本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
GuardDuty 調查結果格式
當 GuardDuty 在您的 AWS 環境中偵測到可疑或意外行為時,便會產生調查結果。調查結果是包含 GuardDuty 所發現潛在安全問題相關詳細資訊的通知。調查結果詳細資訊包含發生情況、哪些 AWS 資源涉及可疑活動、活動發生的時間等資訊與其他資訊。
在問題清單詳細資訊中,最有用的資訊之一是問題清單類型。問題清單類型的目的,是提供潛在安全問題精簡易讀的描述。例如,GuardDuty Recon:EC2/PortProbeUnprotectedPort 調查結果類型會迅速通知您,在 AWS 環境中的某處,有潛在攻擊者正在探測 EC2 執行個體未受保護的連接埠。
GuardDuty 會使用以下格式命名其產生的各種調查結果類型:
ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism!Artifact
此格式的每個部分都代表調查結果類型的一個層面。這些層面具有以下解釋:
-
ThreatPurpose - 描述威脅、攻擊類型或潛在攻擊階段的主要目的。如需 GuardDuty 威脅目的完整清單,請參閱下一節。
-
ResourceTypeAffected - 描述此調查結果中識別為對手潛在目標的 AWS 資源。目前,GuardDuty 可以產生 EC2、S3、IAM 和 EKS 資源的調查結果。
-
ThreatFamilyName - 描述 GuardDuty 偵測到的整體威脅或潛在惡意活動。例如,NetworkPortUnusual 的值指出在 GuardDuty 調查結果中識別的 EC2 執行個體在調查結果中識別之特定遠端連接埠上沒有之前的通訊歷程記錄。
-
DetectionMechanism - 描述 GuardDuty 檢測到調查結果的方法。這可用來指出常見調查結果類型的變化,或 GuardDuty 使用特定機制加以偵測的調查結果。例如,Backdoor:EC2/DenialOfService.Tcp 表示透過 TCP 偵測到拒絕服務 (DoS)。UDP 變體為 Backdoor:EC2/DenialOfService.Udp。
.Custom 的值表示 GuardDuty 根據您的自訂威脅清單偵測到調查結果,而 .Reputation 則表示 GuardDuty 使用網域信譽評分模型偵測到調查結果。
-
成品 - 描述在惡意活動中使用的工具所擁有的特定資源。例如,調查結果類型 CryptoCurrency:EC2/BitcoinTool.B!DNS 中的 DNS 表示 EC2 執行個體正在與已知的比特幣相關網域進行通訊。
威脅目的
在 GuardDuty 中,威脅目的描述威脅、攻擊類型或潛在攻擊階段的主要目的。例如,某些威脅目的 (例如後門) 表示攻擊類型。然而,某些威脅目的 (例如影響) 與 MITRE ATT&CK 策略
- Backdoor (後門)
-
此值表示對手已入侵 AWS 資源並更改該資源,是以可聯絡其主要命令和控制 (C&C) 伺服器,接收惡意活動的進一步指示。
- 行為
-
此值表示 GuardDuty 已偵測與涉及之 AWS 資源的既有基準不同的活動或活動模式。
- CredentialAccess
-
此值表示 GuardDuty 偵測到對手可能用來從您的環境竊取憑證 (例如帳戶 ID 或密碼) 的活動模式。此威脅目的是基於 MITRE ATT&CK 策略
- 加密貨幣
-
此值表示 GuardDuty 偵測到您環境中的AWS 資源正在託管與加密貨幣相關聯的軟體 (例如,比特幣)。
- DefenseEvasion
-
此值表示 GuardDuty 偵測到對手可能在滲透您的環境時用於避免偵測的活動或活動模式。此威脅目的是基於 MITRE ATT&CK 策略
- 探索
-
此值表示 GuardDuty 偵測到對手可能會用來擴展他們對系統和內部網路之知識的活動或活動模式。此威脅目的是基於 MITRE ATT&CK 策略
。 - 執行
-
此值表示 GuardDuty 偵測到對手可能會嘗試執行惡意程式碼來探索網路或竊取資料。此威脅目的是基於 MITRE ATT&CK 策略
。 - 外流
-
此值表示 GuardDuty 偵測到對手嘗試從您的網路竊取資料時可能使用的活動或活動模式。此威脅目的是基於 MITRE ATT&CK 策略
。 - 影響
-
此值表示 GuardDuty 偵測到活動或活動模式,表明對手正嘗試操縱、中斷或銷毀您的系統和資料。此威脅目的是基於 MITRE ATT&CK 策略
- InitialAccess
-
此威脅目的是基於 MITRE ATT&CK 策略
- 滲透測試
-
有時 AWS 資源擁有者或其授權代表會故意針對 AWS 應用程式進行測試以尋找漏洞,例如開放式安全群組,或是過度寬鬆的存取金鑰。這些滲透測試,是要試圖在攻擊者發現易受攻擊資源之前識別並鎖定易受攻擊資源。不過,某些已授權的滲透測試者使用的工具其實是無償提供的,因此能讓未經授權的使用者或對手用於執行探測測試。雖然 GuardDuty 無法識別該活動背後的真正目的,但滲透測試值會表示 GuardDuty 正在偵測此類活動 (此類活動和已知的滲透測試工具所產生活動相似),並且可能表示對您的網路進行惡意探測。
- Persistence (持續)
-
此值表示 GuardDuty 已偵測到即使對手的初始存取路由中斷,對手也可能使用的活動或活動模式,以嘗試與維持對您的系統之存取權限。例如,這可能包括在透過現有使用者遭入侵的憑證取得存取權限後,建立新的 IAM 使用者。刪除現有使用者的憑證後,對手將保留新使用者 (未偵測為原始事件一部分的新使用者) 的存取權限。此威脅目的是基於 MITRE ATT&CK 策略
。 - 政策
-
此值表示您的 AWS 帳戶 正在展現違反建議之安全最佳實務的行為。
- PrivilegeEscalation
-
此值會通知您,AWS 環境中涉及的主體正在展現對手可能用來取得較高層級網路許可的行為。此威脅目的是基於 MITRE ATT&CK 策略
。 - Recon (偵察)
-
此值表示 GuardDuty 偵測到對手在偵察您的網路時可能會使用的活動或活動模式,以判斷他們如何擴大他們的存取權限或利用您的資源。例如,此活動可能會透過探測連接埠、列出使用者、資料庫資料表等,來找出 AWS 環境中的漏洞。
- Stealth (隱匿)
-
此值表示對手正在積極嘗試隱藏其動作。例如,他們可能使用匿名代理服務器,因此非常難以衡量活動的真實本質。
- Trojan (木馬程式)
-
此值表示攻擊正在使用木馬程式,以隱匿方式進行惡意活動。有時候這些軟體會隱藏在合法程式之中。有時使用者會意外的執行此軟體。其他時候這些軟體可能會利用漏洞自動執行。
- UnauthorizedAccess (未授權的存取)
-
此值表示 GuardDuty 偵測到了非授權人員的可疑活動或可疑活動模式。
