Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tipe temuan yang sudah dihentikan

Temuan adalah pemberitahuan yang berisi rincian tentang potensi masalah keamanan yang GuardDuty ditemukan. Untuk informasi tentang perubahan penting pada jenis GuardDuty temuan, termasuk jenis temuan yang baru ditambahkan atau yang sudah pensiun, lihatRiwayat dokumen untuk Amazon GuardDuty.

Jenis temuan berikut sudah pensiun dan tidak lagi dihasilkan oleh GuardDuty.

Exfiltration:S3/ObjectRead.Unusual

Entitas IAM memanggil API S3 dengan cara yang mencurigakan.

Tingkat keparahan default: Sedang*

Temuan ini memberi tahu Anda bahwa entitas IAM di AWS lingkungan Anda melakukan panggilan API yang melibatkan bucket S3 dan yang berbeda dari baseline yang ditetapkan entitas tersebut. Panggilan API yang digunakan dalam aktivitas ini dikaitkan dengan tahap eksfiltrasi serangan, ketika penyerang sedang mencoba mengumpulkan data. Aktivitas ini mencurigakan karena cara entitas IAM memanggil API tidak biasa. Misalnya, entitas IAM ini sebelumnya tidak memiliki riwayat invokasi tipe API ini, atau API diinvokasi dari lokasi yang tidak biasa.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Impact:S3/PermissionsModification.Unusual

Entitas IAM menginvokasi API untuk mengubah izin pada satu sumber daya S3 atau lebih.

Tingkat keparahan default: Sedang*

Temuan ini memberi tahu Anda bahwa entitas IAM membuat panggilan API yang dirancang untuk mengubah izin pada satu atau lebih bucket atau objek di lingkungan AWS Anda. Tindakan ini dapat dilakukan oleh penyerang untuk memungkinkan informasi dibagikan di luar akun. Aktivitas ini mencurigakan karena cara entitas IAM memanggil API tidak biasa. Misalnya, entitas IAM ini sebelumnya tidak memiliki riwayat invokasi tipe API ini, atau API diinvokasi dari lokasi yang tidak biasa.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Impact:S3/ObjectDelete.Unusual

Entitas IAM menginvokasi API yang digunakan untuk menghapus data dalam bucket S.

Tingkat keparahan default: Sedang*

Temuan ini memberi tahu Anda bahwa entitas IAM tertentu di AWS lingkungan Anda membuat panggilan API yang dirancang untuk menghapus data di bucket S3 yang terdaftar dengan menghapus bucket itu sendiri. Aktivitas ini mencurigakan karena cara entitas IAM menginvokasi API tidak biasa. Misalnya, entitas IAM ini sebelumnya tidak memiliki riwayat invokasi tipe API ini, atau API diinvokasi dari lokasi yang tidak biasa.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Discovery:S3/BucketEnumeration.Unusual

Entitas IAM menginvokasi API S3 yang digunakan untuk menemukan bucket S3 dalam jaringan Anda.

Tingkat keparahan default: Sedang*

Temuan ini memberi tahu Anda bahwa entitas IAM telah menginvokasi API S3 untuk menemukan bucket S3 dalam lingkungan Anda, seperti ListBuckets. Jenis aktivitas ini dikaitkan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah AWS lingkungan Anda rentan terhadap serangan yang lebih luas. Aktivitas ini mencurigakan karena cara entitas IAM menginvokasi API tidak biasa. Misalnya, entitas IAM ini sebelumnya tidak memiliki riwayat invokasi tipe API ini, atau API diinvokasi dari lokasi yang tidak biasa.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Persistence:IAMUser/NetworkPermissions

Entitas IAM memanggil API yang biasa digunakan untuk mengubah izin akses jaringan untuk grup keamanan, rute, dan ACLs di akun Anda. AWS

Tingkat keparahan default: Sedang*

Temuan ini menunjukkan bahwa prinsipal tertentu (Pengguna root akun AWS, peran IAM, atau pengguna) di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari baseline yang ditetapkan. Principal ini sebelumnya tidak memiliki riwayat invokasi API ini.

Temuan ini dipicu ketika pengaturan konfigurasi jaringan berubah dalam keadaan yang mencurigakan, seperti ketika prinsipal memanggil API CreateSecurityGroup tanpa riwayat sebelumnya. Penyerang sering mencoba untuk mengubah grup keamanan untuk memungkinkan lalu lintas masuk tertentu pada berbagai port untuk meningkatkan kemampuannya untuk mengakses instans EC2.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Persistence:IAMUser/ResourcePermissions

Seorang prinsipal memanggil API yang biasa digunakan untuk mengubah kebijakan akses keamanan berbagai sumber daya di Anda Akun AWS.

Tingkat keparahan default: Sedang*

Temuan ini menunjukkan bahwa prinsipal tertentu (Pengguna root akun AWS, peran IAM, atau pengguna) di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari baseline yang ditetapkan. Principal ini sebelumnya tidak memiliki riwayat invokasi API ini.

Temuan ini dipicu ketika perubahan terdeteksi pada kebijakan atau izin yang dilampirkan ke AWS sumber daya, seperti ketika prinsipal di AWS lingkungan Anda memanggil PutBucketPolicy API tanpa riwayat sebelumnya untuk melakukannya. Beberapa layanan, seperti Amazon S3, mendukung izin yang melekat pada sumber daya yang memberikan satu akses utama atau lebih ke sumber daya. Dengan kredensial curian, penyerang dapat mengubah kebijakan yang melekat pada sumber daya untuk memperoleh akses ke sumber daya tersebut.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Persistence:IAMUser/UserPermissions

Prinsipal memanggil API yang biasa digunakan untuk menambah, memodifikasi, atau menghapus pengguna, grup, atau kebijakan IAM di akun Anda AWS .

Tingkat keparahan default: Sedang*

Temuan ini menunjukkan bahwa prinsipal tertentu (Pengguna root akun AWS, peran IAM, atau pengguna) di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari baseline yang ditetapkan. Principal ini sebelumnya tidak memiliki riwayat invokasi API ini.

Temuan ini dipicu oleh perubahan mencurigakan pada izin terkait pengguna di AWS lingkungan Anda, seperti saat prinsipal di AWS lingkungan Anda memanggil AttachUserPolicy API tanpa riwayat sebelumnya untuk melakukannya. Penyerang dapat menggunakan kredensial curian untuk membuat pengguna baru, menambahkan kebijakan akses ke pengguna yang ada, atau membuat kunci akses untuk memaksimalkan akses mereka ke akun, bahkan jika titik akses asli mereka ditutup. Misalnya, pemilik akun mungkin memperhatikan bahwa pengguna atau kata sandi IAM tertentu telah dicuri dan menghapusnya dari akun. Namun, mereka mungkin tidak menghapus pengguna lain yang dibuat oleh kepala admin yang dibuat secara curang, sehingga AWS akun mereka dapat diakses oleh penyerang.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

PrivilegeEscalation:IAMUser/AdministrativePermissions

Principal telah mencoba menetapkan kebijakan yang sangat permisif untuk diri mereka sendiri.

Tingkat keparahan default: Rendah*

Temuan ini menunjukkan bahwa entitas IAM tertentu di AWS lingkungan Anda menunjukkan perilaku yang dapat menjadi indikasi serangan eskalasi hak istimewa. Temuan ini dipicu ketika pengguna atau IAM role mencoba untuk menetapkan kebijakan yang sangat permisif untuk diri mereka sendiri. Jika pengguna atau peran yang dimaksud tidak dimaksudkan untuk memiliki hak administratif, kredensial pengguna dapat disusupi atau izin peran mungkin tidak dikonfigurasi dengan benar.

Penyerang akan menggunakan kredensial curian untuk membuat pengguna baru, menambahkan kebijakan akses ke pengguna yang ada, atau membuat kunci akses untuk memaksimalkan akses mereka ke akun bahkan jika titik akses asli mereka ditutup. Misalnya, pemilik akun mungkin memperhatikan bahwa kredensi masuk pengguna IAM tertentu dicuri dan dihapus dari akun, tetapi mungkin tidak menghapus pengguna lain yang dibuat oleh kepala admin yang dibuat secara curang, sehingga AWS akun mereka masih dapat diakses oleh penyerang.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Recon:IAMUser/NetworkPermissions

Prinsipal memanggil API yang biasa digunakan untuk mengubah izin akses jaringan untuk grup keamanan, rute, dan ACLs di akun Anda AWS .

Tingkat keparahan default: Sedang*

Temuan ini menunjukkan bahwa prinsipal tertentu (Pengguna root akun AWS, peran IAM, atau pengguna) di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari baseline yang ditetapkan. Principal ini sebelumnya tidak memiliki riwayat invokasi API ini.

Temuan ini dipicu ketika izin akses sumber daya di akun AWS Anda diperiksa dalam keadaan yang mencurigakan. Misalnya, jika prinsipal memanggil API DescribeInstances tanpa riwayat sebelumnya. Seorang penyerang mungkin menggunakan kredensil curian untuk melakukan jenis pengintaian AWS sumber daya Anda untuk menemukan kredensil yang lebih berharga atau menentukan kemampuan kredensil yang sudah mereka miliki.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Recon:IAMUser/ResourcePermissions

Seorang prinsipal memanggil API yang biasa digunakan untuk mengubah kebijakan akses keamanan berbagai sumber daya di AWS akun Anda.

Tingkat keparahan default: Sedang*

Temuan ini menunjukkan bahwa prinsipal tertentu (Pengguna root akun AWS, peran IAM, atau pengguna) di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari baseline yang ditetapkan. Principal ini sebelumnya tidak memiliki riwayat invokasi API ini.

Temuan ini dipicu ketika izin akses sumber daya di akun AWS Anda diperiksa dalam keadaan yang mencurigakan. Misalnya, jika prinsipal memanggil API DescribeInstances tanpa riwayat sebelumnya. Seorang penyerang mungkin menggunakan kredensil curian untuk melakukan jenis pengintaian AWS sumber daya Anda untuk menemukan kredensil yang lebih berharga atau menentukan kemampuan kredensil yang sudah mereka miliki.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Recon:IAMUser/UserPermissions

Prinsipal memanggil API yang biasa digunakan untuk menambah, memodifikasi, atau menghapus pengguna, grup, atau kebijakan IAM di akun Anda AWS .

Tingkat keparahan default: Sedang*

Temuan ini dipicu ketika izin pengguna di AWS lingkungan Anda diselidiki dalam keadaan yang mencurigakan. Misalnya, jika prinsipal (Pengguna root akun AWS, peran IAM, atau pengguna IAM) memanggil ListInstanceProfilesForRole API tanpa riwayat sebelumnya untuk melakukannya. Seorang penyerang mungkin menggunakan kredensil curian untuk melakukan jenis pengintaian AWS sumber daya Anda untuk menemukan kredensil yang lebih berharga atau menentukan kemampuan kredensil yang sudah mereka miliki.

Temuan ini menunjukkan bahwa prinsip tertentu di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Principal ini sebelumnya tidak memiliki riwayat invokasi API ini dengan cara ini.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

ResourceConsumption:IAMUser/ComputeResources

Principal menginvokasi API yang biasa digunakan untuk meluncurkan sumber daya komputasi seperti instans EC2.

Tingkat keparahan default: Sedang*

Temuan ini dipicu ketika instans EC2 di akun yang tercantum dalam lingkungan AWS Anda diluncurkan dalam keadaan yang mencurigakan. Temuan ini menunjukkan bahwa prinsip tertentu di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari baseline yang ditetapkan; misalnya, jika prinsipal (, peran IAM Pengguna root akun AWS, atau pengguna IAM) memanggil RunInstances API tanpa riwayat sebelumnya untuk melakukannya. Hal ini mungkin merupakan indikasi penyerang menggunakan kredensial curian untuk mencuri waktu komputasi (mungkin untuk penambangan mata uang kripto atau peretasan kata sandi). Ini juga bisa menjadi indikasi penyerang menggunakan instans EC2 di AWS lingkungan Anda dan kredensialnya untuk mempertahankan akses ke akun Anda.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

Stealth:IAMUser/LoggingConfigurationModified

Prinsipal memanggil API yang biasa digunakan untuk menghentikan CloudTrail Logging, menghapus log yang ada, dan menghilangkan jejak aktivitas di AWS akun Anda.

Tingkat keparahan default: Sedang*

Temuan ini dipicu ketika konfigurasi pencatatan log di akun AWS yang tercantum dalam lingkungan Anda diubah dalam keadaan yang mencurigakan. Temuan ini memberi tahu Anda bahwa prinsip tertentu di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan; misalnya, jika prinsipal (, peran IAM Pengguna root akun AWS, atau pengguna IAM) memanggil API tanpa riwayat sebelumnya untuk melakukannya. StopLogging Hal ini bisa menjadi indikasi penyerang yang mencoba menutupi jejak mereka dengan menghilangkan jejak aktivitas mereka.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

UnauthorizedAccess:IAMUser/ConsoleLogin

Login konsol yang tidak biasa oleh kepala sekolah di AWS akun Anda diamati.

Tingkat keparahan default: Sedang*

Temuan ini dipicu ketika login konsol terdeteksi dalam keadaan yang mencurigakan. Misalnya, jika prinsipal tanpa riwayat sebelumnya melakukannya, memanggil ConsoleLogin API dari never-before-used klien atau lokasi yang tidak biasa. Ini bisa menjadi indikasi kredensial curian yang digunakan untuk mendapatkan akses ke AWS akun Anda, atau pengguna yang valid mengakses akun dengan cara yang tidak valid atau kurang aman (misalnya, tidak melalui VPN yang disetujui).

Temuan ini memberi tahu Anda bahwa prinsip tertentu di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari garis dasar yang ditetapkan. Principal ini tidak memiliki riwayat aktivitas login sebelumnya menggunakan aplikasi klien ini dari lokasi spesifik ini.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

UnauthorizedAccess:EC2/TorIPCaller

Instans EC2 Anda menerima koneksi masuk dari simpul keluar Tor.

Tingkat keparahan default: Medium

Temuan ini memberi tahu Anda bahwa instans EC2 di AWS lingkungan Anda menerima koneksi masuk dari node keluar Tor. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Simpul Tor terakhir disebut sebagai simpul keluar. Temuan ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan instans Amazon EC2 yang berpotensi dikompromikan.

Backdoor:EC2/XORDDOS

Instans EC2 mencoba berkomunikasi dengan alamat IP yang terkait dengan malware XOR DDo S.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa instans EC2 di AWS lingkungan Anda mencoba berkomunikasi dengan alamat IP yang terkait dengan malware XOR DDoS. Instans EC2 ini mungkin disusupi. XOR DDo S adalah malware Trojan yang membajak sistem Linux. Untuk mendapatkan akses ke sistem, malware ini meluncurkan serangan brute force untuk memperoleh kata sandi ke layanan Secure Shell (SSH) di Linux. Setelah kredensi SSH diperoleh dan login berhasil, ia menggunakan hak pengguna root untuk menjalankan skrip yang mengunduh dan menginstal XOR S. DDo Malware ini kemudian digunakan sebagai bagian dari botnet untuk meluncurkan serangan penolakan layanan terdistribusi (DDoS) terhadap target lain.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan instans Amazon EC2 yang berpotensi dikompromikan.

Behavior:IAMUser/InstanceLaunchUnusual

Pengguna meluncurkan jenis instans EC2 yang tidak biasa.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa pengguna tertentu di AWS lingkungan Anda menunjukkan perilaku yang berbeda dari baseline yang ditetapkan. Pengguna ini tidak memiliki riwayat meluncurkan instans EC2 jenis ini sebelumnya. Kredensial masuk Anda mungkin disusupi.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

CryptoCurrency:EC2/BitcoinTool.A

Instans EC2 berkomunikasi dengan kolam penambangan Bitcoin.

Tingkat keparahan default: Tinggi

Temuan ini memberi tahu Anda bahwa instans EC2 di AWS lingkungan Anda berkomunikasi dengan kumpulan penambangan Bitcoin. Di bidang penambangan mata uang kripto, kolam penambangan adalah kumpulan sumber daya dari para penambang yang berbagi daya pemrosesan mereka melalui jaringan untuk membagi hadiahnya sesuai dengan jumlah pekerjaan yang mereka kontribusikan dalam memecahkan sebuah blok. Kecuali jika Anda menggunakan instans EC2 ini untuk penambangan Bitcoin, instans EC2 Anda mungkin disusupi.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, instans Anda dapat dikompromikan. Untuk informasi selengkapnya, lihat Memulihkan instans Amazon EC2 yang berpotensi dikompromikan.

UnauthorizedAccess:IAMUser/UnusualASNCaller

API dipanggil dari alamat IP dari jaringan yang tidak biasa.

Tingkat keparahan default: Tinggi

Temuan ini menginformasikan bahwa aktivitas tertentu dipanggil dari alamat IP dari jaringan yang tidak biasa. Jaringan ini tidak pernah diamati di seluruh riwayat penggunaan AWS dari pengguna yang dimaksud. Kegiatan ini dapat mencakup login konsol, upaya untuk meluncurkan instans EC2, membuat pengguna IAM baru, mengubah hak istimewa AWS Anda, dll. Ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga, kredensial Anda mungkin disusupi. Lihat informasi yang lebih lengkap di Memulihkan kredensi yang berpotensi dikompromikan AWS.