Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# GuardDuty Jenis pencarian IAM
Temuan berikut ini khusus untuk entitas IAM dan access key serta selalu memiliki **Tipe Sumber Daya** dari `AccessKey`. Tingkat kepelikan dan detail temuan berbeda berdasarkan tipe temuan.
Temuan yang tercantum di sini termasuk sumber data dan model yang digunakan untuk menghasilkan tipe temuan. Untuk informasi selengkapnya, lihat [GuardDuty sumber data dasar](guardduty_data-sources.md).
Untuk semua temuan terkait IAM, kami menyarankan Anda memeriksa entitas yang bersangkutan dan memastikan bahwa izin mereka mengikuti praktik terbaik dengan hak istimewa yang paling sedikit. Jika aktivitas tidak terduga, kredensial mungkin disusupi. Untuk informasi tentang remediasi temuan, lihat[Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
**Topics**
+ [CredentialAccess:IAMUser/AnomalousBehavior](#credentialaccess-iam-anomalousbehavior)
+ [CredentialAccess:IAMUser/CompromisedCredentials](#credentialaccess-iam-compromisedcredentials)
+ [DefenseEvasion:IAMUser/AnomalousBehavior](#defenseevasion-iam-anomalousbehavior)
+ [DefenseEvasion:IAMUser/BedrockLoggingDisabled](#defenseevasion-iam-bedrockloggingdisabled)
+ [Discovery:IAMUser/AnomalousBehavior](#discovery-iam-anomalousbehavior)
+ [Exfiltration:IAMUser/AnomalousBehavior](#exfiltration-iam-anomalousbehavior)
+ [Impact:IAMUser/AnomalousBehavior](#impact-iam-anomalousbehavior)
+ [InitialAccess:IAMUser/AnomalousBehavior](#initialaccess-iam-anomalousbehavior)
+ [PenTest:IAMUser/KaliLinux](#pentest-iam-kalilinux)
+ [PenTest:IAMUser/ParrotLinux](#pentest-iam-parrotlinux)
+ [PenTest:IAMUser/PentooLinux](#pentest-iam-pentoolinux)
+ [Persistence:IAMUser/AnomalousBehavior](#persistence-iam-anomalousbehavior)
+ [Policy:IAMUser/RootCredentialUsage](#policy-iam-rootcredentialusage)
+ [Policy:IAMUser/ShortTermRootCredentialUsage](#policy-iam-user-short-term-root-credential-usage)
+ [PrivilegeEscalation:IAMUser/AnomalousBehavior](#privilegeescalation-iam-anomalousbehavior)
+ [Recon:IAMUser/MaliciousIPCaller](#recon-iam-maliciousipcaller)
+ [Recon:IAMUser/MaliciousIPCaller.Custom](#recon-iam-maliciousipcallercustom)
+ [Recon:IAMUser/TorIPCaller](#recon-iam-toripcaller)
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](#stealth-iam-cloudtrailloggingdisabled)
+ [Stealth:IAMUser/PasswordPolicyChange](#stealth-iam-passwordpolicychange)
+ [UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B](#unauthorizedaccess-iam-consoleloginsuccessb)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller](#unauthorizedaccess-iam-maliciousipcaller)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](#unauthorizedaccess-iam-maliciousipcallercustom)
+ [UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/TorIPCaller](#unauthorizedaccess-iam-toripcaller)
## CredentialAccess:IAMUser/AnomalousBehavior
### API yang digunakan untuk mendapatkan akses ke AWS lingkungan dipanggil dengan cara yang anomali.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa terdapat permintaan API beranomali yang diamati di akun Anda. Temuan ini dapat mencakup satu permintaan API atau serangkaian permintaan API terkait yang dibuat di sekitar oleh satu [identitas pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). API yang diamati umumnya berkaitan dengan tahap akses kredensial serangan ketika musuh mencoba mengumpulkan kata sandi, nama pengguna, dan access key untuk lingkungan Anda. APIs Dalam kategori ini adalah`GetPasswordData`,`GetSecretValue`,`BatchGetSecretValue`, dan`GenerateDbAuthToken`.
Permintaan API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML melacak berbagai faktor permintaan API, seperti, pengguna yang membuat permintaan, lokasi tempat permintaan dibuat, dan API khusus yang diminta. Detail tentang faktor-faktor permintaan API yang tidak biasa untuk identitas pengguna yang menginvokasi permintaan dapat ditemukan di [detail temuan](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## CredentialAccess:IAMUser/CompromisedCredentials
### Kunci akses IAM diidentifikasi berpotensi dikompromikan oleh intelijen ancaman Amazon.
**Tingkat keparahan default: Tinggi**
+ **Fitur:** Termasuk dengan Perlindungan Sumber Data Dasar
**Deskripsi lengkap:**
Temuan ini memberi tahu Anda bahwa kunci akses IAM yang terkait dengan AWS akun Anda telah diidentifikasi berpotensi dikompromikan oleh intelijen ancaman Amazon. Kredensi yang disusupi kemudian digunakan untuk menjalankan operasi API di lingkungan Anda. AWS Daftar panggilan API yang dilakukan menggunakan kredensi yang dikompromikan, bersama dengan jumlah dan stempel waktu setiap panggilan, kunci akses yang terlibat, dan alamat IP sumber disertakan dalam detail temuan.
Kompromi kredenal dalam temuan ini diidentifikasi oleh intelijen ancaman Amazon. AWS memantau kredensil yang berpotensi dikompromikan melalui pola penggunaan dan menghasilkan temuan ini ketika kredensi seperti itu diamati sedang digunakan.
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## DefenseEvasion:IAMUser/AnomalousBehavior
### API yang digunakan untuk menghindari tindakan defensif diinvokasi dengan cara yang beranomali.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa terdapat permintaan API beranomali yang diamati di akun Anda. Temuan ini dapat mencakup satu permintaan API atau serangkaian permintaan API terkait yang dibuat di sekitar oleh satu [identitas pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). API yang diamati umumnya dikaitkan dengan taktik penghindaran pertahanan di mana musuh mencoba menutupi jejak mereka dan menghindari deteksi. APIs dalam kategori ini biasanya menghapus, menonaktifkan, atau menghentikan operasi, seperti,`DeleteFlowLogs`,`DisableAlarmActions`, atau`StopLogging`.
Permintaan API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML melacak berbagai faktor permintaan API, seperti, pengguna yang membuat permintaan, lokasi tempat permintaan dibuat, dan API khusus yang diminta. Detail tentang faktor-faktor permintaan API yang tidak biasa untuk identitas pengguna yang menginvokasi permintaan dapat ditemukan di [detail temuan](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## DefenseEvasion:IAMUser/BedrockLoggingDisabled
### Pencatatan log untuk Amazon Bedrock dinonaktifkan.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini menginformasikan bahwa pencatatan log dinonaktifkan untuk invokasi model Bedrock di akun Anda. Ini bisa jadi adalah upaya penyerang untuk menyamarkan aktivitas berbahaya seperti eksfiltrasi data atau penyalahgunaan model AI. Ketika pencatatan log dinonaktifkan, tidak akan ada visibilitas tentang data yang dikirim ke model dan bagaimana model digunakan.
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## Discovery:IAMUser/AnomalousBehavior
### API yang biasa digunakan untuk menemukan sumber daya diinvokasi dengan cara yang beranomali.
**Tingkat keparahan default: Rendah**
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa terdapat permintaan API beranomali yang diamati di akun Anda. Temuan ini dapat mencakup satu permintaan API atau serangkaian permintaan API terkait yang dibuat di sekitar oleh satu [identitas pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). API yang diamati umumnya dikaitkan dengan tahap penemuan serangan ketika musuh mengumpulkan informasi untuk menentukan apakah AWS lingkungan Anda rentan terhadap serangan yang lebih luas. APIs dalam kategori ini biasanya mendapatkan, mendeskripsikan, atau daftar operasi, seperti,`DescribeInstances`,`GetRolePolicy`, atau`ListAccessKeys`.
Permintaan API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML melacak berbagai faktor permintaan API, seperti, pengguna yang membuat permintaan, lokasi tempat permintaan dibuat, dan API khusus yang diminta. Detail tentang faktor-faktor permintaan API yang tidak biasa untuk identitas pengguna yang menginvokasi permintaan dapat ditemukan di [detail temuan](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## Exfiltration:IAMUser/AnomalousBehavior
### API yang biasa digunakan untuk mengumpulkan data dari AWS lingkungan dipanggil dengan cara yang anomali.
**Tingkat keparahan default: Tinggi**
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa terdapat permintaan API beranomali yang diamati di akun Anda. Temuan ini dapat mencakup satu permintaan API atau serangkaian permintaan API terkait yang dibuat di sekitar oleh satu [identitas pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). API yang diamati umumnya dikaitkan dengan taktik eksfiltrasi di mana musuh mencoba mengumpulkan data dari jaringan Anda menggunakan pengemasan dan enkripsi untuk menghindari deteksi. APIs untuk jenis temuan ini hanya operasi manajemen (bidang kontrol) dan biasanya terkait dengan S3, snapshot, dan database, seperti,,, atau. `PutBucketReplication` `CreateSnapshot` `RestoreDBInstanceFromDBSnapshot`
Permintaan API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML melacak berbagai faktor permintaan API, seperti, pengguna yang membuat permintaan, lokasi tempat permintaan dibuat, dan API khusus yang diminta. Detail tentang faktor-faktor permintaan API yang tidak biasa untuk identitas pengguna yang menginvokasi permintaan dapat ditemukan di [detail temuan](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## Impact:IAMUser/AnomalousBehavior
### API yang biasa digunakan untuk mengutak-atik data atau proses di AWS lingkungan dipanggil dengan cara yang anomali.
**Tingkat keparahan default: Tinggi**
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa terdapat permintaan API beranomali yang diamati di akun Anda. Temuan ini dapat mencakup satu permintaan API atau serangkaian permintaan API terkait yang dibuat di sekitar oleh satu [identitas pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). API yang diamati umumnya dikaitkan dengan taktik dampak di mana musuh mencoba mengganggu operasi dan memanipulasi, mengganggu, atau menghancurkan data di akun Anda. APIs untuk jenis temuan ini biasanya menghapus, memperbarui, atau menempatkan operasi, seperti,`DeleteSecurityGroup`,`UpdateUser`, atau`PutBucketPolicy`.
Permintaan API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML melacak berbagai faktor permintaan API, seperti, pengguna yang membuat permintaan, lokasi tempat permintaan dibuat, dan API khusus yang diminta. Detail tentang faktor-faktor permintaan API yang tidak biasa untuk identitas pengguna yang menginvokasi permintaan dapat ditemukan di [detail temuan](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## InitialAccess:IAMUser/AnomalousBehavior
### API yang biasa digunakan untuk mendapatkan akses tidak sah ke AWS lingkungan dipanggil dengan cara yang anomali.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa terdapat permintaan API beranomali yang diamati di akun Anda. Temuan ini dapat mencakup satu permintaan API atau serangkaian permintaan API terkait yang dibuat di sekitar oleh satu [identitas pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). API yang diamati umumnya dikaitkan dengan tahap akses awal serangan ketika musuh mencoba untuk membangun akses ke lingkungan Anda. APIs dalam kategori ini biasanya mendapatkan token, atau operasi sesi, seperti,`StartSession`, atau`GetAuthorizationToken`.
Permintaan API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML melacak berbagai faktor permintaan API, seperti, pengguna yang membuat permintaan, lokasi tempat permintaan dibuat, dan API khusus yang diminta. Detail tentang faktor-faktor permintaan API yang tidak biasa untuk identitas pengguna yang menginvokasi permintaan dapat ditemukan di [detail temuan](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## PenTest:IAMUser/KaliLinux
### API dipanggil dari mesin Kali Linux.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Kali Linux melakukan panggilan API menggunakan kredensil milik AWS akun yang terdaftar di lingkungan Anda. Kali Linux adalah alat uji penetrasi populer yang digunakan para profesional keamanan untuk mengidentifikasi kelemahan dalam kasus EC2 yang memerlukan patch. Penyerang juga menggunakan alat ini untuk menemukan kelemahan konfigurasi EC2 dan mendapatkan akses tidak sah ke lingkungan Anda. AWS
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## PenTest:IAMUser/ParrotLinux
### API diinvokasi dari mesin Parrot Security Linux.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Parrot Security Linux melakukan panggilan API menggunakan kredensil milik AWS akun yang terdaftar di lingkungan Anda. Parrot Security Linux adalah alat uji penetrasi populer yang digunakan para profesional keamanan untuk mengidentifikasi kelemahan dalam kasus EC2 yang memerlukan patch. Penyerang juga menggunakan alat ini untuk menemukan kelemahan konfigurasi EC2 dan mendapatkan akses tidak sah ke lingkungan Anda. AWS
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## PenTest:IAMUser/PentooLinux
### API diinvokasi dari mesin Pentoo Linux.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Pentoo Linux melakukan panggilan API menggunakan kredensil milik AWS akun yang terdaftar di lingkungan Anda. Pentoo Linux adalah alat uji penetrasi populer yang digunakan para profesional keamanan untuk mengidentifikasi kelemahan dalam kasus EC2 yang memerlukan patch. Penyerang juga menggunakan alat ini untuk menemukan kelemahan konfigurasi EC2 dan mendapatkan akses tidak sah ke lingkungan Anda. AWS
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## Persistence:IAMUser/AnomalousBehavior
### API yang biasa digunakan untuk mempertahankan akses tidak sah ke AWS lingkungan dipanggil dengan cara yang anomali.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa terdapat permintaan API beranomali yang diamati di akun Anda. Temuan ini dapat mencakup satu permintaan API atau serangkaian permintaan API terkait yang dibuat di sekitar oleh satu [identitas pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). API yang diamati umumnya dikaitkan dengan taktik persistensi di mana musuh telah mendapatkan akses ke lingkungan Anda dan berusaha mempertahankan akses itu. APIs dalam kategori ini biasanya membuat, mengimpor, atau memodifikasi operasi, seperti,`CreateAccessKey`,`ImportKeyPair`, atau`ModifyInstanceAttribute`.
Permintaan API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML melacak berbagai faktor permintaan API, seperti, pengguna yang membuat permintaan, lokasi tempat permintaan dibuat, dan API khusus yang diminta. Detail tentang faktor-faktor permintaan API yang tidak biasa untuk identitas pengguna yang menginvokasi permintaan dapat ditemukan di [detail temuan](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## Policy:IAMUser/RootCredentialUsage
### API dipanggil menggunakan kredenal masuk pengguna root.
**Tingkat keparahan default: Rendah**
+ **Sumber data:** peristiwa CloudTrail manajemen atau peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa kredenal masuk pengguna root dari yang tercantum Akun AWS di lingkungan Anda digunakan untuk membuat permintaan ke layanan. AWS Disarankan agar pengguna tidak pernah menggunakan kredenal masuk pengguna root untuk mengakses layanan. AWS Sebagai gantinya, AWS layanan harus diakses menggunakan kredensi sementara hak istimewa terkecil dari AWS Security Token Service (STS). Jika AWS STS tidak didukung, sebaiknya gunakan kredensial pengguna IAM. Untuk informasi lebih lanjut, lihat [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
**catatan**
Jika Perlindungan S3 diaktifkan untuk akun, maka temuan ini dapat dihasilkan sebagai tanggapan atas upaya untuk menjalankan operasi bidang data S3 di sumber daya Amazon S3 dengan menggunakan kredenal masuk pengguna root dari file. Akun AWS Panggilan API yang digunakan akan tercantum dalam detail temuan. Jika Perlindungan S3 tidak diaktifkan, maka temuan ini hanya dapat dipicu oleh log APIs Peristiwa. Untuk informasi selengkapnya tentang Perlindungan S3, lihat[Perlindungan S3](s3-protection.md).
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## Policy:IAMUser/ShortTermRootCredentialUsage
### API diinvokasi menggunakan kredensial pengguna root yang dibatasi.
**Tingkat keparahan default: Rendah**
+ **Sumber data:** peristiwa AWS CloudTrail manajemen atau peristiwa AWS CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa kredensi pengguna terbatas yang dibuat untuk yang terdaftar Akun AWS di lingkungan Anda, sedang digunakan untuk membuat permintaan. Layanan AWS Disarankan untuk menggunakan kredensi pengguna root hanya untuk [tugas-tugas yang memerlukan kredensi pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
Jika memungkinkan, akses peran IAM Layanan AWS dengan menggunakan hak istimewa terkecil dengan kredensi sementara dari (). AWS Security Token Service AWS STS Untuk skenario di AWS STS mana tidak didukung, praktik terbaik adalah menggunakan kredensional pengguna IAM. Untuk informasi selengkapnya, lihat [Praktik terbaik keamanan dalam praktik terbaik pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) [dan Root untuk Anda Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) di *Panduan Pengguna IAM*.
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## PrivilegeEscalation:IAMUser/AnomalousBehavior
### API yang biasa digunakan untuk mendapatkan izin tingkat tinggi ke AWS lingkungan dipanggil dengan cara yang anomali.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa terdapat permintaan API beranomali yang diamati di akun Anda. Temuan ini dapat mencakup satu permintaan API atau serangkaian permintaan API terkait yang dibuat di sekitar oleh satu [identitas pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). API yang diamati umumnya dikaitkan dengan taktik eskalasi hak istimewa di mana musuh berusaha mendapatkan izin tingkat yang lebih tinggi ke suatu lingkungan. APIs dalam kategori ini biasanya melibatkan operasi yang mengubah kebijakan, peran, dan pengguna IAM, seperti, `AssociateIamInstanceProfile``AddUserToGroup`, atau`PutUserPolicy`.
Permintaan API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML melacak berbagai faktor permintaan API, seperti, pengguna yang membuat permintaan, lokasi tempat permintaan dibuat, dan API khusus yang diminta. Detail tentang faktor-faktor permintaan API yang tidak biasa untuk identitas pengguna yang menginvokasi permintaan dapat ditemukan di [detail temuan](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## Recon:IAMUser/MaliciousIPCaller
### API dipanggil dari alamat IP berbahaya yang diketahui.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa operasi API yang dapat menampilkan daftar atau mendeskripsikan sumber daya AWS di akun dalam lingkungan Anda diinvokasi dari alamat IP yang termasuk dalam daftar ancaman. Penyerang dapat menggunakan kredensil curian untuk melakukan jenis pengintaian AWS sumber daya Anda untuk menemukan kredensil yang lebih berharga atau menentukan kemampuan kredensil yang sudah mereka miliki.
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## Recon:IAMUser/MaliciousIPCaller.Custom
### API dipanggil dari alamat IP berbahaya yang diketahui.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa operasi API yang dapat menampilkan daftar atau mendeskripsikan sumber daya AWS di akun dalam lingkungan Anda diinvokasi dari alamat IP yang termasuk dalam daftar ancaman kustom. Daftar ancaman yang digunakan akan tercantum dalam detail temuan. Seorang penyerang mungkin menggunakan kredensil curian untuk melakukan jenis pengintaian AWS sumber daya Anda untuk menemukan kredensil yang lebih berharga atau menentukan kemampuan kredensil yang sudah mereka miliki.
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## Recon:IAMUser/TorIPCaller
### API diinvokasi dari alamat IP simpul keluar Tor.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa operasi API yang dapat menampilkan daftar atau mendeskripsikan sumber daya AWS di akun dalam lingkungan anda diinvokasi dari alamat IP simpul keluar Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Node Tor terakhir disebut sebagai nod keluar. Penyerang akan menggunakan Tor untuk menutupi identitas mereka yang sebenarnya.
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## Stealth:IAMUser/CloudTrailLoggingDisabled
### AWS CloudTrail logging dinonaktifkan.
**Tingkat keparahan default: Rendah**
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa CloudTrail jejak di AWS lingkungan Anda dinonaktifkan. Hal ini bisa menjadi percobaan penyerang untuk menonaktifkan pencatatan log untuk menutupi jejak mereka dengan menghilangkan jejak aktivitas mereka sekaligus mendapatkan akses ke sumber daya AWS Anda untuk tujuan berbahaya. Temuan ini dapat dipicu oleh penghapusan atau pembaruan jejak yang berhasil. Temuan ini juga dapat dipicu oleh penghapusan bucket S3 yang berhasil menyimpan log dari jejak yang terkait dengannya. GuardDuty
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## Stealth:IAMUser/PasswordPolicyChange
### Kebijakan kata sandi akun dilemahkan.
**Tingkat keparahan default: Rendah\$1**
**catatan**
Tingkat keparahan temuan ini bisa Rendah, Sedang, atau Tinggi tergantung pada tingkat keparahan perubahan yang dibuat pada kebijakan kata sandi.
+ **Sumber data:** acara CloudTrail manajemen
Kebijakan kata sandi AWS akun dilemahkan pada akun yang terdaftar di AWS lingkungan Anda. Misalnya, kata sandi dihapus atau diperbarui untuk memerlukan lebih sedikit karakter, tidak memerlukan simbol dan angka, atau diperlukan untuk memperpanjang masa kedaluwarsa kata sandi. Temuan ini juga dapat dipicu oleh upaya untuk memperbarui atau menghapus kebijakan kata sandi AWS akun Anda. Kebijakan kata sandi AWS akun mendefinisikan aturan yang mengatur jenis kata sandi apa yang dapat ditetapkan untuk pengguna IAM Anda. Kebijakan kata sandi yang lebih lemah memungkinkan pembuatan kata sandi yang mudah diingat dan berpotensi lebih mudah ditebak, sehingga menimbulkan risiko keamanan.
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
### Beberapa login konsol yang berhasil di seluruh dunia diamati.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa beberapa login konsol yang berhasil untuk pengguna IAM yang sama diamati pada waktu yang sama di berbagai lokasi geografis. Pola lokasi akses anomali dan berisiko seperti itu menunjukkan potensi akses tidak sah ke sumber daya Anda. AWS
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
### Kredenal yang dibuat secara eksklusif untuk instans EC2 melalui peran peluncuran Instans sedang digunakan dari akun lain di dalamnya. AWS
**Tingkat keparahan default: Tinggi\$1**
**catatan**
Tingkat keparahan default temuan ini adalah Tinggi. Namun, jika API dipanggil oleh akun yang berafiliasi dengan AWS lingkungan Anda, tingkat keparahannya adalah Medium.
+ **Sumber data:** peristiwa CloudTrail manajemen atau peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda kapan kredenal instans Amazon EC2 Anda digunakan untuk APIs memanggil dari alamat IP atau titik akhir VPC Amazon, yang dimiliki oleh akun yang AWS berbeda dari akun yang dijalankan instans Amazon EC2 terkait. Deteksi titik akhir VPC hanya tersedia untuk layanan yang mendukung peristiwa aktivitas jaringan untuk titik akhir VPC. Untuk informasi tentang layanan yang mendukung peristiwa aktivitas jaringan untuk titik akhir VPC, lihat [Mencatat log peristiwa aktivitas jaringan](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-network-events-with-cloudtrail.html) di *Panduan Pengguna AWS CloudTrail *.
AWS tidak merekomendasikan untuk mendistribusikan ulang kredensi sementara di luar entitas yang membuatnya (misalnya, aplikasi, AWS Amazon EC2, atau). AWS Lambda Namun, pengguna yang berwenang dapat mengekspor kredensial dari instans Amazon EC2 mereka untuk membuat panggilan API yang sah. Jika `remoteAccountDetails.Affiliated` bidangnya adalah `True` API dipanggil dari akun yang terkait dengan akun administrator yang sama. Untuk mengesampingkan potensi serangan dan memverifikasi legitimasi aktivitas, hubungi Akun AWS pemilik atau kepala IAM kepada siapa kredensi ini diberikan.
**catatan**
Jika GuardDuty mengamati aktivitas lanjutan dari akun jarak jauh, model pembelajaran mesin (ML) akan mengidentifikasi ini sebagai perilaku yang diharapkan. Oleh karena itu, GuardDuty akan berhenti menghasilkan temuan ini untuk aktivitas dari akun jarak jauh itu. GuardDuty akan terus menghasilkan temuan untuk perilaku baru dari akun jarak jauh lainnya dan akan mengevaluasi kembali akun jarak jauh yang dipelajari saat perilaku berubah seiring waktu.
**Rekomendasi remediasi:**
Temuan ini akan dihasilkan saat permintaan AWS API dibuat di dalam AWS melalui instans Amazon EC2 di luar instans Anda Akun AWS, dengan menggunakan kredenal sesi instans Amazon EC2 Anda. Mungkin lazim, seperti untuk arsitektur Transit Gateway dalam konfigurasi [hub dan spoke](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/transit-vpc-solution.html), untuk merutekan lalu lintas melalui AWS VPC jalan keluar hub tunggal dengan titik akhir layanan. Jika perilaku ini diharapkan, maka GuardDuty sarankan Anda untuk menggunakan [Aturan penekanan](findings_suppression-rule.md) dan membuat aturan dengan kriteria dua filter. Kriteria pertama adalah jenis temuan, yang dalam hal ini adalah UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Kriteria filter kedua adalah ID akun jarak jauh pada detail akun jarak jauh.
Untuk menanggapi temuan ini, Anda dapat menggunakan alur kerja berikut untuk menentukan tindakan:
1. Identifikasi akun jarak jauh yang terlibat dari bidang `service.action.awsApiCallAction.remoteAccountDetails.accountId`.
1. Tentukan apakah akun itu berafiliasi dengan GuardDuty lingkungan Anda dari `service.action.awsApiCallAction.remoteAccountDetails.affiliated` lapangan.
1. Jika akun tersebut **berafiliasi**, hubungi pemilik akun jarak jauh serta pemilik kredensial instans Amazon EC2 dan minta mereka menyelidikinya.
Jika akun **tidak** berafiliasi, maka langkah pertama adalah mengevaluasi apakah akun tersebut terkait dengan organisasi Anda tetapi bukan bagian dari pengaturan lingkungan beberapa GuardDuty akun Anda, atau jika GuardDuty belum diaktifkan di akun ini. Selanjutnya, hubungi pemilik kredensial instans Amazon EC2 untuk menentukan apakah terdapat kasus penggunaan akun jarak jauh yang menggunakan kredensial ini.
1. Jika pemilik kredensial tidak mengenali akun jarak jauh tersebut, kredensial mungkin telah disusupi oleh pelaku ancaman yang beroperasi di dalam AWS. Anda harus mengambil langkah-langkah yang direkomendasikan[Memulihkan instans Amazon EC2 yang berpotensi dikompromikan](compromised-ec2.md), untuk mengamankan lingkungan Anda.
Selain itu, Anda dapat [mengirimkan laporan penyalahgunaan](https://support.aws.amazon.com/#/contacts/report-abuse) ke tim AWS Trust and Safety untuk memulai penyelidikan ke akun jarak jauh. Saat mengirimkan laporan Anda ke AWS Trust and Safety, sertakan detail lengkap JSON dari temuan tersebut.
## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
### Kredensial yang dibuat secara eksklusif untuk instans EC2 melalui peran peluncuran instans sedang digunakan dari alamat IP eksternal.
**Tingkat keparahan default: Tinggi**
+ **Sumber data:** peristiwa CloudTrail manajemen atau peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa host di luar AWS telah mencoba menjalankan operasi AWS API menggunakan AWS kredensil sementara yang dibuat pada instans EC2 di lingkungan Anda. AWS Instans EC2 yang terdaftar mungkin dikompromikan, dan kredensional sementara dari instance ini mungkin telah diekstraksi ke host jarak jauh di luar. AWS AWS tidak merekomendasikan untuk mendistribusikan ulang kredensi sementara di luar entitas yang membuatnya (misalnya, AWS aplikasi, EC2, atau Lambda). Namun, pengguna yang berwenang dapat mengekspor kredensial dari instans EC2 mereka untuk membuat panggilan API yang sah. Untuk mencegah potensi serangan dan memverifikasi keabsahan aktivitas tersebut, lakukan validasi bahwa penggunaan kredensial instans dari IP jarak jauh dalam temuan tersebut memang diharapkan.
**catatan**
Jika GuardDuty mengamati aktivitas lanjutan dari host jarak jauh, model pembelajaran mesin (ML) akan mengidentifikasi ini sebagai perilaku yang diharapkan. Oleh karena itu, GuardDuty akan berhenti menghasilkan temuan ini untuk aktivitas dari host jarak jauh itu. GuardDuty akan terus menghasilkan temuan untuk perilaku baru dari host jarak jauh lainnya dan akan mengevaluasi kembali host jarak jauh yang dipelajari saat perilaku berubah seiring waktu.
**Rekomendasi remediasi:**
Temuan ini dibuat saat jaringan dikonfigurasi untuk merutekan lalu lintas internet sedemikian rupa sehingga keluar dari gateway on-premise, bukan dari Gateway Internet VPC (IGW). Konfigurasi umum, seperti penggunaan [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/), atau koneksi VPN VPC, dapat mengakibatkan lalu lintas dirutekan dengan cara ini. Jika ini adalah perilaku yang diharapkan, kami sarankan Anda menggunakan aturan penekanan dan membuat aturan yang terdiri dari dua kriteria filter. Kriteria pertama adalah **tipe temuan**, yaitu `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`. Kriteria filter kedua adalah ** IPv4 Alamat pemanggil API** dengan alamat IP atau rentang CIDR gateway internet lokal Anda. Untuk mempelajari selengkapnya tentang cara membuat aturan penekanan, lihat [Aturan penindasan di GuardDuty](findings_suppression-rule.md).
**catatan**
Jika GuardDuty mengamati aktivitas lanjutan dari sumber eksternal, model pembelajaran mesinnya akan mengidentifikasi ini sebagai perilaku yang diharapkan dan berhenti menghasilkan temuan ini untuk aktivitas dari sumber itu. GuardDuty akan terus menghasilkan temuan untuk perilaku baru dari sumber lain, dan akan mengevaluasi kembali sumber yang dipelajari saat perilaku berubah dari waktu ke waktu.
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/MaliciousIPCaller
### API dipanggil dari alamat IP berbahaya yang diketahui.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa sebuah operasi API (misalnya, percobaan untuk meluncurkan instans EC2, membuat pengguna IAM baru, atau memodifikasi hak akses AWS Anda) diinvokasi dari alamat IP berbahaya yang telah diketahui. Ini dapat menunjukkan akses tidak sah ke AWS sumber daya dalam lingkungan Anda.
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
### API diinvokasi dari alamat IP pada daftar ancaman kustom.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa operasi API (misalnya, upaya untuk meluncurkan instans EC2, membuat pengguna IAM baru, atau memodifikasi AWS hak istimewa) dipanggil dari alamat IP yang disertakan pada daftar ancaman yang Anda unggah. Dalam GuardDuty, daftar ancaman terdiri dari alamat IP berbahaya yang diketahui. Ini dapat menunjukkan akses tidak sah ke AWS sumber daya dalam lingkungan Anda.
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS
### Kredensial yang dibuat secara eksklusif untuk AWS Lambda sumber daya digunakan dari alamat IP di luar. AWS
**Tingkat keparahan default: Tinggi**
+ **Sumber data:** peristiwa CloudTrail manajemen atau peristiwa CloudTrail data untuk S3
Temuan ini memberi tahu Anda bahwa host di luar AWS berusaha menjalankan operasi AWS API menggunakan AWS kredensil sementara yang dibuat pada AWS Lambda sumber daya di lingkungan Anda. AWS Sumber daya Lambda yang terdaftar mungkin dikompromikan, dan kredensil sementara dari Lambda ini mungkin telah diekstraksi ke host jarak jauh di luar. AWS
AWS tidak merekomendasikan untuk mendistribusikan ulang kredensi sementara di luar entitas yang membuatnya (misalnya aplikasi AWS seperti Amazon Elastic Compute Cloud (Amazon EC2), atau). AWS Lambda Namun, pengguna yang berwenang dapat mengekspor kredensial dari sumber daya Lambda mereka untuk membuat panggilan API yang sah. Untuk mencegah potensi serangan dan memverifikasi keabsahan aktivitas tersebut, lakukan validasi bahwa penggunaan kredensial instans dari IP jarak jauh dalam temuan tersebut memang diharapkan.
**catatan**
Jika GuardDuty mengamati aktivitas lanjutan dari host jarak jauh, model pembelajaran mesin (ML) akan mengidentifikasi ini sebagai perilaku yang diharapkan. Oleh karena itu, GuardDuty akan berhenti menghasilkan temuan ini untuk aktivitas dari host jarak jauh itu. GuardDuty akan terus menghasilkan temuan untuk perilaku baru dari host jarak jauh lainnya dan akan mengevaluasi kembali host jarak jauh yang dipelajari saat perilaku berubah seiring waktu.
**Rekomendasi remediasi:**
Temuan ini dihasilkan saat jaringan dikonfigurasi untuk merutekan lalu lintas internet sedemikian rupa sehingga keluar dari gateway on-premise, bukan dari Gateway Internet VPC (IGW). Konfigurasi umum, seperti penggunaan [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) atau koneksi VPN VPC, dapat mengakibatkan lalu lintas dirutekan dengan cara ini. Jika ini adalah perilaku yang diharapkan, maka GuardDuty rekomendasikan penggunaan [Aturan penekanan](findings_suppression-rule.md) untuk membuat aturan dengan kriteria dua filter. Kriteria pertama adalah **tipe temuan**, yaitu `UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS`. Kriteria filter kedua adalah ** IPv4 Alamat pemanggil API dengan alamat** IP atau rentang CIDR untuk gateway internet lokal Anda.
Jika aktivitas ini di luar ekspektasi, kredensial Anda mungkin telah disusupi. Untuk informasi tentang langkah-langkah untuk memulihkan jenis temuan ini, lihat[Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/TorIPCaller
### API diinvokasi dari alamat IP simpul keluar Tor.
**Tingkat keparahan default: **Medium
+ **Sumber data:** acara CloudTrail manajemen
Temuan ini memberi tahu Anda bahwa operasi API (misalnya, percobaan untuk meluncurkan instans EC2, membuat pengguna IAM baru, atau mengubah hak akses AWS ) diinvokasi dari alamat IP simpul keluar Tor. Tor adalah perangkat lunak untuk memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Simpul Tor terakhir disebut sebagai simpul keluar. Temuan ini mungkin mengindikasikan akses yang tidak sah ke sumber daya AWS Anda yang bertujuan untuk menyembunyikan identitas penyerang yang sebenarnya.
**Rekomendasi remediasi:**
Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Lihat informasi yang lebih lengkap di [Memulihkan kredensi yang berpotensi dikompromikan AWS](compromised-creds.md).