支持的结果类型 - Amazon Detective

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

支持的结果类型

亚马逊 Detective 仅接收并提供下面列出的 Amazon GuardDuty ay 查找类型的配置文件。GuardDuty 可以从 CloudTrail 数据中检测其中的一些结果,以及从 VPC 流数据中检测到一些结果。

有关每个结果类型的详细描述,请参阅查找类型列表中的Amazon GuardDuty 用户指南

AWS CloudTrail基于调查结果

使用 CloudTrail 数据检测到这些发现:

CredentialAccess:IAMUser/AnomalousBehavior

用于访问AWS环境被以异常的方式调用。

DefenseEvasion:IAMUser/AnomalousBehavior

用于逃避防御措施的 API 以异常方式被调用。

Discovery:IAMUser/AnomalousBehavior

常用于发现资源的 API 以异常方式调用。

Exfiltration:IAMUser/AnomalousBehavior

一个 API,该 API 通常用于收集来自AWS环境被以异常的方式调用。

Impact:IAMUser/AnomalousBehavior

一种常用于篡改数据或进程的 APIAWS环境被以异常的方式调用。

InitialAccess:IAMUser/AnomalousBehavior

通常用于获取未经授权的访问AWS环境被以异常的方式调用。

PenTest:IAMUser/KaliLinux

从 Kali Linux EC2 实例调用了 API。

PenTest:IAMUser/ParrotLinux

从 Parrot Security Linux EC2 实例调用了 API。

PenTest:IAMUser/PentooLinux

从 Pentoo Linux EC2 实例调用了 API。

Persistence:IAMUser/AnomalousBehavior

一种常用于维护未经授权访问AWS环境被以异常的方式调用。

Persistence:IAMUser/NetworkPermissions

委托人调用了一个 API,该 API 通常用于更改您的AWSaccount.

Persistence:IAMUser/ResourcePermissions

委托人调用了一个 API,该 API 通常用于更改您的AWSaccount.

Persistence:IAMUser/UserPermissions

委托人调用了一个 API,该 API 通常用于在您的AWSaccount.

Policy:IAMUser/RootCredentialUsage

使用根凭证调用了 API。

PrivilegeEscalation:IAMUser/AdministrativePermissions

委托人尝试给自己分配高度宽松的策略。

PrivilegeEscalation:IAMUser/AnomalousBehavior

一种通常用于获取对AWS环境被以异常的方式调用。

Recon:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

Recon:IAMUser/MaliciousIPCaller.Custom

从自定义威胁列表中的 IP 地址调用了 API。

Recon:IAMUser/NetworkPermissions

委托人调用了一个 API,该 API 通常用于发现您的AWSaccount.

Recon:IAMUser/ResourcePermissions

委托人调用了一个 API,该 API 通常用于发现与您的AWSaccount.

Recon:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API

Recon:IAMUser/UserPermissions

委托人调用了一个 API,该 API 通常用于发现您的AWSaccount.

ResourceConsumption:IAMUser/ComputeResources

委托人调用了一个 API,该 API 通常用于启动计算资源,如 EC2 实例。

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail跟踪已禁用。

Stealth:IAMUser/LoggingConfigurationModified

委托人调用了一个 API,该 API 通常用于停止 CloudTrail 日志记录、删除现有日志以及消除您的AWSaccount.

Stealth:IAMUser/PasswordPolicyChange

账户密码策略受损。

UnauthorizedAccess:IAMUser/ConsoleLogin

委托人的异常控制台登录AWS帐户被观察到。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

发现多个全球范围内的成功控制台登录。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

通过实例启动角色专为某个 EC2 实例创建的凭证正在从外部 IP 地址使用。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

EC2 实例的出站通信指向自定义威胁列表中的 IP 地址。

UnauthorizedAccess:IAMUser/TorIPCaller

EC2 实例正在接收来自 Tor 退出节点的入站连接。

基于 VPC 流的调查结果

使用 VPC 流数据检测到这些发现:

Backdoor:EC2/C&CActivity.B

EC2 实例正在查询与已知命令和控制服务器关联的 IP 地址。

Backdoor:EC2/DenialOfService.Dns

EC2 实例的行为方式可能表明它正被用于使用 DNS 协议执行拒绝服务 (DoS) 攻击。

Backdoor:EC2/DenialOfService.Tcp

EC2 实例的行为方式可能表明它正被用于使用 TCP 协议执行拒绝服务 (DoS) 攻击。

Backdoor:EC2/DenialOfService.Udp

EC2 实例的行为方式可能表明它正被用于使用 UDP 协议执行拒绝服务 (DoS) 攻击。

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 实例的行为方式可能表明它正被用于在 TCP 端口上使用 UDP 协议执行拒绝服务 (DoS) 攻击。

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 实例的行为方式可能表明它正被用于使用不寻常协议执行拒绝服务 (DoS) 攻击。

Backdoor:EC2/Spambot

EC2 实例表现出不正常的行为,在端口 25 上与远程主机通信。

Behavior:EC2/NetworkPortUnusual

EC2 实例在异常服务器端口上与远程主机通信。

Behavior:EC2/TrafficVolumeUnusual

EC2 实例生成了异常大量的网络流量到远程主机。

CryptoCurrency:EC2/BitcoinTool.B

EC2 实例正在查询与加密货币相关活动关联的 IP 地址。

Impact:EC2/PortSweep

EC2 实例正在探测大量 IP 地址上的端口。

Impact:EC2/WinRMBruteForce

EC2 实例正在执行出站 Windows 远程管理暴力攻击。

Recon:EC2/PortProbeEMRUnprotectedPort

EMR 集群中的 EC2 实例具有一个未受保护的 Amazon EMR 相关、敏感端口,该端口正在被已知恶意主机探测。

Recon:EC2/PortProbeUnprotectedPort

已知恶意主机在探测 EC2 实例的一个未受保护端口。

Recon:EC2/Portscan

EC2 实例正在执行对远程主机的出站端口扫描。

Trojan:EC2/BlackholeTraffic

EC2 实例正在尝试与作为已知黑洞的远程主机的 IP 地址进行通信。

Trojan:EC2/DropPoint

EC2 实例正在尝试与已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的 IP 地址进行通信。

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 实例的出站通信指向自定义威胁列表中的 IP 地址。

UnauthorizedAccess:EC2/RDPBruteForce

EC2 实例涉及到 RDP 暴力攻击中。

UnauthorizedAccess:EC2/SSHBruteForce

EC2 实例涉及到 SSH 暴力攻击中。

UnauthorizedAccess:EC2/TorClient

EC2 实例正在连接到一个 Tor Guard 或 Authority 节点。

UnauthorizedAccess:EC2/TorIPCaller

EC2 实例正在接收来自 Tor 退出节点的入站连接。

UnauthorizedAccess:EC2/TorRelay

EC2 实例正在以 Tor 中继身份连接到 Tor 网络。