Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty Arten der Suche nach Angriffssequenzen

GuardDuty erkennt eine Angriffssequenz, wenn eine bestimmte Abfolge mehrerer Aktionen mit einer potenziell verdächtigen Aktivität übereinstimmt. Eine Angriffssequenz umfasst Signale wie API-Aktivitäten und GuardDuty Ergebnisse. Wenn eine Gruppe von Signalen in einer bestimmten Reihenfolge GuardDuty beobachtet wird, die auf eine laufende, anhaltende oder kürzlich aufgetretene Sicherheitsbedrohung hindeuten, wird ein Ergebnis der Angriffssequenz GuardDuty generiert. GuardDuty betrachtet einzelne API-Aktivitäten soweak signals, als ob sie sich nicht als potenzielle Bedrohung darstellen.

Die Erkennungen der Angriffssequenz konzentrieren sich auf die potenzielle Gefährdung von Amazon S3 S3-Daten (die Teil eines umfassenderen Ransomware-Angriffs sein können), kompromittierte AWS Anmeldeinformationen, kompromittierte Amazon EKS-Cluster, kompromittierte Amazon ECS-Cluster und kompromittierte Amazon-Instanzgruppen. EC2 Die folgenden Abschnitte enthalten Einzelheiten zu den einzelnen Angriffssequenzen.

AttackSequence:EKS/CompromisedCluster

Eine Abfolge verdächtiger Aktionen, die von einem potenziell gefährdeten Amazon EKS-Cluster ausgeführt werden.

Dieses Ergebnis informiert Sie darüber, dass Sie eine Abfolge verdächtiger Aktionen GuardDuty entdeckt haben, die auf einen potenziell gefährdeten Amazon EKS-Cluster in Ihrer Umgebung hindeuten. In demselben Amazon EKS-Cluster wurden mehrere verdächtige und anomale Angriffsverhalten beobachtet, z. B. bösartige Prozesse oder Verbindungen mit böswilligen Endpunkten.

GuardDuty verwendet seine eigenen Korrelationsalgorithmen, um die Reihenfolge der Aktionen zu beobachten und zu identifizieren, die mithilfe der IAM-Anmeldeinformationen ausgeführt werden. GuardDuty bewertet die Ergebnisse anhand von Schutzplänen und anderen Signalquellen, um gängige und sich abzeichnende Angriffsmuster zu identifizieren. GuardDuty nutzt mehrere Faktoren, um Bedrohungen aufzudecken, wie z. B. IP-Reputation, API-Sequenzen, Benutzerkonfiguration und potenziell betroffene Ressourcen.

Behebungsmaßnahmen: Wenn dieses Verhalten in Ihrer Umgebung unerwartet auftritt, ist Ihr Amazon EKS-Cluster möglicherweise gefährdet. Umfassende Anleitungen zur Problembehebung finden Sie unter und. Behebung der Ergebnisse des EKS-Schutzes Korrigieren von Erkenntnissen der Laufzeitüberwachung

Da AWS Anmeldeinformationen möglicherweise durch den EKS-Cluster kompromittiert wurden, finden Sie außerdem weitere Informationen unter. Behebung potenziell gefährdeter Anmeldeinformationen AWS Schritte zur Behebung anderer Ressourcen, die möglicherweise betroffen waren, finden Sie unter. Behebung erkannter GuardDuty Sicherheitslücken

AttackSequence:ECS/CompromisedCluster

Eine Abfolge verdächtiger Aktionen, die von einem potenziell kompromittierten Amazon ECS-Cluster ausgeführt werden.

Dieser Befund informiert Sie darüber, dass eine Folge verdächtiger Signale GuardDuty erkannt wurde, die auf einen potenziell gefährdeten Amazon ECS-Cluster in Ihrer Umgebung hinweisen. Zu diesen Signalen können bösartige Prozesse, Kommunikation mit böswilligen Endpunkten oder Verhalten beim Cryptocurrency Mining gehören.

GuardDuty verwendet firmeneigene Korrelationsalgorithmen und mehrere Erkennungsfaktoren, um Sequenzen verdächtiger Aktionen innerhalb von Amazon ECS-Clustern zu identifizieren. Durch die Analyse verschiedener Schutzpläne und verschiedener Signalquellen GuardDuty werden gängige und neu entstehende Angriffsmuster identifiziert, sodass potenzielle Sicherheitslücken mit hoher Zuverlässigkeit erkannt werden können.

Abhilfemaßnahmen: Wenn dieses Verhalten in Ihrer Umgebung unerwartet auftritt, ist Ihr Amazon ECS-Cluster möglicherweise gefährdet. Empfehlungen zur Eindämmung von Bedrohungen finden Sie unter. Behebung eines potenziell gefährdeten ECS-Clusters Beachten Sie, dass sich die Gefährdung auf eine oder mehrere ECS-Tasks oder Container-Workloads erstrecken kann, die zur Erstellung oder Änderung AWS von Ressourcen hätten verwendet werden können. Umfassende Hinweise zur Problembehebung für potenziell betroffene Ressourcen finden Sie unter. Behebung erkannter GuardDuty Sicherheitslücken

AttackSequence:EC2/CompromisedInstanceGroup

Eine Abfolge verdächtiger Aktionen, die auf potenziell kompromittierte EC2 Amazon-Instances hinweisen.

Dieses Ergebnis weist darauf hin, dass eine Abfolge verdächtiger Aktionen GuardDuty erkannt wurde, die auf eine potenzielle Gefährdung einer Gruppe von EC2 Amazon-Instances in Ihrer Umgebung hindeuten. Instanzgruppen stellen in der Regel Anwendungen dar infrastructure-as-code, über die verwaltet werden und ähnliche Konfigurationen wie Auto-Scaling-Gruppe, IAM-Instance-Profilrolle, AWS CloudFormation Stack, EC2 Amazon-Startvorlage, AMI oder VPC-ID gemeinsam nutzen. GuardDuty beobachtete mehrere verdächtige Verhaltensweisen in einer oder mehreren Instances, darunter:

Erkennungsmethode: GuardDuty verwendet firmeneigene Korrelationsalgorithmen, um verdächtige Aktionssequenzen innerhalb von EC2 Amazon-Instances zu identifizieren. Durch die Auswertung der Ergebnisse anhand verschiedener Schutzpläne und verschiedener Signalquellen GuardDuty werden Angriffsmuster anhand mehrerer Faktoren wie IP- und Domain-Reputation sowie verdächtiger laufender Prozesse identifiziert.

Abhilfemaßnahmen: Wenn dieses Verhalten in Ihrer Umgebung unerwartet auftritt, sind Ihre EC2 Amazon-Instances möglicherweise gefährdet. Der Kompromiss könnte Folgendes beinhalten:

Empfehlungen zur Eindämmung von Bedrohungen finden Sie unterBehebung einer potenziell gefährdeten Amazon-Instance EC2. Beachten Sie, dass sich die Kompromittierung auf eine oder mehrere EC2 Amazon-Instances erstrecken kann und kompromittierte Prozesse oder Instance-Anmeldeinformationen beinhalten kann, die zur Erstellung oder Änderung von EC2 Amazon-Instances oder anderen AWS Ressourcen hätten verwendet werden können. Umfassende Hinweise zur Problembehebung für potenziell betroffene Ressourcen finden Sie unter. Behebung erkannter GuardDuty Sicherheitslücken

AttackSequence:IAM/CompromisedCredentials

Eine Abfolge von API-Anfragen, die mithilfe potenziell kompromittierter Anmeldeinformationen aufgerufen wurden. AWS

Dieses Ergebnis informiert Sie darüber, dass Sie eine Folge verdächtiger Aktionen GuardDuty entdeckt haben, die mithilfe von AWS Anmeldeinformationen ausgeführt wurden und sich auf eine oder mehrere Ressourcen in Ihrer Umgebung auswirken. Mit denselben Anmeldeinformationen wurden mehrere verdächtige und anomale Angriffsverhaltensweisen beobachtet, was zu einer höheren Wahrscheinlichkeit führte, dass die Anmeldeinformationen missbraucht wurden.

GuardDuty verwendet seine firmeneigenen Korrelationsalgorithmen, um die Reihenfolge der Aktionen zu beobachten und zu identifizieren, die mithilfe der IAM-Anmeldeinformationen ausgeführt wurden. GuardDuty bewertet die Ergebnisse anhand von Schutzplänen und anderen Signalquellen, um gängige und sich abzeichnende Angriffsmuster zu identifizieren. GuardDuty nutzt mehrere Faktoren, um Bedrohungen aufzudecken, wie z. B. IP-Reputation, API-Sequenzen, Benutzerkonfiguration und potenziell betroffene Ressourcen.

Behebungsmaßnahmen: Wenn dieses Verhalten in Ihrer Umgebung unerwartet auftritt, wurden Ihre AWS Anmeldeinformationen möglicherweise kompromittiert. Schritte zur Problembehebung finden Sie unter. Behebung potenziell gefährdeter Anmeldeinformationen AWS Die kompromittierten Anmeldeinformationen wurden möglicherweise verwendet, um zusätzliche Ressourcen wie Amazon S3 S3-Buckets, AWS Lambda Funktionen oder EC2 Amazon-Instances in Ihrer Umgebung zu erstellen oder zu ändern. Schritte zur Behebung anderer Ressourcen, die möglicherweise beeinträchtigt wurden, finden Sie unter. Behebung erkannter GuardDuty Sicherheitslücken

AttackSequence:S3/CompromisedData

Bei einem möglichen Versuch, Daten in Amazon S3 zu exfiltrieren oder zu vernichten, wurde eine Abfolge von API-Anfragen aufgerufen.

Dieses Ergebnis informiert Sie darüber, dass Sie in einem oder mehreren Amazon Simple Storage Service (Amazon S3) -Buckets eine Abfolge verdächtiger Aktionen GuardDuty entdeckt haben, die auf eine Datenkompromittierung hindeuten. Dabei wurden potenziell AWS kompromittierte Anmeldeinformationen verwendet. Es wurden mehrere verdächtige und ungewöhnliche Angriffsverhaltensweisen (API-Anfragen) beobachtet, was zu einer höheren Wahrscheinlichkeit führte, dass die Anmeldeinformationen missbraucht werden.

GuardDuty verwendet seine Korrelationsalgorithmen, um die Reihenfolge der Aktionen zu beobachten und zu identifizieren, die mithilfe der IAM-Anmeldeinformationen ausgeführt wurden. GuardDuty bewertet dann die Ergebnisse anhand von Schutzplänen und anderen Signalquellen, um gängige und sich abzeichnende Angriffsmuster zu identifizieren. GuardDuty nutzt mehrere Faktoren, um Bedrohungen aufzudecken, wie z. B. IP-Reputation, API-Sequenzen, Benutzerkonfiguration und potenziell betroffene Ressourcen.

Abhilfemaßnahmen: Wenn diese Aktivität in Ihrer Umgebung unerwartet auftritt, wurden Ihre AWS Anmeldeinformationen oder Amazon S3 S3-Daten möglicherweise exfiltriert oder zerstört. Schritte zur Problembehebung finden Sie unter und. Behebung potenziell gefährdeter Anmeldeinformationen AWS Behebung eines potenziell gefährdeten S3-Buckets