Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# GuardDuty tipi di ricerca
Un risultato è una notifica che viene GuardDuty generata quando rileva un'indicazione di un'attività sospetta o dannosa all'interno dell'utente. Account AWS GuardDuty genera un risultato in un account che è stato abilitato. GuardDuty
Per informazioni sulle modifiche importanti ai tipi di GuardDuty risultati, inclusi i tipi di risultati appena aggiunti o ritirati, vedere[Cronologia dei documenti per Amazon GuardDuty](doc-history.md).
Per informazioni sui tipi di esiti che sono stati ritirati, consulta [Tipi di esiti ritirati](guardduty_finding-types-retired.md).
# GuardDuty Tipi di ricerca EC2
Gli esiti seguenti sono specifici per le risorse Amazon EC2 e hanno sempre un Tipo risorsa di `Instance`. La gravità e i dettagli degli esiti variano in base al ruolo risorsa, che indica se la risorsa EC2 è stata la destinazione di attività sospette o l'attore che le ha eseguite.
Gli esiti qui elencati includono le origini dati e i modelli utilizzati per generare quel tipo di esito. Per ulteriori informazioni sulle origini dati e sui modelli, consulta [GuardDuty fonti di dati fondamentali](guardduty_data-sources.md).
**Note**
I dettagli dell'istanza di ricerca EC2 potrebbero mancare se l'istanza era già stata terminata o se la chiamata API sottostante proveniva da un'istanza EC2 in un'altra regione.
I risultati di EC2 che utilizzano i log di flusso VPC come fonte di dati non supportano il traffico. IPv6
Per tutti gli esiti EC2, ti consigliamo di esaminare la risorsa in questione per determinare se si comporta nel modo previsto. Se l'attività è autorizzata, puoi utilizzare le regole di eliminazione o gli elenchi di indirizzi IP affidabili per prevenire notifiche false positive per quella risorsa. Se l'attività non è prevista, la best practice di sicurezza consiste nel presupporre che l'istanza sia stata compromessa e intraprendere le azioni dettagliate in [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
**Topics**
+ [Backdoor:EC2/C&CActivity.B](#backdoor-ec2-ccactivityb)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Tcp](#backdoor-ec2-denialofservicetcp)
+ [Backdoor:EC2/DenialOfService.Udp](#backdoor-ec2-denialofserviceudp)
+ [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](#backdoor-ec2-denialofserviceudpontcpports)
+ [Backdoor:EC2/DenialOfService.UnusualProtocol](#backdoor-ec2-denialofserviceunusualprotocol)
+ [Backdoor:EC2/Spambot](#backdoor-ec2-spambot)
+ [Behavior:EC2/NetworkPortUnusual](#behavior-ec2-networkportunusual)
+ [Behavior:EC2/TrafficVolumeUnusual](#behavior-ec2-trafficvolumeunusual)
+ [CryptoCurrency:EC2/BitcoinTool.B](#cryptocurrency-ec2-bitcointoolb)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](#cryptocurrency-ec2-bitcointoolbdns)
+ [DefenseEvasion:EC2/UnusualDNSResolver](#defenseevasion-ec2-unusualdnsresolver)
+ [DefenseEvasion:EC2/UnusualDoHActivity](#defenseevasion-ec2-unsualdohactivity)
+ [DefenseEvasion:EC2/UnusualDoTActivity](#defenseevasion-ec2-unusualdotactivity)
+ [Impact:EC2/AbusedDomainRequest.Reputation](#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Custom](#impact-ec2-maliciousdomainrequest-custom)
+ [Impact:EC2/PortSweep](#impact-ec2-portsweep)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](#impact-ec2-suspiciousdomainrequestreputation)
+ [Impact:EC2/WinRMBruteForce](#impact-ec2-winrmbruteforce)
+ [Recon:EC2/PortProbeEMRUnprotectedPort](#recon-ec2-portprobeemrunprotectedport)
+ [Recon:EC2/PortProbeUnprotectedPort](#recon-ec2-portprobeunprotectedport)
+ [Recon:EC2/Portscan](#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic](#trojan-ec2-blackholetraffic)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.B](#trojan-ec2-dgadomainrequestb)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint](#trojan-ec2-droppoint)
+ [Trojan:EC2/DropPoint\$1DNS](#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](#unauthorizedaccess-ec2-maliciousipcallercustom)
+ [UnauthorizedAccess:EC2/MetadataDNSRebind](#unauthorizedaccess-ec2-metadatadnsrebind)
+ [UnauthorizedAccess:EC2/RDPBruteForce](#unauthorizedaccess-ec2-rdpbruteforce)
+ [UnauthorizedAccess:EC2/SSHBruteForce](#unauthorizedaccess-ec2-sshbruteforce)
+ [UnauthorizedAccess:EC2/TorClient](#unauthorizedaccess-ec2-torclient)
+ [UnauthorizedAccess:EC2/TorRelay](#unauthorizedaccess-ec2-torrelay)
## Backdoor:EC2/C&CActivity.B
### Un'istanza EC2 esegue una query su un IP associato a un server di comando e controllo noto.
**Gravità predefinita: alta**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza elencata all'interno del tuo ambiente AWS esegue una query su un IP associato a un server di comando e controllo (C&C) noto. L'istanza elencata potrebbe essere compromessa. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.
Una botnet è una raccolta di dispositivi connessi a Internet che può includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco Denial of Service (S) distribuito. DDo
**Nota**
Se l'IP su cui viene eseguita una query è correlato a log4j, determinati campi dell'esito associato includeranno i valori seguenti:
Servizio. Informazioni aggiuntive. threatListName = Amazon
service.additionalInfo.threatName = Log4j Related
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Backdoor:EC2/C&CActivity.B\$1DNS
### Un'istanza EC2 esegue una query su un nome di dominio associato a un server di comando e controllo noto.
**Gravità predefinita: alta**
+ **Origine dati: **log DNS
Questo esito segnala che l'istanza elencata all'interno del tuo ambiente AWS esegue una query su un nome di dominio associato a un server di comando e controllo (C&C) noto. L’istanza elencata potrebbe essere compromessa. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.
Una botnet è un insieme di dispositivi connessi a Internet che può includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco Denial of Service (S) distribuito. DDo
**Nota**
Se il nome di dominio su cui è stata eseguita la query è relativo a log4j, i campi dell’esito associato includeranno i valori seguenti:
Servizio. Informazioni aggiuntive. threatListName = Amazon
service.additionalInfo.threatName = Log4j Related
**Nota**
Per verificare come GuardDuty genera questo tipo di risultato, puoi effettuare una richiesta DNS dalla tua istanza (utilizzando `dig` per Linux o `nslookup` per Windows) su un dominio `guarddutyc2activityb.com` di test.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Backdoor:EC2/DenialOfService.Dns
### Un’istanza EC2 si sta comportando in un modo che potrebbe indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo DNS.
**Gravità predefinita: alta**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata all'interno del tuo ambiente AWS genera un grande volume di traffico DNS in uscita. Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo DNS.
**Nota**
Questo esito rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Backdoor:EC2/DenialOfService.Tcp
### Un’istanza EC2 si sta comportando in un modo che potrebbe indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo TCP.
**Gravità predefinita: alta**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata all'interno del tuo ambiente AWS genera un grande volume di traffico TCP in uscita. Ciò può indicare che l'istanza è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo TCP.
**Nota**
Questo esito rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Backdoor:EC2/DenialOfService.Udp
### Un’istanza EC2 si sta comportando in un modo che potrebbe indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo UDP.
**Gravità predefinita: alta**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata all'interno del tuo ambiente AWS genera un grande volume di traffico UDP in uscita. Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo UDP.
**Nota**
Questo esito rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Backdoor:EC2/DenialOfService.UdpOnTcpPorts
### Un’istanza EC2 si sta comportando in un modo che potrebbe indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando il protocollo UDP sulla porta TCP.
**Gravità predefinita: alta**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata all'interno del tuo ambiente AWS genera un grande volume di traffico UDP in uscita indirizzato a una porta utilizzata di solito per le comunicazioni TCP. Ciò può indicare che l'istanza elencata è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando il protocollo UDP su una porta TCP.
**Nota**
Questo esito rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Backdoor:EC2/DenialOfService.UnusualProtocol
### Un’istanza EC2 si sta comportando in un modo che potrebbe indicare che viene utilizzata per eseguire un attacco Denial of Service (DoS) utilizzando un protocollo insolito.
**Gravità predefinita: alta**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS genera un grande volume di traffico in uscita da un tipo di protocollo insolito che normalmente non è utilizzato dalle istanze EC2, ad esempio, l'Internet Group Management Protocol. Ciò può indicare che l'istanza è compromessa e viene utilizzata per eseguire attacchi denial-of-service (DoS) utilizzando un protocollo insolito. Questo esito rileva attacchi DoS solo contro indirizzi IP instradabili pubblicamente, che sono gli obiettivi principali degli attacchi DoS.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Backdoor:EC2/Spambot
### Un'istanza EC2 presenta un comportamento insolito in quanto comunica con un host remoto sulla porta 25.
**Gravità predefinita: media**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS comunica con un host remoto sulla porta 25. Questo comportamento è inusuale in quanto l’istanza EC2 non ha mai comunicato sulla porta 25 in precedenza. La porta 25 è tradizionalmente utilizzata dai server di posta per le comunicazioni SMTP. Questo esito indica che l’istanza EC2 potrebbe essere compromessa per l’uso nell’invio di spam.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Behavior:EC2/NetworkPortUnusual
### Un’istanza EC2 sta comunicando con un host remoto su una porta server inusuale.
**Gravità predefinita: media**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS si comporta in un modo che differisce dalla linea di base stabilita. Questa istanza EC2 non ha mai comunicato su questa porta remota in precedenza.
**Nota**
Se l'istanza EC2 ha comunicato sulla porta 389 o sulla porta 1389, la gravità dell'esito associata verrà modificata in "alta" e i campi dell'esito includeranno il valore seguente:
service.additionalInfo.context = Possible log4j callback
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Behavior:EC2/TrafficVolumeUnusual
### Un’istanza EC2 sta generando un volume di traffico di rete insolitamente elevato verso un host remoto.
**Gravità predefinita: media**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS si comporta in un modo che differisce dalla linea di base stabilita. L’istanza EC2 non ha mai inviato una tale quantità di traffico a questo host remoto in precedenza.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## CryptoCurrency:EC2/BitcoinTool.B
### Un’istanza EC2 sta eseguendo una query su un indirizzo IP associato a un’attività correlata a una criptovaluta.
**Gravità predefinita: alta**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS esegue una query su un indirizzo IP associato a un'attività correlata a Bitcoin o a un'altra criptovaluta. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.
**Raccomandazioni per la correzione:**
Se utilizzi questa istanza EC2 per estrarre o gestire criptovaluta o se questa istanza è altrimenti coinvolta nell'attività di blockchain, questo esito potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l’attributo **Tipo di esito** con un valore di `CryptoCurrency:EC2/BitcoinTool.B`. Il secondo criterio di filtro dovrebbe essere l'**ID istanza** dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## CryptoCurrency:EC2/BitcoinTool.B\$1DNS
### Un’istanza EC2 sta eseguendo una query su un nome di dominio associato a un’attività correlata a una criptovaluta.
**Gravità predefinita: alta**
+ **Origine dati: **log DNS
Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS esegue una query su un nome di dominio associato a un'attività correlata a Bitcoin o a un'altra criptovaluta. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.
**Raccomandazioni per la correzione:**
Se utilizzi questa istanza EC2 per estrarre o gestire criptovaluta o se questa istanza è altrimenti coinvolta nell'attività di blockchain, questo esito potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l’attributo **Tipo di esito** con un valore di `CryptoCurrency:EC2/BitcoinTool.B!DNS`. Il secondo criterio di filtro dovrebbe essere l'**ID istanza** dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## DefenseEvasion:EC2/UnusualDNSResolver
### Un'istanza Amazon EC2 comunica con un resolver DNS pubblico insolito.
**Gravità predefinita: media**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza Amazon EC2 elencata nel tuo ambiente AWS si comporta in un modo che differisce dal comportamento di base. L’istanza EC2 in questione non ha alcuna storia recente di comunicazioni con questo resolver DNS pubblico. Il campo **Unusual** nel pannello dei dettagli di ricerca della GuardDuty console può fornire informazioni sul resolver DNS richiesto.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## DefenseEvasion:EC2/UnusualDoHActivity
### Un'istanza Amazon EC2 esegue una comunicazione DNS su HTTPS (DoH) insolita.
**Gravità predefinita: media**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza Amazon EC2 elencata all'interno del tuo ambiente AWS si comporta in un modo che differisce dalla linea di base stabilita. L’istanza EC2 in questione non ha alcuna storia recente di comunicazioni DNS su HTTPS (DoH) con questo server DoH pubblico. Il campo **Insolito** nei dettagli degli esiti può fornire informazioni sul server DoH su cui è stata effettuata la query.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## DefenseEvasion:EC2/UnusualDoTActivity
### Un'istanza Amazon EC2 esegue una comunicazione DNS su TLS (DoT) insolita.
**Gravità predefinita: media**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS si comporta in un modo che differisce dalla linea di base stabilita. L’istanza EC2 in questione non ha alcuna storia recente di comunicazioni DNS su TLS (DoT) con questo server DoT pubblico. Il campo **Insolito** nel pannello dei dettagli dell’esito può fornire informazioni sul server DoT su cui è stata effettuata la query.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Impact:EC2/AbusedDomainRequest.Reputation
### Un'istanza EC2 esegue una query su un nome di dominio a bassa reputazione associato a domini noti in abuso.
**Gravità predefinita: media**
+ **Origine dati: **log DNS
Questo esito segnala che l'istanza Amazon EC2 elencata all'interno del tuo ambiente AWS esegue una query su un nome di dominio a bassa reputazione associato a domini o indirizzi IP noti in abuso. Esempi di domini in abuso sono i nomi di dominio di primo livello (TLD) e i nomi di dominio di secondo livello (2LD) che offrono registrazioni gratuite di sottodomini e provider DNS dinamici. Gli autori delle minacce tendono a utilizzare questi servizi per registrare domini gratuitamente o a basso costo. I domini a bassa reputazione di questa categoria possono anche essere domini scaduti che vengono sostituiti con l’indirizzo IP di parcheggio di un registrar e quindi potrebbero non essere più attivi. Un IP di parcheggio è il luogo in cui un registrar indirizza il traffico verso domini che non sono stati collegati ad alcun servizio. L'istanza Amazon EC2 elencata potrebbe essere compromessa poiché gli autori delle minacce utilizzano comunemente questi registrar o servizi per la distribuzione di malware e C&C.
I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Impact:EC2/BitcoinDomainRequest.Reputation
### Un'istanza EC2 esegue una query su un nome di dominio a bassa reputazione associato a un'attività correlata a una criptovaluta.
**Gravità predefinita: alta**
+ **Origine dati: **log DNS
Questo esito segnala che l'istanza Amazon EC2 elencata all'interno del tuo ambiente AWS esegue una query su un nome di dominio a bassa reputazione associato a un'attività correlata a Bitcoin o a un'altra criptovaluta. Il Bitcoin è una criptovaluta e un sistema di pagamento digitale utilizzato in tutto il mondo che può essere scambiato con altre valute, prodotti e servizi. Il Bitcoin è una ricompensa per il mining di Bitcoin ed è molto ricercato dagli autori delle minacce.
I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.
**Raccomandazioni per la correzione:**
Se utilizzi questa istanza EC2 per estrarre o gestire criptovaluta o se questa istanza è altrimenti coinvolta nell’attività di blockchain, questo esito potrebbe rappresentare un’attività prevista per il tuo ambiente. Se questo è il caso del tuo ambiente AWS , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l’attributo **Tipo di esito** con un valore di `Impact:EC2/BitcoinDomainRequest.Reputation`. Il secondo criterio di filtro dovrebbe essere l'**ID istanza** dell'istanza coinvolta nell'attività di blockchain. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Impact:EC2/MaliciousDomainRequest.Reputation
### Un'istanza EC2 esegue una query su un dominio a bassa reputazione associato a domini dannosi noti.
**Gravità predefinita: alta**
+ **Origine dati: **log DNS
Questo esito segnala che l'istanza Amazon EC2 elencata all'interno del tuo ambiente AWS esegue una query su un nome di dominio a bassa reputazione associato a domini o indirizzi IP dannosi noti. Ad esempio, i domini possono essere associati a un indirizzo IP sinkhole noto. I domini sinkhole sono domini che sono stati precedentemente controllati da un autore di minacce e se vengono inoltrate richieste a questi domini può significare che l’istanza è compromessa. Questi domini possono anche essere correlati a campagne dannose note o algoritmi di generazione di domini.
I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Impact:EC2/MaliciousDomainRequest.Custom
### Un'istanza EC2 sta interrogando un dominio su un elenco di entità minacciose personalizzato.
**Gravità predefinita: media**
+ **Origine dati: **log DNS
Questo risultato ti informa che l'istanza Amazon EC2 elencata nel AWS tuo ambiente sta interrogando un nome di dominio incluso nell'elenco delle entità minacciose che hai caricato e attivato. In GuardDuty, un elenco di entità minacciose è composto da nomi di dominio e indirizzi IP dannosi noti. GuardDuty genera risultati in base all'attività associata all'elenco delle entità minacciose caricato. È possibile visualizzare il nome dell'elenco delle entità minacciose nei dettagli del risultato.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Impact:EC2/PortSweep
### Su un gran numero di indirizzi IP è in corso il probing di una porta da parte di un'istanza EC2.
**Gravità predefinita: alta**
+ **Origine dati: **log di flusso VPC
Questo risultato indica che l'istanza EC2 elencata nel tuo AWS ambiente sta sondando una porta su un gran numero di indirizzi IP instradabili pubblicamente. Questo tipo di attività viene in genere utilizzato per trovare host vulnerabili da sfruttare. Nel pannello dei dettagli di ricerca GuardDuty della console, viene visualizzato solo l'indirizzo IP remoto più recente
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Impact:EC2/SuspiciousDomainRequest.Reputation
### Un'istanza EC2 esegue una query su un nome di dominio a bassa reputazione di natura sospetta a causa della sua età o della scarsa popolarità.
**Gravità predefinita: bassa**
+ **Origine dati: **log DNS
Questo esito segnala che l'istanza Amazon EC2 elencata nel tuo ambiente AWS esegue una query su un nome di dominio a bassa reputazione sospettato di essere dannoso. Abbiamo notato che le caratteristiche di questo dominio sono coerenti con i domini dannosi osservati in precedenza, ma il nostro modello di reputazione non è stato in grado di collegarlo in modo definitivo a una minaccia nota. Questi domini vengono in genere osservati per la prima volta o ricevono una quantità di traffico ridotta.
I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Impact:EC2/WinRMBruteForce
### Un'istanza EC2 esegue un attacco di forza bruta di Windows Remote Management in uscita.
**Gravità predefinita: bassa\$1**
**Nota**
La gravità di questo esito è bassa se l'istanza EC2 era la destinazione di un attacco di forza bruta. La gravità di questo esito è alta se l'istanza EC2 è l'attore viene utilizzato per eseguire l'attacco di forza bruta.
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS esegue un attacco di forza bruta di Windows Remote Management (WinRM) volto a ottenere l'accesso al servizio Windows Remote Management su sistemi basati su Windows.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Recon:EC2/PortProbeEMRUnprotectedPort
### Una porta non protetta EMR di un'istanza EC2 è sottoposta a probing da parte di un host dannoso noto.
**Gravità predefinita: alta**
+ **Origine dati: **log di flusso VPC
Questo risultato indica che una porta sensibile relativa all'EMR sull'istanza EC2 elencata che fa parte di un cluster nel AWS tuo ambiente non è bloccata da un gruppo di sicurezza, da una lista di controllo degli accessi (ACL) o da un firewall on-host come Linux. IPTables Questo risultato indica inoltre che scanner noti su Internet stanno sondando attivamente questa porta. Le porte che possono attivare questo esito, ad esempio la porta 8088 (porta dell’interfaccia utente Web YARN), potrebbero potenzialmente essere utilizzate per l’esecuzione di codice in modalità remota.
**Raccomandazioni per la correzione:**
Ti consigliamo di bloccare l’accesso aperto alle porte su cluster da Internet e limitare l’accesso solo a indirizzi IP specifici che richiedono l’accesso a queste porte. Per ulteriori informazioni, consultare [Gruppi di sicurezza per cluster EMR](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html).
## Recon:EC2/PortProbeUnprotectedPort
### Una porta non protetta di un’istanza EC2 è sottoposta a probing da parte di un host dannoso noto.
**Gravità predefinita: bassa\$1**
**Nota**
La gravità predefinita di questi esiti è bassa. Tuttavia, se la porta che viene esaminata viene utilizzata da Elasticsearch (9200 o 9300), la gravità del risultato è elevata.
+ **Origine dati: **log di flusso VPC
Questo risultato indica che una porta sull'istanza EC2 elencata nel tuo AWS ambiente non è bloccata da un gruppo di sicurezza, da una lista di controllo degli accessi (ACL) o da un firewall on-host come Linux IPTables, e che scanner noti su Internet la stanno esaminando attivamente.
Se la porta non protetta identificata è 22 o 3389 e si utilizzano queste porte per connettersi all’istanza, è comunque possibile limitare l’esposizione consentendo l’accesso a queste porte solo agli indirizzi IP dello spazio degli indirizzi IP della rete aziendale. Per limitare l’accesso alla porta 22 su Linux, consulta [Authorizing Inbound Traffic for Your Linux Instance](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html). Per limitare l’accesso alla porta 3389 su Windows, consulta [Authorizing Inbound Traffic for Your Windows Instances](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/authorizing-access-to-an-instance.html).
GuardDuty non genera questo risultato per le porte 443 e 80.
**Raccomandazioni per la correzione:**
Tuttavia, ci possono essere casi in cui le istanze sono intenzionalmente esposte, ad esempio se ospitano server web. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l’attributo **Tipo di esito** con un valore di `Recon:EC2/PortProbeUnprotectedPort`. Il secondo criterio di filtro deve corrispondere all’istanza o alle istanze che fungono da host bastione. Puoi utilizzare l'attributo **ID immagine istanza** o l'attributo di valore **Tag** a seconda del criterio identificabile con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Recon:EC2/Portscan
### Un’istanza EC2 sta eseguendo la scansione delle porte in uscita verso un host remoto.
**Gravità predefinita: media**
+ **Origine dati: **log di flusso VPC
Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS è coinvolta in un possibile attacco port scan in quanto sta effettuando più tentativi di connessione a diverse porte in un breve periodo di tempo. Lo scopo di un attacco port scan è di individuare le porte aperte per determinare quali servizi sono in esecuzione sulla macchina e per identificarne il sistema operativo.
**Raccomandazioni per la correzione:**
Questo esito può essere un falso positivo se nel tuo ambiente vengono implementate applicazioni di valutazione della vulnerabilità su istanze EC2. Queste applicazioni, infatti, eseguono scansioni delle porte per avvisarti in caso di porte aperte configurate in modo errato. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l’attributo **Tipo di esito** con un valore di `Recon:EC2/Portscan`. Il secondo criterio di filtro dovrebbe corrispondere all’istanza o alle istanze che ospitano questi strumenti di valutazione della vulnerabilità. Puoi utilizzare l'attributo **ID immagine istanza** o l'attributo di valore **Tag** a seconda dei criteri identificabili con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
Se questa attività non è prevista, è probabile che l'istanza sia compromessa, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Trojan:EC2/BlackholeTraffic
### Un’istanza EC2 sta tentando di comunicare con un indirizzo IP di un host remoto che è un noto buco nero.
**Gravità predefinita: media**
+ **Origine dati: **log di flusso VPC
Questo risultato indica che l'istanza EC2 elencata nel tuo AWS ambiente potrebbe essere compromessa perché sta tentando di comunicare con l'indirizzo IP di un buco nero (o sink hole). I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario. L’indirizzo IP di un buco nero designa un computer host non in esecuzione o un indirizzo a cui non è stato assegnato alcun host.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Trojan:EC2/BlackholeTraffic\$1DNS
### Un’istanza EC2 sta eseguendo una query su un nome di dominio che è reindirizzato a un indirizzo IP di un buco nero.
**Gravità predefinita: media**
+ **Origine dati: **log DNS
Questo risultato indica che l'istanza EC2 elencata nel tuo AWS ambiente potrebbe essere compromessa perché sta interrogando un nome di dominio che viene reindirizzato a un indirizzo IP di un buco nero. I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l’origine venga informata del mancato recapito dei dati al destinatario.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Trojan:EC2/DGADomainRequest.B
### Un’istanza EC2 sta eseguendo una query su domini generati da algoritmi. Tali domini sono in genere utilizzati da malware e potrebbero essere un’indicazione di un’istanza EC2 compromessa.
**Gravità predefinita: alta**
+ **Origine dati: **log DNS
Questo esito segnala che l'istanza EC2 nel tuo ambiente AWS tenta di eseguire una query su domini DGA. L’istanza EC2 potrebbe essere compromessa.
DGAs vengono utilizzati per generare periodicamente un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l’arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.
**Nota**
L'esito è basato sull'analisi dei nomi di dominio tramite un'euristica avanzata e può quindi identificare nuovi domini DGA che non sono presenti nei feed di intelligence sulle minacce.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Trojan:EC2/DGADomainRequest.C\$1DNS
### Un’istanza EC2 sta eseguendo una query su domini generati da algoritmi. Tali domini sono in genere utilizzati da malware e potrebbero essere un’indicazione di un’istanza EC2 compromessa.
**Gravità predefinita: alta**
+ **Origine dati: **log DNS
Questo esito segnala che l'istanza EC2 nel tuo ambiente AWS tenta di eseguire una query su domini DGA. L’istanza EC2 potrebbe essere compromessa.
DGAs vengono utilizzati per generare periodicamente un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l’arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.
**Nota**
Questa scoperta si basa su domini DGA noti provenienti dai feed di intelligence sulle minacce. GuardDuty
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Trojan:EC2/DNSDataExfiltration
### Un’istanza EC2 sta eseguendo l’esfiltrazione di dati tramite query DNS.
**Gravità predefinita: alta**
+ **Origine dati: **log DNS
Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS esegue un malware che utilizza query DNS per trasferire dati in uscita. Questo tipo di trasferimento di dati è indicativo di un’istanza compromessa e potrebbe comportare l’esfiltrazione di dati. Di solito, il traffico DNS non è bloccato dai firewall. Ad esempio, il malware in un’istanza EC2 compromessa può codificare i dati (ad esempio i numeri di carte di credito) in una query DNS e inviarli a un server DNS remoto controllato da un utente malintenzionato.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Trojan:EC2/DriveBySourceTraffic\$1DNS
### Un'istanza EC2 sta eseguendo una query su un nome di dominio di un host remoto che è l'origine nota di attacchi di download drive-by.
**Gravità predefinita: alta**
+ **Origine dati: **log DNS
Questo esito segnala che l'istanza EC2 elencata nel tuo ambiente AWS potrebbe essere compromessa in quanto esegue una query su un nome di dominio di un host remoto che è un'origine nota di attacchi di download drive-by. Si tratta di download di software non voluti da Internet che possono attivare l’installazione automatica di virus, spyware o malware.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Trojan:EC2/DropPoint
### Un’istanza EC2 sta tentando di comunicare con un indirizzo IP di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.
**Gravità predefinita: media**
+ **Origine dati: **log di flusso VPC
Questo risultato indica che un'istanza EC2 nel tuo AWS ambiente sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati catturati dal malware.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Trojan:EC2/DropPoint\$1DNS
### Un’istanza EC2 sta eseguendo una query su un nome di dominio di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.
**Gravità predefinita: media**
+ **Origine dati: **log DNS
Questo risultato indica che un'istanza EC2 nel tuo AWS ambiente sta interrogando un nome di dominio di un host remoto noto per contenere credenziali e altri dati rubati catturati dal malware.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Trojan:EC2/PhishingDomainRequest\$1DNS
### Un’istanza EC2 sta eseguendo una query su domini implicati in attacchi di phishing. L’istanza EC2 potrebbe essere compromessa.
**Gravità predefinita: alta**
+ **Origine dati: **log DNS
Questo esito segnala che nel tuo ambiente AWS è presente un'istanza EC2 che tenta di eseguire una query su un dominio implicato in attacchi di phishing. I domini di phishing sono configurati da individui che fingono di essere un’istituzione legittima allo scopo di indurre gli utenti a fornire dati sensibili come informazioni personali, coordinate bancarie, informazioni di carte di credito e password. L'istanza EC2 potrebbe tentare di recuperare dati sensibili archiviati su un sito Web di phishing oppure di configurare un sito Web di phishing. L’istanza EC2 potrebbe essere compromessa.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
### Un'istanza EC2 stabilisce connessioni a un indirizzo IP incluso in un elenco minacce personalizzato.
**Gravità predefinita: media**
+ **Origine dati: **log di flusso VPC
Questa scoperta ti informa che un'istanza EC2 nel tuo AWS ambiente sta comunicando con un indirizzo IP incluso in un elenco di minacce che hai caricato. In GuardDuty, un elenco di minacce è costituito da indirizzi IP dannosi noti. GuardDuty genera i risultati in base agli elenchi di minacce caricati. L’elenco delle minacce utilizzato per generare questo esito verrà elencato nei dettagli dell’esito.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## UnauthorizedAccess:EC2/MetadataDNSRebind
### Un'istanza EC2 esegue ricerche DNS che vengono risolte nel servizio di metadati dell'istanza.
**Gravità predefinita: alta**
+ **Origine dati: **log DNS
Questo risultato ti informa che un'istanza EC2 nel tuo AWS ambiente sta interrogando un dominio che si risolve nell'indirizzo IP dei metadati EC2 (169.254.169.254). Una query DNS di questo tipo può indicare che l’istanza è la destinazione di una tecnica di rebinding DNS. Questa tecnica può essere utilizzata per ottenere metadati da un’istanza EC2, incluse le credenziali IAM a essa associate.
Il rebinding DNS implica l’inganno di un’applicazione in esecuzione sull’istanza EC2 per caricare i dati restituiti da un URL, dove il nome di dominio nell’URL si risolve nell’indirizzo IP dei metadati EC2 (169.254.169.254). In questo modo l’applicazione accede ai metadati EC2 e, possibilmente, li rende disponibili all’utente malintenzionato.
Puoi accedere ai metadati EC2 utilizzando il rebinding DNS solo se l’istanza EC2 esegue un’applicazione vulnerabile che consente l’iniezione di URL oppure se qualcuno accede all’URL in un browser Web in esecuzione sull’istanza EC2.
**Raccomandazioni per la correzione:**
In risposta a questo esito, devi valutare se è presente un’applicazione vulnerabile in esecuzione sull’istanza EC2 o se qualcuno ha utilizzato un browser per accedere al dominio identificato nell’esito. Se la causa principale è un’applicazione vulnerabile, è necessario correggere la vulnerabilità. Se qualcuno ha navigato nel dominio identificato, è necessario bloccare il dominio o impedire agli utenti di accedervi. Se ritieni che l'esito sia correlato a uno dei due casi precedenti, [revoca la sessione associata all'istanza EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html).
Alcuni AWS clienti associano intenzionalmente l'indirizzo IP dei metadati a un nome di dominio sui propri server DNS autoritativi. Se questo è il caso del tuo ambiente , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l’attributo **Tipo di esito** con un valore di `UnauthorizedAccess:EC2/MetaDataDNSRebind`. Il secondo criterio di filtro deve essere il **dominio di richiesta DNS** e il valore deve corrispondere al dominio mappato all’indirizzo IP dei metadati (169.254.169.254). Per ulteriori informazioni sulla creazione di regole di soppressione, vedere [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
## UnauthorizedAccess:EC2/RDPBruteForce
### Un’istanza EC2 è stata implicata in attacchi forza bruta RDP.
**Gravità predefinita: bassa\$1**
**Nota**
La gravità di questo esito è bassa se l'istanza EC2 era la destinazione di un attacco di forza bruta. La gravità di questo esito è alta se l'istanza EC2 è l'attore viene utilizzato per eseguire l'attacco di forza bruta.
+ **Origine dati: **log di flusso VPC
Questa scoperta ti informa che un'istanza EC2 nel tuo AWS ambiente è stata coinvolta in un attacco di forza bruta volto a ottenere le password per i servizi RDP su sistemi basati su Windows. Ciò può indicare un accesso non autorizzato alle risorse AWS .
**Raccomandazioni per la correzione:**
Se il **Ruolo risorsa** dell'istanza è `ACTOR`, significa che l'istanza è stata utilizzata per eseguire gli attacchi di forza bruta RDP. A meno che questa istanza non abbia un motivo legittimo per contattare l'indirizzo IP elencato come `Target`, ti consigliamo di presumere che l'istanza sia stata compromessa e di intraprendere le azioni elencate in [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
Se il Resource **Role dell'istanza è impostato su Resource** Role`TARGET`, questo problema può essere risolto rendendo sicura la porta RDP solo tramite Security Groups o firewall. IPs ACLs Per ulteriori informazioni, consulta [Suggerimenti per la protezione delle istanze EC2 (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/).
## UnauthorizedAccess:EC2/SSHBruteForce
### Un’istanza EC2 è stata implicata in attacchi forza bruta SSH.
**Gravità predefinita: bassa\$1**
**Nota**
La gravità di questo esito è bassa se un attacco di forza bruta è rivolto a una delle istanze EC2. La gravità di questo esito è alta se l'istanza EC2 viene utilizzata per eseguire l'attacco di forza bruta.
+ **Origine dati: **log di flusso VPC
Questa scoperta ti informa che un'istanza EC2 nel tuo AWS ambiente è stata coinvolta in un attacco di forza bruta volto a ottenere le password per i servizi SSH su sistemi basati su Linux. Ciò può indicare un accesso non autorizzato alle risorse AWS .
**Nota**
Questo risultato viene generato solo dal monitoraggio del traffico di sulla porta 22. Se i servizi SSH sono configurati per utilizzare altre porte, questo esito non viene generato.
**Raccomandazioni per la correzione:**
Se l'obiettivo del tentativo di forza bruta è un host bastion, ciò potrebbe rappresentare il comportamento previsto per l'ambiente in uso. AWS In questo caso, si consiglia di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l’attributo **Tipo di esito** con un valore di `UnauthorizedAccess:EC2/SSHBruteForce`. Il secondo criterio di filtro deve corrispondere all’istanza o alle istanze che fungono da host bastione. Puoi utilizzare l'attributo **ID immagine istanza** o l'attributo di valore **Tag** a seconda del criterio identificabile con le istanze che ospitano questi strumenti. Per ulteriori informazioni sulla creazione di regole di eliminazione, consulta [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
Se questa attività non è prevista per l'ambiente in uso e lo è il **ruolo di risorsa** dell'istanza`TARGET`, è possibile porre rimedio a questo problema assicurando che la porta SSH sia affidabile solo IPs tramite gruppi di sicurezza o firewall. ACLs Per ulteriori informazioni, consulta [Suggerimenti per la protezione delle istanze EC2 (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/).
Se il **Ruolo risorsa** dell'istanza è `ACTOR`, questo indica che l'istanza è stata utilizzata per eseguire gli attacchi di forza bruta SSH. A meno che questa istanza non abbia un motivo legittimo per contattare l'indirizzo IP elencato come `Target`, ti consigliamo di presumere che l'istanza sia stata compromessa e di intraprendere le azioni elencate in [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## UnauthorizedAccess:EC2/TorClient
### L’istanza EC2 sta stabilendo connessioni a un Tor Guard o a un nodo Authority.
**Gravità predefinita: alta**
+ **Origine dati: **log di flusso VPC
Questa scoperta ti informa che un'istanza EC2 nel tuo AWS ambiente sta effettuando connessioni a un nodo Tor Guard o a un nodo Authority. Tor è un software che consente la comunicazione anonima. I Tor Guard e i nodi fungono da gateway iniziali per una rete Tor. Questo traffico può indicare che l’istanza EC2 è stata compromessa e funge da client su una rete Tor. Questa scoperta potrebbe indicare un accesso non autorizzato alle tue AWS risorse con l'intento di nascondere la vera identità dell'aggressore.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## UnauthorizedAccess:EC2/TorRelay
### L’istanza EC2 sta stabilendo connessioni a una rete Tor come relay Tor.
**Gravità predefinita: alta**
+ **Origine dati: **log di flusso VPC
Questa scoperta ti informa che un'istanza EC2 nel tuo AWS ambiente sta effettuando connessioni a una rete Tor in un modo che suggerisce che stia agendo come un relè Tor. Tor è un software che consente la comunicazione anonima. Tor aumenta l’anonimato della comunicazione inoltrando il traffico potenzialmente illecito del client da un relè Tor a un altro.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
# GuardDuty Tipi di ricerca IAM
Gli esiti seguenti sono specifici per le entità IAM e le chiavi di accesso e avranno sempre un **Tipo risorsa** di `AccessKey`. La gravità e i dettagli degli esiti variano in base al tipo di esito.
Gli esiti qui elencati includono le origini dati e i modelli utilizzati per generare quel tipo di esito. Per ulteriori informazioni, consulta [GuardDuty fonti di dati fondamentali](guardduty_data-sources.md).
Per tutti gli esiti relativi a IAM, ti consigliamo di esaminare l'entità in questione e assicurarti che le relative autorizzazioni seguano la best practice del privilegio minimo. Se l'attività non è prevista, le credenziali potrebbero essere compromesse. Per informazioni su come correggere gli esiti, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
**Topics**
+ [CredentialAccess:IAMUser/AnomalousBehavior](#credentialaccess-iam-anomalousbehavior)
+ [CredentialAccess:IAMUser/CompromisedCredentials](#credentialaccess-iam-compromisedcredentials)
+ [DefenseEvasion:IAMUser/AnomalousBehavior](#defenseevasion-iam-anomalousbehavior)
+ [DefenseEvasion:IAMUser/BedrockLoggingDisabled](#defenseevasion-iam-bedrockloggingdisabled)
+ [Discovery:IAMUser/AnomalousBehavior](#discovery-iam-anomalousbehavior)
+ [Exfiltration:IAMUser/AnomalousBehavior](#exfiltration-iam-anomalousbehavior)
+ [Impact:IAMUser/AnomalousBehavior](#impact-iam-anomalousbehavior)
+ [InitialAccess:IAMUser/AnomalousBehavior](#initialaccess-iam-anomalousbehavior)
+ [PenTest:IAMUser/KaliLinux](#pentest-iam-kalilinux)
+ [PenTest:IAMUser/ParrotLinux](#pentest-iam-parrotlinux)
+ [PenTest:IAMUser/PentooLinux](#pentest-iam-pentoolinux)
+ [Persistence:IAMUser/AnomalousBehavior](#persistence-iam-anomalousbehavior)
+ [Policy:IAMUser/RootCredentialUsage](#policy-iam-rootcredentialusage)
+ [Policy:IAMUser/ShortTermRootCredentialUsage](#policy-iam-user-short-term-root-credential-usage)
+ [PrivilegeEscalation:IAMUser/AnomalousBehavior](#privilegeescalation-iam-anomalousbehavior)
+ [Recon:IAMUser/MaliciousIPCaller](#recon-iam-maliciousipcaller)
+ [Recon:IAMUser/MaliciousIPCaller.Custom](#recon-iam-maliciousipcallercustom)
+ [Recon:IAMUser/TorIPCaller](#recon-iam-toripcaller)
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](#stealth-iam-cloudtrailloggingdisabled)
+ [Stealth:IAMUser/PasswordPolicyChange](#stealth-iam-passwordpolicychange)
+ [UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B](#unauthorizedaccess-iam-consoleloginsuccessb)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller](#unauthorizedaccess-iam-maliciousipcaller)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](#unauthorizedaccess-iam-maliciousipcallercustom)
+ [UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/TorIPCaller](#unauthorizedaccess-iam-toripcaller)
## CredentialAccess:IAMUser/AnomalousBehavior
### Un'API utilizzata per accedere a un AWS ambiente è stata richiamata in modo anomalo.
**Gravità predefinita: media**
+ **Fonte dei dati**: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola richiesta API o una serie di richieste API correlate effettuate in prossimità da un'unica [identità utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). L'API osservata è comunemente associata alla fase di accesso alle credenziali di un attacco, quando un avversario tenta di raccogliere password, nomi utente e chiavi di accesso per il tuo ambiente. APIs In questa categoria ci sono `GetPasswordData``GetSecretValue`,`BatchGetSecretValue`, e`GenerateDbAuthToken`.
Questa richiesta API è stata identificata come anomala dal modello ML (Anomaly GuardDuty Detection Machine Learning) di Anomaly Detection. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l’API specifica che è stata richiesta. Nei [dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous) sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## CredentialAccess:IAMUser/CompromisedCredentials
### Una chiave di accesso IAM è stata identificata come potenzialmente compromessa dalla threat intelligence di Amazon.
**Gravità predefinita: alta**
+ **Funzionalità:** inclusa con Foundational Data Source Protection
**Descrizione completa:**
Questa scoperta ti informa che una chiave di accesso IAM associata al tuo AWS account è stata identificata come potenzialmente compromessa dalla threat intelligence di Amazon. La credenziale compromessa è stata quindi utilizzata per richiamare le operazioni API nel tuo ambiente. AWS L'elenco delle chiamate API effettuate utilizzando la credenziale compromessa, insieme al conteggio e ai timestamp di ogni chiamata, alla chiave di accesso coinvolta e all'indirizzo IP di origine sono inclusi nei dettagli del risultato.
La compromissione delle credenziali in questa scoperta è stata identificata dalla threat intelligence di Amazon. AWS monitora le credenziali potenzialmente compromesse attraverso i modelli di utilizzo e genera questo risultato quando si osserva che tale credenziale viene utilizzata.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## DefenseEvasion:IAMUser/AnomalousBehavior
### Un'API utilizzata per eludere le misure difensive è stata richiamata in modo anomalo.
**Gravità predefinita: media**
+ **Fonte dei dati**: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola API o una serie di richieste API correlate effettuate in prossimità da una singola [ identità utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). L'API osservata è comunemente associata a tattiche di evasione difensiva in cui un avversario cerca di nascondere le proprie tracce ed evitare di essere scoperto. APIs in questa categoria si trovano in genere operazioni di eliminazione, disabilitazione o interruzione, come, o. `DeleteFlowLogs` `DisableAlarmActions` `StopLogging`
Questa richiesta API è stata identificata come anomala dal modello GuardDuty di machine learning (ML) per il rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l’API specifica che è stata richiesta. Nei [dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous) sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## DefenseEvasion:IAMUser/BedrockLoggingDisabled
### La registrazione per Amazon Bedrock è stata disattivata.
**Gravità predefinita: media**
+ **Fonte dei dati**: eventi di gestione CloudTrail
Questo esito segnala che la registrazione è stata disattivata per le invocazioni del modello Bedrock nel tuo account. Questo può essere il tentativo di un utente malintenzionato di nascondere attività dannose come l’esfiltrazione di dati o l’abuso di modelli di IA. La disabilitazione della registrazione rimuove la visibilità dei dati inviati ai modelli e del modo in cui i modelli vengono utilizzati.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Discovery:IAMUser/AnomalousBehavior
### Un'API comunemente utilizzata per scovare le risorse è stata richiamata in modo anomalo.
**Gravità predefinita: bassa**
+ **Fonte dei dati:** evento CloudTrail di gestione
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola API o una serie di richieste API correlate effettuate in prossimità da una singola [ identità utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). L'API osservata è generalmente associata alla fase di scoperta di un attacco, quando un avversario raccoglie informazioni per determinare se l' AWS ambiente è suscettibile a un attacco più ampio. APIs in questa categoria rientrano in genere operazioni di recupero, descrizione o elenco, ad esempio, `DescribeInstances` o. `GetRolePolicy` `ListAccessKeys`
Questa richiesta API è stata identificata come anomala dal modello ML ( GuardDutyAnomaly Detection Machine Learning). Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l’API specifica che è stata richiesta. Nei [dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous) sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Exfiltration:IAMUser/AnomalousBehavior
### Un'API comunemente utilizzata per raccogliere dati da un AWS ambiente è stata richiamata in modo anomalo.
**Gravità predefinita: alta**
+ **Fonte dei dati**: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola API o una serie di richieste API correlate effettuate in prossimità da una singola [ identità utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). L'API osservata è comunemente associata a tattiche di esfiltrazione in cui un avversario cerca di raccogliere dati dalla rete utilizzando pacchetti e crittografia per evitare il rilevamento. APIs per questo tipo di risultato si tratta solo di operazioni di gestione (piano di controllo) e sono in genere correlate a S3, alle istantanee e ai database, come,, o. `PutBucketReplication` `CreateSnapshot` `RestoreDBInstanceFromDBSnapshot`
Questa richiesta API è stata identificata come anomala dal modello di machine learning (ML) per GuardDuty il rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l’API specifica che è stata richiesta. Nei [dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous) sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Impact:IAMUser/AnomalousBehavior
### Un'API comunemente utilizzata per manomettere dati o processi in un AWS ambiente è stata richiamata in modo anomalo.
**Gravità predefinita: alta**
+ **Fonte dei dati**: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola API o una serie di richieste API correlate effettuate in prossimità da una singola [ identità utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). L'API osservata è comunemente associata a tattiche di impatto in cui un avversario cerca di interrompere le operazioni e manipolare, interrompere o distruggere i dati dell'account. APIs per questo tipo di risultato si utilizzano in genere operazioni di eliminazione, aggiornamento o invio, come, o. `DeleteSecurityGroup` `UpdateUser` `PutBucketPolicy`
Questa richiesta API è stata identificata come anomala dal modello GuardDuty di machine learning (ML) per il rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l’API specifica che è stata richiesta. Nei [dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous) sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## InitialAccess:IAMUser/AnomalousBehavior
### Un'API comunemente utilizzata per ottenere l'accesso non autorizzato a un AWS ambiente è stata richiamata in modo anomalo.
**Gravità predefinita: media**
+ **Fonte dei dati**: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola API o una serie di richieste API correlate effettuate in prossimità da una singola [ identità utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). L'API osservata è generalmente associata alla fase di accesso iniziale di un attacco, quando un avversario tenta di stabilire l'accesso all'ambiente. APIs in questa categoria rientrano in genere operazioni get token o di sessione, come, `StartSession` o. `GetAuthorizationToken`
Questa richiesta API è stata identificata come anomala dal modello ML ( GuardDutyAnomaly Detection Machine Learning). Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l’API specifica che è stata richiesta. Nei [dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous) sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## PenTest:IAMUser/KaliLinux
### Un'API è stata richiamata da una macchina Kali Linux.
**Gravità predefinita: media**
+ **Fonte dei dati: evento di gestione** CloudTrail
Questa scoperta ti informa che una macchina che esegue Kali Linux sta effettuando chiamate API utilizzando credenziali che appartengono all' AWS account elencato nel tuo ambiente. Kali Linux è uno noto strumento per l’esecuzione di test di intrusione utilizzato dai professionisti della sicurezza informatica per identificare le vulnerabilità nelle istanze EC2 che richiedono l’applicazione di patch. Gli aggressori utilizzano questo strumento anche per individuare i punti deboli della configurazione EC2 e ottenere l'accesso non autorizzato al tuo ambiente. AWS
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## PenTest:IAMUser/ParrotLinux
### Un'API è stata richiamata da una macchina Parrot Security Linux.
**Gravità predefinita: media**
+ **Fonte dei dati: evento di gestione** CloudTrail
Questa scoperta indica che una macchina che esegue Parrot Security Linux sta effettuando chiamate API utilizzando credenziali che appartengono all' AWS account elencato nell'ambiente in uso. Parrot Security Linux è uno noto strumento per l’esecuzione di test di intrusione utilizzato dai professionisti della sicurezza informatica per identificare le vulnerabilità nelle istanze EC2 che richiedono l’applicazione di patch. Gli aggressori utilizzano questo strumento anche per individuare i punti deboli della configurazione EC2 e ottenere l'accesso non autorizzato all'ambiente. AWS
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## PenTest:IAMUser/PentooLinux
### Un'API è stata richiamata da una macchina Pentoo Linux.
**Gravità predefinita: media**
+ **Fonte dei dati: evento di gestione** CloudTrail
Questa scoperta ti informa che una macchina che esegue Pentoo Linux sta effettuando chiamate API utilizzando credenziali che appartengono all' AWS account elencato nel tuo ambiente. Pentoo Linux è uno noto strumento per l’esecuzione di test di intrusione utilizzato dai professionisti della sicurezza informatica per identificare le vulnerabilità nelle istanze EC2 che richiedono l’applicazione di patch. Gli aggressori utilizzano questo strumento anche per individuare i punti deboli della configurazione EC2 e ottenere l'accesso non autorizzato al tuo ambiente. AWS
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Persistence:IAMUser/AnomalousBehavior
### Un'API comunemente utilizzata per mantenere l'accesso non autorizzato a un AWS ambiente è stata richiamata in modo anomalo.
**Gravità predefinita: media**
+ **Fonte dei dati**: evento di gestione CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola API o una serie di richieste API correlate effettuate in prossimità da una singola [ identità utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). L'API osservata è comunemente associata a tattiche di persistenza in cui un avversario ha ottenuto l'accesso all'ambiente dell'utente e sta tentando di mantenere tale accesso. APIs in questa categoria si trovano in genere operazioni di creazione, importazione o modifica, come, o. `CreateAccessKey` `ImportKeyPair` `ModifyInstanceAttribute`
Questa richiesta API è stata identificata come anomala dal modello ML ( GuardDutyAnomaly Detection Machine Learning). Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l’API specifica che è stata richiesta. Nei [dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous) sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Policy:IAMUser/RootCredentialUsage
### Un'API è stata richiamata utilizzando le credenziali di accesso di un utente root.
**Gravità predefinita: bassa**
+ **Fonte dati:** eventi di CloudTrail gestione o eventi relativi ai CloudTrail dati per S3
Questo esito segnala che le credenziali di accesso dell'utente root dell' Account AWS elencato nel tuo ambiente vengono utilizzate per effettuare richieste ai servizi AWS . Si consiglia agli utenti di non utilizzare mai le credenziali di accesso dell'utente root per accedere ai servizi. AWS È invece necessario accedere AWS ai servizi utilizzando le credenziali temporanee con privilegi minimi di (STS). AWS Security Token Service Nelle situazioni in cui AWS STS non è supportato, consigliamo di utilizzare le credenziali dell'utente IAM. Per ulteriori informazioni, consulta [Best Practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
**Nota**
Se S3 Protection è abilitato per l'account, questo risultato può essere generato in risposta ai tentativi di eseguire operazioni sul piano dati S3 sulle risorse Amazon S3 utilizzando le credenziali di accesso dell'utente root di. Account AWS La chiamata API utilizzata verrà elencata nei dettagli dell’esito. Se S3 Protection non è abilitato, questo risultato può essere attivato solo dal registro eventi. APIs Per ulteriori informazioni su S3 Protection, consulta. [Protezione S3](s3-protection.md)
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Policy:IAMUser/ShortTermRootCredentialUsage
### È stata invocata un’API utilizzando credenziali utente root limitate.
**Gravità predefinita: bassa**
+ **Fonte dati:** eventi di AWS CloudTrail gestione o eventi AWS CloudTrail relativi ai dati per S3
Questa scoperta ti informa che le credenziali utente con restrizioni create per gli utenti elencati Account AWS nel tuo ambiente vengono utilizzate per effettuare richieste a. Servizi AWS Si consiglia di utilizzare le credenziali dell'utente root solo per quelle [attività che richiedono credenziali utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
Quando possibile, accedi Servizi AWS utilizzando i ruoli IAM con privilegi minimi con credenziali temporanee da (). AWS Security Token Service AWS STS Per gli scenari in cui non AWS STS è supportato, la best practice consiste nell'utilizzare le credenziali utente IAM. Per ulteriori informazioni, consulta le [best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) e le [migliori pratiche per gli utenti root per te Account AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) nella *IAM User Guide*.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## PrivilegeEscalation:IAMUser/AnomalousBehavior
### Un'API comunemente utilizzata per ottenere autorizzazioni di alto livello per un AWS ambiente è stata richiamata in modo anomalo.
**Gravità predefinita: media**
+ **Fonte dei dati: eventi di gestione** CloudTrail
Questo esito segnala che è stata osservata una richiesta API anomala nel tuo account. Questo esito può includere una singola API o una serie di richieste API correlate effettuate in prossimità da una singola [ identità utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html). L'API osservata è comunemente associata a tattiche di escalation dei privilegi in cui un avversario tenta di ottenere autorizzazioni di livello superiore per un ambiente. APIs in questa categoria si tratta in genere di operazioni che modificano le politiche, i ruoli e gli utenti di IAM, ad esempio, o. `AssociateIamInstanceProfile` `AddUserToGroup` `PutUserPolicy`
Questa richiesta API è stata identificata come anomala dal modello GuardDuty di machine learning (ML) di rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori della richiesta API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata e l’API specifica che è stata richiesta. Nei [dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous) sono disponibili le informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Recon:IAMUser/MaliciousIPCaller
### Un’API è stata chiamata da un indirizzo IP dannoso noto.
**Gravità predefinita: media**
+ **Fonte dei dati**: eventi di gestione CloudTrail
Questo esito segnala che un’operazione API in grado di elencare o descrivere le risorse AWS di un account all’interno del tuo ambiente è stata richiamata da un indirizzo IP incluso in un elenco minacce. Un utente malintenzionato può utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali già in suo possesso.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Recon:IAMUser/MaliciousIPCaller.Custom
### Un’API è stata chiamata da un indirizzo IP dannoso noto.
**Gravità predefinita: media**
+ **Fonte dei dati: eventi di gestione** CloudTrail
Questo esito segnala che un’operazione API in grado di elencare o descrivere le risorse AWS di un account all’interno del tuo ambiente è stata richiamata da un indirizzo IP incluso in un elenco minacce personalizzato. L’elenco delle minacce utilizzato sarà elencato nei dettagli dell’esito. Un utente malintenzionato potrebbe utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali già in suo possesso.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Recon:IAMUser/TorIPCaller
### Un’API è stata chiamata dall’indirizzo IP di un nodo di uscita Tor.
**Gravità predefinita: media**
+ **Fonte dei dati: eventi di gestione** CloudTrail
Questo esito segnala che un’operazione API in grado di elencare o descrivere le risorse AWS di un account all’interno del tuo ambiente è stata richiamata dall’indirizzo IP di un nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Un utente malintenzionato può usare Tor per mascherare la propria identità.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Stealth:IAMUser/CloudTrailLoggingDisabled
### AWS CloudTrail la registrazione è stata disabilitata.
**Gravità predefinita: bassa**
+ **Fonte dei dati: eventi** CloudTrail di gestione
Questa scoperta indica che una CloudTrail traccia all'interno AWS dell'ambiente in uso è stata disattivata. Può trattarsi di un tentativo di un utente malintenzionato di disabilitare la registrazione per eliminare le tracce della sua attività accedendo nel contempo alle risorse AWS per scopi dannosi. Questo esito può essere generato dall’eliminazione o dall’aggiornamento riuscito di un trail, Questo risultato può essere innescato anche dall'eliminazione riuscita di un bucket S3 che memorizza i log di un trail associato a. GuardDuty
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Stealth:IAMUser/PasswordPolicyChange
### La policy delle password dell’account è stata indebolita.
**Gravità predefinita: bassa\$1**
**Nota**
La gravità di questo esito può essere bassa, media o alta a seconda della gravità delle modifiche apportate alla policy delle password.
+ **Fonte dei dati**: eventi di gestione CloudTrail
La politica relativa alle password degli AWS account è stata indebolita nell'account elencato nell' AWS ambiente in uso. Ad esempio, è stata eliminata o aggiornata per richiedere un numero minore di caratteri, non richiedere simboli e numeri o per prolungare l’estensione del periodo di scadenza delle password. Questo risultato può essere causato anche dal tentativo di aggiornare o eliminare la politica relativa alle password AWS dell'account. La politica sulle password degli AWS account definisce le regole che regolano i tipi di password che possono essere impostati per gli utenti IAM. Un policy delle password indebolita consente la creazione di password facili da ricordare e potenzialmente più facili da indovinare, creando di fatto un rischio per la sicurezza.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
### Molteplici connessioni riuscite alla console sono state osservate in tutto il mondo.
**Gravità predefinita: media**
+ **Fonte dei dati: eventi di gestione** CloudTrail
Questo esito segnala che molteplici connessioni riuscite alla console da parte dello stesso utente IAM sono state osservate simultaneamente in varie regioni geografiche. Questi modelli di localizzazione degli accessi anomali e rischiosi indicano un potenziale accesso non autorizzato alle risorse dell'utente. AWS
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
### Credenziali create in modo esclusivo per un'istanza EC2 mediante un ruolo di avvio di istanze vengono utilizzate da un altro account all'interno di AWS.
**Gravità predefinita: alta\$1**
**Nota**
La gravità predefinita di questi esiti è alta. Tuttavia, se l'API è stata richiamata da un account affiliato all' AWS ambiente in uso, la gravità è Media.
+ **Fonte dei dati:** eventi di CloudTrail gestione o eventi CloudTrail relativi ai dati per S3
Questo risultato ti informa quando le credenziali dell'istanza Amazon EC2 vengono utilizzate per APIs richiamare da un indirizzo IP o da un endpoint Amazon VPC, di proprietà di un account AWS diverso da quello su cui è in esecuzione l'istanza Amazon EC2 associata. Il rilevamento degli endpoint VPC è disponibile solo per i servizi che supportano eventi di attività di rete per gli endpoint VPC. Per informazioni sui servizi che supportano gli eventi di attività di rete per gli endpoint VPC, consulta [Registrazione degli eventi di attività di rete](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-network-events-with-cloudtrail.html) nella *Guida per l’utente di AWS CloudTrail *.
AWS non consiglia di ridistribuire le credenziali temporanee al di fuori dell'entità che le ha create (ad esempio, AWS applicazioni, Amazon EC2 o). AWS Lambda Tuttavia, gli utenti autorizzati possono esportare le credenziali dalle proprie istanze Amazon EC2 per rendere legittime le chiamate API. Se il `remoteAccountDetails.Affiliated` campo è, `True` l'API è stata richiamata da un account associato allo stesso account amministratore. Per escludere un potenziale attacco e verificare la legittimità dell'attività, contatta il Account AWS proprietario o il responsabile IAM a cui sono assegnate queste credenziali.
**Nota**
Se GuardDuty rileva un'attività continua da un account remoto, il suo modello di machine learning (ML) la identificherà come un comportamento previsto. Pertanto, GuardDuty smetterà di generare questo risultato per l'attività da quell'account remoto. GuardDuty continuerà a generare risultati relativi a nuovi comportamenti provenienti da altri account remoti e rivaluterà gli account remoti appresi man mano che il comportamento cambia nel tempo.
**Raccomandazioni per la correzione:**
Questo risultato viene generato quando le richieste AWS API vengono effettuate all'interno AWS tramite un'istanza Amazon EC2 esterna alla tua Account AWS, utilizzando le credenziali di sessione dell'istanza Amazon EC2. Potrebbe essere consuetudine, ad esempio per l'architettura Transit Gateway in una configurazione [hub and spoke](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/transit-vpc-solution.html), instradare il traffico attraverso un singolo VPC di uscita dell'hub con endpoint di servizio. AWS Se è previsto questo comportamento, ti GuardDuty consiglia di utilizzare [Regole di eliminazione](findings_suppression-rule.md) e creare una regola con criteri a due filtri. Il primo criterio è il tipo di esito, che, in questo caso, è UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. Il secondo criterio di filtro è l’ID account remoto dei dettagli dell’account remoto.
In risposta a questo esito, puoi utilizzare il seguente flusso di lavoro per determinare una linea d’azione:
1. Identifica l’account remoto coinvolto tramite il campo `service.action.awsApiCallAction.remoteAccountDetails.accountId`.
1. Determina direttamente sul campo se quell'account è affiliato al tuo GuardDuty ambiente. `service.action.awsApiCallAction.remoteAccountDetails.affiliated`
1. Se l’account **è** affiliato, contatta il proprietario dell’account remoto e il proprietario delle credenziali dell’istanza Amazon EC2 per indagare.
Se l'account **non è** affiliato, il primo passo consiste nel valutare se quell'account è associato alla tua organizzazione ma non fa parte della configurazione dell'ambiente con GuardDuty più account o se GuardDuty non è ancora stato abilitato in questo account. In caso contrario, contatta il proprietario delle credenziali dell’istanza Amazon EC2 per determinare se esiste un caso d’uso per l’utilizzo di tali credenziali da parte di un account remoto.
1. Se il proprietario non riconosce l’account remoto, allora le credenziali potrebbero essere state compromesse da un autore di minacce che opera all’interno di AWS. È necessario adottare le misure consigliate in[Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md), per proteggere il proprio ambiente.
Inoltre, puoi [inviare una segnalazione di abuso](https://support.aws.amazon.com/#/contacts/report-abuse) al team AWS Trust and Safety per avviare un'indagine sull'account remoto. Quando invii la segnalazione a AWS Trust and Safety, includi i dettagli JSON completi del risultato.
## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
### Credenziali create in modo esclusivo per un’istanza EC2 mediante un ruolo di avvio di istanze vengono utilizzate da un indirizzo IP esterno.
**Gravità predefinita: alta**
+ **Fonte dei dati:** eventi di CloudTrail gestione o eventi CloudTrail relativi ai dati per S3
Questo risultato indica che un host esterno AWS ha tentato di eseguire operazioni AWS API utilizzando AWS credenziali temporanee create su un'istanza EC2 nel tuo ambiente. AWS L'istanza EC2 elencata potrebbe essere compromessa e le credenziali temporanee di questa istanza potrebbero essere state esfiltrate su un host remoto esterno a. AWS AWS non consiglia di ridistribuire le credenziali temporanee all'esterno dell'entità che le ha create (ad esempio, AWS applicazioni, EC2 o Lambda). Tuttavia, gli utenti autorizzati possono esportare le credenziali dalle proprie istanze EC2 per rendere legittime le chiamate API. Per escludere un potenziale attacco e verificare la legittimità dell'attività, verifica se nell'esito è previsto l'uso di credenziali di istanza provenienti dall'IP remoto.
**Nota**
Se GuardDuty rileva un'attività continua da un host remoto, il relativo modello di machine learning (ML) la identificherà come un comportamento previsto. Pertanto, GuardDuty smetterà di generare questo risultato per l'attività da quell'host remoto. GuardDuty continuerà a generare risultati relativi a nuovi comportamenti provenienti da altri host remoti e rivaluterà gli host remoti appresi man mano che il comportamento cambia nel tempo.
**Raccomandazioni per la correzione:**
Questo esito viene generato quando la rete è configurata per instradare il traffico Internet in modo tale da uscire da un gateway on-premise anziché da un gateway Internet (IGW) VPC. Configurazioni comuni, come l'utilizzo di [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) o delle connessioni VPN del VPC, possono instradare il traffico in questo modo. Se questo comportamento è previsto, ti consigliamo di utilizzare le regole di eliminazione e creare una regola composta da due criteri di filtro. Il primo criterio è **tipo di esito**, che dovrebbe essere `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`. Il secondo criterio di filtro è **l' IPv4 indirizzo del chiamante API** con l'indirizzo IP o l'intervallo CIDR del gateway Internet locale. Per ulteriori informazioni sulla creazione di regole di soppressione, vedere [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
**Nota**
Se GuardDuty rileva un'attività continua proveniente da una fonte esterna, il suo modello di apprendimento automatico la identificherà come comportamento previsto e smetterà di generare questo risultato per l'attività proveniente da quella fonte. GuardDuty continuerà a generare risultati per nuovi comportamenti da altre fonti e rivaluterà le fonti apprese man mano che il comportamento cambia nel tempo.
Se questa attività non è prevista, le credenziali potrebbero essere compromesse, vedere [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/MaliciousIPCaller
### Un’API è stata chiamata da un indirizzo IP dannoso noto.
**Gravità predefinita: media**
+ **Fonte dei dati: eventi** CloudTrail di gestione
Questo esito segnala che un’operazione API (ad esempio, un tentativo di avviare un’istanza EC2, creare un nuovo utente IAM o modificare i privilegi AWS ) è stata richiamata da un indirizzo IP dannoso noto. Ciò può indicare un accesso non autorizzato alle AWS risorse all'interno dell'ambiente.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
### Un’API è stata chiamata da un indirizzo IP incluso in un elenco di minacce personalizzato.
**Gravità predefinita: media**
+ **Fonte dei dati: eventi** CloudTrail di gestione
Questa scoperta ti informa che un'operazione API (ad esempio, un tentativo di avviare un'istanza EC2, creare un nuovo utente IAM o modificare AWS i privilegi) è stata richiamata da un indirizzo IP incluso in un elenco di minacce che hai caricato. In GuardDuty, un elenco di minacce è composto da indirizzi IP dannosi noti. Ciò può indicare un accesso non autorizzato alle AWS risorse all'interno dell'ambiente.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS
### Le credenziali create esclusivamente per una AWS Lambda risorsa vengono utilizzate da un indirizzo IP esterno a. AWS
**Gravità predefinita: alta**
+ **Fonte dati:** eventi di CloudTrail gestione o eventi CloudTrail relativi ai dati per S3
Questo risultato indica che un host esterno a Internet AWS ha tentato di eseguire operazioni AWS API utilizzando AWS credenziali temporanee create su una AWS Lambda risorsa del tuo ambiente. AWS La risorsa Lambda elencata potrebbe essere compromessa e le credenziali temporanee di questa Lambda potrebbero essere state esfiltrate su un host remoto esterno a. AWS
AWS non consiglia di ridistribuire le credenziali temporanee al di fuori dell'entità che le ha create (ad esempio applicazioni AWS come Amazon Elastic Compute Cloud (Amazon EC2) o). AWS Lambda Tuttavia, gli utenti autorizzati possono esportare le credenziali dalle proprie risorse Lambda per rendere legittime le chiamate API. Per escludere un potenziale attacco e verificare la legittimità dell’attività, verifica se nell’esito è previsto l’uso di credenziali di istanza provenienti dall’IP remoto.
**Nota**
Se GuardDuty rileva un'attività continua da un host remoto, il modello di machine learning (ML) lo identificherà come un comportamento previsto. Pertanto, GuardDuty smetterà di generare questo risultato per l'attività da quell'host remoto. GuardDuty continuerà a generare risultati relativi a nuovi comportamenti provenienti da altri host remoti e rivaluterà gli host remoti appresi man mano che il comportamento cambia nel tempo.
**Raccomandazioni per la correzione:**
Questo esito viene generato quando la rete è configurata per instradare il traffico Internet in modo tale da uscire da un gateway on-premises anziché da un gateway Internet (IGW) VPC. Configurazioni comuni, come l’utilizzo di [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) o delle connessioni VPN del VPC, possono instradare il traffico in questo modo. Se si tratta di un comportamento previsto, ne GuardDuty consiglia l'utilizzo [Regole di eliminazione](findings_suppression-rule.md) per creare una regola con criteri a due filtri. Il primo criterio è **tipo di esito**, che dovrebbe essere `UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS`. Il secondo criterio di filtro è **l' IPv4 indirizzo del chiamante API** con l'indirizzo IP o l'intervallo CIDR per il gateway Internet locale.
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per informazioni sui passaggi per correggere questo tipo di risultato, vedere. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md)
## UnauthorizedAccess:IAMUser/TorIPCaller
### Un’API è stata chiamata dall’indirizzo IP di un nodo di uscita Tor.
**Gravità predefinita: media**
+ **Fonte dei dati: eventi** CloudTrail di gestione
Questo esito segnala che un’operazione API (ad esempio, un tentativo di avviare un’istanza EC2, creare un nuovo utente IAM o modificare i privilegi AWS ) è stata richiamata dall’indirizzo IP di un nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle risorse AWS con l’intento di nascondere la vera identità dell’utente malintenzionato.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
# GuardDuty tipi di ricerca della sequenza di attacco
GuardDuty rileva una sequenza di attacco quando una sequenza specifica di più azioni si allinea a un'attività potenzialmente sospetta. Una sequenza di attacco include **segnali** come le attività e i risultati delle API. GuardDuty Quando GuardDuty osserva un gruppo di segnali in una sequenza specifica che indica una minaccia alla sicurezza in corso, in corso o recente, GuardDuty genera una rilevazione della sequenza di attacco. GuardDuty considera le singole attività delle API come [weak signals](guardduty_concepts.md#guardduty-weak-signals-attack-sequence) se non si presentassero come una potenziale minaccia.
I rilevamenti delle sequenze di attacco si concentrano sulla potenziale compromissione dei dati di Amazon S3 (che possono far parte di un attacco ransomware più ampio), sulle credenziali AWS compromesse, sui cluster Amazon EKS, sui cluster Amazon ECS compromessi e sui gruppi di istanze Amazon EC2 compromessi. Le seguenti sezioni forniscono dettagli su ciascuna delle sequenze di attacco.
**Topics**
+ [AttackSequence:EKS/CompromisedCluster](#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:ECS/CompromisedCluster](#attack-sequence-ecs-compromised-cluster)
+ [AttackSequence:EC2/CompromisedInstanceGroup](#attack-sequence-ec2-compromised-instance-group)
+ [AttackSequence:IAM/CompromisedCredentials](#attack-sequence-iam-compromised-credentials)
+ [AttackSequence:S3/CompromisedData](#attack-sequence-s3-compromised-data)
## AttackSequence:EKS/CompromisedCluster
### Una sequenza di azioni sospette eseguite da un cluster Amazon EKS potenzialmente compromesso.
+ Severità predefinita: critica
+ Fonti di dati:
+ [Eventi del registro di controllo EKS](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html#guardduty_k8s-audit-logs)
+ [Monitoraggio del runtime per Amazon EKS](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-eks.html)
+ [Rilevamento di malware Amazon EKS per Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
+ [AWS CloudTrail eventi relativi ai dati per S3](s3-protection.md#guardduty_s3dataplane)
+ [AWS CloudTrail eventi di gestione](guardduty_data-sources.md#guardduty_controlplane)
+ [Log di flusso VPC](guardduty_data-sources.md#guardduty_vpc)
+ [Registri delle query DNS di Route53 Resolver](guardduty_data-sources.md#guardduty_dns)
Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette che indica un cluster Amazon EKS potenzialmente compromesso nel tuo ambiente. Nello stesso cluster Amazon EKS sono stati osservati diversi comportamenti di attacco sospetti e anomali, come processi dannosi o connessioni con endpoint dannosi.
GuardDuty utilizza i suoi algoritmi di correlazione proprietari per osservare e identificare la sequenza di azioni eseguite utilizzando la credenziale IAM. GuardDuty valuta i risultati dei piani di protezione e di altre fonti di segnale per identificare modelli di attacco comuni ed emergenti. GuardDuty utilizza diversi fattori per far emergere le minacce, come la reputazione IP, le sequenze API, la configurazione degli utenti e le risorse potenzialmente interessate.
**Azioni correttive**: se questo comportamento è imprevisto nel tuo ambiente, il cluster Amazon EKS potrebbe essere compromesso. Per una guida completa sulla riparazione, consulta e. [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md) [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md)
Inoltre, poiché AWS le credenziali potrebbero essere state compromesse attraverso il cluster EKS, vedi. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md) Per informazioni sulle procedure per correggere altre risorse che potrebbero essere state potenzialmente compromesse, consulta. [Correzione dei problemi di GuardDuty sicurezza rilevati](guardduty_remediate.md)
## AttackSequence:ECS/CompromisedCluster
### Una sequenza di azioni sospette eseguite da un cluster Amazon ECS potenzialmente compromesso.
+ Gravità predefinita: critica
+ Fonti di dati:
+ [Monitoraggio del runtime per Amazon ECS Fargate](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ecs-fargate.html)
+ [Monitoraggio del runtime per istanze EC2 in Amazon ECS](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
+ [ GuardDuty Protezione da malware per Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
Questo risultato indica che è GuardDuty stata rilevata una sequenza di segnali sospetti che indicano un cluster Amazon ECS potenzialmente compromesso nel tuo ambiente. Questi segnali possono includere processi dannosi, comunicazioni con endpoint dannosi o comportamenti di mining di criptovalute.
GuardDuty utilizza algoritmi di correlazione proprietari e molteplici fattori di rilevamento per identificare sequenze di azioni sospette all'interno dei cluster Amazon ECS. Attraverso l'analisi dei piani di protezione e di varie fonti di segnale, GuardDuty identifica i modelli di attacco comuni ed emergenti, garantendo un rilevamento estremamente sicuro di potenziali compromissioni.
**Azioni correttive**: se questo comportamento è imprevisto nel tuo ambiente, il tuo cluster Amazon ECS potrebbe essere compromesso. Per consigli sul contenimento delle minacce, consulta. [Riparazione di un cluster ECS potenzialmente compromesso](compromised-ecs.md) Tieni presente che il compromesso può estendersi a una o più attività ECS o carichi di lavoro dei container, che avrebbero potuto essere utilizzati per creare o modificare risorse. AWS Per una guida completa sulla riparazione che copre le risorse potenzialmente interessate, consulta. [Correzione dei problemi di GuardDuty sicurezza rilevati](guardduty_remediate.md)
## AttackSequence:EC2/CompromisedInstanceGroup
### Una sequenza di azioni sospette che indica istanze Amazon EC2 potenzialmente compromesse.
+ Gravità predefinita: critica
+ Fonti di dati:
+ [Monitoraggio del runtime per Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
+ [Rilevamento di malware per Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
+ [Log di flusso VPC](guardduty_data-sources.md#guardduty_vpc)
+ [Registri delle query DNS di Route53 Resolver](guardduty_data-sources.md#guardduty_dns)
Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette che suggeriscono una potenziale compromissione in un gruppo di istanze Amazon EC2 nel tuo ambiente. I gruppi di istanze rappresentano in genere applicazioni gestite tramite infrastructure-as-code, che condividono configurazioni simili come il gruppo di scalabilità automatica, il ruolo del profilo dell'istanza IAM, lo AWS CloudFormation stack, il modello di lancio di Amazon EC2, l'AMI o l'ID VPC. GuardDuty ha osservato diversi comportamenti sospetti in una o più istanze, tra cui:
+ Processi dannosi
+ File dannosi
+ Connessioni di rete sospette
+ Attività di mining di criptovalute
+ Utilizzo sospetto delle credenziali dell'istanza Amazon EC2
**Metodo di rilevamento**: GuardDuty utilizza algoritmi di correlazione proprietari per identificare sequenze di azioni sospette all'interno delle istanze Amazon EC2. Valutando i risultati dei piani di protezione e di varie fonti di segnale, GuardDuty identifica i modelli di attacco utilizzando molteplici fattori come la reputazione dell'IP e del dominio e i processi in esecuzione sospetti.
**Azioni correttive**: se questo comportamento è imprevisto nel tuo ambiente, le tue istanze Amazon EC2 potrebbero essere compromesse. Il compromesso potrebbe comportare:
+ Processi multipli
+ Credenziali di istanza che potrebbero essere state utilizzate per modificare le istanze di Amazon EC2 o altre risorse AWS
Per consigli sul contenimento delle minacce, consulta. [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md) Tieni presente che il compromesso può estendersi a una o più istanze Amazon EC2 e comportare processi o credenziali di istanza compromessi che avrebbero potuto essere utilizzati per creare o modificare istanze Amazon EC2 o altre risorse. AWS Per una guida completa sulla riparazione che copre le risorse potenzialmente interessate, consulta. [Correzione dei problemi di GuardDuty sicurezza rilevati](guardduty_remediate.md)
## AttackSequence:IAM/CompromisedCredentials
### Una sequenza di richieste API che sono state richiamate utilizzando credenziali potenzialmente compromesse. AWS
+ Gravità predefinita: Critica
+ Fonte dei dati: [AWS CloudTrail eventi di gestione](guardduty_data-sources.md#guardduty_controlplane)
Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette eseguite utilizzando AWS credenziali che hanno un impatto su una o più risorse dell'ambiente. Sono stati osservati più comportamenti di attacco sospetti e anomali con le stesse credenziali, con conseguente maggiore certezza che le credenziali vengano utilizzate in modo improprio.
GuardDuty utilizza i propri algoritmi di correlazione proprietari per osservare e identificare la sequenza di azioni eseguite utilizzando la credenziale IAM. GuardDuty valuta i risultati dei piani di protezione e di altre fonti di segnale per identificare modelli di attacco comuni ed emergenti. GuardDuty utilizza diversi fattori per far emergere le minacce, come la reputazione IP, le sequenze API, la configurazione degli utenti e le risorse potenzialmente interessate.
**Azioni correttive**: se questo comportamento è imprevisto nell'ambiente in uso, è possibile che le AWS credenziali siano state compromesse. Per le procedure da seguire per rimediare, consulta. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md) Le credenziali compromesse potrebbero essere state utilizzate per creare o modificare risorse aggiuntive, come bucket Amazon S3, funzioni o istanze Amazon EC2 AWS Lambda , nel tuo ambiente. Per informazioni su come correggere altre risorse che potrebbero essere state potenzialmente compromesse, consulta. [Correzione dei problemi di GuardDuty sicurezza rilevati](guardduty_remediate.md)
## AttackSequence:S3/CompromisedData
### È stata richiamata una sequenza di richieste API in un potenziale tentativo di esfiltrare o distruggere dati in Amazon S3.
+ Gravità predefinita: critica
+ Fonti di dati: [AWS CloudTrail eventi relativi ai dati per S3](s3-protection.md#guardduty_s3dataplane) e [AWS CloudTrail eventi di gestione](guardduty_data-sources.md#guardduty_controlplane)
Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette indicative di una compromissione dei dati in uno o più bucket Amazon Simple Storage Service (Amazon S3), utilizzando credenziali potenzialmente compromesse. AWS Sono stati osservati diversi comportamenti di attacco sospetti e anomali (richieste API), con conseguente maggiore fiducia nell'uso improprio delle credenziali.
GuardDuty utilizza i suoi algoritmi di correlazione per osservare e identificare la sequenza di azioni eseguite utilizzando la credenziale IAM. GuardDuty quindi valuta i risultati dei piani di protezione e di altre fonti di segnale per identificare modelli di attacco comuni ed emergenti. GuardDuty utilizza diversi fattori per far emergere le minacce, come la reputazione IP, le sequenze API, la configurazione degli utenti e le risorse potenzialmente interessate.
**Azioni correttive**: se questa attività è imprevista nel tuo ambiente, AWS le tue credenziali o i dati di Amazon S3 potrebbero essere stati potenzialmente esfiltrati o distrutti. Per le procedure di correzione, consulta e. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md) [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md)
# GuardDuty S3 Tipi di risultati di protezione
**I seguenti risultati sono specifici per le risorse di Amazon S3 e avranno un **tipo di risorsa** `S3Bucket` se l'origine **CloudTrail dati è data events per S3** o `AccessKey` se l'origine dati è CloudTrail un evento di gestione.** La gravità e i dettagli dei risultati saranno diversi in base al tipo di ricerca e all'autorizzazione associata al bucket.
Gli esiti qui elencati includono le origini dati e i modelli utilizzati per generare quel tipo di esito. Per ulteriori informazioni sulle origini dati e sui modelli, consulta [GuardDuty fonti di dati fondamentali](guardduty_data-sources.md).
**Importante**
I risultati con una fonte di dati **sugli eventi di CloudTrail dati per S3** vengono generati solo se hai abilitato S3 Protection. Per impostazione predefinita, dopo il 31 luglio 2020, S3 Protection è abilitato quando un account viene abilitato GuardDuty per la prima volta o quando un account GuardDuty amministratore delegato viene abilitato GuardDuty in un account membro esistente. Tuttavia, quando un nuovo membro si unisce all' GuardDuty organizzazione, verranno applicate le preferenze di attivazione automatica dell'organizzazione. Per informazioni sull'attivazione automatica delle preferenze, consulta[Impostazione delle preferenze di attivazione automatica dell'organizzazione](set-guardduty-auto-enable-preferences.md). Per informazioni su come abilitare S3 Protection, vedi [GuardDuty Protezione S3](s3-protection.md)
Per tutti i tipi di esiti `S3Bucket`, ti consigliamo di esaminare le autorizzazioni sul bucket in questione e le autorizzazioni di tutti gli utenti coinvolti nell'esito. Se l'attività è non è prevista, consulta le raccomandazioni per la correzione descritte in dettaglio in [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
**Topics**
+ [Discovery:S3/AnomalousBehavior](#discovery-s3-anomalousbehavior)
+ [Discovery:S3/MaliciousIPCaller](#discovery-s3-maliciousipcaller)
+ [Discovery:S3/MaliciousIPCaller.Custom](#discovery-s3-maliciousipcallercustom)
+ [Discovery:S3/TorIPCaller](#discovery-s3-toripcaller)
+ [Exfiltration:S3/AnomalousBehavior](#exfiltration-s3-anomalousbehavior)
+ [Exfiltration:S3/MaliciousIPCaller](#exfiltration-s3-maliciousipcaller)
+ [Impact:S3/AnomalousBehavior.Delete](#impact-s3-anomalousbehavior-delete)
+ [Impact:S3/AnomalousBehavior.Permission](#impact-s3-anomalousbehavior-permission)
+ [Impact:S3/AnomalousBehavior.Write](#impact-s3-anomalousbehavior-write)
+ [Impact:S3/MaliciousIPCaller](#impact-s3-maliciousipcaller)
+ [PenTest:S3/KaliLinux](#pentest-s3-kalilinux)
+ [PenTest:S3/ParrotLinux](#pentest-s3-parrotlinux)
+ [PenTest:S3/PentooLinux](#pentest-s3-pentoolinux)
+ [Policy:S3/AccountBlockPublicAccessDisabled](#policy-s3-accountblockpublicaccessdisabled)
+ [Policy:S3/BucketAnonymousAccessGranted](#policy-s3-bucketanonymousaccessgranted)
+ [Policy:S3/BucketBlockPublicAccessDisabled](#policy-s3-bucketblockpublicaccessdisabled)
+ [Policy:S3/BucketPublicAccessGranted](#policy-s3-bucketpublicaccessgranted)
+ [Stealth:S3/ServerAccessLoggingDisabled](#stealth-s3-serveraccessloggingdisabled)
+ [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](#unauthorizedaccess-s3-maliciousipcallercustom)
+ [UnauthorizedAccess:S3/TorIPCaller](#unauthorizedaccess-s3-toripcaller)
## Discovery:S3/AnomalousBehavior
### Un'API comunemente utilizzata per scovare gli oggetti S3 è stata richiamata in modo anomalo.
**Gravità predefinita: bassa**
+ **Fonte dati:** eventi di CloudTrail dati per S3
Questo esito indica che un’entità IAM ha richiamato un’API S3 per scoprire i bucket S3 nel tuo ambiente, ad esempio `ListObjects`. Questo tipo di attività è associata alla fase di scoperta di un attacco, in cui un aggressore raccoglie informazioni per determinare se l' AWS ambiente in uso è suscettibile a un attacco più ampio. Questa attività è sospetta perché l’entità IAM ha richiamato l’API in un modo insolito. Ad esempio, un’entità IAM senza cronologia precedente richiama un’API S3 o un’entità IAM richiama un’API S3 da una posizione insolita.
Questa API è stata identificata come anomala dal modello di machine learning (ML) GuardDuty di rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle richieste API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l’API specifica e il bucket richiesti e il numero di chiamate API effettuate. Per ulteriori informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta, consulta [Dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Discovery:S3/MaliciousIPCaller
### Un'API S3 comunemente utilizzata per scoprire risorse in un AWS ambiente è stata richiamata da un indirizzo IP malevolo noto.
**Gravità predefinita: alta**
+ **Fonte dei dati:** eventi CloudTrail relativi ai dati per S3
Questo esito segnala che un’operazione API S3 è stata richiamata da un indirizzo IP associato ad attività dannose note. L'API osservata è generalmente associata alla fase di scoperta di un attacco, quando un avversario sta raccogliendo informazioni sull'ambiente in uso. AWS A titolo di esempio si possono menzionare `GetObjectAcl` e `ListObjects`.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Discovery:S3/MaliciousIPCaller.Custom
### Un'API S3 è stata richiamata da un indirizzo IP incluso in un elenco minacce personalizzato.
**Gravità predefinita: alta**
+ **Fonte dei dati:** eventi di CloudTrail dati per S3
Questo esito segnala che un’API S3, come `GetObjectAcl` o `ListObjects`, è stata richiamata da un indirizzo IP incluso in un elenco minacce che hai caricato. L’elenco minacce associato a questo esito è elencato nella sezione **Informazioni aggiuntive** dei dettagli di un esito. Questo tipo di attività è associato alla fase di scoperta di un attacco in cui l’utente malintenzionato raccoglie informazioni per determinare se il tuo ambiente AWS è suscettibile a un attacco più ampio.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Discovery:S3/TorIPCaller
### Un'API S3 è stata richiamata dall'indirizzo IP di un nodo di uscita Tor.
**Gravità predefinita: media**
+ **Fonte dati:** eventi di CloudTrail dati per S3
Questo esito segnala che un’API S3, come `GetObjectAcl` o `ListObjects`, è stata richiamata dall’indirizzo IP di un nodo di uscita Tor. Questo tipo di attività è associata alla fase di scoperta di un attacco, in cui un aggressore raccoglie informazioni per determinare se l' AWS ambiente in uso è suscettibile a un attacco più ampio. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle AWS risorse dell'utente con l'intento di nascondere la vera identità dell'aggressore.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Exfiltration:S3/AnomalousBehavior
### Un'entità IAM ha richiamato un'API S3 in modo sospetto.
**Gravità predefinita: alta**
+ **Fonte dei dati:** CloudTrail eventi relativi ai dati per S3
Questo esito segnala che un'entità IAM effettua chiamate API che coinvolgono un bucket S3 e questa attività differisce dalla linea di base stabilita per tale entità. La chiamata API utilizzata in questa attività è associata alla fase di esfiltrazione di un attacco, in cui un utente malintenzionato tenta di raccogliere dati. Questa attività è sospetta perché l’entità IAM ha richiamato l’API in un modo insolito. Ad esempio, un’entità IAM senza cronologia precedente richiama un’API S3 o un’entità IAM richiama un’API S3 da una posizione insolita.
Questa API è stata identificata come anomala dal modello ML (Anomaly Detection Machine Learning) GuardDuty di Anomaly Detection. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle richieste API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l’API specifica e il bucket richiesti e il numero di chiamate API effettuate. Per ulteriori informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta, consulta [Dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Exfiltration:S3/MaliciousIPCaller
### Un'API S3 comunemente utilizzata per raccogliere dati da un AWS ambiente è stata richiamata da un indirizzo IP malevolo noto.
**Gravità predefinita: alta**
+ **Fonte dei dati:** eventi CloudTrail relativi ai dati per S3
Questo esito segnala che un’operazione API S3 è stata richiamata da un indirizzo IP associato ad attività dannose note. L'API osservata è comunemente associata a tattiche di esfiltrazione in cui un avversario cerca di raccogliere dati dalla tua rete. A titolo di esempio si possono menzionare `GetObject` e `CopyObject`.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Impact:S3/AnomalousBehavior.Delete
### Un'entità IAM ha richiamato un'API S3 che tenta di eliminare i dati in modo sospetto.
**Gravità predefinita: alta**
+ **Fonte dati:** eventi di CloudTrail dati per S3
Questo risultato indica che un'entità IAM nel tuo AWS ambiente sta effettuando chiamate API che coinvolgono un bucket S3 e questo comportamento è diverso dalla linea di base stabilita da tale entità. La chiamata API utilizzata in questa attività è associata a un attacco che tenta di eliminare i dati. Questa attività è sospetta perché l’entità IAM ha richiamato l’API in un modo insolito. Ad esempio, un’entità IAM senza cronologia precedente richiama un’API S3 o un’entità IAM richiama un’API S3 da una posizione insolita.
Questa API è stata identificata come anomala dal modello GuardDuty di machine learning (ML) di rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle richieste API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l’API specifica e il bucket richiesti e il numero di chiamate API effettuate. Per ulteriori informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta, consulta [Dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
Ti consigliamo di controllare il contenuto del tuo bucket S3 per determinare se la versione precedente dell'oggetto può o deve essere ripristinata.
## Impact:S3/AnomalousBehavior.Permission
### Un'API comunemente utilizzata per impostare le autorizzazioni della lista di controllo degli accessi (ACL) è stata richiamata in modo anomalo.
**Gravità predefinita: alta**
+ **Fonte dei dati: eventi di** CloudTrail dati per S3
Questo risultato ti informa che un'entità IAM nel tuo AWS ambiente ha aggiornato una policy o un ACL sui bucket S3 elencati. Questa modifica può esporre pubblicamente i bucket S3 a tutti gli utenti autenticati. AWS
Questa API è stata identificata come anomala dal modello di apprendimento automatico (ML) GuardDuty di rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle richieste API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l’API specifica e il bucket richiesti e il numero di chiamate API effettuate. Per ulteriori informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta, consulta [Dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
Ti consigliamo di controllare il contenuto del tuo bucket S3 per assicurarti che a nessun oggetto sia stato inaspettatamente consentito l'accesso pubblico.
## Impact:S3/AnomalousBehavior.Write
### Un'entità IAM ha richiamato un'API S3 che tenta di scrivere i dati in modo sospetto.
**Gravità predefinita: media**
+ **Fonte dei dati: eventi di** CloudTrail dati per S3
Questo risultato indica che un'entità IAM nel tuo AWS ambiente sta effettuando chiamate API che coinvolgono un bucket S3 e questo comportamento è diverso dalla linea di base stabilita da tale entità. La chiamata API utilizzata in questa attività è associata a un attacco che tenta di scrivere i dati. Questa attività è sospetta perché l’entità IAM ha richiamato l’API in un modo insolito. Ad esempio, un’entità IAM senza cronologia precedente richiama un’API S3 o un’entità IAM richiama un’API S3 da una posizione insolita.
Questa API è stata identificata come anomala dal modello di machine learning (ML) per GuardDuty il rilevamento delle anomalie. Il modello di ML valuta tutte le richieste API nel tuo account e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Tiene traccia di vari fattori delle richieste API, come l’utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l’API specifica e il bucket richiesti e il numero di chiamate API effettuate. Per ulteriori informazioni su quali fattori della richiesta API sono insoliti per l’identità utente che ha richiamato la richiesta, consulta [Dettagli sugli esiti](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous).
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
Ti consigliamo di controllare il contenuto del tuo bucket S3 per assicurarti che questa chiamata API non abbia scritto dati dannosi o non autorizzati.
## Impact:S3/MaliciousIPCaller
### Un'API S3 comunemente utilizzata per manomettere dati o processi in un AWS ambiente è stata richiamata da un indirizzo IP dannoso noto.
**Gravità predefinita: alta**
+ **Fonte dei dati: eventi di** CloudTrail dati per S3
Questo esito segnala che un’operazione API S3 è stata richiamata da un indirizzo IP associato ad attività dannose note. L'API osservata è comunemente associata a tattiche di impatto in cui un avversario cerca di manipolare, interrompere o distruggere i dati all'interno dell'ambiente. AWS A titolo di esempio si possono menzionare `PutObject` e `PutObjectAcl`.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## PenTest:S3/KaliLinux
### Un'API S3 è stata richiamata da una macchina Kali Linux.
**Gravità predefinita: media**
+ **Fonte dei dati**: eventi relativi ai dati per S3 CloudTrail
Questa scoperta ti informa che una macchina che esegue Kali Linux sta effettuando chiamate all'API S3 utilizzando credenziali che appartengono al tuo account. AWS Le tue credenziali potrebbero essere compromesse. Kali Linux è uno noto strumento per l’esecuzione di test di intrusione utilizzato dai professionisti della sicurezza informatica per identificare le vulnerabilità nelle istanze EC2 che richiedono l’applicazione di patch. Gli aggressori utilizzano questo strumento anche per individuare i punti deboli della configurazione EC2 e ottenere l'accesso non autorizzato al tuo ambiente. AWS
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## PenTest:S3/ParrotLinux
### Un'API S3 è stata richiamata da una macchina Parrot Security Linux.
**Gravità predefinita: media**
+ **Fonte dei dati**: eventi relativi ai dati per S3 CloudTrail
Questa scoperta indica che una macchina su cui è in esecuzione Parrot Security Linux sta effettuando chiamate all'API S3 utilizzando credenziali che appartengono al vostro account. AWS Le tue credenziali potrebbero essere compromesse. Parrot Security Linux è uno noto strumento per l’esecuzione di test di intrusione utilizzato dai professionisti della sicurezza informatica per identificare le vulnerabilità nelle istanze EC2 che richiedono l’applicazione di patch. Questo strumento è utilizzato anche dagli utenti malintenzionati per identificare le vulnerabilità nella configurazione EC2 e ottenere accesso non autorizzato all'ambiente AWS .
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## PenTest:S3/PentooLinux
### Un'API S3 è stata richiamata da una macchina Pentoo Linux.
**Gravità predefinita: media**
+ **Fonte dei dati: CloudTrail eventi di dati** per S3
Questa scoperta ti informa che una macchina che esegue Pentoo Linux sta effettuando chiamate all'API S3 utilizzando credenziali che appartengono al tuo account. AWS Le tue credenziali potrebbero essere compromesse. Pentoo Linux è uno noto strumento per l’esecuzione di test di intrusione utilizzato dai professionisti della sicurezza informatica per identificare le vulnerabilità nelle istanze EC2 che richiedono l’applicazione di patch. Gli aggressori utilizzano questo strumento anche per individuare i punti deboli della configurazione EC2 e ottenere l'accesso non autorizzato al tuo ambiente. AWS
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Policy:S3/AccountBlockPublicAccessDisabled
### Un'entità IAM ha richiamato un'API utilizzata per disabilitare il blocco dell'accesso pubblico S3 su un account.
**Gravità predefinita: bassa**
+ **Fonte dei dati: eventi di gestione** CloudTrail
Questo esito segnala che il blocco dell’accesso pubblico Amazon S3 è stato disabilitato a livello di account. Quando le impostazioni di S3 Block Public Access sono abilitate, vengono utilizzate per filtrare le politiche o gli elenchi di controllo degli accessi (ACLs) sui bucket come misura di sicurezza per prevenire l'esposizione pubblica involontaria dei dati.
In genere, il blocco dell’accesso pubblico S3 è disattivato nell’account per consentire l’accesso pubblico a un bucket o agli oggetti al suo interno. Quando S3 Block Public Access è disabilitato per un account, l'accesso ai bucket è controllato dalle policy o dalle impostazioni di Block Public Access a livello di bucket applicate ai singoli bucket. ACLs Questo non significa per forza che i bucket sono condivisi pubblicamente, ma che è necessario controllare le autorizzazioni applicate ai bucket per verificare che forniscano il livello di accesso appropriato.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Policy:S3/BucketAnonymousAccessGranted
### Un titolare IAM ha concesso l'accesso a un bucket S3 a Internet modificando le policy del bucket o. ACLs
**Gravità predefinita: alta**
+ **Fonte dei dati**: eventi di gestione CloudTrail
Questo esito segnala che il bucket S3 elencato è stato reso accessibile pubblicamente su Internet perché un’entità IAM ha modificato una policy o un’ACL per il bucket in questione.
Dopo aver rilevato una modifica alla policy o all'ACL, GuardDuty utilizza il ragionamento automatico fornito da [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) per determinare se il bucket è accessibile al pubblico.
**Nota**
Se le policy di un bucket ACLs o di un bucket sono configurate per negare esplicitamente o negare tutto, questo risultato potrebbe non riflettere lo stato attuale del bucket. Questo esito non rifletterà alcuna impostazione di [Blocco dell'accesso pubblico S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) che potrebbe essere stata abilitata per il tuo bucket S3. In questi casi, il valore `effectivePermission` dell'esito verrà contrassegnato come `UNKNOWN`.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Policy:S3/BucketBlockPublicAccessDisabled
### Un'entità IAM ha richiamato un'API utilizzata per disabilitare il blocco dell'accesso pubblico S3 su un bucket.
**Gravità predefinita: bassa**
+ **CloudTrail Fonte dei dati: eventi di gestione**
Questo esito segnala che il blocco dell’accesso pubblico è stato disabilitato per il bucket S3 elencato. Se abilitate, le impostazioni di S3 Block Public Access vengono utilizzate per filtrare le politiche o le liste di controllo degli accessi (ACLs) applicate ai bucket come misura di sicurezza per prevenire l'esposizione pubblica involontaria dei dati.
In genere, il blocco dell’accesso pubblico S3 è disattivato su un bucket per consentire l’accesso pubblico al bucket in questione o agli oggetti al suo interno. Quando S3 Block Public Access è disabilitato per un bucket, l'accesso al bucket è controllato dalle policy o applicato ad esso. ACLs Ciò non significa che il bucket sia condiviso pubblicamente, ma è necessario verificare le politiche e ACLs applicarle al bucket per confermare che vengano applicate le autorizzazioni appropriate.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Policy:S3/BucketPublicAccessGranted
### Un responsabile IAM ha concesso l'accesso pubblico a un bucket S3 a tutti AWS gli utenti modificando le policy del bucket o. ACLs
**Gravità predefinita: alta**
+ **Fonte dei dati**: eventi di gestione CloudTrail
Questo risultato indica che il bucket S3 elencato è stato esposto pubblicamente a tutti AWS gli utenti autenticati perché un'entità IAM ha modificato una policy del bucket o ACL su quel bucket S3.
Una volta rilevata una modifica alla policy o all'ACL, GuardDuty utilizza il ragionamento automatico fornito da [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) per determinare se il bucket è accessibile al pubblico.
**Nota**
Se le policy di un bucket ACLs o di un bucket sono configurate per negare esplicitamente o negare tutto, questo risultato potrebbe non riflettere lo stato attuale del bucket. Questo esito non rifletterà alcuna impostazione di [Blocco dell'accesso pubblico S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html) che potrebbe essere stata abilitata per il tuo bucket S3. In questi casi, il valore `effectivePermission` dell'esito verrà contrassegnato come `UNKNOWN`.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Stealth:S3/ServerAccessLoggingDisabled
### La registrazione degli accessi al server S3 è stata disabilitata per un bucket.
**Gravità predefinita: bassa**
+ **CloudTrail Fonte dei dati: eventi di gestione**
Questa scoperta ti informa che la registrazione degli accessi al server S3 è disabilitata per un bucket all'interno del tuo ambiente. AWS Se disabilitata, non viene creato alcun registro delle richieste Web per i tentativi di accesso al bucket S3 identificato, tuttavia, le chiamate API di gestione S3 al bucket, ad esempio, vengono comunque tracciate. [DeleteBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html) Se la registrazione degli eventi dei dati S3 è abilitata CloudTrail per questo bucket, le richieste web per gli oggetti all'interno del bucket verranno comunque tracciate. La disabilitazione della registrazione è una tecnica utilizzata da utenti non autorizzati per evitare il rilevamento. Per ulteriori informazioni sui log S3, consulta [ Registrazione degli accessi al server S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html) e [Opzioni di registrazione S3 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/logging-with-S3.html).
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## UnauthorizedAccess:S3/MaliciousIPCaller.Custom
### Un'API S3 è stata richiamata da un indirizzo IP incluso in un elenco minacce personalizzato.
**Gravità predefinita: alta**
+ **Fonte dati: eventi di dati** per S3 CloudTrail
Questo esito segnala che un’operazione API S3, ad esempio, `PutObject` o `PutObjectAcl`, è stata richiamata da un indirizzo IP incluso in un elenco minacce che hai caricato. L’elenco minacce associato a questo esito è elencato nella sezione **Informazioni aggiuntive** dei dettagli di un esito.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## UnauthorizedAccess:S3/TorIPCaller
### Un'API S3 è stata richiamata dall'indirizzo IP di un nodo di uscita Tor.
**Gravità predefinita: alta**
+ **Fonte dati:** eventi di CloudTrail dati per S3
Questo esito segnala che un’operazione API S3, come `PutObject` o `PutObjectAcl`, è stata richiamata dall’indirizzo IP di un nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Questa scoperta può indicare un accesso non autorizzato alle tue AWS risorse con l'intento di nascondere la vera identità dell'aggressore.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
# Tipi di risultati di protezione EKS
I seguenti risultati sono specifici delle risorse Amazon EKS e hanno un valore **resource\$1type** di. `EKSCluster` La gravità e i dettagli degli esiti variano in base al tipo di esito.
Per tutti i risultati relativi ai log di audit EKS, consigliamo di esaminare la risorsa in questione per determinare se l'attività è prevista o potenzialmente dannosa. Per indicazioni sulla correzione di una risorsa compromessa dei registri di controllo EKS identificata da un GuardDuty risultato, vedere. [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md)
**Nota**
Se questi esiti vengono generati a causa di un'attività prevista, valuta la possibilità di aggiungere una [Regole di soppressione in GuardDuty](findings_suppression-rule.md) per evitare avvisi futuri.
**Topics**
+ [CredentialAccess:Kubernetes/MaliciousIPCaller](#credentialaccess-kubernetes-maliciousipcaller)
+ [CredentialAccess:Kubernetes/MaliciousIPCaller.Custom](#credentialaccess-kubernetes-maliciousipcallercustom)
+ [CredentialAccess:Kubernetes/SuccessfulAnonymousAccess](#credentialaccess-kubernetes-successfulanonymousaccess)
+ [CredentialAccess:Kubernetes/TorIPCaller](#credentialaccess-kubernetes-toripcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller](#defenseevasion-kubernetes-maliciousipcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom](#defenseevasion-kubernetes-maliciousipcallercustom)
+ [DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess](#defenseevasion-kubernetes-successfulanonymousaccess)
+ [DefenseEvasion:Kubernetes/TorIPCaller](#defenseevasion-kubernetes-toripcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller](#discovery-kubernetes-maliciousipcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](#discovery-kubernetes-maliciousipcallercustom)
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](#discovery-kubernetes-successfulanonymousaccess)
+ [Discovery:Kubernetes/TorIPCaller](#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller](#impact-kubernetes-maliciousipcaller)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](#impact-kubernetes-maliciousipcallercustom)
+ [Impact:Kubernetes/SuccessfulAnonymousAccess](#impact-kubernetes-successfulanonymousaccess)
+ [Impact:Kubernetes/TorIPCaller](#impact-kubernetes-toripcaller)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](#persistence-kubernetes-containerwithsensitivemount)
+ [Persistence:Kubernetes/MaliciousIPCaller](#persistence-kubernetes-maliciousipcaller)
+ [Persistence:Kubernetes/MaliciousIPCaller.Custom](#persistence-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/SuccessfulAnonymousAccess](#persistence-kubernetes-successfulanonymousaccess)
+ [Persistence:Kubernetes/TorIPCaller](#persistence-kubernetes-toripcaller)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/AnonymousAccessGranted](#policy-kubernetes-anonymousaccessgranted)
+ [Policy:Kubernetes/ExposedDashboard](#policy-kubernetes-exposeddashboard)
+ [Policy:Kubernetes/KubeflowDashboardExposed](#policy-kubernetes-kubeflowdashboardexposed)
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](#privilegeescalation-kubernetes-privilegedcontainer)
+ [CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed](#credaccess-kubernetes-anomalousbehavior-secretsaccessed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated](#privesc-kubernetes-anomalousbehavior-rolebindingcreated)
+ [Execution:Kubernetes/AnomalousBehavior.ExecInPod](#execution-kubernetes-anomalousbehvaior-execinprod)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer](#privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer)
+ [Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount](#privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount)
+ [Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed](#exec-kubernetes-anomalousbehavior-workloaddeployed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated](#privesc-kubernetes-anomalousbehavior-rolecreated)
+ [Discovery:Kubernetes/AnomalousBehavior.PermissionChecked](#discovery-kubernetes-anomalousbehavrior-permissionchecked)
**Nota**
Prima della versione 1.14 di Kubernetes, il `system:unauthenticated` gruppo era associato a e per impostazione predefinita. `system:discovery` `system:basic-user` **ClusterRoles** Questa associazione potrebbe consentire l'accesso non intenzionale a utenti anonimi. Gli aggiornamenti del cluster non revocano queste autorizzazioni. Anche se hai aggiornato il cluster alla versione 1.14 o successiva, le autorizzazioni in questione potrebbero essere ancora abilitate. Ti consigliamo di disassociare queste autorizzazioni dal gruppo `system:unauthenticated`. Per indicazioni sulla revoca di queste autorizzazioni, consulta le [best practice di sicurezza per Amazon EKS nella *Amazon EKS*](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) User Guide.
## CredentialAccess:Kubernetes/MaliciousIPCaller
### Un’API comunemente utilizzata per accedere a credenziali o segreti in un cluster Kubernetes è stata richiamata da un indirizzo IP dannoso noto.
**Gravità predefinita: alta**
+ **Funzionalità: registri di controllo EKS**
Questo esito segnala che un’operazione API è stata richiamata da un indirizzo IP associato ad attività dannose note. L'API osservata è comunemente associata alle tattiche di accesso alle credenziali in cui un avversario tenta di raccogliere password, nomi utente e chiavi di accesso per il cluster Kubernetes.
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## CredentialAccess:Kubernetes/MaliciousIPCaller.Custom
### Un’API comunemente utilizzata per accedere a credenziali o segreti in un cluster Kubernetes è stata richiamata da un indirizzo IP incluso in un elenco minacce personalizzato.
**Gravità predefinita: alta**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’operazione API è stata chiamata da un indirizzo IP incluso in un elenco minacce che hai caricato. L'elenco minacce associato a questo esito è elencato nella sezione **Informazioni aggiuntive** dei dettagli di un esito. L'API osservata è comunemente associata alle tattiche di accesso alle credenziali in cui un avversario tenta di raccogliere password, nomi utente e chiavi di accesso per il cluster Kubernetes.
**Raccomandazioni per la correzione:**
*Se l'utente segnalato nella scoperta sotto la `KubernetesUserDetails` sezione lo è`system:anonymous`, scopri perché all'utente anonimo è stato consentito di richiamare l'API e revoca le autorizzazioni, se necessario, seguendo le istruzioni riportate nelle [best practice di sicurezza per Amazon EKS nella Guida per l'utente di Amazon](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) EKS.* Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## CredentialAccess:Kubernetes/SuccessfulAnonymousAccess
### Un’API comunemente utilizzata per accedere a credenziali o segreti in un cluster Kubernetes è stata richiamata da un utente non autenticato.
**Gravità predefinita: alta**
+ **Caratteristica: log di controllo EKS**
Questo esito segnala che un’operazione API è stata richiamata correttamente dall’utente `system:anonymous`. Le chiamate API effettuate da `system:anonymous` non sono autenticate. L'API osservata è comunemente associata alle tattiche di accesso alle credenziali in cui un avversario tenta di raccogliere password, nomi utente e chiavi di accesso per il cluster Kubernetes. Questa attività indica che è stato autorizzato l'accesso anonimo o non autenticato sull'operazione API riportata nell'esito e che l'accesso potrebbe essere autorizzato anche su altre operazioni. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.
**Raccomandazioni per la correzione:**
Esamina le autorizzazioni concesse all’utente `system:anonymous` sul cluster e assicurati che tutte le autorizzazioni siano necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta le [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*.
Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## CredentialAccess:Kubernetes/TorIPCaller
### Un’API comunemente utilizzata per accedere a credenziali o segreti in un cluster Kubernetes è stata richiamata dall’indirizzo IP di un nodo di uscita Tor.
**Gravità predefinita: alta**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’API è stata richiamata dall’indirizzo IP di un nodo di uscita Tor. L'API osservata è comunemente associata alle tattiche di accesso alle credenziali in cui un avversario tenta di raccogliere password, nomi utente e chiavi di accesso per il cluster Kubernetes. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle risorse del cluster Kubernetes con l’intento di nascondere la vera identità dell’utente malintenzionato.
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## DefenseEvasion:Kubernetes/MaliciousIPCaller
### Un’API comunemente utilizzata per eludere le misure difensive è stata richiamata da un indirizzo IP dannoso noto.
**Gravità predefinita: alta**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’operazione API è stata richiamata da un indirizzo IP associato ad attività dannose note. L’API osservata è comunemente associata a tattiche di evasione della difesa in cui un avversario cerca di nascondere le proprie operazioni per non essere rilevato.
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom
### Un’API comunemente utilizzata per eludere le misure difensive è stata richiamata da un indirizzo IP incluso in un elenco minacce personalizzato.
**Gravità predefinita: alta**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’operazione API è stata chiamata da un indirizzo IP incluso in un elenco minacce che hai caricato. L’elenco minacce associato a questo esito è elencato nella sezione **Informazioni aggiuntive** dei dettagli di un esito. L’API osservata è comunemente associata a tattiche di evasione della difesa in cui un avversario cerca di nascondere le proprie operazioni per non essere rilevato.
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess
### Un’API comunemente utilizzata per eludere le misure difensive è stata richiamata da un utente non autenticato.
**Gravità predefinita: alta**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’operazione API è stata richiamata correttamente dall’utente `system:anonymous`. Le chiamate API effettuate da `system:anonymous` non sono autenticate. L’API osservata è comunemente associata a tattiche di evasione della difesa in cui un avversario cerca di nascondere le proprie operazioni per non essere rilevato. Questa attività indica che è stato autorizzato l’accesso anonimo o non autenticato sull’operazione API riportata nell’esito e che l’accesso potrebbe essere autorizzato anche su altre operazioni. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.
**Raccomandazioni per la correzione:**
Esamina le autorizzazioni concesse all’utente `system:anonymous` sul cluster e assicurati che tutte le autorizzazioni siano necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta le [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*.
Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## DefenseEvasion:Kubernetes/TorIPCaller
### Un’API comunemente utilizzata per eludere le misure difensive è stata richiamata dall’indirizzo IP di un nodo di uscita Tor.
**Gravità predefinita: alta**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’API è stata richiamata dall’indirizzo IP di un nodo di uscita Tor. L’API osservata è comunemente associata a tattiche di evasione della difesa in cui un avversario cerca di nascondere le proprie operazioni per non essere rilevato. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato al cluster Kubernetes con l'intento di nascondere la vera identità dell'utente malintenzionato.
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Discovery:Kubernetes/MaliciousIPCaller
### Un'API comunemente utilizzata per scovare risorse in un cluster Kubernetes è stata richiamata da un indirizzo IP.
**Gravità predefinita: media**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’operazione API è stata richiamata da un indirizzo IP associato ad attività dannose note. L’API osservata è comunemente associata alla fase di scoperta di un attacco in cui l’utente malintenzionato raccoglie informazioni per determinare se il cluster Kubernetes è suscettibile a un attacco più ampio.
**Per accessi non autenticati**
MaliciousIPCalleri risultati non vengono generati per l'accesso non autenticato.
SuccessfulAnonymousAccessi risultati vengono generati per un accesso non autenticato o anonimo.
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Discovery:Kubernetes/MaliciousIPCaller.Custom
### Un’API comunemente utilizzata per scovare risorse in un cluster Kubernetes è stata richiamata da un indirizzo IP incluso in un elenco minacce personalizzato.
**Gravità predefinita: media**
+ **Caratteristica: registri di controllo** EKS
Questo esito segnala che un’API è stata richiamata da un indirizzo IP incluso in un elenco minacce che hai caricato. L’elenco minacce associato a questo esito è elencato nella sezione **Informazioni aggiuntive** dei dettagli di un esito. L’API osservata è comunemente associata alla fase di scoperta di un attacco in cui l’utente malintenzionato raccoglie informazioni per determinare se il cluster Kubernetes è suscettibile a un attacco più ampio.
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Discovery:Kubernetes/SuccessfulAnonymousAccess
### Un’API comunemente utilizzata per scovare risorse in un cluster Kubernetes è stata richiamata da un utente non autenticato.
**Gravità predefinita: media**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’operazione API è stata richiamata correttamente dall’utente `system:anonymous`. Le chiamate API effettuate da `system:anonymous` non sono autenticate. L’API osservata è comunemente associata alla fase di scoperta di un attacco, quando un avversario raccoglie informazioni sul cluster Kubernetes. Questa attività indica che è stato autorizzato l’accesso anonimo o non autenticato sull’operazione API riportata nell’esito e che l’accesso potrebbe essere autorizzato anche su altre operazioni. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.
Questo tipo di risultato esclude gli endpoint dell'API Health Check come`/healthz`,`/livez`, `/readyz` e. `/version`
**Raccomandazioni per la correzione:**
Esamina le autorizzazioni concesse all’utente `system:anonymous` sul cluster e assicurati che tutte le autorizzazioni siano necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta le [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*.
Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Discovery:Kubernetes/TorIPCaller
### Un’API comunemente utilizzata per scovare risorse in un cluster Kubernetes è stata richiamata dall’indirizzo IP di un nodo di uscita Tor.
**Gravità predefinita: media**
+ **Caratteristica: registri di controllo** EKS
Questo esito segnala che un’API è stata richiamata dall’indirizzo IP di un nodo di uscita Tor. L’API osservata è comunemente associata alla fase di scoperta di un attacco in cui l’utente malintenzionato raccoglie informazioni per determinare se il cluster Kubernetes è suscettibile a un attacco più ampio. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato al cluster Kubernetes con l'intento di nascondere la vera identità dell'utente malintenzionato.
**Raccomandazioni per la correzione:**
Se l'utente segnalato nella scoperta sotto la `KubernetesUserDetails` sezione lo è`system:anonymous`, scopri perché all'utente anonimo è stato consentito di richiamare la APIand revoca delle autorizzazioni, se necessario, seguendo le istruzioni riportate nelle [best practice di sicurezza per Amazon EKS nella Guida per](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) l'utente di *Amazon* EKS. Se l'utente è autenticato, effettua ulteriori verifiche per determinare se l'attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Execution:Kubernetes/ExecInKubeSystemPod
### È stato eseguito un comando in un pod all'interno dello spazio dei nomi del `kube-system`.
**Gravità predefinita: media**
+ **Caratteristica: registri di controllo EKS**
Questo esito segnala che è stato eseguito un comando in un pod all'interno dello spazio dei nomi del `kube-system` utilizzando l'**API di esecuzione Kubernetes**. Lo spazio dei nomi del `kube-system` è predefinito e viene utilizzato principalmente per componenti a livello di sistema, come `kube-dns` e `kube-proxy`. L'esecuzione di comandi in pod o container all'interno dello spazio dei nomi del `kube-system` è molto rara e può indicare attività sospette.
**Raccomandazioni per la correzione:**
Se l'esecuzione di questo comando non è prevista, le credenziali dell'identità utente utilizzate per eseguirlo potrebbero essere compromesse. Revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Impact:Kubernetes/MaliciousIPCaller
### Un’API comunemente utilizzata per manomettere risorse in un cluster Kubernetes è stata richiamata da un indirizzo IP dannoso noto.
**Gravità predefinita: alta**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’operazione API è stata richiamata da un indirizzo IP associato ad attività dannose note. L'API osservata è comunemente associata a tattiche di impatto in cui un avversario cerca di manipolare, interrompere o distruggere i dati all'interno dell'ambiente. AWS
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Impact:Kubernetes/MaliciousIPCaller.Custom
### Un’API comunemente utilizzata per manomettere risorse in un cluster Kubernetes è stata richiamata da un indirizzo IP incluso in un elenco minacce personalizzato.
**Gravità predefinita: alta**
+ **Caratteristica: registri di controllo EKS**
Questo esito segnala che un’operazione API è stata chiamata da un indirizzo IP incluso in un elenco minacce che hai caricato. L’elenco minacce associato a questo esito è elencato nella sezione **Informazioni aggiuntive** dei dettagli di un esito. L'API osservata è comunemente associata a tattiche di impatto in cui un avversario cerca di manipolare, interrompere o distruggere i dati all'interno dell'ambiente. AWS
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Impact:Kubernetes/SuccessfulAnonymousAccess
### Un’API comunemente utilizzata per manomettere risorse in un cluster Kubernetes è stata richiamata da un utente non autenticato.
**Gravità predefinita: alta**
+ **Caratteristica: registri di controllo EKS**
Questo esito segnala che un’operazione API è stata richiamata correttamente dall’utente `system:anonymous`. Le chiamate API effettuate da `system:anonymous` non sono autenticate. L’API osservata è generalmente associata alla fase di impatto di un attacco, quando un avversario manomette le risorse del cluster. Questa attività indica che è stato autorizzato l’accesso anonimo o non autenticato sull’operazione API riportata nell’esito e che l’accesso potrebbe essere autorizzato anche su altre operazioni. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.
**Raccomandazioni per la correzione:**
Esamina le autorizzazioni concesse all’utente `system:anonymous` sul cluster e assicurati che tutte le autorizzazioni siano necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta le [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*.
Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Impact:Kubernetes/TorIPCaller
### Un’API comunemente utilizzata per manomettere risorse in un cluster Kubernetes è stata richiamata dall’indirizzo IP di un nodo di uscita Tor.
**Gravità predefinita: alta**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’API è stata richiamata dall’indirizzo IP di un nodo di uscita Tor. L’API osservata è comunemente associata a tattiche di impatto con cui un avversario cerca di manipolare, interrompere o distruggere dati all’interno del tuo ambiente AWS . Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato al cluster Kubernetes con l'intento di nascondere la vera identità dell'utente malintenzionato.
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Persistence:Kubernetes/ContainerWithSensitiveMount
### È stato avviato un container con un percorso host esterno sensibile montato all’interno.
**Gravità predefinita: media**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un container è stato avviato con una configurazione che includeva un percorso host sensibile con accesso in scrittura nella sezione `volumeMounts`. Ciò rende questo percorso accessibile e scrivibile dall'interno del container. Questa tecnica viene comunemente utilizzata dagli avversari per accedere al file system dell'host.
**Raccomandazioni per la correzione:**
Se l’avvio del container non è previsto, le credenziali dell’identità utente utilizzate per avviarlo potrebbero essere compromesse. Revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
Se l’avvio di questo container è previsto, ti consigliamo di utilizzare una regola di eliminazione composta da un criterio di filtro basato sul campo `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix`. Nei criteri di filtro, il campo `imagePrefix` deve essere uguale all'`imagePrefix` specificato nell'esito. Per ulteriori informazioni sulla creazione delle regole di eliminazione, consulta [Regole di eliminazione](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule).
## Persistence:Kubernetes/MaliciousIPCaller
### Un'API comunemente utilizzata per mantenere l'accesso persistente a un cluster Kubernetes è stata richiamata da un indirizzo IP dannoso noto.
**Gravità predefinita: media**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’operazione API è stata richiamata da un indirizzo IP associato ad attività dannose note. L’API osservata è comunemente associata a tattiche di persistenza in cui un avversario ha ottenuto l’accesso al cluster Kubernetes e cerca di mantenerlo.
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Persistence:Kubernetes/MaliciousIPCaller.Custom
### Un’API comunemente utilizzata per mantenere l’accesso persistente a un cluster Kubernetes è stata richiamata da un indirizzo IP incluso in un elenco minacce personalizzato.
**Gravità predefinita: media**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’operazione API è stata chiamata da un indirizzo IP incluso in un elenco minacce che hai caricato. L’elenco minacce associato a questo esito è elencato nella sezione **Informazioni aggiuntive** dei dettagli di un esito. L’API osservata è comunemente associata a tattiche di persistenza in cui un avversario ha ottenuto l’accesso al cluster Kubernetes e cerca di mantenerlo.
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Persistence:Kubernetes/SuccessfulAnonymousAccess
### Un’API comunemente utilizzata per ottenere autorizzazioni di alto livello per un cluster Kubernetes è stata richiamata da un utente non autenticato.
**Gravità predefinita: alta**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’operazione API è stata richiamata correttamente dall’utente `system:anonymous`. Le chiamate API effettuate da `system:anonymous` non sono autenticate. L’API osservata è comunemente associata alle tattiche di persistenza in cui un avversario ha ottenuto l’accesso al cluster e cerca di mantenerlo. Questa attività indica che è stato autorizzato l’accesso anonimo o non autenticato sull’operazione API riportata nell’esito e che l’accesso potrebbe essere autorizzato anche su altre operazioni. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.
**Raccomandazioni per la correzione:**
Esamina le autorizzazioni concesse all’utente `system:anonymous` sul cluster e assicurati che tutte le autorizzazioni siano necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta le [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*.
Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Persistence:Kubernetes/TorIPCaller
### Un’API comunemente utilizzata per mantenere l’accesso persistente a un cluster Kubernetes è stata richiamata dall’indirizzo IP di un nodo di uscita Tor.
**Gravità predefinita: media**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’API è stata richiamata dall’indirizzo IP di un nodo di uscita Tor. L’API osservata è comunemente associata a tattiche di persistenza in cui un avversario ha ottenuto l’accesso al cluster Kubernetes e cerca di mantenerlo. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle AWS risorse con l'intento di nascondere la vera identità dell'aggressore.
**Raccomandazioni per la correzione:**
Se l’utente ha segnalato l’esito nella sezione `KubernetesUserDetails` è `system:anonymous`, scopri perché all’utente anonimo è stato permesso di invocare l’API e di revocare le autorizzazioni, se necessario, seguendo le istruzioni contenute nelle [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se l’utente è autenticato, effettua ulteriori verifiche per determinare se l’attività era legittima o dannosa. Se l’attività era dannosa, revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Policy:Kubernetes/AdminAccessToDefaultServiceAccount
### All’account di servizio predefinito sono stati concessi i privilegi di amministratore su un cluster Kubernetes.
**Gravità predefinita: alta**
+ **Caratteristica: registri di controllo EKS**
Questo esito segnala che all’account di servizio predefinito per un namespace nel cluster Kubernetes sono stati concessi i privilegi di amministratore. Kubernetes crea un account di servizio predefinito per tutti gli spazi dei nomi del cluster e lo assegna automaticamente come identità ai pod che non sono stati associati esplicitamente a un altro account di servizio. Se l’account di servizio predefinito dispone di privilegi di amministratore, è possibile che vengano lanciati involontariamente pod con privilegi di amministratore. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.
**Raccomandazioni per la correzione:**
Non utilizzare l’account di servizio predefinito per concedere autorizzazioni ai pod. Crea invece un account di servizio dedicato per ogni carico di lavoro e concedi l’autorizzazione a tale account in base alle esigenze. Per risolvere questo problema, crea account di servizio dedicati per tutti i tuoi pod e carichi di lavoro e aggiornali per migrare dall’account di servizio predefinito ai relativi account dedicati. Rimuovi quindi l’autorizzazione di amministratore dall’account di servizio predefinito. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Policy:Kubernetes/AnonymousAccessGranted
### All'utente `system:anonymous` è stata concessa l'autorizzazione API su un cluster Kubernetes.
**Gravità predefinita: alta**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un utente del cluster Kubernetes ha creato correttamente un `ClusterRoleBinding` o `RoleBinding` per associare l’utente `system:anonymous` a un ruolo. In questo modo viene consentito l’accesso non autenticato alle operazioni API autorizzate dal ruolo. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse
**Raccomandazioni per la correzione:**
Esamina le autorizzazioni concesse all’utente `system:anonymous` o al gruppo `system:unauthenticated` sul cluster e revoca l’accesso anonimo non necessario. Per ulteriori informazioni, consulta le [Best practice di sicurezza per Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html) nella *Guida per l’utente di Amazon EKS*. Se le autorizzazioni sono state concesse intenzionalmente, revoca l’accesso dell’utente che le ha concesse e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Policy:Kubernetes/ExposedDashboard
### Il pannello di un cluster Kubernetes era esposto a Internet
**Gravità predefinita: media**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che il pannello Kubernetes per il cluster è stato esposto a Internet da un servizio del sistema di bilanciamento del carico. Un pannello esposto rende l’interfaccia di gestione del cluster accessibile da Internet e consente agli avversari di sfruttare eventuali lacune nell’autenticazione e nel controllo degli accessi.
**Raccomandazioni per la correzione:**
Assicurati di applicare autenticazione e autorizzazione avanzate sul pannello Kubernetes. Inoltre, implementa il controllo dell’accesso alla rete per limitare l’accesso al pannello da indirizzi IP specifici.
Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Policy:Kubernetes/KubeflowDashboardExposed
### Il pannello **Kubeflow** di un cluster Kubernetes era esposto a Internet
**Gravità predefinita: media**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che il pannello **Kubeflow** per il cluster è stato esposto a Internet da un servizio del sistema di bilanciamento del carico. Un pannello **Kubeflow** esposto rende l'interfaccia di gestione dell'ambiente **Kubeflow** accessibile da Internet e consente agli avversari di sfruttare eventuali lacune nell'autenticazione e nel controllo degli accessi.
**Raccomandazioni per la correzione:**
Assicurati di applicare autenticazione e autorizzazione avanzate sul pannello **Kubeflow**. Inoltre, implementa il controllo dell'accesso alla rete per limitare l'accesso al pannello da indirizzi IP specifici.
Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## PrivilegeEscalation:Kubernetes/PrivilegedContainer
### Un container privilegiato con accesso a livello root è stato avviato sul cluster Kubernetes.
**Gravità predefinita: media**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un container privilegiato è stato avviato sul cluster Kubernetes utilizzando un'immagine che non era mai stata utilizzata per avviare container privilegiati nel cluster. Un container privilegiato ha accesso di livello root all'host. Gli avversari possono avviare container privilegiati come tattica di escalation dei privilegi per accedere all'host e quindi comprometterlo.
**Raccomandazioni per la correzione:**
Se l’avvio del container non è previsto, le credenziali dell’identità utente utilizzate per avviarlo potrebbero essere compromesse. Revoca l’accesso dell’utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un avversario. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed
### Un'API Kubernetes comunemente utilizzata per accedere a segreti è stata richiamata in modo anomalo.
**Gravità predefinita: media**
+ **Caratteristica: registri** di controllo EKS
Questo esito segnala che un’operazione API anomala volta a recuperare segreti sensibili del cluster è stata richiamata da un utente Kubernetes del cluster. L'API osservata è comunemente associata a tattiche di accesso alle credenziali che possono portare a un'escalation dei privilegi e a ulteriori accessi all'interno del cluster. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali AWS sono compromesse.
L'API osservata è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle GuardDuty anomalie. Il modello di ML valuta tutte le attività delle API degli utenti all'interno del cluster EKS e identifica gli eventi anomali associati alle tecniche utilizzate da utenti non autorizzati. Il modello di ML tiene traccia di diversi fattori dell'operazione API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'agente utente utilizzato e lo spazio dei nomi gestito dall'utente. Puoi trovare i dettagli insoliti della richiesta API nel pannello dei dettagli di ricerca della console. GuardDuty
**Raccomandazioni per la correzione:**
Esamina le autorizzazioni concesse all'utente Kubernetes nel cluster e assicurati che siano tutte necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
Se AWS le tue credenziali sono compromesse, consulta. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md)
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated
### Nel cluster RoleBinding ClusterRoleBinding Kubernetes è stato creato o modificato un ruolo o un namespace riservato eccessivamente permissivo.
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se un RoleBinding or ClusterRoleBinding coinvolge o, la gravità è Alta. ClusterRoles `admin` `cluster-admin`
+ **Caratteristica:** registri di controllo EKS
Questo esito segnala che un utente del cluster Kubernetes ha creato un `RoleBinding` o un `ClusterRoleBinding` per associare un utente a un ruolo con autorizzazioni di amministratore o spazi dei nomi sensibili. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali AWS sono compromesse.
L'API osservata è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle GuardDuty anomalie. Il modello di ML valuta tutte le attività delle API degli utenti all'interno del cluster EKS. Questo modello di ML identifica anche gli eventi anomali associati alle tecniche utilizzate da un utente non autorizzato. Il modello di ML tiene anche traccia di diversi fattori dell'operazione API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'agente utente utilizzato e lo spazio dei nomi gestito dall'utente. Puoi trovare i dettagli insoliti della richiesta API nel pannello dei dettagli di ricerca della console. GuardDuty
**Raccomandazioni per la correzione:**
Esamina le autorizzazioni concesse all'utente Kubernetes. Queste autorizzazioni sono definite nel ruolo e nei soggetti coinvolti nel `RoleBinding` e nel `ClusterRoleBinding`. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
Se AWS le tue credenziali sono compromesse, consulta. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md)
## Execution:Kubernetes/AnomalousBehavior.ExecInPod
### È stato eseguito un comando in un pod in modo anomalo.
**Gravità predefinita: media**
+ **Caratteristica: registri di controllo** EKS
Questo esito segnala che un comando è stato eseguito in un pod utilizzando l'API di esecuzione Kubernetes. L'API di esecuzione Kubernetes consente di eseguire di comandi arbitrari in un pod. Se questo comportamento non è previsto per l'utente, lo spazio dei nomi o il pod, può indicare un errore di configurazione o che le AWS credenziali sono compromesse.
L'API osservata è stata identificata come anomala dal modello di apprendimento automatico per il rilevamento delle GuardDuty anomalie (ML). Il modello di ML valuta tutte le attività delle API degli utenti all'interno del cluster EKS. Questo modello di ML identifica anche gli eventi anomali associati alle tecniche utilizzate da un utente non autorizzato. Il modello di ML tiene anche traccia di diversi fattori dell'operazione API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'agente utente utilizzato e lo spazio dei nomi gestito dall'utente. Puoi trovare i dettagli insoliti della richiesta API nel pannello dei dettagli di ricerca della console. GuardDuty
**Raccomandazioni per la correzione:**
Se l'esecuzione di questo comando non è prevista, le credenziali dell'identità utente utilizzate per eseguirlo potrebbero essere state compromesse. Revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
Se AWS le tue credenziali sono compromesse, consulta. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md)
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer
### Un carico di lavoro è stato avviato in modo anomalo con un container privilegiato.
**Gravità predefinita: alta**
+ **Caratteristica: registri di controllo** EKS
Questo esito segnala che è stato avviato un carico di lavoro con un container privilegiato nel cluster Amazon EKS. Un container privilegiato ha accesso di livello root all'host. Gli utenti non autorizzati possono avviare container privilegiati come tattica di escalation dei privilegi prima per accedere all’host, poi per comprometterlo.
La creazione o la modifica del contenitore osservata è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle GuardDuty anomalie. Il modello di ML valuta tutte le attività degli utenti legate all'API e all'immagine del container all'interno del cluster EKS. Questo modello di ML identifica anche gli eventi anomali associati alle tecniche utilizzate da un utente non autorizzato. Il modello di ML tiene anche traccia di diversi fattori dell'operazione API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'agente utente utilizzato, le immagini del container osservate nell'account e lo spazio dei nomi gestito dall'utente. Puoi trovare i dettagli insoliti della richiesta API nel pannello dei dettagli di ricerca della console. GuardDuty
**Raccomandazioni per la correzione:**
Se l'avvio del container non è previsto, le credenziali dell'identità utente utilizzate per avviarlo potrebbero essere state compromesse. Revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
Se AWS le tue credenziali sono compromesse, consulta. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md)
Se l'avvio di questo container è previsto, ti consigliamo di utilizzare una regola di eliminazione con un criterio di filtro basato sul campo `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix`. Nei criteri di filtro, il campo `imagePrefix` deve avere lo stesso valore del campo `imagePrefix` specificato nell'esito. Per ulteriori informazioni, consulta [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
## Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount
### Un carico di lavoro è stato implementato in modo anomalo con un percorso host sensibile montato al suo interno.
**Gravità predefinita: alta**
+ **Caratteristica: registri di controllo** EKS
Questo esito segnala che un carico di lavoro è stato avviato con un container che includeva un percorso host sensibile nella sezione `volumeMounts`. Ciò rende questo percorso potenzialmente accessibile e scrivibile dall’interno del container. Questa tecnica viene comunemente utilizzata dagli utenti non autorizzati per accedere al file system dell’host.
La creazione o la modifica del contenitore osservata è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle GuardDuty anomalie. Il modello di ML valuta tutte le attività degli utenti legate all'API e all'immagine del container all'interno del cluster EKS. Questo modello di ML identifica anche gli eventi anomali associati alle tecniche utilizzate da un utente non autorizzato. Il modello di ML tiene anche traccia di diversi fattori dell'operazione API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'agente utente utilizzato, le immagini del container osservate nell'account e lo spazio dei nomi gestito dall'utente. Puoi trovare i dettagli insoliti della richiesta API nel pannello dei dettagli di ricerca della console. GuardDuty
**Raccomandazioni per la correzione:**
Se l'avvio del container non è previsto, le credenziali dell'identità utente utilizzate per avviarlo potrebbero essere state compromesse. Revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
Se AWS le tue credenziali sono compromesse, consulta. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md)
Se l'avvio di questo container è previsto, ti consigliamo di utilizzare una regola di eliminazione con un criterio di filtro basato sul campo `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix`. Nei criteri di filtro, il campo `imagePrefix` deve avere lo stesso valore del campo `imagePrefix` specificato nell'esito. Per ulteriori informazioni, consulta [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
## Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed
### Un carico di lavoro è stato avviato in modo anomalo.
**Gravità predefinita: bassa\$1**
**Nota**
La gravità predefinita è bassa. Tuttavia, se il carico di lavoro contiene un nome immagine potenzialmente sospetto, ad esempio uno strumento di test di penetrazione (pen-test) noto, o un container che esegue un comando potenzialmente sospetto all'avvio, come i comandi di shell (interprete di comandi) inversa, questo tipo di esito verrà considerato di gravità media.
+ **Caratteristica: registri di controllo** EKS
Questo esito segnala che un carico di lavoro Kubernetes, ad esempio un'attività API, nuove immagini del container o una configurazione rischiosa del carico di lavoro, è stato creato o modificato in modo anomalo all'interno del cluster Amazon EKS. Gli utenti non autorizzati possono avviare container come tattica per eseguire un codice arbitrario prima per accedere all'host, poi per comprometterlo.
La creazione o la modifica del contenitore osservata è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle GuardDuty anomalie. Il modello di ML valuta tutte le attività degli utenti legate all'API e all'immagine del container all'interno del cluster EKS. Questo modello di ML identifica anche gli eventi anomali associati alle tecniche utilizzate da un utente non autorizzato. Il modello di ML tiene anche traccia di diversi fattori dell'operazione API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'agente utente utilizzato, le immagini del container osservate nell'account e lo spazio dei nomi gestito dall'utente. Puoi trovare i dettagli insoliti della richiesta API nel pannello dei dettagli di ricerca della console. GuardDuty
**Raccomandazioni per la correzione:**
Se l'avvio del container non è previsto, le credenziali dell'identità utente utilizzate per avviarlo potrebbero essere state compromesse. Revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
Se AWS le tue credenziali sono compromesse, consulta. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md)
Se l'avvio di questo container è previsto, ti consigliamo di utilizzare una regola di eliminazione con un criterio di filtro basato sul campo `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix`. Nei criteri di filtro, il campo `imagePrefix` deve avere lo stesso valore del campo `imagePrefix` specificato nell'esito. Per ulteriori informazioni, consulta [Regole di soppressione in GuardDuty](findings_suppression-rule.md).
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated
### Un ruolo altamente permissivo o ClusterRole è stato creato o modificato in modo anomalo.
**Gravità predefinita: bassa**
+ **Caratteristica: registri di controllo EKS**
Questo esito segnala che un'operazione API anomala volta a creare un `Role` o un `ClusterRole` con autorizzazioni eccessive è stata chiamata da un utente Kubernetes del cluster Amazon EKS. Gli attori possono utilizzare la creazione di ruoli con autorizzazioni avanzate per non utilizzare ruoli incorporati simili a quelli di amministratore ed evitare il rilevamento. Le autorizzazioni eccessive possono portare a un'escalation dei privilegi, all'esecuzione di codice in modalità remota e al potenziale controllo di uno spazio dei nomi o di un cluster. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono compromesse.
L'API osservata è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle GuardDuty anomalie. Il modello di ML valuta tutte le attività delle API degli utenti all'interno del cluster Amazon EKS e identifica gli eventi anomali associati alle tecniche utilizzate da utenti non autorizzati. Il modello di ML tiene anche traccia di diversi fattori dell'operazione API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'agente utente utilizzato, le immagini del container osservate nell'account e lo spazio dei nomi gestito dall'utente. Puoi trovare i dettagli insoliti della richiesta API nel pannello dei dettagli di ricerca della console. GuardDuty
**Raccomandazioni per la correzione:**
Esamina le autorizzazioni definite in `Role` o `ClusterRole` per assicurarti che tutte le autorizzazioni siano necessarie e segui i principi del privilegio minimo. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
Se AWS le tue credenziali sono compromesse, consulta. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md)
## Discovery:Kubernetes/AnomalousBehavior.PermissionChecked
### Un utente ha verificato la propria autorizzazione di accesso in modo anomalo.
**Gravità predefinita: bassa**
+ **Caratteristica: registri di controllo** EKS
Questo esito segnala che un utente del cluster Kubernetes ha verificato correttamente se sono consentite o meno le autorizzazioni avanzate note che possono portare a un'escalation dei privilegi e all'esecuzione di codice in modalità remota. Ad esempio, `kubectl auth can-i` è un comando comune utilizzato per verificare le autorizzazioni di un utente. Se questo comportamento non è previsto, potrebbe indicare un errore di configurazione o che le credenziali sono state compromesse.
L'API osservata è stata identificata come anomala dal modello di machine learning (ML) per il rilevamento delle GuardDuty anomalie. Il modello di ML valuta tutte le attività delle API degli utenti all'interno del cluster Amazon EKS e identifica gli eventi anomali associati alle tecniche utilizzate da utenti non autorizzati. Il modello di ML tiene anche traccia di diversi fattori dell'operazione API, come l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata, l'autorizzazione oggetto della verifica e lo spazio dei nomi gestito dall'utente. Puoi trovare i dettagli insoliti della richiesta API nel pannello dei dettagli di ricerca della console. GuardDuty
**Raccomandazioni per la correzione:**
Esamina le autorizzazioni concesse all'utente Kubernetes per assicurarti che siano tutte necessarie. Se le autorizzazioni sono state concesse erroneamente o intenzionalmente, revoca l'accesso dell'utente e annulla qualsiasi eventuale modifica che è stata apportata al cluster da un utente non autorizzato. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
Se AWS le tue credenziali sono compromesse, consulta. [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md)
# GuardDuty Tipi di risultati del monitoraggio del runtime
Amazon GuardDuty genera i seguenti risultati di Runtime Monitoring per indicare potenziali minacce in base al comportamento a livello di sistema operativo degli host e contenitori Amazon EC2 nei cluster Amazon EKS, nei carichi di lavoro Fargate e Amazon ECS e nelle istanze Amazon EC2.
**Nota**
I tipi di esiti del monitoraggio del runtime EKS si basano sui log di runtime raccolti dagli host. I log contengono campi, come i percorsi dei file, che potrebbero essere controllati da un utente malintenzionato. Questi campi sono inclusi anche nei risultati per fornire un contesto di runtime. GuardDuty Quando si elaborano i risultati del Runtime Monitoring all'esterno della GuardDuty console, è necessario ripulire i campi di ricerca. Ad esempio, puoi codificare in HTML i campi degli esiti quando li visualizzi su una pagina Web.
**Topics**
+ [CryptoCurrency:Runtime/BitcoinTool.B](#cryptocurrency-runtime-bitcointoolb)
+ [Backdoor:Runtime/C&CActivity.B](#backdoor-runtime-ccactivityb)
+ [UnauthorizedAccess:Runtime/TorRelay](#unauthorizedaccess-runtime-torrelay)
+ [UnauthorizedAccess:Runtime/TorClient](#unauthorizedaccess-runtime-torclient)
+ [Trojan:Runtime/BlackholeTraffic](#trojan-runtime-blackholetraffic)
+ [Trojan:Runtime/DropPoint](#trojan-runtime-droppoint)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](#cryptocurrency-runtime-bitcointoolbdns)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](#backdoor-runtime-ccactivitybdns)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](#trojan-runtime-droppointdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](#trojan-runtime-phishingdomainrequestdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](#impact-runtime-suspiciousdomainrequestreputation)
+ [UnauthorizedAccess:Runtime/MetadataDNSRebind](#unauthorizedaccess-runtime-metadatadnsrebind)
+ [Execution:Runtime/NewBinaryExecuted](#execution-runtime-newbinaryexecuted)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](#privilegeesc-runtime-dockersocketaccessed)
+ [PrivilegeEscalation:Runtime/RuncContainerEscape](#privilegeesc-runtime-runccontainerescape)
+ [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](#privilegeesc-runtime-cgroupsreleaseagentmodified)
+ [DefenseEvasion:Runtime/ProcessInjection.Proc](#defenseeva-runtime-processinjectionproc)
+ [DefenseEvasion:Runtime/ProcessInjection.Ptrace](#defenseeva-runtime-processinjectionptrace)
+ [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](#defenseeva-runtime-processinjectionvirtualmemw)
+ [Execution:Runtime/ReverseShell](#execution-runtime-reverseshell)
+ [DefenseEvasion:Runtime/FilelessExecution](#defenseeva-runtime-filelessexecution)
+ [Impact:Runtime/CryptoMinerExecuted](#impact-runtime-cryptominerexecuted)
+ [Execution:Runtime/NewLibraryLoaded](#execution-runtime-newlibraryloaded)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/UserfaultfdUsage](#privilegeescalation-runtime-userfaultfdusage)
+ [Execution:Runtime/SuspiciousTool](#execution-runtime-suspicioustool)
+ [Execution:Runtime/SuspiciousCommand](#execution-runtime-suspiciouscommand)
+ [DefenseEvasion:Runtime/SuspiciousCommand](#defenseevasion-runtime-suspicious-command)
+ [DefenseEvasion:Runtime/PtraceAntiDebugging](#defenseevasion-runtime-ptrace-anti-debug)
+ [Execution:Runtime/MaliciousFileExecuted](#execution-runtime-malicious-file-executed)
+ [Execution:Runtime/SuspiciousShellCreated](#execution-runtime-suspicious-shell-created)
+ [PrivilegeEscalation:Runtime/ElevationToRoot](#privilegeesc-runtime-elevation-to-root)
+ [Discovery:Runtime/SuspiciousCommand](#discovery-runtime-suspicious-command)
+ [Persistence:Runtime/SuspiciousCommand](#persistence-runtime-suspicious-command)
+ [PrivilegeEscalation:Runtime/SuspiciousCommand](#privilege-escalation-runtime-suspicious-command)
+ [DefenseEvasion:Runtime/KernelModuleLoaded](#defenseevasion-runtime-kernelmoduleloaded)
## CryptoCurrency:Runtime/BitcoinTool.B
### Un'istanza Amazon EC2 o un container eseguono una query su un indirizzo IP associato a un'attività correlata a una criptovaluta.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta interrogando un indirizzo IP associato a un'attività correlata alla criptovaluta. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se utilizzi questa istanza EC2 o un container per estrarre o gestire criptovaluta o se questi elementi sono altrimenti coinvolti nell’attività di blockchain, l’esito CryptoCurrency:Runtime/BitcoinTool.B potrebbe rappresentare un’attività prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l’attributo **Tipo di esito** con un valore di `CryptoCurrency:Runtime/BitcoinTool.B`. Il secondo criterio di filtro deve essere l’**ID istanza** dell’istanza o l’**ID immagine del container** del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta [Regole di eliminazione](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html).
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Backdoor:Runtime/C&CActivity.B
### Un'istanza Amazon EC2 o un container eseguono una query su un IP associato a un server di comando e controllo noto.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questa scoperta ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore all'interno del tuo AWS ambiente sta interrogando un indirizzo IP associato a un server di comando e controllo (C&C) noto. L’istanza elencata o il container potrebbero essere potenzialmente compromessi. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.
Una botnet è un insieme di dispositivi connessi a Internet che possono includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco Denial of Service (S) distribuito. DDo
**Nota**
Se l’IP su cui viene eseguita una query è correlato a log4j, i campi dell’esito associato includeranno i valori seguenti:
`service.additionalInfo.threatListName = Amazon`
`service.additionalInfo.threatName = Log4j Related`
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## UnauthorizedAccess:Runtime/TorRelay
### L'istanza Amazon EC2 o un container stabiliscono connessioni a una rete Tor come relè Tor.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questa scoperta ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta effettuando connessioni a una rete Tor in un modo che suggerisce che stia agendo come un relè Tor. Tor è un software che consente la comunicazione anonima. Tor aumenta l’anonimato della comunicazione inoltrando il traffico potenzialmente illecito del client da un relè Tor a un altro.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## UnauthorizedAccess:Runtime/TorClient
### L'istanza Amazon EC2 o un container stabiliscono connessioni a un Tor Guard o a un nodo Authority.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta effettuando connessioni a un nodo Tor Guard o a un nodo Authority. Tor è un software che consente la comunicazione anonima. I Tor Guard e i nodi fungono da gateway iniziali per una rete Tor. Questo traffico può indicare che l’istanza EC2 o il container sono stati compromessi e fungono da client su una rete Tor. Questa scoperta potrebbe indicare un accesso non autorizzato alle AWS risorse dell'utente con l'intento di nascondere la vera identità dell'aggressore.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Trojan:Runtime/BlackholeTraffic
### Un'istanza Amazon EC2 o un container tentano di comunicare con l'indirizzo IP di un host remoto che è un noto buco nero.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente potrebbe essere compromesso perché sta tentando di comunicare con l'indirizzo IP di un buco nero (o sink hole). I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario. L’indirizzo IP di un buco nero designa un computer host non in esecuzione o un indirizzo a cui non è stato assegnato alcun host.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Trojan:Runtime/DropPoint
### Un'istanza Amazon EC2 o un container tentano di comunicare con l'indirizzo IP di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati acquisiti dal malware.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## CryptoCurrency:Runtime/BitcoinTool.B\$1DNS
### Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio associato a un'attività correlata a una criptovaluta.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta interrogando un nome di dominio associato a Bitcoin o ad altre attività legate alla criptovaluta. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo al fine di riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se utilizzi questa istanza EC2 o container per estrarre o gestire criptovaluta o se questi elementi sono altrimenti coinvolti nell'attività di blockchain, l'esito CryptoCurrency:Runtime/BitcoinTool.B\$1DNS potrebbe essere un'attività prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di eliminazione deve essere costituita da due criteri di filtro. Il primo criterio dovrebbe utilizzare l’attributo **Tipo di esito** con un valore di `CryptoCurrency:Runtime/BitcoinTool.B!DNS`. Il secondo criterio di filtro deve essere l'**ID istanza** dell'istanza o l'**ID immagine del container** del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta [Regole di eliminazione](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html).
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Backdoor:Runtime/C&CActivity.B\$1DNS
### Un'istanza Amazon EC2 o un container eseguono una query su nome di dominio associato a un server di comando e controllo noto.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questa scoperta ti informa che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore all'interno del tuo AWS ambiente sta interrogando un nome di dominio associato a un server di comando e controllo (C&C) noto. L’istanza EC2 elencata o il container potrebbero essere compromessi. I server di comando e controllo sono computer che inviano comandi ai membri di una botnet.
Una botnet è un insieme di dispositivi connessi a Internet che può includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche emettere comandi per avviare un attacco Denial of Service (S) distribuito. DDo
**Nota**
Se il nome di dominio su cui è stata eseguita la query è relativo a log4j, i campi dell’esito associato includeranno i valori seguenti:
`service.additionalInfo.threatListName = Amazon`
`service.additionalInfo.threatName = Log4j Related`
**Nota**
Per verificare come GuardDuty genera questo tipo di risultato, puoi effettuare una richiesta DNS dalla tua istanza (utilizzando `dig` per Linux o `nslookup` per Windows) su un dominio di test. `guarddutyc2activityb.com`
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Trojan:Runtime/BlackholeTraffic\$1DNS
### Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio che è reindirizzato a un indirizzo IP di un buco nero.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore nel tuo AWS ambiente potrebbe essere compromesso perché sta interrogando un nome di dominio che viene reindirizzato a un indirizzo IP di buco nero. I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l’origine venga informata del mancato recapito dei dati al destinatario.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Trojan:Runtime/DropPoint\$1DNS
### Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta interrogando un nome di dominio di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.
L'agente di GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Trojan:Runtime/DGADomainRequest.C\$1DNS
### Un'istanza Amazon EC2 o un container eseguono una query su domini generati da algoritmi. Tali domini sono in genere utilizzati da malware e potrebbero essere un’indicazione di un’istanza EC2 o un container compromessi.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore dell' AWS ambiente sta cercando di interrogare i domini DGA (Domain Generation Algorithm). La tua risorsa potrebbe essere stata compromessa.
DGAs vengono utilizzati per generare periodicamente un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i relativi server di comando e controllo (C&C). I server di comando e controllo sono computer che inviano comandi a membri di una botnet, ovvero una raccolta di dispositivi connessi a Internet infettati e controllati da un tipo comune di malware. Il numero elevato di punti di rendez-vous potenziali rende difficile l’arresto delle botnet in quanto i computer infettati tentano di contattare quotidianamente alcuni di questi nomi di dominio per ricevere aggiornamenti o comandi.
**Nota**
Questo risultato si basa su domini DGA noti provenienti dai feed di intelligence sulle minacce. GuardDuty
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Trojan:Runtime/DriveBySourceTraffic\$1DNS
### Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio di un host remoto che è l'origine nota di attacchi di download drive-by.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore dell' AWS ambiente potrebbe essere compromesso perché interroga il nome di dominio di un host remoto che è una fonte nota di attacchi drive-by download. Si tratta di download di software non voluti da Internet che possono avviare l’installazione automatica di virus, spyware o malware.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Trojan:Runtime/PhishingDomainRequest\$1DNS
### Un'istanza Amazon EC2 o un container eseguono una query su domini implicati in attacchi di phishing.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta cercando di interrogare un dominio coinvolto in attacchi di phishing. I domini di phishing sono configurati da individui che fingono di essere un’istituzione legittima allo scopo di indurre gli utenti a fornire dati sensibili come informazioni personali, coordinate bancarie, informazioni di carte di credito e password. L’istanza EC2 o il container potrebbero tentare di recuperare dati sensibili archiviati su un sito Web di phishing oppure di configurare un sito Web di phishing. L’istanza EC2 o il container potrebbero essere compromessi.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Impact:Runtime/AbusedDomainRequest.Reputation
### Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio a bassa reputazione associato a domini noti in abuso.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore all'interno del tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a domini o indirizzi IP noti in modo abusivo. Esempi di domini in abuso sono i nomi di dominio di primo livello (TLD) e i nomi di dominio di secondo livello (2LD) che offrono registrazioni gratuite di sottodomini e provider DNS dinamici. Gli autori delle minacce tendono a utilizzare questi servizi per registrare domini gratuitamente o a basso costo. I domini a bassa reputazione di questa categoria possono anche essere domini scaduti che vengono sostituiti con l’indirizzo IP di parcheggio di un registrar e quindi potrebbero non essere più attivi. Un IP di parcheggio è il luogo in cui un registrar indirizza il traffico verso domini che non sono stati collegati ad alcun servizio. L’istanza Amazon EC2 elencata o il container potrebbero essere compromessi poiché gli autori delle minacce utilizzano comunemente questi registrar o servizi per la distribuzione di malware e C&C.
I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Impact:Runtime/BitcoinDomainRequest.Reputation
### Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio a bassa reputazione associato a un'attività correlata a una criptovaluta.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore all'interno del tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a Bitcoin o ad altre attività legate alle criptovalute. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.
I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se utilizzi questa istanza EC2 o il container per estrarre o gestire criptovaluta o se tali risorse sono altrimenti coinvolte nell'attività di blockchain, questo esito potrebbe rappresentare un'attività prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l'attributo **Tipo di risultato** con un valore di `Impact:Runtime/BitcoinDomainRequest.Reputation`. Il secondo criterio di filtro deve essere l'**ID istanza** dell'istanza o l'**ID immagine del container** del container coinvolti in attività legate alle criptovalute o alla blockchain. Per ulteriori informazioni, consulta [ Regole di eliminazione](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html).
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Impact:Runtime/MaliciousDomainRequest.Reputation
### Un'istanza Amazon EC2 o un container eseguono una query su un dominio a bassa reputazione associato a domini dannosi noti.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore all'interno del tuo AWS ambiente sta interrogando un nome di dominio a bassa reputazione associato a domini o indirizzi IP dannosi noti. Ad esempio, i domini possono essere associati a un indirizzo IP sinkhole noto. I domini sinkhole sono domini che sono stati precedentemente controllati da un autore di minacce e se vengono inoltrate richieste a questi domini può significare che l’istanza è compromessa. Questi domini possono anche essere correlati a campagne dannose note o algoritmi di generazione di domini.
I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità che sia dannoso.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Impact:Runtime/SuspiciousDomainRequest.Reputation
### Un'istanza Amazon EC2 o un container eseguono una query su un nome di dominio a bassa reputazione di natura sospetta a causa della sua età o della scarsa popolarità.
**Gravità predefinita: bassa**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che un processo in esecuzione sull'istanza EC2 elencata o sul contenitore all'interno del tuo AWS ambiente sta interrogando un nome di dominio di bassa reputazione che si sospetta sia dannoso. Le caratteristiche osservate di questo dominio erano coerenti con i domini dannosi osservati in precedenza. Tuttavia, il nostro modello di reputazione non è stato in grado di collegarlo in modo definitivo a una minaccia nota. Questi domini vengono in genere osservati per la prima volta o ricevono una quantità di traffico ridotta.
I domini a bassa reputazione si basano su un modello di punteggio di reputazione. Questo modello valuta e classifica le caratteristiche di un dominio per determinarne la probabilità di essere dannoso.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## UnauthorizedAccess:Runtime/MetadataDNSRebind
### Un'istanza Amazon EC2 o un container eseguono ricerche DNS che vengono risolte nel servizio di metadati dell'istanza.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
**Nota**
Attualmente, questo tipo di risultato è supportato solo per AMD64 l'architettura.
Questo risultato ti informa che un processo in esecuzione sull'istanza EC2 elencata o su un contenitore nel tuo AWS ambiente sta interrogando un dominio che si risolve nell'indirizzo IP dei metadati EC2 (169.254.169.254). Una query DNS di questo tipo può indicare che l’istanza è la destinazione di una tecnica di rebinding DNS. Questa tecnica può essere utilizzata per ottenere metadati da un’istanza EC2, incluse le credenziali IAM a essa associate.
Il rebinding DNS implica l’inganno di un’applicazione in esecuzione sull’istanza EC2 per caricare i dati restituiti da un URL, dove il nome di dominio nell’URL si risolve nell’indirizzo IP dei metadati EC2 (`169.254.169.254`). In questo modo l’applicazione accede ai metadati EC2 e, possibilmente, li rende disponibili all’utente malintenzionato.
Puoi accedere ai metadati EC2 utilizzando il rebinding DNS solo se l’istanza EC2 esegue un’applicazione vulnerabile che consente l’iniezione di URL oppure se qualcuno accede all’URL in un browser Web in esecuzione sull’istanza EC2.
L'agente di runtime monitora gli eventi provenienti da più tipi di risorse. GuardDuty Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
In risposta a questo esito, devi valutare se è presente un’applicazione vulnerabile in esecuzione sull’istanza EC2 o sul container o se qualcuno ha utilizzato un browser per accedere al dominio identificato nell’esito. Se la causa principale è un’applicazione vulnerabile, procedi alla correzione della vulnerabilità. Se qualcuno ha navigato nel dominio identificato, blocca il dominio o impedisci agli utenti di accedervi. Se ritieni che l’esito sia correlato a uno dei due casi precedenti, [Revoca la sessione associata all’istanza EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html).
Alcuni AWS clienti associano intenzionalmente l'indirizzo IP dei metadati a un nome di dominio sui propri server DNS autoritativi. Se questo è il caso del tuo ambiente , ti consigliamo di impostare una regola di eliminazione per questo esito. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio di filtro deve utilizzare l'attributo **Tipo di risultato** con un valore di `UnauthorizedAccess:Runtime/MetaDataDNSRebind`. Il secondo criterio di filtro deve essere il **Dominio richiesta DNS** o l'**ID immagine del container**. Il valore del **Dominio richiesta DNS** deve corrispondere al dominio mappato all'indirizzo IP dei metadati (`169.254.169.254`). Per informazioni sulla creazione di regole di eliminazione, consulta [Regole di eliminazione](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html).
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Execution:Runtime/NewBinaryExecuted
### È stato eseguito un file binario appena creato o modificato di recente in un container.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che è stato eseguito un file binario appena creato o modificato di recente in un contenitore. Ti consigliamo di mantenere i container non modificabili in fase di runtime. Inoltre, i file binari, gli script e le librerie non devono essere creati o modificati durante il ciclo di vita del container. Questo comportamento indica che un utente malintenzionato ha ottenuto l’accesso al container, ha scaricato ed eseguito malware o altro software come parte della potenziale violazione. Sebbene questo tipo di attività possa essere indice di una violazione, è anche un modello di utilizzo comune. Pertanto, GuardDuty utilizza meccanismi per identificare i casi sospetti di questa attività e genera questo tipo di risultati solo per i casi sospetti.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. **Per identificare il processo di modifica e il nuovo file binario, visualizza i dettagli del processo di **modifica e i dettagli del processo****
I dettagli del processo di modifica sono inclusi nel `service.runtimeDetails.context.modifyingProcess` campo del codice JSON di ricerca o in **Processo di modifica** nel pannello dei dettagli di ricerca. Per questo tipo di ricerca, il processo di modifica è `/usr/bin/dpkg` identificato dal `service.runtimeDetails.context.modifyingProcess.executablePath` campo del JSON di ricerca o come parte del **processo di modifica** nel pannello dei dettagli del risultato.
**I dettagli del file binario nuovo o modificato eseguito sono inclusi nella sezione JSON `service.runtimeDetails.process` di ricerca o nella sezione **Process** in Runtime details.** Per questo tipo di ricerca, il file binario nuovo o modificato è`/usr/bin/python3.8`, come indicato dal campo `service.runtimeDetails.process.executablePath` (**Percorso eseguibile**).
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## PrivilegeEscalation:Runtime/DockerSocketAccessed
### Un processo all'interno di un container comunica con il daemon Docker utilizzando il socket Docker.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Il socket Docker è un socket di dominio Unix utilizzato da daemon Docker (`dockerd`) per comunicare con i propri client. Un client può eseguire varie operazioni, come la creazione di container comunicando con il daemon Docker tramite il socket Docker. È sospetto che un processo del container acceda al socket Docker. Un processo contenitore può uscire dal contenitore e ottenere un accesso a livello di host comunicando con il socket Docker e creando un contenitore privilegiato.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## PrivilegeEscalation:Runtime/RuncContainerEscape
### È stato rilevato un tentativo di fuga dal container tramite runC.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
RunC è il runtime di container di basso livello utilizzato dai runtime di container di alto livello, come Docker e Containerd, per generare ed eseguire contenitori. RunC viene sempre eseguito con i privilegi di root perché deve eseguire l'operazione di basso livello di creazione di un contenitore. Un autore di minacce può ottenere l'accesso a livello di host modificando o sfruttando una vulnerabilità nel binario RunC.
Questa scoperta rileva la modifica del binario RunC e i potenziali tentativi di sfruttare le seguenti vulnerabilità RunC:
+ [https://nvd.nist.gov/vuln/detail/CVE-2019-5736](https://nvd.nist.gov/vuln/detail/CVE-2019-5736)— Lo sfruttamento di CVE-2019-5736 implica la sovrascrittura del binario RunC dall'interno di un contenitore. Questa scoperta viene richiamata quando il binario RunC viene modificato da un processo all'interno di un contenitore.
+ [https://nvd.nist.gov/vuln/detail/CVE-2024-21626](https://nvd.nist.gov/vuln/detail/CVE-2024-21626)— Lo sfruttamento di CVE-2024-21626 implica l'impostazione della directory di lavoro corrente (CWD) o di un contenitore su un descrittore di file aperto. `/proc/self/fd/FileDescriptor` Questo risultato viene richiamato quando viene rilevato un processo contenitore con una directory di lavoro corrente sotto`/proc/self/fd/`, ad esempio. `/proc/self/fd/7`
Questo esito può indicare che un malintenzionato ha tentato di sfruttare uno dei seguenti tipi di container:
+ Un nuovo container con un’immagine controllata dall’utente malintenzionato.
+ Un container esistente accessibile all’attore con autorizzazioni di scrittura sul binario runC a livello di host.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
### È stato rilevato un tentativo di fuga dal container tramite il CGroups release agent.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questo esito segnala che è stato rilevato un tentativo di modificare un file dell'agente di rilascio del gruppo di controllo (cgroup). Linux utilizza i gruppi di controllo (cgroup) per limitare, tenere in considerazione e isolare l’utilizzo delle risorse di una raccolta di processi. Ogni cgroup ha un file dell’agente di rilascio (`release_agent`), uno script che Linux esegue quando termina un processo all’interno del cgroup. Il file dell’agente di rilascio viene sempre eseguito a livello di host. Un autore di minacce all’interno di un container può sfuggire all’host scrivendo comandi arbitrari nel file dell’agente di rilascio che appartiene a un cgroup. Al termine di un processo all’interno di questo cgroup, i comandi scritti dall’autore vengono eseguiti.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## DefenseEvasion:Runtime/ProcessInjection.Proc
### In un container o in un'istanza Amazon EC2 è stata rilevata un'iniezione di processo utilizzando il file system proc.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Il file system proc (procfs) è un particolare file system in Linux che presenta la memoria virtuale del processo come file. Il percorso di questo file è `/proc/PID/mem`, in cui `PID` è l’ID univoco del processo. Un autore di minacce può scrivere su questo file per iniettare codice nel processo. Questo esito identifica potenziali tentativi di scrittura sul file in questione.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## DefenseEvasion:Runtime/ProcessInjection.Ptrace
### In un container o in un'istanza Amazon EC2 è stata rilevata un'iniezione di processo utilizzando la chiamata di sistema ptrace.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Un processo può utilizzare la chiamata di sistema ptrace per iniettare codice in un altro processo. Questo esito identifica un potenziale tentativo di iniettare codice in un processo utilizzando la chiamata di sistema ptrace.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
### In un container o in un'istanza Amazon EC2 è stata rilevata un'iniezione di processo tramite scrittura diretta nella memoria virtuale.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
L'iniezione di processo è una tecnica utilizzata dagli autori delle minacce per iniettare codice nei processi in modo da eludere le difese e cercare di aumentare i privilegi. Un processo può utilizzare una chiamata di sistema, ad esempio `process_vm_writev`, per iniettare codice direttamente nella memoria virtuale di un altro processo. Questo esito identifica un potenziale tentativo di iniettare codice in un processo utilizzando una chiamata di sistema per scrivere nella memoria virtuale del processo stesso.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Execution:Runtime/ReverseShell
### Un processo in un container o in un'istanza Amazon EC2 ha creato una shell (interprete di comandi) inversa.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Una shell (interprete di comandi) inversa è una sessione di shell creata su una connessione avviata dall'host di destinazione all'host dell'attore, ossia l’opposto di una normale shell (interprete di comandi), che viene invece avviata dall’host dell’attore all’host di destinazione. Gli autori delle minacce creano una shell (interprete di comandi) inversa per eseguire comandi sulla destinazione dopo aver ottenuto l’accesso iniziale. Questa scoperta identifica connessioni a shell inversa potenzialmente sospette.
GuardDuty esamina l'attività e il contesto di runtime correlati e genera questo tipo di risultato solo quando l'attività e il contesto associati risultano insoliti o sospetti. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Il GuardDuty security agent monitora gli eventi da più fonti. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli della ricerca nella GuardDuty console. Se questa attività non è prevista, il tipo di risorsa potrebbe essere stato compromesso. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## DefenseEvasion:Runtime/FilelessExecution
### Un processo in un container o in un’istanza Amazon EC2 esegue codice dalla memoria.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Questo esito segnala un processo eseguito utilizzando un file eseguibile in memoria su disco. Si tratta di una tecnica comune di evasione della difesa in cui il file eseguibile dannoso non viene scritto sul disco per eludere il rilevamento basato sulla scansione del file system. Sebbene questa sia una tecnica utilizzata dal malware, presenta anche alcuni casi d’uso legittimi. Uno degli esempi è un compilatore just-in-time (JIT) che scrive codice compilato in memoria e lo esegue dalla memoria.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Impact:Runtime/CryptoMinerExecuted
### Un container o un'istanza Amazon EC2 eseguono un file binario associato a un'attività attività di mining di criptovalute.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che un processo in esecuzione sull'istanza o sul contenitore EC2 elencato nell' AWS ambiente in uso sta eseguendo un file binario associato a un'attività di mining di criptovalute. Gli autori delle minacce potrebbero cercare di assumere il controllo delle risorse di calcolo per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nel pannello dei risultati della GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console e vedi[Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Execution:Runtime/NewLibraryLoaded
### Una libreria appena creata o modificata di recente è stata caricata da un processo all’interno di un container.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Questo esito segnala che una libreria è stata creata o modificata all'interno di un container durante il runtime e caricata da un processo in esecuzione all'interno del container. La best practice è quella di mantenere i container non modificabili in fase di runtime e di non creare o modificare i file binari, gli script e le librerie durante il ciclo di vita del container. Il caricamento di una libreria appena creata o modificata in un container può indicare attività sospette. Questo comportamento indica che un utente malintenzionato ha potenzialmente ottenuto l’accesso al container e che ha scaricato ed eseguito malware o altro software come parte della potenziale compromissione. Sebbene questo tipo di attività possa essere indice di una violazione, è anche un modello di utilizzo comune. Pertanto, GuardDuty utilizza meccanismi per identificare i casi sospetti di questa attività e genera questo tipo di risultati solo per i casi sospetti.
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
### Un processo all'interno di un container ha montato un file system host in fase di runtime.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Diverse tecniche di evasione da un container prevedono il montaggio di un file system host al suo interno in fase di runtime. Questo esito segnala che un processo all’interno di un container ha potenzialmente tentato di montare un file system host, il che potrebbe indicare un tentativo di sfuggire all’host.
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## PrivilegeEscalation:Runtime/UserfaultfdUsage
### Un processo ha utilizzato chiamate di sistema `userfaultfd` per gestire errori di pagina nello spazio utente.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
In genere, gli errori di pagina vengono gestiti dal kernel nello spazio corrispondente. Tuttavia, la chiamata di sistema `userfaultfd` consente a un processo di gestire gli errori di pagina su un file system nello spazio utente. Questa funzionalità è utile perché abilita l’implementazione di file system nello spazio utente. D’altra parte, può anche essere usata da un processo potenzialmente dannoso per interrompere il kernel dallo spazio utente. L’interruzione del kernel tramite la chiamata di sistema `userfaultfd` è una tecnica di sfruttamento comune volta a estendere le finestre di gara durante lo sfruttamento delle condizioni di gara del kernel. L’utilizzo di `userfaultfd` può quindi indicare attività sospette sull’istanza Amazon Elastic Compute Cloud (Amazon EC2).
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Execution:Runtime/SuspiciousTool
### Un container o un’istanza Amazon EC2 eseguono un file binario o uno script che vengono spesso utilizzati in scenari di sicurezza offensivi come il test di penetrazione.
**Gravità predefinita: variabile**
La gravità di questa constatazione può essere elevata o bassa, a seconda che lo strumento sospetto rilevato sia considerato a duplice uso o destinato esclusivamente a un uso offensivo.
+ **Funzionalità: **monitoraggio del runtime
Questa scoperta ti informa che uno strumento sospetto è stato eseguito su un'istanza o contenitore EC2 all'interno del tuo ambiente. AWS Ciò include gli strumenti utilizzati nelle attività di test di penetrazione, noti anche come strumenti backdoor, scanner di rete e sniffer di rete. Tutti questi strumenti possono essere utilizzati in contesti benigni, ma sono spesso utilizzati anche da autori di minacce con intenzioni malevole. L'osservazione di strumenti di sicurezza offensivi potrebbe indicare che l'istanza o il contenitore EC2 associato è stato compromesso.
GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Execution:Runtime/SuspiciousCommand
### Un comando sospetto è stato eseguito su un’istanza Amazon EC2 o un container indicativo di una violazione.
**Gravità predefinita: variabile**
A seconda dell’impatto del modello dannoso osservato, la gravità di questo tipo di rilevamento potrebbe essere bassa, media o alta.
+ **Funzionalità: **monitoraggio del runtime
Questo risultato indica che è stato eseguito un comando sospetto e indica che un'istanza Amazon EC2 o un contenitore nel AWS tuo ambiente è stato compromesso. Ciò potrebbe significare che un file è stato scaricato da una fonte sospetta e quindi eseguito oppure che un processo in esecuzione mostra un pattern dannoso noto nella riga di comando. Ciò indica inoltre che il malware è in esecuzione sul sistema.
GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
**Nota**
Gli argomenti della riga di comando del processo possono contenere dati sensibili. Per proteggere i dati sensibili, i risultati del monitoraggio del GuardDuty runtime non includono argomenti completi della riga di comando. `Service.RuntimeDetails.Context.CommandLineExample`Fornisce invece un esempio rappresentativo dello schema della riga di comando che ha generato il risultato.
## DefenseEvasion:Runtime/SuspiciousCommand
### Un comando è stato eseguito sull’istanza Amazon EC2 elencata o su un container, tenta di modificare o disabilitare un meccanismo di difesa Linux, come un firewall o servizi di sistema essenziali.
**Gravità predefinita: variabile**
A seconda del meccanismo di difesa modificato o disabilitato, la gravità di questo tipo di esito può essere alta, media o bassa.
+ **Funzionalità: **monitoraggio del runtime
Questo esito ti informa che è stato eseguito un comando che tenta di nascondere un attacco ai servizi di sicurezza del sistema locale. Ciò include azioni come disabilitare il firewall Unix, modificare le tabelle IP locali, rimuovere le voci crontab, disabilitare un servizio locale o assumere il controllo della funzione `LDPreload`. Qualsiasi modifica è altamente sospetta e un potenziale indicatore di compromissione. Pertanto, questi meccanismi rilevano o impediscono ulteriori violazioni del sistema.
GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## DefenseEvasion:Runtime/PtraceAntiDebugging
### Un processo in un container o in un’istanza Amazon EC2 ha eseguito una misura anti-debugging utilizzando la chiamata di sistema ptrace.
**Gravità predefinita: bassa**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato mostra che un processo in esecuzione sull'istanza Amazon EC2 elencata o su un contenitore all'interno del tuo AWS ambiente ha utilizzato la chiamata di sistema ptrace con l'opzione. `PTRACE_TRACEME` Questa attività causerebbe il distacco di un debugger collegato dal processo in esecuzione. Se non è collegato alcun debugger, non ha effetto. Tuttavia, l’attività di per sé solleva sospetti. Ciò potrebbe indicare che sul sistema è in esecuzione un malware. Il malware utilizza spesso tecniche anti-debugging per eludere l’analisi e queste tecniche possono essere rilevate in fase di runtime.
GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Execution:Runtime/MaliciousFileExecuted
### Un file eseguibile dannoso noto è stato eseguito su un’istanza Amazon EC2 o un container.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questa scoperta ti informa che un file eseguibile dannoso noto è stato eseguito su un'istanza Amazon EC2 o su un contenitore all'interno AWS del tuo ambiente. Questo è un forte indicatore del fatto che l’istanza o il container è stato potenzialmente compromesso e che il malware è stato eseguito.
GuardDuty esamina l'attività e il contesto di runtime correlati in modo da generare questo risultato solo quando l'attività e il contesto associati sono potenzialmente sospetti.
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Execution:Runtime/SuspiciousShellCreated
### Un servizio di rete o un processo accessibile dalla rete su un'istanza Amazon EC2 o in un contenitore ha avviato un processo shell interattivo.
**Gravità predefinita: bassa**
+ **Funzionalità: **monitoraggio del runtime
Questa scoperta ti informa che un servizio accessibile in rete su un'istanza Amazon EC2 o in un contenitore all'interno del tuo AWS ambiente ha lanciato una shell interattiva. In determinate circostanze, questo scenario può indicare un comportamento successivo allo sfruttamento. Le shell interattive consentono agli aggressori di eseguire comandi arbitrari su un’istanza o un container compromessi.
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini. È possibile visualizzare le informazioni sul processo accessibili in rete nei dettagli del processo principale.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## PrivilegeEscalation:Runtime/ElevationToRoot
### Un processo in esecuzione sull'istanza o sul contenitore Amazon EC2 elencato ha assunto i privilegi di root.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato ti informa che un processo in esecuzione sull'Amazon EC2 elencato o nel contenitore elencato all'interno del AWS tuo ambiente ha assunto i privilegi di root a causa di un'esecuzione binaria insolita o `setuid` sospetta. Ciò indica che un processo in esecuzione è stato potenzialmente compromesso, per l'istanza EC2, a causa di un exploit o di uno sfruttamento. `setuid` Utilizzando i privilegi di root, l'aggressore può potenzialmente eseguire comandi sull'istanza o sul contenitore.
Sebbene GuardDuty sia progettato per non generare questo tipo di risultati per attività che richiedono l'uso regolare del `sudo` comando, lo genererà quando identificherà l'attività come insolita o sospetta.
GuardDuty esamina l'attività e il contesto di runtime correlati e genera questo tipo di risultato solo quando l'attività e il contesto associati sono insoliti o sospetti.
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Discovery:Runtime/SuspiciousCommand
### È stato eseguito un comando sospetto su un'istanza Amazon EC2 o in un container, che consente a un utente malintenzionato di ottenere informazioni sul sistema locale, sull'infrastruttura AWS circostante o sull'infrastruttura del container.
**Gravità predefinita: bassa**
**Funzionalità: **monitoraggio del runtime
Questo risultato ti informa che un processo in esecuzione sull'istanza o sul contenitore Amazon EC2 elencato nel AWS tuo ambiente ha eseguito un comando che potrebbe fornire a un utente malintenzionato informazioni cruciali per far avanzare potenzialmente l'attacco. È possibile che siano state recuperate le seguenti informazioni:
+ Sistema locale, ad esempio configurazione utente o rete,
+ Altre AWS risorse e autorizzazioni disponibili, oppure
+ l’infrastruttura Kubernetes come servizi e pod.
L'istanza Amazon EC2 o il contenitore elencato nei dettagli del risultato potrebbero essere stati compromessi.
L'agente GuardDuty runtime monitora gli eventi provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Puoi trovare i dettagli sul comando sospetto nel campo `service.runtimeDetails.context` del JSON degli esiti. Un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione dei processi, è disponibile nei risultati per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## Persistence:Runtime/SuspiciousCommand
### È stato eseguito un comando sospetto su un'istanza Amazon EC2 o in un container, che consente a un utente malintenzionato di mantenere l'accesso e il controllo nel tuo ambiente. AWS
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato ti informa che un processo in esecuzione sull'istanza Amazon EC2 elencata o in un contenitore all'interno del AWS tuo ambiente ha eseguito un comando sospetto. Il comando installa un metodo di persistenza che consente al malware di funzionare senza interruzioni o consente a un utente malintenzionato di accedere continuamente all'istanza o al tipo di risorsa del contenitore potenzialmente compromessi. Ciò potrebbe potenzialmente significare che un servizio di sistema è stato installato o modificato, che è `crontab` stato modificato o che un nuovo utente è stato aggiunto alla configurazione del sistema.
GuardDuty esamina l'attività e il contesto di runtime correlati e genera questo tipo di risultato solo quando l'attività e il contesto associati sono insoliti o sospetti.
L'istanza Amazon EC2 o il contenitore elencato nei dettagli del risultato potrebbero essere stati compromessi.
L'agente GuardDuty di runtime monitora gli eventi da più risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Puoi trovare i dettagli sul comando sospetto nel campo `service.runtimeDetails.context` del JSON degli esiti. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## PrivilegeEscalation:Runtime/SuspiciousCommand
### È stato eseguito un comando sospetto su un'istanza Amazon EC2 o in un contenitore, che consente a un utente malintenzionato di aumentare i privilegi.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio del runtime
Questo risultato ti informa che un processo in esecuzione sull'istanza Amazon EC2 elencata o in un contenitore all'interno del AWS tuo ambiente ha eseguito un comando sospetto. Il comando tenta di eseguire l'escalation dei privilegi, che consente a un avversario di eseguire attività con privilegi elevati.
GuardDuty esamina l'attività e il contesto di runtime correlati e genera questo tipo di risultato solo quando l'attività e il contesto associati sono insoliti o sospetti.
L'istanza Amazon EC2 o il contenitore elencato nei dettagli del risultato potrebbero essere stati compromessi.
L'agente GuardDuty di runtime monitora gli eventi da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
## DefenseEvasion:Runtime/KernelModuleLoaded
### Un modulo del kernel è stato caricato su un'istanza Amazon EC2, indicando un tentativo di ottenere l'accesso a livello di kernel.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio del runtime
Questo esito indica che un modulo del kernel è stato caricato sull’istanza EC2 elencata. Poiché i moduli del kernel dispongono dei privilegi più elevati a livello di sistema (ring 0), ciò potrebbe indicare che un autore di minacce ha ottenuto l’accesso a livello di kernel. Questo livello di accesso consente il controllo completo del sistema.
L'agente GuardDuty runtime monitora gli eventi provenienti da più risorse. Per identificare la risorsa interessata, visualizza il **tipo di risorsa** nei dettagli dei risultati nella GuardDuty console. Se applicabile, nei risultati è disponibile un contesto aggiuntivo, comprese le informazioni sul processo e sulla derivazione del processo, per ulteriori indagini.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la risorsa potrebbe essere stata compromessa. Per ulteriori informazioni, consulta [Riparazione degli esiti del monitoraggio del runtime](guardduty-remediate-runtime-monitoring.md).
# Protezione da malware per tipi di ricerca EC2
GuardDuty Malware Protection for EC2 fornisce un'unica funzionalità di Malware Protection for EC2 che individua tutte le minacce rilevate durante la scansione di un'istanza EC2 o di un carico di lavoro di un container. L'esito include il numero totale di rilevamenti effettuati durante la scansione e, in base alla gravità, fornisce dettagli sulle 32 minacce rilevate principali. A differenza di altri GuardDuty risultati, i risultati di Malware Protection for EC2 non vengono aggiornati quando viene nuovamente scansionata la stessa istanza EC2 o lo stesso carico di lavoro dello stesso container.
Per ogni scansione che rileva il malware viene generato un nuovo risultato di Malware Protection for EC2. I risultati di Malware Protection for EC2 includono informazioni sulla scansione corrispondente che ha prodotto il risultato e sul GuardDuty risultato che ha avviato la scansione. In questo modo, la correlazione tra il comportamento sospetto e il malware rilevato è più semplice.
**Nota**
Quando GuardDuty rileva attività dannose su un carico di lavoro di un container, Malware Protection for EC2 non genera un risultato a livello EC2.
I seguenti risultati sono specifici di GuardDuty Malware Protection for EC2.
**Topics**
+ [Execution:EC2/MaliciousFile](#execution-malware-ec2-maliciousfile)
+ [Execution:ECS/MaliciousFile](#execution-malware-ecs-maliciousfile)
+ [Execution:Kubernetes/MaliciousFile](#execution-malware-kubernetes-maliciousfile)
+ [Execution:Container/MaliciousFile](#execution-malware-container-maliciousfile)
+ [Execution:EC2/SuspiciousFile](#execution-malware-ec2-suspiciousfile)
+ [Execution:ECS/SuspiciousFile](#execution-malware-ecs-suspiciousfile)
+ [Execution:Kubernetes/SuspiciousFile](#execution-malware-kubernetes-suspiciousfile)
+ [Execution:Container/SuspiciousFile](#execution-malware-container-suspiciousfile)
## Execution:EC2/MaliciousFile
### È stato rilevato un file dannoso su un’istanza EC.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Caratteristica:** EBS Malware Protection
Questo risultato indica che la scansione GuardDuty Malware Protection for EC2 ha rilevato uno o più file dannosi sull'istanza EC2 elencata all'interno dell'ambiente in uso. AWS Questa istanza elencata potrebbe essere compromessa. Per ulteriori informazioni, consulta la sezione **Minacce rilevate** nei dettagli degli esiti.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Execution:ECS/MaliciousFile
### È stato rilevato un file dannoso su un cluster ECS.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Funzionalità:** EBS Malware Protection
Questo risultato indica che la scansione GuardDuty Malware Protection for EC2 ha rilevato uno o più file dannosi su un carico di lavoro di un container che appartiene a un cluster ECS. Per ulteriori informazioni, consulta la sezione **Minacce rilevate** nei dettagli degli esiti.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, il container appartenente al cluster ECS potrebbe essere compromesso. Per ulteriori informazioni, consulta [Riparazione di un cluster ECS potenzialmente compromesso](compromised-ecs.md).
## Execution:Kubernetes/MaliciousFile
### È stato rilevato un file dannoso su un cluster Kubernetes.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Caratteristica: EBS** Malware Protection
Questo risultato indica che la scansione GuardDuty Malware Protection for EC2 ha rilevato uno o più file dannosi su un carico di lavoro di container che appartiene a un cluster Kubernetes. Se questo cluster è gestito da EKS, i dettagli degli esiti forniranno informazioni aggiuntive sulla risorsa EKS interessata. Per ulteriori informazioni, consulta la sezione **Minacce rilevate** nei dettagli degli esiti.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, il carico di lavoro del container potrebbe essere compromesso. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Execution:Container/MaliciousFile
### È stato rilevato un file dannoso in un container autonomo.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Funzionalità: EBS Malware Protection**
Questo risultato indica che la scansione GuardDuty Malware Protection for EC2 ha rilevato uno o più file dannosi sul carico di lavoro di un container e non sono state identificate informazioni sul cluster. Per ulteriori informazioni, consulta la sezione **Minacce rilevate** nei dettagli degli esiti.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, il carico di lavoro del container potrebbe essere compromesso. Per ulteriori informazioni, consulta [Riparazione di un contenitore autonomo potenzialmente compromesso](remediate-compromised-standalone-container.md).
## Execution:EC2/SuspiciousFile
### È stato rilevato un file sospetto su un'istanza EC2.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Funzionalità:** EBS Malware Protection
Questo risultato indica che la scansione GuardDuty Malware Protection for EC2 ha rilevato uno o più file sospetti su un'istanza EC2. Per ulteriori informazioni, consulta la sezione **Minacce rilevate** nei dettagli degli esiti.
I rilevamenti di tipo `SuspiciousFile` indicano che su una risorsa interessata sono presenti programmi potenzialmente indesiderati come adware, spyware o strumenti a duplice uso. Questi programmi potrebbero avere un impatto negativo sulla risorsa o essere utilizzati da utenti malintenzionati per scopi dannosi. Ad esempio, gli strumenti di rete possono essere utilizzati in modo legittimo o in modo dannoso dagli avversari come strumenti di hacking per cercare di compromettere le risorse.
Quando viene rilevato un file sospetto, valuta se ti aspetti di vederlo nel tuo ambiente. AWS Se il file non è previsto, segui la procedura descritta nella sezione successiva.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Execution:ECS/SuspiciousFile
### È stato rilevato un file sospetto su un cluster ECS.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Funzionalità:** EBS Malware Protection
Questo risultato indica che la scansione GuardDuty Malware Protection for EC2 ha rilevato uno o più file sospetti su un contenitore che appartiene a un cluster ECS. Per ulteriori informazioni, consulta la sezione **Minacce rilevate** nei dettagli degli esiti.
I rilevamenti di tipo `SuspiciousFile` indicano che su una risorsa interessata sono presenti programmi potenzialmente indesiderati come adware, spyware o strumenti a duplice uso. Questi programmi potrebbero avere un impatto negativo sulla risorsa o essere utilizzati da utenti malintenzionati per scopi dannosi. Ad esempio, gli strumenti di rete possono essere utilizzati in modo legittimo o in modo dannoso dagli avversari come strumenti di hacking per cercare di compromettere le risorse.
Quando viene rilevato un file sospetto, valuta se prevedi di vederlo nel tuo ambiente. AWS Se il file non è previsto, segui la procedura descritta nella sezione successiva.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, il container appartenente al cluster ECS potrebbe essere compromesso. Per ulteriori informazioni, consulta [Riparazione di un cluster ECS potenzialmente compromesso](compromised-ecs.md).
## Execution:Kubernetes/SuspiciousFile
### È stato rilevato un file sospetto su un cluster Kubernetes.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Funzionalità:** EBS Malware Protection
Questo risultato indica che la scansione GuardDuty Malware Protection for EC2 ha rilevato uno o più file sospetti su un contenitore che appartiene a un cluster Kubernetes. Se questo cluster è gestito da EKS, i dettagli degli esiti forniranno informazioni aggiuntive sull'EKS interessato. Per ulteriori informazioni, consulta la sezione **Minacce rilevate** nei dettagli degli esiti.
I rilevamenti di tipo `SuspiciousFile` indicano che su una risorsa interessata sono presenti programmi potenzialmente indesiderati come adware, spyware o strumenti a duplice uso. Questi programmi potrebbero avere un impatto negativo sulla risorsa o essere utilizzati da utenti malintenzionati per scopi dannosi. Ad esempio, gli strumenti di rete possono essere utilizzati in modo legittimo o in modo dannoso dagli avversari come strumenti di hacking per cercare di compromettere le risorse.
Quando viene rilevato un file sospetto, valuta se prevedi di vederlo nel tuo ambiente. AWS Se il file non è previsto, segui la procedura descritta nella sezione successiva.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, il carico di lavoro del container potrebbe essere compromesso. Per ulteriori informazioni, consulta [Correzione dei risultati della protezione EKS](guardduty-remediate-kubernetes.md).
## Execution:Container/SuspiciousFile
### È stato rilevato un file sospetto in un container autonomo.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Funzionalità:** EBS Malware Protection
Questo risultato indica che la scansione GuardDuty Malware Protection for EC2 ha rilevato uno o più file sospetti su un contenitore senza informazioni sul cluster. Per ulteriori informazioni, consulta la sezione **Minacce rilevate** nei dettagli degli esiti.
I rilevamenti di tipo `SuspiciousFile` indicano che su una risorsa interessata sono presenti programmi potenzialmente indesiderati come adware, spyware o strumenti a duplice uso. Questi programmi potrebbero avere un impatto negativo sulla risorsa o essere utilizzati da utenti malintenzionati per scopi dannosi. Ad esempio, gli strumenti di rete possono essere utilizzati in modo legittimo o in modo dannoso dagli avversari come strumenti di hacking per cercare di compromettere le risorse.
Quando viene rilevato un file sospetto, valuta se prevedi di vederlo nel tuo ambiente. AWS Se il file non è previsto, segui la procedura descritta nella sezione successiva.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, il carico di lavoro del container potrebbe essere compromesso. Per ulteriori informazioni, consulta [Riparazione di un contenitore autonomo potenzialmente compromesso](remediate-compromised-standalone-container.md).
# Protezione da malware per tipo di ricerca S3
GuardDuty genera un risultato solo quando rileva una potenziale minaccia alla sicurezza nel tuo. Account AWS Un risultato di Malware Protection for S3 indica che l'oggetto caricato che ha avviato la scansione antimalware contiene un file potenzialmente dannoso.
Affinché Amazon GuardDuty generi un risultato nel tuo Account AWS, abilita entrambi GuardDuty e Malware Protection for S3. La migliore pratica è abilitare prima Malware Protection for S3 GuardDuty e poi. Se per te questo ordine è diverso, assicurati di abilitarlo GuardDuty prima che un oggetto S3 venga caricato nel tuo bucket protetto.
**Nota**
GuardDuty non riesco a generare un risultato per un oggetto S3 che è stato scansionato prima dell'attivazione. GuardDuty Per scansionare un oggetto S3 esistente, puoi caricarlo di nuovo.
## Object:S3/MaliciousFile
### È stato rilevato un file dannoso su un oggetto S3 scansionato.
**Gravità predefinita: alta**
+ **Funzionalità:** protezione da malware per S3
Questo esito indica che una scansione antimalware ha rilevato che l’oggetto S3 elencato è dannoso. Per ulteriori informazioni, consulta la sezione **Minacce rilevate** nel pannello dei dettagli dei risultati.
**Raccomandazione correttiva:**
Se questo esito è inaspettato, l’oggetto S3 è potenzialmente dannoso. Per informazioni sulle procedure di riparazione consigliate, vedere. [Riparazione di un oggetto S3 potenzialmente dannoso](compromised-s3object-malware-protection-gdu.md)
# Tipi di ricerca di Malware Protection for Backup
GuardDuty Malware Protection for Backup fornisce un'unica ricerca per tutte le minacce rilevate durante la scansione della risorsa richiesta. L'esito include il numero totale di rilevamenti effettuati durante la scansione e, in base alla gravità, fornisce dettagli sulle 32 minacce rilevate principali. A differenza di altri GuardDuty risultati, i risultati di Malware Protection for Backup non vengono aggiornati quando la stessa risorsa viene nuovamente analizzata. Per ogni scansione che rileva il malware viene generato un nuovo risultato di Malware Protection for Backup.
I seguenti risultati sono specifici di GuardDuty Malware Protection for Backup.
**Topics**
+ [Execution:EC2/MaliciousFile\$1Snapshot](#execution-malware-ec2-maliciousfile-snapshot)
+ [Execution:EC2/MaliciousFile\$1AMI](#execution-malware-ec2-maliciousfile-ami)
+ [Execution:EC2/MaliciousFile\$1RecoveryPoint](#execution-malware-ec2-maliciousfile-recoverypoint)
+ [Execution:S3/MaliciousFile\$1RecoveryPoint](#execution-malware-s3-maliciousfile-recoverypoint)
## Execution:EC2/MaliciousFile\$1Snapshot
### È stato rilevato un file dannoso in un'istantanea EBS.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Funzionalità:** Protezione da malware per il backup
Questo risultato indica che una scansione di GuardDuty Malware Protection for Backup ha rilevato uno o più file dannosi in un'istantanea EBS all'interno dell'ambiente. Per ulteriori informazioni, consulta la sezione Minacce rilevate nel pannello dei dettagli dell’esito.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, lo snapshot potrebbe essere compromesso. Per ulteriori informazioni, consulta [Correzione di uno snapshot EBS potenzialmente compromesso](compromised-snapshot.md).
## Execution:EC2/MaliciousFile\$1AMI
### È stato rilevato un file dannoso su un’AMI EC2.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Funzionalità:** Protezione da malware per il backup
Questo risultato indica che una scansione di GuardDuty Malware Protection for Backup ha rilevato uno o più file dannosi in un'AMI all'interno dell'ambiente in uso. Per ulteriori informazioni, consulta la sezione Minacce rilevate nel pannello dei dettagli dell’esito.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l’AMI potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un AMI EC2 potenzialmente compromesso](compromised-ami.md).
## Execution:EC2/MaliciousFile\$1RecoveryPoint
### Un file dannoso è stato rilevato in un punto di ripristino AWS di Backup EC2.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Funzionalità:** Protezione da malware per il backup
Questo risultato indica che una scansione di GuardDuty Malware Protection for Backup ha rilevato uno o più file dannosi in un punto di ripristino EC2 all'interno dell'ambiente. Il punto di ripristino interessato potrebbe essere uno snapshot EBS o un’AMI EC2. Per ulteriori informazioni, consulta la sezione Minacce rilevate nel pannello dei dettagli dell’esito.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, il punto di ripristino EC2 potrebbe essere compromesso. Per ulteriori informazioni, consulta [Riparazione di un punto di ripristino EC2 potenzialmente compromesso](compromised-ec2-recoverypoint.md).
## Execution:S3/MaliciousFile\$1RecoveryPoint
### È stato rilevato un file dannoso in un punto di ripristino AWS di Backup S3.
**Gravità predefinita: varia a seconda della minaccia rilevata.**
+ **Funzionalità:** Protezione da malware per il backup
Questo risultato indica che una scansione di GuardDuty Malware Protection for Backup ha rilevato uno o più oggetti dannosi in un punto di ripristino S3 all'interno dell'ambiente. Per ulteriori informazioni, consulta la sezione Minacce rilevate nel pannello dei dettagli dell’esito.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, il punto di ripristino S3 potrebbe essere compromesso. Per ulteriori informazioni, consulta [Riparazione di un punto di ripristino S3 potenzialmente compromesso](compromised-s3-recoverypoint.md).
# GuardDuty Tipi di risultati della protezione RDS
GuardDuty RDS Protection rileva un comportamento anomalo di accesso sull'istanza del database. I seguenti risultati sono specifici per [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) e avranno un tipo di **risorsa** pari a o. `RDSDBInstance` `RDSLimitlessDB` La gravità e i dettagli dei risultati saranno diversi in base al tipo di risultato.
**Topics**
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin](#credaccess-rds-anombehavior-successlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.FailedLogin](#credaccess-rds-anombehavior-failedlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce](#credaccess-rds-anombehavior-successfulbruteforce)
+ [CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin](#credaccess-rds-maliciousipcaller-successfullogin)
+ [CredentialAccess:RDS/MaliciousIPCaller.FailedLogin](#credaccess-rds-maliciousipcaller-failedlogin)
+ [Discovery:RDS/MaliciousIPCaller](#discovery-rds-maliciousipcaller)
+ [CredentialAccess:RDS/TorIPCaller.SuccessfulLogin](#credaccess-rds-toripcaller-successfullogin)
+ [CredentialAccess:RDS/TorIPCaller.FailedLogin](#credaccess-rds-toripcaller-failedlogin)
+ [Discovery:RDS/TorIPCaller](#discovery-rds-toripcaller)
## CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin
### Un utente ha effettuato correttamente l'accesso a un database RDS del tuo account in modo anomalo.
**Gravità predefinita: variabile**
**Nota**
A seconda del comportamento anomalo associato a questo esito, la gravità predefinita può essere bassa, media e alta.
**Bassa**: se il nome utente associato a questo esito ha effettuato l’accesso da un indirizzo IP associato a una rete privata.
**Media**: se il nome utente associato a questo esito ha effettuato l’accesso da un indirizzo IP pubblico.
**Alta**: se viene individuata una serie di tentativi di accesso falliti da indirizzi IP pubblici, indicativo di policy di accesso troppo permissive.
+ **Funzionalità: **monitoraggio delle attività di accesso RDS
Questo risultato indica che è stato osservato un accesso anomalo riuscito a un database RDS nel tuo ambiente. AWS Ciò può indicare che un utente che non era mai stato rilevato in precedenza ha effettuato l'accesso a un database RDS per la prima volta. Uno scenario comune consiste nell'accesso da parte di un utente interno a un database a cui accedono le applicazioni a livello di programmazione, ma non i singoli utenti.
Questo accesso riuscito è stato identificato come anomalo dal modello di apprendimento automatico per il rilevamento delle GuardDuty anomalie (ML). Il modello di ML valuta tutti gli eventi di accesso al database nel tuo [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori dell'attività di accesso RDS, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e i dettagli specifici di connessione al database utilizzati. Per informazioni sugli eventi di accesso potenzialmente insoliti, consulta [Anomalie basate sull'attività di accesso RDS](guardduty_findings-summary.md#rds-pro-login-anomaly).
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il database associato, ti consigliamo di modificare la password dell’utente del database e di esaminare i log di audit disponibili per le attività eseguite dall’utente anomalo. Gli esiti di gravità media e alta possono indicare che la policy di accesso al database è troppo permissiva e che le credenziali dell’utente potrebbero essere state esposte o compromesse. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta [Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt).
## CredentialAccess:RDS/AnomalousBehavior.FailedLogin
### Uno o più tentativi di accesso insoliti falliti sono stati osservati su un database RDS del tuo account.
**Gravità predefinita: bassa**
+ **Funzionalità: **monitoraggio delle attività di accesso RDS
Questo risultato indica che sono stati osservati uno o più accessi anomali non riusciti su un database RDS nell'ambiente in uso. AWS Un tentativo di accesso fallito da indirizzi IP pubblici può indicare che il database RDS del tuo account è stato oggetto di un tentativo di attacco di forza bruta da parte di un utente potenzialmente malintenzionato.
Questi accessi non riusciti sono stati identificati come anomali dal modello di apprendimento automatico per il rilevamento delle GuardDuty anomalie (ML). Il modello di ML valuta tutti gli eventi di accesso al database nel tuo [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori dell'attività di accesso RDS, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e i dettagli specifici di connessione al database utilizzati. Per informazioni sulle attività di accesso RDS potenzialmente insolite, consulta [Anomalie basate sull'attività di accesso RDS](guardduty_findings-summary.md#rds-pro-login-anomaly).
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il database associato, può indicare che il database è esposto pubblicamente o che la policy di accesso al database è troppo permissiva. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta [Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt).
## CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce
### Un utente ha effettuato correttamente l'accesso a un database RDS del tuo account da un indirizzo IP pubblico in modo anomalo dopo una serie di tentativi di accesso insoliti falliti.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio delle attività di accesso RDS
Questo risultato indica che è stato osservato un accesso anomalo indicativo del successo della forza bruta su un database RDS dell'ambiente in uso. AWS Prima di un accesso anomalo riuscito, è stata osservata una serie di tentativi di accesso insoliti falliti. Ciò indica che l’utente e la password associati al database RDS del tuo account potrebbero essere stati compromessi e che un utente potenzialmente malintenzionato potrebbe aver effettuato l’accesso al database RDS.
Questo accesso con forza bruta riuscito è stato identificato come anomalo dal modello di apprendimento automatico per il GuardDuty rilevamento delle anomalie (ML). Il modello di ML valuta tutti gli eventi di accesso al database nel tuo [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) e identifica gli eventi anomali associati alle tecniche utilizzate dagli avversari. Il modello di ML tiene traccia di vari fattori dell'attività di accesso RDS, ad esempio l'utente che ha effettuato la richiesta, la posizione da cui è stata effettuata la richiesta e i dettagli specifici di connessione al database utilizzati. Per informazioni sulle attività di accesso RDS potenzialmente insolite, consulta [Anomalie basate sull'attività di accesso RDS](guardduty_findings-summary.md#rds-pro-login-anomaly).
**Raccomandazioni per la correzione:**
Questa attività indica che le credenziali del database potrebbero essere state esposte o compromesse. Ti consigliamo di modificare la password dell’utente del database associato e di esaminare i log di audit disponibili per le attività eseguite dall’utente potenzialmente compromesso. Una serie di tentativi di accesso insoliti falliti indica che la policy di accesso al database è troppo permissiva o che il database potrebbe essere stato esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta [Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt).
## CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin
### Un utente ha effettuato correttamente l'accesso a un database RDS del tuo account da un indirizzo IP dannoso noto.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio delle attività di accesso RDS
Questo risultato indica che si è verificata un'attività di accesso RDS riuscita da un indirizzo IP associato a un'attività dannosa nota nell'ambiente in uso. AWS Ciò indica che l’utente e la password associati al database RDS del tuo account potrebbero essere stati compromessi e che un utente potenzialmente malintenzionato potrebbe aver effettuato l’accesso al database RDS.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il database associato, può indicare che le credenziali dell’utente sono state esposte o compromesse. Ti consigliamo di modificare la password dell’utente del database associato e di esaminare i log di audit disponibili per le attività eseguite dall’utente compromesso. Questa attività può anche indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta [Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt).
## CredentialAccess:RDS/MaliciousIPCaller.FailedLogin
### Un indirizzo IP associato a un'attività dannosa nota ha tentato di accedere a un database RDS del tuo account, senza riuscirci.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio delle attività di accesso RDS
Questo risultato indica che un indirizzo IP associato a un'attività dannosa nota ha tentato di accedere a un database RDS nell' AWS ambiente in uso, ma non è riuscito a fornire il nome utente o la password corretti. Ciò indica che un utente potenzialmente malintenzionato potrebbe tentare di compromettere il database RDS del tuo account.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il database associato, può indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta [Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt).
## Discovery:RDS/MaliciousIPCaller
### Un database RDS del tuo account è stato sottoposto a probing da un indirizzo IP associato a un'attività dannosa nota, ma non è stato effettuato alcun tentativo di autenticazione.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio delle attività di accesso RDS
Questo risultato indica che un indirizzo IP associato a un'attività dannosa nota ha rilevato un database RDS nell' AWS ambiente in uso, sebbene non sia stato effettuato alcun tentativo di accesso. Ciò può indicare che un utente potenzialmente malintenzionato è alla ricerca di un’infrastruttura accessibile pubblicamente.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il database associato, può indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta [Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt).
## CredentialAccess:RDS/TorIPCaller.SuccessfulLogin
### Un utente ha effettuato correttamente l'accesso a un database RDS del tuo account dall'indirizzo IP di un nodo di uscita Tor.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio delle attività di accesso RDS
Questo esito segnala che un utente ha effettuato correttamente l'accesso a un database RDS nel tuo ambiente AWS dall'indirizzo IP di un nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle risorse RDS del tuo account con l’intento di nascondere la vera identità dell’utente anonimo.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il database associato, può indicare che le credenziali dell’utente sono state esposte o compromesse. Ti consigliamo di modificare la password dell’utente del database associato e di esaminare i log di audit disponibili per le attività eseguite dall’utente compromesso. Questa attività può anche indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta [Correzione di un database potenzialmente compromesso che presenta eventi di accesso riusciti](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt).
## CredentialAccess:RDS/TorIPCaller.FailedLogin
### Un indirizzo IP Tor ha tentato di accedere a un database RDS del tuo account, senza riuscirci.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio delle attività di accesso RDS
Questa scoperta ti informa che un indirizzo IP del nodo di uscita Tor ha tentato di accedere a un database RDS nel tuo AWS ambiente, ma non è riuscito a fornire il nome utente o la password corretti. Tor è un software per abilitare la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle risorse RDS del tuo account con l’intento di nascondere la vera identità dell’utente anonimo.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il database associato, può indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta [Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt).
## Discovery:RDS/TorIPCaller
### Un database RDS del tuo account è stato sottoposto a probing dall'indirizzo IP di un nodo di uscita Tor, ma non è stato effettuato alcun tentativo di autenticazione.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio delle attività di accesso RDS
Questo esito segnala che un database RDS nel tuo ambiente AWS è stato sottoposto a probing dall'indirizzo IP di un nodo di uscita Tor, anche se non è stato effettuato alcun tentativo di accesso. Ciò può indicare che un utente potenzialmente malintenzionato è alla ricerca di infrastrutture accessibili pubblicamente. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relè tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Ciò può indicare un accesso non autorizzato alle risorse RDS del tuo account con l’intento di nascondere la vera identità dell’utente potenzialmente malintenzionato.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il database associato, può indicare che la policy di accesso al database è troppo permissiva o che il database è esposto pubblicamente. Ti consigliamo di collocare il database in un VPC privato e di limitare le regole del gruppo di sicurezza per consentire il traffico solo dalle origini necessarie. Per ulteriori informazioni, consulta [Correzione di un database potenzialmente compromesso che presenta eventi di accesso falliti](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt).
# Tipi di esiti della Protezione Lambda
Questa sezione descrive i tipi di risultati specifici AWS Lambda delle tue risorse e per i quali sono `resourceType` elencati come`Lambda`. Per tutti gli esiti di Lambda, ti consigliamo di esaminare la risorsa in questione e determinare se si comporta nel modo previsto. Se l'attività è autorizzata, puoi utilizzare le [Regole di eliminazione](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html) o gli [Elenchi di indirizzi IP affidabili](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html) e gli elenchi minacce per prevenire notifiche false positive per quella risorsa.
Se l'attività non è prevista, la best practice di sicurezza consiste nel presupporre che Lambda sia stata potenzialmente compromessa e seguire le raccomandazioni per la correzione.
**Topics**
+ [Backdoor:Lambda/C&CActivity.B](#backdoor-lambda-ccactivity-b)
+ [CryptoCurrency:Lambda/BitcoinTool.B](#cryptocurrency-lambda-bitcointool-b)
+ [Trojan:Lambda/BlackholeTraffic](#trojan-lambda-blackhole-traffic)
+ [Trojan:Lambda/DropPoint](#trojan-lambda-drop-point)
+ [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](#unauthorized-access-lambda-maliciousIPcaller-custom)
+ [UnauthorizedAccess:Lambda/TorClient](#unauthorized-access-lambda-tor-client)
+ [UnauthorizedAccess:Lambda/TorRelay](#unauthorized-access-lambda-tor-relay)
## Backdoor:Lambda/C&CActivity.B
### Una funzione Lambda esegue una query su un indirizzo IP associato a un server di comando e controllo noto.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio delle attività di rete Lambda
Questa scoperta indica che una funzione Lambda elencata nell' AWS ambiente in uso sta interrogando un indirizzo IP associato a un server di comando e controllo (C&C) noto. La funzione Lambda associata all'esito generato è potenzialmente compromessa. I server C&C sono computer che inviano comandi ai membri di una botnet.
Una botnet è un insieme di dispositivi connessi a Internet, che può includere server PCs, dispositivi mobili e dispositivi Internet of Things, infetti e controllati da un tipo comune di malware. Le botnet sono spesso utilizzate per distribuire malware e rubare informazioni sensibili, ad esempio i numeri di carte di credito. A seconda dello scopo e della struttura della botnet, il server C&C potrebbe anche inviare comandi per lanciare un Distributed Denial of Service.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di una funzione Lambda potenzialmente compromessa](remediate-lambda-protection-finding-types.md).
## CryptoCurrency:Lambda/BitcoinTool.B
### Una funzione Lambda esegue una query su un indirizzo IP associato a un'attività correlata a una criptovaluta.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio delle attività di rete Lambda
Questa scoperta ti informa che la funzione Lambda elencata nel AWS tuo ambiente sta interrogando un indirizzo IP associato a Bitcoin o ad altre attività legate alla criptovaluta. Gli autori delle minacce potrebbero cercare di assumere il controllo delle funzioni Lambda per riutilizzarle in modo dannoso per il mining non autorizzato di criptovalute.
**Raccomandazioni per la correzione:**
Se usi questa funzione Lambda per estrarre o gestire criptovaluta o se questa funzione è altrimenti coinvolta in un'attività di blockchain, può trattarsi di un'attività potenzialmente prevista per il tuo ambiente. Se questo è il caso nel tuo AWS ambiente, ti consigliamo di impostare una regola di soppressione per questo risultato. La regola di soppressione deve essere costituita da due criteri di filtro. Il primo criterio deve utilizzare l’attributo tipo di esito con un valore di CryptoCurrency:Lambda/BitcoinTool.B. Il secondo criterio di filtro deve essere il nome della funzione Lambda coinvolta nell’attività di blockchain. Per informazioni sulla creazione di regole di eliminazione, consulta [Regole di eliminazione](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html).
Se questa attività non è prevista, la funzione Lambda è potenzialmente compromessa. Per ulteriori informazioni, consulta [Correzione di una funzione Lambda potenzialmente compromessa](remediate-lambda-protection-finding-types.md).
## Trojan:Lambda/BlackholeTraffic
### Una funzione Lambda tenta di comunicare con l'indirizzo IP di un host remoto che è un noto buco nero.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio delle attività di rete Lambda
Questa scoperta indica che una funzione Lambda elencata nell' AWS ambiente in uso sta tentando di comunicare con l'indirizzo IP di un buco nero (o di un buco nel pozzo). I buchi neri sono zone della rete dove il traffico in entrata e in uscita viene eliminato silenziosamente senza che l'origine venga informata del mancato recapito dei dati al destinatario. L’indirizzo IP di un buco nero designa un computer host non in esecuzione o un indirizzo a cui non è stato assegnato alcun host. La funzione Lambda elencata è potenzialmente compromessa.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di una funzione Lambda potenzialmente compromessa](remediate-lambda-protection-finding-types.md).
## Trojan:Lambda/DropPoint
### Una funzione Lambda tenta di comunicare con l'indirizzo IP di un host remoto noto per conservare credenziali e altri dati rubati acquisiti tramite malware.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio delle attività di rete Lambda
Questo risultato indica che una funzione Lambda elencata nell' AWS ambiente in uso sta tentando di comunicare con un indirizzo IP di un host remoto noto per contenere credenziali e altri dati rubati acquisiti da malware.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di una funzione Lambda potenzialmente compromessa](remediate-lambda-protection-finding-types.md).
## UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom
### Una funzione Lambda stabilisce connessioni a un indirizzo IP incluso in un elenco minacce personalizzato.
**Gravità predefinita: media**
+ **Funzionalità: **monitoraggio delle attività di rete Lambda
Questa scoperta ti informa che una funzione Lambda nel AWS tuo ambiente sta comunicando con un indirizzo IP incluso in un elenco di minacce che hai caricato. In GuardDuty, un [elenco di minacce](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html) è composto da indirizzi IP dannosi noti. GuardDuty genera risultati basati sugli elenchi di minacce caricati. È possibile visualizzare i dettagli dell'elenco delle minacce nei dettagli di ricerca sulla GuardDuty console.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di una funzione Lambda potenzialmente compromessa](remediate-lambda-protection-finding-types.md).
## UnauthorizedAccess:Lambda/TorClient
### Una funzione Lambda stabilisce connessioni a un Tor Guard o a un nodo Authority.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio delle attività di rete Lambda
Questa scoperta ti informa che una funzione Lambda nel AWS tuo ambiente sta effettuando connessioni a un nodo Tor Guard o a un nodo Authority. Tor è un software che consente la comunicazione anonima. I Tor Guard e i nodi Authority fungono da gateway iniziali per una rete Tor. Questo traffico può indicare che la funzione Lambda è stata potenzialmente compromessa e al momento funge da client su una rete Tor.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di una funzione Lambda potenzialmente compromessa](remediate-lambda-protection-finding-types.md).
## UnauthorizedAccess:Lambda/TorRelay
### Una funzione Lambda stabilisce connessioni a una rete Tor come relè Tor.
**Gravità predefinita: alta**
+ **Funzionalità: **monitoraggio delle attività di rete Lambda
Questa scoperta ti informa che una funzione Lambda nel AWS tuo ambiente sta effettuando connessioni a una rete Tor in un modo che suggerisce che stia agendo come un relè Tor. Tor è un software che consente la comunicazione anonima. Tor aumenta consente l'anonimato della comunicazione inoltrando il traffico potenzialmente illecito del client da un relè Tor a un altro.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, la funzione Lambda potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di una funzione Lambda potenzialmente compromessa](remediate-lambda-protection-finding-types.md).
# Tipi di esiti ritirati
Un risultato è una notifica che contiene dettagli su un potenziale problema di sicurezza rilevato da GuardDuty . Per informazioni sulle modifiche importanti ai tipi di risultati, inclusi i tipi di GuardDuty risultati appena aggiunti o ritirati, vedere. [Cronologia dei documenti per Amazon GuardDuty](doc-history.md)
I seguenti tipi di risultati vengono ritirati e non sono più generati da. GuardDuty
**Importante**
Non puoi riattivare i tipi di ricerca ritirati GuardDuty .
**Topics**
+ [Exfiltration:S3/ObjectRead.Unusual](#exfiltration-s3-objectreadunusual)
+ [Impact:S3/PermissionsModification.Unusual](#impact-s3-permissionsmodificationunusual)
+ [Impact:S3/ObjectDelete.Unusual](#impact-s3-objectdeleteunusual)
+ [Discovery:S3/BucketEnumeration.Unusual](#discovery-s3-bucketenumerationunusual)
+ [Persistence:IAMUser/NetworkPermissions](#persistence-iam-networkpermissions)
+ [Persistence:IAMUser/ResourcePermissions](#persistence-iam-resourcepermissions)
+ [Persistence:IAMUser/UserPermissions](#persistence-iam-userpermissions)
+ [PrivilegeEscalation:IAMUser/AdministrativePermissions](#privilegeescalation-iam-administrativepermissions)
+ [Recon:IAMUser/NetworkPermissions](#recon-iam-networkpermissions)
+ [Recon:IAMUser/ResourcePermissions](#recon-iam-resourcepermissions)
+ [Recon:IAMUser/UserPermissions](#recon-iam-userpermissions)
+ [ResourceConsumption:IAMUser/ComputeResources](#resourceconsumption-iam-computeresources)
+ [Stealth:IAMUser/LoggingConfigurationModified](#stealth-iam-loggingconfigurationmodified)
+ [UnauthorizedAccess:IAMUser/ConsoleLogin](#unauthorizedaccess-iam-consolelogin)
+ [UnauthorizedAccess:EC2/TorIPCaller](#unauthorizedaccess-ec2-toripcaller)
+ [Backdoor:EC2/XORDDOS](#backdoor2)
+ [Behavior:IAMUser/InstanceLaunchUnusual](#behavior1)
+ [CryptoCurrency:EC2/BitcoinTool.A](#crypto1)
+ [UnauthorizedAccess:IAMUser/UnusualASNCaller](#unauthorized6)
## Exfiltration:S3/ObjectRead.Unusual
### Un’entità IAM ha richiamato un’API S3 in modo sospetto.
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è elevata.
+ **Fonte dei dati:** eventi di CloudTrail dati per S3
Questo risultato indica che un'entità IAM nel tuo AWS ambiente sta effettuando chiamate API che coinvolgono un bucket S3 e che differiscono dalla linea di base stabilita da tale entità. La chiamata API utilizzata in questa attività è associata alla fase di esfiltrazione di un attacco, in cui un utente malintenzionato tenta di raccogliere dati. Questa attività è sospetta perché il modo in cui l’entità IAM ha richiamato l’API è insolito. Ad esempio, l’entità IAM non aveva mai richiamato questo tipo di API in precedenza oppure l’API è stata richiamata da una posizione insolita.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Impact:S3/PermissionsModification.Unusual
### Un'entità IAM ha richiamato un'API per modificare le autorizzazioni su una o più risorse S3.
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è elevata.
Questo esito segnala che un’entità IAM effettua chiamate API progettate per modificare le autorizzazioni su uno o più bucket o oggetti nel tuo ambiente AWS . Questa operazione può essere eseguita da un utente malintenzionato per consentire la condivisione di informazioni al di fuori dell’account. Questa attività è sospetta perché il modo in cui l’entità IAM ha richiamato l’API è insolito. Ad esempio, l’entità IAM non aveva mai richiamato questo tipo di API in precedenza oppure l’API è stata richiamata da una posizione insolita.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Impact:S3/ObjectDelete.Unusual
### Un'entità IAM ha richiamato un'API utilizzata per eliminare i dati in un bucket S3.
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è Alta.
Questo risultato indica che un'entità IAM specifica nel tuo AWS ambiente sta effettuando chiamate API progettate per eliminare i dati nel bucket S3 elencato eliminando il bucket stesso. Questa attività è sospetta perché il modo in cui l’entità IAM ha richiamato l’API è insolito. Ad esempio, l’entità IAM non aveva mai richiamato questo tipo di API in precedenza oppure l’API è stata richiamata da una posizione insolita.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Discovery:S3/BucketEnumeration.Unusual
### Un'entità IAM ha richiamato un'API S3 utilizzata per scoprire i bucket S3 all'interno della rete.
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è elevata.
Questo esito indica che un’entità IAM ha richiamato un’API S3 per scoprire i bucket S3 nel tuo ambiente, ad esempio `ListBuckets`. Questo tipo di attività è associata alla fase di scoperta di un attacco, in cui un utente malintenzionato raccoglie informazioni per determinare se l' AWS ambiente in uso è suscettibile a un attacco più ampio. Questa attività è sospetta perché il modo in cui l’entità IAM ha richiamato l’API è insolito. Ad esempio, l’entità IAM non aveva mai richiamato questo tipo di API in precedenza oppure l’API è stata richiamata da una posizione insolita.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista per il principale associato, potrebbe indicare che le credenziali sono state esposte o che le autorizzazioni S3 non sono sufficientemente restrittive. Per ulteriori informazioni, consulta [Riparazione di un bucket S3 potenzialmente compromesso](compromised-s3.md).
## Persistence:IAMUser/NetworkPermissions
### Un'entità IAM ha richiamato un'API comunemente utilizzata per modificare le autorizzazioni di accesso alla rete per i gruppi di sicurezza, le rotte e nel tuo account. ACLs AWS
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è elevata.
Questo risultato indica che un principale specifico (Utente root dell'account AWS ruolo o utente IAM) nell' AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questa entità di sicurezza non ha mai chiamato questa API in precedenza.
Questo esito viene attivato quando le impostazioni di configurazione della rete vengono modificate in circostanze sospette, ad esempio quando un principale richiama l'API `CreateSecurityGroup` senza averlo mai fatto in precedenza. Gli utenti malintenzionati spesso tentano di modificare i gruppi di sicurezza per consentire un determinato traffico in entrata su varie porte e migliorare la capacità di accedere all'istanza EC2.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Persistence:IAMUser/ResourcePermissions
### Un principale ha richiamato un'API comunemente utilizzata per modificare le politiche di accesso di sicurezza di varie risorse del tuo. Account AWS
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizza AWS credenziali temporanee create su un'istanza, la gravità del risultato è elevata.
Questo risultato indica che un principale specifico (Utente root dell'account AWS ruolo o utente IAM) nell' AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questa entità di sicurezza non ha mai chiamato questa API in precedenza.
Questo risultato viene attivato quando viene rilevata una modifica alle policy o alle autorizzazioni associate alle AWS risorse, ad esempio quando un principale nell' AWS ambiente richiama l'`PutBucketPolicy`API senza precedenti. Alcuni servizi, come Amazon S3, supportano le autorizzazioni collegate alle risorse che concedono a uno o più principali di accedere alla risorsa. Con le credenziali rubate, gli utenti malintenzionati possono modificare le policy collegate a una risorsa per potervi accedere.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Persistence:IAMUser/UserPermissions
### Un principale ha richiamato un'API comunemente utilizzata per aggiungere, modificare o eliminare utenti, gruppi o politiche IAM nel tuo account. AWS
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è elevata.
Questo risultato indica che un principale specifico (Utente root dell'account AWS ruolo o utente IAM) nell' AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questa entità di sicurezza non ha mai chiamato questa API in precedenza.
Questo risultato è dovuto a modifiche sospette alle autorizzazioni relative all'utente nell' AWS ambiente in uso, ad esempio quando un responsabile dell' AWS ambiente richiama l'`AttachUserPolicy`API senza precedenti. Gli utenti malintenzionati possono utilizzare le credenziali rubate per creare nuovi utenti, aggiungere policy di accesso agli utenti esistenti o creare chiavi di accesso per massimizzare l'accesso a un account, anche se il punto di accesso originale è chiuso. Ad esempio, il proprietario dell'account potrebbe accorgersi del furto di un determinato utente IAM o di una password ed eliminarli dall'account. Tuttavia, potrebbero non eliminare altri utenti creati da un amministratore creato in modo fraudolento, lasciando il loro account accessibile all'aggressore. AWS
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## PrivilegeEscalation:IAMUser/AdministrativePermissions
### Un principale ha tentato di assegnare una policy molto permissiva a se stessa.
**Gravità predefinita: bassa\$1**
**Nota**
La gravità di questo esito è bassa se il tentativo di escalation dei privilegi non è andato a buon fine e media in caso contrario.
Questo risultato indica che un'entità IAM specifica nell' AWS ambiente in uso mostra un comportamento che può essere indicativo di un attacco di escalation dei privilegi. Questo esito viene attivato quando un utente o un ruolo IAM tentano di autoassegnarsi una policy molto permissiva. Se l'utente o il ruolo in questione non è destinato a disporre di privilegi amministrativi, le credenziali dell'utente potrebbero essere compromesse o le autorizzazioni del ruolo potrebbero non essere configurate correttamente.
Gli utenti malintenzionati utilizzeranno le credenziali rubate per creare nuovi utenti, aggiungere policy di accesso agli utenti esistenti o creare chiavi di accesso per massimizzare l'accesso a un account, anche se il punto di accesso originale è chiuso. Ad esempio, il proprietario dell'account potrebbe notare che una determinata credenziale di un utente IAM è stata rubata ed eliminata dall'account, ma potrebbe non eliminare altri utenti creati da un principale amministratore creato in modo fraudolento, lasciando i loro account AWS ancora accessibili all'utente malintenzionato.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Recon:IAMUser/NetworkPermissions
### Un principale ha richiamato un'API comunemente utilizzata per modificare le autorizzazioni di accesso alla rete per i gruppi di sicurezza, le route e l'account dell'utente. ACLs AWS
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è Alta.
Questo risultato indica che un principale specifico (Utente root dell'account AWS ruolo o utente IAM) nell' AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questa entità di sicurezza non ha mai chiamato questa API in precedenza.
Questo esito viene attivato quando le autorizzazioni di accesso alle risorse nel tuo AWS sono sottoposte a probing in circostanze sospette. Ad esempio, se un principale ha richiamato l’API `DescribeInstances` senza averlo mai fatto in precedenza. Un utente malintenzionato potrebbe utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali di cui già dispone.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Recon:IAMUser/ResourcePermissions
### Un principale ha richiamato un'API comunemente utilizzata per modificare le politiche di accesso di sicurezza di varie risorse dell'account. AWS
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è elevata.
Questo risultato indica che un principale specifico (Utente root dell'account AWS ruolo o utente IAM) nell' AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questa entità di sicurezza non ha mai chiamato questa API in precedenza.
Questo esito viene attivato quando le autorizzazioni di accesso alle risorse nel tuo AWS sono sottoposte a probing in circostanze sospette. Ad esempio, se un principale ha richiamato l’API `DescribeInstances` senza averlo mai fatto in precedenza. Un utente malintenzionato potrebbe utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali di cui già dispone.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Recon:IAMUser/UserPermissions
### Un principale ha richiamato un'API comunemente utilizzata per aggiungere, modificare o eliminare utenti, gruppi o policy IAM nel tuo account. AWS
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è elevata.
Questo risultato viene attivato quando le autorizzazioni degli utenti nell' AWS ambiente in uso vengono rilevate in circostanze sospette. Ad esempio, se un principale (Utente root dell'account AWS, ruolo IAM o utente IAM) ha richiamato l'API `ListInstanceProfilesForRole` senza averlo mai fatto in precedenza. Un utente malintenzionato potrebbe utilizzare credenziali rubate per eseguire questo tipo di ricognizione delle AWS risorse dell'utente al fine di trovare credenziali più preziose o determinare le funzionalità delle credenziali di cui già dispone.
Questo risultato indica che uno specifico preside nell' AWS ambiente in uso mostra un comportamento diverso dalla linea di base stabilita. Questo primcipal non ha mai chiamato questa API in precedenza.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## ResourceConsumption:IAMUser/ComputeResources
### Un principale ha chiamato un’API comunemente utilizzata per avviare risorse di calcolo come istanze EC.
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è elevata.
Questo esito viene generato quando le istanze EC2 nell’account elencato all’interno del tuo ambiente AWS vengono avviate in circostanze sospette. Questo risultato indica che un principale specifico nell' AWS ambiente in uso mostra un comportamento diverso dalla linea di base stabilita, ad esempio se un principale (Utente root dell'account AWS un ruolo IAM o un utente IAM) ha richiamato l'`RunInstances`API senza precedenti. Questa attività potrebbe essere un’indicazione che un utente malintenzionato sta utilizzando credenziali rubate per rubare tempo di calcolo (possibilmente per il mining di criptovalute o il password cracking). Può anche indicare che un utente malintenzionato utilizza un'istanza EC2 nel tuo AWS ambiente e le relative credenziali per mantenere l'accesso al tuo account.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## Stealth:IAMUser/LoggingConfigurationModified
### Un preside ha richiamato un'API comunemente utilizzata per interrompere la CloudTrail registrazione, eliminare i log esistenti ed eliminare in altro modo le tracce di attività nell'account. AWS
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è elevata.
Questo esito viene attivato quando la configurazione della registrazione nell’account AWS elencato all’interno del tuo ambiente viene modificata in circostanze sospette. Questo risultato indica che un principale specifico nell' AWS ambiente in uso mostra un comportamento diverso dalla linea di base stabilita, ad esempio se un principale (Utente root dell'account AWS un ruolo IAM o un utente IAM) ha richiamato l'`StopLogging`API senza precedenti. Ciò può indicare il tentativo di un utente malintenzionato di eliminare le tracce della sua attività.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## UnauthorizedAccess:IAMUser/ConsoleLogin
### È stato rilevato un accesso insolito alla console da parte di un responsabile del tuo AWS account.
**Gravità predefinita: media\$1**
**Nota**
La gravità predefinita di questi esiti è media. Tuttavia, se l'API viene richiamata utilizzando AWS credenziali temporanee create su un'istanza, la gravità del risultato è elevata.
Questo esito viene generato quando una connessione alla console viene rilevata in circostanze sospette. Ad esempio, se un principale che non ha precedenti in tal senso ha richiamato l' ConsoleLogin API da un never-before-used client o da una posizione insolita. Potrebbe trattarsi di un'indicazione dell'utilizzo di credenziali rubate per accedere al tuo AWS account o di un utente valido che accede all'account in modo non valido o meno sicuro (ad esempio, non tramite una VPN approvata).
Questa scoperta indica che un principio specifico nel vostro AWS ambiente mostra un comportamento diverso dalla linea di base stabilita. Questo principale non ha mai eseguito connessioni con questa applicazione client da questo specifico percorso in precedenza.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## UnauthorizedAccess:EC2/TorIPCaller
### Un’istanza EC2 sta ricevendo connessioni in entrata da un nodo di uscita Tor.
**Gravità predefinita: media**
Questo risultato ti informa che un'istanza EC2 nel tuo AWS ambiente riceve connessioni in entrata da un nodo di uscita Tor. Tor è un software che consente la comunicazione anonima. Crittografa le comunicazioni e le inoltra in modo aleatorio tramite relay tra una serie di nodi di rete. L’ultimo nodo Tor è denominato nodo di uscita. Questa scoperta può indicare un accesso non autorizzato alle tue AWS risorse con l'intento di nascondere la vera identità dell'aggressore.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Backdoor:EC2/XORDDOS
### Un'istanza EC2 sta tentando di comunicare con un indirizzo IP associato al malware XOR S. DDo
**Gravità predefinita: alta**
Questo risultato indica che un'istanza EC2 nel tuo AWS ambiente sta tentando di comunicare con un indirizzo IP associato al malware XOR DDoS. L’istanza EC2 potrebbe essere compromessa. XOR DDo S è un malware Trojan che dirotta i sistemi Linux. Per accedere al sistema, lancia un attacco di forza bruta allo scopo di scoprire la password dei servizi SSH (Secure Shell) su Linux. Dopo aver acquisito le credenziali SSH e aver effettuato correttamente l'accesso, utilizza i privilegi di utente root per eseguire uno script che scarica e installa XOR S. DDo Questo malware viene quindi utilizzato come parte di una botnet per lanciare attacchi Distributed Denial of Service (DDoS) contro altri obiettivi.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## Behavior:IAMUser/InstanceLaunchUnusual
### Un utente ha avviato un tipo insolito di istanza EC2.
**Gravità predefinita: alta**
Questo risultato indica che un utente specifico nell' AWS ambiente in uso mostra un comportamento diverso dalla linea di base stabilita. Questo utente non ha mai avviato un’istanza EC2 di questo tipo in precedenza. Le tue credenziali di accesso potrebbero essere compromesse.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## CryptoCurrency:EC2/BitcoinTool.A
### Un’istanza EC2 sta comunicando con pool di mining di bitcoin.
**Gravità predefinita: alta**
Questo risultato ti informa che un'istanza EC2 nel tuo AWS ambiente sta comunicando con i pool di mining Bitcoin. Nel settore del mining di criptovalute, un pool di mining designa il raggruppamento delle risorse dei minatori che condividono la loro potenza di elaborazione su una rete per condividere la ricompensa in funzione del loro contributo alla risoluzione di un blocco. Se l’istanza EC2 non è utilizzata per il mining di bitcoin, potrebbe essere compromessa.
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, l'istanza potrebbe essere compromessa. Per ulteriori informazioni, consulta [Correzione di un'istanza Amazon EC2 potenzialmente compromessa](compromised-ec2.md).
## UnauthorizedAccess:IAMUser/UnusualASNCaller
### Un'API è stata chiamata da un indirizzo IP di una rete inabituale.
**Gravità predefinita: alta**
Questo risultato ti informa che determinate attività sono state richiamate da un indirizzo IP di una rete insolita. Questa rete non è mai stata osservata nello storico di utilizzo di AWS dell'utente specificato. Questa attività può includere una accesso alla console, un tentativo di avviare un'istanza EC2, di creare un nuovo utente IAM, di modificare i privilegi AWS , ecc. Ciò può indicare un accesso non autorizzato alle tue risorse. AWS
**Raccomandazioni per la correzione:**
Se questa attività non è prevista, le credenziali potrebbero essere compromesse. Per ulteriori informazioni, consulta [Riparazione delle credenziali potenzialmente compromesse AWS](compromised-creds.md).
## GuardDuty ricerca dei tipi in base alle risorse potenzialmente interessate
Le pagine seguenti sono classificate in base al tipo di risorsa potenzialmente interessata associata a un risultato: GuardDuty
+ [Tipi di esiti EC2](guardduty_finding-types-ec2.md)
+ [Tipi di esiti IAM](guardduty_finding-types-iam.md)
+ [tipi di ricerca delle sequenze di attacco](guardduty-attack-sequence-finding-types.md)
+ [Tipi di risultati di protezione S3](guardduty_finding-types-s3.md)
+ [Tipi di risultati di protezione EKS](guardduty-finding-types-eks-audit-logs.md)
+ [Tipi di risultati del monitoraggio del runtime](findings-runtime-monitoring.md)
+ [Protezione da malware per tipi di ricerca EC2](findings-malware-protection.md)
+ [Protezione da malware per tipo di ricerca S3](gdu-malware-protection-s3-finding-types.md)
+ [Tipi di ricerca di Malware Protection for Backup](findings-malware-protection-backup.md)
+ [Tipi di esiti della Protezione RDS](findings-rds-protection.md)
+ [Tipi di esiti della Protezione Lambda](lambda-protection-finding-types.md)
## GuardDuty tipi di ricerca attivi
La tabella seguente mostra tutti i tipi di esiti attivi ordinati per origine dati o funzionalità fondamentale, a seconda dei casi. Nella tabella seguente, alcuni risultati hanno i valori della colonna *Finding severity* contrassegnati da un asterisco (\$1) o da un segno più (\$1):
\$1 Questi tipi di risultati hanno una gravità variabile. Un risultato di un tipo particolare può avere una gravità diversa a seconda del contesto specifico del risultato. Per ulteriori informazioni su un tipo di risultato, consulta la descrizione dettagliata.
\$1 I risultati di EC2 che utilizzano i log di flusso VPC come fonte di dati non supportano il traffico. IPv6
| Tipo di risultato | Tipo di risorsa | Origine dati/funzionalità fondamentale | Gravità dell'esito |
| --- | --- | --- | --- |
| [Discovery:S3/AnomalousBehavior](guardduty_finding-types-s3.md#discovery-s3-anomalousbehavior) | Simple Storage Service (Amazon S3) | CloudTrail eventi relativi ai dati per S3 | Bassa |
| [Discovery:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#discovery-s3-maliciousipcaller) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Elevata |
| [Discovery:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#discovery-s3-maliciousipcallercustom) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Elevata |
| [Discovery:S3/TorIPCaller](guardduty_finding-types-s3.md#discovery-s3-toripcaller) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Media |
| [Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Elevata |
| [Exfiltration:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#exfiltration-s3-maliciousipcaller) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Elevata |
| [Impact:EC2/MaliciousDomainRequest.Custom](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequest-custom) | Amazon EC2 | Log DNS | Media |
| [Impact:S3/AnomalousBehavior.Delete](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-delete) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Elevata |
| [Impact:S3/AnomalousBehavior.Permission](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-permission) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Elevata |
| [Impact:S3/AnomalousBehavior.Write](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-write) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Media |
| [Impact:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#impact-s3-maliciousipcaller) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Elevata |
| [PenTest:S3/KaliLinux](guardduty_finding-types-s3.md#pentest-s3-kalilinux) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Media |
| [PenTest:S3/ParrotLinux](guardduty_finding-types-s3.md#pentest-s3-parrotlinux) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Media |
| [PenTest:S3/PentooLinux](guardduty_finding-types-s3.md#pentest-s3-pentoolinux) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Media |
| [UnauthorizedAccess:S3/TorIPCaller](guardduty_finding-types-s3.md#unauthorizedaccess-s3-toripcaller) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Elevata |
| [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#unauthorizedaccess-s3-maliciousipcallercustom) | Simple Storage Service (Amazon S3) | CloudTrail eventi di dati per S3 | Elevata |
| [CredentialAccess:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#credentialaccess-iam-anomalousbehavior) | IAM | CloudTrail eventi di gestione | Media |
| [CredentialAccess:IAMUser/CompromisedCredentials](guardduty_finding-types-iam.md#credentialaccess-iam-compromisedcredentials) | IAM | CloudTrail eventi di gestione o eventi CloudTrail relativi ai dati per S3 | Elevata |
| [DefenseEvasion:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#defenseevasion-iam-anomalousbehavior) | IAM | CloudTrail eventi di gestione | Media |
| [DefenseEvasion:IAMUser/BedrockLoggingDisabled](guardduty_finding-types-iam.md#defenseevasion-iam-bedrockloggingdisabled) | IAM | CloudTrail eventi di gestione | Media |
| [Discovery:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#discovery-iam-anomalousbehavior) | IAM | CloudTrail eventi di gestione | Bassa |
| [Exfiltration:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#exfiltration-iam-anomalousbehavior) | IAM | CloudTrail eventi di gestione | Elevata |
| [Impact:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#impact-iam-anomalousbehavior) | IAM | CloudTrail eventi di gestione | Elevata |
| [InitialAccess:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#initialaccess-iam-anomalousbehavior) | IAM | CloudTrail eventi di gestione | Media |
| [PenTest:IAMUser/KaliLinux](guardduty_finding-types-iam.md#pentest-iam-kalilinux) | IAM | CloudTrail eventi di gestione | Media |
| [PenTest:IAMUser/ParrotLinux](guardduty_finding-types-iam.md#pentest-iam-parrotlinux) | IAM | CloudTrail eventi di gestione | Media |
| [PenTest:IAMUser/PentooLinux](guardduty_finding-types-iam.md#pentest-iam-pentoolinux) | IAM | CloudTrail eventi di gestione | Media |
| [Persistence:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#persistence-iam-anomalousbehavior) | IAM | CloudTrail eventi di gestione | Media |
| [Stealth:IAMUser/PasswordPolicyChange](guardduty_finding-types-iam.md#stealth-iam-passwordpolicychange) | IAM | CloudTrail eventi di gestione | Basso [*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws) | IAM | CloudTrail eventi gestionali | Alto [*](#gdu-active-findings-variable-severity) |
| [Policy:S3/AccountBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-accountblockpublicaccessdisabled) | Simple Storage Service (Amazon S3) | CloudTrail eventi gestionali | Bassa |
| [Policy:S3/BucketAnonymousAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketanonymousaccessgranted) | Simple Storage Service (Amazon S3) | CloudTrail eventi di gestione | Elevata |
| [Policy:S3/BucketBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-bucketblockpublicaccessdisabled) | Simple Storage Service (Amazon S3) | CloudTrail eventi di gestione | Bassa |
| [Policy:S3/BucketPublicAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketpublicaccessgranted) | Simple Storage Service (Amazon S3) | CloudTrail eventi di gestione | Elevata |
| [PrivilegeEscalation:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#privilegeescalation-iam-anomalousbehavior) | IAM | CloudTrail eventi di gestione | Media |
| [Recon:IAMUser/MaliciousIPCaller](guardduty_finding-types-iam.md#recon-iam-maliciousipcaller) | IAM | CloudTrail eventi di gestione | Media |
| [Recon:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#recon-iam-maliciousipcallercustom) | IAM | CloudTrail eventi di gestione | Media |
| [Recon:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#recon-iam-toripcaller) | IAM | CloudTrail eventi di gestione | Media |
| [Stealth:IAMUser/CloudTrailLoggingDisabled](guardduty_finding-types-iam.md#stealth-iam-cloudtrailloggingdisabled) | IAM | CloudTrail eventi di gestione | Bassa |
| [Stealth:S3/ServerAccessLoggingDisabled](guardduty_finding-types-s3.md#stealth-s3-serveraccessloggingdisabled) | Simple Storage Service (Amazon S3) | CloudTrail eventi di gestione | Bassa |
| [UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B](guardduty_finding-types-iam.md#unauthorizedaccess-iam-consoleloginsuccessb) | IAM | CloudTrail eventi di gestione | Media |
| [UnauthorizedAccess:IAMUser/MaliciousIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcaller) | IAM | CloudTrail eventi di gestione | Media |
| [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcallercustom) | IAM | CloudTrail eventi di gestione | Media |
| [UnauthorizedAccess:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-toripcaller) | IAM | CloudTrail eventi di gestione | Media |
| [Policy:IAMUser/RootCredentialUsage](guardduty_finding-types-iam.md#policy-iam-rootcredentialusage) | IAM | CloudTrail eventi di gestione o eventi CloudTrail relativi ai dati per S3 | Bassa |
| [Policy:IAMUser/ShortTermRootCredentialUsage](guardduty_finding-types-iam.md#policy-iam-user-short-term-root-credential-usage) | IAM | CloudTrail eventi di gestione o eventi CloudTrail relativi ai dati per S3 | Bassa |
| [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) | IAM | CloudTrail eventi di gestione o eventi CloudTrail relativi ai dati per S3 | Elevata |
| [UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws) | IAM | CloudTrail eventi di gestione o eventi CloudTrail relativi ai dati per S3 | Elevata |
| [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster) | Risorse coinvolte nella sequenza di attacco | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/guardduty_finding-types-active.html) | Critica |
| [AttackSequence:IAM/CompromisedCredentials](guardduty-attack-sequence-finding-types.md#attack-sequence-iam-compromised-credentials) | Risorse coinvolte nella sequenza di attacco | CloudTrail eventi di gestione | Critica |
| [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data) | Risorse coinvolte nella sequenza degli attacchi | CloudTrail eventi di gestione ed eventi CloudTrail relativi ai dati per S3 | Critica |
| [AttackSequence:ECS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-ecs-compromised-cluster) | Risorse coinvolte nella sequenza degli attacchi | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/guardduty_finding-types-active.html) | Critica |
| [AttackSequence:EC2/CompromisedInstanceGroup](guardduty-attack-sequence-finding-types.md#attack-sequence-ec2-compromised-instance-group) | Risorse coinvolte nella sequenza di attacco | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/guardduty_finding-types-active.html) | Critica |
| [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns) | Amazon EC2 | Log DNS | Elevata |
| [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns) | Amazon EC2 | Log DNS | Elevata |
| [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation) | Amazon EC2 | Log DNS | Media |
| [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation) | Amazon EC2 | Log DNS | Elevata |
| [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation) | Amazon EC2 | Log DNS | Elevata |
| [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation) | Amazon EC2 | Log DNS | Bassa |
| [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns) | Amazon EC2 | Log DNS | Media |
| [Trojan:EC2/DGADomainRequest.B](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestb) | Amazon EC2 | Log DNS | Elevata |
| [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns) | Amazon EC2 | Log DNS | Elevata |
| [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration) | Amazon EC2 | Log DNS | Elevata |
| [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns) | Amazon EC2 | Log DNS | Elevata |
| [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns) | Amazon EC2 | Log DNS | Media |
| [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns) | Amazon EC2 | Log DNS | Elevata |
| [UnauthorizedAccess:EC2/MetadataDNSRebind](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-metadatadnsrebind) | Amazon EC2 | Log DNS | Elevata |
| [Execution:Container/MaliciousFile](findings-malware-protection.md#execution-malware-container-maliciousfile) | Contenitore | Protezione da malware EBS | Varia a seconda della minaccia rilevata |
| [Execution:Container/SuspiciousFile](findings-malware-protection.md#execution-malware-container-suspiciousfile) | Contenitore | Protezione da malware EBS | Varia a seconda della minaccia rilevata |
| [Execution:EC2/MaliciousFile](findings-malware-protection.md#execution-malware-ec2-maliciousfile) | Amazon EC2 | Protezione da malware EBS | Varia a seconda della minaccia rilevata |
| [Execution:EC2/SuspiciousFile](findings-malware-protection.md#execution-malware-ec2-suspiciousfile) | Amazon EC2 | Protezione da malware EBS | Varia a seconda della minaccia rilevata |
| [Execution:ECS/MaliciousFile](findings-malware-protection.md#execution-malware-ecs-maliciousfile) | ECS | Protezione da malware EBS | Varia a seconda della minaccia rilevata |
| [Execution:ECS/SuspiciousFile](findings-malware-protection.md#execution-malware-ecs-suspiciousfile) | ECS | Protezione da malware EBS | Varia a seconda della minaccia rilevata |
| [Execution:Kubernetes/MaliciousFile](findings-malware-protection.md#execution-malware-kubernetes-maliciousfile) | Kubernetes | Protezione da malware EBS | Varia a seconda della minaccia rilevata |
| [Execution:Kubernetes/SuspiciousFile](findings-malware-protection.md#execution-malware-kubernetes-suspiciousfile) | Kubernetes | Protezione da malware EBS | Varia a seconda della minaccia rilevata |
| [Execution:EC2/MaliciousFile\$1Snapshot](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-snapshot) | Amazon EBS | Protezione da malware per il backup | Varia a seconda della minaccia rilevata |
| [Execution:EC2/MaliciousFile\$1AMIÈ stato rilevato un file dannoso su un’AMI EC2.](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-ami) | Amazon EC2 | Protezione da malware per il backup | Varia a seconda della minaccia rilevata |
| [Execution:EC2/MaliciousFile\$1RecoveryPoint](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-recoverypoint) | AWS Backup | Protezione da malware per il backup | Varia a seconda della minaccia rilevata |
| [Execution:S3/MaliciousFile\$1RecoveryPoint](findings-malware-protection-backup.md#execution-malware-s3-maliciousfile-recoverypoint) | AWS Backup | Protezione da malware per il backup | Varia a seconda della minaccia rilevata |
| [CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed](guardduty-finding-types-eks-audit-logs.md#credaccess-kubernetes-anomalousbehavior-secretsaccessed) | Kubernetes | Log di controllo EKS | Media |
| [CredentialAccess:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-maliciousipcaller) | Kubernetes | Log di controllo EKS | Elevata |
| [CredentialAccess:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-maliciousipcallercustom) | Kubernetes | Log di controllo EKS | Elevata |
| [CredentialAccess:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-successfulanonymousaccess) | Kubernetes | Log di controllo EKS | Elevata |
| [CredentialAccess:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-toripcaller) | Kubernetes | Log di controllo EKS | Elevata |
| [DefenseEvasion:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-maliciousipcaller) | Kubernetes | Log di controllo EKS | Elevata |
| [DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-maliciousipcallercustom) | Kubernetes | Log di controllo EKS | Elevata |
| [DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-successfulanonymousaccess) | Kubernetes | Log di controllo EKS | Elevata |
| [DefenseEvasion:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-toripcaller) | Kubernetes | Log di controllo EKS | Elevata |
| [Discovery:Kubernetes/AnomalousBehavior.PermissionChecked](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-anomalousbehavrior-permissionchecked) | Kubernetes | Log di controllo EKS | Bassa |
| [Discovery:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcaller) | Kubernetes | Log di controllo EKS | Media |
| [Discovery:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcallercustom) | Kubernetes | Log di controllo EKS | Media |
| [Discovery:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-successfulanonymousaccess) | Kubernetes | Log di controllo EKS | Media |
| [Discovery:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-toripcaller) | Kubernetes | Log di controllo EKS | Media |
| [Execution:Kubernetes/ExecInKubeSystemPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-execinkubesystempod) | Kubernetes | Log di controllo EKS | Media |
| [Execution:Kubernetes/AnomalousBehavior.ExecInPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-anomalousbehvaior-execinprod) | Kubernetes | Log di controllo EKS | Media |
| [Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed](guardduty-finding-types-eks-audit-logs.md#exec-kubernetes-anomalousbehavior-workloaddeployed) | Kubernetes | Log di controllo EKS | Bassa |
| [Impact:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcaller) | Kubernetes | Log di controllo EKS | Elevata |
| [Impact:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcallercustom) | Kubernetes | Log di controllo EKS | Elevata |
| [Impact:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-successfulanonymousaccess) | Kubernetes | Log di controllo EKS | Elevata |
| [Impact:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-toripcaller) | Kubernetes | Log di controllo EKS | Elevata |
| [Persistence:Kubernetes/ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-containerwithsensitivemount) | Kubernetes | Log di controllo EKS | Media |
| [Persistence:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-maliciousipcaller) | Kubernetes | Log di controllo EKS | Media |
| [Persistence:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-maliciousipcallercustom) | Kubernetes | Log di controllo EKS | Media |
| [Persistence:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-successfulanonymousaccess) | Kubernetes | Log di controllo EKS | Elevata |
| [Persistence:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-toripcaller) | Kubernetes | Log di controllo EKS | Media |
| [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount) | Kubernetes | Log di controllo EKS | Elevata |
| [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted) | Kubernetes | Log di controllo EKS | Elevata |
| [Policy:Kubernetes/KubeflowDashboardExposed](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-kubeflowdashboardexposed) | Kubernetes | Log di controllo EKS | Media |
| [Policy:Kubernetes/ExposedDashboard](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-exposeddashboard) | Kubernetes | Log di controllo EKS | Media |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-rolebindingcreated) | Kubernetes | Log di controllo EKS | Medio [*](#gdu-active-findings-variable-severity) |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-rolecreated) | Kubernetes | Log di controllo EKS | Bassa |
| [Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount) | Kubernetes | Log di controllo EKS | Elevata |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer) | Kubernetes | Log di controllo EKS | Elevata |
| [PrivilegeEscalation:Kubernetes/PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privilegeescalation-kubernetes-privilegedcontainer) | Kubernetes | Log di controllo EKS | Media |
| [Backdoor:Lambda/C&CActivity.B](lambda-protection-finding-types.md#backdoor-lambda-ccactivity-b) | Lambda | Monitoraggio delle attività di rete Lambda | Elevata |
| [CryptoCurrency:Lambda/BitcoinTool.B](lambda-protection-finding-types.md#cryptocurrency-lambda-bitcointool-b) | Lambda | Monitoraggio delle attività di rete Lambda | Elevata |
| [Trojan:Lambda/BlackholeTraffic](lambda-protection-finding-types.md#trojan-lambda-blackhole-traffic) | Lambda | Monitoraggio delle attività di rete Lambda | Media |
| [Trojan:Lambda/DropPoint](lambda-protection-finding-types.md#trojan-lambda-drop-point) | Lambda | Monitoraggio delle attività di rete Lambda | Media |
| [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](lambda-protection-finding-types.md#unauthorized-access-lambda-maliciousIPcaller-custom) | Lambda | Monitoraggio delle attività di rete Lambda | Media |
| [UnauthorizedAccess:Lambda/TorClient](lambda-protection-finding-types.md#unauthorized-access-lambda-tor-client) | Lambda | Monitoraggio delle attività di rete Lambda | Elevata |
| [UnauthorizedAccess:Lambda/TorRelay](lambda-protection-finding-types.md#unauthorized-access-lambda-tor-relay) | Lambda | Monitoraggio delle attività di rete Lambda | Elevata |
| [Object:S3/MaliciousFile](gdu-malware-protection-s3-finding-types.md#s3-object-s3-malicious-file) | S3Object | Protezione da malware per S3 | Elevata |
| [CredentialAccess:RDS/AnomalousBehavior.FailedLogin](findings-rds-protection.md#credaccess-rds-anombehavior-failedlogin) | [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) | Monitoraggio delle attività di accesso RDS | Bassa |
| [CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce](findings-rds-protection.md#credaccess-rds-anombehavior-successfulbruteforce) | [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) | Monitoraggio delle attività di accesso RDS | Elevata |
| [CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-anombehavior-successlogin) | [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) | Monitoraggio delle attività di accesso RDS | Variabile [*](#gdu-active-findings-variable-severity) |
| [CredentialAccess:RDS/MaliciousIPCaller.FailedLogin](findings-rds-protection.md#credaccess-rds-maliciousipcaller-failedlogin) | [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) | Monitoraggio delle attività di accesso RDS | Media |
| [CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-maliciousipcaller-successfullogin) | [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) | Monitoraggio delle attività di accesso RDS | Elevata |
| [CredentialAccess:RDS/TorIPCaller.FailedLogin](findings-rds-protection.md#credaccess-rds-toripcaller-failedlogin) | [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) | Monitoraggio delle attività di accesso RDS | Media |
| [CredentialAccess:RDS/TorIPCaller.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-toripcaller-successfullogin) | [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) | Monitoraggio delle attività di accesso RDS | Elevata |
| [Discovery:RDS/MaliciousIPCaller](findings-rds-protection.md#discovery-rds-maliciousipcaller) | [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) | Monitoraggio delle attività di accesso RDS | Media |
| [Discovery:RDS/TorIPCaller](findings-rds-protection.md#discovery-rds-toripcaller) | [Database Amazon Aurora, Amazon RDS e Aurora Limitless supportati](rds-protection.md#rds-pro-supported-db) | Monitoraggio delle attività di accesso RDS | Media |
| [Backdoor:Runtime/C&CActivity.B](findings-runtime-monitoring.md#backdoor-runtime-ccactivityb) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [CryptoCurrency:Runtime/BitcoinTool.B](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolb) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [DefenseEvasion:Runtime/FilelessExecution](findings-runtime-monitoring.md#defenseeva-runtime-filelessexecution) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [DefenseEvasion:Runtime/KernelModuleLoaded](findings-runtime-monitoring.md#defenseevasion-runtime-kernelmoduleloaded) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [DefenseEvasion:Runtime/ProcessInjection.Proc](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionproc) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [DefenseEvasion:Runtime/ProcessInjection.Ptrace](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionptrace) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionvirtualmemw) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [DefenseEvasion:Runtime/PtraceAntiDebugging](findings-runtime-monitoring.md#defenseevasion-runtime-ptrace-anti-debug) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Bassa |
| [DefenseEvasion:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#defenseevasion-runtime-suspicious-command) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [Discovery:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#discovery-runtime-suspicious-command) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Bassa |
| [Execution:Runtime/MaliciousFileExecuted](findings-runtime-monitoring.md#execution-runtime-malicious-file-executed) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [Execution:Runtime/NewBinaryExecuted](findings-runtime-monitoring.md#execution-runtime-newbinaryexecuted) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [Execution:Runtime/NewLibraryLoaded](findings-runtime-monitoring.md#execution-runtime-newlibraryloaded) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [Execution:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#execution-runtime-suspiciouscommand) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Variabile |
| [Execution:Runtime/SuspiciousShellCreated](findings-runtime-monitoring.md#execution-runtime-suspicious-shell-created) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Bassa |
| [Execution:Runtime/SuspiciousTool](findings-runtime-monitoring.md#execution-runtime-suspicioustool) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Variabile |
| [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [Impact:Runtime/CryptoMinerExecuted](findings-runtime-monitoring.md#impact-runtime-cryptominerexecuted) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Bassa |
| [Persistence:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#persistence-runtime-suspicious-command) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](findings-runtime-monitoring.md#privilegeesc-runtime-cgroupsreleaseagentmodified) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [PrivilegeEscalation:Runtime/ElevationToRoot](findings-runtime-monitoring.md#privilegeesc-runtime-elevation-to-root) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [PrivilegeEscalation:Runtime/RuncContainerEscape](findings-runtime-monitoring.md#privilegeesc-runtime-runccontainerescape) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [PrivilegeEscalation:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#privilege-escalation-runtime-suspicious-command) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [PrivilegeEscalation:Runtime/UserfaultfdUsage](findings-runtime-monitoring.md#privilegeescalation-runtime-userfaultfdusage) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [Trojan:Runtime/BlackholeTraffic](findings-runtime-monitoring.md#trojan-runtime-blackholetraffic) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [Trojan:Runtime/DropPoint](findings-runtime-monitoring.md#trojan-runtime-droppoint) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Media |
| [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [UnauthorizedAccess:Runtime/MetadataDNSRebind](findings-runtime-monitoring.md#unauthorizedaccess-runtime-metadatadnsrebind) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [UnauthorizedAccess:Runtime/TorClient](findings-runtime-monitoring.md#unauthorizedaccess-runtime-torclient) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [UnauthorizedAccess:Runtime/TorRelay](findings-runtime-monitoring.md#unauthorizedaccess-runtime-torrelay) | Istanza, cluster EKS, cluster ECS o contenitore | Monitoraggio del runtime | Elevata |
| [Backdoor:EC2/C&CActivity.B](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivityb) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Elevata |
| [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Elevata |
| [Backdoor:EC2/DenialOfService.Tcp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicetcp) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Elevata |
| [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Elevata |
| [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudpontcpports) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Elevata |
| [Backdoor:EC2/DenialOfService.UnusualProtocol](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceunusualprotocol) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Elevata |
| [Backdoor:EC2/Spambot](guardduty_finding-types-ec2.md#backdoor-ec2-spambot) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Media |
| [Behavior:EC2/NetworkPortUnusual](guardduty_finding-types-ec2.md#behavior-ec2-networkportunusual) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Media |
| [Behavior:EC2/TrafficVolumeUnusual](guardduty_finding-types-ec2.md#behavior-ec2-trafficvolumeunusual) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Media |
| [CryptoCurrency:EC2/BitcoinTool.B](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolb) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Elevata |
| [DefenseEvasion:EC2/UnusualDNSResolver](guardduty_finding-types-ec2.md#defenseevasion-ec2-unusualdnsresolver) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Media |
| [DefenseEvasion:EC2/UnusualDoHActivity](guardduty_finding-types-ec2.md#defenseevasion-ec2-unsualdohactivity) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Media |
| [DefenseEvasion:EC2/UnusualDoTActivity](guardduty_finding-types-ec2.md#defenseevasion-ec2-unusualdotactivity) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Media |
| [Impact:EC2/PortSweep](guardduty_finding-types-ec2.md#impact-ec2-portsweep) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Elevata |
| [Impact:EC2/WinRMBruteForce](guardduty_finding-types-ec2.md#impact-ec2-winrmbruteforce) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Basso [*](#gdu-active-findings-variable-severity) |
| [Recon:EC2/PortProbeEMRUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeemrunprotectedport) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Elevata |
| [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Basso [*](#gdu-active-findings-variable-severity) |
| [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Media |
| [Trojan:EC2/BlackholeTraffic](guardduty_finding-types-ec2.md#trojan-ec2-blackholetraffic) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Media |
| [Trojan:EC2/DropPoint](guardduty_finding-types-ec2.md#trojan-ec2-droppoint) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Media |
| [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-maliciousipcallercustom) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Media |
| [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Basso [*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Basso [*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Elevata |
| [UnauthorizedAccess:EC2/TorRelay](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torrelay) | Amazon EC2 | Registri di flusso in VPC [+](#gdu-ec2-finding-no-support-ipv6-traffic) | Elevata |