Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
GuardDuty jenis pencarian urutan serangan
GuardDuty mendeteksi urutan serangan ketika urutan tertentu dari beberapa tindakan sejajar dengan aktivitas yang berpotensi mencurigakan. Urutan serangan mencakup sinyal seperti aktivitas dan GuardDuty temuan API. Ketika GuardDuty mengamati sekelompok sinyal dalam urutan tertentu yang menunjukkan ancaman keamanan yang sedang berlangsung, sedang berlangsung, atau baru-baru ini, GuardDuty menghasilkan temuan urutan serangan. GuardDuty menganggap aktivitas API individu weak signals karena mereka tidak menampilkan diri sebagai ancaman potensial.
Deteksi urutan serangan berfokus pada potensi kompromi data Amazon S3 (yang dapat menjadi bagian dari serangan ransomware yang lebih luas), AWS kredensi yang dikompromikan, klaster Amazon EKS yang dikompromikan, klaster Amazon ECS yang dikompromikan, dan grup instans Amazon EC2 yang dikompromikan. Bagian berikut memberikan rincian tentang masing-masing urutan serangan.
Topik
AttackSequence:EKS/CompromisedCluster
Urutan tindakan mencurigakan yang dilakukan oleh cluster Amazon EKS yang berpotensi dikompromikan.
-
Tingkat keparahan default: Kritis
-
Sumber data:
Temuan ini memberi tahu Anda bahwa GuardDuty mendeteksi urutan tindakan mencurigakan yang menunjukkan klaster Amazon EKS yang berpotensi dikompromikan di lingkungan Anda. Beberapa perilaku serangan yang mencurigakan dan anomali, seperti proses berbahaya atau koneksi dengan titik akhir berbahaya, diamati di cluster Amazon EKS yang sama.
GuardDuty menggunakan algoritma korelasi miliknya untuk mengamati dan mengidentifikasi urutan tindakan yang dilakukan dengan menggunakan kredensi IAM. GuardDuty mengevaluasi temuan di seluruh rencana perlindungan dan sumber sinyal lainnya untuk mengidentifikasi pola serangan yang umum dan muncul. GuardDuty menggunakan beberapa faktor untuk memunculkan ancaman, seperti reputasi IP, urutan API, konfigurasi pengguna, dan sumber daya yang berpotensi terkena dampak.
Tindakan remediasi: Jika perilaku ini tidak terduga di lingkungan Anda, maka klaster Amazon EKS Anda dapat dikompromikan. Untuk panduan remediasi yang komprehensif, lihat Remediasi temuan Perlindungan EKS danMemperbaiki temuan Pemantauan Runtime.
Selain itu, karena AWS kredensional mungkin telah dikompromikan melalui kluster EKS, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS Untuk langkah-langkah untuk memulihkan sumber daya lain yang mungkin berpotensi terkena dampak, lihat. Memulihkan temuan GuardDuty keamanan yang terdeteksi
AttackSequence:ECS/CompromisedCluster
Urutan tindakan mencurigakan yang dilakukan oleh cluster Amazon ECS yang berpotensi dikompromikan.
-
Tingkat keparahan default: Kritis
-
Sumber data:
Temuan ini memberi tahu Anda bahwa GuardDuty mendeteksi urutan sinyal mencurigakan yang menunjukkan klaster Amazon ECS yang berpotensi dikompromikan di lingkungan Anda. Sinyal-sinyal ini mungkin termasuk proses berbahaya, komunikasi dengan titik akhir berbahaya, atau perilaku penambangan cryptocurrency.
GuardDuty menggunakan algoritme korelasi eksklusif dan beberapa faktor deteksi untuk mengidentifikasi urutan tindakan mencurigakan dalam kluster Amazon ECS. Melalui analisis di seluruh rencana perlindungan dan berbagai sumber sinyal, GuardDuty mengidentifikasi pola serangan yang umum dan muncul, memberikan deteksi kepercayaan tinggi terhadap potensi kompromi.
Tindakan remediasi: Jika perilaku ini tidak terduga di lingkungan Anda, klaster Amazon ECS Anda dapat dikompromikan. Untuk rekomendasi penahanan ancaman, lihatMemulihkan cluster ECS yang berpotensi dikompromikan. Perhatikan bahwa kompromi dapat meluas ke satu atau lebih tugas ECS atau beban kerja kontainer, yang dapat digunakan untuk membuat atau memodifikasi sumber daya. AWS Untuk panduan remediasi komprehensif yang mencakup sumber daya yang berpotensi terkena dampak, lihat. Memulihkan temuan GuardDuty keamanan yang terdeteksi
AttackSequence:EC2/CompromisedInstanceGroup
Urutan tindakan mencurigakan yang menunjukkan instans Amazon EC2 yang berpotensi dikompromikan.
-
Tingkat keparahan default: Kritis
-
Sumber data:
Temuan ini menunjukkan GuardDuty terdeteksi urutan tindakan mencurigakan yang menunjukkan potensi kompromi di seluruh grup instans Amazon EC2 di lingkungan Anda. Grup instans biasanya mewakili aplikasi yang dikelola melalui infrastructure-as-code, berbagi konfigurasi serupa seperti grup Penskalaan otomatis, peran profil instans IAM, tumpukan, templat peluncuran AWS CloudFormation Amazon EC2, AMI atau ID VPC. GuardDuty mengamati beberapa perilaku mencurigakan di satu atau lebih contoh, termasuk:
-
Proses berbahaya
-
File berbahaya
-
Koneksi jaringan yang mencurigakan
-
Aktivitas penambangan Cryptocurrency
-
Penggunaan mencurigakan kredenal instans Amazon EC2
Metode Deteksi: GuardDuty menggunakan algoritme korelasi eksklusif untuk mengidentifikasi urutan tindakan yang mencurigakan dalam instans Amazon EC2. Dengan mengevaluasi temuan di seluruh rencana perlindungan dan berbagai sumber sinyal, GuardDuty mengidentifikasi pola serangan menggunakan beberapa faktor seperti IP dan reputasi domain dan proses berjalan yang mencurigakan.
Tindakan remediasi: Jika perilaku ini tidak terduga di lingkungan Anda, instans Amazon EC2 Anda dapat dikompromikan. Kompromi dapat melibatkan:
-
Beberapa proses
-
Kredensi instans yang mungkin telah digunakan untuk memodifikasi instans Amazon EC2 atau sumber daya lainnya AWS
Untuk rekomendasi penahanan ancaman, lihatMemulihkan instans Amazon EC2 yang berpotensi dikompromikan. Perhatikan bahwa kompromi dapat meluas ke satu atau beberapa instans Amazon EC2 dan melibatkan proses yang dikompromikan atau kredenal instans yang dapat digunakan untuk membuat atau memodifikasi instans Amazon EC2 atau sumber daya lainnya. AWS Untuk panduan remediasi komprehensif yang mencakup sumber daya yang berpotensi terkena dampak, lihat. Memulihkan temuan GuardDuty keamanan yang terdeteksi
AttackSequence:IAM/CompromisedCredentials
Urutan permintaan API yang dipanggil dengan menggunakan kredenal yang berpotensi dikompromikan AWS .
-
Tingkat keparahan default: Kritis
-
Sumber data: AWS CloudTrail acara manajemen
Temuan ini memberi tahu Anda bahwa GuardDuty mendeteksi serangkaian tindakan mencurigakan yang dilakukan dengan menggunakan AWS kredensil yang memengaruhi satu atau lebih sumber daya di lingkungan Anda. Beberapa perilaku serangan yang mencurigakan dan anomali diamati oleh kredensil yang sama, menghasilkan keyakinan yang lebih tinggi bahwa kredensil disalahgunakan.
GuardDuty menggunakan algoritma korelasi miliknya untuk mengamati dan mengidentifikasi urutan tindakan yang dilakukan dengan menggunakan kredensi IAM. GuardDuty mengevaluasi temuan di seluruh rencana perlindungan dan sumber sinyal lainnya untuk mengidentifikasi pola serangan yang umum dan muncul. GuardDuty menggunakan beberapa faktor untuk memunculkan ancaman, seperti reputasi IP, urutan API, konfigurasi pengguna, dan sumber daya yang berpotensi terkena dampak.
Tindakan remediasi: Jika perilaku ini tidak terduga di lingkungan Anda, maka AWS kredensional Anda mungkin telah dikompromikan. Untuk langkah-langkah untuk memperbaiki, lihatMemulihkan kredensi yang berpotensi dikompromikan AWS. Kredensi yang disusupi mungkin telah digunakan untuk membuat atau memodifikasi sumber daya tambahan, seperti bucket Amazon S3, fungsi, AWS Lambda atau instans Amazon EC2, di lingkungan Anda. Untuk langkah-langkah untuk memulihkan sumber daya lain yang mungkin berpotensi terkena dampak, lihat. Memulihkan temuan GuardDuty keamanan yang terdeteksi
AttackSequence:S3/CompromisedData
Urutan permintaan API dipanggil dalam upaya potensial untuk mengekstrasi atau menghancurkan data di Amazon S3.
-
Tingkat keparahan default: Kritis
-
Sumber data: AWS CloudTrail peristiwa data untuk S3 dan AWS CloudTrail acara manajemen
Temuan ini memberi tahu Anda bahwa GuardDuty mendeteksi urutan tindakan mencurigakan yang menunjukkan kompromi data dalam satu atau beberapa bucket Amazon Simple Storage Service (Amazon S3), dengan menggunakan kredensil yang berpotensi dikompromikan. AWS Beberapa perilaku serangan yang mencurigakan dan anomali (permintaan API) diamati, menghasilkan kepercayaan yang lebih tinggi dari kredensil yang disalahgunakan.
GuardDuty menggunakan algoritma korelasinya untuk mengamati dan mengidentifikasi urutan tindakan yang dilakukan dengan menggunakan kredensi IAM. GuardDuty kemudian mengevaluasi temuan di seluruh rencana perlindungan dan sumber sinyal lainnya untuk mengidentifikasi pola serangan yang umum dan muncul. GuardDuty menggunakan beberapa faktor untuk memunculkan ancaman, seperti reputasi IP, urutan API, konfigurasi pengguna, dan sumber daya yang berpotensi terkena dampak.
Tindakan remediasi: Jika aktivitas ini tidak terduga di lingkungan Anda, AWS kredensil, atau data Amazon S3 Anda mungkin berpotensi diekstraksi atau dihancurkan. Untuk langkah-langkah untuk memulihkan, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS danMemulihkan bucket S3 yang berpotensi dikompromikan.
