GuardDuty S3 の結果タイプ - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty S3 の結果タイプ

以下の結果は S3 バケットリソースに固有のものであり、リソースタイプは常にS3Bucket。結果の重大度と詳細は、結果タイプとバケットに関連付けられているアクセス許可によって異なります。

すべての S3 バケットタイプの結果について、問題のバケットに対するアクセス許可と結果に関係するユーザーのアクセス許可を確認することをお勧めします。予期しないアクティビティについては、」侵害された S3 バケットの修復

発見:S3/悪性感染症

AWS 環境でリソースを検出するために一般的に使用される S3 API は、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: 高

この結果では、S3 API オペレーションが既知の悪意のある IP アドレスから呼び出されたことを知らせます。観測された API は、通常、攻撃者がお客様の AWS 環境に関する情報を収集しているときの攻撃の発見段階に関連付けられます。例を以下に示します。GetObjectAclまたはListObjects

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

発見:S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: 高

この結果により、S3 API(GetObjectAclまたはListObjectsがアップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせます。この結果に関連付けられた脅威の一覧は、追加情報セクションを参照してください。このタイプのアクティビティは、攻撃者が情報を収集し、AWS 環境がより広範な攻撃を受けやすいかどうかを判断する攻撃の検出段階に関連付けられています。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

発見:S3/トリップ発信者

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果により、S3 API(GetObjectAclまたはListObjectsが Tor 出口ノードの IP アドレスから呼び出されました。このタイプのアクティビティは、攻撃者が情報を収集し、AWS 環境がより広範な攻撃を受けやすいかどうかを判断する攻撃の検出段階に関連付けられています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

除外:S3/悪性感染症

AWS 環境からデータを収集するために一般的に使用される S3 API は、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: 高

この結果では、S3 API オペレーションが既知の悪意のある IP アドレスから呼び出されたことを知らせます。観察された API は、通常、攻撃者がネットワークからデータを収集しようとしている侵入戦術と関連しています。例を以下に示します。GetObjectおよびCopyObject

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

除外:S3/オブジェクト. 珍しい

IAM エンティティが疑わしい方法で S3 API を呼び出しました。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重要度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果では、AWS 環境の IAM エンティティで S3 バケットに関係し、そのエンティティの確立されたベースラインとは異なる API コールが行われていることを知らせます。このアクティビティで使用される API 呼び出しは、攻撃者がデータを収集しようとする攻撃の侵入段階に関連付けられています。IAM エンティティが API を呼び出した方法が異常であったため、このアクティビティは不審です。たとえば、この IAM エンティティには、このタイプの API を呼び出す以前の履歴がない場合や、API が異常な場所から呼び出された場合などです。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

インパクト:S3/悪性感染症

AWS 環境でデータやプロセスの改ざんによく使用される S3 API は、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: 高

この結果では、S3 API オペレーションが既知の悪意のある IP アドレスから呼び出されたことを知らせます。観察された API は、通常、攻撃者が AWS 環境内でデータを操作、中断、または破壊しようとするインパクト戦術と関連しています。例を以下に示します。PutObjectまたはPutObjectAcl

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

ペンテスト:S3/Kalilinux

S3 API API が Kali Linux マシンから呼び出されました。

デフォルトの重要度: ミディアム

この結果は、Kali Linux が実行されているマシンでお使いの AWS アカウントの認証情報を使用して S3 API コールが行われていることを示しています。認証情報は侵害されている可能性があります。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

Pentest: S3/ParrotLinux

S3 API が Parrot Security Linux マシンから呼び出されました。

デフォルトの重要度: ミディアム

この結果は、Parrot Security Linux が実行されているマシンでお使いの AWS アカウントの認証情報を使用して S3 API コールが行われていることを示しています。認証情報は侵害されている可能性があります。Parrot Security Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

Pentest: S3/PentoLinux

S3 API が Pentoo Linux マシンから呼び出されました。

デフォルトの重要度: ミディアム

この結果は、Pentoo Linux が実行されているマシンでお使いの AWS アカウントの認証情報を使用して S3 API コールが行われていることを示しています。認証情報は侵害されている可能性があります。Pentoo Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

Policy: S3/AccountBlockPublicAccess

IAM エンティティがアカウントの S3 ブロックパブリックアクセスを無効にする API を呼び出しました。

デフォルトの重要度: 低

この結果により、Amazon S3 のパブリックアクセスのブロックがアカウントレベルで無効になったことが通知されます。S3 ブロックパブリックアクセス設定を有効にすると、バケット上のポリシーまたはアクセス制御リスト(ACL)をフィルタリングし、データが誤って公開されるのを防ぎます。

通常、S3 ブロックパブリックアクセスは、バケットまたはバケット内のオブジェクトへのパブリックアクセスを許可するために無効になっています。アカウントの S3 ブロックパブリックアクセスを無効にすると、バケットへのアクセスは、個々のバケットに適用されるポリシー、ACL、またはバケットレベルのブロックパブリックアクセス設定によって制御されます。これは、必ずしもバケットがパブリックに共有されていることを意味するわけではありませんが、バケットに適用されたアクセス許可を監査して、適切なレベルのアクセスを提供していることを確認する必要があります。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

Policy: S3/BucketAnonymousAccessUnd

IAM プリンシパルは、バケットポリシーまたは ACL を変更することにより、インターネットへの S3 バケットへのアクセスを許可しています。

デフォルトの重要度: 高

この結果により、IAM エンティティがそのバケットのバケットポリシーまたは ACL を変更したため、リストされた S3 バケットがインターネット上でパブリックにアクセス可能になったことが通知されます。ポリシーまたは ACL の変更が検出されると、はケヤキを呼び出して、バケットがパブリックアクセス可能かどうかを判断します。

注記

バケットの ACL またはバケットポリシーが、明示的にすべて拒否または拒否するように設定されている場合、そのバケットに対してこの結果を生成することはできません。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

ポリシー:S3/バケットブロックPublicAccessDisabled

IAM エンティティがバケットの S3 ブロックパブリックアクセスを無効にする API を呼び出しました。

デフォルトの重要度: 低

この結果により、リストされた S3 バケットのパブリックアクセスをブロックが無効になったことが通知されます。有効にすると、S3 ブロックパブリックアクセス設定を使用して、バケットに適用されるポリシーまたはアクセス制御リスト(ACL)をフィルタリングし、データが誤って公開されるのを防ぎます。

通常、S3 ブロックパブリックアクセスは、バケットまたは内のオブジェクトへのパブリックアクセスを許可するために無効になっています。S3 Block Public Access がバケットに対して無効になっている場合、バケットへのアクセスは、バケットに適用されるポリシーまたは ACL によって制御されます。これは、バケットがパブリックに共有されているということではありませんが、バケットに適用されているポリシーと ACL を監査して、適切なアクセス権限が適用されていることを確認する必要があります。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

Policy: S3/BucketPublicAccessUnd

IAM プリンシパルは、バケットポリシーまたは ACL を変更することにより、すべての AWS ユーザーに S3 バケットへのパブリックアクセスを許可しています。

デフォルトの重要度: 高

この結果により、IAM エンティティが S3 バケットのバケットポリシーまたは ACL を変更したため、リストされた S3 バケットが認証済みのすべての AWS ユーザーに公開されていることが通知されます。ポリシーまたは ACL の変更が検出されると、はケヤキを呼び出して、バケットがパブリックアクセス可能かどうかを判断します。

注記

バケットの ACL またはバケットポリシーが、明示的にすべて拒否または拒否するように設定されている場合、そのバケットに対してこの結果を生成することはできません。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

Stealth:S3/ServerAccessLoggingDisabled

バケットの S3 サーバーアクセスのログ記録が無効になりました。

デフォルトの重要度: 低

この結果では、AWS 環境内のバケットの S3 サーバーアクセスのログ記録が無効になっていることを知らせます。無効にすると、このバケットで S3 オブジェクトレベルのログ記録が有効になっている場合を除き、識別された S3 バケットまたはバケット内のオブジェクトで実行されたアクションについて、ログは作成されません。ログ記録の無効化は、許可されていないユーザーがその形跡を隠すために使う手法です。この結果は、バケットの サーバーアクセスのログ記録が無効になっている場合にトリガーされます。詳細については、「S3 サーバーアクセスログ記録」を参照してください。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

UnauthorizedAccess: S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: 高

この結果により、S3 API オペレーション(たとえば、PutObjectまたはPutObjectAclがアップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせます。この結果に関連付けられた脅威の一覧は、追加情報セクションを参照してください。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復

不正アクセス:S3/トリップ発信者

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: 高

この結果により、S3 API オペレーション(PutObjectまたはPutObjectAclが Tor 出口ノードの IP アドレスから呼び出されました。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。この結果は、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。

修復の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 アクセス許可が十分に制限されていないことを示している可能性があります。詳細については、」侵害された S3 バケットの修復