Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

GuardDuty Tipi di risultati del monitoraggio del runtime

Amazon GuardDuty genera i seguenti risultati di Runtime Monitoring per indicare potenziali minacce in base al comportamento a livello di sistema operativo degli host e contenitori Amazon EC2 nei cluster Amazon EKS, nei carichi di lavoro Fargate e Amazon ECS e nelle istanze Amazon EC2.

CryptoCurrency:Runtime/BitcoinTool.B

Un'istanza Amazon EC2 o un container eseguono una query su un indirizzo IP associato a un'attività correlata a una criptovaluta.

Gravità predefinita: alta

Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta interrogando un indirizzo IP associato a un'attività correlata alla criptovaluta. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se utilizzi questa istanza EC2 o un container per estrarre o gestire criptovaluta o se questi elementi sono altrimenti coinvolti nell’attività di blockchain, l’esito CryptoCurrency:Runtime/BitcoinTool.B potrebbe rappresentare un’attività prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l’attributo Tipo di esito con un valore di CryptoCurrency:Runtime/BitcoinTool.B. Il secondo criterio di filtro deve essere l’ID istanza dell’istanza o l’ID immagine del container del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Backdoor:Runtime/C&CActivity.B

Un'istanza Amazon EC2 o un container eseguono una query su un IP associato a un server di comando e controllo noto.

Gravità predefinita: alta

Questa scoperta ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore all'interno del tuo AWS ambiente sta interrogando un indirizzo IP associato a un server di comando e controllo (C&C) noto. L’istanza elencata o il container potrebbero essere potenzialmente compromessi. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è un insieme di dispositivi connessi a Internet che possono includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco Denial of Service (S) distribuito. DDo

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

UnauthorizedAccess:Runtime/TorRelay

L'istanza Amazon EC2 o un container stabiliscono connessioni a una rete Tor come relè Tor.

Gravità predefinita: alta

Questa scoperta ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta effettuando connessioni a una rete Tor in un modo che suggerisce che stia agendo come un relè Tor. Tor è un software che consente la comunicazione anonima. Tor aumenta l’anonimato della comunicazione inoltrando il traffico potenzialmente illecito del client da un relè Tor a un altro.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

UnauthorizedAccess:Runtime/TorClient

L'istanza Amazon EC2 o un container stabiliscono connessioni a un Tor Guard o a un nodo Authority.

Gravità predefinita: alta

Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta effettuando connessioni a un nodo Tor Guard o a un nodo Authority. Tor è un software che consente la comunicazione anonima. I Tor Guard e i nodi fungono da gateway iniziali per una rete Tor. Questo traffico può indicare che l’istanza EC2 o il container sono stati compromessi e fungono da client su una rete Tor. Questa scoperta potrebbe indicare un accesso non autorizzato alle AWS risorse dell'utente con l'intento di nascondere la vera identità dell'aggressore.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Trojan:Runtime/BlackholeTraffic

Un'istanza Amazon EC2 o un container tentano di comunicare con l'indirizzo IP di un host remoto che è un noto buco nero.

Gravità predefinita: media

Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente potrebbe essere compromesso perché sta tentando di comunicare con l'indirizzo IP di un buco nero (o sink hole). I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario. L’indirizzo IP di un buco nero designa un computer host non in esecuzione o un indirizzo a cui non è stato assegnato alcun host.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Trojan:Runtime/DropPoint

Un'istanza Amazon EC2 o un container tentano di comunicare con l'indirizzo IP di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.

Gravità predefinita: media

Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati acquisiti dal malware.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

CryptoCurrency:Runtime/BitcoinTool.B!DNS

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio associato a un'attività correlata a una criptovaluta.

Gravità predefinita: alta

Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta interrogando un nome di dominio associato a Bitcoin o ad altre attività legate alla criptovaluta. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo al fine di riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se utilizzi questa istanza EC2 o container per estrarre o gestire criptovaluta o se questi elementi sono altrimenti coinvolti nell'attività di blockchain, l'esito CryptoCurrency:Runtime/BitcoinTool.B!DNS potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di eliminazione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l’attributo Tipo di esito con un valore di CryptoCurrency:Runtime/BitcoinTool.B!DNS. Il secondo criterio di filtro deve essere l'ID istanza dell'istanza o l'ID immagine del container del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Backdoor:Runtime/C&CActivity.B!DNS

Un'istanza Amazon EC2 o un container eseguono una query su nome di dominio associato a un server di comando e controllo noto.

Gravità predefinita: alta

Questa scoperta ti informa che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore all'interno del tuo AWS ambiente sta interrogando un nome di dominio associato a un server di comando e controllo (C&C) noto. L’istanza EC2 elencata o il container potrebbero essere compromessi. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.

Una botnet è un insieme di dispositivi connessi a Internet che può includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco Denial of Service (S) distribuito. DDo

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Trojan:Runtime/BlackholeTraffic!DNS

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio che è reindirizzato a un indirizzo IP di un buco nero.

Gravità predefinita: media

Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore nel tuo AWS ambiente potrebbe essere compromesso perché sta interrogando un nome di dominio che viene reindirizzato a un indirizzo IP di buco nero. I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l’origine venga informata del mancato recapito dei dati al destinatario.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Trojan:Runtime/DropPoint!DNS

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.

Gravità predefinita: media

Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta interrogando un nome di dominio di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.

L'agente di GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Trojan:Runtime/DGADomainRequest.C!DNS

Un'istanza Amazon EC2 o un container eseguono una query su domini generati da algoritmi. Tali domini sono in genere utilizzati da malware e potrebbero essere un’indicazione di un’istanza EC2 o un container compromessi.

Gravità predefinita: alta

Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore dell' AWS ambiente sta cercando di interrogare i domini DGA (Domain Generation Algorithm). La tua risorsa potrebbe essere stata compromessa.

DGAs vengono utilizzati per generare periodicamente un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l’arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Trojan:Runtime/DriveBySourceTraffic!DNS

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio di un host remoto che è l'origine nota di attacchi di download drive-by.

Gravità predefinita: alta

Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore dell' AWS ambiente potrebbe essere compromesso perché interroga il nome di dominio di un host remoto che è una fonte nota di attacchi drive-by download. Si tratta di download di software non voluti da Internet che possono avviare l’installazione automatica di virus, spyware o malware.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Trojan:Runtime/PhishingDomainRequest!DNS

Un'istanza Amazon EC2 o un container eseguono una query su domini implicati in attacchi di phishing.

Gravità predefinita: alta

Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta cercando di interrogare un dominio coinvolto in attacchi di phishing. I domini di phishing sono configurati da individui che fingono di essere un’istituzione legittima allo scopo di indurre gli utenti a fornire dati sensibili come informazioni personali, coordinate bancarie, informazioni di carte di credito e password. L’istanza EC2 o il container potrebbero tentare di recuperare dati sensibili archiviati su un sito Web di phishing oppure di configurare un sito Web di phishing. L’istanza EC2 o il container potrebbero essere compromessi.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Impact:Runtime/AbusedDomainRequest.Reputation

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio a bassa reputazione associato a domini noti in abuso.

Gravità predefinita: media

Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore all'interno del tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a domini o indirizzi IP noti in modo abusivo. Esempi di domini in abuso sono i nomi di dominio di primo livello (TLD) e i nomi di dominio di secondo livello (2LD) che offrono registrazioni gratuite di sottodomini e provider DNS dinamici. Gli autori delle minacce tendono a utilizzare questi servizi per registrare domini gratuitamente o a basso costo. I domini a bassa reputazione di questa categoria possono anche essere domini scaduti che vengono sostituiti con l’indirizzo IP di parcheggio di un registrar e quindi potrebbero non essere più attivi. Un IP di parcheggio è il luogo in cui un registrar indirizza il traffico verso domini che non sono stati collegati ad alcun servizio. L’istanza Amazon EC2 elencata o il container potrebbero essere compromessi poiché gli autori delle minacce utilizzano comunemente questi registrar o servizi per la distribuzione di malware e C&C.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Impact:Runtime/BitcoinDomainRequest.Reputation

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio a bassa reputazione associato a un'attività correlata a una criptovaluta.

Gravità predefinita: alta

Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore all'interno del tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a Bitcoin o ad altre attività legate alle criptovalute. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se utilizzi questa istanza EC2 o il container per estrarre o gestire criptovaluta o se tali risorse sono altrimenti coinvolte nell'attività di blockchain, questo esito potrebbe rappresentare un'attività prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l'attributo Tipo di risultato con un valore di Impact:Runtime/BitcoinDomainRequest.Reputation. Il secondo criterio di filtro deve essere l'ID istanza dell'istanza o l'ID immagine del container del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Impact:Runtime/MaliciousDomainRequest.Reputation

Un'istanza Amazon EC2 o un container eseguono una query su un dominio a bassa reputazione associato a domini dannosi noti.

Gravità predefinita: alta

Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore all'interno del tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a domini o indirizzi IP dannosi noti. Ad esempio, i domini possono essere associati a un indirizzo IP sinkhole noto. I domini sinkhole sono domini che sono stati precedentemente controllati da un autore di minacce e se vengono inoltrate richieste a questi domini può significare che l’istanza è compromessa. Questi domini possono anche essere correlati a campagne dannose note o algoritmi di generazione di domini.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità che sia dannoso.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Impact:Runtime/SuspiciousDomainRequest.Reputation

Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio a bassa reputazione di natura sospetta a causa della sua età o della scarsa popolarità.

Gravità predefinita: bassa

Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore all'interno del tuo AWS ambiente sta interrogando un nome di dominio di bassa reputazione che si sospetta sia dannoso. Le caratteristiche osservate di questo dominio erano coerenti con i domini dannosi osservati in precedenza. Tuttavia, il nostro modello di reputazione non è stato in grado di collegarlo in modo definitivo a una minaccia nota. Questi domini vengono in genere osservati per la prima volta o ricevono una quantità di traffico ridotta.

I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

UnauthorizedAccess:Runtime/MetadataDNSRebind

Un'istanza Amazon EC2 o un container eseguono ricerche DNS che vengono risolte nel servizio di metadati dell'istanza.

Gravità predefinita: alta

Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta interrogando un dominio che si risolve nell'indirizzo IP dei metadati EC2 (169.254.169.254). Una query DNS di questo tipo può indicare che l’istanza è la destinazione di una tecnica di rebinding DNS. Questa tecnica può essere utilizzata per ottenere metadati da un’istanza EC2, incluse le credenziali IAM a essa associate.

Il rebinding DNS implica l’inganno di un’applicazione in esecuzione sull’istanza EC2 per caricare i dati restituiti da un URL, dove il nome di dominio nell’URL si risolve nell’indirizzo IP dei metadati EC2 (169.254.169.254). In questo modo l’applicazione accede ai metadati EC2 e, possibilmente, li rende disponibili all’utente malintenzionato.

Puoi accedere ai metadati EC2 utilizzando il rebinding DNS solo se l’istanza EC2 esegue un’applicazione vulnerabile che consente l’iniezione di URL oppure se qualcuno accede all’URL in un browser Web in esecuzione sull’istanza EC2.

L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. GuardDuty Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

In risposta a questo esito, devi valutare se è presente un’applicazione vulnerabile in esecuzione sull’istanza EC2 o sul container o se qualcuno ha utilizzato un browser per accedere al dominio identificato nell’esito. Se la causa principale è un’applicazione vulnerabile, procedi alla correzione della vulnerabilità. Se qualcuno ha navigato nel dominio identificato, blocca il dominio o impedisci agli utenti di accedervi. Se ritieni che l’esito sia correlato a uno dei due casi precedenti, Revoca la sessione associata all’istanza EC2.

Alcuni AWS clienti associano intenzionalmente l'indirizzo IP dei metadati a un nome di dominio sui propri server DNS autoritativi. Se questo è il caso del tuo ambiente , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l'attributo Tipo di risultato con un valore di UnauthorizedAccess:Runtime/MetaDataDNSRebind. Il secondo criterio di filtro deve essere il Dominio richiesta DNS o l'ID immagine del container. Il valore del Dominio richiesta DNS deve corrispondere al dominio mappato all'indirizzo IP dei metadati (169.254.169.254). Per informazioni sulla creazione di regole di eliminazione, consulta Regole di eliminazione.

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Execution:Runtime/NewBinaryExecuted

È stato eseguito un file binario appena creato o modificato di recente in un container.

Gravità predefinita: media

Questo risultato indica che è stato eseguito un file binario appena creato o modificato di recente in un contenitore. Ti consigliamo di mantenere i container non modificabili in fase di runtime. Inoltre, i file binari, gli script e le librerie non devono essere creati o modificati durante il ciclo di vita del container. Questo comportamento indica che un utente malintenzionato ha ottenuto l’accesso al container, ha scaricato ed eseguito malware o altro software come parte della potenziale violazione. Sebbene questo tipo di attività possa essere indice di una violazione, è anche un modello di utilizzo comune. Pertanto, GuardDuty utilizza meccanismi per identificare i casi sospetti di questa attività e genera questo tipo di risultati solo per i casi sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Per identificare il processo di modifica e il nuovo file binario, visualizza i dettagli del processo di modifica e i dettagli del processo

I dettagli del processo di modifica sono inclusi nel service.runtimeDetails.context.modifyingProcess campo del codice JSON di ricerca o in Processo di modifica nel pannello dei dettagli di ricerca. Per questo tipo di ricerca, il processo di modifica è /usr/bin/dpkg identificato dal service.runtimeDetails.context.modifyingProcess.executablePath campo del JSON di ricerca o come parte del processo di modifica nel pannello dei dettagli del risultato.

I dettagli del file binario nuovo o modificato eseguito sono inclusi nella sezione JSON service.runtimeDetails.process di ricerca o nella sezione Process in Runtime details. Per questo tipo di ricerca, il file binario nuovo o modificato è/usr/bin/python3.8, come indicato dal campo service.runtimeDetails.process.executablePath (Percorso eseguibile).

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

PrivilegeEscalation:Runtime/DockerSocketAccessed

Un processo all'interno di un container comunica con il daemon Docker utilizzando il socket Docker.

Gravità predefinita: media

Il socket Docker è un socket di dominio Unix utilizzato da daemon Docker (dockerd) per comunicare con i propri client. Un client può eseguire varie operazioni, come la creazione di container comunicando con il daemon Docker tramite il socket Docker. È sospetto che un processo del container acceda al socket Docker. Un processo contenitore può uscire dal contenitore e ottenere un accesso a livello di host comunicando con il socket Docker e creando un contenitore privilegiato.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

PrivilegeEscalation:Runtime/RuncContainerEscape

È stato rilevato un tentativo di fuga dal container tramite runC.

Gravità predefinita: alta

RunC è il runtime di container di basso livello utilizzato dai runtime di container di alto livello, come Docker e Containerd, per generare ed eseguire contenitori. RunC viene sempre eseguito con i privilegi di root perché deve eseguire l'operazione di basso livello di creazione di un contenitore. Un autore di minacce può ottenere l'accesso a livello di host modificando o sfruttando una vulnerabilità nel binario RunC.

Questa scoperta rileva la modifica del binario RunC e i potenziali tentativi di sfruttare le seguenti vulnerabilità RunC:

Questo esito può indicare che un malintenzionato ha tentato di sfruttare uno dei seguenti tipi di container:

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified

È stato rilevato un tentativo di fuga dal container tramite il CGroups release agent.

Gravità predefinita: alta

Questo esito segnala che è stato rilevato un tentativo di modificare un file dell'agente di rilascio del gruppo di controllo (cgroup). Linux utilizza i gruppi di controllo (cgroup) per limitare, tenere in considerazione e isolare l’utilizzo delle risorse di una raccolta di processi. Ogni cgroup ha un file dell’agente di rilascio (release_agent), uno script che Linux esegue quando termina un processo all’interno del cgroup. Il file dell’agente di rilascio viene sempre eseguito a livello di host. Un autore di minacce all’interno di un container può sfuggire all’host scrivendo comandi arbitrari nel file dell’agente di rilascio che appartiene a un cgroup. Al termine di un processo all’interno di questo cgroup, i comandi scritti dall’autore vengono eseguiti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

DefenseEvasion:Runtime/ProcessInjection.Proc

In un container o in un'istanza Amazon EC2 è stata rilevata un'iniezione di processo utilizzando il file system proc.

Gravità predefinita: alta

L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Il file system proc (procfs) è un particolare file system in Linux che presenta la memoria virtuale del processo come file. Il percorso di questo file è /proc/PID/mem, in cui PID è l’ID univoco del processo. Un autore di minacce può scrivere su questo file per iniettare codice nel processo. Questo esito identifica potenziali tentativi di scrittura sul file in questione.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

DefenseEvasion:Runtime/ProcessInjection.Ptrace

In un container o in un'istanza Amazon EC2 è stata rilevata un'iniezione di processo utilizzando la chiamata di sistema ptrace.

Gravità predefinita: media

L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Un processo può utilizzare la chiamata di sistema ptrace per iniettare codice in un altro processo. Questo esito identifica un potenziale tentativo di iniettare codice in un processo utilizzando la chiamata di sistema ptrace.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite

In un container o in un'istanza Amazon EC2 è stata rilevata un'iniezione di processo tramite scrittura diretta nella memoria virtuale.

Gravità predefinita: alta

L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Un processo può utilizzare una chiamata di sistema, ad esempio process_vm_writev, per iniettare codice direttamente nella memoria virtuale di un altro processo. Questo esito identifica un potenziale tentativo di iniettare codice in un processo utilizzando una chiamata di sistema per scrivere nella memoria virtuale del processo stesso.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Execution:Runtime/ReverseShell

Un processo in un container o in un'istanza Amazon EC2 ha creato una shell (interprete di comandi) inversa.

Gravità predefinita: alta

Una shell (interprete di comandi) inversa è una sessione di shell creata su una connessione avviata dall'host di destinazione all'host dell'attore, ossia l’opposto di una normale shell (interprete di comandi), che viene invece avviata dall’host dell’attore all’host di destinazione. Gli autori delle minacce creano una shell (interprete di comandi) inversa per eseguire comandi sulla destinazione dopo aver ottenuto l’accesso iniziale. Questa scoperta identifica connessioni a shell inversa potenzialmente sospette.

GuardDuty esamina l'attività e il contesto di runtime correlati e genera questo tipo di risultato solo quando l'attività e il contesto associati risultano insoliti o sospetti. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Il GuardDuty security agent monitora gli eventi da più fonti. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli della ricerca nella GuardDuty console. Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

DefenseEvasion:Runtime/FilelessExecution

Un processo in un container o in un’istanza Amazon EC2 esegue codice dalla memoria.

Gravità predefinita: media

Questo esito segnala un processo eseguito utilizzando un file eseguibile in memoria su disco. Si tratta di una tecnica comune di evasione della difesa in cui il file eseguibile dannoso non viene scritto sul disco per eludere il rilevamento basato sulla scansione del file system. Sebbene questa sia una tecnica utilizzata dal malware, presenta anche alcuni casi d’uso legittimi. Uno degli esempi è un compilatore just-in-time (JIT) che scrive codice compilato in memoria e lo esegue dalla memoria.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Impact:Runtime/CryptoMinerExecuted

Un container o un'istanza Amazon EC2 eseguono un file binario associato a un'attività attività di mining di criptovalute.

Gravità predefinita: alta

Questo risultato indica che un processo in esecuzione sull'istanza o sul contenitore EC2 elencato nell' AWS ambiente in uso sta eseguendo un file binario associato a un'attività di mining di criptovalute. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console e vediRiparazione degli esiti del monitoraggio del runtime.

Execution:Runtime/NewLibraryLoaded

Una libreria appena creata o modificata di recente è stata caricata da un processo all’interno di un container.

Gravità predefinita: media

Questo esito segnala che una libreria è stata creata o modificata all'interno di un container durante il runtime e caricata da un processo in esecuzione all'interno del container. La best practice è quella di mantenere i container non modificabili in fase di runtime e di non creare o modificare i file binari, gli script e le librerie durante il ciclo di vita del container. Il caricamento di una libreria appena creata o modificata in un container può indicare attività sospette. Questo comportamento indica che un utente malintenzionato ha potenzialmente ottenuto l’accesso al container e che ha scaricato ed eseguito malware o altro software come parte della potenziale compromissione. Sebbene questo tipo di attività possa essere indice di una violazione, è anche un modello di utilizzo comune. Pertanto, GuardDuty utilizza meccanismi per identificare i casi sospetti di questa attività e genera questo tipo di risultati solo per i casi sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

PrivilegeEscalation:Runtime/ContainerMountsHostDirectory

Un processo all'interno di un container ha montato un file system host in fase di runtime.

Gravità predefinita: media

Diverse tecniche di evasione da un container prevedono il montaggio di un file system host al suo interno in fase di runtime. Questo esito segnala che un processo all’interno di un container ha potenzialmente tentato di montare un file system host, il che potrebbe indicare un tentativo di sfuggire all’host.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

PrivilegeEscalation:Runtime/UserfaultfdUsage

Un processo ha utilizzato chiamate di sistema userfaultfd per gestire errori di pagina nello spazio utente.

Gravità predefinita: media

In genere, gli errori di pagina vengono gestiti dal kernel nello spazio corrispondente. Tuttavia, la chiamata di sistema userfaultfd consente a un processo di gestire gli errori di pagina su un file system nello spazio utente. Questa funzionalità è utile perché abilita l’implementazione di file system nello spazio utente. D’altra parte, può anche essere usata da un processo potenzialmente dannoso per interrompere il kernel dallo spazio utente. L’interruzione del kernel tramite la chiamata di sistema userfaultfd è una tecnica di sfruttamento comune volta a estendere le finestre di gara durante lo sfruttamento delle condizioni di gara del kernel. L’utilizzo di userfaultfd può quindi indicare attività sospette sull’istanza Amazon Elastic Compute Cloud (Amazon EC2).

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Execution:Runtime/SuspiciousTool

Un container o un’istanza Amazon EC2 eseguono un file binario o uno script che vengono spesso utilizzati in scenari di sicurezza offensivi come il test di penetrazione.

Gravità predefinita: variabile

La gravità di questa constatazione può essere elevata o bassa, a seconda che lo strumento sospetto rilevato sia considerato a duplice uso o destinato esclusivamente a un uso offensivo.

Questa scoperta ti informa che uno strumento sospetto è stato eseguito su un'istanza o contenitore EC2 all'interno del tuo ambiente. AWS Ciò include gli strumenti utilizzati nelle attività di test di penetrazione, noti anche come strumenti backdoor, scanner di rete e sniffer di rete. Tutti questi strumenti possono essere utilizzati in contesti benigni, ma sono spesso utilizzati anche da autori di minacce con intenzioni malevole. L'osservazione di strumenti di sicurezza offensivi potrebbe indicare che l'istanza o il contenitore EC2 associato è stato compromesso.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Execution:Runtime/SuspiciousCommand

Un comando sospetto è stato eseguito su un’istanza Amazon EC2 o un container indicativo di una violazione.

Gravità predefinita: variabile

A seconda dell’impatto del modello dannoso osservato, la gravità di questo tipo di rilevamento potrebbe essere bassa, media o alta.

Questo risultato indica che è stato eseguito un comando sospetto e indica che un'istanza Amazon EC2 o un contenitore nel AWS tuo ambiente è stato compromesso. Ciò potrebbe significare che un file è stato scaricato da una fonte sospetta e quindi eseguito oppure che un processo in esecuzione mostra un pattern dannoso noto nella riga di comando. Ciò indica inoltre che il malware è in esecuzione sul sistema.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

DefenseEvasion:Runtime/SuspiciousCommand

Un comando è stato eseguito sull’istanza Amazon EC2 elencata o su un container, tenta di modificare o disabilitare un meccanismo di difesa Linux, come un firewall o servizi di sistema essenziali.

Gravità predefinita: variabile

A seconda del meccanismo di difesa modificato o disabilitato, la gravità di questo tipo di esito può essere alta, media o bassa.

Questo esito ti informa che è stato eseguito un comando che tenta di nascondere un attacco ai servizi di sicurezza del sistema locale. Ciò include azioni come disabilitare il firewall Unix, modificare le tabelle IP locali, rimuovere le voci crontab, disabilitare un servizio locale o assumere il controllo della funzione LDPreload. Qualsiasi modifica è altamente sospetta e un potenziale indicatore di compromissione. Pertanto, questi meccanismi rilevano o impediscono ulteriori violazioni del sistema.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

DefenseEvasion:Runtime/PtraceAntiDebugging

Un processo in un container o in un’istanza Amazon EC2 ha eseguito una misura anti-debugging utilizzando la chiamata di sistema ptrace.

Gravità predefinita: bassa

Questo risultato mostra che un processo in esecuzione sull'istanza Amazon EC2 elencata o su un contenitore all'interno del tuo AWS ambiente ha utilizzato la chiamata di sistema ptrace con l'opzione. PTRACE_TRACEME Questa attività causerebbe il distacco di un debugger collegato dal processo in esecuzione. Se non è collegato alcun debugger, non ha effetto. Tuttavia, l’attività di per sé solleva sospetti. Ciò potrebbe indicare che sul sistema è in esecuzione un malware. Il malware utilizza spesso tecniche anti-debugging per eludere l’analisi e queste tecniche possono essere rilevate in fase di runtime.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Execution:Runtime/MaliciousFileExecuted

Un file eseguibile dannoso noto è stato eseguito su un’istanza Amazon EC2 o un container.

Gravità predefinita: alta

Questa scoperta ti informa che un file eseguibile dannoso noto è stato eseguito su un'istanza Amazon EC2 o su un contenitore all'interno AWS del tuo ambiente. Questo è un forte indicatore del fatto che l’istanza o il container è stato potenzialmente compromesso e che il malware è stato eseguito.

GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Execution:Runtime/SuspiciousShellCreated

Un servizio di rete o un processo accessibile dalla rete su un'istanza Amazon EC2 o in un contenitore ha avviato un processo shell interattivo.

Gravità predefinita: bassa

Questa scoperta ti informa che un servizio accessibile in rete su un'istanza Amazon EC2 o in un contenitore all'interno del tuo AWS ambiente ha lanciato una shell interattiva. In determinate circostanze, questo scenario può indicare un comportamento successivo allo sfruttamento. Le shell interattive consentono agli aggressori di eseguire comandi arbitrari su un’istanza o un container compromessi.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini. È possibile visualizzare le informazioni sul processo accessibili in rete nei dettagli del processo principale.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

PrivilegeEscalation:Runtime/ElevationToRoot

Un processo in esecuzione sull'istanza o sul contenitore Amazon EC2 elencato ha assunto i privilegi di root.

Gravità predefinita: media

Questo risultato ti informa che un processo in esecuzione sull'Amazon EC2 elencato o nel contenitore elencato all'interno del AWS tuo ambiente ha assunto i privilegi di root a causa di un'esecuzione binaria insolita o setuid sospetta. Ciò indica che un processo in esecuzione è stato potenzialmente compromesso, per l'istanza EC2, a causa di un exploit o di uno sfruttamento. setuid Utilizzando i privilegi di root, l'aggressore può potenzialmente eseguire comandi sull'istanza o sul contenitore.

Sebbene GuardDuty sia stato progettato per non generare questo tipo di risultati per attività che richiedono l'uso regolare del sudo comando, lo genererà quando identificherà l'attività come insolita o sospetta.

GuardDuty esamina l'attività e il contesto di runtime correlati e genera questo tipo di risultato solo quando l'attività e il contesto associati sono insoliti o sospetti.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Discovery:Runtime/SuspiciousCommand

È stato eseguito un comando sospetto su un'istanza Amazon EC2 o in un container, che consente a un utente malintenzionato di ottenere informazioni sul sistema locale, sull'infrastruttura AWS circostante o sull'infrastruttura del container.

Gravità predefinita: bassa

Funzionalità: monitoraggio del runtime

Questo risultato ti informa che un processo in esecuzione sull'istanza o sul contenitore Amazon EC2 elencato nel AWS tuo ambiente ha eseguito un comando che potrebbe fornire a un utente malintenzionato informazioni cruciali per far avanzare potenzialmente l'attacco. È possibile che siano state recuperate le seguenti informazioni:

L'istanza Amazon EC2 o il contenitore elencato nei dettagli del risultato potrebbero essere stati compromessi.

L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Puoi trovare i dettagli sul comando sospetto nel campo service.runtimeDetails.context del JSON degli esiti. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

Persistence:Runtime/SuspiciousCommand

È stato eseguito un comando sospetto su un'istanza Amazon EC2 o in un container, che consente a un utente malintenzionato di mantenere l'accesso e il controllo nel tuo ambiente. AWS

Gravità predefinita: media

Questo risultato ti informa che un processo in esecuzione sull'istanza Amazon EC2 elencata o in un contenitore all'interno del AWS tuo ambiente ha eseguito un comando sospetto. Il comando installa un metodo di persistenza che consente al malware di funzionare senza interruzioni o consente a un utente malintenzionato di accedere continuamente all'istanza o al tipo di risorsa del contenitore potenzialmente compromessi. Ciò potrebbe potenzialmente significare che un servizio di sistema è stato installato o modificato, che è crontab stato modificato o che un nuovo utente è stato aggiunto alla configurazione del sistema.

GuardDuty esamina l'attività e il contesto di runtime correlati e genera questo tipo di risultato solo quando l'attività e il contesto associati sono insoliti o sospetti.

L'istanza Amazon EC2 o il contenitore elencato nei dettagli del risultato potrebbero essere stati compromessi.

L'agente GuardDuty di runtime monitora gli eventi da più risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Puoi trovare i dettagli sul comando sospetto nel campo service.runtimeDetails.context del JSON degli esiti. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

PrivilegeEscalation:Runtime/SuspiciousCommand

È stato eseguito un comando sospetto su un'istanza Amazon EC2 o in un contenitore, che consente a un utente malintenzionato di aumentare i privilegi.

Gravità predefinita: media

Questo risultato ti informa che un processo in esecuzione sull'istanza Amazon EC2 elencata o in un contenitore all'interno del AWS tuo ambiente ha eseguito un comando sospetto. Il comando tenta di eseguire l'escalation dei privilegi, che consente a un avversario di eseguire attività con privilegi elevati.

GuardDuty esamina l'attività e il contesto di runtime correlati e genera questo tipo di risultato solo quando l'attività e il contesto associati sono insoliti o sospetti.

L'istanza Amazon EC2 o il contenitore elencato nei dettagli del risultato potrebbero essere stati compromessi.

L'agente GuardDuty di runtime monitora gli eventi da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.

DefenseEvasion:Runtime/KernelModuleLoaded

Un modulo del kernel è stato caricato su un'istanza Amazon EC2, indicando un tentativo di ottenere l'accesso a livello di kernel.

Gravità predefinita: alta

Questo esito indica che un modulo del kernel è stato caricato sull’istanza EC2 elencata. Poiché i moduli del kernel dispongono dei privilegi più elevati a livello di sistema (ring 0), ciò potrebbe indicare che un autore di minacce ha ottenuto l’accesso a livello di kernel. Questo livello di accesso consente il controllo completo del sistema.

L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il tipo di risorsa nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.

Raccomandazioni per la correzione:

Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta Riparazione degli esiti del monitoraggio del runtime.