato attività o modelli di attività che un avversario potrebbe utilizzare per eseguire la ricognizione della rete in modo da capire come ampliare il proprio accesso o utilizzare le tue risorse. Ad esempio, questa attività può includere l'individuazione delle vulnerabilità presenti nel tuo ambiente AWS controllando le porte, elencando gli utenti e le tabelle del database e così via.

Stealth

Questo valore indica che un avversario cerca attivamente di nascondere le proprie operazioni. Ad esempio, potrebbe utilizzare un server proxy anonimo, il che rende estremamente difficile valutare la vera natura dell'attività.

Trojan

Questo valore indica che un attacco utilizza programmi Trojan per svolgere attività dannose di nascosto. A volte questo software assume l'aspetto di un programma legittimo che gli utenti eseguono quindi involontariamente. In altre, questo software si esegue automaticamente sfruttando una vulnerabilità.

UnauthorizedAccess

Questo valore indica che GuardDuty rileva un'attività o un modello di attività sospetto da parte di un individuo non autorizzato.