サポートされている結果のタイプ - Amazon Detective

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サポートされている結果のタイプ

Amazon Detective は、以下に記載されている Amazon GuardDuty 検索タイプのプロファイルを取り込み、提供します。GuardDuty は、CloudTrail データからこれらの結果の一部を検出し、一部は VPC フローデータから検出します。

各結果タイプの詳細な説明については、「」を参照してください。検索タイプのリスト()Amazon GuardDuty ユーザーガイド

AWS CloudTrailベースの調査結果

これらの結果は、CloudTrail データを使用して検出されます。

CredentialAccess:IAMUser/AnomalousBehavior

へのアクセスを取得するために使用されるAPIAWS環境が異常な方法で呼び出されました。

DefenseEvasion:IAMUser/AnomalousBehavior

防御対策を回避するために使用された API は、異常な方法で呼び出されました。

Discovery:IAMUser/AnomalousBehavior

リソースの検出に一般的に使用される API は、異常な方法で呼び出されました。

Exfiltration:IAMUser/AnomalousBehavior

通常 API からデータを収集するために使用される APIAWS環境が異常な方法で呼び出されました。

Impact:IAMUser/AnomalousBehavior

データまたはプロセスを改ざんするために一般的に使用される APIAWS環境が異常な方法で呼び出されました。

InitialAccess:IAMUser/AnomalousBehavior

への不正アクセスを得るために一般的に使用される APIAWS環境が異常な方法で呼び出されました。

PenTest:IAMUser/KaliLinux

API が Kali Linux EC2 インスタンスから呼び出されました。

PenTest:IAMUser/ParrotLinux

API が Parrot Security Linux EC2 インスタンスから呼び出されました。

PenTest:IAMUser/PentooLinux

API が Pentoo Linux EC2 インスタンスから呼び出されました。

Persistence:IAMUser/AnomalousBehavior

への不正アクセスを維持するために一般的に使用される APIAWS環境が異常な方法で呼び出されました。

Persistence:IAMUser/NetworkPermissions

プリンシパルが通常は、セキュリティグループ、ルート、ACL のネットワークアクセス許可を変更するために使用される API を呼び出した。プリンシパルが、通常AWSアカウント.

Persistence:IAMUser/ResourcePermissions

プリンシパルが、通常、さまざまなリソースのセキュリティアクセスポリシーを変更するために使用される API を呼び出した。プリンシパルが、通常AWSアカウント.

Persistence:IAMUser/UserPermissions

プリンシパルが、通常 IAM ユーザー、グループ、ポリシーを追加、変更、削除するために使用される API を呼び出した。AWSアカウント.

Policy:IAMUser/RootCredentialUsage

API がルート認証情報を使用して呼び出された。

PrivilegeEscalation:IAMUser/AdministrativePermissions

プリンシパルがそれ自体に非常に寛容なポリシーを割り当てようとしました。

PrivilegeEscalation:IAMUser/AnomalousBehavior

高レベルのアクセス許可を取得するために一般的に使用される APIAWS環境が異常な方法で呼び出されました。

Recon:IAMUser/MaliciousIPCaller

API が既知の悪意のある IP アドレスから呼び出されました。

Recon:IAMUser/MaliciousIPCaller.Custom

API がカスタム脅威リストにある IP アドレスから呼び出されました。

Recon:IAMUser/NetworkPermissions

プリンシパルが、通常、既存のセキュリティグループ、ACL、ルートのネットワークアクセス許可を検出するために使用される API を呼び出した。プリンシパルが、AWSアカウント.

Recon:IAMUser/ResourcePermissions

プリンシパルが、通常 AWS のさまざまなリソースに関連付けられたアクセス権限を検出するために使用される API を呼び出した。プリンシパルが、通常AWSアカウント.

Recon:IAMUser/TorIPCaller

API が Tor 出口ノードの IP アドレスから呼び出されました。

Recon:IAMUser/UserPermissions

プリンシパルが、通常ユーザー、グループ、ポリシー、アクセス権限を検出するために使用される API を呼び出した。プリンシパルが、AWSアカウント.

ResourceConsumption:IAMUser/ComputeResources

プリンシパルが、通常 EC2 インスタンスなどのコンピューティングリソースを起動するために使用される API を呼び出した。

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail証跡が無効化されています。

Stealth:IAMUser/LoggingConfigurationModified

プリンシパルが、通常 CloudTrail ログ記録の停止、既存ログの削除、その他アクティビティの痕跡を消去するために使用される API を呼び出した。AWSアカウント.

Stealth:IAMUser/PasswordPolicyChange

アカウントのパスワードポリシーが弱化されています。

UnauthorizedAccess:IAMUser/ConsoleLogin

プリンシパルによる通常とは違うコンソールへのサインインAWSアカウントが観察された。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

世界中でコンソールに対する複数の正常なサインインが確認されました。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

インスタンス起動ロールを通じて EC2 インスタンス専用に作成された認証情報が外部 IP アドレスから使用されています。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

API が既知の悪意のある IP アドレスから呼び出されました。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

EC2 インスタンスがカスタム脅威リスト内の IP アドレスとアウトバウンド通信しています。

UnauthorizedAccess:IAMUser/TorIPCaller

EC2 インスタンスが Tor 出口ノードからのインバウンド接続を受信しています。

VPC フローベースの調査結果

これらの結果は、VPC フローデータを使用して検出されます。

Backdoor:EC2/C&CActivity.B

EC2 インスタンスが既知のコマンド&コントロールサーバーに関連付けられている IP アドレスをクエリしています。

Backdoor:EC2/DenialOfService.Dns

EC2 インスタンスが、DNS プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

Backdoor:EC2/DenialOfService.Tcp

EC2 インスタンスが、TCP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

Backdoor:EC2/DenialOfService.Udp

EC2 インスタンスが、UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 インスタンスが、TCP ポートで UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 インスタンスが、異常なプロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

Backdoor:EC2/Spambot

EC2 インスタンスがポート 25 でリモートホストと通信して通常と異なる動作を示しています。

Behavior:EC2/NetworkPortUnusual

EC2 インスタンスが通常と異なるポートでリモートホストと通信しています。

Behavior:EC2/TrafficVolumeUnusual

EC2 インスタンスがリモートホストに対して通常と異なる大量のネットワークトラフィックを生成しています。

CryptoCurrency:EC2/BitcoinTool.B

EC2 インスタンスは、暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。

Impact:EC2/PortSweep

EC2 インスタンスが多数の IP アドレスでポートをプローブしています。

Impact:EC2/WinRMBruteForce

EC2 インスタンスがアウトバウンドの Windows リモート管理ブルートフォース攻撃を実行しています。

Recon:EC2/PortProbeEMRUnprotectedPort

EMR クラスター内の EC2 インスタンスの保護されていない Amazon EMR 関連の機密性の高いポートを既知の悪意のあるホストが探しています。

Recon:EC2/PortProbeUnprotectedPort

EC2 インスタンスの保護されていないポートを既知の悪意のあるホストが探しています。

Recon:EC2/Portscan

EC2 インスタンスがリモートホストにアウトバウンドポートスキャンを実行しています。

Trojan:EC2/BlackholeTraffic

EC2 インスタンスは、ブラックホールと呼ばれるリモートホストの IP アドレスに通信しようとしています。

Trojan:EC2/DropPoint

EC2 インスタンスは、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストの IP アドレスに通信しようとしています。

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 インスタンスがカスタム脅威リスト内の IP アドレスとアウトバウンド通信しています。

UnauthorizedAccess:EC2/RDPBruteForce

EC2 インスタンスが RDP ブルートフォース攻撃に関与しています。

UnauthorizedAccess:EC2/SSHBruteForce

EC2 インスタンスが SSH ブルートフォース攻撃に関与しています。

UnauthorizedAccess:EC2/TorClient

EC2 インスタンスは Tor Guard または Authority ノードに接続しています。

UnauthorizedAccess:EC2/TorIPCaller

EC2 インスタンスが Tor 出口ノードからのインバウンド接続を受信しています。

UnauthorizedAccess:EC2/TorRelay

EC2 インスタンスは、Tor リレーとして Tor ネットワークに接続中です。