GuardDuty Tipi di ricerca S3 - Amazon GuardDuty
Discovery:S3/AnomalousBehaviorDiscovery:S3/MaliciousIPCallerDiscovery:S3/MaliciousIPCaller.CustomDiscovery:S3/TorIPCallerExfiltration:S3/AnomalousBehaviorExfiltration:S3/MaliciousIPCallerImpact:S3/AnomalousBehavior.DeleteImpact:S3/AnomalousBehavior.PermissionImpact:S3/AnomalousBehavior.WriteImpact:S3/MaliciousIPCallerPenTest:S3/KaliLinuxPenTest:S3/ParrotLinuxPenTest:S3/PentooLinuxPolicy:S3/AccountBlockPublicAccessDisabledPolicy:S3/BucketAnonymousAccessGrantedPolicy:S3/BucketBlockPublicAccessDisabledPolicy:S3/BucketPublicAccessGrantedStealth:S3/ServerAccessLoggingDisabledUnauthorizedAccess:S3/MaliciousIPCaller.CustomUnauthorizedAccess:S3/TorIPCaller

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

GuardDuty Tipi di ricerca S3

I seguenti risultati sono specifici per le risorse di Amazon S3 e avranno un tipo di risorsa S3Bucket se l'origine CloudTrail dati è data events per S3 o AccessKey se l'origine dati è CloudTrail un evento di gestione. La gravità e i dettagli dei risultati saranno diversi in base al tipo di ricerca e all'autorizzazione associata al bucket.

Gli esiti qui elencati includono le origini dati e i modelli utilizzati per generare quel tipo di esito. Per ulteriori informazioni sulle origini dati e sui modelli, consulta Origini dati fondamentali.

Importante

I risultati con una fonte di dati sugli eventi di CloudTrail dati per S3 vengono generati solo se la protezione S3 è abilitata per. GuardDuty La Protezione S3 è abilitata per impostazione predefinita in tutti gli account creati dopo il 31 luglio 2020. Per informazioni su come abilitare o disabilitare la Protezione S3, consulta Protezione Amazon S3 su Amazon GuardDuty

Per tutti i tipi di esiti S3Bucket, ti consigliamo di esaminare le autorizzazioni sul bucket in questione e le autorizzazioni di tutti gli utenti coinvolti nell'esito. Se l'attività è non è prevista, consulta le raccomandazioni per la correzione descritte in dettaglio in Riparazione di un bucket S3 potenzialmente compromesso.

Discovery:S3/AnomalousBehavior

Un'API comunemente utilizzata per scovare gli oggetti S3 è stata richiamata in modo anomalo.

Gravità predefinita: bassa

  • Fonte dati: eventi relativi CloudTrail ai dati per S3

Questo esito indica che un'entità IAM ha richiamato un'API S3 per scoprire i bucket S3 nel tuo ambiente, ad esempio ListObjects. Questo tipo di attività è associata alla fase di scoperta di un attacco, in cui un aggressore raccoglie informazioni per determinare se l' AWS ambiente in uso è suscettibile a un attacco più ampio. Questa attività è sospetta perché l'entità IAM ha richiamato l'API in un modo insolito. Ad esempio, un'entità IAM senza cronologia precedente richiama un'API S3 o un'entità IAM richiama un'API S3 da una posizione insolita.

Questa API è stata identificata come anomala dal modello di machine learning (ML) GuardDuty di rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle richieste API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'API specifica e il bucket richiesti e il numero di chiamate API effettuate. Per ulteriori informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta, consulta Dettagli sui risultati.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Discovery:S3/MaliciousIPCaller

Un'API S3 comunemente utilizzata per scoprire risorse in un AWS ambiente è stata richiamata da un indirizzo IP malevolo noto.

Gravità predefinita: alta

  • Fonte dei dati: eventi CloudTrail relativi ai dati per S3

Questo esito segnala che un'operazione API S3 è stata richiamata da un indirizzo IP associato ad attività dannose note. L'API osservata è generalmente associata alla fase di scoperta di un attacco, quando un avversario sta raccogliendo informazioni sull'ambiente in uso. AWS A titolo di esempio si possono menzionare GetObjectAcl e ListObjects.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Discovery:S3/MaliciousIPCaller.Custom

Un'API S3 è stata richiamata da un indirizzo IP incluso in un elenco minacce personalizzato.

Gravità predefinita: alta

  • Fonte dei dati: eventi di CloudTrail dati per S3

Questo esito segnala che un'API S3, come GetObjectAcl o ListObjects, è stata richiamata da un indirizzo IP incluso in un elenco minacce che hai caricato. L'elenco minacce associato a questo esito è elencato nella sezione Informazioni aggiuntive dei dettagli di un esito. Questo tipo di attività è associato alla fase di scoperta di un attacco in cui l'utente malintenzionato raccoglie informazioni per determinare se il tuo ambiente AWS è suscettibile a un attacco più ampio.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Discovery:S3/TorIPCaller

Un'API S3 è stata richiamata dall'indirizzo IP di un nodo di uscita Tor.

Gravità predefinita: media

  • Fonte dati: eventi di CloudTrail dati per S3

Questo esito segnala che un'API S3, come GetObjectAcl o ListObjects, è stata richiamata dall'indirizzo IP di un nodo di uscita Tor. Questo tipo di attività è associata alla fase di scoperta di un attacco, in cui un aggressore raccoglie informazioni per determinare se l' AWS ambiente in uso è suscettibile a un attacco più ampio. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle AWS risorse dell'utente con l'intento di nascondere la vera identità dell'aggressore.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Exfiltration:S3/AnomalousBehavior

Un'entità IAM ha richiamato un'API S3 in modo sospetto.

Gravità predefinita: alta

  • Fonte dei dati: CloudTrail eventi relativi ai dati per S3

Questo esito segnala che un'entità IAM effettua chiamate API che coinvolgono un bucket S3 e questa attività differisce dalla linea di base stabilita per tale entità. La chiamata API utilizzata in questa attività è associata alla fase di esfiltrazione di un attacco, in cui un utente malintenzionato tenta di raccogliere dati. Questa attività è sospetta perché l'entità IAM ha richiamato l'API in un modo insolito. Ad esempio, un'entità IAM senza cronologia precedente richiama un'API S3 o un'entità IAM richiama un'API S3 da una posizione insolita.

Questa API è stata identificata come anomala dal modello ML (Anomaly Detection Machine Learning) GuardDuty di Anomaly Detection. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle richieste API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'API specifica e il bucket richiesti e il numero di chiamate API effettuate. Per ulteriori informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta, consulta Dettagli sui risultati.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Exfiltration:S3/MaliciousIPCaller

Un'API S3 comunemente utilizzata per raccogliere dati da un AWS ambiente è stata richiamata da un indirizzo IP malevolo noto.

Gravità predefinita: alta

  • Fonte dei dati: eventi CloudTrail relativi ai dati per S3

Questo esito segnala che un'operazione API S3 è stata richiamata da un indirizzo IP associato ad attività dannose note. L'API osservata è comunemente associata a tattiche di esfiltrazione in cui un avversario cerca di raccogliere dati dalla tua rete. A titolo di esempio si possono menzionare GetObject e CopyObject.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Impact:S3/AnomalousBehavior.Delete

Un'entità IAM ha richiamato un'API S3 che tenta di eliminare i dati in modo sospetto.

Gravità predefinita: alta

  • Fonte dati: eventi di CloudTrail dati per S3

Questo risultato indica che un'entità IAM nel tuo AWS ambiente sta effettuando chiamate API che coinvolgono un bucket S3 e questo comportamento è diverso dalla linea di base stabilita da tale entità. La chiamata API utilizzata in questa attività è associata a un attacco che tenta di eliminare i dati. Questa attività è sospetta perché l'entità IAM ha richiamato l'API in un modo insolito. Ad esempio, un'entità IAM senza cronologia precedente richiama un'API S3 o un'entità IAM richiama un'API S3 da una posizione insolita.

Questa API è stata identificata come anomala dal modello di machine learning (ML) per GuardDuty il rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle richieste API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'API specifica e il bucket richiesti e il numero di chiamate API effettuate. Per ulteriori informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta, consulta Dettagli sui risultati.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Ti consigliamo di controllare il contenuto del tuo bucket S3 per determinare se la versione precedente dell'oggetto può o deve essere ripristinata.

Impact:S3/AnomalousBehavior.Permission

Un'API comunemente utilizzata per impostare le autorizzazioni della lista di controllo degli accessi (ACL) è stata richiamata in modo anomalo.

Gravità predefinita: alta

  • Fonte dei dati: eventi di CloudTrail dati per S3

Questo risultato ti informa che un'entità IAM nel tuo AWS ambiente ha modificato una policy o un ACL sui bucket S3 elencati. Questa modifica può esporre pubblicamente i bucket S3 a tutti gli utenti autenticati. AWS

Questa API è stata identificata come anomala dal modello di apprendimento automatico (ML) GuardDuty di rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle richieste API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'API specifica e il bucket richiesti e il numero di chiamate API effettuate. Per ulteriori informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta, consulta Dettagli sui risultati.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Ti consigliamo di controllare il contenuto del tuo bucket S3 per assicurarti che a nessun oggetto sia stato inaspettatamente consentito l'accesso pubblico.

Impact:S3/AnomalousBehavior.Write

Un'entità IAM ha richiamato un'API S3 che tenta di scrivere i dati in modo sospetto.

Gravità predefinita: media

  • Fonte dei dati: eventi di CloudTrail dati per S3

Questo risultato indica che un'entità IAM nel tuo AWS ambiente sta effettuando chiamate API che coinvolgono un bucket S3 e questo comportamento è diverso dalla linea di base stabilita da tale entità. La chiamata API utilizzata in questa attività è associata a un attacco che tenta di scrivere i dati. Questa attività è sospetta perché l'entità IAM ha richiamato l'API in un modo insolito. Ad esempio, un'entità IAM senza cronologia precedente richiama un'API S3 o un'entità IAM richiama un'API S3 da una posizione insolita.

Questa API è stata identificata come anomala dal modello di machine learning (ML) per GuardDuty il rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle richieste API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'API specifica e il bucket richiesti e il numero di chiamate API effettuate. Per ulteriori informazioni su quali fattori della richiesta API sono insoliti per l'identità utente che ha richiamato la richiesta, consulta Dettagli sui risultati.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Ti consigliamo di controllare il contenuto del tuo bucket S3 per assicurarti che questa chiamata API non abbia scritto dati dannosi o non autorizzati.

Impact:S3/MaliciousIPCaller

Un'API S3 comunemente utilizzata per manomettere dati o processi in un AWS ambiente è stata richiamata da un indirizzo IP dannoso noto.

Gravità predefinita: alta

  • Fonte dei dati: eventi di CloudTrail dati per S3

Questo esito segnala che un'operazione API S3 è stata richiamata da un indirizzo IP associato ad attività dannose note. L'API osservata è comunemente associata a tattiche di impatto in cui un avversario cerca di manipolare, interrompere o distruggere i dati all'interno dell'ambiente. AWS A titolo di esempio si possono menzionare PutObject e PutObjectAcl.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

PenTest:S3/KaliLinux

Un'API S3 è stata richiamata da una macchina Kali Linux.

Gravità predefinita: media

  • Fonte dei dati: eventi relativi ai dati per S3 CloudTrail

Questa scoperta ti informa che una macchina che esegue Kali Linux sta effettuando chiamate all'API S3 utilizzando credenziali che appartengono al tuo account. AWS Le tue credenziali potrebbero essere compromesse. Kali Linux è uno noto strumento per l'esecuzione di test di intrusione utilizzato dai professionisti della sicurezza informatica per identificare le vulnerabilità nelle istanze EC2 che richiedono l'applicazione di patch. Gli aggressori utilizzano questo strumento anche per individuare i punti deboli della configurazione EC2 e ottenere l'accesso non autorizzato al tuo ambiente. AWS

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

PenTest:S3/ParrotLinux

Un'API S3 è stata richiamata da una macchina Parrot Security Linux.

Gravità predefinita: media

  • Fonte dei dati: eventi relativi ai dati per S3 CloudTrail

Questa scoperta indica che una macchina su cui è in esecuzione Parrot Security Linux sta effettuando chiamate all'API S3 utilizzando credenziali che appartengono al vostro account. AWS Le tue credenziali potrebbero essere compromesse. Parrot Security Linux è uno noto strumento per l'esecuzione di test di intrusione utilizzato dai professionisti della sicurezza informatica per identificare le vulnerabilità nelle istanze EC2 che richiedono l'applicazione di patch. Questo strumento è utilizzato anche dagli utenti malintenzionati per identificare le vulnerabilità nella configurazione EC2 e ottenere accesso non autorizzato all'ambiente AWS .

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

PenTest:S3/PentooLinux

Un'API S3 è stata richiamata da una macchina Pentoo Linux.

Gravità predefinita: media

  • Fonte dei dati: CloudTrail eventi di dati per S3

Questa scoperta ti informa che una macchina su cui è in esecuzione Pentoo Linux sta effettuando chiamate all'API S3 utilizzando credenziali che appartengono al tuo account. AWS Le tue credenziali potrebbero essere compromesse. Pentoo Linux è uno noto strumento per l'esecuzione di test di intrusione utilizzato dai professionisti della sicurezza informatica per identificare le vulnerabilità nelle istanze EC2 che richiedono l'applicazione di patch. Gli aggressori utilizzano questo strumento anche per individuare i punti deboli della configurazione EC2 e ottenere l'accesso non autorizzato al tuo ambiente. AWS

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Policy:S3/AccountBlockPublicAccessDisabled

Un'entità IAM ha richiamato un'API utilizzata per disabilitare il blocco dell'accesso pubblico S3 su un account.

Gravità predefinita: bassa

  • Fonte dei dati: eventi di gestione CloudTrail

Questo esito segnala che il blocco dell'accesso pubblico Amazon S3 è stato disabilitato a livello di account. Quando le impostazioni relative al blocco dell'accesso pubblico S3 sono abilitate, vengono utilizzate per filtrare le policy o le liste di controllo degli accessi (ACL) sui bucket come misura di sicurezza per evitare l'esposizione pubblica accidentale dei dati.

In genere, il blocco dell'accesso pubblico S3 è disattivato nell'account per consentire l'accesso pubblico a un bucket o agli oggetti al suo interno. Quando il blocco dell'accesso pubblico S3 è disabilitato per un account, l'accesso ai bucket è controllato dalle policy, dalle ACL o dalle impostazioni di blocco dell'accesso pubblico a livello di bucket applicate ai singoli bucket. Questo non significa per forza che i bucket sono condivisi pubblicamente, ma che è necessario controllare le autorizzazioni applicate ai bucket per verificare che forniscano il livello di accesso appropriato.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Policy:S3/BucketAnonymousAccessGranted

Un principale IAM ha concesso l'accesso a Internet a un bucket S3 modificando le policy o le ACL del bucket.

Gravità predefinita: alta

  • Fonte dei dati: eventi CloudTrail di gestione

Questo esito segnala che il bucket S3 elencato è stato reso accessibile pubblicamente su Internet perché un'entità IAM ha modificato una policy o un'ACL per il bucket in questione. Una volta rilevata una modifica alla policy o all'ACL, viene utilizzato il ragionamento automatico fornito da Zelkova per determinare se il bucket è accessibile pubblicamente.

Nota

Se le ACL o le policy del bucket sono configurate per negare esplicitamente o negare tutto, questo esito potrebbe non riflettere lo stato attuale del bucket. Questo esito non rifletterà alcuna impostazione di Blocco dell'accesso pubblico S3 che potrebbe essere stata abilitata per il tuo bucket S3. In questi casi, il valore effectivePermission dell'esito verrà contrassegnato come UNKNOWN.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Policy:S3/BucketBlockPublicAccessDisabled

Un'entità IAM ha richiamato un'API utilizzata per disabilitare il blocco dell'accesso pubblico S3 su un bucket.

Gravità predefinita: bassa

  • Fonte dei dati: eventi CloudTrail di gestione

Questo esito segnala che il blocco dell'accesso pubblico è stato disabilitato per il bucket S3 elencato. Quando sono abilitate, le impostazioni relative al blocco dell'accesso pubblico S3 vengono utilizzate per filtrare le policy o le liste di controllo degli accessi (ACL) applicate ai bucket come misura di sicurezza per evitare l'esposizione pubblica accidentale dei dati.

In genere, il blocco dell'accesso pubblico S3 è disattivato su un bucket per consentire l'accesso pubblico al bucket in questione o agli oggetti al suo interno. Quando il blocco dell'accesso pubblico S3 è disabilitato per un bucket, l'accesso al bucket stesso è controllato dalle relative policy o ACL. Questo non significa che il bucket è condiviso pubblicamente, ma è necessario controllare le policy e le ACL applicate al bucket per verificare che vengano applicate le autorizzazioni appropriate.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Policy:S3/BucketPublicAccessGranted

Un responsabile IAM ha concesso l'accesso pubblico a un bucket S3 a tutti AWS gli utenti modificando le policy o gli ACL dei bucket.

Gravità predefinita: alta

  • Fonte dei dati: eventi di gestione CloudTrail

Questo risultato indica che il bucket S3 elencato è stato esposto pubblicamente a tutti AWS gli utenti autenticati perché un'entità IAM ha modificato una policy del bucket o ACL su quel bucket S3. Una volta rilevata una modifica alla policy o all'ACL, viene utilizzato il ragionamento automatico fornito da Zelkova per determinare se il bucket è accessibile pubblicamente.

Nota

Se le ACL o le policy del bucket sono configurate per negare esplicitamente o negare tutto, questo esito potrebbe non riflettere lo stato attuale del bucket. Questo esito non rifletterà alcuna impostazione di Blocco dell'accesso pubblico S3 che potrebbe essere stata abilitata per il tuo bucket S3. In questi casi, il valore effectivePermission dell'esito verrà contrassegnato come UNKNOWN.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

Stealth:S3/ServerAccessLoggingDisabled

La registrazione degli accessi al server S3 è stata disabilitata per un bucket.

Gravità predefinita: bassa

  • Fonte dei datiCloudTrail : eventi di gestione

Questa scoperta ti informa che la registrazione degli accessi al server S3 è disabilitata per un bucket all'interno del tuo ambiente. AWS Se disabilitata, non viene creato alcun registro delle richieste Web per i tentativi di accesso al bucket S3 identificato, tuttavia, le chiamate API di gestione S3 al bucket, ad esempio, vengono comunque tracciate. DeleteBucket Se la registrazione degli eventi dei dati S3 è abilitata CloudTrail per questo bucket, le richieste web per gli oggetti all'interno del bucket verranno comunque tracciate. La disabilitazione della registrazione è una tecnica utilizzata da utenti non autorizzati per evitare il rilevamento. Per ulteriori informazioni sui log S3, consulta Registrazione degli accessi al server S3 e Opzioni di registrazione S3 .

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Un'API S3 è stata richiamata da un indirizzo IP incluso in un elenco minacce personalizzato.

Gravità predefinita: alta

  • Fonte dati: eventi di dati per S3 CloudTrail

Questo esito segnala che un'operazione API S3, ad esempio, PutObject o PutObjectAcl, è stata richiamata da un indirizzo IP incluso in un elenco minacce che hai caricato. L'elenco minacce associato a questo esito è elencato nella sezione Informazioni aggiuntive dei dettagli di un esito.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.

UnauthorizedAccess:S3/TorIPCaller

Un'API S3 è stata richiamata dall'indirizzo IP di un nodo di uscita Tor.

Gravità predefinita: alta

  • Fonte dati: eventi di CloudTrail dati per S3

Questo esito segnala che un'operazione API S3, come PutObject o PutObjectAcl, è stata richiamata dall'indirizzo IP di un nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L'ultimo nodo Tor è denominato nodo di uscita. Questa scoperta può indicare un accesso non autorizzato alle tue AWS risorse con l'intento di nascondere la vera identità dell'aggressore.

Raccomandazioni per la correzione:

Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta Riparazione di un bucket S3 potenzialmente compromesso.