GuardDuty S3 查找类型 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty S3 查找类型

以下发现特定于 Amazon S3 资源,S3Bucket如果数据源是 S3 的数据事件,或者CloudTrail 数据源是CloudTrail 管理事件AccessKey则其资源类型将为。调查发现的严重性和详细信息将因调查发现类型和与存储桶关联的权限而异。

此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关数据来源和模型的更多信息,请参阅 基础数据来源

重要

只有在启用了 S3 保护后,才会生成具有 S3 CloudTrail 数据事件数据源的调查结果 GuardDuty。2020 年 7 月 31 日之后创建的所有账户均默认启用 S3 保护。有关如何启用或禁用 S3 保护的信息,请参阅 亚马逊中的亚马逊 S3 保护 GuardDuty

对于所有 S3Bucket 类型的调查发现,建议您检查相关存储桶的权限以及调查发现中涉及的任何用户权限,如果活动是不正常的,请参阅 修复可能遭到入侵的 S3 存储桶 中详细介绍的修复建议。

Discovery:S3/AnomalousBehavior

常用于发现 S3 对象的 API 被异常调用。

默认严重级别:低

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,IAM 实体已调用 S3 API 来发现您环境中的 S3 存储桶,例如 ListObjects。此类活动与攻击的发现阶段有关,攻击者会在该阶段收集信息,以确定您的 AWS 环境是否容易受到更广泛的攻击。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

Discovery:S3/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于在 AWS 环境中发现资源的 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。此 API 通常与攻击的发现阶段有关,攻击者在该阶段将收集有关您的 AWS 环境信息。示例包括 GetObjectAclListObjects

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

Discovery:S3/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 S3 API(例如 GetObjectAclListObjects)。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。此类活动与攻击的发现阶段有关,攻击者会在该阶段收集信息,以确定您的 AWS 环境是否容易受到更广泛的攻击。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

Discovery:S3/TorIPCaller

Tor 出口节点 IP 地址调用了 S3 API。

默认严重级别:中

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,Tor 出口节点 IP 地址调用了 S3 API(例如 GetObjectAclListObjects)。此类活动与攻击的发现阶段有关,攻击者会在该阶段收集信息,以确定您的 AWS 环境是否容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这种情况可能表明有人未经授权访问您的 AWS 资源,并意图隐藏攻击者的真实身份。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

Exfiltration:S3/AnomalousBehavior

IAM 实体以可疑的方式调用了 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且此活动与该实体的既定基准不同。此活动中使用的 API 调用在攻击的渗透阶段进行,攻击者在该阶段试图收集数据。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

Exfiltration:S3/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于在 AWS 环境中收集数据的 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。API 通常与攻击者试图从您的网络收集数据的泄露策略相关联。示例包括 GetObjectCopyObject

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

Impact:S3/AnomalousBehavior.Delete

IAM 实体以可疑的方式调用了试图删除数据的 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,您 AWS 环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且此行为与该实体的既定基准不同。此活动中使用的 API 调用与试图删除数据的攻击相关联。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

我们建议您对 S3 存储桶的内容进行审计,以确定是否可以或应该恢复之前的对象版本。

Impact:S3/AnomalousBehavior.Permission

异常调用了常用于设置访问控制列表(ACL)权限的 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,您 AWS 环境中的 IAM 实体更改了列出的 S3 存储桶上的存储桶策略或 ACL。此更改可能会向所有经过身份验证的 AWS 用户公开您的 S3 存储桶。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

我们建议对您的 S3 存储桶的内容进行审计,以确保没有对象被意外允许公开访问。

Impact:S3/AnomalousBehavior.Write

IAM 实体调用了试图以可疑方式写入数据的 S3 API。

默认严重级别:中

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,您 AWS 环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且此行为与该实体的既定基准不同。此活动中使用的 API 调用与尝试写入数据的攻击相关联。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。

此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅查找详细信息

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

我们建议您对 S3 存储桶的内容进行审计,以确保此 API 调用未写入恶意或未经授权的数据。

Impact:S3/MaliciousIPCaller

已知的恶意 IP 地址调用了常用于在 AWS 环境中篡改数据或进程的 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。此 API 通常与冲击策略相关联,在这种策略中,攻击者试图操纵、中断或销毁您 AWS 环境中的数据。示例包括 PutObjectPutObjectAcl

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

PenTest:S3/KaliLinux

运行有 Kali Linux 的计算机调用了 S3 API。

默认严重级别:中

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,运行 Kali Linux 的计算机在使用属于您 AWS 账户的凭证进行 S3 API 调用。您的凭证可能遭到盗用。Kali Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 AWS 环境未经授权的访问。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

PenTest:S3/ParrotLinux

运行有 Parrot Security Linux 的计算机调用了 S3 API。

默认严重级别:中

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,运行有 Parrot Security Linux 的计算机在使用属于您 AWS 账户的凭证进行 S3 API 调用。您的凭证可能遭到盗用。Parrot Security Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 AWS 环境未经授权的访问。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

PenTest:S3/PentooLinux

运行有 Pentoo Linux 的计算机调用了 S3 API。

默认严重级别:中

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,运行有 Pentoo Linux 的计算机在使用属于您 AWS 账户的凭证进行 S3 API 调用。您的凭证可能遭到盗用。Pentoo Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 AWS 环境未经授权的访问。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

Policy:S3/AccountBlockPublicAccessDisabled

IAM 实体调用了用于禁用账户上 S3 屏蔽公共访问权限的 API。

默认严重级别:低

  • 数据源:CloudTrail 管理事件

此调查发现通知您,Amazon S3 屏蔽公共访问权限已在账户级别禁用。启用 S3 屏蔽公共访问权限设置后,将用于筛选存储桶的策略或访问控制列表(ACL),作为防止意外公开暴露数据的安全措施。

通常情况下,会关闭账户的 S3 屏蔽公共访问权限,以允许公开访问存储桶或存储桶中的对象。禁用账户的 S3 屏蔽公共访问权限后,对存储桶的访问权限将由应用于个人存储桶的策略、ACL 或存储桶级屏蔽公开访问权限设置来控制。这并不一定意味着将公开共享存储桶,但应审计应用于存储桶的权限,以确认这些权限提供了适当的访问级别。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

Policy:S3/BucketAnonymousAccessGranted

IAM 主体已通过更改存储桶策略或 ACL 向 Internet 授予对 S3 存储桶的访问权限。

默认严重级别:高

  • 数据源:CloudTrail 管理事件

此调查发现通知您,由于 IAM 实体更改了所列出的 S3 存储桶的策略或 ACL,因此该存储桶已可在 Internet 上公开访问。检测到策略或 ACL 变更后,使用由 Zelkova 支持的自动推理来确定存储桶是否可公开访问。

注意

如果将存储桶的 ACL 或存储桶策略配置为明确拒绝或全部拒绝,则此调查发现可能无法反映存储桶的当前状态。此调查发现不会反映任何可能已为您的 S3 存储桶启用的 S3 屏蔽公共访问权限设置。在这种情况下,调查发现中的 effectivePermission 值将标记为 UNKNOWN

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

Policy:S3/BucketBlockPublicAccessDisabled

IAM 主体调用了禁用存储桶 S3 屏蔽公共访问权限的 API。

默认严重级别:低

  • 数据源:CloudTrail 管理事件

此调查发现通知您已禁用列出的 S3 存储桶的屏蔽公开访问权限。启用 S3 屏蔽公共访问权限设置后,将用于筛选存储桶的策略或访问控制列表(ACL),作为防止意外公开暴露数据的安全措施。

通常情况下,会关闭存储桶的 S3 屏蔽公共访问权限,以允许公开访问该存储桶或其中的对象。由于禁用了存储桶的 S3 屏蔽公共访问权限,因此对该存储桶的访问权限将由其策略或 ACL 控制。这并不意味着将公开共享存储桶,但应审计应用于该存储桶的策略和 ACL,以确认应用适当的权限。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

Policy:S3/BucketPublicAccessGranted

IAM 主体已通过更改存储桶策略或 ACL 向所有 AWS 用户授予对 S3 存储桶的公开访问权限。

默认严重级别:高

  • 数据源:CloudTrail 管理事件

此调查发现通知您,由于 IAM 实体更改了所列 S3 存储桶的策略或 ACL,因此该存储桶已向所有经过身份验证的 AWS 用户公开。检测到策略或 ACL 变更后,使用由 Zelkova 支持的自动推理来确定存储桶是否可公开访问。

注意

如果将存储桶的 ACL 或存储桶策略配置为明确拒绝或全部拒绝,则此调查发现可能无法反映存储桶的当前状态。此调查发现不会反映任何可能已为您的 S3 存储桶启用的 S3 屏蔽公共访问权限设置。在这种情况下,调查发现中的 effectivePermission 值将标记为 UNKNOWN

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

Stealth:S3/ServerAccessLoggingDisabled

已为存储桶禁用 S3 服务器访问日志记录。

默认严重级别:低

  • 数据源:CloudTrail 管理事件

此调查发现通知您,已禁用您 AWS 环境中存储桶的 S3 服务器访问日志记录。如果禁用,则不会为访问已识别的 S3 存储桶的任何尝试创建 Web 请求日志,但是,仍会跟踪对该存储桶的 S3 管理 API 调用(例如 DeleteBucket)。如果通过 CloudTrail 为该存储桶启用 S3 数据事件记录,则仍将跟踪对存储桶内对象的 Web 请求。禁用日志记录是未经授权的用户为逃避检测而使用的一种技术。要了解有关 S3 日志的更多信息,请参阅 S3 服务器访问日志记录S3 日志记录选项

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

自定义威胁列表中的 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 S3 API 操作(例如 PutObjectPutObjectAcl)。调查发现详细信息的其他信息部分列有该调查发现所对应的威胁列表。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶

UnauthorizedAccess:S3/TorIPCaller

Tor 出口节点 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源:S3 CloudTrail 的数据事件

此调查发现通知您,Tor 出口节点 IP 地址调用了 S3 API 操作(例如 PutObjectPutObjectAcl)。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。此调查发现表明,有人未经授权访问您的 AWS 资源,并意图隐藏攻击者的真实身份。

修复建议:

如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 修复可能遭到入侵的 S3 存储桶