GuardDuty S3 调查结果类型 - 亚马逊 GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty S3 调查结果类型

以下调查结果特定于 Amazon S3 资源,资源类型S3Bucket修复是CloudTrail S3 数据事件,或者AccessKey修复是CloudTrail 管理事件. 调查结果的严重性和详细信息将因调查结果类型和与存储桶关联的权限而异。

此处列出的发现结果包括用于生成该发现结果类型的数据源和模型。有关数据源和模型的更多信息,请参阅。Amazon 如何 GuardDuty 使用其数据源.

重要

修复CloudTrail S3 数据事件只有在启用了 S3 保护时才会生成 GuardDuty. 默认情况下,在 2020 年 7 月 31 日之后创建的所有账户中都启用了 S3 保护。有关如何启用或禁用S3 保护的信息,请参阅Amazon S3 在Amazon GuardDuty

对所有人S3Bucket类型的结果建议您检查相关存储桶的权限以及调查结果中涉及的任何用户的权限。如果活动是意外活动,请参阅中详述的修复建议修复遭盗用的S3 存储桶.

Discovery:S3/AnomalousBehavior

通常用于发现 S3 对象的 API 是以异常方式调用的。

默认严重级别:低

  • 数据源:数据源CloudTrail S3 数据事件

此发现告知您,IAM 实体已调用 S3 API 来发现环境中的 S3 存储桶,例如ListBuckets. 此类活动与攻击的发现阶段相关联,在该阶段攻击者收集信息以确定您的AWS环境容易受到更广泛的攻击。此活动是可疑的,因为 IAM 实体以一种不寻常的方式调用了 API。例如,以前没有历史记录的 IAM 实体会调用 S3 API,或者一个 IAM 实体从不寻常的位置调用 S3 API。

此 API 被识别为异常 GuardDuty修复机器学习 (ML) 模型。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶以及进行的 API 调用次数。要详细了解 API 请求的哪些因素对于调用该请求的用户身份来说是不寻常的,请参阅调查结果详细信息.

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

Discovery:S3/MaliciousIPCaller

一个 S3 API,通常用于在AWS从已知恶意 IP 地址调用了。

默认严重级别:高

  • 数据源:数据源CloudTrail S3 数据事件

此结果通知您,从与已知恶意活动关联的 IP 地址调用了 S3 API 操作。观察到的 API 通常与攻击的发现阶段相关联,当时对手正在收集有关你的AWS环境。示例包括GetObjectAcl要么ListObjects.

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

Discovery:S3/MaliciousIPCaller.Custom

从自定义威胁列表中的 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源:数据源CloudTrail数据事件S3

此发现告知您 S3 API,例如GetObjectAcl要么ListObjects(例如,尝试启动 EC2 实例、创建新的 IAM 用户或者修改 AWS 特权)。与此发现相关联的威胁列表列在其他信息调查结果的详细信息部分。此类活动与攻击的发现阶段相关联,在该阶段攻击者正在收集信息以确定您的AWS环境容易受到更广泛的攻击。

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

Discovery:S3/TorIPCaller

从 Tor 出口节点 IP 地址调用了 S3 API。

默认严重级别:中等

  • 数据源:数据源CloudTrail S3 数据事件

此发现告知您 S3 API,例如GetObjectAcl要么ListObjects(例如,尝试启动 Tor 出口节点 IP 地址。此类活动与攻击的发现阶段相关联,在该阶段攻击者正在收集信息以确定您的AWS环境容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。这可能表示有人未经授权访问您的AWS修复者的真实身份。

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

Exfiltration:S3/AnomalousBehavior

一个 IAM 实体以可疑的方式调用了 S3 API。

默认严重级别:高

  • 数据源:数据源CloudTrail S3 数据事件

此发现告诉您,您的 IAM 实体位于AWS环境正在进行涉及 S3 存储桶的 API 调用,此活动与该实体建立的基准不同。本活动中使用的 API 调用与攻击的渗透阶段相关联,在此阶段攻击者试图收集数据。此活动是可疑的,因为 IAM 实体以一种不寻常的方式调用了 API。例如,以前没有历史记录的 IAM 实体会调用 S3 API,或者一个 IAM 实体从不寻常的位置调用 S3 API。

此 API 被识别为异常 GuardDuty修复机器学习 (ML) 模型。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶以及进行的 API 调用次数。要详细了解 API 请求的哪些因素对于调用该请求的用户身份来说是不寻常的,请参阅调查结果详细信息.

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

Exfiltration:S3/MaliciousIPCaller

一个 S3 API,通常用于从AWS从已知恶意 IP 地址调用了。

默认严重级别:高

  • 数据源:数据源CloudTrail S3 数据事件

此结果通知您,从与已知恶意活动关联的 IP 地址调用了 S3 API 操作。观察到的 API 通常与攻击者试图从你的网络收集数据的渗透策略有关。示例包括GetObjectCopyObject.

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

Impact:S3/AnomalousBehavior.Delete

一个 IAM 实体调用了 S3 API,尝试以可疑方式删除数据。

默认严重级别:高

  • 数据源:数据源CloudTrail S3 的数据事件

此发现告诉您,您的 IAM 实体位于AWS环境正在进行涉及 S3 存储桶的 API 调用,此行为与该实体建立的基准不同。本活动中使用的 API 调用与试图删除数据的攻击相关联。此活动是可疑的,因为 IAM 实体以一种不寻常的方式调用了 API。例如,以前没有历史记录的 IAM 实体会调用 S3 API,或者一个 IAM 实体从不寻常的位置调用 S3 API。

此 API 被识别为异常 GuardDuty修复机器学习 (ML) 模型。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶以及进行的 API 调用次数。要详细了解 API 请求的哪些因素对于调用该请求的用户身份来说是不寻常的,请参阅调查结果详细信息.

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

我们建议您对 S3 存储桶的内容进行审核,以确定是否可以或应该还原以前的对象版本。

Impact:S3/AnomalousBehavior.Permission

以异常方式调用了通常用于设置访问控制列表 (ACL) 权限的 API。

默认严重级别:高

  • 数据源:数据源CloudTrail S3 数据事件

此发现告诉您,您的 IAM 实体位于AWS环境更改了列出的 S3 存储桶上的存储桶策略或 ACL。此更改可能会将您的 S3 存储桶公开给所有经过身份验证的AWS用户。

此 API 被识别为异常 GuardDuty修复机器学习 (ML) 模型。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶以及进行的 API 调用次数。要详细了解 API 请求的哪些因素对于调用该请求的用户身份来说是不寻常的,请参阅调查结果详细信息.

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

我们建议您对 S3 存储桶的内容进行审核,以确保没有对象被意外地允许公开访问。

Impact:S3/AnomalousBehavior.Write

一个 IAM 实体调用了 S3 API,尝试以可疑方式写入数据。

默认严重级别:中等

  • 数据源:数据源CloudTrail S3 的数据事件

此发现告诉您,您的 IAM 实体位于AWS环境正在进行涉及 S3 存储桶的 API 调用,此行为与该实体建立的基准不同。本活动中使用的 API 调用与试图写入数据的攻击相关联。此活动是可疑的,因为 IAM 实体以一种不寻常的方式调用了 API。例如,以前没有历史记录的 IAM 实体会调用 S3 API,或者一个 IAM 实体从不寻常的位置调用 S3 API。

此 API 被识别为异常 GuardDuty修复机器学习 (ML) 模型。机器学习模型会评估您账户中的所有 API 请求,并识别与对手使用的技术相关的异常事件。它会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶以及进行的 API 调用次数。要详细了解 API 请求的哪些因素对于调用该请求的用户身份来说是不寻常的,请参阅调查结果详细信息.

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

我们建议您对 S3 存储桶的内容进行审核,以确保此 API 调用不会写入恶意或未经授权的数据。

Impact:S3/MaliciousIPCaller

通常用于篡改数据或进程的 S3 APIAWS从已知恶意 IP 地址调用了。

默认严重级别:高

  • 数据源:数据源CloudTrail S3 的数据事件

此结果通知您,从与已知恶意活动关联的 IP 地址调用了 S3 API 操作。观察到的 API 通常与冲击战术相关联,在这种战术中,对手试图操纵、中断或销毁你的数据AWS环境。示例包括PutObject要么PutObjectAcl.

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

PenTest:S3/KaliLinux

从 Kali Linux 机器调用了 S3 API。

默认严重级别:中等

  • 数据源:数据源CloudTrail S3 的数据事件

此结果通知您,某台运行 Kali Linux 的机器正在使用属于您的AWSaccount. 您的凭证可能遭盗用。Kali Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 AWS 环境未经授权的访问。

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

PenTest:S3/ParrotLinux

从 Parrot Security Linux 计算机调用了 S3 API。

默认严重级别:中等

  • 数据源:数据源CloudTrail S3 的数据事件

此结果通知您,某台运行 Parrot Security Linux 的机器正在使用属于您的AWSaccount. 您的凭证可能遭盗用。Parrot Security Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 AWS 环境未经授权的访问。

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

PenTest:S3/PentooLinux

从 Pentoo Linux 机器调用了 S3 API。

默认严重级别:中等

  • 数据源:数据源CloudTrail S3 的数据事件

此结果通知您,某台运行 Pentoo Linux 的机器正在使用属于您的AWSaccount. 您的凭证可能遭盗用。Pentoo Linux 是一种流行的渗透测试工具,安全专家用它来确定需要修补的 EC2 实例中的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 AWS 环境未经授权的访问。

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

Policy:S3/AccountBlockPublicAccessDisabled

IAM 实体已调用用于禁用账户上的 S3 阻止公共访问的 API。

默认严重级别:低

  • 数据源:数据源CloudTrail 管理事件

此发现告知您 Amazon S3 阻止公有访问权限已在账户级别被禁用。如果启用 S3 阻止公有访问,它们可用于筛选存储桶上的策略或访问控制列表 (ACL),以此作为安全措施,以防止意外公开暴露数据。

通常情况下,会在账户中关闭 S3 阻止公有访问,以允许公开访问存储桶或存储桶中的对象。当账户禁用 S3 阻止公有访问权限时,对存储桶的访问将由应用于单个存储桶的策略、ACL 或存储桶级别的 “阻止公有访问” 设置控制。这并不一定意味着存储桶是公开共享的,但您应该审核应用于存储桶的权限,以确认它们提供了适当的访问级别。

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

Policy:S3/BucketAnonymousAccessGranted

IAM 委托人已通过更改存储桶策略或 ACL 向互联网授予对 S3 存储桶的访问权限。

默认严重级别:高

  • 数据源:数据源CloudTrail 管理事件

此发现告诉您,列出的 S3 存储桶已在 Internet 上公开访问,因为 IAM 实体更改了该存储桶上的存储桶策略或 ACL。检测到策略或 ACL 更改后,使用由提供支持的自动推理Zelkova,以确定存储桶是否可公开访问。

注意

如果存储桶的 ACL 或存储桶策略配置为显式拒绝或全部拒绝,则无法为该存储桶生成此发现。

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

Policy:S3/BucketBlockPublicAccessDisabled

IAM 实体已调用用于禁用存储桶上的 S3 阻止公共访问的 API。

默认严重级别:低

  • 数据源:数据源CloudTrail 管理事件

此发现告知您已为列出的 S3 存储桶禁用了阻止公共访问。如果启用 S3 阻止公有访问,它可用于筛选应用于存储桶的策略或访问控制列表 (ACL),以此作为安全措施,以防止意外公开暴露数据。

通常情况下,会在存储桶上关闭 S3 阻止公有访问,以允许公开访问存储桶或其中的对象。当对存储桶禁用 S3 阻止公有访问权限时,对存储桶的访问将由应用于该存储桶的策略或 ACL 控制。这并不意味着将公开共享存储桶,但您应该审核应用于该存储桶的策略和 ACL,以确认应用适当的权限。

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

Policy:S3/BucketPublicAccessGranted

IAM 委托人已向所有人授予对 S3 存储桶的公共访问权限AWS用户可以通过更改存储桶策略或 ACL 来实现。

默认严重级别:高

  • 数据源:数据源CloudTrail 管理事件

此调查结果告诉您,列出的 S3 存储桶已公开给所有经过身份验证的用户AWS用户,因为 IAM 实体已更改该 S3 存储桶上的存储桶策略或 ACL。检测到策略或 ACL 更改后,使用由提供支持的自动推理Zelkova,以确定存储桶是否可公开访问。

注意

如果存储桶的 ACL 或存储桶策略配置为显式拒绝或全部拒绝,则无法为该存储桶生成此发现。

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

Stealth:S3/ServerAccessLoggingDisabled

已禁用存储桶的 S3 服务器访问日志

默认严重级别:低

  • 数据源:数据源CloudTrail 管理事件

此结果通知您,针对您的存储桶禁用 S3 服务器访问日志记录AWS环境。如果禁用,则不会为尝试访问标识的 S3 存储桶的任何尝试创建 Web 请求日志,但是 S3 管理 API 会调用该存储桶,例如DeleteBucket,仍会被跟踪。如果通过启用 S3 数据事件日志记录 CloudTrail 对于此存储桶,仍将跟踪存储桶内对象的 Web 请求。禁用日志记录是未经授权的用户为了逃避检测使用的一种技术。要了解有关 S3 日志的更多信息,请参阅S3 服务器访问日志修复选项.

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

从自定义威胁列表中的 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源:数据源CloudTrail S3 的数据事件

这一发现告知您 S3 API 操作,例如PutObject要么PutObjectAcl(例如,尝试启动 EC2 实例、创建新的 IAM 用户或者修改 AWS 特权)。与此发现相关联的威胁列表列在其他信息调查结果的详细信息部分。

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅 修复遭盗用的S3 存储桶

UnauthorizedAccess:S3/TorIPCaller

从 Tor 出口节点 IP 地址调用了 S3 API。

默认严重级别:高

  • 数据源:数据源CloudTrail S3 数据事件

此发现告知您 S3 API 操作,例如PutObject要么PutObjectAcl(例如,尝试启动 Tor 出口节点 IP 地址。Tor 是用于实现匿名通信的软件。它通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点被称为出口节点。此调查结果可能表示有人未经授权访问您的AWS修复者的真实身份。

修复建议:

如果此活动对于关联的委托人来说是意外的,则可能表示证书已被泄露,或者您的 S3 权限限制不够。有关更多信息,请参阅修复遭盗用的S3 存储桶