Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tipos de resultados retirados

Un resultado es una notificación que contiene detalles sobre un problema potencial de seguridad descubierto por GuardDuty . Para obtener información sobre los cambios importantes en los tipos de GuardDuty hallazgos, incluidos los tipos de hallazgos recién agregados o retirados, consulteHistorial de documentos de Amazon GuardDuty.

Los siguientes tipos de búsqueda se retiran y ya no los genera GuardDuty.

Exfiltration:S3/ObjectRead.Unusual

Una entidad de IAM ha invocado una API de S3 de forma sospechosa.

Gravedad predeterminada: media*

Este hallazgo le informa de que una entidad de IAM de su AWS entorno está realizando llamadas a la API que involucran un bucket de S3 y que difieren de la línea base establecida por esa entidad. La llamada a la API utilizada en esta actividad está asociada a la fase de exfiltración de un ataque, en la que un atacante intenta recopilar datos. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Impact:S3/PermissionsModification.Unusual

Una entidad de IAM ha invocado una API para modificar los permisos en uno o más recursos de S3.

Gravedad predeterminada: media*

Este resultado le informa de que una entidad de IAM está haciendo llamadas a la API diseñadas para modificar los permisos en uno o más buckets u objetos de su entorno de AWS . Es posible que un atacante lleve a cabo esta acción para permitir que la información se comparta fuera de la cuenta. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Impact:S3/ObjectDelete.Unusual

Una entidad de IAM ha invocado una API que se utiliza para eliminar datos en un bucket de S3.

Gravedad predeterminada: media*

Este hallazgo le informa de que una entidad de IAM específica de su AWS entorno está realizando llamadas a la API diseñadas para eliminar los datos del depósito de S3 de la lista mediante la eliminación del propio depósito. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Discovery:S3/BucketEnumeration.Unusual

Una entidad de IAM ha invocado una API de S3 que se utiliza para detectar los buckets de S3 dentro de la red.

Gravedad predeterminada: media*

Este resultado le informa de que una entidad de IAM ha invocado una API de S3 para detectar los buckets de S3 en su entorno, como, por ejemplo, ListBuckets. Este tipo de actividad está asociada a la fase de descubrimiento de un ataque, en la que un atacante recopila información para determinar si su AWS entorno es susceptible a un ataque más amplio. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, esta entidad de IAM no tenía antecedentes de haber invocado este tipo de API o se ha invocado la API desde una ubicación inusual.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Persistence:IAMUser/NetworkPermissions

Una entidad de IAM ha invocado una API que se utiliza habitualmente para cambiar los permisos de acceso a la red de los grupos de seguridad, las rutas y ACLs la AWS cuenta.

Gravedad predeterminada: media*

Este hallazgo indica que un director específico (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario) de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad principal nunca antes había invocado esta API.

Este resultado se desencadena cuando los ajustes de configuración de la red se modifican en circunstancias sospechosas, como cuando una entidad principal invoca la API de CreateSecurityGroup sin antecedentes de haberlo hecho. A menudo, los atacantes intentan cambiar los grupos de seguridad para permitir que cierta cantidad de tráfico entre en varios puertos a fin de mejorar su capacidad para obtener acceso a una instancia de EC2.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

Persistence:IAMUser/ResourcePermissions

Un director invocó una API que se utiliza habitualmente para cambiar las políticas de acceso de seguridad de varios recursos de su empresa. Cuenta de AWS

Gravedad predeterminada: media*

Este hallazgo indica que un director específico (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario) de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad principal nunca antes había invocado esta API.

Este hallazgo se activa cuando se detecta un cambio en las políticas o los permisos asociados a AWS los recursos, por ejemplo, cuando un director de su AWS entorno invoca la PutBucketPolicy API sin tener antecedentes de hacerlo. Algunos servicios, como Amazon S3, tienen permisos asociados a recursos que conceden a una o más entidades principales acceso a dicho recurso. Con las credenciales robadas, los atacantes pueden cambiar las políticas asociadas a un recurso para obtener acceso a dicho recurso.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

Persistence:IAMUser/UserPermissions

Un director invocó una API que se utiliza habitualmente para añadir, modificar o eliminar usuarios, grupos o políticas de IAM en su AWS cuenta.

Gravedad predeterminada: media*

Este hallazgo indica que un director específico (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario) de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad principal nunca antes había invocado esta API.

Este hallazgo se debe a cambios sospechosos en los permisos relacionados con los usuarios de su AWS entorno, por ejemplo, cuando un director de su AWS entorno invoca la AttachUserPolicy API sin tener antecedentes de hacerlo. Los atacantes pueden utilizar credenciales robadas para crear nuevos usuarios, agregar políticas de acceso a los usuarios existentes o crear claves de acceso para maximizar su acceso a una cuenta, incluso si su punto de acceso original está cerrado. Por ejemplo, el propietario de la cuenta podría darse cuenta del robo de una contraseña o un usuario de IAM en concreto y eliminarlos de la cuenta. Sin embargo, es posible que no eliminen a otros usuarios que hayan sido creados por un administrador principal creado de forma fraudulenta, lo que permitirá al atacante acceder a su AWS cuenta.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

PrivilegeEscalation:IAMUser/AdministrativePermissions

Una entidad principal ha intentado asignarse una política excesivamente permisiva.

Gravedad predeterminada: baja*

Este hallazgo indica que una entidad de IAM específica de su AWS entorno presenta un comportamiento que puede ser indicativo de un ataque de escalamiento de privilegios. Este resultado se desencadena cuando un rol o un usuario de IAM intentan asignarse una política excesivamente permisiva. Si el usuario o el rol en cuestión no debe tener privilegios administrativos, puede que las credenciales del usuario estén en riesgo o que los permisos del rol no se hayan configurado correctamente.

Los atacantes utilizarán credenciales robadas para crear nuevos usuarios, agregar políticas de acceso a los usuarios existentes o crear claves de acceso para maximizar su acceso a una cuenta incluso si su punto de acceso original está cerrado. Por ejemplo, el propietario de la cuenta podría percatarse de que le han robado una credencial de inicio de sesión de un usuario de IAM específico y eliminarla de la cuenta. Sin embargo, es posible que no elimine otros usuarios creados por la entidad principal de administración creada de forma fraudulente, lo que aún dejaría su cuenta de AWS accesible para el atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

Recon:IAMUser/NetworkPermissions

Un director invocó una API que se suele utilizar para cambiar los permisos de acceso a la red para los grupos de seguridad, las rutas y ACLs la cuenta AWS .

Gravedad predeterminada: media*

Este hallazgo indica que un director específico (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario) de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad principal nunca antes había invocado esta API.

Este resultado se desencadena cuando se sondean los permisos de acceso a recursos de su cuenta de AWS en circunstancias sospechosas. Por ejemplo, si una entidad principal invoca la API DescribeInstances cuando no tiene antecedentes de haberlo hecho. Un atacante podría utilizar credenciales robadas para realizar este tipo de reconocimiento de sus AWS recursos con el fin de encontrar credenciales más valiosas o determinar las capacidades de las credenciales que ya tiene.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

Recon:IAMUser/ResourcePermissions

Un director invocó una API que se utiliza habitualmente para cambiar las políticas de acceso de seguridad de varios recursos de tu AWS cuenta.

Gravedad predeterminada: media*

Este hallazgo indica que un director específico (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario) de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad principal nunca antes había invocado esta API.

Este resultado se desencadena cuando se sondean los permisos de acceso a recursos de su cuenta de AWS en circunstancias sospechosas. Por ejemplo, si una entidad principal invoca la API DescribeInstances cuando no tiene antecedentes de haberlo hecho. Un atacante podría utilizar credenciales robadas para realizar este tipo de reconocimiento de sus AWS recursos con el fin de encontrar credenciales más valiosas o determinar las capacidades de las credenciales que ya tiene.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

Recon:IAMUser/UserPermissions

Un director invocó una API que se utiliza habitualmente para añadir, modificar o eliminar usuarios, grupos o políticas de IAM en su cuenta. AWS

Gravedad predeterminada: media*

Este hallazgo se activa cuando se comprueban los permisos de usuario de su AWS entorno en circunstancias sospechosas. Por ejemplo, si una entidad principal (Usuario raíz de la cuenta de AWS, rol de IAM o usuario de IAM) invoca la API ListInstanceProfilesForRole cuando no tiene antecedentes de haberlo hecho. Un atacante podría utilizar credenciales robadas para realizar este tipo de reconocimiento de sus AWS recursos con el fin de encontrar credenciales más valiosas o determinar las capacidades de las credenciales que ya tiene.

Este hallazgo indica que un director específico de su AWS entorno presenta un comportamiento diferente del punto de referencia establecido. Esta entidad principal no tiene historial previo de invocación de esta API de esta manera.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

ResourceConsumption:IAMUser/ComputeResources

Una entidad principal ha invocado una API que suele utilizarse para lanzar recursos de computación como instancias EC2.

Gravedad predeterminada: media*

Este resultado se desencadena cuando se lanzan instancias de EC2, que aparecen en la cuenta mostrada en la lista, dentro de su entorno de AWS en circunstancias sospechosas. Este resultado indica que un director específico de su AWS entorno presenta un comportamiento diferente del valor de referencia establecido; por ejemplo, si un director (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario de IAM) ha invocado la RunInstances API sin antecedentes de haberlo hecho. Esto podría ser señal de que un atacante está utilizando credenciales robadas para robar tiempo de computación (posiblemente para minería de criptomoneda o violación de contraseñas). También puede indicar que un atacante está utilizando una instancia EC2 de su AWS entorno y sus credenciales para mantener el acceso a su cuenta.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

Stealth:IAMUser/LoggingConfigurationModified

Un director ha invocado una API que se utiliza habitualmente para detener el CloudTrail registro, eliminar los registros existentes y eliminar cualquier rastro de actividad en su AWS cuenta.

Gravedad predeterminada: media*

Este resultado se desencadena cuando se modifica la configuración de registro de la cuenta de AWS , que aparece en la lista, en circunstancias sospechosas. Este hallazgo indica que un director específico de su AWS entorno presenta un comportamiento diferente del valor de referencia establecido; por ejemplo, si un director (Usuario raíz de la cuenta de AWS un rol de IAM o un usuario de IAM) ha invocado la StopLogging API sin antecedentes de haberlo hecho. Esto puede ser señal de que un atacante está intentando cubrir sus huellas eliminando cualquier rastro de su actividad.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

UnauthorizedAccess:IAMUser/ConsoleLogin

Se observó un inicio de sesión inusual en la consola por parte de un director de su AWS cuenta.

Gravedad predeterminada: media*

Este resultado se desencadena cuando se detecta un inicio de sesión en la consola en circunstancias sospechosas. Por ejemplo, si un director sin antecedentes de hacerlo invocó la ConsoleLogin API desde un never-before-used cliente o desde una ubicación inusual. Esto podría indicar que se han utilizado credenciales robadas para acceder a tu AWS cuenta o que un usuario válido ha accedido a la cuenta de forma no válida o menos segura (por ejemplo, no a través de una VPN aprobada).

Este hallazgo le informa de que un director específico de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Esta entidad principal nunca antes había iniciado sesión con esta aplicación cliente desde esta ubicación específica.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

UnauthorizedAccess:EC2/TorIPCaller

La instancia EC2 recibe conexiones entrantes de un nodo de salida Tor.

Gravedad predeterminada: media

Este hallazgo le informa de que una instancia EC2 de su AWS entorno recibe conexiones entrantes desde un nodo de salida de Tor. Tor es un software que permite la comunicación anónima. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Este hallazgo puede indicar un acceso no autorizado a tus AWS recursos con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida.

Backdoor:EC2/XORDDOS

Una instancia EC2 intenta comunicarse con una dirección IP asociada al malware XOR DDo S.

Gravedad predeterminada: alta

Este hallazgo le informa de que una instancia de EC2 de su AWS entorno está intentando comunicarse con una dirección IP asociada al malware XOR DDoS. Esta instancia de EC2 podría estar comprometida. El XOR DDo S es un malware troyano que secuestra sistemas Linux. En un intento de obtener acceso al sistema, lanza un ataque de fuerza bruta para descubrir la contraseña a los servicios de Secure Shell (SSH) en Linux. Una vez que se adquieren las credenciales de SSH y se inicia sesión correctamente, utiliza los privilegios de usuario root para ejecutar un script que descarga e instala XOR S. DDo Luego, este malware se utiliza como parte de una red de bots para lanzar ataques de denegación de servicio distribuidos contra DDo otros objetivos.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida.

Behavior:IAMUser/InstanceLaunchUnusual

Un usuario ha lanzado una instancia de EC2 de un tipo inusual.

Gravedad predeterminada: alta

Este hallazgo le informa de que un usuario específico de su AWS entorno presenta un comportamiento diferente al de referencia establecido. Este usuario no tiene historial previo de lanzamientos de una instancia de EC2 de este tipo. Sus credenciales de inicio de sesión podrían haberse visto afectadas.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

CryptoCurrency:EC2/BitcoinTool.A

La instancia EC2 se está comunicando con grupos de minería de Bitcoin.

Gravedad predeterminada: alta

Este hallazgo le informa de que una instancia de EC2 de su AWS entorno se está comunicando con los grupos de minería de Bitcoin. En el campo de la minería de criptomonedas, un grupo de minería es la agrupación de recursos de mineros que comparten potencia de procesamiento a través de una red para dividir la compensación en función de la cantidad de trabajo con la que han contribuido para resolver un bloque. A menos que utilice esta instancia de EC2 para la minería de Bitcoin, dicha instancia podría estar comprometida.

Recomendaciones de corrección:

Si esta actividad es inesperada, es posible que la instancia se haya visto afectada. Para obtener más información, consulte Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida.

UnauthorizedAccess:IAMUser/UnusualASNCaller

Se ha invocado una API desde una dirección IP de una red inusual.

Gravedad predeterminada: alta

Este resultado le informa que se ha invocado cierta actividad desde una dirección IP de una red inusual. Esta red no se ha observado nunca en todo el historial de uso de AWS del usuario descrito. Esta actividad puede incluir un inicio de sesión en la consola, un intento de lanzar una instancia de EC2, la creación de un nuevo usuario de IAM, la modificación de sus privilegios de AWS , etc. Esto puede indicar un acceso no autorizado a sus AWS recursos.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.