As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

GuardDuty Tipos de descoberta do IAM

As descobertas a seguir são específicas de entidades e chaves de acesso do IAM e sempre têm um Tipo de recurso igual a AccessKey. A gravidade e os detalhes das descobertas serão diferentes com base no tipo de descoberta.

As descobertas listadas aqui incluem as fontes de dados e os modelos usados para gerar esse tipo de descoberta. Para obter mais informações, consulte GuardDuty fontes de dados fundamentais.

Para todas as descobertas relacionadas ao IAM, recomendamos que você examine a entidade em questão e garanta que suas permissões sigam a melhor prática de privilégio mínimo. Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Consulte . Para obter mais informações sobre correção de descobertas, consulte Corrigindo credenciais potencialmente comprometidas AWS.

CredentialAccess:IAMUser/AnomalousBehavior

Uma API usada para obter acesso a um AWS ambiente foi invocada de forma anômala.

Gravidade padrão: média

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas nas proximidades por uma única identidade de usuário. Comumente, a API observada é associada ao estágio de acesso às credenciais de um ataque quando um adversário está tentando coletar senhas, nomes de usuário e chaves de acesso para seu ambiente. Os APIs nesta categoria são GetPasswordDataGetSecretValue,BatchGetSecretValue, GenerateDbAuthToken e.

Essa solicitação de API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

CredentialAccess:IAMUser/CompromisedCredentials

Uma chave de acesso do IAM foi identificada como potencialmente comprometida pela inteligência de ameaças da Amazon.

Gravidade padrão: alta

Descrição completa:

Essa descoberta informa que uma chave de acesso do IAM associada à sua AWS conta foi identificada como potencialmente comprometida pela inteligência de ameaças da Amazon. A credencial comprometida foi então usada para invocar operações de API em seu ambiente. AWS A lista de chamadas de API feitas usando a credencial comprometida, junto com a contagem e os registros de data e hora de cada chamada, a chave de acesso envolvida e o endereço IP de origem, estão incluídos nos detalhes da descoberta.

O comprometimento de credenciais nessa descoberta é identificado pela inteligência de ameaças da Amazon. AWS monitora credenciais potencialmente comprometidas por meio de padrões de uso e gera essa descoberta quando tal credencial é observada sendo usada.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

DefenseEvasion:IAMUser/AnomalousBehavior

Uma API usada para evitar medidas defensivas foi invocada de forma anômala.

Gravidade padrão: média

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas na proximidade por uma única identidade de usuário. A API observada é comumente associada a táticas de evasão de defesa, nas quais um adversário está tentando encobrir seus rastros e evitar a detecção. APIs nessa categoria, normalmente estão as operações de exclusão, desativação ou interrupção, comoDeleteFlowLogs,DisableAlarmActions, ouStopLogging.

Essa solicitação de API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

DefenseEvasion:IAMUser/BedrockLoggingDisabled

O registro em log no Amazon Bedrock foi desabilitado.

Gravidade padrão: média

Essa descoberta informa que o registro em log foi desabilitado para invocações do modelo do Bedrock em sua conta. Isso pode ser uma tentativa de um invasor de ocultar atividades mal-intencioandas, como exfiltração de dados ou abuso de modelos de IA. A desabilitação do registro em log remove a visibilidade dos dados enviados aos modelos e de como os modelos são usados.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

Discovery:IAMUser/AnomalousBehavior

Uma API comumente usada para descobrir recursos foi invocada de forma anômala.

Gravidade padrão: baixa

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas na proximidade por uma única identidade de usuário. A API observada é comumente associada ao estágio de descoberta de um ataque, quando um adversário coleta informações para determinar se seu AWS ambiente é suscetível a um ataque mais amplo. APIs nessa categoria, normalmente estão as operações de obtenção, descrição ou lista, comoDescribeInstances,GetRolePolicy, ouListAccessKeys.

Essa solicitação de API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

Exfiltration:IAMUser/AnomalousBehavior

Uma API comumente usada para coletar dados de um AWS ambiente foi invocada de forma anômala.

Gravidade padrão: alta

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas na proximidade por uma única identidade de usuário. A API observada é comumente associada a táticas de exfiltração em que um adversário está tentando coletar dados de sua rede usando empacotamento e criptografia para evitar a detecção. APIs para esse tipo de descoberta, existem apenas operações de gerenciamento (plano de controle) e geralmente estão relacionadas ao S3, aos instantâneos e aos bancos de dados, como,, ou. PutBucketReplication CreateSnapshot RestoreDBInstanceFromDBSnapshot

Essa solicitação de API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

Impact:IAMUser/AnomalousBehavior

Uma API comumente usada para adulterar dados ou processos em um AWS ambiente foi invocada de forma anômala.

Gravidade padrão: alta

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas na proximidade por uma única identidade de usuário. A API observada é comumente associada a táticas de impacto em que um adversário está tentando interromper as operações e manipular, interromper ou destruir dados em sua conta. APIs para esse tipo de descoberta, normalmente são operações de exclusão, atualização ou colocação, comoDeleteSecurityGroup,UpdateUser, ouPutBucketPolicy.

Essa solicitação de API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

InitialAccess:IAMUser/AnomalousBehavior

Uma API comumente usada para obter acesso não autorizado a um AWS ambiente foi invocada de forma anômala.

Gravidade padrão: média

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas na proximidade por uma única identidade de usuário. A API observada é comumente associada ao estágio inicial de acesso de um ataque quando um adversário está tentando estabelecer acesso ao seu ambiente. APIs nessa categoria, normalmente estão as operações get token ou de sessão, comoStartSession, ouGetAuthorizationToken.

Essa solicitação de API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

PenTest:IAMUser/KaliLinux

Uma API foi invocada de uma máquina Linux Kali.

Gravidade padrão: média

Essa descoberta informa que uma máquina executando o Kali Linux está fazendo chamadas de API usando credenciais que pertencem à AWS conta listada em seu ambiente. O Kali Linux é uma ferramenta conhecida de teste de penetração usada por profissionais de segurança para identificar vulnerabilidades em instâncias do EC2 que exigem correções. Os invasores também usam essa ferramenta para encontrar pontos fracos na configuração do EC2 e obter acesso não autorizado ao seu ambiente. AWS

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

PenTest:IAMUser/ParrotLinux

Uma API foi invocada a partir de uma máquina Parrot Security Linux.

Gravidade padrão: média

Essa descoberta informa que uma máquina executando o Parrot Security Linux está fazendo chamadas de API usando credenciais que pertencem à AWS conta listada em seu ambiente. O Parrot Security Linux é uma ferramenta popular de teste de penetração que profissionais de segurança usam para identificar vulnerabilidades nas instâncias do EC2 que exigem correções. Os invasores também usam essa ferramenta para encontrar pontos fracos na configuração do EC2 e obter acesso não autorizado ao seu ambiente. AWS

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

PenTest:IAMUser/PentooLinux

Uma API foi invocada a partir de uma máquina Pentoo Linux.

Gravidade padrão: média

Essa descoberta informa que uma máquina executando o Pentoo Linux está fazendo chamadas de API usando credenciais que pertencem à AWS conta listada em seu ambiente. O Pentoo Linux é uma ferramenta conhecida de teste de penetração usada por profissionais de segurança para identificar vulnerabilidades em instâncias do EC2 que exigem correções. Os invasores também usam essa ferramenta para encontrar pontos fracos na configuração do EC2 e obter acesso não autorizado ao seu ambiente. AWS

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

Persistence:IAMUser/AnomalousBehavior

Uma API comumente usada para manter o acesso não autorizado a um AWS ambiente foi invocada de forma anômala.

Gravidade padrão: média

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas na proximidade por uma única identidade de usuário. A API observada é comumente associada a táticas de persistência em que um adversário obteve acesso ao seu ambiente e está tentando manter esse acesso. APIs nessa categoria, normalmente estão as operações de criação, importação ou modificação, comoCreateAccessKey,ImportKeyPair, ouModifyInstanceAttribute.

Essa solicitação de API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

Policy:IAMUser/RootCredentialUsage

Foi invocada uma API usando credenciais de login do usuário raiz.

Gravidade padrão: baixa

Essa descoberta informa que as credenciais de login do usuário raiz da Conta da AWS listada em seu ambiente estão sendo usadas para fazer solicitações aos serviços da AWS . É recomendável que os usuários nunca usem as credenciais de login do usuário root para acessar os serviços. AWS Em vez disso, AWS os serviços devem ser acessados usando credenciais temporárias de privilégio mínimo de AWS Security Token Service (STS). Para situações em que o AWS STS não é compatível, é recomendável usar credenciais de usuário do IAM. Para obter mais informações, consulte Melhores práticas do IAM.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

Policy:IAMUser/ShortTermRootCredentialUsage

Uma API foi invocada usando credenciais restritas de usuário-raiz.

Gravidade padrão: baixa

Essa descoberta informa que as credenciais de usuário restritas criadas para os listados Conta da AWS em seu ambiente estão sendo usadas para fazer solicitações para. Serviços da AWS Recomenda-se usar as credenciais de usuário-raiz somente para aquelas tarefas que exigem credenciais de usuário-raiz.

Quando possível, acesse o Serviços da AWS usando funções do IAM com privilégios mínimos com credenciais temporárias de AWS Security Token Service ()AWS STS. Para cenários em que não AWS STS há suporte, a melhor prática é usar as credenciais de usuário do IAM. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM e Práticas recomendadas para o usuário-raiz para sua Conta da AWS no Guia do usuário do IAM.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

PrivilegeEscalation:IAMUser/AnomalousBehavior

Uma API comumente usada para obter permissões de alto nível para um AWS ambiente foi invocada de forma anômala.

Gravidade padrão: média

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas na proximidade por uma única identidade de usuário. A API observada é comumente associada a táticas de escalonamento de privilégios em que um adversário está tentando obter permissões de nível superior para um ambiente. APIs nessa categoria normalmente envolvem operações que alteram políticas, funções e usuários do IAM, comoAssociateIamInstanceProfile,AddUserToGroup, ouPutUserPolicy.

Essa solicitação de API foi identificada como anômala pelo modelo de aprendizado GuardDuty de máquina (ML) de detecção de anomalias. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

Recon:IAMUser/MaliciousIPCaller

Uma API foi invocada a partir de um endereço IP mal-intencionado conhecido.

Gravidade padrão: média

Essa descoberta informa que uma operação de API que pode listar ou descrever recursos em uma conta no seu ambiente da AWS foi invocada a partir de um endereço IP incluído em uma lista de ameaças. Um invasor pode usar credenciais roubadas para realizar esse tipo de reconhecimento de seus AWS recursos a fim de encontrar credenciais mais valiosas ou determinar as capacidades das credenciais que ele já possui.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

Recon:IAMUser/MaliciousIPCaller.Custom

Uma API foi invocada a partir de um endereço IP mal-intencionado conhecido.

Gravidade padrão: média

Essa descoberta informa que uma operação de API que pode listar ou descrever recursos em uma conta dentro do seu ambiente da AWS foi invocada a partir de um endereço IP incluído em uma lista de ameaças personalizada. A lista de ameaças usada será indicada nos detalhes da descoberta. Um invasor pode usar credenciais roubadas para realizar esse tipo de reconhecimento de seus AWS recursos a fim de encontrar credenciais mais valiosas ou determinar as capacidades das credenciais que ele já possui.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

Recon:IAMUser/TorIPCaller

Uma API foi invocada a partir de um endereço IP do nó de saída do Tor.

Gravidade padrão: média

Essa descoberta informa que uma operação de API que pode listar ou descrever recursos em uma conta no seu ambiente da AWS foi invocada de um endereço IP de nó de saída Tor. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Um atacante usaria o Tor para mascarar sua verdadeira identidade.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail o registro foi desativado.

Gravidade padrão: baixa

Essa descoberta informa que uma CloudTrail trilha em seu AWS ambiente foi desativada. Isso pode ser uma tentativa de um invasor de desabilitar a gravação de logs para não deixar rastros, eliminando quaisquer evidências da atividade dele ao obter acesso aos seus recursos da AWS para fins mal-intencionados. Essa descoberta pode ser acionada por uma exclusão ou atualização bem-sucedida de uma trilha. Essa descoberta também pode ser acionada por uma exclusão bem-sucedida de um bucket do S3 que armazena os registros de uma trilha associada a. GuardDuty

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

Stealth:IAMUser/PasswordPolicyChange

A política de senha da conta foi enfraquecida.

Gravidade padrão: baixa*

A política de senha da AWS conta foi enfraquecida na conta listada em seu AWS ambiente. Por exemplo, ela foi excluída ou atualizada para exigir menos caracteres, não requer símbolos nem números ou precisou prolongar o período de validade da senha. Essa descoberta também pode ser desencadeada por uma tentativa de atualizar ou excluir a política de senha AWS da sua conta. A política de senha da AWS conta define as regras que regem quais tipos de senhas podem ser definidos para seus usuários do IAM. Uma política de senha mais fraca permite a criação de senhas fáceis de lembrar e possivelmente mais fáceis de adivinhar, criando um risco à segurança.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

Foram observados vários logins de console bem-sucedidos em todo o mundo.

Gravidade padrão: média

Essa descoberta informa que foram observados vários logins bem-sucedidos no console para o mesmo usuário do IAM por volta do mesmo horário em vários locais geográficos. Esses padrões de localização de acesso anômalos e arriscados indicam um possível acesso não autorizado aos seus recursos. AWS

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

As credenciais criadas exclusivamente para uma instância do EC2 pela função de execução de uma instância estão sendo usadas de outra conta na AWS.

Gravidade padrão: alta*

Essa descoberta informa quando suas credenciais de instância do Amazon EC2 são usadas para APIs invocar a partir de um endereço IP ou de um endpoint do Amazon VPC, que pertence a uma conta AWS diferente daquela em que a instância associada do Amazon EC2 está sendo executada. A detecção de endpoints de VPC só está disponível para serviços que oferecem suporte a eventos de atividade de rede para endpoints da VPC. Para obter informações sobre serviços que oferecem suporte a eventos de atividade de rede para endpoint da VPC, consulte Registro de eventos de atividade de rede no Guia do usuário do AWS CloudTrail .

AWS não recomenda redistribuir credenciais temporárias fora da entidade que as criou (por exemplo, AWS aplicativos, Amazon EC2 ou). AWS Lambda No entanto, usuários autorizados podem exportar credenciais de suas instâncias do Amazon EC2 para fazer chamadas legítimas de API. Se o campo remoteAccountDetails.Affiliated for True, a API foi invocada de uma conta associada à mesma conta de administrador. Para descartar um possível ataque e verificar a legitimidade da atividade, entre em contato com o Conta da AWS proprietário ou o diretor do IAM a quem essas credenciais foram atribuídas.

Recomendações de correção:

Essa descoberta é gerada quando as solicitações de AWS API são feitas internamente AWS por meio de uma instância do Amazon EC2 fora da sua Conta da AWS, usando as credenciais de sessão da sua instância do Amazon EC2. Pode ser comum, como na arquitetura Transit Gateway em uma configuração de hub and spoke, rotear o tráfego por meio de uma única VPC de saída de hub com endpoints de serviço. AWS Se esse comportamento for esperado, então GuardDuty recomenda que você use Regras de supressão e crie uma regra com critérios de dois filtros. O primeiro critério é o tipo de descoberta, que, nesse caso, é UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. O segundo critério de filtro é o ID da conta remota dos detalhes da conta remota.

Em resposta a essa descoberta, é possível usar o seguinte fluxo de trabalho para determinar um curso de ação:

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

As credenciais criadas exclusivamente para uma instância do EC2 pela função de execução de uma instância estão sendo usadas por um endereço IP externo.

Gravidade padrão: alta

Essa descoberta informa que um host externo AWS tentou executar operações de AWS API usando AWS credenciais temporárias que foram criadas em uma instância do EC2 em seu ambiente. AWS A instância EC2 listada pode estar comprometida e as credenciais temporárias dessa instância podem ter sido transferidas para um host remoto externo. AWS AWS não recomenda redistribuir credenciais temporárias fora da entidade que as criou (por exemplo, AWS aplicativos, EC2 ou Lambda). No entanto, os usuários autorizados podem exportar credenciais das respectivas instâncias do EC2 para fazer chamadas de API legítimas. Para descartar um possível ataque e verificar a legitimidade da atividade, valide se o uso de credenciais de instância do IP remoto na descoberta é esperado.

Recomendações de correção:

Essa descoberta é gerada quando a rede é configurada para rotear o tráfego da Internet de modo que ele saia de um gateway on-premises e não de um gateway da Internet (IGW) da VPC. Configurações comuns, como usar AWS Outposts, ou conexões de VPN da VPC podem resultar em tráfego roteado dessa maneira. Se esse comportamento for esperado, é recomendável usar regras de supressão e criar uma regra que consista em dois critérios de filtro. O primeiro critério é tipo de descoberta, que deve ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. O segundo critério de filtro é o IPv4 endereço do chamador da API com o endereço IP ou o intervalo CIDR do seu gateway de internet local. Para saber mais sobre a criação de regras de supressão, consulte Regras de supressão em GuardDuty.

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Consulte Corrigindo credenciais potencialmente comprometidas AWS.

UnauthorizedAccess:IAMUser/MaliciousIPCaller

Uma API foi invocada a partir de um endereço IP mal-intencionado conhecido.

Gravidade padrão: média

Essa descoberta informa que uma operação de API (por exemplo, uma tentativa de iniciar uma instância do EC2, criar um novo usuário do IAM ou modificar seus privilégios da AWS ) foi invocada a partir de um endereço IP mal-intencionado conhecido. Isso pode indicar acesso não autorizado aos AWS recursos em seu ambiente.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

Uma API foi invocada a partir de um endereço IP em uma lista de ameaças personalizada.

Gravidade padrão: média

Essa descoberta informa que uma operação de API (por exemplo, uma tentativa de iniciar uma instância do EC2, criar um novo usuário do IAM ou modificar AWS privilégios) foi invocada a partir de um endereço IP incluído em uma lista de ameaças que você enviou. Em GuardDuty, uma lista de ameaças consiste em endereços IP maliciosos conhecidos. Isso pode indicar acesso não autorizado aos AWS recursos em seu ambiente.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.

UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS

As credenciais criadas exclusivamente para um AWS Lambda recurso estão sendo usadas a partir de um endereço IP externo ao. AWS

Gravidade padrão: alta

Essa descoberta informa que um host externo AWS tentou executar operações de AWS API usando AWS credenciais temporárias criadas em um AWS Lambda recurso em seu AWS ambiente. O recurso Lambda listado pode estar comprometido e as credenciais temporárias desse Lambda podem ter sido transferidas para um host remoto externo. AWS

AWS não recomenda redistribuir credenciais temporárias fora da entidade que as criou (por exemplo, aplicativos AWS como o Amazon Elastic Compute Cloud (Amazon EC2) ou). AWS Lambda No entanto, os usuários autorizados podem exportar credenciais dos respectivos recursos do Lambda para fazer chamadas de API legítimas. Para descartar um possível ataque e verificar a legitimidade da atividade, valide se o uso de credenciais de instância do IP remoto na descoberta é esperado.

Recomendações de correção:

Essa descoberta é gerada quando a rede é configurada para rotear o tráfego da internet de modo que ele saia de um gateway on-premises e não de um gateway da internet (IGW) da VPC. Configurações comuns, como usar AWS Outposts, ou conexões de VPN da VPC podem fazer com que o tráfego seja roteado dessa maneira. Se esse for o comportamento esperado, então GuardDuty recomenda usar Regras de supressão para criar uma regra com critérios de dois filtros. O primeiro critério é tipo de descoberta, que deve ser UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS. O segundo critério de filtro é o IPv4 endereço do chamador da API com o endereço IP ou intervalo CIDR do seu gateway de internet local.

Se essa atividade for inesperada, suas credenciais podem ter sido comprometidas. Para obter informações sobre as etapas para corrigir esse tipo de descoberta, consulteCorrigindo credenciais potencialmente comprometidas AWS.

UnauthorizedAccess:IAMUser/TorIPCaller

Uma API foi invocada a partir de um endereço IP do nó de saída do Tor.

Gravidade padrão: média

Essa descoberta informa que uma operação da API (por exemplo, uma tentativa de iniciar uma instância do EC2, criar um novo usuário do IAM ou modificar seus privilégios da AWS ) foi invocada a partir de um endereço IP de nó de saída do Tor. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Isso pode indicar um acesso não autorizado aos seus recursos da AWS com a intenção de ocultar a verdadeira identidade do invasor.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Corrigindo credenciais potencialmente comprometidas AWS.