GuardDuty IAM 调查结果类型 - 亚马逊 GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty IAM 调查结果类型

以下调查结果特定于 IAM 实体和访问密钥,并且始终具有资源类型AccessKey. 调查结果的严重性和详细信息将因调查结果类型而异。

此处列出的发现结果包括用于生成该发现结果类型的数据源和模型。有关数据源和模型的详细信息,请参阅Amazon 如何 GuardDuty 使用其数据源.

对于所有与 IAM 相关的调查结果,我们建议您检查相关实体,并确保其权限遵循最小权限的最佳实践。如果活动是意外活动,则凭证可能已遭盗用。请参阅中详述的操作修复遭盗用的问题AWS证书.

CredentialAccess:IAMUser/AnomalousBehavior

用于获取访问权限的 APIAWS环境是以异常方式调用的。

默认严重级别 中等

  • 数据源CloudTrail 管理事件

此发现告知您在账户中观察到异常 API 请求。这一发现可能包括单个 API 或由单个 API 邻近发出的一系列相关 API 请求用户身份. 观察到的 API 通常与攻击的凭据访问阶段相关联,当攻击者试图收集环境的密码、用户名和访问密钥时。此类中的 API 是GetPasswordDataGetSecretValue, 和GenerateDbAuthToken.

此 API 请求被确定为异常 GuardDuty的异常检测机器学习 (ML)。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份而言不寻常的详细信息,请参阅调查结果详细信息.

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

DefenseEvasion:IAMUser/AnomalousBehavior

用于逃避防御措施的 API 以异常方式被调用。

默认严重级别 中等

  • 数据源CloudTrail 管理事件

此发现告知您在账户中观察到异常 API 请求。这一发现可能包括单个 API 或由单个 API 邻近发出的一系列相关 API 请求用户身份. 观察到的 API 通常与逃避防御战术有关,在这种战术中,对手试图掩盖自己的踪迹并避开被发现。此类别中的 API 通常是删除、禁用或停止操作,例如DeleteFlowLogsDisableAlarmActions,或者StopLogging.

此 API 请求被确定为异常 GuardDuty的异常检测机器学习 (ML)。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份而言不寻常的详细信息,请参阅调查结果详细信息.

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

Discovery:IAMUser/AnomalousBehavior

通常用于发现资源的 API 是以异常方式调用的。

默认严重级别 低

  • 数据源CloudTrail 管理事件

此发现告知您在账户中观察到异常 API 请求。这一发现可能包括单个 API 或由单个 API 邻近发出的一系列相关 API 请求用户身份. 观察到的 API 通常与攻击的发现阶段有关,当时对手正在收集信息以确定您的AWS环境容易受到更广泛的攻击。此类别中的 API 通常是获取、描述或列出操作,例如DescribeInstancesGetRolePolicy,或者ListAccessKeys.

此 API 请求被确定为异常 GuardDuty的异常检测机器学习 (ML)。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份而言不寻常的详细信息,请参阅调查结果详细信息.

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

Exfiltration:IAMUser/AnomalousBehavior

通常用于收集数据的 API。AWS环境是以异常方式调用的。

默认严重级别 高

  • 数据源CloudTrail 管理事件

此发现告知您在账户中观察到异常 API 请求。这一发现可能包括单个 API 或由单个 API 邻近发出的一系列相关 API 请求用户身份. 观察到的 API 通常与渗透策略有关,在这种策略中,对手试图使用打包和加密从你的网络中收集数据以避免被发现。此查找结果类型的 API 仅是管理(控制平面)操作,通常与 S3、快照和数据库相关,例如PutBucketReplicationCreateSnapshot,或者RestoreDBInstanceFromDBSnapshot.

此 API 请求被确定为异常 GuardDuty的异常检测机器学习 (ML)。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份而言不寻常的详细信息,请参阅调查结果详细信息.

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

Impact:IAMUser/AnomalousBehavior

通常用于篡改数据或进程的 APIAWS环境是以异常方式调用的。

默认严重级别 高

  • 数据源CloudTrail 管理事件

此发现告知您在账户中观察到异常 API 请求。这一发现可能包括单个 API 或由单个 API 邻近发出的一系列相关 API 请求用户身份. 观察到的 API 通常与影响策略相关,在这种策略中,对手试图破坏操作并操纵、中断或销毁你账户中的数据。此查找结果类型的 API 通常是删除、更新或放置操作,例如DeleteSecurityGroupUpdateUser,或者PutBucketPolicy.

此 API 请求被确定为异常 GuardDuty的异常检测机器学习 (ML)。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份而言不寻常的详细信息,请参阅调查结果详细信息.

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

InitialAccess:IAMUser/AnomalousBehavior

一个 API,通常用于未经授权访问AWS环境是以异常方式调用的。

默认严重级别 中等

  • 数据源CloudTrail 管理事件

此发现告知您在账户中观察到异常 API 请求。这一发现可能包括单个 API 或由单个 API 邻近发出的一系列相关 API 请求用户身份. 观察到的 API 通常与攻击的初始访问阶段相关联,当攻击者试图建立对您的环境的访问权限时。此类别中的 API 通常是获取令牌或会话操作,例如GetFederationTokenStartSession,或者GetAuthorizationToken.

此 API 请求被确定为异常 GuardDuty的异常检测机器学习 (ML)。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份而言不寻常的详细信息,请参阅调查结果详细信息.

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

PenTest:IAMUser/KaliLinux

从 Kali Linux EC2 机器调用了 API。

默认严重级别 中等

  • 数据源CloudTrail 管理事件

此调查结果通知您,某台运行 Kali Linux 的机器在使用属于列出的AWS您的环境中的账户。Kali Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 AWS 环境未经授权的访问。

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

PenTest:IAMUser/ParrotLinux

从 Parrot Security Linux Linux 机器调用了 API。

默认严重级别 中等

  • 数据源CloudTrail 管理事件

此调查结果通知您,某台运行 Parrot Security Linux 的机器在使用属于列出的AWS您的环境中的账户。Parrot Security Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 AWS 环境未经授权的访问。

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

PenTest:IAMUser/PentooLinux

从 Pentoo Linux Linux 机器调用了 API。

默认严重严重严重严重严重严重 中等

  • 数据源CloudTrail 管理事件

此调查结果通知您,某台运行 Pentoo Linux 的机器在使用属于列出的凭证进行 API 调用AWS您的环境中的账户。Pentoo Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 AWS 环境未经授权的访问。

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

Persistence:IAMUser/AnomalousBehavior

一个 API,通常用于维护对AWS环境是以异常方式调用的。

默认严重严重严重严重严重严重 中等

  • 数据源CloudTrail 管理事件

此发现告知您在账户中观察到异常 API 请求。这一发现可能包括单个 API 或由单个 API 邻近发出的一系列相关 API 请求用户身份. 观察到的 API 通常与持久性策略相关联,在这种策略中,对手已经获得了对您的环境的访问权限,并试图保持该访问权限。此类别中的 API 通常是创建、导入或修改操作,例如CreateAccessKeyImportKeyPair,或者ModifyInstanceAttribute.

此 API 请求被确定为异常 GuardDuty的异常检测机器学习 (ML)。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份而言不寻常的详细信息,请参阅调查结果详细信息.

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

Policy:IAMUser/RootCredentialUsage

使用根凭证调用了 API。

默认严重级别 低

  • 数据源CloudTrail 管理事件或 CloudTrail 数据事件

此结果通知您,列出的根凭证的AWS您的环境中的账户正在被用来向AWS服务。建议用户永远不要使用 root 凭据来访问AWS服务。相反,AWS应使用权限最低的临时凭证访问服务AWS Security Token Service(STS)。对于以下情况AWS STS不支持,建议使用 IAM 用户凭证。有关更多信息,请参阅 。IAM 最佳实践

注意

如果账户启用了 S3 威胁检测,则可能会生成此发现结果,以响应尝试使用AWSaccount. 使用的 API 调用将在调查详细信息中列出。如果未启用 S3 威胁检测,则只能通过事件日志 API 触发此发现。有关 S3 威胁检测的更多信息,请参阅S3 保护.

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

PrivilegeEscalation:IAMUser/AnomalousBehavior

一个 API 通常用于获取AWS环境是以异常方式调用的。

默认严重严重严重严重严重严重 中等

  • 数据源CloudTrail 管理事件

此发现告知您在账户中观察到异常 API 请求。这一发现可能包括单个 API 或由单个 API 邻近发出的一系列相关 API 请求用户身份. 观察到的 API 通常与特权升级策略相关联,在这种策略中,对手试图获得对环境的更高级别的权限。此类别中的 API 通常涉及更改 IAM 策略、角色和用户的操作,例如AssociateIamInstanceProfileAddUserToGroup,或者PutUserPolicy.

此 API 请求被确定为异常 GuardDuty的异常检测机器学习 (ML)。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用该请求的用户身份而言不寻常的详细信息,请参阅调查结果详细信息.

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

Recon:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

默认严重严重严重严重严重严重 中等

  • 数据源CloudTrail 管理事件

此结果通知您,从包括在您上传的威胁列表中的 IP 地址调用了 API 操作AWS(例如,尝试启动 EC2 实例、创建新的 IAM 用户或者修改 AWS 特权)。攻击者可能会使用窃取的凭据对您的AWS资源,以便找到更有价值的凭证或确定他们已拥有的凭证的功能。

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

Recon:IAMUser/MaliciousIPCaller.Custom

从已知恶意 IP 地址调用了 API。

默认严重严重严重严重严重严重 中等

  • 数据源CloudTrail 管理事件

此结果通知您,从包括在您上传的威胁列表中的 IP 地址调用了 API 操作AWS(例如,尝试启动 EC2 实例、创建新的 IAM 用户或者修改 AWS 特权)。使用的威胁列表将在调查结果的详细信息中列出。攻击者可能会使用窃取的凭据对您的AWS资源,以便找到更有价值的凭证或确定他们已拥有的凭证的功能。

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

Recon:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API。

默认严重严重严重严重严重严重 中等

  • 数据源CloudTrail 管理事件

此结果通知您,从包括在您上传的威胁列表中的 IP 地址调用了 API 操作AWS您环境中某个账户的资源是从 Tor 出口节点 IP 地址调用了。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。攻击者会使用 Tor 来掩盖他们的真实身份。

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail禁用日志记录。

默认严重严重严重严重严重严重 低

  • 数据源CloudTrail 管理事件

这个发现告诉你 CloudTrail 跟踪AWS环境已禁用。这可能是攻击者在尝试禁用日志记录,通过在获取您的AWS用于恶意目的的资源。成功地删除或更新跟踪会触发此调查结果。如果成功删除了某个 S3 存储桶,而其中存储了与关联的跟踪生成的日志时,同样可能触发此调查结果 GuardDuty.

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

Stealth:IAMUser/PasswordPolicyChange

账户密码策略受损。

默认严重严重严重严重严重严重 低*

注意

此调查结果的严重性可以是 “低”、“中” 或 “高”,具体取决于对密码策略所做更改的严重性。

  • 数据源CloudTrail 管理事件

这些区域有:AWS则在您上传的账户上传的账户密码策略已受到攻击AWS环境。例如,策略已删除或者进行了更新,要求较少的字符、无需符号和数字或者要求延长密码有效期。此外,尝试更新或删除您的AWS账户密码配置。这些区域有:AWS账户密码策略定义规则,控制为您的 IAM 用户能够设置什么类型的密码。较弱的密码策略允许创建易于记住同时也可能更容易被猜到的密码,因而造成安全风险。

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

发现多个全球范围内的成功控制台登录。

默认严重严重严重严重严重严重 中等

  • 数据源CloudTrail 管理事件

此调查结果通知您,发现同一个 IAM 用户在不同地理位置,大约同一时间多次成功登录控制台。此类异常和高风险的访问位置模式表示可能存在对您AWS资源的费用。

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

通过实例启动角色专为某个 EC2 实例创建的凭证正在从中其他账户使用AWS.

默认严重严重严重严重严重严重 High

注意

此调查结果的默认严重性为 “高”。但是,如果该 API 是由与您关联的账户调用的AWS环境,严重:中。

  • 数据源CloudTrail 管理事件或 S3 数据事件

当您的 EC2 实例凭证用于从其他 IP 地址调用 API 时,此发现会通知您AWS账户,而不是正在运行关联 EC2 实例的账户。

AWS不推荐将临时凭证再分发到创建这些凭证的实体 (例如,AWS应用程序、EC2 或 Lambda)。但是,授权用户可以从其 EC2 实例导出凭证以进行合法 API 调用。如果remoteAccountDetails.Affiliated字段是TrueAPI 是从与您的关联的账户调用的AWS环境。要排除潜在的攻击并验证活动的合法性,请联系分配了这些凭证的 IAM 用户。

修复建议建议建议建议建议:

作为对这一发现的回应,您可以使用以下工作流程来确定行动方案:

  1. 从中识别涉及的远程账户service.action.awsApiCallAction.remoteAccountDetails.accountId字段中返回的子位置类型。

  2. 接下来,确定该账户是否与你的 GuardDuty 环境来自service.action.awsApiCallAction.remoteAccountDetails.affiliated字段中返回的子位置类型。

  3. 如果账户是关联账户,请联系远程账户所有者和 EC2 实例凭证的所有者进行调查。

  4. 如果该账户未关联,则首先评估该账户是否与您的组织关联,但不是您的组织的一部分 GuardDuty 多账户设置,或者如果 GuardDuty 尚未在账户中启用。否则,请联系 EC2 凭证的所有者,以确定是否存在远程账户使用这些凭证的使用案例。

  5. 如果凭证所有者无法识别远程账户,则该凭证可能已被在其中操作的威胁参与者泄露AWS. 你应该采取中推荐的步骤修复受损的 EC2 实例来保护您的环境。此外你可以提交滥用报告转到AWS信任与安全团队开始对远程账户进行调查。向提交报告时AWS信任与安全请包含调查结果的完整的 JSON 详细信息。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

通过实例启动角色专为某个 EC2 实例创建的凭证正在从外部 IP 地址使用。

默认严重级别 高

  • 数据源CloudTrail 管理事件或 S3 数据事件

这个发现告诉你,外面的主机AWS已尝试运行AWS使用临时的 API 操作AWS在您的 EC2 实例上创建的证书AWS环境。列出的 EC2 实例可能已泄露到AWS.AWS不推荐将临时凭证再分发到创建这些凭证的实体 (例如,AWS应用程序、EC2 或 Lambda)。但是,授权用户可以从其 EC2 实例导出凭证以进行合法 API 调用。若要排除潜在的攻击并验证活动的合法性,请验证调查结果中是否预期使用来自远程 IP 的实例凭证。

修复建议建议建议建议建议:

当网络配置为路由互联网流量以便其从本地网关而不是 VPC Internet Gateway (IGW) 发出时会生成此调查结果。常用配置,例如使用AWS Outposts(或 VPC PPPPPPPPPPPPPPPPPPPPPP 如果这是预期行为,则建议您使用隐藏规则,并创建一个由两个筛选标准组成的规则。第一个标准是 finding type (调查结果类型),它应是 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS。第二个筛选条件是API 调用了 IP4 调用地址(例如,尝试启动 EC2 实例、创建新的 IAM 用户或者修改 AWS 特权)。要了解有关创建隐藏规则的更多信息,请参阅禁止规则

注意

如果 GuardDuty 观察到来自外部来源的持续活动其机器学习模型会将其识别为预期行为,并停止为来自该来源的活动生成此发现。 GuardDuty 将继续从其他来源得出新行为的发现,并将随着行为随着时间的推移而发生变化重新评估学习的来源。

如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅修复遭盗用的问题AWS证书

UnauthorizedAccess:IAMUser/MaliciousIPCaller

从已知恶意 IP 地址调用了 API。

默认严重级别 中等

  • 数据源CloudTrail 管理事件

此调查结果通知您,从包括在您上传的威胁列表中的 IP 地址调用了 API 操作AWS从已知恶意 IP 调用了特权。这可能表示有人未经授权访问访问访问了AWS环境中的资源。

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

从自定义威胁列表中的 IP 地址调用了 API。

默认严重级别 中等

  • 数据源CloudTrail 管理事件

此调查结果通知您,从包括在您上传的威胁列表中的 IP 地址调用了 API 操作AWS(例如,尝试启动 EC2 实例、创建新的 IAM 用户或者修改 AWS 特权)。在 中,威胁列表包含已知的恶意 IP 地址。这可能表示有人未经授权访问访问访问了AWS环境中的资源。

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅 修复遭盗用的问题AWS证书

UnauthorizedAccess:IAMUser/TorIPCaller

从 Tor 出口节点 IP 地址调用了 API。

默认严重级别 中等

  • 数据源CloudTrail 管理事件

此调查结果通知您,从包括在您上传的威胁列表中的 IP 地址调用了 API 操作AWS从 Tor 出口节点 IP 调用了特权。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示有人未经授权访问您的AWS资源的意图隐藏攻击者的真实身份。

修复建议建议建议建议建议:

如果此活动是意外活动,则表示则凭证可能已遭盗用。有关更多信息,请参阅修复遭盗用的问题AWS证书