GuardDuty Tipos de descoberta do S3 - Amazon GuardDuty
Discovery:S3/AnomalousBehaviorDiscovery:S3/MaliciousIPCallerDiscovery:S3/MaliciousIPCaller.CustomDiscovery:S3/TorIPCallerExfiltration:S3/AnomalousBehaviorExfiltration:S3/MaliciousIPCallerImpact:S3/AnomalousBehavior.DeleteImpact:S3/AnomalousBehavior.PermissionImpact:S3/AnomalousBehavior.WriteImpact:S3/MaliciousIPCallerPenTest:S3/KaliLinuxPenTest:S3/ParrotLinuxPenTest:S3/PentooLinuxPolicy:S3/AccountBlockPublicAccessDisabledPolicy:S3/BucketAnonymousAccessGrantedPolicy:S3/BucketBlockPublicAccessDisabledPolicy:S3/BucketPublicAccessGrantedStealth:S3/ServerAccessLoggingDisabledUnauthorizedAccess:S3/MaliciousIPCaller.CustomUnauthorizedAccess:S3/TorIPCaller

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

GuardDuty Tipos de descoberta do S3

As descobertas a seguir são específicas dos recursos do Amazon S3 e terão um tipo de recurso de S3Bucket se a fonte de dados for eventos de CloudTrail dados do S3 ou AccessKey se a fonte de dados for CloudTrail eventos de gerenciamento. A gravidade e os detalhes das descobertas serão diferentes com base no tipo de descoberta e na permissão associada ao bucket.

As descobertas listadas aqui incluem as fontes de dados e os modelos usados para gerar esse tipo de descoberta. Para obter mais informações sobre modelos e fontes de dados, consulte Fontes de dados fundamentais.

Importante

As descobertas com uma fonte de dados de eventos de CloudTrail dados para o S3 só são geradas se você tiver a proteção do S3 ativada para. GuardDuty A proteção do S3 está habilitada por padrão em todas as contas criadas após 31 de julho de 2020. Para obter informações sobre como habilitar ou desabilitar a proteção do S3, consulte Proteção do Amazon S3 na Amazon GuardDuty.

Para todos os S3Bucket tipos de descobertas, é recomendável que você examine as permissões no bucket em questão e as permissões de qualquer usuário envolvido na descoberta. Se a atividade for inesperada, consulte as recomendações de remediação detalhadas emCorrigindo um bucket S3 potencialmente comprometido.

Discovery:S3/AnomalousBehavior

Uma API comumente usada para descobrir objetos do S3 foi invocada de forma anômala.

Gravidade padrão: baixa

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma entidade do IAM invocou uma API do S3 para descobrir buckets do S3 em seu ambiente, como ListObjects. Esse tipo de atividade está associado ao estágio de descoberta de um ataque, no qual um invasor coleta informações para determinar se seu AWS ambiente é suscetível a um ataque mais amplo. Essa atividade é suspeita porque a entidade do IAM invocou a API de uma forma incomum. Por exemplo, uma entidade do IAM sem histórico anterior invoca uma API do S3, ou uma entidade do IAM invoca uma API do S3 de um local incomum.

Essa API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. Ele rastreia vários fatores das solicitações de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, a API específica solicitada, o bucket solicitado e o número de chamadas de API feitas. Para obter mais informações sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação, consulte Como encontrar detalhes.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Discovery:S3/MaliciousIPCaller

Uma API do S3 comumente usada para descobrir recursos em um AWS ambiente foi invocada a partir de um endereço IP malicioso conhecido.

Gravidade padrão: alta

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma operação da API S3 foi invocada a partir de um endereço IP associado a atividades mal-intencionadas conhecidas. A API observada é comumente associada ao estágio de descoberta de um ataque quando um adversário está coletando informações sobre seu AWS ambiente. Exemplos incluem GetObjectAcl e ListObjects.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Discovery:S3/MaliciousIPCaller.Custom

Uma API do S3 foi invocada a partir de um endereço IP em uma lista de ameaças personalizada.

Gravidade padrão: alta

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma API do S3, como GetObjectAcl ou ListObjects, foi invocada de um endereço IP incluído em uma lista de ameaças que você carregou. A lista de ameaças associada a essa descoberta está listada na seção Informações adicionais dos detalhes de uma descoberta. Esse tipo de atividade está associado ao estágio de descoberta de um ataque, no qual um invasor coleta informações para determinar se seu AWS ambiente é suscetível a um ataque mais amplo.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Discovery:S3/TorIPCaller

Uma API do S3 foi invocada a partir de um endereço IP do nó de saída do Tor.

Gravidade padrão: média

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma API do S3, como GetObjectAcl ou ListObjects, foi invocada a partir de um endereço IP do nó de saída do Tor. Esse tipo de atividade está associado ao estágio de descoberta de um ataque, no qual um invasor coleta informações para determinar se seu AWS ambiente é suscetível a um ataque mais amplo. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Isso pode indicar acesso não autorizado aos seus AWS recursos com a intenção de ocultar a verdadeira identidade do atacante.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Exfiltration:S3/AnomalousBehavior

Uma entidade do IAM invocou uma API do S3 de forma suspeita.

Gravidade padrão: alta

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma entidade do IAM está fazendo chamadas de API que envolvem um bucket do S3 e essa atividade é diferente da linha de base estabelecida pela entidade. A chamada de API usada nessa atividade está associada ao estágio de exfiltração de um ataque, no qual um invasor tenta coletar dados. Essa atividade é suspeita porque a entidade do IAM invocou a API de uma forma incomum. Por exemplo, uma entidade do IAM sem histórico anterior invoca uma API do S3, ou uma entidade do IAM invoca uma API do S3 de um local incomum.

Essa API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. Ele rastreia vários fatores das solicitações de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, a API específica solicitada, o bucket solicitado e o número de chamadas de API feitas. Para obter mais informações sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação, consulte Como encontrar detalhes.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Exfiltration:S3/MaliciousIPCaller

Uma API do S3 comumente usada para coletar dados de um AWS ambiente foi invocada a partir de um endereço IP malicioso conhecido.

Gravidade padrão: alta

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma operação da API S3 foi invocada a partir de um endereço IP associado a atividades mal-intencionadas conhecidas. Comumente, a API observada é associada a táticas de exfiltração em que um adversário está tentando coletar dados da sua rede. Exemplos incluem GetObject e CopyObject.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Impact:S3/AnomalousBehavior.Delete

Uma entidade do IAM invocou uma API do S3 que tenta excluir dados de forma suspeita.

Gravidade padrão: alta

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma entidade do IAM em seu AWS ambiente está fazendo chamadas de API que envolvem um bucket do S3, e esse comportamento difere da linha de base estabelecida pela entidade. A chamada de API usada nessa atividade está associada a um ataque que tenta excluir dados. Essa atividade é suspeita porque a entidade do IAM invocou a API de uma forma incomum. Por exemplo, uma entidade do IAM sem histórico anterior invoca uma API do S3, ou uma entidade do IAM invoca uma API do S3 de um local incomum.

Essa API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. Ele rastreia vários fatores das solicitações de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, a API específica solicitada, o bucket solicitado e o número de chamadas de API feitas. Para obter mais informações sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação, consulte Como encontrar detalhes.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Recomendamos uma auditoria do conteúdo do seu bucket do S3 para determinar se a versão anterior do objeto pode ou deve ser restaurada.

Impact:S3/AnomalousBehavior.Permission

Uma API comumente usada para definir as permissões de lista de controle de acesso (ACL) foi invocada de forma anômala.

Gravidade padrão: alta

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma entidade do IAM em seu AWS ambiente alterou uma política de bucket ou ACL nos buckets do S3 listados. Essa alteração pode expor publicamente seus buckets do S3 a todos os usuários autenticados. AWS

Essa API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. Ele rastreia vários fatores das solicitações de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, a API específica solicitada, o bucket solicitado e o número de chamadas de API feitas. Para obter mais informações sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação, consulte Como encontrar detalhes.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Recomendamos uma auditoria do conteúdo do seu bucket do S3 para garantir que nenhum objeto tenha permissão inesperada para ser acessado publicamente.

Impact:S3/AnomalousBehavior.Write

Uma entidade do IAM invocou uma API do S3 que tenta gravar dados de forma suspeita.

Gravidade padrão: média

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma entidade do IAM em seu AWS ambiente está fazendo chamadas de API que envolvem um bucket do S3, e esse comportamento difere da linha de base estabelecida pela entidade. A chamada de API usada nessa atividade está associada a um ataque que tenta gravar dados. Essa atividade é suspeita porque a entidade do IAM invocou a API de uma forma incomum. Por exemplo, uma entidade do IAM sem histórico anterior invoca uma API do S3, ou uma entidade do IAM invoca uma API do S3 de um local incomum.

Essa API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. Ele rastreia vários fatores das solicitações de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita, a API específica solicitada, o bucket solicitado e o número de chamadas de API feitas. Para obter mais informações sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação, consulte Como encontrar detalhes.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Recomendamos uma auditoria do conteúdo do seu bucket do S3 para garantir que essa chamada de API não tenha gravado dados mal-intencionados ou não autorizados.

Impact:S3/MaliciousIPCaller

Uma API do S3 comumente usada para adulterar dados ou processos em um AWS ambiente foi invocada a partir de um endereço IP malicioso conhecido.

Gravidade padrão: alta

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma operação da API S3 foi invocada a partir de um endereço IP associado a atividades mal-intencionadas conhecidas. A API observada é comumente associada a táticas de impacto em que um adversário está tentando manipular, interromper ou destruir dados em seu ambiente. AWS Exemplos incluem PutObject e PutObjectAcl.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

PenTest:S3/KaliLinux

Uma API do S3 foi invocada de uma máquina Linux Kali.

Gravidade padrão: média

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma máquina executando o Kali Linux está fazendo chamadas de API do S3 usando credenciais que pertencem à sua conta. AWS Suas credenciais podem estar comprometidas. O Kali Linux é uma ferramenta popular de teste de penetração que profissionais de segurança usam para identificar vulnerabilidades nas instâncias do EC2 que exigem correções. Os invasores também usam essa ferramenta para encontrar pontos fracos na configuração do EC2 e obter acesso não autorizado ao seu ambiente. AWS

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

PenTest:S3/ParrotLinux

Uma API do S3 foi invocada a partir de uma máquina Parrot Security Linux.

Gravidade padrão: média

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma máquina executando o Parrot Security Linux está fazendo chamadas de API do S3 usando credenciais que pertencem à sua conta. AWS Suas credenciais podem estar comprometidas. O Parrot Security Linux é uma ferramenta popular de teste de penetração que profissionais de segurança usam para identificar vulnerabilidades nas instâncias do EC2 que exigem correções. Os invasores também usam essa ferramenta para encontrar vulnerabilidades na configuração do EC2 e obter acesso não autorizado ao seu ambiente da AWS .

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

PenTest:S3/PentooLinux

Uma API do S3 foi invocada de uma máquina Linux Pentoo.

Gravidade padrão: média

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma máquina executando o Pentoo Linux está fazendo chamadas de API do S3 usando credenciais que pertencem à sua conta. AWS Suas credenciais podem estar comprometidas. O Pentoo Linux é uma ferramenta popular de teste de penetração que profissionais de segurança usam para identificar vulnerabilidades nas instâncias do EC2 que exigem correções. Os invasores também usam essa ferramenta para encontrar pontos fracos na configuração do EC2 e obter acesso não autorizado ao seu ambiente. AWS

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Policy:S3/AccountBlockPublicAccessDisabled

Uma entidade do IAM invocou uma API usada para desabilitar o Bloqueio de acesso público do S3 em uma conta.

Gravidade padrão: baixa

  • Fonte de dados: eventos CloudTrail de gerenciamento

Essa descoberta informa que o Amazon S3 Block Public Access foi desabilitado no nível da conta. Quando as configurações de bloqueio de acesso público do S3 são usadas para filtrar as políticas ou listas de controle de acesso (ACLs) aplicadas ao bucket para evitar a exposição pública acidental de dados.

Normalmente, o bloqueio de acesso público do S3 é desabilitado para permitir o acesso público a um bucket ou aos objetos no bucket. Quando o S3 Block Public Access é desabilitado para uma conta, o acesso aos seus buckets é controlado pelas políticas, ACLs ou configurações de Block Public Access em nível de bucket aplicadas aos seus buckets individuais. Isso não significa necessariamente que os buckets são compartilhados publicamente, mas que você deve auditar as permissões aplicadas aos buckets para confirmar que eles fornecem o nível apropriado de acesso.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Policy:S3/BucketAnonymousAccessGranted

Uma entidade principal do IAM concedeu acesso a um bucket do S3 na Internet alterando as políticas do bucket ou as ACLs.

Gravidade padrão: alta

  • Fonte de dados: eventos CloudTrail de gerenciamento

Essa descoberta informa que o bucket do S3 listado se tornou acessível publicamente na Internet porque uma entidade do IAM alterou uma política de bucket ou ACL nesse bucket. Depois que uma alteração na política ou na ACL é detectada, usa o raciocínio automatizado desenvolvido por Zelkova para determinar se o bucket está acessível ao público.

nota

Se as ACLs ou políticas de bucket de um bucket estiverem configuradas para negar explicitamente ou negar tudo, essa descoberta pode não refletir o estado atual do bucket. Essa descoberta não refletirá nenhuma configuração de Bloqueio de acesso público do S3 que possa ter sido habilitada para seu bucket do S3. Nesses casos, o valor de effectivePermission na descoberta será marcado como UNKNOWN.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Policy:S3/BucketBlockPublicAccessDisabled

Uma entidade principal do IAM invocou uma API usada para desabilitar o bloqueio de acesso público do S3 em um bucket.

Gravidade padrão: baixa

  • Fonte de dados: eventos CloudTrail de gerenciamento

Essa descoberta informa que o Bloqueio de acesso público foi desabilitado para o bucket do S3 listado. Quando habilitadas, as configurações do Bloqueio de acesso público do S3 são usadas para filtrar as políticas ou as listas de controle de acesso (ACLs) aplicadas aos buckets para evitar a exposição pública acidental de dados.

Normalmente, o bloqueio de acesso público do S3 é desabilitado para permitir o acesso público a um bucket ou aos objetos no bucket. Quando o Bloqueio de acesso público do S3 é desabilitado para um bucket, o acesso ao bucket é controlado pelas políticas ou ACLs aplicados a ele. Isso não significa que o bucket seja compartilhado publicamente, mas você deve auditar as políticas e ACLs aplicadas ao bucket para confirmar que as permissões apropriadas foram aplicadas.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Policy:S3/BucketPublicAccessGranted

Um diretor do IAM concedeu acesso público a um bucket do S3 a todos os AWS usuários alterando as políticas do bucket ou as ACLs.

Gravidade padrão: alta

  • Fonte de dados: eventos CloudTrail de gerenciamento

Essa descoberta informa que o bucket do S3 listado foi exposto publicamente a todos os AWS usuários autenticados porque uma entidade do IAM alterou uma política de bucket ou ACL nesse bucket do S3. Depois que uma alteração na política ou na ACL é detectada, usa o raciocínio automatizado desenvolvido por Zelkova para determinar se o bucket está acessível ao público.

nota

Se as ACLs ou políticas de bucket de um bucket estiverem configuradas para negar explicitamente ou negar tudo, essa descoberta pode não refletir o estado atual do bucket. Essa descoberta não refletirá nenhuma configuração de Bloqueio de acesso público do S3 que possa ter sido habilitada para seu bucket do S3. Nesses casos, o valor de effectivePermission na descoberta será marcado como UNKNOWN.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

Stealth:S3/ServerAccessLoggingDisabled

O registro em log de acesso ao servidor do S3 foi desabilitado para um bucket

Gravidade padrão: baixa

  • Fonte de dados: eventos CloudTrail de gerenciamento

Essa descoberta informa que o registro de acesso ao servidor S3 está desativado para um bucket em seu AWS ambiente. Se desativado, nenhum registro de solicitação da web será criado para qualquer tentativa de acessar o bucket do S3 identificado. No entanto, as chamadas da API de gerenciamento do S3 para o bucket, como DeleteBucket, ainda são rastreadas. Se o registro de eventos de dados do S3 estiver habilitado CloudTrail para esse bucket, as solicitações da web para objetos dentro do bucket ainda serão rastreadas. Desabilitar o registro em log é uma técnica frequentemente usada por usuários não autorizados para burlar a detecção. Para saber mais sobre os logs do S3, consulte Registro em log de acesso ao servidor do S3 e Opções de registro em log do S3.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Uma API do S3 foi invocada a partir de um endereço IP em uma lista de ameaças personalizada.

Gravidade padrão: alta

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma operação da API do S3, por exemplo, PutObject ou PutObjectAcl, foi invocada a partir de um endereço IP incluído em uma lista de ameaças que você carregou. A lista de ameaças associada a essa descoberta está listada na seção Informações adicionais dos detalhes de uma descoberta.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.

UnauthorizedAccess:S3/TorIPCaller

Uma API do S3 foi invocada a partir de um endereço IP do nó de saída do Tor.

Gravidade padrão: alta

  • Fonte de dados: eventos CloudTrail de dados para S3

Essa descoberta informa que uma operação da API do S3, como PutObject ou PutObjectAcl, foi invocada a partir de um endereço IP do nó de saída do Tor. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Essa descoberta pode indicar acesso não autorizado aos seus AWS recursos com a intenção de ocultar a verdadeira identidade do atacante.

Recomendações de correção:

Se essa atividade for inesperada para a entidade principal associada, isso pode indicar que as credenciais foram expostas ou que suas permissões do S3 não são restritivas o suficiente. Para ter mais informações, consulte Corrigindo um bucket S3 potencialmente comprometido.