支持的结果类型 - Amazon Detective

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

支持的结果类型

Amazon Detective 仅提取 并提供下面列出的 Amazon GuardDuty 调查结果类型的配置文件。GuardDuty 从 CloudTrail 数据中检测其中一些结果,并从 VPC 流数据中检测一些结果。

有关每种结果类型的详细说明,请参阅 Amazon 用户指南中的结果类型GuardDuty列表

基于 AWS CloudTrail的结果

使用以下CloudTrail数据检测这些结果:

PenTest:IAMUser/KaliLinux

从 Kali Linux EC2 实例调用了 API。

PenTest:IAMUser/ParrotLinux

从 Parrot Security Linux EC2 实例调用了 API。

PenTest:IAMUser/PentooLinux

从 Pentoo Linux EC2 实例调用了 API。

Persistence:IAMUser/NetworkPermissions

委托人调用了一个 API,该 API 通常用于更改您的 AWS 账户ACLs中的安全组、路由和 的网络访问权限。

Persistence:IAMUser/ResourcePermissions

委托人调用了一个 API,该 API 通常用于更改您的 AWS 账户中各种资源的安全访问策略。

Persistence:IAMUser/UserPermissions

委托人调用了一个 API,该 API 通常用于在您的 AWS 账户中添加、修改或删除 IAM 用户、组或策略。

Policy:IAMUser/RootCredentialUsage

使用根凭证调用了 API。

Recon:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

Recon:IAMUser/MaliciousIPCaller.Custom

从自定义威胁列表中的 IP 地址调用了 API。

Recon:IAMUser/NetworkPermissions

委托人调用了一个 API,该 API 通常用于发现您的 AWS 账户中的现有安全组、 ACLs和 路由的网络访问权限。

Recon:IAMUser/ResourcePermissions

委托人调用了一个 API,该 API 通常用于发现与您的 AWS 账户中的各种资源关联的权限。

Recon:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API

Recon:IAMUser/UserPermissions

委托人调用了一个 API,该 API 通常用于发现您的 AWS 账户中的用户、组、策略和权限。

ResourceConsumption:IAMUser/ComputeResources

委托人调用了一个 API,该 API 通常用于启动计算资源,如 EC2 实例。

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail 跟踪已禁用。

Stealth:IAMUser/LoggingConfigurationModified

委托人调用了一个 API,该 API 通常用于停止CloudTrail日志记录、删除现有日志以及消除您的 AWS 账户中活动的跟踪。

Stealth:IAMUser/PasswordPolicyChange

账户密码策略受损。

UnauthorizedAccess:IAMUser/ConsoleLogin

发现了您的 AWS 账户中的委托人进行的异常控制台登录。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

发现多个全局成功控制台登录。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

通过实例启动角色专为某个 EC2 实例创建的凭证正在从外部 IP 地址使用。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

EC2 实例出站通信指向自定义威胁列表中的 IP 地址。

UnauthorizedAccess:IAMUser/TorIPCaller

EC2 实例正在接收来自 Tor 退出节点的入站连接。

基于 VPC 流的结果

使用 VPC 流数据检测这些结果:

Backdoor:EC2/DenialOfService.Dns

EC2 实例的行为方式可能表明它正被用于使用 DNS 协议执行拒绝服务 (DoS) 攻击。

Backdoor:EC2/DenialOfService.Tcp

EC2 实例的行为方式可能表明它正被用于使用 TCP 协议执行拒绝服务 (DoS) 攻击。

Backdoor:EC2/DenialOfService.Udp

EC2 实例的行为方式可能表明它正被用于使用 UDP 协议执行拒绝服务 (DoS) 攻击。

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 实例的行为方式可能表明它正被用于在 TCP 端口上使用 UDP 协议执行拒绝服务 (DoS) 攻击。

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 实例的行为方式可能表明它正被用于使用不寻常协议执行拒绝服务 (DoS) 攻击。

Backdoor:EC2/Spambot

EC2 实例表现出异常行为,在端口 25 上与远程主机通信。

Behavior:EC2/NetworkPortUnusual

EC2 实例在异常服务器端口上与远程主机通信。

Behavior:EC2/TrafficVolumeUnusual

EC2 实例生成了异常大量的网络流量到远程主机。

CryptoCurrency:EC2/BitcoinTool.B

EC2 实例正在查询与加密货币相关活动关联的 IP 地址。

Recon:EC2/PortProbeEMRUnprotectedPort

EMR 集群中的 EC2 实例具有未受保护的 Amazon EMR 相关敏感端口,该端口正被已知恶意主机探测。

Recon:EC2/PortProbeUnprotectedPort

已知恶意主机在探测 EC2 实例的一个未受保护端口。

Recon:EC2/Portscan

EC2 实例正在执行对远程主机的出站端口扫描。

Trojan:EC2/BlackholeTraffic

EC2 实例正在尝试与作为已知黑洞的远程主机的 IP 地址进行通信。

Trojan:EC2/DropPoint

EC2 实例正在尝试与已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的 IP 地址进行通信。

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 实例的出站通信指向自定义威胁列表中的 IP 地址。

UnauthorizedAccess:EC2/RDPBruteForce

EC2 实例涉及到 RDP 暴力攻击中。

UnauthorizedAccess:EC2/SSHBruteForce

EC2 实例涉及到 SSH 暴力攻击中。

UnauthorizedAccess:EC2/TorClient

EC2 实例正在连接到一个 Tor Guard 或 Authority 节点。

UnauthorizedAccess:EC2/TorIPCaller

EC2 实例正在接收来自 Tor 退出节点的入站连接。

UnauthorizedAccess:EC2/TorRelay

EC2 实例正在以 Tor 中继身份连接到 Tor 网络。