As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
GuardDuty tipos de localização de sequência de ataque
GuardDuty detecta uma sequência de ataque quando uma sequência específica de várias ações se alinha a uma atividade potencialmente suspeita. Uma sequência de ataque inclui sinais como atividades e GuardDuty descobertas da API. Quando GuardDuty observa um grupo de sinais em uma sequência específica que indica uma ameaça à segurança em andamento, contínua ou recente, GuardDuty gera uma descoberta da sequência de ataque. GuardDuty considera as atividades individuais da API weak signals porque elas não se apresentam como uma ameaça potencial.
As detecções da sequência de ataque se concentram no possível comprometimento de dados do Amazon S3 (que pode ser parte de um ataque de ransomware mais amplo), credenciais AWS comprometidas, clusters do Amazon EKS comprometidos, clusters comprometidos do Amazon ECS e grupos de instâncias comprometidos do Amazon EC2. As seguintes seções fornecem detalhes sobre cada uma das sequências de ataque.
Tópicos
AttackSequence:EKS/CompromisedCluster
Uma sequência de ações suspeitas executadas por um cluster potencialmente comprometido do Amazon EKS.
-
Gravidade padrão: crítica
-
Fontes de dados:
Essa descoberta informa que GuardDuty detectou uma sequência de ações suspeitas que indica um cluster Amazon EKS potencialmente comprometido em seu ambiente. Vários comportamentos de ataque suspeitos e anômalos, como processos maliciosos ou conexão com endpoints maliciosos, foram observados no mesmo cluster do Amazon EKS.
GuardDuty usa seus algoritmos de correlação proprietários para observar e identificar a sequência de ações executadas usando a credencial do IAM. GuardDuty avalia as descobertas em planos de proteção e outras fontes de sinal para identificar padrões de ataque comuns e emergentes. GuardDuty usa vários fatores para revelar ameaças, como reputação de IP, sequências de API, configuração do usuário e recursos potencialmente afetados.
Ações de remediação: se esse comportamento for inesperado em seu ambiente, seu cluster do Amazon EKS pode estar comprometido. Para obter uma orientação abrangente sobre remediação, consulte Como corrigir as descobertas da Proteção do EKS e Como corrigir as descobertas do Monitoramento de runtime.
Além disso, como AWS as credenciais podem ter sido comprometidas por meio do cluster EKS, consulte. Corrigindo credenciais potencialmente comprometidas AWS Para ver as etapas para remediar outros recursos que possam ter sido potencialmente afetados, consulte Corrigindo as descobertas de GuardDuty segurança detectadas.
AttackSequence:ECS/CompromisedCluster
Uma sequência de ações suspeitas executadas por um cluster Amazon ECS potencialmente comprometido.
-
Gravidade padrão: crítica
-
Fontes de dados:
Essa descoberta informa que GuardDuty detectou uma sequência de sinais suspeitos indicando um cluster Amazon ECS potencialmente comprometido em seu ambiente. Esses sinais podem incluir processos maliciosos, comunicações com endpoints maliciosos ou comportamentos de mineração de criptomoedas.
GuardDuty usa algoritmos de correlação proprietários e vários fatores de detecção para identificar sequências de ações suspeitas nos clusters do Amazon ECS. Por meio da análise de planos de proteção e várias fontes de sinal, GuardDuty identifica padrões de ataque comuns e emergentes, fornecendo detecção de alta confiança de possíveis comprometimentos.
Ações de remediação: Se esse comportamento for inesperado em seu ambiente, seu cluster do Amazon ECS poderá ser comprometido. Para recomendações de contenção de ameaças, consulteComo corrigir um cluster do ECS possivelmente comprometido. Observe que o comprometimento pode se estender a uma ou mais tarefas do ECS ou cargas de trabalho de contêineres, que poderiam ter sido usadas para criar ou modificar AWS recursos. Para obter uma orientação abrangente sobre remediação que abrange os recursos potencialmente afetados, consulte. Corrigindo as descobertas de GuardDuty segurança detectadas
AttackSequence:EC2/CompromisedInstanceGroup
Uma sequência de ações suspeitas indicando instâncias potencialmente comprometidas do Amazon EC2.
-
Gravidade padrão: crítica
-
Fontes de dados:
Essa descoberta indica que GuardDuty foi detectada uma sequência de ações suspeitas que sugerem um possível comprometimento em um grupo de instâncias do Amazon EC2 em seu ambiente. Os grupos de instâncias geralmente representam aplicativos gerenciados por meio de configurações semelhantes infrastructure-as-code, como grupo de escalabilidade automática, função de perfil de instância do IAM, AWS CloudFormation pilha, modelo de lançamento do Amazon EC2, ID de AMI ou VPC. GuardDuty observou vários comportamentos suspeitos em uma ou mais instâncias, incluindo:
-
Processos maliciosos
-
Arquivos maliciosos
-
Conexões de rede suspeitas
-
Atividades de mineração de criptomoedas
-
Uso suspeito de credenciais de instância do Amazon EC2
Método de detecção: GuardDuty emprega algoritmos de correlação proprietários para identificar sequências de ações suspeitas nas instâncias do Amazon EC2. Ao avaliar as descobertas nos planos de proteção e em várias fontes de sinal, GuardDuty identifica padrões de ataque usando vários fatores, como reputação de IP e domínio e processos em execução suspeitos.
Ações de remediação: Se esse comportamento for inesperado em seu ambiente, suas instâncias do Amazon EC2 podem ser comprometidas. O compromisso pode envolver:
-
Vários processos
-
Credenciais de instância que podem ter sido usadas para modificar instâncias do Amazon EC2 ou outros recursos AWS
Para recomendações de contenção de ameaças, consulteComo corrigir uma instância do Amazon EC2 potencialmente comprometida. Observe que o comprometimento pode se estender a uma ou mais instâncias do Amazon EC2 e envolver processos comprometidos ou credenciais de instância que poderiam ter sido usados para criar ou modificar instâncias do Amazon EC2 ou outros recursos. AWS Para obter uma orientação abrangente sobre remediação que abrange os recursos potencialmente afetados, consulte. Corrigindo as descobertas de GuardDuty segurança detectadas
AttackSequence:IAM/CompromisedCredentials
Uma sequência de solicitações de API que foram invocadas usando credenciais potencialmente comprometidas. AWS
-
Gravidade padrão: crítica
-
Fonte de dados: AWS CloudTrail eventos de gerenciamento
Essa descoberta informa que GuardDuty detectou uma sequência de ações suspeitas feitas usando AWS credenciais que afetam um ou mais recursos em seu ambiente. Vários comportamentos de ataque suspeitos e anômalos foram observados pelas mesmas credenciais, resultando em maior confiança de que as credenciais estão sendo mal utilizadas.
GuardDuty usa seus algoritmos de correlação proprietários para observar e identificar a sequência de ações executadas usando a credencial do IAM. GuardDuty avalia as descobertas em planos de proteção e outras fontes de sinal para identificar padrões de ataque comuns e emergentes. GuardDuty usa vários fatores para revelar ameaças, como reputação de IP, sequências de API, configuração do usuário e recursos potencialmente afetados.
Ações de remediação: se esse comportamento for inesperado em seu ambiente, suas AWS credenciais podem ter sido comprometidas. Para obter as etapas de correção, consulte Corrigindo credenciais potencialmente comprometidas AWS. As credenciais comprometidas podem ter sido usadas para criar ou modificar recursos adicionais, como buckets do Amazon S3, funções AWS Lambda ou instâncias do Amazon EC2, no seu ambiente. Para ver as etapas para remediar outros recursos que possam ter sido potencialmente afetados, consulte Corrigindo as descobertas de GuardDuty segurança detectadas.
AttackSequence:S3/CompromisedData
Uma sequência de solicitações de API foi invocada em uma possível tentativa de exfiltrar ou destruir dados no Amazon S3.
-
Gravidade padrão: crítica
-
Fontes de dados: AWS CloudTrail eventos de dados para S3 e AWS CloudTrail eventos de gerenciamento
Essa descoberta informa que GuardDuty detectou uma sequência de ações suspeitas indicativas de comprometimento de dados em um ou mais buckets do Amazon Simple Storage Service (Amazon S3), usando credenciais potencialmente comprometidas. AWS Vários comportamentos de ataque suspeitos e anômalos (solicitações de API) foram observados, resultando em maior confiança de que as credenciais estão sendo mal utilizadas.
GuardDuty usa seus algoritmos de correlação para observar e identificar a sequência de ações executadas usando a credencial do IAM. GuardDuty em seguida, avalia as descobertas em planos de proteção e outras fontes de sinal para identificar padrões de ataque comuns e emergentes. GuardDuty usa vários fatores para revelar ameaças, como reputação de IP, sequências de API, configuração do usuário e recursos potencialmente afetados.
Ações de remediação: Se essa atividade for inesperada em seu ambiente, suas AWS credenciais ou dados do Amazon S3 podem ter sido potencialmente exfiltrados ou destruídos. Para obter as etapas de correção, consulte Corrigindo credenciais potencialmente comprometidas AWS e Como corrigir um bucket do S3 possivelmente comprometido.
