GuardDuty Jenis temuan Perlindungan S3 - Amazon GuardDuty
Discovery:S3/AnomalousBehaviorDiscovery:S3/MaliciousIPCallerDiscovery:S3/MaliciousIPCaller.CustomDiscovery:S3/TorIPCallerExfiltration:S3/AnomalousBehaviorExfiltration:S3/MaliciousIPCallerImpact:S3/AnomalousBehavior.DeleteImpact:S3/AnomalousBehavior.PermissionImpact:S3/AnomalousBehavior.WriteImpact:S3/MaliciousIPCallerPenTest:S3/KaliLinuxPenTest:S3/ParrotLinuxPenTest:S3/PentooLinuxPolicy:S3/AccountBlockPublicAccessDisabledPolicy:S3/BucketAnonymousAccessGrantedPolicy:S3/BucketBlockPublicAccessDisabledPolicy:S3/BucketPublicAccessGrantedStealth:S3/ServerAccessLoggingDisabledUnauthorizedAccess:S3/MaliciousIPCaller.CustomUnauthorizedAccess:S3/TorIPCaller

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

GuardDuty Jenis temuan Perlindungan S3

Temuan berikut khusus untuk sumber daya Amazon S3 dan akan memiliki Jenis Sumber Daya S3Bucket jika sumber data adalah peristiwa CloudTrail data untuk S3, atau AccessKey jika sumber data adalah CloudTrail peristiwa manajemen. Tingkat kepelikan dan detail temuan akan berbeda berdasarkan tipe temuan dan izin yang terkait dengan bucket.

Temuan yang tercantum di sini termasuk sumber data dan model yang digunakan untuk menghasilkan tipe temuan. Untuk informasi lebih lanjut sumber dan model data, lihatGuardDuty sumber data dasar.

penting

Temuan dengan sumber data peristiwa CloudTrail data untuk S3 hanya dihasilkan jika Anda telah mengaktifkan Perlindungan S3. Secara default, setelah 31 Juli 2020, Perlindungan S3 diaktifkan saat akun diaktifkan GuardDuty untuk pertama kalinya, atau ketika akun GuardDuty administrator yang didelegasikan diaktifkan GuardDuty di akun anggota yang ada. Namun, ketika anggota baru bergabung dengan GuardDuty organisasi, preferensi pengaktifan otomatis organisasi akan berlaku. Untuk informasi tentang preferensi aktifkan otomatis, lihatMenyetel preferensi aktifkan otomatis organisasi. Untuk informasi tentang cara mengaktifkan Perlindungan S3, lihat GuardDuty Perlindungan S3

Untuk semua S3Bucket jenis temuan, Anda disarankan untuk memeriksa izin pada bucket yang bersangkutan dan izin dari setiap pengguna yang terlibat dalam temuan, jika aktivitas tidak terduga, lihat rekomendasi remediasi yang dirinci di. Memulihkan bucket S3 yang berpotensi dikompromikan

Discovery:S3/AnomalousBehavior

API yang biasa digunakan untuk menemukan objek S3 diinvokasi dengan cara yang beranomali.

Tingkat keparahan default: Rendah

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa entitas IAM telah menginvokasi API S3 untuk menemukan bucket S3 dalam lingkungan Anda, seperti ListObjects. Jenis aktivitas ini dikaitkan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah AWS lingkungan Anda rentan terhadap serangan yang lebih luas. Aktivitas ini mencurigakan karena entitas IAM menginvokasi API dengan cara yang tidak biasa. Misalnya, entitas IAM tanpa riwayat sebelumnya menginvokasi API S3, atau entitas IAM menginvokasi API S3 dari lokasi yang tidak biasa.

API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML ini mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML ini melacak berbagai faktor permintaan API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, API spesifik yang diminta, bucket yang diminta, dan jumlah panggilan API yang dibuat. Untuk informasi lebih lanjut tentang faktor-faktor yang membuat permintaan API menjadi tidak biasa untuk identitas pengguna yang menginvokasi permintaan tersebut, lihat Detail temuan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Discovery:S3/MaliciousIPCaller

API S3 yang biasa digunakan untuk menemukan sumber daya di AWS lingkungan dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Tinggi

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini menginformasikan bahwa operasi API S3 dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. API yang diamati umumnya dikaitkan dengan tahap penemuan serangan ketika musuh mengumpulkan informasi tentang AWS lingkungan Anda. Contohnya termasuk GetObjectAcl dan ListObjects.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Discovery:S3/MaliciousIPCaller.Custom

API S3 diinvokasi dari alamat IP yang termasuk dalam daftar ancaman kustom.

Tingkat keparahan default: Tinggi

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa API S3, seperti GetObjectAcl atau ListObjects, diinvokasi dari alamat IP yang termasuk dalam daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi tambahan dari detail temuan ini. Tipe aktivitas ini terkait dengan tahap penemuan serangan ketika penyerang mengumpulkan informasi untuk menentukan apakah lingkungan AWS Anda rentan terhadap serangan yang lebih luas.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Discovery:S3/TorIPCaller

API S3 diinvokasi dari alamat IP simpul keluar Tor.

Tingkat keparahan default: Medium

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa API S3, seperti GetObjectAcl atau ListObjects, diinvokasi dari alamat IP simpul keluar Tor. Jenis aktivitas ini dikaitkan dengan tahap penemuan serangan di mana penyerang mengumpulkan informasi untuk menentukan apakah AWS lingkungan Anda rentan terhadap serangan yang lebih luas. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Simpul Tor terakhir disebut sebagai simpul keluar. Ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Exfiltration:S3/AnomalousBehavior

Entitas IAM memanggil API S3 dengan cara yang mencurigakan.

Tingkat keparahan default: Tinggi

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa entitas IAM melakukan panggilan API yang melibatkan bucket S3 dan aktivitas ini berbeda dari baseline yang ditetapkan entitas tersebut. Panggilan API yang digunakan dalam aktivitas ini terkait dengan tahap eksfiltrasi serangan saat penyerang mencoba mengumpulkan data. Aktivitas ini mencurigakan karena entitas IAM menginvokasi API dengan cara yang tidak biasa. Misalnya, entitas IAM tanpa riwayat sebelumnya menginvokasi API S3, atau entitas IAM menginvokasi API S3 dari lokasi yang tidak biasa.

API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML ini mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML ini melacak berbagai faktor permintaan API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, API spesifik yang diminta, bucket yang diminta, dan jumlah panggilan API yang dibuat. Untuk informasi lebih lanjut tentang faktor-faktor yang membuat permintaan API menjadi tidak biasa untuk identitas pengguna yang menginvokasi permintaan tersebut, lihat Detail temuan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Exfiltration:S3/MaliciousIPCaller

API S3 yang biasa digunakan untuk mengumpulkan data dari AWS lingkungan dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Tinggi

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini menginformasikan bahwa operasi API S3 dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. API yang diamati umumnya berkaitan dengan taktik eksfiltrasi ketika musuh mencoba mengumpulkan data dari jaringan Anda. Contohnya termasuk GetObject dan CopyObject.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Impact:S3/AnomalousBehavior.Delete

Entitas IAM menginvokasi API S3 yang mencoba menghapus data dengan cara yang mencurigakan.

Tingkat keparahan default: Tinggi

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa entitas IAM di AWS lingkungan Anda melakukan panggilan API yang melibatkan bucket S3, dan perilaku ini berbeda dari baseline yang ditetapkan entitas tersebut. Panggilan API yang digunakan dalam aktivitas ini dikaitkan dengan serangan yang mencoba menghapus data. Aktivitas ini mencurigakan karena entitas IAM menginvokasi API dengan cara yang tidak biasa. Misalnya, entitas IAM tanpa riwayat sebelumnya menginvokasi API S3, atau entitas IAM menginvokasi API S3 dari lokasi yang tidak biasa.

API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML ini mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML ini melacak berbagai faktor permintaan API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, API spesifik yang diminta, bucket yang diminta, dan jumlah panggilan API yang dibuat. Untuk informasi lebih lanjut tentang faktor-faktor yang membuat permintaan API menjadi tidak biasa untuk identitas pengguna yang menginvokasi permintaan tersebut, lihat Detail temuan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Kami merekomendasikan audit konten bucket S3 Anda untuk menentukan apakah versi objek sebelumnya dapat atau harus dipulihkan.

Impact:S3/AnomalousBehavior.Permission

API yang biasa digunakan untuk menetapkan izin daftar kontrol akses (ACL) diinvokasi dengan cara yang beranomali.

Tingkat keparahan default: Tinggi

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa entitas IAM di AWS lingkungan Anda telah memperbarui kebijakan bucket atau ACL pada bucket S3 yang terdaftar. Perubahan ini dapat mengekspos bucket S3 Anda secara publik ke semua pengguna yang diautentikasi. AWS

API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML ini mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML ini melacak berbagai faktor permintaan API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, API spesifik yang diminta, bucket yang diminta, dan jumlah panggilan API yang dibuat. Untuk informasi lebih lanjut tentang faktor-faktor yang membuat permintaan API menjadi tidak biasa untuk identitas pengguna yang menginvokasi permintaan tersebut, lihat Detail temuan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Kami merekomendasikan audit konten bucket S3 Anda untuk memastikan bahwa tidak ada objek yang secara tidak terduga diizinkan untuk diakses secara publik.

Impact:S3/AnomalousBehavior.Write

Entitas IAM menginvokasi API S3 yang mencoba menulis data dengan cara yang mencurigakan.

Tingkat keparahan default: Medium

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa entitas IAM di AWS lingkungan Anda melakukan panggilan API yang melibatkan bucket S3, dan perilaku ini berbeda dari baseline yang ditetapkan entitas tersebut. Panggilan API yang digunakan dalam aktivitas ini dikaitkan dengan serangan yang mencoba menulis data. Aktivitas ini mencurigakan karena entitas IAM menginvokasi API dengan cara yang tidak biasa. Misalnya, entitas IAM tanpa riwayat sebelumnya menginvokasi API S3, atau entitas IAM menginvokasi API S3 dari lokasi yang tidak biasa.

API ini diidentifikasi sebagai anomali oleh GuardDuty model pembelajaran mesin deteksi anomali (ML). Model ML ini mengevaluasi semua permintaan API di akun Anda dan mengidentifikasi peristiwa anomali yang terkait dengan teknik yang digunakan oleh penyerang. Model ML ini melacak berbagai faktor permintaan API, seperti pengguna yang membuat permintaan, lokasi permintaan dibuat, API spesifik yang diminta, bucket yang diminta, dan jumlah panggilan API yang dibuat. Untuk informasi lebih lanjut tentang faktor-faktor yang membuat permintaan API menjadi tidak biasa untuk identitas pengguna yang menginvokasi permintaan tersebut, lihat Detail temuan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Kami merekomendasikan audit konten bucket S3 Anda untuk memastikan bahwa panggilan API ini tidak menulis data berbahaya atau tidak sah.

Impact:S3/MaliciousIPCaller

API S3 yang biasa digunakan untuk mengutak-atik data atau proses di AWS lingkungan dipanggil dari alamat IP berbahaya yang diketahui.

Tingkat keparahan default: Tinggi

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini menginformasikan bahwa operasi API S3 dipanggil dari alamat IP yang terkait dengan aktivitas berbahaya yang diketahui. API yang diamati umumnya dikaitkan dengan taktik dampak di mana musuh mencoba memanipulasi, menyela, atau menghancurkan data dalam lingkungan Anda. AWS Contohnya termasuk PutObject dan PutObjectAcl.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

PenTest:S3/KaliLinux

API S3 diinvokasi dari mesin Kali Linux.

Tingkat keparahan default: Medium

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Kali Linux melakukan panggilan API S3 menggunakan kredensil milik akun Anda. AWS Kredensial Anda mungkin disusupi. Kali Linux adalah alat uji penetrasi populer yang digunakan para profesional keamanan untuk mengidentifikasi kelemahan dalam instans EC2 yang memerlukan patching. Penyerang juga menggunakan alat ini untuk menemukan kelemahan konfigurasi EC2 dan mendapatkan akses tidak sah ke lingkungan Anda. AWS

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

PenTest:S3/ParrotLinux

API S3 diinvokasi dari mesin Parrot Security Linux.

Tingkat keparahan default: Medium

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Parrot Security Linux melakukan panggilan API S3 menggunakan kredensil milik akun Anda. AWS Kredensial Anda mungkin disusupi. Parrot Security Linux adalah alat uji penetrasi populer yang digunakan para profesional keamanan untuk mengidentifikasi kelemahan dalam instans EC2 yang memerlukan patching. Penyerang juga menggunakan alat ini untuk menemukan kelemahan konfigurasi EC2 dan memperoleh akses yang tidak sah ke lingkungan AWS Anda.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

PenTest:S3/PentooLinux

API S3 diinvokasi dari mesin Pentoo Linux.

Tingkat keparahan default: Medium

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa mesin yang menjalankan Pentoo Linux melakukan panggilan API S3 menggunakan kredensil milik akun Anda. AWS Kredensial Anda mungkin disusupi. Pentoo Linux adalah alat uji penetrasi populer yang digunakan para profesional keamanan untuk mengidentifikasi kelemahan dalam instans EC2 yang memerlukan patching. Penyerang juga menggunakan alat ini untuk menemukan kelemahan konfigurasi EC2 dan mendapatkan akses tidak sah ke lingkungan Anda. AWS

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Policy:S3/AccountBlockPublicAccessDisabled

Entitas IAM memanggil API yang digunakan untuk menonaktifkan S3 Block Public Access pada akun.

Tingkat keparahan default: Rendah

  • Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa Blokir Akses Publik Amazon S3 dinonaktifkan pada tingkat akun. Ketika pengaturan Akses Publik Blok S3 diaktifkan, pengaturan tersebut digunakan untuk memfilter kebijakan atau daftar kontrol akses (ACLs) pada bucket sebagai langkah keamanan untuk mencegah paparan data publik yang tidak disengaja.

Biasanya, Blokir Akses Umum S3 dinonaktifkan pada akun untuk memungkinkan akses publik ke bucket atau ke objek dalam bucket. Saat S3 Block Public Access dinonaktifkan untuk sebuah akun, akses ke bucket Anda dikontrol oleh kebijakan ACLs, atau setelan Blokir Akses Publik tingkat ember yang diterapkan ke bucket individual Anda. Hal ini tidak berarti bahwa bucket dibagikan secara publik, tetapi bahwa Anda harus mengaudit izin yang diterapkan ke bucket untuk mengonfirmasi bahwa izin tersebut menyediakan tingkat akses yang sesuai.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Policy:S3/BucketAnonymousAccessGranted

Prinsipal IAM telah memberikan akses ke bucket S3 ke internet dengan mengubah kebijakan bucket atau. ACLs

Tingkat keparahan default: Tinggi

  • Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa bucket S3 yang tercantum telah dibuat agar dapat diakses secara publik di internet karena entitas IAM telah mengubah kebijakan bucket atau ACL pada bucket tersebut.

Setelah kebijakan atau perubahan ACL terdeteksi, GuardDuty gunakan penalaran otomatis yang didukung oleh Zelkova, untuk menentukan apakah bucket dapat diakses publik.

catatan

Jika kebijakan bucket ACLs atau bucket dikonfigurasi untuk secara eksplisit menolak atau menolak semuanya, temuan ini mungkin tidak mencerminkan status bucket saat ini. Temuan ini tidak akan mencerminkan pengaturan Akses Publik Blok S3 yang mungkin telah diaktifkan untuk bucket S3 Anda. Dalam kasus seperti itu, effectivePermission nilai dalam temuan akan ditandai sebagaiUNKNOWN.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Policy:S3/BucketBlockPublicAccessDisabled

Entitas IAM memanggil API yang digunakan untuk menonaktifkan S3 Block Public Access pada bucket.

Tingkat keparahan default: Rendah

  • Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa Blokir Akses Publik dinonaktifkan untuk bucket S3 yan tercantum. Saat diaktifkan, setelan Akses Publik Blok S3 digunakan untuk memfilter kebijakan atau daftar kontrol akses (ACLs) yang diterapkan ke bucket sebagai langkah keamanan untuk mencegah paparan data publik yang tidak disengaja.

Biasanya, Blokir Akses Publik S3 dinonaktifkan pada bucket untuk memungkinkan akses publik ke bucket atau ke objek di dalamnya. Jika S3 Block Public Access dinonaktifkan untuk bucket, akses ke bucket dikontrol oleh kebijakan atau ACLs diterapkan padanya. Ini tidak berarti bahwa bucket dibagikan secara publik, tetapi Anda harus mengaudit kebijakan dan ACLs diterapkan ke bucket untuk mengonfirmasi bahwa izin yang sesuai diterapkan.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Policy:S3/BucketPublicAccessGranted

Prinsipal IAM telah memberikan akses publik ke bucket S3 kepada semua AWS pengguna dengan mengubah kebijakan bucket atau. ACLs

Tingkat keparahan default: Tinggi

  • Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa bucket S3 yang terdaftar telah diekspos secara publik ke semua AWS pengguna yang diautentikasi karena entitas IAM telah mengubah kebijakan bucket atau ACL pada bucket S3 tersebut.

Setelah kebijakan atau perubahan ACL terdeteksi, GuardDuty gunakan penalaran otomatis yang didukung oleh Zelkova, untuk menentukan apakah bucket dapat diakses publik.

catatan

Jika kebijakan bucket ACLs atau bucket dikonfigurasi untuk secara eksplisit menolak atau menolak semuanya, temuan ini mungkin tidak mencerminkan status bucket saat ini. Temuan ini tidak akan mencerminkan pengaturan Akses Publik Blok S3 yang mungkin telah diaktifkan untuk bucket S3 Anda. Dalam kasus seperti itu, effectivePermission nilai dalam temuan akan ditandai sebagaiUNKNOWN.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

Stealth:S3/ServerAccessLoggingDisabled

Pencatatan log akses server S3 dinonaktifkan untuk bucket.

Tingkat keparahan default: Rendah

  • Sumber data: acara CloudTrail manajemen

Temuan ini memberi tahu Anda bahwa pencatatan akses server S3 dinonaktifkan untuk ember di lingkungan Anda AWS . Jika dinonaktifkan, tidak ada log permintaan web yang dibuat untuk setiap upaya mengakses bucket S3 yang diidentifikasi, namun, panggilan API manajemen S3 ke bucket, seperti DeleteBucket, masih dilacak. Jika pencatatan peristiwa data S3 diaktifkan CloudTrail untuk bucket ini, permintaan web untuk objek di dalam bucket akan tetap dilacak. Menonaktifkan pencatatan log adalah teknik yang digunakan oleh pengguna yang tidak sah untuk menghindari deteksi. Untuk mempelajari selengkapnya tentang log S3, lihat Pencatatan Log Akses Server S3 dan Opsi Pencatatan Log S3.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

API S3 diinvokasi dari alamat IP yang termasuk dalam daftar ancaman kustom.

Tingkat keparahan default: Tinggi

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa operasi API S3, seperti PutObject atau PutObjectAcl, diinvokasi dari alamat IP yang termasuk dalam daftar ancaman yang Anda unggah. Daftar ancaman yang terkait dengan temuan ini tercantum di bagian Informasi tambahan dari detail temuan ini.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Untuk informasi selengkapnya, lihat Memulihkan bucket S3 yang berpotensi dikompromikan.

UnauthorizedAccess:S3/TorIPCaller

API S3 diinvokasi dari alamat IP simpul keluar Tor.

Tingkat keparahan default: Tinggi

  • Sumber data: peristiwa CloudTrail data untuk S3

Temuan ini memberi tahu Anda bahwa operasi API S3, seperti PutObject atau PutObjectAcl, diinvokasi dari alamat IP simpul keluar Tor. Tor adalah perangkat lunak yang memungkinkan komunikasi anonim. Hal ini mengenkripsi dan secara acak mengalihkan komunikasi melalui relai antara serangkaian simpul jaringan. Simpul Tor terakhir disebut sebagai simpul keluar. Temuan ini dapat menunjukkan akses tidak sah ke AWS sumber daya Anda dengan maksud menyembunyikan identitas asli penyerang.

Rekomendasi remediasi:

Jika aktivitas ini tidak terduga untuk principal terkait, hal tersebut mungkin mengindikasikan kredensialnya telah terekspos atau izin S3 Anda tidak cukup ketat. Lihat informasi yang lebih lengkap di Memulihkan bucket S3 yang berpotensi dikompromikan.