As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Tipos de descoberta desabilitados
Uma descoberta é uma notificação que contém detalhes sobre um possível problema de segurança que o GuardDuty descobre. Para obter informações sobre alterações importantes para os tipos de descoberta do GuardDuty, incluindo os tipos de descoberta recém-adicionados ou removidos, consulte Histórico de documentos da Amazon GuardDuty.
Os seguintes tipos de descoberta foram retirados e não são mais gerados pelo GuardDuty.
Importante
NÃO é possível reativar tipos de descobertas do GuardDuty que foram retirados.
Tópicos
- Exfiltration:S3/ObjectRead.Unusual
- Impact:S3/PermissionsModification.Unusual
- Impact:S3/ObjectDelete.Unusual
- Discovery:S3/BucketEnumeration.Unusual
- Persistence:IAMUser/NetworkPermissions
- Persistence:IAMUser/ResourcePermissions
- Persistence:IAMUser/UserPermissions
- PrivilegeEscalation:IAMUser/AdministrativePermissions
- Recon:IAMUser/NetworkPermissions
- Recon:IAMUser/ResourcePermissions
- Recon:IAMUser/UserPermissions
- ResourceConsumption:IAMUser/ComputeResources
- Stealth:IAMUser/LoggingConfigurationModified
- UnauthorizedAccess:IAMUser/ConsoleLogin
- UnauthorizedAccess:EC2/TorIPCaller
- Backdoor:EC2/XORDDOS
- Behavior:IAMUser/InstanceLaunchUnusual
- CryptoCurrency:EC2/BitcoinTool.A
- UnauthorizedAccess:IAMUser/UnusualASNCaller
Exfiltration:S3/ObjectRead.Unusual
Uma entidade do IAM invocou uma API do S3 de forma suspeita.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
-
Fonte de dados: eventos de dados do CloudTrail para S3
Essa descoberta informa que uma entidade do IAM em seu AWS ambiente está fazendo chamadas de API que envolvem um bucket do S3 e que diferem da linha de base estabelecida pela entidade. A chamada de API usada nessa atividade está associada ao estágio de exfiltração de um ataque, no qual um invasor está tentando coletar dados. Essa atividade é suspeita porque a forma como a entidade do IAM invocou a API era incomum. Por exemplo, essa entidade do IAM não tinha histórico anterior de invocação desse tipo de API, ou a API foi invocada de um local incomum.
Recomendações de correção:
Se essa atividade for inesperada para o diretor associado, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.
Impact:S3/PermissionsModification.Unusual
Uma entidade do IAM invocou uma API para modificar as permissões em um ou mais recursos do S3.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta informa que uma entidade do IAM está fazendo chamadas de API projetadas para modificar as permissões em um ou mais buckets ou objetos em seu AWS ambiente. Essa ação pode ser executada por um invasor para permitir que as informações sejam compartilhadas fora da conta. Essa atividade é suspeita porque a forma como a entidade do IAM invocou a API era incomum. Por exemplo, essa entidade do IAM não tinha histórico anterior de invocação desse tipo de API, ou a API foi invocada de um local incomum.
Recomendações de correção:
Se essa atividade for inesperada para o diretor associado, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.
Impact:S3/ObjectDelete.Unusual
Uma entidade do IAM invocou uma API usada para excluir dados em um bucket do S3
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta informa que uma entidade específica do IAM em seu AWS ambiente está fazendo chamadas de API projetadas para excluir dados no bucket do S3 listado, excluindo o próprio bucket. Essa atividade é suspeita porque a forma como a entidade do IAM invocou a API era incomum. Por exemplo, essa entidade do IAM não tinha histórico anterior de invocação desse tipo de API, ou a API foi invocada de um local incomum.
Recomendações de correção:
Se essa atividade for inesperada para o diretor associado, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.
Discovery:S3/BucketEnumeration.Unusual
Uma entidade do IAM invocou uma API do S3 usada para descobrir buckets do S3 na sua rede.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta informa que uma entidade do IAM invocou uma API do S3 para descobrir buckets do S3 em seu ambiente, como. ListBuckets Esse tipo de atividade está associado ao estágio de descoberta de um ataque, no qual um invasor coleta informações para determinar se seu AWS ambiente é suscetível a um ataque mais amplo. Essa atividade é suspeita porque a forma como a entidade do IAM invocou a API era incomum. Por exemplo, essa entidade do IAM não tinha histórico anterior de invocação desse tipo de API, ou a API foi invocada de um local incomum.
Recomendações de correção:
Se essa atividade for inesperada para o diretor associado, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para obter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.
Persistence:IAMUser/NetworkPermissions
Uma entidade IAM invocou uma API comumente usada para alterar as permissões de acesso à rede para grupos de segurança, rotas e ACLs em sua conta da AWS.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta indica que um diretor específico (Usuário raiz da conta da AWS, perfil do IAM ou usuário) em seu ambiente da AWS está exibindo um comportamento diferente da linha de base estabelecida. Esse principal não possui histórico prévio de invocação dessa API.
Essa descoberta é acionada quando as configurações de rede são alteradas em circunstâncias suspeitas, como quando um principal invoca a CreateSecurityGroup API sem nenhum histórico anterior de fazer isso. Os invasores geralmente tentam alterar os grupos de segurança para permitir determinados tráfegos de entrada em várias portas para melhorar sua capacidade de acessar uma instância do EC2.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Persistence:IAMUser/ResourcePermissions
Uma entidade principal invocou uma API comumente usada para alterar as políticas de acesso de segurança de vários recursos em sua conta da Conta da AWS.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta indica que um diretor específico (Usuário raiz da conta da AWS, perfil do IAM ou usuário) em seu ambiente da AWS está exibindo um comportamento diferente da linha de base estabelecida. Esse principal não possui histórico prévio de invocação dessa API.
Essa descoberta é acionada quando uma alteração é detectada nas políticas ou permissões associadas aos AWS recursos, como quando um diretor em seu AWS ambiente invoca a PutBucketPolicy API sem nenhum histórico anterior de fazer isso. Alguns serviços, como o Amazon S3, oferecem suporte a permissões anexadas a recursos que garantem um ou mais acessos de principais ao recurso. Com credenciais roubadas, os invasores podem alterar as políticas anexadas a um recurso, para conseguir acesso a esse recurso.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Persistence:IAMUser/UserPermissions
Uma entidade principal invocou uma API comumente usada para adicionar, modificar ou excluir políticas, grupos ou usuários do IAM em sua conta da AWS.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta indica que um diretor específico (Usuário raiz da conta da AWS, perfil do IAM ou usuário) em seu ambiente da AWS está exibindo um comportamento diferente da linha de base estabelecida. Esse principal não possui histórico prévio de invocação dessa API.
Essa descoberta é acionada por alterações suspeitas nas permissões relacionadas ao usuário em seu AWS ambiente, como quando um diretor em seu AWS ambiente invoca a AttachUserPolicy API sem nenhum histórico anterior de fazer isso. Os invasores podem usar credenciais roubadas para criar novos usuários, adicionar políticas de acesso aos usuários existentes ou criar chaves de acesso para maximizar o acesso a uma conta, mesmo que o ponto de acesso original esteja fechado. Por exemplo, o proprietário da conta pode perceber que um determinado usuário ou senha do IAM foi roubado e excluí-lo da conta. No entanto, eles não podem excluir outros usuários que foram criados por um administrador principal criado de forma fraudulenta, deixando sua AWS conta acessível ao invasor.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
PrivilegeEscalation:IAMUser/AdministrativePermissions
Um principal tentou atribuir uma política altamente permissiva a si próprio.
Severidade padrão: baixa*
nota
Essa descoberta da severidade é baixa se a tenthabilita de escalonamento de privilégios não foi bem-sucedida e média se a tenthabilita de escalonamento foi bem-sucedida.
Essa descoberta indica que uma entidade do IAM específica em seu ambiente da AWS está exibindo um comportamento que pode ser indicativo de um ataque de escalonamento de privilégios. Essa descoberta é acionada quando um usuário ou perfil do IAM tenta atribuir uma política altamente permissiva a si próprio. Se o usuário ou a função não deve ter privilégios administrativos, isso indica que as credenciais do usuário foram comprometidas ou que as permissões da função podem estar configuradas inadequadamente.
Os invasores usarão credenciais roubadas para criar novos usuários, adicionar políticas de acesso aos usuários existentes ou criar chaves de acesso para maximizar o acesso a uma conta, mesmo que o ponto de acesso original esteja fechado. Por exemplo, o proprietário da conta pode perceber que a credencial de login de um determinado usuário do IAM foi roubada e excluí-lo da conta, mas pode não excluir outros usuários que foram criados por um diretor administrativo criado de forma fraudulenta, deixando sua conta da AWS ainda acessível ao invasor.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Recon:IAMUser/NetworkPermissions
Uma entidade principal invocou uma API comumente usada para alterar as permissões de acesso de rede para grupos de segurança, rotas e ACLs em sua conta AWS.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta indica que um diretor específico (Usuário raiz da conta da AWS, perfil do IAM ou usuário) em seu ambiente da AWS está exibindo um comportamento diferente da linha de base estabelecida. Esse principal não possui histórico prévio de invocação dessa API.
Essa descoberta é acionada quando as permissões de acesso de recurso em sua conta da AWS são examinadas quanto a circunstâncias duvidosas. Por exemplo, se uma entidade principal sem histórico de fazer isso invocou a API DescribeInstances. Um invasor pode usar credenciais roubadas para executar esse tipo de reconhecimento de seus recursos da AWS para localizar credenciais mais valiosas ou determinar os recursos das credenciais que já possui.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Recon:IAMUser/ResourcePermissions
Uma entidade principal invocou uma API comumente usada para alterar as políticas de acesso de segurança de vários recursos em sua conta da AWS.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta indica que um diretor específico (Usuário raiz da conta da AWS, perfil do IAM ou usuário) em seu ambiente da AWS está exibindo um comportamento diferente da linha de base estabelecida. Esse principal não possui histórico prévio de invocação dessa API.
Essa descoberta é acionada quando as permissões de acesso de recurso em sua conta da AWS são examinadas quanto a circunstâncias duvidosas. Por exemplo, se uma entidade principal sem histórico de fazer isso invocou a API DescribeInstances. Um invasor pode usar credenciais roubadas para executar esse tipo de reconhecimento de seus recursos da AWS para localizar credenciais mais valiosas ou determinar os recursos das credenciais que já possui.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Recon:IAMUser/UserPermissions
Uma entidade principal invocou uma API comumente usada para adicionar, modificar ou excluir políticas, grupos ou usuários do IAM em sua conta da AWS.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta é acionada quando as permissões de usuário em seu ambiente da AWS são examinadas quanto a circunstâncias duvidosas. Por exemplo, se uma entidade principal (Usuário raiz da conta da AWS, perfil do IAM ou usuário do IAM) invocou a API ListInstanceProfilesForRole sem histórico de fazer isso. Um invasor pode usar credenciais roubadas para executar esse tipo de reconhecimento de seus recursos da AWS para localizar credenciais mais valiosas ou determinar os recursos das credenciais que já possui.
Essa descoberta indica que um principal específico no ambiente da AWS está exibindo um comportamento diferente da linha de base estabelecida. Esse principal não possui histórico de invocação dessa API dessa maneira.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
ResourceConsumption:IAMUser/ComputeResources
Um principal invocou uma API comumente usada para executar recursos de computação, como instâncias do EC2.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta é acionada quando as instâncias do EC2 na conta listada em seu ambiente da AWS são iniciadas em circunstâncias suspeitas. Essa descoberta indica que um principal específico em seu AWS ambiente está exibindo um comportamento diferente da linha de base estabelecida; por exemplo, se um principal (Usuário raiz da conta da AWS, função do IAM ou usuário do IAM) invocou a RunInstances API sem histórico anterior de fazer isso. Isso pode ser uma indicação de um invasor usando credenciais roubadas para roubar tempo de computação (possivelmente para mineração de criptomoeda ou quebra de senhas). Também pode ser uma indicação de um invasor usando uma instância do EC2 em seu ambiente da AWS e suas credenciais para manter o acesso à sua conta.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Stealth:IAMUser/LoggingConfigurationModified
Uma entidade principal invocou uma API comumente usada para interromper o registro em log do CloudTrail, excluir logs existentes, além de eliminar rastreamentos de atividade em sua conta da AWS.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta é acionada quando a configuração de registro na conta da AWS listada em seu ambiente é modificada em circunstâncias suspeitas. Essa descoberta informa que um principal específico em seu AWS ambiente está exibindo um comportamento diferente da linha de base estabelecida; por exemplo, se um principal (Usuário raiz da conta da AWS, função do IAM ou usuário do IAM) invocou a StopLogging API sem histórico anterior de fazer isso. Isso pode ser uma indicação de um invasor tentando cobrir seus rastros eliminando qualquer traço de sua atividade.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
UnauthorizedAccess:IAMUser/ConsoleLogin
Foi observado um login de console incomum por um principal em sua conta da AWS.
Severidade padrão: média*
nota
A severidade padrão desta descoberta é Média. No entanto, se a API for invocada usando credenciais temporárias da AWS criadas em uma instância, a severidade da descoberta será Alta.
Essa descoberta é acionada quando um login no console é detectado em circunstâncias duvidosas. Por exemplo, se um principal sem histórico de fazer isso, invocou a API ConsoleLogin de um cliente nunca usado anteriormente ou de um local incomum. Isso pode ser uma indicação de credenciais roubadas sendo usadas para obter acesso à sua conta da AWS ou um usuário válido acessando a conta de uma maneira inválida ou menos segura (por exemplo, sem passar por uma VPN aprovada).
Essa descoberta informa que determinada entidade principal no seu ambiente da AWS está exibindo um comportamento diferente da linha de base estabelecida. Esse principal não possui histórico de atividades de login usando esse aplicativo cliente a partir desse local específico.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
UnauthorizedAccess:EC2/TorIPCaller
A instância do EC2 está recebendo conexões de entrada de um nó de saída Tor.
Severidade padrão: média
Esta descoberta informa que uma instância do EC2 no seu ambiente da AWS está recebendo conexões de entrada a partir de um nó de saída Tor. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Essa descoberta pode indicar acesso não autorizado aos seus recursos da AWS com a intenção de ocultar a verdadeira identidade do invasor.
Recomendações de correção:
Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.
Backdoor:EC2/XORDDOS
Uma instância do EC2 está tentando se comunicar com um endereço IP associado ao malware XorDDos.
Severidade padrão: alta
Essa descoberta informa que existe uma instância do EC2 no seu ambiente da AWS que está tentando se comunicar com um endereço IP associado ao malware XOR DDos. Essa instância do EC2 pode estar comprometida. O XOR DDoS é um malware de Trojan que sequestra sistemas Linux. Para ter acesso ao sistema, ele lança um ataque de força bruta e descobre a senha dos serviços Secure Shell (SSH) no Linux. Quando as credenciais do SSH são adquiridas e o login é realizado com sucesso, ele usa privilégios de root para executar um script que faz download e instala o XOR DDoS. Em seguida, esse malware é usado como parte de um botnet para iniciar ataques distribuídos de negação de serviço (DDoS) contra outros alvos.
Recomendações de correção:
Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.
Behavior:IAMUser/InstanceLaunchUnusual
Um usuário do IAM lançou uma instância do EC2 de um tipo incomum.
Severidade padrão: alta
Essa descoberta informa que determinado usuário no seu ambiente da AWS está exibindo um comportamento diferente da linha de base estabelecida. Esse usuário não possui histórico prévio de iniciar uma instância do EC2 desse tipo. Suas credenciais podem estar comprometidas.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
CryptoCurrency:EC2/BitcoinTool.A
A instância do EC2 está se comunicando com os pools de mineração do Bitcoin.
Severidade padrão: alta
Essa descoberta informa que uma instância do EC2 no seu ambiente da AWS está se comunicando com pools de mineração do Bitcoin. No campo da mineração de criptomoeda, um pool de mineração é o agrupamento de recursos por mineiros que compartilham seu poder de processamento em uma rede para dividir o prêmio de acordo com a quantidade de trabalho que contribuíram para resolver um bloco. A menos que você use esta instância do EC2 para a mineração de Bitcoin, sua instância do EC2 pode estar comprometida.
Recomendações de correção:
Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Correção de uma instância da Amazon potencialmente comprometida EC2.
UnauthorizedAccess:IAMUser/UnusualASNCaller
Uma API foi invocada a partir de um endereço IP de uma rede incomum.
Severidade padrão: alta
Essa descoberta informa que determinada atividade foi invocada a partir de um endereço IP de uma rede incomum. Essa rede nunca foi observada em todo o histórico de uso da AWS do usuário descrito. Essa atividade pode incluir um login no console, uma tentativa de iniciar uma instância do EC2, a criação de um novo usuário do IAM ou a modificação de seus privilégios da AWS, etc. Isso pode indicar acesso não autorizado aos seus recursos da AWS.
Recomendações de correção:
Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
