GuardDutyS3 の結果タイプ - Amazon GuardDuty

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

GuardDutyS3 の結果タイプ

以下の結果は S3 バケットリソースに固有のものであり、リソースタイプは常に S3Bucket です。 結果の重大度と詳細は、結果タイプとバケットに関連付けられているアクセス許可によって異なります。

すべての S3 バケットタイプの結果について、問題のバケットに対するアクセス許可と結果に関係するユーザーのアクセス許可を確認することをお勧めします侵害された S3 バケットの修復。予期しないアクティビティについては、「」で説明されている修正の推奨事項を参照してください。

検出: S3/BucketEnumeration.Unusual

IAM エンティティが、ネットワーク内の S3 バケットを検出するために使用される S3 API を呼び出しました。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果では、IAM エンティティが S3 API を呼び出して、環境内の S3 バケット ( など) を検出したことを知らせListBucketsます。 このタイプのアクティビティは、攻撃者が情報を収集し、AWS 環境が広範な攻撃の影響を受けやすいかどうかを判断する攻撃の検出ステージに関連付けられています。このアクティビティは、IAM エンティティによる API の呼び出し方法が通常ではないため、不審な動作です。たとえば、この IAM エンティティには、このタイプの API 呼び出しの履歴がないか、API が通常とは異なる場所から呼び出されました。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

検出: S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: 高

この結果では、 GetObjectAclListObjects などの S3 API が、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせます。この結果に関連付けられた脅威リストは、結果の詳細の [Additional information (追加情報)] セクションに表示されます。このタイプのアクティビティは、攻撃者が情報を収集し、AWS 環境が広範な攻撃の影響を受けやすいかどうかを判断する攻撃の検出ステージに関連付けられています。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

検出: S3/TorIPCaller

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、 GetObjectAclListObjects などの S3 API が Tor 出口ノードの IP アドレスから呼び出されたことを知らせます。このタイプのアクティビティは、攻撃者が情報を収集し、AWS 環境が広範な攻撃の影響を受けやすいかどうかを判断する攻撃の検出ステージに関連付けられています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

不正: S3/ObjectRead.Unusual

IAM エンティティが不審な方法で S3 API を呼び出した。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果では、AWS 環境の IAM エンティティが S3 バケットに関連する API コールを実行しており、そのエンティティの確立されたベースラインとは異なることを知らせます。このアクティビティで使用されている API コールは、 と攻撃者がデータの収集を試みる、攻撃の不正引き出しステージに関連付けられています。このアクティビティは、IAM エンティティによる API の呼び出し方法が通常ではないため、不審な動作です。たとえば、この IAM エンティティには、このタイプの API 呼び出しの履歴がないか、API が通常とは異なる場所から呼び出されました。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

影響: S3/PermissionsModification.Unusual

IAM エンティティが API を呼び出して、1 つ以上の S3 リソースに対するアクセス権限を変更しました。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果では、IAM エンティティが、AWS 環境の 1 つ以上のバケットまたはオブジェクトのアクセス許可を変更するよう設計された API コールを行っていることを知らせます。このアクションは、攻撃者がアカウント外に情報を共有できるようにするために実行することができます。このアクティビティは、IAM エンティティによる API の呼び出し方法が通常ではないため、不審な動作です。たとえば、この IAM エンティティには、このタイプの API 呼び出しの履歴がないか、API が通常とは異なる場所から呼び出されました。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

影響: S3/ObjectDelete.Unusual

IAM エンティティが S3 バケット内のデータの削除に使用する API を呼び出しました。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果では、AWS 環境の特定の IAM エンティティが、バケット自体を削除することで、リストされた S3 バケットのデータを削除するように設計された API コールを行っていることを知らせます。このアクティビティは、IAM エンティティによる API の呼び出し方法が通常ではないため、不審な動作です。たとえば、この IAM エンティティには、このタイプの API 呼び出しの履歴がないか、API が通常とは異なる場所から呼び出されました。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

PenTest:S3/KaliLinux

S3 API が Kali Linux マシンから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、Kali Linux が実行されているマシンでお使いの AWS アカウントの認証情報を使用して S3 API コールが行われていることを知らせます。認証情報は侵害されている可能性があります。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

PenTest:S3/ParrotLinux

S3 API が Parrot Security Linux マシンから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、Parrot Security Linux が実行されているマシンでお使いの AWS アカウントの認証情報を使用して S3 API コールが行われていることを知らせます。認証情報は侵害されている可能性があります。Parrot Security Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

PenTest:S3/PentooLinux

S3 API が Pentoo Linux マシンから呼び出されました

デフォルトの重要度: ミディアム

この結果では、Pentoo Linux が実行されているマシンでユーザーの AWS アカウントの認証情報を使用して S3 API コールが行われていることを知らせます。認証情報は侵害されている可能性があります。Pentoo Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

ポリシー: S3/AccountBlockPublicAccessDisabled

IAM エンティティが、アカウントで S3 ブロックパブリックアクセスを無効にするために使用される API を呼び出しました。

デフォルトの重要度: 低

この結果では、Amazon S3 ブロックパブリックアクセスがアカウントレベルで無効になっていることを知らせます。S3 のブロックパブリックアクセス設定を有効にすると、バケットのポリシーまたはアクセスコントロールリスト (ACL) をフィルタ処理して、誤ってデータを公開しないようにするためのセキュリティ対策として使用されます。

通常、S3 ブロックパブリックアクセスは、バケットまたはバケット内のオブジェクトへのパブリックアクセスを許可するアカウントでオフになります。アカウントに対して S3 ブロックパブリックアクセスが無効になっている場合、バケットへのアクセスは、個々のバケットに適用されるポリシー、 ACLs 、またはバケットレベルのブロックパブリックアクセス設定によって制御されます。これは、バケットがパブリックに共有されているとは限りませんが、バケットに適用されているアクセス許可を監査して、アクセスのレベルが適切であることを確認する必要があることを意味します。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

ポリシー: S3/BucketBlockPublicAccessDisabled

IAM エンティティがバケットの S3 ブロックパブリックアクセスを無効にする API を呼び出しました。

デフォルトの重要度: 低

この結果では、リストされた S3 バケットに対してパブリックアクセスブロックが無効化されたことを知らせます。有効にすると、S3 ブロックパブリックアクセス設定を使用して、バケットに適用されるポリシーまたはアクセスコントロールリスト (ACL) をセキュリティとしてフィルタリングし、データが誤って公開されるのを防ぎます。

通常、S3 ブロックパブリックアクセスは、バケット内またはバケット内のオブジェクトへのパブリックアクセスを許可するために、バケット上でオフになっています。バケットに対して S3 ブロックパブリックアクセスが無効になっている場合、バケットへのアクセスはポリシーによって制御されるか、バケットACLsに適用されます。これは、バケットがパブリックに共有されているということではありませんが、ポリシーを監査してバケットACLsに適用し、適切なアクセス権限が適用されていることを確認する必要があります。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

ポリシー: S3/BucketAnonymousAccessGranted

IAM プリンシパルは、バケットポリシーまたは を変更することで、S3 バケットへのアクセスをインターネットに許可ACLsしています。

デフォルトの重要度: 高

この結果では、リストされている S3 バケットがインターネットでパブリックにアクセス可能になったことを知らせます。これは、IAM エンティティがそのバケットでバケットポリシーまたは ACL を変更しているためです。ポリシーまたは ACL の変更が検出されると、 は Zelkova による自動推論を使用して、バケットがパブリックにアクセス可能かどうかを判断します。

注記

バケットのポリシーACLsまたはバケットポリシーが、すべて明示的に拒否または拒否するように設定されている場合、そのバケットに対してこの結果を生成することはできません。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

ポリシー: S3/BucketPublicAccessGranted

IAM プリンシパルは、バケットポリシーまたは を変更することにより、S3 バケットへのパブリックアクセスをすべての ACLs AWS ユーザーに許可しています。

デフォルトの重要度: 高

この結果では、リストされている S3 バケットが、IAM エンティティがその S3 バケットのバケットポリシーまたは ACL を変更したため、すべての認証済み AWS ユーザーにパブリックに公開されていることを知らせます。ポリシーまたは ACL の変更が検出されると、 は Zelkova による自動推論を使用して、バケットがパブリックにアクセス可能かどうかを判断します。

注記

バケットのポリシーACLsまたはバケットポリシーが、すべて明示的に拒否または拒否するように設定されている場合、そのバケットに対してこの結果を生成することはできません。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

Stealth:S3/ServerAccessLoggingDisabled

バケットの S3 サーバーアクセスのログ記録が無効になりました。

デフォルトの重要度: 低

この結果では、AWS 環境内のバケットに対して S3 サーバーアクセスのログ記録が無効になっていることを知らせます。無効にすると、このバケットで S3 オブジェクトレベルのログ記録が有効になっていない限り、識別された S3 バケットまたはバケット内のオブジェクトで実行されたアクションに対してログは作成されません。ログ記録の無効化は、許可されていないユーザーがその形跡を隠すために使用される手法です。この結果は、バケットの サーバーアクセスのログ記録が無効になっている場合にトリガーされます。詳細については、「S3 サーバーアクセスログ記録」を参照してください。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: 高

この結果では、S3 API PutObject オペレーション ( PutObjectAclや など) が、アップロードした脅威リストに含まれている IP アドレスから呼び出されたことを知らせます。この結果に関連付けられた脅威リストは、結果の詳細の [Additional information (追加情報)] セクションに表示されます。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。

UnauthorizedAccess:S3/TorIPCaller

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: 高

この結果では、 PutObjectPutObjectAcl などの S3 API オペレーションが Tor 出口ノードの IP アドレスから呼び出されたことを知らせます。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。この結果は、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを示している場合があります。

修正の推奨事項:

関連付けられたプリンシパルに対してこのアクティビティが予期しないものである場合は、認証情報が公開されているか、S3 のアクセス許可の制限が不十分である可能性があります。「侵害された S3 バケットの修復」を参照してください。