GuardDuty S3 검색 유형 - 아마존 GuardDuty
Discovery:S3/AnomalousBehaviorDiscovery:S3/MaliciousIPCallerDiscovery:S3/MaliciousIPCaller.CustomDiscovery:S3/TorIPCallerExfiltration:S3/AnomalousBehaviorExfiltration:S3/MaliciousIPCallerImpact:S3/AnomalousBehavior.DeleteImpact:S3/AnomalousBehavior.PermissionImpact:S3/AnomalousBehavior.WriteImpact:S3/MaliciousIPCallerPenTest:S3/KaliLinuxPenTest:S3/ParrotLinuxPenTest:S3/PentooLinuxPolicy:S3/AccountBlockPublicAccessDisabledPolicy:S3/BucketAnonymousAccessGrantedPolicy:S3/BucketBlockPublicAccessDisabledPolicy:S3/BucketPublicAccessGrantedStealth:S3/ServerAccessLoggingDisabledUnauthorizedAccess:S3/MaliciousIPCaller.CustomUnauthorizedAccess:S3/TorIPCaller

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

GuardDuty S3 검색 유형

다음 결과는 Amazon S3 리소스에만 해당되며, 데이터 소스가 S3용 데이터 S3Bucket AccessKey 이벤트인지 또는 CloudTrail 데이터 소스가 CloudTrail 관리 이벤트인지를 리소스 유형으로 지정합니다. 결과의 심각도 및 세부 정보는 결과 유형 및 버킷과 연결된 권한에 따라 다릅니다.

여기에 나열된 결과에는 해당 결과 유형을 생성하는 데 사용된 데이터 소스 및 모델이 포함됩니다. 데이터 소스 및 모델에 대한 자세한 내용은 기본 데이터 소스 섹션을 참조하세요.

중요

S3에 대한 CloudTrail 데이터 소스의 데이터 이벤트 검색 결과는 S3 보호를 활성화한 경우에만 생성됩니다 GuardDuty. S3 보호는 2020년 7월 31일 이후에 생성된 모든 계정에서 기본적으로 활성화됩니다. S3 보호 활성화 또는 비활성화 방법에 대한 내용은 아마존에서의 아마존 S3 보호 GuardDuty 섹션을 참조하세요.

모든 S3Bucket 유형 결과의 경우 해당 버킷에 대한 권한과 결과에 관련된 모든 사용자의 권한을 검사하는 것이 좋습니다. 예기치 않은 활동인 경우 잠재적으로 손상된 S3 버킷 수정에서 설명하는 해결 권장 사항을 참조하세요.

Discovery:S3/AnomalousBehavior

S3 객체를 검색하는 데 일반적으로 사용되는 API가 변칙적인 방식으로 간접 호출되었습니다.

기본 심각도: 낮음

  • 데이터 소스: S3의 CloudTrail 데이터 이벤트

이 결과는 IAM 엔터티가 환경에서 S3 버킷을 검색하기 위한 S3 API(예: ListObjects)를 간접적으로 호출했음을 알려줍니다. 이러한 유형의 활동은 공격자가 정보를 수집하여 사용자 AWS 환경이 광범위한 공격에 취약한지 여부를 판단하는 공격의 검색 단계와 관련이 있습니다. IAM 엔터티가 비정상적인 방식으로 API를 간접 호출했기 때문에 이 활동은 의심스럽습니다. 예를 들어 이전 기록이 없는 IAM 엔터티가 S3 API를 간접적으로 호출하거나, IAM 엔터티가 비정상적인 위치에서 S3 API를 호출합니다.

이 API는 GuardDuty 의 이상 탐지 기계 학습 (ML) 모델에서 변칙 API로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API, 요청된 버킷 및 API 호출 수 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 결과 세부 정보에서 확인할 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

Discovery:S3/MaliciousIPCaller

AWS 환경에서 리소스를 검색하는 데 일반적으로 사용되는 S3 API가 알려진 악성 IP 주소에서 호출되었습니다.

기본 심각도: 높음

  • 데이터 소스: CloudTrail S3의 데이터 이벤트

이 결과는 알려진 악성 활동과 관련된 IP 주소에서 S3 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 환경에 대한 정보를 수집하는 공격의 탐지 단계와 관련이 있습니다 AWS . 예를 들면 GetObjectAclListObjects와 같습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

Discovery:S3/MaliciousIPCaller.Custom

사용자 지정 위협 목록의 IP 주소에서 S3 API를 간접적으로 호출했습니다.

기본 심각도: 높음

  • 데이터 소스: S3용 CloudTrail 데이터 이벤트

이 결과는 S3 API(예: GetObjectAcl 또는 ListObjects)가 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 추가 정보 섹션에 나열됩니다. 이 활동 유형은 일반적으로 공격자가 AWS 환경이 광범위한 공격에 취약한지 판단하기 위해 정보를 수집하는 공격의 발견 단계와 관련이 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

Discovery:S3/TorIPCaller

Tor 출구 노드 IP 주소에서 S3 API가 간접적으로 호출되었습니다.

기본 심각도: 중간

  • 데이터 소스: S3의 CloudTrail 데이터 이벤트

이 결과는 S3 API(예: GetObjectAcl 또는 ListObjects)가 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이러한 유형의 활동은 공격자가 정보를 수집하여 사용자 AWS 환경이 광범위한 공격에 취약한지 여부를 판단하는 공격의 검색 단계와 관련이 있습니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이는 공격자의 실제 ID를 숨기려는 의도로 AWS 리소스에 무단으로 액세스했음을 의미할 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

Exfiltration:S3/AnomalousBehavior

IAM 엔터티가 의심스러운 방식으로 S3 API를 간접적으로 호출했습니다.

기본 심각도: 높음

  • 데이터 소스: CloudTrail S3의 데이터 이벤트

이 결과는 IAM 엔터티가 S3 버킷과 관련되고 해당 엔터티의 설정된 기준과 다른 활동임을 알려줍니다. 이 활동에 사용되는 API 호출은 공격자가 데이터 수집을 시도하는 공격의 유출 단계와 관련이 있습니다. IAM 엔터티가 비정상적인 방식으로 API를 간접 호출했기 때문에 이 활동은 의심스럽습니다. 예를 들어 이전 기록이 없는 IAM 엔터티가 S3 API를 간접적으로 호출하거나, IAM 엔터티가 비정상적인 위치에서 S3 API를 호출합니다.

이 API는 GuardDuty 의 이상 탐지 기계 학습 (ML) 모델에서 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API, 요청된 버킷 및 API 호출 수 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 결과 세부 정보에서 확인할 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

Exfiltration:S3/MaliciousIPCaller

AWS 환경에서 데이터를 수집하는 데 일반적으로 사용되는 S3 API가 알려진 악성 IP 주소에서 호출되었습니다.

기본 심각도: 높음

  • 데이터 소스: CloudTrail S3의 데이터 이벤트

이 결과는 알려진 악성 활동과 관련된 IP 주소에서 S3 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 네트워크에서 데이터를 수집하려는 유출 전략과 관련이 있습니다. 예를 들면 GetObjectCopyObject와 같습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

Impact:S3/AnomalousBehavior.Delete

IAM 엔터티가 의심스러운 방식으로 데이터를 삭제하는 S3 API를 간접적으로 호출했습니다.

기본 심각도: 높음

  • 데이터 소스: S3의 CloudTrail 데이터 이벤트

이 결과는 사용자 AWS 환경의 IAM 엔티티가 S3 버킷과 관련된 API 호출을 수행하고 있으며 이 동작은 해당 엔티티의 설정된 기준과 다르다는 것을 알려줍니다. 이 활동에 사용된 API 호출은 데이터 삭제를 시도하는 공격과 관련이 있습니다. IAM 엔터티가 비정상적인 방식으로 API를 간접 호출했기 때문에 이 활동은 의심스럽습니다. 예를 들어 이전 기록이 없는 IAM 엔터티가 S3 API를 간접적으로 호출하거나, IAM 엔터티가 비정상적인 위치에서 S3 API를 호출합니다.

이 API는 GuardDuty 의 이상 탐지 기계 학습 (ML) 모델에 의해 이상 API로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API, 요청된 버킷 및 API 호출 수 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 결과 세부 정보에서 확인할 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

S3 버킷의 콘텐츠를 감사하여 이전 객체 버전을 복원할 수 있는지 또는 복원해야 하는지 판단하는 것이 좋습니다.

Impact:S3/AnomalousBehavior.Permission

액세스 제어 목록(ACL) 권한을 설정할 때 일반적으로 사용되는 API가 변칙적인 방식으로 간접 호출되었습니다.

기본 심각도: 높음

  • 데이터 소스: S3의 데이터 이벤트 CloudTrail

이 결과는 사용자 AWS 환경의 IAM 엔티티가 나열된 S3 버킷의 버킷 정책 또는 ACL을 변경했음을 알려줍니다. 이 변경으로 인해 S3 버킷이 인증된 모든 사용자에게 공개적으로 노출될 수 있습니다. AWS

이 API는 GuardDuty 의 이상 탐지 기계 학습 (ML) 모델에 의해 변칙으로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API, 요청된 버킷 및 API 호출 수 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 결과 세부 정보에서 확인할 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

S3 버킷의 콘텐츠를 감사하여 예기치 않게 공개 액세스가 허용된 객체가 없는지 확인하는 것이 좋습니다.

Impact:S3/AnomalousBehavior.Write

IAM 엔터티가 의심스러운 방식으로 데이터를 쓰는 S3 API를 간접적으로 호출했습니다.

기본 심각도: 중간

  • 데이터 소스: S3의 데이터 이벤트 CloudTrail

이 결과는 사용자 AWS 환경의 IAM 엔티티가 S3 버킷과 관련된 API 호출을 수행하고 있으며 이 동작은 해당 엔티티의 설정된 기준과 다르다는 것을 알려줍니다. 이 활동에 사용된 API 호출은 데이터 쓰기를 시도하는 공격과 관련이 있습니다. IAM 엔터티가 비정상적인 방식으로 API를 간접 호출했기 때문에 이 활동은 의심스럽습니다. 예를 들어 이전 기록이 없는 IAM 엔터티가 S3 API를 간접적으로 호출하거나, IAM 엔터티가 비정상적인 위치에서 S3 API를 호출합니다.

이 API는 GuardDuty 의 이상 탐지 기계 학습 (ML) 모델에 의해 이상 API로 식별되었습니다. ML 모델은 계정에 대한 모든 API 요청을 평가하고 공격자가 사용한 기법과 관련된 변칙 이벤트를 식별합니다. 요청한 사용자, 요청이 이루어진 위치, 요청된 특정 API, 요청된 버킷 및 API 호출 수 등 API 요청의 다양한 요소를 추적합니다. 요청을 간접적으로 호출한 사용자 ID에서 API 요청의 어떤 요소가 비정상적인지에 관한 세부 정보는 결과 세부 정보에서 확인할 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

S3 버킷의 콘텐츠를 감사하여 이 API 호출로 악의적이거나 승인되지 않은 데이터를 쓰지 않았는지 확인하는 것이 좋습니다.

Impact:S3/MaliciousIPCaller

AWS 환경의 데이터나 프로세스를 변조하는 데 일반적으로 사용되는 S3 API가 알려진 악성 IP 주소에서 호출되었습니다.

기본 심각도: 높음

  • 데이터 소스: CloudTrail S3의 데이터 이벤트

이 결과는 알려진 악성 활동과 관련된 IP 주소에서 S3 API 작업이 간접적으로 호출되었음을 알려줍니다. 관찰된 API는 일반적으로 공격자가 환경 내의 데이터를 조작, 방해 또는 파괴하려고 하는 충격 전술과 관련이 있습니다. AWS 예를 들면 PutObjectPutObjectAcl와 같습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

PenTest:S3/KaliLinux

Kali Linux 머신에서 S3 API가 간접적으로 호출되었습니다.

기본 심각도: 중간

  • 데이터 소스: S3용 데이터 이벤트 CloudTrail

이 결과는 Kali Linux를 실행하는 시스템이 사용자 계정에 AWS 속한 자격 증명을 사용하여 S3 API를 호출하고 있음을 알려줍니다. 자격 증명이 손상되었을 수 있습니다. Kali Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하기 위해 널리 사용하는 침투 테스트 도구입니다. 또한 공격자는 이 도구를 사용하여 EC2 구성 취약점을 찾아 사용자 환경에 대한 무단 액세스를 확보합니다. AWS

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

PenTest:S3/ParrotLinux

Parrot Security Linux 머신에서 S3 API가 간접적으로 호출되었습니다.

기본 심각도: 중간

  • 데이터 소스: S3의 CloudTrail 데이터 이벤트

이 결과는 Parrot Security Linux를 실행하는 시스템이 사용자 계정에 AWS 속한 자격 증명을 사용하여 S3 API를 호출하고 있음을 알려줍니다. 자격 증명이 손상되었을 수 있습니다. Parrot Security Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하기 위해 널리 사용하는 침투 테스트 도구입니다. 또한 공격자가 이 도구를 사용하여 EC2 구성의 약점을 찾아 AWS 환경에 대한 무단 액세스 권한을 얻기도 합니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

PenTest:S3/PentooLinux

Pentoo Linux 머신에서 S3 API가 간접적으로 호출되었습니다.

기본 심각도: 중간

  • 데이터 소스: S3용 CloudTrail 데이터 이벤트

이 결과는 Pentoo Linux를 실행하는 컴퓨터가 사용자 계정에 AWS 속한 자격 증명을 사용하여 S3 API를 호출하고 있음을 알려줍니다. 자격 증명이 손상되었을 수 있습니다. Pentoo Linux는 보안 전문가가 패치가 필요한 EC2 인스턴스의 약점을 식별하기 위해 널리 사용하는 침투 테스트 도구입니다. 또한 공격자는 이 도구를 사용하여 EC2 구성 약점을 찾아 사용자 환경에 무단으로 액세스합니다. AWS

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

Policy:S3/AccountBlockPublicAccessDisabled

IAM 엔터티가 계정에서 S3 퍼블릭 액세스 차단을 비활성화하는 데 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 낮음

  • 데이터 소스: 관리 이벤트 CloudTrail

이 결과는 Amazon S3 퍼블릭 액세스 차단이 계정 수준에서 비활성화되었음을 알려줍니다. S3 퍼블릭 액세스 차단이 활성화된 경우 데이터의 우발적인 공개 노출을 방지하기 위한 보안 조치로 버킷의 정책 또는 액세스 제어 목록(ACL)을 필터링하는 데 사용됩니다.

일반적으로 버킷 또는 버킷의 객체에 대한 퍼블릭 액세스를 허용하기 위해 계정에서 S3 퍼블릭 액세스 차단이 해제됩니다. 계정에 대해 S3 퍼블릭 액세스 차단이 비활성화되면 버킷에 대한 액세스는 개별 버킷에 적용된 정책, ACL 또는 버킷 수준의 퍼블릭 액세스 차단 설정에 의해 제어됩니다. 버킷이 반드시 공개적으로 공유되는 것은 아니지만 버킷에 적용된 권한을 감사하여 적절한 액세스 수준을 제공하는지 확인해야 합니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

Policy:S3/BucketAnonymousAccessGranted

IAM 보안 주체가 버킷 정책 또는 ACL을 변경하여 인터넷에 S3 버킷에 대한 액세스 권한을 부여했습니다.

기본 심각도: 높음

  • 데이터 소스: CloudTrail 관리 이벤트

이 결과는 IAM 엔터티가 해당 버킷의 버킷 정책 또는 ACL을 변경했기 때문에 나열된 S3 버킷이 인터넷에서 공개적으로 액세스할 수 있게 되었음을 알려줍니다. 정책 또는 ACL 변경이 탐지되면 Zelkova 기반의 자동 추론을 사용하여 버킷에 공개적으로 액세스할 수 있는지 확인합니다.

참고

버킷의 ACL 또는 버킷 정책이 명시적 거부 또는 모두 거부로 구성된 경우 이 결과는 버킷의 현재 상태를 반영하지 않을 수 있습니다. 이 결과에는 S3 버킷에 대해 활성화되었을 수 있는 S3 퍼블릭 액세스 차단 설정이 반영되지 않습니다. 이 경우 결과의 effectivePermission 값은 UNKNOWN으로 표시됩니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

Policy:S3/BucketBlockPublicAccessDisabled

IAM 엔터티가 버킷에서 S3 퍼블릭 액세스 차단을 비활성화하는 데 사용되는 API를 간접적으로 호출했습니다.

기본 심각도: 낮음

  • 데이터 소스: CloudTrail 관리 이벤트

이 결과는 퍼블릭 액세스 차단이 나열된 S3 버킷에서 비활성화되었음을 알려줍니다. 활성화된 경우 S3 퍼블릭 액세스 차단은 데이터의 우발적인 공개 노출을 방지하기 위한 보안 조치로 버킷에 적용된 정책 또는 액세스 제어 목록(ACL)을 필터링하는 데 사용됩니다.

일반적으로 버킷 또는 버킷 내 객체에 대한 퍼블릭 액세스를 허용하기 위해 S3 퍼블릭 액세스 차단이 해제됩니다. S3 퍼블릭 액세스 차단이 버킷에서 비활성화되면 버킷에 대한 액세스는 여기에 적용된 정책 또는 ACL에서 제어합니다. 즉, 버킷이 공개적으로 공유되는 것이 아니라, 버킷에 적용된 정책 및 ACL을 감사하여 해당 권한이 적용되었는지 확인해야 합니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

Policy:S3/BucketPublicAccessGranted

IAM 보안 주체가 버킷 정책 또는 ACL을 변경하여 모든 AWS 사용자에게 S3 버킷에 대한 공개 액세스 권한을 부여했습니다.

기본 심각도: 높음

  • 데이터 소스: 관리 이벤트 CloudTrail

이 결과는 IAM 엔티티가 해당 S3 버킷의 버킷 정책 또는 ACL을 변경했기 때문에 나열된 S3 버킷이 모든 인증된 AWS 사용자에게 공개적으로 노출되었음을 알려줍니다. 정책 또는 ACL 변경이 탐지되면 Zelkova 기반의 자동 추론을 사용하여 버킷에 공개적으로 액세스할 수 있는지 확인합니다.

참고

버킷의 ACL 또는 버킷 정책이 명시적 거부 또는 모두 거부로 구성된 경우 이 결과는 버킷의 현재 상태를 반영하지 않을 수 있습니다. 이 결과에는 S3 버킷에 대해 활성화되었을 수 있는 S3 퍼블릭 액세스 차단 설정이 반영되지 않습니다. 이 경우 결과의 effectivePermission 값은 UNKNOWN으로 표시됩니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

Stealth:S3/ServerAccessLoggingDisabled

S3 서버 액세스 로깅이 버킷에 대해 비활성화되었습니다.

기본 심각도: 낮음

  • 데이터 소스: 관리 이벤트 CloudTrail

이 결과는 AWS 환경 내 버킷에 대해 S3 서버 액세스 로깅이 비활성화되었음을 알려줍니다. 비활성화하면 식별된 S3 버킷에 액세스하려는 시도에 대한 웹 요청 로그가 생성되지 않지만, 버킷에 대한 S3 관리 API 호출 (예:) 은 계속 추적됩니다. DeleteBucket 이 CloudTrail 버킷에 대해 S3 데이터 이벤트 로깅이 활성화된 경우에도 버킷 내 객체에 대한 웹 요청은 계속 추적됩니다. 로깅 비활성화는 탐지를 우회하기 위해 권한이 없는 사용자가 사용하는 기법입니다. S3 로그에 대한 자세한 내용은 S3 서버 액세스 로깅S3 로깅 옵션을 참조하세요.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

사용자 지정 위협 목록의 IP 주소에서 S3 API를 간접적으로 호출했습니다.

기본 심각도: 높음

  • 데이터 소스: CloudTrail S3의 데이터 이벤트

이 결과는 S3 API 작업(예: PutObject 또는 PutObjectAcl)이 사용자가 업로드한 위협 목록에 포함된 IP 주소에서 간접적으로 호출되었음을 알려줍니다. 이 결과와 관련된 위협 목록은 결과 세부 정보의 추가 정보 섹션에 나열됩니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 정보는 잠재적으로 손상된 S3 버킷 수정을 참조하세요.

UnauthorizedAccess:S3/TorIPCaller

Tor 출구 노드 IP 주소에서 S3 API가 간접적으로 호출되었습니다.

기본 심각도: 높음

  • 데이터 소스: S3의 CloudTrail 데이터 이벤트

이 결과는 S3 API 작업(예: PutObject 또는 PutObjectAcl)이 Tor 출구 노드 IP 주소에서 간접적으로 호출되었음을 알려줍니다. Tor는 익명 통신을 활성화하기 위한 소프트웨어로, 통신을 암호화하고 일련의 네트워크 노드 간 릴레이를 통해 통신을 무작위로 반송합니다. 마지막 Tor 노드를 출구 노드라고 합니다. 이 발견은 공격자의 실제 신원을 숨기려는 의도로 AWS 리소스에 무단으로 액세스했음을 의미할 수 있습니다.

해결 권장 사항:

관련 보안 주체에 대해 이 활동이 예상치 않은 활동인 경우 보안 인증 정보가 노출되었거나 S3 권한이 충분히 제한적이지 않은 것일 수 있습니다. 자세한 내용은 잠재적으로 손상된 S3 버킷 수정을(를) 참조하세요.