GuardDuty 攻撃シーケンスの検出結果タイプ

GuardDuty は、複数のアクションの特定のシーケンスが疑わしい可能性のあるアクティビティと一致する場合に、攻撃シーケンスを検出します。攻撃シーケンスには、API アクティビティや GuardDuty の検出結果などのシグナルが含まれます。GuardDuty が、進行中、継続中、または最近のセキュリティ脅威を示す特定のシーケンスでシグナルのグループを観察すると、GuardDuty は攻撃シーケンスの検出結果を生成します。GuardDuty は、個々の API アクティビティを潜在的な脅威として提示しないため、weak signals と見なします。

攻撃シーケンス検出は、Amazon S3 データ (より広範なランサムウェア攻撃の一部である可能性があります) の潜在的な侵害、AWS 認証情報の侵害、Amazon EKS クラスターの侵害に焦点を当てています。以下のセクションでは、各攻撃シーケンスについて詳しく説明します。

AttackSequence:EKS/CompromisedCluster

侵害された可能性のある Amazon EKS クラスターによって実行される一連の疑わしいアクション。

• デフォルトの重要度: 重大

• データソース:

  • EKS 監査ログイベント

  • Amazon EKS の Runtime Monitoring

  • Amazon EC2 の Amazon EKS マルウェア検出

  • S3 の AWS CloudTrail データイベント

  • AWS CloudTrail 管理イベント

  • VPC Flow Logs

  • Route53 Resolver DNS クエリログ

この検出結果は、GuardDuty が環境内の侵害された可能性のある Amazon EKS クラスターを示す一連の疑わしいアクションを検出したことを知らせるものです。悪意のあるプロセスや悪意のあるエンドポイントへの接続など、複数の疑わしい異常な攻撃動作が、同じ Amazon EKS クラスターで観察されました。

GuardDuty は独自の相関アルゴリズムを使用して、IAM 認証情報を使用して実行される一連のアクションを監視および識別します。GuardDuty は、保護プランやその他のシグナルソース全体の検出結果を評価し、一般的および新たな攻撃パターンを特定します。GuardDuty は、IP の評価、API シーケンス、ユーザー設定、影響を受ける可能性のあるリソースなど、複数の要因を使用して脅威を表面化します。

修復アクション: 環境でこの動作が予期しない場合、Amazon EKS クラスターが侵害されている可能性があります。包括的な修復ガイダンスについては、「EKS Protection の検出結果の修復」および「Runtime Monitoring 検出結果の修正」を参照してください。

さらに、AWS 認証情報が EKS クラスターを介して侵害された可能性があるため、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。影響を受ける可能性のある他のリソースを修復する手順については、「検出された GuardDuty セキュリティ検出結果の修復」を参照してください。

AttackSequence:IAM/CompromisedCredentials

侵害された可能性のある AWS 認証情報を使用して呼び出された一連の API リクエスト。

• デフォルトの重要度: 重大

• データソース: AWS CloudTrail 管理イベント

この検出結果は、GuardDuty が環境内の 1 つ以上のリソースに影響を与える AWS 認証情報を使用して行われた一連の疑わしいアクションを検出したことを知らせるものです。同じ認証情報によって複数の疑わしい攻撃動作と異常な攻撃動作が観察され、認証情報が悪用されているという信頼度が高くなります。

GuardDuty は独自の相関アルゴリズムを使用して、IAM 認証情報を使用して実行される一連のアクションを監視および識別します。GuardDuty は、保護プランやその他のシグナルソース全体の検出結果を評価し、一般的および新たな攻撃パターンを特定します。GuardDuty は、IP の評価、API シーケンス、ユーザー設定、影響を受ける可能性のあるリソースなど、複数の要因を使用して脅威を表面化します。

修復アクション: 環境でこの動作が予期しない場合、AWS 認証情報が侵害されている可能性があります。修正する手順については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。侵害された認証情報は、環境内の Amazon S3 バケット、 AWS Lambda 関数、Amazon EC2 インスタンスなどの追加のリソースを作成または変更するために使用された可能性があります。影響を受ける可能性のある他のリソースを修復する手順については、「検出された GuardDuty セキュリティ検出結果の修復」を参照してください。

AttackSequence:S3/CompromisedData

一連の API リクエストが、Amazon S3 内のデータを流出または破壊しようとして呼び出されました。

• デフォルトの重要度: 重大

• データソース: S3 の AWS CloudTrail データイベント および AWS CloudTrail 管理イベント

この検出結果は、GuardDuty が、侵害された可能性のある AWS 認証情報を使用して、1 つ以上の Amazon Simple Storage Service (Amazon S3) バケットでデータ侵害を示す一連の疑わしいアクションを検出したことを知らせるものです。複数の疑わしい攻撃動作と異常な攻撃動作 (API リクエスト) が観察され、認証情報が悪用されているという信頼度が高くなります。

GuardDuty は相関アルゴリズムを使用して、IAM 認証情報を使用して実行される一連のアクションを観察および識別します。GuardDuty はその後、保護プランやその他のシグナルソースにわたる発見事項を評価し、共通および新たな攻撃パターンを特定します。GuardDuty は、IP の評価、API シーケンス、ユーザー設定、影響を受ける可能性のあるリソースなど、複数の要因を使用して脅威を表面化します。

修復アクション: 環境でこのアクティビティが予期しない場合、AWS 認証情報または Amazon S3 データが流出または破棄される可能性があります。修正する手順については、「漏えいした可能性のある AWS 認証情報の修復」および「侵害された可能性のある S3 バケットの修復」を参照してください。