GuardDuty Tipi di ricerca EC2 - Amazon GuardDuty
Backdoor:EC2/C&CActivity.BBackdoor:EC2/C&CActivity.B!DNSBackdoor:EC2/DenialOfService.DnsBackdoor:EC2/DenialOfService.TcpBackdoor:EC2/DenialOfService.UdpBackdoor:EC2/DenialOfService.UdpOnTcpPortsBackdoor:EC2/DenialOfService.UnusualProtocolBackdoor:EC2/SpambotBehavior:EC2/NetworkPortUnusualBehavior:EC2/TrafficVolumeUnusualCryptoCurrency:EC2/BitcoinTool.BCryptoCurrency:EC2/BitcoinTool.B!DNSDefenseEvasion:EC2/UnusualDNSResolverDefenseEvasion:EC2/UnusualDoHActivityDefenseEvasion:EC2/UnusualDoTActivityImpact:EC2/AbusedDomainRequest.ReputationImpact:EC2/BitcoinDomainRequest.ReputationImpact:EC2/MaliciousDomainRequest.ReputationImpact:EC2/PortSweepImpact:EC2/SuspiciousDomainRequest.ReputationImpact:EC2/WinRMBruteForceRecon:EC2/PortProbeEMRUnprotectedPortRecon:EC2/PortProbeUnprotectedPortRecon:EC2/PortscanTrojan:EC2/BlackholeTrafficTrojan:EC2/BlackholeTraffic!DNSTrojan:EC2/DGADomainRequest.BTrojan:EC2/DGADomainRequest.C!DNSTrojan:EC2/DNSDataExfiltrationTrojan:EC2/DriveBySourceTraffic!DNSTrojan:EC2/DropPointTrojan:EC2/DropPoint!DNSTrojan:EC2/PhishingDomainRequest!DNSUnauthorizedAccess:EC2/MaliciousIPCaller.CustomUnauthorizedAccess:EC2/MetadataDNSRebindUnauthorizedAccess:EC2/RDPBruteForceUnauthorizedAccess:EC2/SSHBruteForceUnauthorizedAccess:EC2/TorClientUnauthorizedAccess:EC2/TorRelay

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

GuardDuty Tipi di ricerca EC2

Gli esiti seguenti sono specifici per le risorse Amazon EC2 e hanno sempre un Tipo risorsa di Instance. La gravità e i dettagli degli esiti variano in base al ruolo risorsa, che indica se la risorsa EC2 è stata la destinazione di attività sospette o l'attore che le ha eseguite.

Gli esiti qui elencati includono le origini dati e i modelli utilizzati per generare quel tipo di esito. Per ulteriori informazioni sulle origini dati e sui modelli, consulta Origini dati fondamentali.

Nota

Per alcuni esiti EC2 potrebbero mancare i dettagli dell'istanza se quest'ultima è già stata terminata o se la chiamata API sottostante faceva parte di una chiamata API tra regioni originata da un'istanza EC2 in una regione diversa.

Per tutti gli esiti EC2, ti consigliamo di esaminare la risorsa in questione per determinare se si comporta nel modo previsto. Se l'attività è autorizzata, puoi utilizzare le regole di eliminazione o gli elenchi di indirizzi IP affidabili per prevenire notifiche false positive per quella risorsa. Se l'attività non è prevista, la best practice di sicurezza consiste nel presupporre che l'istanza sia stata compromessa e intraprendere le azioni dettagliate in Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Backdoor:EC2/C&CActivity.B

Un'istanza EC2 esegue una query su un IP associato a un server di comando e controllo noto.

Gravità predefinita: alta

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza elencata all'interno del tuo ambiente AWS esegue una query su un IP associato a un server di comando e controllo (C&C) noto. L'istanza elencata potrebbe essere compromessa. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è una raccolta di dispositivi connessi a Internet, come PC, server, dispositivi mobili e dispositivi Internet of Things, che sono infettati e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche inviare comandi per lanciare un attacco DDoS (Distributed Denial of Service).

Nota

Se l'IP su cui viene eseguita una query è correlato a log4j, determinati campi dell'esito associato includeranno i valori seguenti:

  • Servizio. Informazioni aggiuntive. threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Backdoor:EC2/C&CActivity.B!DNS

Un'istanza EC2 esegue una query su un nome di dominio associato a un server di comando e controllo noto.

Gravità predefinita: alta

  • Origine dati: log DNS

Questo esito segnala che l'istanza elencata all'interno del tuo ambiente AWS esegue una query su un nome di dominio associato a un server di comando e controllo (C&C) noto. L'istanza elencata potrebbe essere compromessa. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è una raccolta di dispositivi connessi a Internet, come PC, server, dispositivi mobili e dispositivi Internet of Things, che sono infettati e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche inviare comandi per lanciare un attacco DDoS (Distributed Denial of Service).

Nota

Se il nome di dominio su cui è stata eseguita la query è relativo a log4j, i campi dell'esito associato includeranno i valori seguenti:

  • Servizio. Informazioni aggiuntive. threatListName = Amazon

  • service.additionalInfo.threatName = Log4j Related

Nota

Per verificare come GuardDuty genera questo tipo di risultato, puoi effettuare una richiesta DNS dalla tua istanza (utilizzando dig per Linux o nslookup per Windows) su un dominio guarddutyc2activityb.com di test.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Backdoor:EC2/DenialOfService.Dns

Un'istanza EC2 si sta comportando in un modo che potrebbe indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo DNS.

Gravità predefinita: alta

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata all'interno del tuo ambiente AWS genera un grande volume di traffico DNS in uscita. Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo DNS.

Nota

Questo risultato rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Backdoor:EC2/DenialOfService.Tcp

Un'istanza EC2 si sta comportando in un modo che potrebbe indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo TCP.

Gravità predefinita: alta

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata all'interno del tuo ambiente AWS genera un grande volume di traffico TCP in uscita. Ciò può indicare che l'istanza è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo TCP.

Nota

Questo risultato rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Backdoor:EC2/DenialOfService.Udp

Un'istanza EC2 si sta comportando in un modo che potrebbe indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo UDP.

Gravità predefinita: alta

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata all'interno del tuo ambiente AWS genera un grande volume di traffico UDP in uscita. Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo UDP.

Nota

Questo risultato rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

Un'istanza EC2 si sta comportando in un modo che potrebbe indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo UDP sulla porta TCP.

Gravità predefinita: alta

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata all'interno del tuo ambiente AWS genera un grande volume di traffico UDP in uscita indirizzato a una porta utilizzata di solito per le comunicazioni TCP. Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo UDP su una porta TCP.

Nota

Questo risultato rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Backdoor:EC2/DenialOfService.UnusualProtocol

Un'istanza EC2 si sta comportando in un modo che potrebbe indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando un protocollo insolito.

Gravità predefinita: alta

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS genera un grande volume di traffico in uscita da un tipo di protocollo insolito che normalmente non è utilizzato dalle istanze EC2, ad esempio, l'Internet Group Management Protocol. Ciò può indicare che l'istanza è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando un protocollo insolito. Questo risultato rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Backdoor:EC2/Spambot

Un'istanza EC2 presenta un comportamento insolito in quanto comunica con un host remoto sulla porta 25.

Gravità predefinita: media

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS comunica con un host remoto sulla porta 25. Questo comportamento è inusuale in quanto l'istanza EC2 non ha mai comunicato sulla porta 25 in precedenza. La porta 25 è tradizionalmente utilizzata dai server di posta per le comunicazioni SMTP. Questo risultato indica che l'istanza EC2 potrebbe essere compromessa per l'uso nell'invio di spam.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Behavior:EC2/NetworkPortUnusual

Un'istanza EC2 sta comunicando con un host remoto su una porta server inusuale.

Gravità predefinita: media

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS si comporta in un modo che differisce dalla linea di base stabilita. Questa istanza EC2 non ha mai comunicato su questa porta remota in precedenza.

Nota

Se l'istanza EC2 ha comunicato sulla porta 389 o sulla porta 1389, la gravità dell'esito associata verrà modificata in "alta" e i campi dell'esito includeranno il valore seguente:

  • service.additionalInfo.context = Possible log4j callback

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Behavior:EC2/TrafficVolumeUnusual

Un'istanza EC2 sta generando un volume di traffico di rete insolitamente elevato verso un host remoto.

Gravità predefinita: media

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS si comporta in un modo che differisce dalla linea di base stabilita. L'istanza EC2 non ha mai inviato una tale quantità di traffico a questo host remoto in precedenza.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

CryptoCurrency:EC2/BitcoinTool.B

Un'istanza EC2 sta eseguendo una query su un indirizzo IP associato a un'attività correlata a una criptovaluta.

Gravità predefinita: alta

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS esegue una query su un indirizzo IP associato a un'attività correlata a Bitcoin o a un'altra criptovaluta. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.

Raccomandazioni per la correzione:

Se utilizzi questa istanza EC2 per estrarre o gestire criptovaluta o se questa istanza è altrimenti coinvolta nell'attività di blockchain, questo esito potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS, ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di CryptoCurrency:EC2/BitcoinTool.B. Il secondo criterio di filtro dovrebbe essere l'ID istanza dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di eliminazione.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

CryptoCurrency:EC2/BitcoinTool.B!DNS

Un'istanza EC2 sta eseguendo una query su un nome di dominio associato a un'attività correlata a una criptovaluta.

Gravità predefinita: alta

  • Origine dati: log DNS

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS esegue una query su un nome di dominio associato a un'attività correlata a Bitcoin o a un'altra criptovaluta. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.

Raccomandazioni per la correzione:

Se utilizzi questa istanza EC2 per estrarre o gestire criptovaluta o se questa istanza è altrimenti coinvolta nell'attività di blockchain, questo esito potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS, ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di CryptoCurrency:EC2/BitcoinTool.B!DNS. Il secondo criterio di filtro dovrebbe essere l'ID istanza dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di eliminazione.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

DefenseEvasion:EC2/UnusualDNSResolver

Un'istanza Amazon EC2 comunica con un resolver DNS pubblico insolito.

Gravità predefinita: media

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza Amazon EC2 elencata nel tuo ambiente AWS si comporta in un modo che differisce dal comportamento di base. L'istanza EC2 in questione non ha alcuna storia recente di comunicazioni con questo resolver DNS pubblico. Il campo Unusual nel pannello dei dettagli di ricerca della GuardDuty console può fornire informazioni sul resolver DNS richiesto.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

DefenseEvasion:EC2/UnusualDoHActivity

Un'istanza Amazon EC2 esegue una comunicazione DNS su HTTPS (DoH) insolita.

Gravità predefinita: media

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza Amazon EC2 elencata all'interno del tuo ambiente AWS si comporta in un modo che differisce dalla linea di base stabilita. L'istanza EC2 in questione non ha alcuna storia recente di comunicazioni DNS su HTTPS (DoH) con questo server DoH pubblico. Il campo Insolito nei dettagli degli esiti può fornire informazioni sul server DoH su cui è stata effettuata la query.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

DefenseEvasion:EC2/UnusualDoTActivity

Un'istanza Amazon EC2 esegue una comunicazione DNS su TLS (DoT) insolita.

Gravità predefinita: media

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS si comporta in un modo che differisce dalla linea di base stabilita. L'istanza EC2 in questione non ha alcuna storia recente di comunicazioni DNS su TLS (DoT) con questo server DoT pubblico. Il campo Insolito nel pannello dei dettagli dell'esito può fornire informazioni sul server DoT su cui è stata effettuata la query.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Impact:EC2/AbusedDomainRequest.Reputation

Un'istanza EC2 esegue una query su un nome di dominio a bassa reputazione associato a domini noti in abuso.

Gravità predefinita: media

  • Origine dati: log DNS

Questo esito segnala che l'istanza Amazon EC2 elencata all'interno del tuo ambiente AWS esegue una query su un nome di dominio a bassa reputazione associato a domini o indirizzi IP noti in abuso. Esempi di domini in abuso sono i nomi di dominio di primo livello (TLD) e i nomi di dominio di secondo livello (2LD) che offrono registrazioni gratuite di sottodomini e provider DNS dinamici. Gli autori delle minacce tendono a utilizzare questi servizi per registrare domini gratuitamente o a basso costo. I domini a bassa reputazione di questa categoria possono anche essere domini scaduti che vengono sostituiti con l'indirizzo IP di parcheggio di un registrar e quindi potrebbero non essere più attivi. Un IP di parcheggio è il luogo in cui un registrar indirizza il traffico verso domini che non sono stati collegati ad alcun servizio. L'istanza Amazon EC2 elencata potrebbe essere compromessa poiché gli autori delle minacce utilizzano comunemente questi registrar o servizi per la distribuzione di malware e C&C.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Impact:EC2/BitcoinDomainRequest.Reputation

Un'istanza EC2 esegue una query su un nome di dominio a bassa reputazione associato a un'attività correlata a una criptovaluta.

Gravità predefinita: alta

  • Origine dati: log DNS

Questo esito segnala che l'istanza Amazon EC2 elencata all'interno del tuo ambiente AWS esegue una query su un nome di dominio a bassa reputazione associato a un'attività correlata a Bitcoin o a un'altra criptovaluta. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se utilizzi questa istanza EC2 per estrarre o gestire criptovaluta o se questa istanza è altrimenti coinvolta nell'attività di blockchain, questo esito potrebbe rappresentare un'attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS, ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Impact:EC2/BitcoinDomainRequest.Reputation. Il secondo criterio di filtro dovrebbe essere l'ID istanza dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di eliminazione.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Impact:EC2/MaliciousDomainRequest.Reputation

Un'istanza EC2 esegue una query su un dominio a bassa reputazione associato a domini dannosi noti.

Gravità predefinita: alta

  • Origine dati: log DNS

Questo esito segnala che l'istanza Amazon EC2 elencata all'interno del tuo ambiente AWS esegue una query su un nome di dominio a bassa reputazione associato a domini o indirizzi IP dannosi noti. Ad esempio, i domini possono essere associati a un indirizzo IP sinkhole noto. I domini sinkhole sono domini che sono stati precedentemente controllati da un autore di minacce e se vengono inoltrate richieste a questi domini può significare che l'istanza è compromessa. Questi domini possono anche essere correlati a campagne dannose note o algoritmi di generazione di domini.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Impact:EC2/PortSweep

Su un gran numero di indirizzi IP è in corso il probing di una porta da parte di un'istanza EC2.

Gravità predefinita: alta

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS effettua il probing di una porta su un gran numero di indirizzi IP instradabili pubblicamente. Questo tipo di attività viene in genere utilizzato per trovare host vulnerabili da sfruttare. Nel pannello dei dettagli di ricerca della GuardDuty console, viene visualizzato solo l'indirizzo IP remoto più recente

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Impact:EC2/SuspiciousDomainRequest.Reputation

Un'istanza EC2 esegue una query su un nome di dominio a bassa reputazione di natura sospetta a causa della sua età o della scarsa popolarità.

Gravità predefinita: bassa

  • Origine dati: log DNS

Questo esito segnala che l'istanza Amazon EC2 elencata nel tuo ambiente AWS esegue una query su un nome di dominio a bassa reputazione sospettato di essere dannoso. Abbiamo notato che le caratteristiche di questo dominio sono coerenti con i domini dannosi osservati in precedenza, ma il nostro modello di reputazione non è stato in grado di collegarlo in modo definitivo a una minaccia nota. Questi domini vengono in genere osservati per la prima volta o ricevono una quantità di traffico ridotta.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Impact:EC2/WinRMBruteForce

Un'istanza EC2 esegue un attacco di forza bruta di Windows Remote Management in uscita.

Gravità predefinita: bassa*

Nota

La gravità di questo esito è bassa se l'istanza EC2 era la destinazione di un attacco di forza bruta. La gravità di questo esito è alta se l'istanza EC2 è l'attore viene utilizzato per eseguire l'attacco di forza bruta.

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS esegue un attacco di forza bruta di Windows Remote Management (WinRM) volto a ottenere l'accesso al servizio Windows Remote Management su sistemi basati su Windows.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Recon:EC2/PortProbeEMRUnprotectedPort

Una porta non protetta EMR di un'istanza EC2 è sottoposta a probing da parte di un host dannoso noto.

Gravità predefinita: alta

  • Origine dati: log di flusso VPC

Questo risultato indica che una porta sensibile relativa all'EMR sull'istanza EC2 elencata che fa parte di un cluster nel AWS tuo ambiente non è bloccata da un gruppo di sicurezza, da una lista di controllo degli accessi (ACL) o da un firewall on-host come Linux IPTables. Questa scoperta indica inoltre che scanner noti su Internet stanno sondando attivamente questa porta. Le porte che possono attivare questo esito, ad esempio la porta 8088 (porta dell'interfaccia utente Web YARN), potrebbero potenzialmente essere utilizzate per l'esecuzione di codice in modalità remota.

Raccomandazioni per la correzione:

Ti consigliamo di bloccare l'accesso aperto alle porte su cluster da Internet e limitare l'accesso solo a indirizzi IP specifici che richiedono l'accesso a queste porte. Per ulteriori informazioni, consultare Gruppi di sicurezza per cluster EMR.

Recon:EC2/PortProbeUnprotectedPort

Una porta non protetta di un'istanza EC2 è sottoposta a probing da parte di un host dannoso noto.

Gravità predefinita: bassa*

Nota

La gravità predefinita di questi esiti è bassa. Tuttavia, se la porta che viene esaminata viene utilizzata da Elasticsearch (9200 o 9300), la gravità del risultato è elevata.

  • Origine dati: log di flusso VPC

Questo esito segnala che una porta sull'istanza EC2 elencata nel tuo ambiente AWS non è bloccata da un gruppo di sicurezza, una lista di controllo degli accessi (ACL) o un firewall su host, ad esempio, Linux IPTables, e che è sottoposta attivamente a probing da parte di scanner noti.

Se la porta non protetta identificata è 22 o 3389 e si utilizzano queste porte per connettersi all'istanza, è comunque possibile limitare l'esposizione consentendo l'accesso a queste porte solo agli indirizzi IP dello spazio degli indirizzi IP della rete aziendale. Per limitare l'accesso alla porta 22 su Linux, consulta Authorizing Inbound Traffic for Your Linux Instance. Per limitare l'accesso alla porta 3389 su Windows, consulta Authorizing Inbound Traffic for Your Windows Instances.

GuardDuty non genera questo risultato per le porte 443 e 80.

Raccomandazioni per la correzione:

Tuttavia, ci possono essere casi in cui le istanze sono intenzionalmente esposte, ad esempio se ospitano server web. Se questo è il caso del tuo ambiente AWS, ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/PortProbeUnprotectedPort. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta Regole di eliminazione.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Recon:EC2/Portscan

Un'istanza EC2 sta eseguendo la scansione delle porte in uscita verso un host remoto.

Gravità predefinita: media

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS è coinvolta in un possibile attacco port scan in quanto sta effettuando più tentativi di connessione a diverse porte in un breve periodo di tempo. Lo scopo di un attacco port scan è di individuare le porte aperte per determinare quali servizi sono in esecuzione sulla macchina e per identificarne il sistema operativo.

Raccomandazioni per la correzione:

Questo esito può essere un falso positivo se nel tuo ambiente vengono implementate applicazioni di valutazione della vulnerabilità su istanze EC2. Queste applicazioni, infatti, eseguono scansioni delle porte per avvisarti in caso di porte aperte configurate in modo errato. Se questo è il caso del tuo ambiente AWS, ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di Recon:EC2/Portscan. Il secondo criterio di filtro dovrebbe corrispondere all'istanza o alle istanze che ospitano questi strumenti di valutazione della vulnerabilità. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda dei criteri identificabili con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta Regole di eliminazione.

Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Trojan:EC2/BlackholeTraffic

Un'istanza EC2 sta tentando di comunicare con un indirizzo IP di un host remoto che è un noto buco nero.

Gravità predefinita: media

  • Origine dati: log di flusso VPC

Questo esito segnala che l'istanza EC2 nel tuo ambiente AWS potrebbe essere compromessa in quanto tenta di comunicare con l'indirizzo IP di un buco nero (o sinkhole). I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario. L'indirizzo IP di un buco nero designa un computer host non in esecuzione o un indirizzo a cui non è stato assegnato alcun host.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Trojan:EC2/BlackholeTraffic!DNS

Un'istanza EC2 sta eseguendo una query su un nome di dominio che è reindirizzato a un indirizzo IP di un buco nero.

Gravità predefinita: media

  • Origine dati: log DNS

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS potrebbe essere compromessa in quanto esegue una query su un nome di dominio che è reindirizzato all'indirizzo IP di un buco nero. I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Trojan:EC2/DGADomainRequest.B

Un'istanza EC2 sta eseguendo una query su domini generati da algoritmi. Tali domini sono in genere utilizzati da malware e potrebbero essere un'indicazione di un'istanza EC2 compromessa.

Gravità predefinita: alta

  • Origine dati: log DNS

Questo esito segnala che l'istanza EC2 nel tuo ambiente AWS tenta di eseguire una query su domini DGA. L'istanza EC2 potrebbe essere compromessa.

I DGA sono utilizzati periodicamente per generare un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l'arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.

Nota

L'esito è basato sull'analisi dei nomi di dominio tramite un'euristica avanzata e può quindi identificare nuovi domini DGA che non sono presenti nei feed di intelligence sulle minacce.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Trojan:EC2/DGADomainRequest.C!DNS

Un'istanza EC2 sta eseguendo una query su domini generati da algoritmi. Tali domini sono in genere utilizzati da malware e potrebbero essere un'indicazione di un'istanza EC2 compromessa.

Gravità predefinita: alta

  • Origine dati: log DNS

Questo esito segnala che l'istanza EC2 nel tuo ambiente AWS tenta di eseguire una query su domini DGA. L'istanza EC2 potrebbe essere compromessa.

I DGA sono utilizzati periodicamente per generare un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l'arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.

Nota

Questo risultato si basa su domini DGA noti tratti dai feed GuardDuty di intelligence sulle minacce.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Trojan:EC2/DNSDataExfiltration

Un'istanza EC2 sta eseguendo l'esfiltrazione di dati tramite query DNS.

Gravità predefinita: alta

  • Origine dati: log DNS

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS esegue un malware che utilizza query DNS per trasferire dati in uscita. Questo tipo di trasferimento di dati è indicativo di un'istanza compromessa e potrebbe comportare l'esfiltrazione di dati. Di solito, il traffico DNS non è bloccato dai firewall. Ad esempio, il malware in un'istanza EC2 compromessa può codificare i dati (ad esempio i numeri di carte di credito) in una query DNS e inviarli a un server DNS remoto controllato da un utente malintenzionato.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Trojan:EC2/DriveBySourceTraffic!DNS

Un'istanza EC2 sta eseguendo una query su un nome di dominio di un host remoto che è l'origine nota di attacchi di download drive-by.

Gravità predefinita: alta

  • Origine dati: log DNS

Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS potrebbe essere compromessa in quanto esegue una query su un nome di dominio di un host remoto che è un'origine nota di attacchi di download drive-by. Si tratta di download di software non voluti da Internet che possono attivare l'installazione automatica di virus, spyware o malware.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Trojan:EC2/DropPoint

Un'istanza EC2 sta tentando di comunicare con un indirizzo IP di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.

Gravità predefinita: media

  • Origine dati: log di flusso VPC

Questo esito segnala che un'istanza EC2 nel tuo ambiente AWS tenta di comunicare con l'indirizzo IP di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Trojan:EC2/DropPoint!DNS

Un'istanza EC2 sta eseguendo una query su un nome di dominio di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.

Gravità predefinita: media

  • Origine dati: log DNS

Questo esito segnala che un'istanza EC2 nel tuo ambiente AWS esegue una query su un nome di dominio di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Trojan:EC2/PhishingDomainRequest!DNS

Un'istanza EC2 sta eseguendo una query su domini implicati in attacchi di phishing. L'istanza EC2 potrebbe essere compromessa.

Gravità predefinita: alta

  • Origine dati: log DNS

Questo esito segnala che nel tuo ambiente AWS è presente un'istanza EC2 che tenta di eseguire una query su un dominio implicato in attacchi di phishing. I domini di phishing sono configurati da individui che fingono di essere un'istituzione legittima allo scopo di indurre gli utenti a fornire dati sensibili come informazioni personali, coordinate bancarie, informazioni di carte di credito e password. L'istanza EC2 potrebbe tentare di recuperare dati sensibili archiviati su un sito Web di phishing oppure di configurare un sito Web di phishing. L'istanza EC2 potrebbe essere compromessa.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

Un'istanza EC2 stabilisce connessioni a un indirizzo IP incluso in un elenco minacce personalizzato.

Gravità predefinita: media

  • Origine dati: log di flusso VPC

Questo esito segnala che un'istanza EC2 nel tuo ambiente AWS comunica con un indirizzo IP incluso in un elenco minacce che hai caricato. In GuardDuty, un elenco di minacce è costituito da indirizzi IP dannosi noti. GuardDuty genera i risultati in base agli elenchi di minacce caricati. L'elenco delle minacce utilizzato per generare questo risultato verrà elencato nei dettagli del risultato.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

UnauthorizedAccess:EC2/MetadataDNSRebind

Un'istanza EC2 esegue ricerche DNS che vengono risolte nel servizio di metadati dell'istanza.

Gravità predefinita: alta

  • Origine dati: log DNS

Questo esito segnala che un'istanza EC2 nel tuo ambiente AWS esegue una query su un dominio che restituisce l'indirizzo IP dei metadati EC2 (169.254.169.254). Una query DNS di questo tipo può indicare che l'istanza è la destinazione di una tecnica di rebinding DNS. Questa tecnica può essere utilizzata per ottenere metadati da un'istanza EC2, incluse le credenziali IAM a essa associate.

Il rebinding DNS implica l'inganno di un'applicazione in esecuzione sull'istanza EC2 per caricare i dati restituiti da un URL, dove il nome di dominio nell'URL si risolve nell'indirizzo IP dei metadati EC2 (169.254.169.254). In questo modo l'applicazione accede ai metadati EC2 e, possibilmente, li rende disponibili all'utente malintenzionato.

Puoi accedere ai metadati EC2 utilizzando il rebinding DNS solo se l'istanza EC2 esegue un'applicazione vulnerabile che consente l'iniezione di URL oppure se qualcuno accede all'URL in un browser Web in esecuzione sull'istanza EC2.

Raccomandazioni per la correzione:

In risposta a questo esito, devi valutare se è presente un'applicazione vulnerabile in esecuzione sull'istanza EC2 o se qualcuno ha utilizzato un browser per accedere al dominio identificato nell'esito. Se la causa principale è un'applicazione vulnerabile, è necessario correggere la vulnerabilità. Se qualcuno ha navigato nel dominio identificato, è necessario bloccare il dominio o impedire agli utenti di accedervi. Se ritieni che l'esito sia correlato a uno dei due casi precedenti, revoca la sessione associata all'istanza EC2.

Alcuni clienti AWS mappano intenzionalmente l'indirizzo IP dei metadati a un nome di dominio sui server DNS autorevoli. Se questo è il caso del tuo ambiente , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:EC2/MetaDataDNSRebind. Il secondo criterio di filtro deve essere il dominio di richiesta DNS e il valore deve corrispondere al dominio mappato all'indirizzo IP dei metadati (169.254.169.254). Per ulteriori informazioni sulla creazione di regole di soppressione, vedere Regole di eliminazione.

UnauthorizedAccess:EC2/RDPBruteForce

Un'istanza EC2 è stata implicata in attacchi forza bruta RDP.

Gravità predefinita: bassa*

Nota

La gravità di questo esito è bassa se l'istanza EC2 era la destinazione di un attacco di forza bruta. La gravità di questo esito è alta se l'istanza EC2 è l'attore viene utilizzato per eseguire l'attacco di forza bruta.

  • Origine dati: log di flusso VPC

Questo esito segnala che un'istanza EC2 nel tuo ambiente AWS è stata coinvolta in un attacco forza bruta che mirava a ottenere le password dei servizi RDP su sistemi basati su Windows. Ciò può indicare un accesso non autorizzato alle risorse AWS.

Raccomandazioni per la correzione:

Se il Ruolo risorsa dell'istanza è ACTOR, significa che l'istanza è stata utilizzata per eseguire gli attacchi di forza bruta RDP. A meno che questa istanza non abbia un motivo legittimo per contattare l'indirizzo IP elencato come Target, ti consigliamo di presumere che l'istanza sia stata compromessa e di intraprendere le azioni elencate in Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

Se il Ruolo risorsa dell'istanza è TARGET, questo esito può essere risolto proteggendo la porta RDP, consentendo l'accesso solo agli IP affidabili tramite gruppi di sicurezza, ACL o firewall. Per ulteriori informazioni, consulta Suggerimenti per la protezione delle istanze EC2 (Linux).

UnauthorizedAccess:EC2/SSHBruteForce

Un'istanza EC2 è stata implicata in attacchi forza bruta SSH.

Gravità predefinita: bassa*

Nota

La gravità di questo esito è bassa se un attacco di forza bruta è rivolto a una delle istanze EC2. La gravità di questo esito è alta se l'istanza EC2 viene utilizzata per eseguire l'attacco di forza bruta.

  • Origine dati: log di flusso VPC

Questo esito segnala che un'istanza EC2 nel tuo ambiente AWS è stata coinvolta in un attacco forza bruta che mirava a ottenere le password dei servizi SSH su sistemi basati su Linux. Ciò può indicare un accesso non autorizzato alle risorse AWS.

Nota

Questo risultato viene generato solo dal monitoraggio del traffico di sulla porta 22. Se i servizi SSH sono configurati per utilizzare altre porte, questo risultato non viene generato.

Raccomandazioni per la correzione:

Se la destinazione del tentativo di attacco forza bruta è un host bastione, questo comportamento potrebbe essere previsto per l'ambiente AWS. In questo caso, si consiglia di impostare una regola di eliminazione per questa individuazione. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:EC2/SSHBruteForce. Il secondo criterio di filtro deve corrispondere all'istanza o alle istanze che fungono da bastion host. Puoi utilizzare l'attributo ID immagine istanza o l'attributo di valore Tag a seconda del criterio identificabile con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta Regole di eliminazione.

Se questa attività non è prevista per il tuo ambiente e il Ruolo risorsa dell'istanza è TARGET, questo esito può essere risolto proteggendo la porta SSH, consentendo l'accesso solo a IP affidabili tramite gruppi di sicurezza, ACL o firewall. Per ulteriori informazioni, consulta Suggerimenti per la protezione delle istanze EC2 (Linux).

Se il Ruolo risorsa dell'istanza è ACTOR, questo indica che l'istanza è stata utilizzata per eseguire gli attacchi di forza bruta SSH. A meno che questa istanza non abbia un motivo legittimo per contattare l'indirizzo IP elencato come Target, ti consigliamo di presumere che l'istanza sia stata compromessa e di intraprendere le azioni elencate in Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

UnauthorizedAccess:EC2/TorClient

L'istanza EC2 sta stabilendo connessioni a un Tor Guard o a un nodo Authority.

Gravità predefinita: alta

  • Origine dati: log di flusso VPC

Questo esito segnala che un'istanza EC2 nel tuo ambiente AWS stabilisce connessioni a un Tor Guard o a un nodo Authority. Tor è un software che consente la comunicazione anonima. I Tor Guard e i nodi fungono da gateway iniziali per una rete Tor. Questo traffico può indicare che l'istanza EC2 è stata compromessa e funge da client su una rete Tor. L'esito potrebbe indicare un accesso non autorizzato alle risorse AWS con l'intento di nascondere la vera identità dell'utente malintenzionato.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

UnauthorizedAccess:EC2/TorRelay

L'istanza EC2 sta stabilendo connessioni a una rete Tor come relay Tor.

Gravità predefinita: alta

  • Origine dati: log di flusso VPC

Questo esito segnala che un'istanza EC2 nel tuo ambiente AWS stabilisce connessioni a una rete Tor in un modo che suggerisce che funga da relè Tor. Tor è un software che consente la comunicazione anonima. Tor aumenta l'anonimato della comunicazione inoltrando il traffico potenzialmente illecito del client da un relè Tor a un altro.

Raccomandazioni per la correzione:

Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.