AttackSequence:EKS/CompromisedCluster AttackSequence:ECS/CompromisedCluster AttackSequence:EC2/CompromisedInstanceGroup AttackSequence:IAM/CompromisedCredentials AttackSequence:S3/CompromisedData

GuardDuty tipi di ricerca della sequenza di attacco

GuardDuty rileva una sequenza di attacco quando una sequenza specifica di più azioni si allinea a un'attività potenzialmente sospetta. Una sequenza di attacco include segnali come attività e risultati delle API. GuardDuty Quando GuardDuty osserva un gruppo di segnali in una sequenza specifica che indica una minaccia alla sicurezza in corso, in corso o recente, GuardDuty genera una rilevazione della sequenza di attacco. GuardDuty considera le singole attività delle API come weak signals se non si presentassero come una potenziale minaccia.

I rilevamenti delle sequenze di attacco si concentrano sulla potenziale compromissione dei dati di Amazon S3 (che possono far parte di un attacco ransomware più ampio), sulle credenziali AWS compromesse, sui cluster Amazon EKS, sui cluster Amazon ECS compromessi e sui gruppi di istanze Amazon Amazon compromessi. EC2 Le seguenti sezioni forniscono dettagli su ciascuna delle sequenze di attacco.

Argomenti

AttackSequence:EKS/CompromisedCluster
AttackSequence:ECS/CompromisedCluster
AttackSequence:EC2/CompromisedInstanceGroup
AttackSequence:IAM/CompromisedCredentials
AttackSequence:S3/CompromisedData

AttackSequence:EKS/CompromisedCluster

Una sequenza di azioni sospette eseguite da un cluster Amazon EKS potenzialmente compromesso.

Severità predefinita: critica
Fonti di dati:

Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette che indica un cluster Amazon EKS potenzialmente compromesso nel tuo ambiente. Nello stesso cluster Amazon EKS sono stati osservati diversi comportamenti di attacco sospetti e anomali, come processi dannosi o connessioni con endpoint dannosi.

GuardDuty utilizza i suoi algoritmi di correlazione proprietari per osservare e identificare la sequenza di azioni eseguite utilizzando la credenziale IAM. GuardDuty valuta i risultati dei piani di protezione e di altre fonti di segnale per identificare modelli di attacco comuni ed emergenti. GuardDuty utilizza diversi fattori per far emergere le minacce, come la reputazione IP, le sequenze API, la configurazione degli utenti e le risorse potenzialmente interessate.

Azioni correttive: se questo comportamento è imprevisto nel tuo ambiente, il cluster Amazon EKS potrebbe essere compromesso. Per una guida completa sulla riparazione, consulta e. Correzione dei risultati della protezione EKS Correzione dei risultati del Runtime Monitoring

Inoltre, poiché AWS le credenziali potrebbero essere state compromesse attraverso il cluster EKS, vedi. Riparazione delle credenziali potenzialmente compromesse AWS Per informazioni sulle procedure per correggere altre risorse che potrebbero essere state potenzialmente compromesse, consulta. Correzione dei problemi di GuardDuty sicurezza rilevati

AttackSequence:ECS/CompromisedCluster

Una sequenza di azioni sospette eseguite da un cluster Amazon ECS potenzialmente compromesso.

Gravità predefinita: critica
Fonti di dati:

Questo risultato indica che è GuardDuty stata rilevata una sequenza di segnali sospetti che indicano un cluster Amazon ECS potenzialmente compromesso nel tuo ambiente. Questi segnali possono includere processi dannosi, comunicazioni con endpoint dannosi o comportamenti di mining di criptovalute.

GuardDuty utilizza algoritmi di correlazione proprietari e molteplici fattori di rilevamento per identificare sequenze di azioni sospette all'interno dei cluster Amazon ECS. Attraverso l'analisi dei piani di protezione e di varie fonti di segnale, GuardDuty identifica i modelli di attacco comuni ed emergenti, garantendo un rilevamento altamente sicuro di potenziali compromissioni.

Azioni correttive: se questo comportamento è imprevisto nel tuo ambiente, il tuo cluster Amazon ECS potrebbe essere compromesso. Per consigli sul contenimento delle minacce, consulta. Riparazione di un cluster ECS potenzialmente compromesso Tieni presente che il compromesso può estendersi a una o più attività ECS o carichi di lavoro dei container, che avrebbero potuto essere utilizzati per creare o modificare risorse. AWS Per una guida completa sulla riparazione delle risorse potenzialmente interessate, consulta. Correzione dei problemi di GuardDuty sicurezza rilevati

AttackSequence:EC2/CompromisedInstanceGroup

Una sequenza di azioni sospette che indicano istanze Amazon EC2 potenzialmente compromesse.

Gravità predefinita: critica
Fonti di dati:

Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette che suggeriscono una potenziale compromissione tra un gruppo di EC2 istanze Amazon nel tuo ambiente. I gruppi di istanze rappresentano in genere applicazioni gestite tramite infrastructure-as-code, che condividono configurazioni simili come il gruppo Auto-scaling, il ruolo del profilo dell'istanza IAM, lo AWS CloudFormation stack, il modello di avvio EC2 Amazon, l'AMI o l'ID VPC. GuardDuty ha osservato diversi comportamenti sospetti in una o più istanze, tra cui:

Processi dannosi
File dannosi
Connessioni di rete sospette
Attività di mining di criptovalute
Utilizzo sospetto delle credenziali delle EC2 istanze Amazon

Metodo di rilevamento: GuardDuty utilizza algoritmi di correlazione proprietari per identificare sequenze di azioni sospette all'interno delle istanze Amazon. EC2 Valutando i risultati dei piani di protezione e di varie fonti di segnale, GuardDuty identifica i modelli di attacco utilizzando diversi fattori come la reputazione dell'IP e del dominio e i processi in esecuzione sospetti.

Azioni correttive: se questo comportamento è imprevisto nel tuo ambiente, le tue EC2 istanze Amazon potrebbero essere compromesse. Il compromesso potrebbe comportare:

Processi multipli
Credenziali di istanza che potrebbero essere state utilizzate per modificare EC2 istanze Amazon o altre risorse AWS

Per consigli sul contenimento delle minacce, consulta. Correzione di un'istanza Amazon potenzialmente compromessa EC2 Tieni presente che il compromesso può estendersi a una o più EC2 istanze Amazon e comportare processi o credenziali di istanza compromessi che avrebbero potuto essere utilizzati per creare o modificare EC2 istanze Amazon o altre risorse. AWS Per una guida completa sulla riparazione delle risorse potenzialmente interessate, consulta. Correzione dei problemi di GuardDuty sicurezza rilevati

AttackSequence:IAM/CompromisedCredentials

Una sequenza di richieste API richiamate utilizzando credenziali potenzialmente compromesse. AWS

Gravità predefinita: critica
Fonte dati: AWS CloudTrail eventi di gestione

Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette eseguite utilizzando AWS credenziali che hanno un impatto su una o più risorse dell'ambiente. Sono stati osservati più comportamenti di attacco sospetti e anomali con le stesse credenziali, con conseguente maggiore certezza che le credenziali vengano utilizzate in modo improprio.

GuardDuty utilizza i propri algoritmi di correlazione proprietari per osservare e identificare la sequenza di azioni eseguite utilizzando la credenziale IAM. GuardDuty valuta i risultati dei piani di protezione e di altre fonti di segnale per identificare modelli di attacco comuni ed emergenti. GuardDuty utilizza diversi fattori per far emergere le minacce, come la reputazione IP, le sequenze API, la configurazione degli utenti e le risorse potenzialmente interessate.

Azioni correttive: se questo comportamento è imprevisto nell'ambiente in uso, è possibile che le AWS credenziali siano state compromesse. Per le procedure da seguire per rimediare, consulta. Riparazione delle credenziali potenzialmente compromesse AWS Le credenziali compromesse potrebbero essere state utilizzate per creare o modificare risorse aggiuntive, come bucket Amazon S3, AWS Lambda funzioni o istanze EC2 Amazon, nel tuo ambiente. Per informazioni su come correggere altre risorse che potrebbero essere state potenzialmente interessate, consulta. Correzione dei problemi di GuardDuty sicurezza rilevati

AttackSequence:S3/CompromisedData

È stata richiamata una sequenza di richieste API in un potenziale tentativo di esfiltrare o distruggere dati in Amazon S3.

Gravità predefinita: critica
Fonti di dati: AWS CloudTrail eventi relativi ai dati per S3 e AWS CloudTrail eventi di gestione

Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette indicative di una compromissione dei dati in uno o più bucket Amazon Simple Storage Service (Amazon S3), utilizzando credenziali potenzialmente compromesse. AWS Sono stati osservati diversi comportamenti di attacco sospetti e anomali (richieste API), con conseguente maggiore fiducia nell'uso improprio delle credenziali.

GuardDuty utilizza i suoi algoritmi di correlazione per osservare e identificare la sequenza di azioni eseguite utilizzando la credenziale IAM. GuardDuty quindi valuta i risultati dei piani di protezione e di altre fonti di segnale per identificare modelli di attacco comuni ed emergenti. GuardDuty utilizza diversi fattori per far emergere le minacce, come la reputazione IP, le sequenze API, la configurazione degli utenti e le risorse potenzialmente interessate.

Azioni correttive: se questa attività è imprevista nel tuo ambiente, AWS le tue credenziali o i dati di Amazon S3 potrebbero essere stati potenzialmente esfiltrati o distrutti. Per le procedure di correzione, consulta e. Riparazione delle credenziali potenzialmente compromesse AWS Riparazione di un bucket S3 potenzialmente compromesso

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Tipi di esiti IAM

Tipi di risultati di protezione S3