Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty types de recherche de séquences d'attaque

GuardDuty détecte une séquence d'attaque lorsqu'une séquence spécifique de plusieurs actions correspond à une activité potentiellement suspecte. Une séquence d'attaque inclut des signaux tels que les activités et les GuardDuty résultats de l'API. L' GuardDuty observation d'un groupe de signaux dans une séquence spécifique indiquant une menace de sécurité en cours, en cours ou récente GuardDuty génère une détection de séquence d'attaque. GuardDuty considère les activités des API individuelles comme weak signals étant donné qu'elles ne se présentent pas comme une menace potentielle.

Les détections des séquences d'attaque se concentrent sur la compromission potentielle des données Amazon S3 (qui peut s'inscrire dans le cadre d'une attaque de ransomware plus large), les AWS informations d'identification compromises, les clusters Amazon EKS compromis, les clusters Amazon ECS compromis et les groupes d' EC2 instances Amazon compromis. Les sections suivantes fournissent des détails sur chacune des séquences d'attaque.

AttackSequence:EKS/CompromisedCluster

Séquence d'actions suspectes effectuées par un cluster Amazon EKS potentiellement compromis.

Ce résultat vous indique que vous avez GuardDuty détecté une séquence d'actions suspectes indiquant la présence d'un cluster Amazon EKS potentiellement compromis dans votre environnement. Plusieurs comportements d'attaque suspects et anormaux, tels que des processus malveillants ou une connexion avec des points de terminaison malveillants, ont été observés dans le même cluster Amazon EKS.

GuardDuty utilise ses algorithmes de corrélation propriétaires pour observer et identifier la séquence d'actions effectuées à l'aide des informations d'identification IAM. GuardDuty évalue les résultats des plans de protection et d'autres sources de signaux afin d'identifier les modèles d'attaque courants et émergents. GuardDuty utilise plusieurs facteurs pour détecter les menaces, tels que la réputation IP, les séquences d'API, la configuration utilisateur et les ressources potentiellement affectées.

Actions correctives : si ce comportement est inattendu dans votre environnement, votre cluster Amazon EKS est peut-être compromis. Pour obtenir des conseils complets sur les mesures correctives, voir Corriger les résultats de la protection EKS et. Correction des résultats de la surveillance d’exécution

En outre, étant donné que les AWS informations d'identification peuvent avoir été compromises par le biais du cluster EKS, voirCorriger les informations d'identification potentiellement compromises AWS. Pour connaître les étapes permettant de remédier aux autres ressources susceptibles d'avoir été potentiellement touchées, voirCorriger les résultats de GuardDuty sécurité détectés.

AttackSequence:ECS/CompromisedCluster

Séquence d'actions suspectes effectuées par un cluster Amazon ECS potentiellement compromis.

Ce résultat vous indique que vous avez GuardDuty détecté une séquence de signaux suspects indiquant un cluster Amazon ECS potentiellement compromis dans votre environnement. Ces signaux peuvent inclure des processus malveillants, des communications avec des terminaux malveillants ou des comportements d'extraction de cryptomonnaies.

GuardDuty utilise des algorithmes de corrélation propriétaires et de multiples facteurs de détection pour identifier les séquences d'actions suspectes au sein des clusters Amazon ECS. Grâce à l'analyse des plans de protection et des différentes sources de signaux, il GuardDuty identifie les modèles d'attaque courants et émergents, offrant ainsi une détection hautement fiable des compromissions potentielles.

Actions correctives : si ce comportement est inattendu dans votre environnement, votre cluster Amazon ECS peut être compromis. Pour les recommandations relatives à la maîtrise des menaces, voirCorriger un cluster ECS potentiellement compromis. Notez que le compromis peut s'étendre à une ou plusieurs tâches ECS ou charges de travail de conteneur, qui auraient pu être utilisées pour créer ou modifier AWS des ressources. Pour obtenir des conseils de remédiation complets concernant les ressources potentiellement touchées, voirCorriger les résultats de GuardDuty sécurité détectés.

AttackSequence:EC2/CompromisedInstanceGroup

Une séquence d'actions suspectes indiquant des EC2 instances Amazon potentiellement compromises.

Ce résultat indique la GuardDuty détection d'une séquence d'actions suspectes suggérant une compromission potentielle au sein d'un groupe d' EC2 instances Amazon de votre environnement. Les groupes d'instances représentent généralement des applications gérées via des configurations similaires infrastructure-as-code, telles que le groupe de dimensionnement automatique, le rôle de profil d'instance IAM, la AWS CloudFormation pile, le modèle de EC2 lancement Amazon, l'AMI ou l'ID VPC. GuardDuty a observé plusieurs comportements suspects dans une ou plusieurs instances, notamment :

Méthode de détection : GuardDuty utilise des algorithmes de corrélation propriétaires pour identifier les séquences d'actions suspectes dans les EC2 instances Amazon. En évaluant les résultats des plans de protection et des différentes sources de signaux, GuardDuty identifie les modèles d'attaque en utilisant plusieurs facteurs tels que l'adresse IP et la réputation du domaine et les processus en cours d'exécution suspects.

Mesures correctives : si ce comportement est inattendu dans votre environnement, vos EC2 instances Amazon peuvent être compromises. Le compromis pourrait consister à :

Pour les recommandations relatives à la maîtrise des menaces, voirCorriger une instance Amazon EC2 potentiellement compromise. Notez que la compromission peut s'étendre à une ou plusieurs EC2 instances Amazon et impliquer des processus compromis ou des informations d'identification d'instance qui auraient pu être utilisées pour créer ou modifier des EC2 instances Amazon ou d'autres AWS ressources. Pour obtenir des conseils de remédiation complets concernant les ressources potentiellement touchées, voirCorriger les résultats de GuardDuty sécurité détectés.

AttackSequence:IAM/CompromisedCredentials

Séquence de demandes d'API invoquées à l'aide d'informations d' AWS identification potentiellement compromises.

Ce résultat vous indique que vous avez GuardDuty détecté une séquence d'actions suspectes effectuées à l'aide d' AWS informations d'identification ayant un impact sur une ou plusieurs ressources de votre environnement. Plusieurs comportements d'attaque suspects et anormaux ont été observés avec les mêmes informations d'identification, ce qui a permis de renforcer le niveau de confiance quant à l'utilisation abusive des informations d'identification.

GuardDuty utilise ses algorithmes de corrélation propriétaires pour observer et identifier la séquence d'actions effectuées à l'aide des informations d'identification IAM. GuardDuty évalue les résultats des plans de protection et d'autres sources de signaux afin d'identifier les modèles d'attaque courants et émergents. GuardDuty utilise plusieurs facteurs pour détecter les menaces, tels que la réputation IP, les séquences d'API, la configuration utilisateur et les ressources potentiellement affectées.

Actions correctives : si ce comportement est inattendu dans votre environnement, vos AWS informations d'identification ont peut-être été compromises. Pour connaître les étapes à suivre pour y remédier, voirCorriger les informations d'identification potentiellement compromises AWS. Les informations d'identification compromises ont peut-être été utilisées pour créer ou modifier des ressources supplémentaires, telles que des compartiments Amazon S3, des AWS Lambda fonctions ou des EC2 instances Amazon, dans votre environnement. Pour connaître les étapes permettant de remédier aux autres ressources susceptibles d'avoir été potentiellement touchées, voirCorriger les résultats de GuardDuty sécurité détectés.

AttackSequence:S3/CompromisedData

Une séquence de demandes d'API a été invoquée dans le cadre d'une tentative potentielle d'exfiltration ou de destruction de données dans Amazon S3.

Ce résultat vous indique que vous avez GuardDuty détecté une séquence d'actions suspectes indiquant que des données ont été compromises dans un ou plusieurs compartiments Amazon Simple Storage Service (Amazon S3), en utilisant des informations d'identification potentiellement compromises. AWS De multiples comportements d'attaque suspects et anormaux (demandes d'API) ont été observés, ce qui a renforcé le niveau de confiance quant à l'utilisation abusive des informations d'identification.

GuardDuty utilise ses algorithmes de corrélation pour observer et identifier la séquence d'actions effectuées à l'aide de l'identifiant IAM. GuardDuty évalue ensuite les résultats des plans de protection et d'autres sources de signaux afin d'identifier les modèles d'attaque courants et émergents. GuardDuty utilise plusieurs facteurs pour détecter les menaces, tels que la réputation IP, les séquences d'API, la configuration utilisateur et les ressources potentiellement affectées.

Mesures correctives : si cette activité est inattendue dans votre environnement, il est possible que vos AWS informations d'identification ou les données Amazon S3 aient été exfiltrées ou détruites. Pour connaître les étapes à suivre pour y remédier, reportez-vous aux sections Corriger les informations d'identification potentiellement compromises AWS et. Corriger un compartiment S3 potentiellement compromis