As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Entendendo e gerando GuardDuty descobertas da Amazon
Uma GuardDuty descoberta representa um possível problema de segurança detectado em Contas da AWS cargas de trabalho e dados. GuardDuty gera uma descoberta sempre que detecta atividades inesperadas e potencialmente maliciosas em seu AWS ambiente.
Você pode visualizar e gerenciar suas GuardDuty **descobertas na página Descobertas** no GuardDuty console ou usando as AWS CLI operações da API. Para obter informações sobre como você pode gerenciar GuardDuty descobertas, consulte[Gerenciando as GuardDuty descobertas da Amazon](findings_management.md).
**Tópicos:**
[GuardDuty formato de busca](guardduty_finding-format.md)
Entenda o formato dos tipos de GuardDuty busca e as diferentes finalidades de ameaças que GuardDuty rastreiam.
[Amostras de resultados](sample_findings.md)
Gere amostras de descobertas no GuardDuty console ou usando a GuardDuty API ou AWS CLI os comandos. As descobertas da amostra gerada incluem detalhes fictícios para ajudar você a entender os detalhes da descoberta associados a cada GuardDuty descoberta. Essas descobertas são marcadas com um prefixo de **[AMOSTRA]**.
[GuardDuty Resultados do teste em contas dedicadas](guardduty_findings-scripts.md)
Você pode testar GuardDuty descobertas específicas em seu ambiente. Execute `guardduty-tester` o script em uma não-produção Conta da AWS específica. GuardDuty Para detectar e simular descobertas, ele implantará determinados recursos em seu ambiente. Essa experiência é diferente de gerar descobertas de amostras.
[Visualizando as descobertas geradas no GuardDuty console](guardduty_working-with-findings.md)
Saiba como analisar as descobertas geradas no GuardDuty console.
[Níveis de severidade das GuardDuty descobertas](guardduty_findings-severity.md)
Cada GuardDuty descoberta tem um nível de severidade associado que reflete o risco potencial em seu AWS ambiente. Esta seção explica o que cada nível de gravidade significa.
[Detalhes da descoberta](guardduty_findings-summary.md)
Saiba mais sobre os detalhes associados às GuardDuty descobertas que são geradas em sua conta. Este tópico inclui os detalhes associados à detecção básica de ameaças, à Detecção Estendida de Ameaças e aos planos de proteção dedicados em GuardDuty.
[GuardDuty encontrando agregação](finding-aggregation.md)
Saiba como GuardDuty lidar com várias ocorrências do mesmo tipo de descoberta. Ao agregar os mesmos tipos de descoberta detectados, GuardDuty atualiza o tipo de descoberta original com os detalhes mais recentes.
[GuardDuty tipos de descoberta](guardduty_finding-types-active.md)
Esta seção lista os tipos de GuardDuty descoberta pelo [Fontes de dados fundamentais](guardduty_data-sources.md) ou [Recurso mapeado GuardDuty](guardduty-feature-object-api-changes-march2023.md#guardduty-feature-enablement-datasource-relation) associado. Para saber mais sobre cada tipo de descoberta, selecione essa descoberta para obter mais detalhes, como sua descrição e possíveis etapas para corrigir a descoberta.
# GuardDuty formato de busca
Quando GuardDuty detecta um comportamento suspeito ou inesperado em seu AWS ambiente, ele gera uma descoberta. Uma descoberta é uma notificação que contém os detalhes sobre um possível problema de segurança GuardDuty descoberto. [Visualizando as descobertas geradas no GuardDuty console](guardduty_working-with-findings.md)Incluem informações sobre o que aconteceu, quais AWS recursos estavam envolvidos na atividade suspeita, quando essa atividade ocorreu e informações relacionadas que podem ajudar você a entender a causa raiz.
Uma das informações mais úteis nos detalhes de descoberta é um **tipo de descoberta**. O objetivo do tipo de descoberta é fornecer uma descrição concisa e legível do possível problema de segurança. Por exemplo, o tipo de PortProbeUnprotectedPort descoberta GuardDuty *Recon:EC2/*informa rapidamente que, em algum lugar do seu AWS ambiente, uma EC2 instância tem uma porta desprotegida que um potencial invasor está investigando.
GuardDuty usa o seguinte formato para nomear os vários tipos de descobertas que ele gera:
**ThreatPurpose:ResourceTypeAffected/ThreatFamilyName. DetectionMechanism\$1 Artifato**
Cada parte desse formato representa um aspecto de um tipo de descoberta. Esses aspectos têm as seguintes explicações:
+ **ThreatPurpose**- descreve o objetivo principal de uma ameaça, um tipo de ataque ou um estágio de um possível ataque. Consulte a seção a seguir para obter uma lista completa das finalidades de GuardDuty ameaças.
+ **ResourceTypeAffected**- descreve qual tipo de AWS recurso é identificado nesta descoberta como o alvo potencial de um adversário. Atualmente, GuardDuty pode gerar descobertas para os tipos de recursos listados no[GuardDuty tipos de descoberta ativa](guardduty_finding-types-active.md#findings-table).
+ **ThreatFamilyName**- descreve a ameaça geral ou a potencial atividade maliciosa que GuardDuty está sendo detectada. Por exemplo, um valor de **NetworkPortUnusual**indica que uma EC2 instância identificada na GuardDuty descoberta não tem histórico anterior de comunicações em uma porta remota específica que também está identificada na descoberta.
+ **DetectionMechanism**- descreve o método no qual GuardDuty detectou a descoberta. Isso pode ser usado para indicar uma variação em um tipo de descoberta comum ou uma descoberta que GuardDuty usou um mecanismo específico para detectar. Por exemplo, **Backdoor:EC2/DenialOfService.Tcp** indica que a negação de serviço (DoS) foi detectada por TCP. A variante UDP é **Backdoor:EC2/DenialOfService**.Udp.
Um valor de **.Custom** indica que GuardDuty detectou a descoberta com base em suas listas de ameaças personalizadas. Para obter mais informações, consulte [Listas de entidades e listas de endereços IP](guardduty_upload-lists.md).
Um valor de **.Reputation** indica que GuardDuty detectou a descoberta usando um modelo de pontuação de reputação de domínio. Para obter mais informações, consulte [Como AWS rastreia as maiores ameaças à segurança da nuvem e ajuda a eliminá-las](https://aws.amazon.com/blogs/security/how-aws-tracks-the-clouds-biggest-security-threats-and-helps-shut-them-down/).
+ **Artefato**: descreve um recurso específico que pertence a uma ferramenta usada no ataque. Por exemplo, o **DNS** no tipo de descoberta [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns) indica que uma EC2 instância da Amazon está se comunicando com um domínio conhecido relacionado ao Bitcoin.
**nota**
O artefato é opcional e pode não estar disponível para todos os tipos de GuardDuty descoberta.
## OBJETIVO DA AMEAÇA
Em GuardDuty uma *ameaça, o propósito* descreve o objetivo principal de uma ameaça, um tipo de ataque ou um estágio de um possível ataque. Por exemplo, alguns propósitos de ameaça, como **Backdoor**, indicam um tipo de ataque. No entanto, alguns propósitos de ameaça, como **Impact**, estão alinhados às táticas do [MITRE ATT&CK](https://attack.mitre.org/tactics/TA0010/). As táticas do MITRE ATT&CK indicam diferentes fases no ciclo de ataque de um adversário. Na versão atual do GuardDuty, ThreatPurpose pode ter os seguintes valores:
**Backdoor**
Esse valor indica que um adversário comprometeu um AWS recurso e alterou o recurso para que seja capaz de entrar em contato com seu servidor de comando e controle (C&C) doméstico para receber mais instruções sobre atividades maliciosas.
**Comportamento**
Esse valor indica que GuardDuty detectou atividade ou padrões de atividade diferentes da linha de base estabelecida para os AWS recursos envolvidos.
**CredentialAccess**
Esse valor indica que GuardDuty detectou padrões de atividade que um adversário pode usar para roubar credenciais, como senhas, nomes de usuário e chaves de acesso, do seu ambiente. Esse propósito de ameaça é baseado nas [táticas do MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Criptomoedas**
Esse valor indica que GuardDuty foi detectado que um AWS recurso em seu ambiente está hospedando software associado a criptomoedas (por exemplo, Bitcoin).
**DefenseEvasion**
Esse valor indica que GuardDuty detectou atividade ou padrões de atividade que um adversário pode usar para evitar a detecção ao se infiltrar em seu ambiente. O propósito dessa ameaça é baseado nas táticas do [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/)
**Descoberta**
Esse valor indica que GuardDuty detectou atividade ou padrões de atividade que um adversário pode usar para expandir seu conhecimento sobre seus sistemas e redes internas. Esse propósito de ameaça é baseado nas táticas do [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Execução**
Esse valor indica que GuardDuty detectou que um adversário pode tentar executar ou já executou um código malicioso para explorar o AWS ambiente ou roubar dados. Esse propósito de ameaça é baseado nas [táticas do MITRE ATT&CK](https://attack.mitre.org/tactics/TA0002/).
**Exfiltration**
Esse valor indica que GuardDuty detectou atividade ou padrões de atividade que um adversário pode usar ao tentar roubar dados do seu ambiente. Esse propósito de ameaça é baseado nas táticas do [MITRE ATT&CK](https://attack.mitre.org/tactics/TA0010/).
**Impacto**
Esse valor indica que GuardDuty detectou atividade ou padrões de atividade que sugerem que um adversário está tentando manipular, interromper ou destruir seus sistemas e dados. Esse propósito de ameaça é baseado nas [táticas do MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**InitialAccess**
Este valor é comumente associado ao estágio inicial de acesso de um ataque, quando um adversário está tentando estabelecer acesso ao seu ambiente. Esse propósito de ameaça é baseado nas [táticas do MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Teste de penetração**
Às vezes, proprietários de AWS recursos ou seus representantes autorizados intencionalmente executam testes em AWS aplicativos para encontrar vulnerabilidades, como grupos de segurança abertos ou chaves de acesso que são excessivamente permissivas. Esses testes de penetração são feitos na tentativa de identificar e bloquear recursos vulneráveis antes que eles sejam descobertos por invasores. No entanto, algumas das ferramentas usadas por testadores de penetração autorizados estão disponíveis gratuitamente e podem ser usadas por usuários não autorizados ou invasores para executar testes de sondagem. Embora não GuardDuty consiga identificar o verdadeiro propósito por trás dessa atividade, o valor do **Pentest** indica que GuardDuty está detectando essa atividade, que ela é semelhante à atividade gerada por ferramentas conhecidas de teste de caneta e que pode indicar uma sondagem maliciosa de sua rede.
**Persistência**
Esse valor indica que GuardDuty detectou atividades ou padrões de atividade que um adversário pode usar para tentar manter o acesso aos seus sistemas, mesmo que sua rota de acesso inicial seja cortada. Por exemplo, isso pode incluir a criação de um novo usuário do IAM após obter acesso por meio das credenciais comprometidas de um usuário existente. Quando as credenciais do usuário existente forem excluídas, o adversário manterá o acesso ao novo usuário que não foi detectado como parte do evento original. Esse propósito de ameaça é baseado nas táticas do [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Política**
Esse valor indica que você Conta da AWS está exibindo um comportamento que vai contra as melhores práticas de segurança recomendadas. Por exemplo, a modificação não intencional de políticas de permissão associadas aos seus recursos AWS ou ambiente e o uso de contas privilegiadas que deveriam ter pouco ou nenhum uso.
**PrivilegeEscalation**
Esse valor informa que a entidade principal envolvida em seu ambiente da AWS está exibindo um comportamento que um adversário pode usar para obter permissões de nível superior para sua rede. Esse propósito de ameaça é baseado nas táticas do [MITRE ATT&CK](https://attack.mitre.org/matrices/enterprise/cloud/aws/).
**Recon**
Esse valor indica que GuardDuty detectou atividades ou padrões de atividade que um adversário pode usar ao realizar o reconhecimento de seu ambiente para determinar como ele pode ampliar seu acesso ou utilizar seus recursos. Por exemplo, essa atividade pode incluir a análise de vulnerabilidades em seu ambiente da AWS examinando portas, fazendo chamadas de API, listando usuários, tabelas de banco de dados e assim por diante.
**Stealth**
Esse valor indica que um adversário está ativamente tentando esconder suas ações. Por exemplo, eles podem usar um servidor proxy anônimo, tornando extremamente difícil avaliar a verdadeira natureza da atividade.
**Trojan**
Esse valor indica que um ataque está usando programas de Trojan que realizam atividades mal-intencionadas silenciosas. Às vezes, esse software assume a aparência de um programa legítimo. Às vezes, os usuários executam esse software acidentalmente. Outras vezes, esse software pode ser executado automaticamente por meio da exploração de uma vulnerabilidade.
**UnauthorizedAccess**
Esse valor indica que GuardDuty está detectando uma atividade suspeita ou um padrão de atividade suspeita por uma pessoa não autorizada.
# GuardDuty mecanismo de verificação de detecção de malware
GuardDuty A Amazon tem um mecanismo de verificação criado e gerenciado internamente e um [fornecedor terceirizado](https://www.bitdefender.com/blog/businessinsights/bitdefender-and-amazon-web-services-strengthen-cloud-security/). Ambos usam indicadores de comprometimento (IoCs) provenientes de vários feeds internos que têm visibilidade sobre os diferentes tipos de malware que podem ser alvos. AWS GuardDuty também tem definições de detecção baseadas nas regras da YARA adicionadas por nossos engenheiros de segurança e detecções baseadas em modelos heurísticos e de aprendizado de máquina (ML). Ao escanear objetos do Amazon S3, o GuardDuty Malware Protection produz resultados consistentes ao escanear o mesmo objeto várias vezes com as mesmas definições e mecanismos de escaneamento. A detecção baseada em assinatura não inclui apenas a correspondência de bytes, mas também um trecho de código que pode ser complexo, e o verificador pode analisar o conteúdo e tomar decisões.
O mecanismo de verificação de malware não realiza análise comportamental em tempo real, em que a detonação de malware monitora a amostra à medida que ela é executada em um sistema real. A GuardDuty solução é principalmente uma detecção baseada em arquivos. Para detectar malware sem arquivos, GuardDuty fornece uma solução baseada em agente, como para [Monitoramento de runtime](runtime-monitoring.md) Amazon EKS, Amazon EC2 e Amazon ECS (inclusive). AWS Fargate
Sem restrições nos formatos de arquivo que GuardDuty verificam a existência de malware, os mecanismos de verificação que ele usa podem detectar diferentes tipos de malware, como criptomineradores, ransomware e webshells. O mecanismo de GuardDuty verificação totalmente gerenciado atualiza continuamente a lista de assinaturas de malware a cada 15 minutos.
O mecanismo de verificação faz parte do sistema de inteligência de GuardDuty ameaças que usa um componente interno de detonação de malware. Isso gera uma nova inteligência sobre ameaças ao coletar independentemente amostras de malware e benignas de várias fontes. O tipo IoC de hash de arquivo do sistema de inteligência contra ameaças alimenta ainda mais o mecanismo de verificação de malware para detectar os malwares com base em hashes de arquivos inválidos conhecidos.
# Gerando resultados de amostras em GuardDuty
GuardDuty A Amazon ajuda você a gerar amostras de descobertas para visualizar e entender os vários tipos de descobertas que ela pode gerar. Ao gerar resultados de amostra, GuardDuty preenche sua lista de descobertas atual com uma amostra para cada tipo de descoberta compatível, incluindo tipos de descoberta de sequência de ataque.
As amostras geradas são aproximações preenchidas com valores de espaço reservado. Essas amostras podem parecer diferentes das descobertas reais do seu ambiente, mas você pode usá-las para testar várias configurações GuardDuty, como seus EventBridge eventos ou filtros. Para obter uma lista dos valores disponíveis para tipos de descoberta, consulte a tabela [GuardDuty tipos de descoberta](guardduty_finding-types-active.md).
## Gerando amostras de descobertas por meio do GuardDuty console ou da API
Selecione seu método de acesso preferido para gerar descobertas de amostra.
**nota**
O GuardDuty console ajuda você a gerar um de cada tipo de descoberta. Para gerar um ou mais tipos de descoberta específicos, execute as API/CLI etapas associadas.
------
#### [ Console ]
Use o procedimento a seguir para gerar descobertas de amostra. Esse processo gera uma amostra de descoberta para cada tipo de GuardDuty descoberta.
****
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, selecione **Configurações**.
1. Na página **Configurações**, em **Amostras de descobertas**, escolha **Gerar amostras de descobertas**.
1. No painel de navegação, selecione **Descobertas**. As descoberta de amostra são exibidas na página **Descobertas atuais** com o prefixo **[SAMPLE]**.
------
#### [ API/CLI ]
Você pode gerar uma única amostra de descoberta que corresponda a qualquer um dos tipos de GuardDuty descoberta por meio da [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html)API. Os valores disponíveis para os tipos de descoberta estão listados na [GuardDuty tipos de descoberta](guardduty_finding-types-active.md) tabela.
Isso é útil para testar regras de CloudWatch eventos ou automação com base nas descobertas. O exemplo a seguir mostra como gerar uma descoberta de amostra única do tipo `Backdoor:EC2/DenialOfService.Tcp` usando a AWS CLI.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
```
aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp
```
------
O título das descobertas de amostra geradas por meio de algum desses métodos sempre começa com **[SAMPLE]** no console. As descobertas de amostra têm um valor de `"sample": true` na seção **additionalInfo** dos detalhes do JSON de descoberta.
Para entender os detalhes da descoberta, como a gravidade da descoberta e o recurso potencialmente comprometido, associados às descobertas geradas, consulte [Níveis de severidade das GuardDuty descobertas](guardduty_findings-severity.md) e [Detalhes da descoberta](guardduty_findings-summary.md).
Para gerar algumas descobertas comuns com base em uma atividade simulada em um ambiente dedicado e isolado Conta da AWS em seu ambiente, consulte[GuardDuty Resultados do teste em contas dedicadas](guardduty_findings-scripts.md).
# GuardDuty Resultados do teste em contas dedicadas
Use este documento para executar um script de testador que gera GuardDuty descobertas em relação aos recursos de teste que serão implantados em seu. Conta da AWS Você pode realizar essas etapas quando quiser entender e aprender sobre determinados tipos de GuardDuty descoberta e como os detalhes da descoberta procuram recursos reais em sua conta. Essa experiência é diferente de gerar [Amostras de resultados](sample_findings.md). Para obter mais informações sobre a experiência de testar GuardDuty os resultados, consulte[Considerações](#considerations-generate-gdu-findings-tester).
**Topics**
+ [Considerações](#considerations-generate-gdu-findings-tester)
+ [GuardDuty descobertas que o script do testador pode gerar](#gdu-findings-tester-generates)
+ [Etapa 1: pré-requisitos](#prerequisites-gdu-tester-script)
+ [Etapa 2 - Implantar AWS recursos](#deploy-gdu-tester-script)
+ [Etapa 3 - Executar scripts do testador](#run-gdu-tester-script)
+ [Etapa 4 - Limpe os recursos AWS de teste](#clean-gdu-tester-script-resources)
+ [Solução de problemas comuns do](#troubleshooting-gdu-tester-script-issues)
## Considerações
Antes de continuar, leve em conta as seguintes considerações:
+ GuardDuty recomenda implantar o testador em um local dedicado que não seja de produção. Conta da AWS Essa abordagem garantirá que você seja capaz de identificar adequadamente GuardDuty as descobertas geradas pelo testador. Além disso, o GuardDuty testador implanta uma variedade de recursos que podem exigir permissões do IAM além das permitidas em outras contas. O uso de uma conta exclusiva garante que as permissões possam ter o escopo adequado com um limite de conta claro.
+ O script do testador gera mais de 100 GuardDuty descobertas com diferentes combinações AWS de recursos. Atualmente, isso não inclui todos os [GuardDuty tipos de descoberta](guardduty_finding-types-active.md). Para obter uma lista dos tipos de descoberta que você pode gerar com esse script de testador, consulte [GuardDuty descobertas que o script do testador pode gerar](#gdu-findings-tester-generates).
**Observação**
Para visualizar os *tipos de descoberta da sequência de ataque*, o script do testador gera somente [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster) e [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data). Para visualizar e entender [AttackSequence:IAM/CompromisedCredentials](guardduty-attack-sequence-finding-types.md#attack-sequence-iam-compromised-credentials), você pode gerar [Amostras de resultados](sample_findings.md) na sua conta.
+ Para que o GuardDuty testador funcione conforme o esperado, ele GuardDuty precisa estar habilitado na conta em que os recursos do testador são implantados. Dependendo dos testes que serão executados, o testador avalia se os planos de GuardDuty proteção apropriados estão habilitados ou não. Para qualquer plano de proteção que não esteja habilitado, GuardDuty solicitará permissão para habilitar os planos de proteção necessários por tempo suficiente GuardDuty para realizar os testes que gerarão resultados. Posteriormente, GuardDuty desativará o plano de proteção quando o teste for concluído.
**Ativando GuardDuty pela primeira vez**
Quando GuardDuty for ativada em sua conta dedicada pela primeira vez em uma região específica, sua conta será automaticamente inscrita em um teste gratuito de 30 dias.
GuardDuty oferece planos de proteção opcionais. No momento da ativação GuardDuty, alguns planos de proteção também são ativados e incluídos no teste gratuito GuardDuty de 30 dias. Para obter mais informações, consulte [Usando o GuardDuty teste gratuito de 30 dias](guardduty-pricing.md#using-guardduty-30-day-free-trial).
**GuardDuty já está habilitado em sua conta antes de executar o script do testador**
Quando já GuardDuty estiver ativado, com base nos parâmetros, o script do testador verificará o status da configuração de determinados planos de proteção e outras configurações no nível da conta necessárias para gerar as descobertas.
Ao executar esse script de teste, determinados planos de proteção podem ser habilitados pela primeira vez em sua conta exclusiva em uma região. Esse procedimento iniciará a avaliação gratuita de 30 dias para esse plano de proteção. Para obter informações sobre o teste gratuito associado a cada plano de proteção, consulte [Usando o GuardDuty teste gratuito de 30 dias](guardduty-pricing.md#using-guardduty-30-day-free-trial).
+ Desde que a infraestrutura do GuardDuty testador esteja implantada, você poderá ocasionalmente receber [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient) descobertas da PenTest instância.
## GuardDuty descobertas que o script do testador pode gerar
Atualmente, o script do testador gera os seguintes tipos de descoberta relacionados aos registros de auditoria do Amazon EC2, do Amazon EKS, Amazon S3, do IAM e logs de auditoria do EKS:
+ [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)
+ [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation)
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-maliciousipcallercustom)
+ [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce)
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce)
+ [PenTest:IAMUser/KaliLinux](guardduty_finding-types-iam.md#pentest-iam-kalilinux)
+ [Recon:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#recon-iam-maliciousipcallercustom)
+ [Recon:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#recon-iam-toripcaller)
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](guardduty_finding-types-iam.md#stealth-iam-cloudtrailloggingdisabled)
+ [Stealth:IAMUser/PasswordPolicyChange](guardduty_finding-types-iam.md#stealth-iam-passwordpolicychange)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcallercustom)
+ [UnauthorizedAccess:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-toripcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcallercustom)
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-successfulanonymousaccess)
+ [Discovery:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-containerwithsensitivemount)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted)
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privilegeescalation-kubernetes-privilegedcontainer)
+ [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](lambda-protection-finding-types.md#unauthorized-access-lambda-maliciousIPcaller-custom)
+ [Discovery:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#discovery-s3-maliciousipcallercustom)
+ [Discovery:S3/TorIPCaller](guardduty_finding-types-s3.md#discovery-s3-toripcaller)
+ [PenTest:S3/KaliLinux](guardduty_finding-types-s3.md#pentest-s3-kalilinux)
+ [Policy:S3/AccountBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-accountblockpublicaccessdisabled)
+ [Policy:S3/BucketAnonymousAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketanonymousaccessgranted)
+ [Policy:S3/BucketBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-bucketblockpublicaccessdisabled)
+ [Policy:S3/BucketPublicAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketpublicaccessgranted)
+ [Stealth:S3/ServerAccessLoggingDisabled](guardduty_finding-types-s3.md#stealth-s3-serveraccessloggingdisabled)
+ [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#unauthorizedaccess-s3-maliciousipcallercustom)
+ [UnauthorizedAccess:S3/TorIPCaller](guardduty_finding-types-s3.md#unauthorizedaccess-s3-toripcaller)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [DefenseEvasion:Runtime/ProcessInjection.Ptrace](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionptrace)
+ [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionvirtualmemw)
+ [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
## Etapa 1: pré-requisitos
Para preparar seu ambiente de teste, é preciso ter os seguintes itens:
+ **Git** — Instale a ferramenta de linha de comando git com base no sistema operacional usado.
Isso é necessário para clonar o [`amazon-guardduty-tester`repositório](https://github.com/awslabs/amazon-guardduty-tester).
+ **AWS Command Line Interface**— Uma ferramenta de código aberto que permite que você interaja Serviços da AWS usando comandos em seu shell de linha de comando. Para obter mais informações, consulte [Conceitos básicos do AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) no *Manual do usuário do AWS Command Line Interface *.
+ **AWS Systems Manager**— Para iniciar sessões do Gerenciador de Sessões com seus nós gerenciados usando, AWS CLI você deve instalar o plug-in do Gerenciador de Sessões em sua máquina local. Para obter mais informações, consulte [Install the Session Manager Plugin for the AWS CLI](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html) no * Guia do usuário do AWS Systems Manager *.
+ **Node Package Manager (NPM)** — Instale o NPM para instalar todas as dependências.
+ **Docker**: é necessário ter o Docker instalado. Para obter instruções de instalação, consulte o [site do Docker](https://docs.docker.com/get-docker/).
Para verificar se o Docker foi instalado, execute o comando a seguir e confirme se há uma saída semelhante à seguinte saída:
```
$ docker --version
Docker version 19.03.1
```
+ Assine a imagem do [Kali Linux](https://aws.amazon.com/marketplace/pp/prodview-fznsw3f7mq7to) no *AWS Marketplace*.
## Etapa 2 - Implantar AWS recursos
Esta seção fornece uma lista dos principais conceitos e as etapas para implantar determinados recursos do AWS em sua conta dedicada.
### Conceitos
A lista a seguir fornece os principais conceitos relacionados aos comandos que ajudam a implantar os recursos:
+ **AWS Cloud Development Kit (AWS CDK)**— O CDK é uma estrutura de desenvolvimento de software de código aberto para definir a infraestrutura de nuvem em código e provisioná-la por meio dela. CloudFormation Você pode usar qualquer uma dessas linguagens de programação compatíveis para definir componentes de nuvem reutilizáveis conhecidos como constructos. Você os compõe em pilhas e aplicativos. Em seguida, você pode implantar seus aplicativos CDK CloudFormation para provisionar ou atualizar seus recursos. Para obter mais informações, consulte [O que é o AWS CDK?](https://docs.aws.amazon.com/cdk/v2/guide/home.html) no *Guia do AWS Cloud Development Kit (AWS CDK) desenvolvedor*.
+ **Bootstrapping** — É o processo de preparar seu AWS ambiente para uso com. AWS CDK Antes de implantar uma pilha de CDK em um AWS ambiente, o ambiente deve primeiro ser inicializado. Esse processo de provisionamento de AWS recursos específicos em seu ambiente que são usados por AWS CDK faz parte das etapas que você executará na próxima seção -. [Etapas para implantar AWS recursos](#steps-deploy-resource-test-guardduty-findings)
Para obter mais informações sobre inicialização, consulte [Inicialização](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html) no *Guia do desenvolvedor do AWS Cloud Development Kit (AWS CDK) *.
### Etapas para implantar AWS recursos
Execute as etapas a seguir para começar a implantar os recursos:
1. Configure sua conta e região AWS CLI padrão, a menos que as variáveis de região da conta dedicada sejam definidas manualmente no `bin/cdk-gd-tester.ts` arquivo. Para obter mais informações, consulte [Ambientes](https://docs.aws.amazon.com/cdk/v2/guide/environments.html) no *Guia do desenvolvedor do AWS Cloud Development Kit (AWS CDK) *.
1. Para implantar os recursos, execute os seguintes comandos:
```
git clone https://github.com/awslabs/amazon-guardduty-tester && cd amazon-guardduty-tester
npm install
cdk bootstrap
cdk deploy
```
O último comando (`cdk deploy`) cria uma CloudFormation pilha em seu nome. O nome dessa pilha é **GuardDutyTesterStack**.
Como parte desse script, GuardDuty cria novos recursos para gerar GuardDuty descobertas em sua conta. Além disso, ele adiciona o seguinte par de tag chave:valor às instâncias do Amazon EC2:
`CreatedBy`:`GuardDuty Test Script`
As instâncias do Amazon EC2 também incluem as instâncias do EC2 que hospedam nós do EKS e clusters do ECS.
**Tipos de instância**
GuardDuty foi projetado para usar tipos de instância econômicos que fornecem o desempenho mínimo necessário para realizar testes com êxito. Devido aos requisitos de vCPU, o grupo de nós do Amazon EKS exige `t3.medium`, e, devido ao aumento da capacidade de rede necessária para testes de descoberta de DenialOfService, o nó do driver exige `m6i.large`. Para todos os outros testes, GuardDuty usa o tipo de `t3.micro` instância. Para obter mais informações sobre os tipos de instância, consulte [Tipos de instância](https://docs.aws.amazon.com/ec2/latest/instancetypes/gp.html#gp_sizes) no *Guia de Tipos de Instâncias do Amazon EC2*.
## Etapa 3 - Executar scripts do testador
Esse é um processo de duas etapas em que você primeiro precisa iniciar uma sessão com o driver de teste e, em seguida, executar scripts para gerar GuardDuty descobertas com combinações de recursos específicas.
### Parte A - Iniciar sessão com o driver de teste
1. Depois que seus recursos forem implantados, salve o código da região em uma variável na sessão atual do terminal. Use o comando a seguir e *us-east-1* substitua pelo código da região em que você implantou os recursos:
```
$ REGION=us-east-1
```
1. O script do testador está disponível somente por meio do AWS Systems Manager (SSM). Para iniciar um shell interativo na instância do host do testador, consulte o host **InstanceId**.
1. Use o comando a seguir para iniciar sua sessão para o script do testador:
```
aws ssm start-session
--region $REGION
--document-name AWS-StartInteractiveCommand
--parameters command="cd /home/ssm-user/py_tester && bash -l"
--target $(aws ec2 describe-instances
--region $REGION
--filters "Name=tag:Name,Values=Driver-GuardDutyTester"
--query "Reservations[].Instances[?State.Name=='running'].InstanceId"
--output text)
```
### Parte B - Gerar descobertas
O script do testador é um programa baseado em Python que cria dinamicamente um script bash para gerar descobertas com base em sua entrada. Você tem flexibilidade para gerar descobertas com base em um ou mais tipos de AWS recursos, planos de GuardDuty proteção [OBJETIVO DA AMEAÇA](guardduty_finding-format.md#guardduty_threat_purposes) (táticas) ou[GuardDuty descobertas que o script do testador pode gerar](#gdu-findings-tester-generates). [Fontes de dados fundamentais](guardduty_data-sources.md)
Use os exemplos de comandos a seguir como referência e execute um ou mais comandos para gerar as descobertas que deseja explorar:
```
python3 guardduty_tester.py
python3 guardduty_tester.py --all
python3 guardduty_tester.py --s3
python3 guardduty_tester.py --tactics discovery
python3 guardduty_tester.py --ec2 --eks --tactics backdoor policy execution
python3 guardduty_tester.py --eks --runtime only
python3 guardduty_tester.py --ec2 --runtime only --tactics impact
python3 guardduty_tester.py --log-source dns vpc-flowlogs
python3 guardduty_tester.py --finding 'CryptoCurrency:EC2/BitcoinTool.B!DNS'
```
Para obter mais informações sobre parâmetros válidos, execute o comando de ajuda a seguir:
```
python3 guardduty_tester.py --help
```
### Parte C - Analisar as descobertas geradas
Escolha um método de sua preferência para visualizar as descobertas geradas em sua conta.
------
#### [ GuardDuty console ]
1. Faça login no Console de gerenciamento da AWS e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação, selecione **Descobertas**.
1. Na tabela de descobertas, selecione uma descoberta cujos detalhes deseja visualizar. Isso abrirá o painel de detalhes da descoberta. Para mais informações, consulte [Entendendo e gerando GuardDuty descobertas da Amazon](guardduty_findings.md).
1. Caso queira filtrar essas descobertas, use a chave e o valor da tag do recurso. **Por exemplo, para filtrar as descobertas geradas para as instâncias do Amazon EC2, use`CreatedBy`: `GuardDuty Test Script` tag key:value pair para **Instance tag key** e Instance tag key**.
------
#### [ API ]
+ Corra [ListFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)para ver as descobertas de um ID de detector específico. É possível usar parâmetros específicos para filtrar as descobertas.
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
------
#### [ AWS CLI ]
+ Execute o AWS CLI comando a seguir para visualizar as descobertas geradas *us-east-1* e *12abc34d567e8fa901bc2d34EXAMPLE* substituí-las por valores adequados:
```
aws guardduty list-findings --region us-east-1 --detector-id 12abc34d567e8fa901bc2d34EXAMPLE
```
Para encontrar a opção `detectorId` para sua conta e região atual, consulte a página de **configurações** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console ou execute a [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.
Para obter mais informações sobre os parâmetros que você pode usar para filtrar descobertas, consulte [list-findings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/list-findings.html) na *Referência de Comandos AWS CLI *.
------
## Etapa 4 - Limpe os recursos AWS de teste
As configurações em nível de conta e outras atualizações de status de configuração feitas durante o retorno [Etapa 3 - Executar scripts do testador](#run-gdu-tester-script) ao estado original quando o script do testador é concluído.
Depois de executar o script do testador, você pode optar por limpar os recursos de AWS teste. Isso pode ser feito usando um dos seguintes métodos.
+ Execute este comando: .
```
cdk destroy
```
+ Exclua a CloudFormation pilha com o nome **GuardDutyTesterStack**. Para obter informações sobre as etapas, consulte [Excluindo uma pilha no CloudFormation console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html).
## Solução de problemas comuns do
GuardDuty identificou problemas comuns e recomenda etapas de solução de problemas:
+ `Cloud assembly schema version mismatch`— Atualize a AWS CDK CLI para uma versão compatível com a versão de montagem em nuvem necessária ou para a versão mais recente disponível. Para obter mais informações sobre a [compatibilidade da CLI AWS CDK](https://docs.aws.amazon.com/cdk/v2/guide/versioning.html#cdk_toolkit_versioning).
+ `Docker permission denied` – Adicione o usuário da conta exclusiva a **docker** ou **docker-users** para que a conta exclusiva possa executar os comandos. Para obter mais informações sobre as etapas, consulte [a opção de soquete Daemon](https://docs.docker.com/reference/cli/dockerd/#daemon-socket-option).
+ `Your requested instance type is not supported in your requested Availability Zone`— Algumas zonas de disponibilidade não oferecem suporte a tipos específicos de instância. Para identificar quais zonas de disponibilidade oferecem suporte ao seu tipo de instância preferido e tentar implantar AWS recursos novamente, execute as seguintes etapas:
1. Selecione um método de sua preferência para determinar quais zonas de disponibilidade são compatíveis com seu tipo de instância:
------
#### [ Console ]
**Para identificar as zonas de disponibilidade compatíveis com o tipo de instância preferencial**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon EC2 em. [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)
1. Ao usar o seletor de AWS região no canto superior direito da página, escolha a região em que você deseja iniciar a instância.
1. No painel de navegação, em **Instâncias**, escolha **Tipos de Instâncias**.
1. Na tabela **Tipos de instância**, escolha um tipo de instância preferencial.
1. Em **Rede**, veja as regiões listadas em **Zonas de disponibilidade**.
Com base nessas informações, talvez seja necessário escolher uma nova região onde se possa implantar os recursos.
------
#### [ AWS CLI ]
Execute o comando a seguir para visualizar uma lista de zonas de disponibilidade. Certifique-se de especificar o tipo de instância de sua preferência e a região (*us-east-1*).
```
aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=instance-type,Values=Preferred instance type --region us-east-1 --output table
```
Para obter mais informações sobre este comando , consulte [describe-instance-type-offerings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-instance-type-offerings.html) na *Referência de comandos da AWS CLI *.
Ao executar esse comando, se você receber um erro, verifique se está usando a versão mais recente da AWS CLI. Para obter mais informações, consulte [Troubleshooting](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html) no *Guia do usuário do AWS Command Line Interface *.
------
1. Tente implantar os AWS recursos novamente e especifique uma zona de disponibilidade compatível com seu tipo de instância preferido.
**Para tentar implantar AWS recursos novamente**
1. Configure a região padrão no arquivo `bin/cdk-gd-tester.ts`.
1. Para especificar a zona de disponibilidade, abra o arquivo `amazon-guardduty-tester/lib/common/network/vpc.ts`.
1. Nesse arquivo, substitua `maxAzs: 2,` por `availabilityZones: ['us-east-1a', 'us-east-1c'],` onde você deve especificar as zonas de disponibilidade para seu tipo de instância.
1. Continue com as etapas restantes em [Etapas para implantar AWS recursos](#steps-deploy-resource-test-guardduty-findings).
# Visualizando as descobertas geradas no GuardDuty console
Quando GuardDuty detecta uma atividade que corresponde ao padrão de um problema de segurança, GuardDuty gera uma descoberta. Esse tipo de descoberta está associado a um tipo de recurso que pode ter sido comprometido durante essa atividade. Você pode visualizar os detalhes associados a cada descoberta GuardDuty gerada.
Se você estiver usando uma conta de GuardDuty administrador, poderá visualizar as descobertas geradas em nome das contas dos membros. No entanto, uma conta-membro só pode visualizar as descobertas geradas em sua própria conta. Uma conta de membro não pode ver as descobertas geradas para outras contas de membros.
**Etapas para visualizar as descobertas no GuardDuty console**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. No painel de navegação à esquerda, escolha **Descobertas**.
GuardDuty exibe as descobertas em formato tabular. Por padrão, essa tabela é classificada em ordem decrescente com base no valor da coluna **Visto pela última vez**, exibindo as descobertas mais recentes na parte superior.
As descobertas com um ícone de espada (![\[Sword icon that represents attack sequence finding in GuardDuty console.\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/attack-sequences-icon.PNG)) representam uma descoberta de sequência de ataque.
1. Para ver os detalhes associados a uma descoberta, selecione seu **título**. Isso abrirá o painel lateral de detalhes da descoberta. Para encontrar uma sequência de ataque, esse painel lateral inclui uma *versão resumida* da sequência de ataque e, para expandir essa exibição, escolha **Exibir detalhes**.
Para obter informações sobre os campos listados nesse painel lateral, consulte [Detalhes da descoberta](guardduty_findings-summary.md).
1.
**(Opcional) para baixar o JSON de descoberta**
1. Selecione a descoberta e escolha o menu **Ações**.
1. No menu **Ações**, escolha **Exibir e exportar JSON**.
1. Na janela **JSON de descobertas**, escolha **Baixar**.
**nota**
Em alguns casos, GuardDuty fica ciente de que certas descobertas são falsos positivos depois de terem sido geradas. GuardDuty fornece um campo **Confiança** no JSON da descoberta e define seu valor como zero. GuardDuty Dessa forma, você sabe que pode ignorar essas descobertas com segurança.
Descobertas sem o campo **Confiança** não são consideradas falsos positivos.
## Navegar na página de descobertas
Esta seção fornece informações importantes sobre vários elementos da página **Descobertas**. Isso ajudará você a analisar as descobertas geradas para análise e resposta a ameaças.
A lista a seguir explica os elementos da página **Descobertas** que ajudarão você a entender melhor as descobertas geradas:
+ **Tipo de ameaça**:
O tipo de ameaça inclui GuardDuty descobertas individuais e descobertas de sequências de ataques. Por padrão, a página exibe **Todas as descobertas**.
Para filtrar a exibição da tabela de descobertas, no menu **Tipo de ameaça**, escolha uma das opções: **Somente descobertas de sequência de ataque** ou **Somente descobertas individuais**.
+ **Colunas Recurso e Contagem**:
A coluna **Recurso** na tabela de descobertas mostra o nome do AWS recurso potencialmente comprometido. Para encontrar uma sequência de ataque, essa coluna mostra o número de AWS recursos potencialmente comprometidos. Para ver os nomes dos recursos, selecione o *número* na coluna **Recurso**.
A coluna **Contagem** indica o número de vezes que GuardDuty observa uma descoberta específica. Quando GuardDuty detecta uma atividade que corresponde a um problema de segurança identificado anteriormente, ela incrementa a contagem dessa descoberta específica. Para uma descoberta de sequência de ataque, esse valor de coluna indica o número total de sinais e descobertas envolvidos na geração da descoberta.
+ **Classificando as descobertas por colunas da tabela**:
Se houver uma *seta* ao lado do cabeçalho da coluna, você poderá classificar a tabela de descobertas com base na coluna. Selecione o cabeçalho da coluna para classificar as descobertas em ordem crescente ou decrescente do valor nessa coluna.
+ **Filtrar descobertas**:
Com base em atributos de propriedade específicos, como `Account ID` e `Resource type`, você pode filtrar ainda mais a tabela de descobertas. Para obter mais informações sobre os tipos de filtros que você pode usar, consulte [Filtrando descobertas GuardDuty ](guardduty_filter-findings.md).
+ **Status e regras salvas**:
O menu **Status** inclui dois valores: **Atual** e **Arquivado**. A exibição padrão é de descobertas **atuais** na tabela.
Quando você não quiser mais GuardDuty gerar uma descoberta que corresponda a um critério específico, você pode suprimir essa descoberta. GuardDuty arquiva essa descoberta. Quando GuardDuty detectar essa descoberta novamente, você não será notificado dessa observação. Para visualizar especificamente as descobertas arquivadas, no menu **Status**, escolha **Arquivado**.
As **regras salvas** são um recurso que ajuda você a filtrar e executar ações automaticamente nas descobertas que correspondem a um critério específico. As ações podem incluir arquivar descobertas ou suprimi-las de futuras notificações.
Para obter mais informações, consulte [Regras de supressão](findings_suppression-rule.md).
# Níveis de severidade das GuardDuty descobertas
Cada GuardDuty descoberta tem um nível de severidade e um valor atribuídos que refletem o risco potencial que a descoberta pode ter para seu ambiente, conforme determinado por nossos engenheiros de segurança. O valor da gravidade pode estar entre 1,0 e 10,0, com valores mais altos indicando maior risco de segurança. Para ajudá-lo a determinar uma resposta a um possível problema de segurança destacado por uma descoberta, GuardDuty divide essa faixa em níveis de severidade *crítico*, *alto*, *médio* e *baixo*.
Uma descoberta de um tipo específico pode ter uma gravidade diferente dependendo do contexto específico da descoberta. Para ver uma lista consolidada dos níveis de severidade padrão para todos os tipos de GuardDuty descoberta, consulte[GuardDuty tipos de descoberta ativa](guardduty_finding-types-active.md#findings-table).
As seções a seguir explicam os níveis de severidade definidos para os GuardDuty resultados.
**Topics**
+ [Gravidade crítica](#guardduty-finding-severity-level-critical)
+ [Gravidade alta](#guardduty-finding-severity-level-high)
+ [Gravidade média](#guardduty-finding-severity-level-medium)
+ [Gravidade baixa](#guardduty-finding-severity-level-low)
## Gravidade crítica
**Intervalo de valores**: 9,0 – 10,0
**Descrição**: um nível de gravidade crítica indica que uma sequência de ataque pode estar em andamento ou ter ocorrido recentemente. Um ou mais AWS recursos, como as credenciais de login do usuário do IAM e o bucket do Amazon S3, estão potencialmente comprometidos ou podem já ter sido comprometidos.
**Recomendação**: GuardDuty recomenda que você priorize a triagem e a correção de todas as descobertas críticas de gravidade, pois esses problemas podem fazer parte de um ataque de ransomware e podem aumentar a qualquer momento. Veja detalhes sobre os recursos envolvidos e comece a abordar os problemas de segurança. Para obter mais informações, consulte [Correção de descobertas](guardduty_remediate.md).
## Gravidade alta
**Intervalo de valores**: 7,0 – 8,9
**Descrição**: um nível de gravidade alta indica que o recurso em questão (uma instância do Amazon EC2 ou um conjunto de credenciais de login de usuário do IAM) está comprometido e sendo usado ativamente para fins não autorizados.
**Recomendação**: GuardDuty recomenda que você trate qualquer problema de segurança de detecção de alta gravidade como uma prioridade e tome medidas imediatas de remediação para evitar mais uso não autorizado de seus recursos. Por exemplo, limpe sua instância do Amazon EC2 ou encerre-a, ou mude as credenciais do IAM. Siga as etapas em [Correção de descobertas](guardduty_remediate.md) para corrigir a descoberta.
## Gravidade média
**Intervalo de valores**: 4,0 – 6,9
**Descrição**: um nível de gravidade média indica atividade suspeita que se desvia do comportamento normalmente observado e, dependendo do seu caso de uso, pode indicar o comprometimento de recursos.
**Recomendação**: GuardDuty recomenda investigar o recurso potencialmente afetado o mais rápido possível. As etapas de correção variam de acordo com o recurso e a família da descoberta. Uma abordagem estabelecida é confirmar se a atividade está autorizada e é consistente com o caso de uso. Se você não conseguir identificar a causa ou confirmar se a atividade foi autorizada, considere o recurso como comprometido. Siga as etapas em [Correção de descobertas](guardduty_remediate.md) para corrigir a descoberta.
Veja alguns itens a serem considerados ao analisar uma descoberta de nível médio:
+ Verifique se um usuário autorizado instalou um novo software que alterou o comportamento de um recurso (por exemplo, permitido tráfego superior ao normal ou comunicação habilitada em uma nova porta).
+ Verifique se um usuário autorizado alterou as configurações do plano de controle, por exemplo, modificou uma configuração de grupo de segurança.
+ Execute uma verificação antivírus no recurso implicado para detectar software não autorizado.
+ Verifique as permissões associadas ao perfil, usuário, grupo ou conjunto de credenciais afetados do IAM. Pode ser necessário alterá-las.
## Gravidade baixa
**Intervalo de valores**: 1,0 – 3,9
**Descrição**: um nível de gravidade baixa indica uma tentativa de atividade suspeita que não comprometeu seu ambiente. Por exemplo, uma varredura de porta ou uma tentativa de invasão fracassada.
**Recomendação**: não há nenhuma ação recomendada imediata, mas vale a pena anotar essas informações, pois elas podem indicar que alguém está procurando pontos fracos em seu ambiente.
# Detalhes da descoberta
No GuardDuty console da Amazon, você pode ver os detalhes da descoberta na seção de resumo da descoberta. Os detalhes da descoberta variam de acordo com o tipo de descoberta.
Há dois detalhes principais que determinarão quais tipos de informações serão disponibilizadas para qualquer descoberta. O primeiro é o tipo de recurso, que pode ser `Instance`, `AccessKey`, `S3Bucket`, `S3Object`, `Kubernetes cluster`, `ECS cluster`, `Container`, `RDSDBInstance`, `RDSLimitlessDB` ou `Lambda`. O segundo detalhe que determina as informações da descoberta é a **Função do recurso**. A função do recurso pode ser `Target`, o que significa que o recurso foi alvo de atividades suspeitas. Por exemplo, tipo de descoberta, a função do recurso também pode ser `Actor`, o que significa que seu recurso foi o agente que realizou atividades suspeitas. Este tópico descreve alguns dos detalhes geralmente disponíveis sobre descobertas. Para [GuardDuty Tipos de descoberta de monitoramento de tempo de execução](findings-runtime-monitoring.md) e[Tipo de descoberta da Proteção contra malware para S3](gdu-malware-protection-s3-finding-types.md), a função do recurso não foi preenchida.
**Topics**
+ [Visão geral da descoberta](#findings-summary-section)
+ [Recurso](#findings-resource-affected)
+ [Detalhes da descoberta da sequência de ataques](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [Detalhes do usuário do banco de dados (DB) do RDS](#rds-pro-db-user-details)
+ [Detalhes da descoberta do monitoramento de runtime](#runtime-monitoring-runtime-details)
+ [Detalhes de verificação de volumes do EBS](#mp-ebs-volumes-scan-details)
+ [Detalhes de descobertas sobre a Proteção contra malware para EC2](#malware-protection-scan-details)
+ [Detalhes de descobertas sobre a Proteção contra malware para S3](#gdu-malware-protection-for-s3-finding-details)
+ [Ação](#finding-action-section)
+ [Agente ou destino](#finding-actor-target)
+ [Detalhes de geolocalização](#guardduty-finding-details-geolocation)
+ [Mais informações](#finding-additional-info)
+ [Evidência](#finding-evidence)
+ [Comportamento anômalo](#finding-anomalous)
## Visão geral da descoberta
A seção **Visão geral** de uma descoberta contém os atributos de identificação mais básicos da descoberta, incluindo as seguintes informações:
+ **ID da conta** — A ID da AWS conta na qual a atividade ocorreu que solicitou GuardDuty a geração dessa descoberta.
+ **Contagem** — O número de vezes GuardDuty que agregou uma atividade que corresponde a esse padrão a essa ID de descoberta.
+ **Criada em**: a data e hora em que esta descoberta foi criada pela primeira vez. Se esse valor for diferente de **Atualizado em** indica que a atividade ocorreu várias vezes e é um problema contínuo.
**nota**
Os carimbos de data e hora das descobertas no GuardDuty console aparecem em seu fuso horário local, enquanto as exportações JSON e as saídas de CLI exibem carimbos de data e hora em UTC.
+ **ID da descoberta**: um ID exclusivo para este tipo de descoberta e conjunto de parâmetros. Novas ocorrências de atividades que correspondem a esse padrão serão agregadas ao mesmo ID.
+ **Tipo de descoberta**: uma string formatada representando o tipo de atividade que acionou a descoberta. Para obter mais informações, consulte [GuardDuty formato de busca](guardduty_finding-format.md).
+ **Região** — A AWS região na qual a descoberta foi gerada. Para obter mais informações sobre as regiões compatíveis, consulte [Regiões e endpoints](guardduty_regions.md)
+ **ID do recurso** — O ID do AWS recurso contra o qual a atividade ocorreu e que solicitou GuardDuty a geração dessa descoberta.
+ **ID de verificação** — Aplicável às descobertas quando a Proteção contra GuardDuty Malware para EC2 está ativada, é um identificador da verificação de malware que é executada nos volumes do EBS conectados à carga de trabalho da instância ou contêiner do EC2 potencialmente comprometida. Para obter mais informações, consulte [Detalhes de descobertas sobre a Proteção contra malware para EC2](#malware-protection-scan-details).
+ **Gravidade**: o nível de gravidade atribuído à descoberta, que pode ser Crítica, Alta, Média ou Baixa. Para obter mais informações, consulte [Níveis de gravidade das descobertas](guardduty_findings-severity.md).
+ **Atualizado em** — A última vez que essa descoberta foi atualizada com uma nova atividade correspondente ao padrão que levou GuardDuty à geração dessa descoberta.
## Recurso
O **recurso afetado** fornece detalhes sobre o AWS recurso que foi alvo da atividade inicial. As informações disponíveis variam de acordo com o tipo de recurso e o tipo de ação.
**Função do recurso** — A função do AWS recurso que iniciou a descoberta. Esse valor pode ser **TARGET** ou **ACTOR**, e representa se seu recurso foi o alvo da atividade suspeita ou o ator que realizou a atividade suspeita, respectivamente.
**Tipo de recurso**: o tipo de recurso afetado. Se houver vários recursos envolvidos, uma descoberta poderá incluir vários tipos de recursos. **Os tipos de recursos são **Instance **AccessKey****, **S3Bucket, **S3Object****,,, **Container **KubernetesCluster**ECSCluster**RDSDBInstanceRDSLimitless********,** DB** e Lambda.** Dependendo do tipo de recurso, diferentes detalhes da descoberta estarão disponíveis. Selecione uma guia de opções do recurso para saber mais sobre os detalhes disponíveis para ele.
------
#### [ Instance ]
**Detalhes da instância:**
**nota**
Alguns detalhes da instância podem estar ausentes se a instância já tiver sido interrompida ou se a invocação da API subjacente tiver se originado de uma instância do EC2 em uma região diferente ao fazer uma chamada de API entre regiões.
+ **ID da instância** — A ID da instância do EC2 envolvida na atividade que solicitou GuardDuty a geração da descoberta.
+ **Tipo de instância**: o tipo de instância do EC2 envolvida na descoberta.
+ **Hora de execução**: a data e a hora em que a instância foi executada.
+ **Outpost ARN** — O nome de recurso da Amazon (ARN) de. AWS Outposts Aplicável somente às AWS Outposts instâncias. Para obter mais informações, consulte [O que é AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html) no *Guia do usuário para racks do Outposts*.
+ **Nome do grupo de segurança**: o nome do grupo de segurança anexado à instância envolvida.
+ **ID do grupo de segurança**: o ID do grupo de segurança anexado à instância envolvida.
+ **Estado da instância**: o estado atual da instância de destino.
+ **Zona de disponibilidade**: a zona de disponibilidade da região da AWS em que a instância envolvida está localizada.
+ **ID da imagem**: o ID da imagem de máquina da Amazon usada para criar a instância envolvida na atividade.
+ **Descrição da imagem**: uma descrição do ID da imagem de máquina da Amazon usada para criar a instância envolvida na atividade.
+ **Tags**: uma lista de tags anexadas a este recurso, listadas no formato de `key`:`value`.
------
#### [ AccessKey ]
**Detalhes da chave de acesso:**
+ **ID da chave** de acesso — A ID da chave de acesso do usuário envolvido na atividade que solicitou GuardDuty a geração da descoberta.
+ **ID principal** — A ID principal do usuário envolvido na atividade que levou GuardDuty à geração da descoberta.
+ **Tipo de usuário** — O tipo de usuário envolvido na atividade que levou GuardDuty à geração da descoberta. Para obter mais informações, consulte [Elemento userIdentity do CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields).
+ **Nome de usuário** — O nome do usuário envolvido na atividade que levou GuardDuty à geração da descoberta.
------
#### [ S3Bucket ]
**Detalhes do bucket Amazon S3:**
+ **Nome**: o nome do bucket envolvido na descoberta.
+ **ARN**: o ARN do bucket envolvido na descoberta.
+ **Proprietário**: o ID de usuário canônico do usuário que possui o bucket envolvido na descoberta. Para obter mais informações sobre usuários canônicos, IDs consulte identificadores de [AWS conta](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html).
+ **Tipo**: o tipo de descoberta do bucket, pode ser **Destino** ou **Origem**.
+ ** Criptografia padrão do lado do servidor**: os detalhes de criptografia para o bucket.
+ **Tags de bucket**: uma lista de tags anexadas a esse recurso, listadas no formato de `key`:`value`.
+ **Permissões efetivas**: uma avaliação de todas as permissões e políticas efetivas no bucket que indica se o bucket envolvido está exposto publicamente. Os valores podem ser **públicos** ou **não públicos**.
------
#### [ S3Object ]
+ **Detalhes do objeto do S3** — Inclui as seguintes informações sobre o objeto do S3:
+ **ARN** — Nome do recurso da Amazon (ARN) do objeto do S3 escaneado.
+ **Chave** - O nome atribuído ao arquivo quando ele foi criado no bucket S3.
+ **ID da versão** — Quando o controle de versão do bucket estiver ativado, esse campo indicará o ID da versão associado à versão mais recente do objeto do S3 verificado. Para obter mais informações, consulte [Usar o versionamento em buckets do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) no *Guia do usuário do Amazon S3*.
+ **ETag** — Representa a versão específica do objeto do S3 verificado.
+ **Hash** — Hash da ameaça detectada nesta descoberta.
+ **Detalhes do bucket do S3** — Inclui as seguintes informações sobre o bucket do Amazon S3 associado ao objeto do S3 verificado:
+ **Nome** - Indica o nome do bucket do S3 que contém o objeto.
+ **ARN** - Nome de recurso da Amazon (ARN) do bucket do S3.
+ **Proprietário** - O ID de usuário canônico do proprietário do bucket do S3.
------
#### [ EKSCluster ]
**Detalhes do cluster do Kubernetes:**
+ **Nome**: o nome do cluster do Kubernetes.
+ **ARN**: o ARN que identifica o cluster.
+ **Criado em**: a data e a hora em que o cluster foi criado.
**nota**
Os carimbos de data e hora das descobertas no GuardDuty console aparecem em seu fuso horário local, enquanto as exportações JSON e as saídas de CLI exibem carimbos de data e hora em UTC.
+ **VPC ID**: o ID da VPC associada ao cluster.
+ **Status**: o status atual do cluster.
+ **Tags**: os metadados que você aplica ao cluster para ajudar na categorização e organização. Cada tag consiste em uma chave e um valor opcional, listados no formato `key`:`value`. Você pode definir a chave e o valor.
As tags de cluster não são propagadas para nenhum outro recurso associado ao cluster.
**Detalhes da workload do Kubernetes:**
+ **Tipo**: o tipo de workload do Kubernetes, como pod, implantação e trabalho.
+ **Nome**: o nome da workload do Kubernetes.
+ **Uid**: o ID exclusivo da workload do Kubernetes.
+ **Criada em**: a data e a hora em que essa workload foi criada.
+ **Rótulos**: os pares de chave-valor anexados à workload do Kubernetes.
+ **Contêineres**: os detalhes do contêiner em execução como parte da workload do Kubernetes.
+ **Namespace**: a workload pertence a esse namespace do Kubernetes.
+ **Volumes**: os volumes usados pela workload do Kubernetes.
+ **Caminho do host**: representa um arquivo ou diretório preexistente na máquina host para a qual o volume é mapeado.
+ **Nome**: o nome do volume.
+ **contexto de segurança do pod**: define as configurações de privilégio e controle de acesso para todos os contêineres em um pod.
+ **Rede de host**: defina como `true` se os pods estão incluídos na workload do Kubernetes.
**Detalhes do usuário do Kubernetes:**
+ **Grupos**: grupos com RBAC (controle baseado em acesso por função) do Kubernetes do usuário envolvido na atividade que gerou a descoberta.
+ **ID**: ID exclusiva do usuário do Kubernetes.
+ **Nome de usuário**: nome do usuário do Kubernetes envolvido na atividade que gerou a descoberta.
+ **Nome da sessão**: entidade que assumiu o perfil do IAM com permissões RBAC do Kubernetes.
------
#### [ ECSCluster ]
**Detalhes do cluster do ECS:**
+ **ARN**: o ARN que identifica o cluster.
+ **Nome**: o nome do cluster.
+ **Status**: o status atual do cluster.
+ **Contagem de serviços ativas**: o número de serviços que estão sendo executados no cluster em um estado `ACTIVE`. Você pode ver esses serviços com [ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html)
+ **Contagem de instâncias de contêiner registradas**: o número de instâncias de contêiner registradas no cluster. Isso inclui instâncias de contêiner nos status `ACTIVE` e `DRAINING`.
+ **Contagem de tarefas em execução**: o número de tarefas no cluster que estão no estado `RUNNING`.
+ **Tags**: os metadados que você aplica ao cluster para ajudar na categorização e organização. Cada tag consiste em uma chave e um valor opcional, listados no formato `key`:`value`. Você pode definir a chave e o valor.
+ **Contêineres**: os detalhes sobre o contêiner associado à tarefa:
+ **Nome do contêiner**: o nome do contêiner.
+ **Imagem do contêiner**: a imagem do contêiner.
+ **Detalhes da tarefa**: os detalhes de uma tarefa em um cluster.
+ **ARN**: o nome do recurso da Amazon (ARN) da tarefa.
+ **ARN da definição**: o nome do recurso da Amazon (ARN) da definição de tarefa que cria a tarefa.
+ **Versão**: o contador de versões da tarefa.
+ **Tarefa criada em**: a data e hora do Unix quando a tarefa foi criada.
+ **Tarefa iniciada em**: a data e hora do Unix quando a tarefa foi iniciada.
+ **Tarefa iniciada por**: a tag especificada quando uma tarefa é iniciada.
------
#### [ Container ]
**Detalhes do contêiner:**
+ **Runtime do contêiner**: o runtime do contêiner (como `docker` ou `containerd`) usado para executar o contêiner.
+ **ID**: o ID da instância de contêiner ou as entradas completas do ARN para a instância de contêiner.
+ **Nome**: o nome do contêiner.
+ **Imagem**: a imagem da instância de contêiner.
+ **Montagens de volume**: lista de montagens de volume de contêineres. Um contêiner pode montar um volume em seu sistema de arquivos.
+ **Contexto de segurança**: o contexto de segurança do contêiner define as configurações de privilégio e controle de acesso para um contêiner.
+ **Detalhes do processo**: descreve os detalhes do processo associado à descoberta.
------
#### [ RDSDBInstance ]
**RDSDBInstance detalhes:**
**nota**
Esse recurso está disponível nas descobertas da Proteção do RDS relacionadas à instância do banco de dados.
+ **ID da instância do banco** de dados — O identificador associado à instância do banco de dados envolvida na GuardDuty descoberta.
+ **Mecanismo**: o nome do mecanismo de banco de dados da instância do banco de dados envolvida na descoberta. Os valores permitidos são Aurora compatível com MySQL ou Aurora PostgreSQL.
+ **Versão do mecanismo** — A versão do mecanismo de banco de dados envolvida na GuardDuty descoberta.
+ **ID do cluster do banco** de dados — O identificador do cluster do banco de dados que contém o ID da instância do banco de dados envolvido na GuardDuty descoberta.
+ **ARN da instância do banco** de dados — O ARN que identifica a instância do banco de dados envolvida na descoberta. GuardDuty
------
#### [ RDSLimitlessDB ]
**RDSLimitlessDetalhes do banco de dados:**
Esse recurso está disponível nas descobertas da Proteção do RDS relacionadas à versão do mecanismo compatível do Limitless Database.
+ **Identificador do grupo de fragmentos de banco de dados** – o nome associado ao grupo de fragmentos do Limitless DB.
+ **ID do recurso do grupo de fragmentos de banco de dados** – o identificador do recurso do grupo de fragmentos de banco de dados dentro do Limitless DB.
+ **ARN do grupo de fragmentos do banco de dados** – o nome do recurso da Amazon (ARN) que identifica o grupo de fragmentos do banco de dados.
+ **Mecanismo** – o identificador do Limitless DB envolvido na descoberta.
+ **Versão do mecanismo** – a versão do mecanismo do Limitless DB.
+ **Identificador de cluster de banco de dados** – o nome do cluster de banco de dados que faz parte do Limitless DB.
Para obter informações sobre o usuário e detalhes da autenticação do banco de dados potencialmente afetado, consulte [Detalhes do usuário do banco de dados (DB) do RDS](#rds-pro-db-user-details).
------
#### [ Lambda ]
**Detalhes da função do Lambda**
+ **Nome da função**: o nome da função do Lambda que está envolvida na descoberta.
+ **Versão da função**: a versão da função do Lambda envolvida na descoberta.
+ **Descrição da função**: uma descrição da função do Lambda envolvida na descoberta.
+ **ARN da função**: o nome do recurso da Amazon (ARN) da função do Lambda envolvida na descoberta.
+ **ID da revisão**: o ID da revisão da versão da função do Lambda.
+ **Perfil**: o perfil de execução da função do Lambda envolvida na descoberta.
+ Configuração da **VPC — A configuração** da Amazon VPC, incluindo o ID da VPC, o grupo de segurança e a sub-rede associados à sua função Lambda. IDs
+ **ID da VPC**: o ID da Amazon VPC associado à função do Lambda envolvida na descoberta.
+ **Sub-rede IDs** — O ID das sub-redes associadas à sua função Lambda.
+ **Grupo de segurança**: o grupo de segurança vinculado à função do Lambda envolvida. Inclui o nome do grupo de segurança e o ID do grupo.
+ **Tags**: uma lista de tags anexadas a este recurso, listadas no formato de par de `key`:`value`.
------
## Detalhes da descoberta da sequência de ataques
GuardDuty fornece detalhes de cada descoberta que ela gera em sua conta. Esses detalhes ajudam você a entender os motivos por trás da descoberta. Esta seção se concentra nos detalhes associados a [Tipos de descoberta de sequência de ataque](guardduty-attack-sequence-finding-types.md). Isso inclui insights como recursos potencialmente afetados, cronograma de eventos, indicadores, sinais e endpoints envolvidos na descoberta.
Para ver os detalhes associados aos sinais que são GuardDuty descobertas, consulte as seções associadas nesta página.
No GuardDuty console, quando você seleciona uma descoberta de sequência de ataque, o painel lateral de detalhes é dividido nas seguintes guias:
+ **Visão geral** – fornece uma visão compacta dos detalhes da sequência de ataque, incluindo sinais, táticas do MITRE e recursos potencialmente afetados.
+ **Sinais** – exibe uma linha do tempo dos eventos envolvidos em uma sequência de ataque.
+ **Recursos** – fornece informações sobre os recursos potencialmente afetados ou os recursos que estão potencialmente em risco.
A lista a seguir fornece descrições associadas aos detalhes da descoberta da sequência de ataque.
**Sinais**
Um sinal pode ser uma atividade de API ou uma descoberta GuardDuty usada para detectar uma descoberta de sequência de ataque. GuardDuty considera os sinais fracos que não se apresentam como uma ameaça clara, os reúne e se correlaciona com as descobertas geradas individualmente. Para mais contexto, a guia **Sinais** fornece uma linha do tempo dos sinais, conforme observado por GuardDuty.
Cada sinal, que é uma GuardDuty descoberta, tem seu próprio nível de severidade e valor atribuído a ele. No GuardDuty console, você pode selecionar cada sinal para ver os detalhes associados.
**Atores**
Fornece detalhes sobre os agentes da ameaça em uma sequência de ataque. Para obter mais informações, consulte [Actor](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html) in *Amazon GuardDuty API Reference*.
**Endpoints**
Fornece detalhes sobre os endpoints de rede que foram usados nessa sequência de ataque. Para obter mais informações, consulte [NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)a *Amazon GuardDuty API Reference*. Para obter informações sobre como GuardDuty determina a localização, consulte[Detalhes de geolocalização](#guardduty-finding-details-geolocation).
**Indicadores**
Inclui dados observados que correspondem ao padrão de um problema de segurança. Esses dados especificam por que GuardDuty há uma indicação de uma atividade potencialmente suspeita. Por exemplo, quando o nome do indicador é`HIGH_RISK_API`, isso indica uma ação comumente usada por agentes de ameaças ou uma ação confidencial que pode causar um impacto potencial a uma Conta da AWS, como acessar credenciais ou modificar um recurso.
A tabela a seguir inclui uma lista de indicadores potenciais e suas descrições:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/guardduty_findings-summary.html)
**Táticas MITRE**
Esse campo especifica as táticas do MITRE ATT&CK que o agente da ameaça tenta por meio de uma sequência de ataque. GuardDuty usa a estrutura [MITRE ATT&ACK](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes) que adiciona contexto a toda a sequência de ataque. As cores que o GuardDuty console usa para especificar as finalidades da ameaça que foram usadas pelo agente da ameaça se alinham às cores que indicam a crítica, a alta, a média e a baixa[Níveis de gravidade das descobertas](guardduty_findings-severity.md).
**Indicadores de rede**
Os indicadores incluem uma combinação de valores de indicadores de rede que explicam por que uma rede é indicativa de comportamento suspeito. Esta seção é aplicável somente quando o **Indicador** inclui `SUSPICIOUS_NETWORK` ou`MALICIOUS_IP`. O exemplo a seguir mostra como os indicadores de rede podem ser associados a um indicador, onde:
+ *AnyCompany*é um Sistema Autônomo (AS).
+ `TUNNEL_VPN`, `IS_ANONYMOUS` e `ALLOWS_FREE_ACCESS` são os indicadores da rede.
```
...{
"key": "SUSPICIOUS_NETWORK",
"values": [{
"AnyCompany": [
"TUNNEL_VPN",
"IS_ANONYMOUS",
"ALLOWS_FREE_ACCESS"
]
}]
}
...
```
A tabela a seguir inclui os valores dos indicadores de rede e sua descrição. Essas tags são adicionadas com base na inteligência de ameaças GuardDuty coletada de fontes como o Spur.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/guardduty_findings-summary.html)
## Detalhes do usuário do banco de dados (DB) do RDS
**nota**
Esta seção é aplicável às descobertas quando você ativa o recurso de Proteção do RDS no GuardDuty. Para obter mais informações, consulte [GuardDuty Proteção RDS](rds-protection.md).
A GuardDuty descoberta fornece os seguintes detalhes de usuário e autenticação do banco de dados potencialmente comprometido:
+ **Usuário**: o nome de usuário usado para fazer a tentativa anômala de login.
+ **Aplicação**: o nome da aplicação usada para fazer a tentativa anômala de login.
+ **Banco de dados**: o nome da instância do banco de dados envolvida na tentativa anômala de login.
+ **SSL**: a versão do Secure Socket Layer (SSL) usada para a rede.
+ **Método de autenticação**: o método de autenticação usado pelo usuário envolvido na descoberta.
Para obter informações sobre o recurso potencialmente comprometido, consulte [Recurso](#findings-resource-affected).
## Detalhes da descoberta do monitoramento de runtime
**nota**
Esses detalhes podem estar disponíveis somente se GuardDuty gerar um dos[GuardDuty Tipos de descoberta de monitoramento de tempo de execução](findings-runtime-monitoring.md).
Esta seção contém os detalhes do runtime, como detalhes do processo e qualquer contexto necessário. Os detalhes do processo descrevem as informações sobre o processo observado e o contexto do runtime descreve qualquer informação adicional sobre a atividade potencialmente suspeita.
**Detalhes do processo**
+ **Nome**: o nome do processo.
+ **Caminho do executável**: o caminho absoluto do arquivo executável do processo.
+ **SHA-256 do executável**: o hash `SHA256` do executável do processo.
+ **PID do Namespace**: o ID do processo em um namespace PID secundário diferente do namespace PID no nível do host. Para processos em um contêiner, é o ID do processo observado dentro do contêiner.
+ **Diretório de trabalho atual**: o diretório de trabalho atual do processo.
+ **ID do processo**: o ID atribuído ao processo pelo sistema operacional.
+ **startTime**: a hora em que o processo foi iniciado. Está no formato de string de data UTC (`2023-03-22T19:37:20.168Z`).
+ **UUID** — O ID exclusivo atribuído ao processo por. GuardDuty
+ **UUID principal**: o ID exclusivo do processo principal. Essa ID é atribuída ao processo principal por GuardDuty.
+ **Usuário**: o usuário que executou o processo.
+ **ID do usuário**: o ID do usuário que executou o processo.
+ **ID de usuário efetivo**: o ID de usuário efetivo do processo no momento do evento.
+ **Linhagem**: informações sobre os ancestrais do processo.
+ **ID do processo**: o ID atribuído ao processo pelo sistema operacional.
+ **UUID** — O ID exclusivo atribuído ao processo por. GuardDuty
+ **Caminho do executável**: o caminho absoluto do arquivo executável do processo.
+ **ID de usuário efetivo**: o ID de usuário efetivo do processo no momento do evento.
+ **UUID principal**: o ID exclusivo do processo principal. Essa ID é atribuída ao processo principal por GuardDuty.
+ **Hora de início**: o hora em que o processo foi iniciado.
+ **PID do Namespace**: o ID do processo em um namespace PID secundário diferente do namespace PID no nível do host. Para processos em um contêiner, é o ID do processo observado dentro do contêiner.
+ **ID do usuário**: o ID do usuário que executou o processo.
+ **Nome**: o nome do processo.
**Contexto de runtime**
Com os campos a seguir, uma descoberta gerada pode incluir somente os campos relevantes para o tipo de descoberta.
+ **Origem de montagem**: o caminho no host que é montado pelo contêiner.
+ **Destino de montagem**: o caminho no contêiner que é mapeado para o diretório do host.
+ **Tipo de sistema de arquivos**: representa o tipo do sistema de arquivos montado.
+ **Sinalizadores**: representam opções que controlam o comportamento do evento envolvido nessa descoberta.
+ **Processo de modificação**: informações sobre o processo que criou ou modificou um binário, script ou biblioteca dentro de um contêiner no runtime.
+ **Modificado em**: o carimbo de data/hora em que o processo criou ou modificou um binário, script ou biblioteca dentro de um contêiner no runtime. Esse campo está no formato de string de data UTC (`2023-03-22T19:37:20.168Z`).
+ **Caminho da biblioteca**: o caminho para a nova biblioteca que foi carregada.
+ **Valor de LD Preload**: o valor da variável de ambiente `LD_PRELOAD`.
+ **Caminho do soquete**: o caminho para o soquete do Docker que foi acessado.
+ **Caminho do binário Runc**: o caminho para o binário `runc`.
+ **Caminho do agente de liberação**: o caminho para o arquivo do agente de liberação `cgroup`.
+ **Exemplo de linha de comando** — O exemplo da linha de comando envolvida na possível atividade suspeita.
+ **Categoria da ferramenta** — Categoria à qual a ferramenta pertence. Alguns dos exemplos são Backdoor Tool, Pentest Tool, Network Scanner e Network Sniffer.
+ **Nome da ferramenta** — O nome da ferramenta possivelmente suspeita.
+ **Caminho do script** — O caminho para o script executado que gerou a descoberta.
+ **Caminho do arquivo da ameaça** — O caminho suspeito cujos detalhes de inteligência contra ameaças foram encontrados.
+ **Nome do serviço** — O nome do serviço de segurança que foi desabilitado.
+ **Nome do módulo** – o nome do módulo carregado no kernel.
+ **Módulo SHA256** — O SHA256 hash do módulo.
+ **Caminho do arquivo do módulo** – o caminho para o módulo carregado no kernel.
## Detalhes de verificação de volumes do EBS
**nota**
Esta seção é aplicável às descobertas quando você ativa a verificação de GuardDuty malware iniciada em[Proteção contra malware para o EC2](malware-protection.md).
A análise de volumes do EBS fornece detalhes sobre o volume do EBS anexado à instância EC2 ou à workload do contêiner potencialmente comprometida.
+ **ID da verificação**: o identificador da verificação de malware.
+ **Verificação começou em**: a data e a hora em que a verificação de malware foi iniciado.
+ **Verificação concluída em**: a data e hora em que foi concluída a verificação de malware.
+ **Trigger Finding ID** — O ID de GuardDuty descoberta da descoberta que iniciou essa verificação de malware.
+ **Fontes** — Os valores potenciais são `Bitdefender` e `Amazon`.
Para obter mais informações sobre o mecanismo de verificação usado para detectar malware, consulte [GuardDuty mecanismo de verificação de detecção de malware](guardduty-malware-detection-scan-engine.md).
+ **Detecções de verificações**: a visão completa dos detalhes e resultados de cada verificação de malware.
+ **Contagem de itens verificados**: o número total de arquivos verificados. Fornece detalhes como `totalGb`, `files` e `volumes`.
+ **Contagem de itens detectados por ameaças**: o número total de `files` mal-intencionados detectados durante a verificação.
+ **Detalhes da ameaça de maior gravidade**: os detalhes da ameaça de maior gravidade detectada durante a verificação e o número de arquivos mal-intencionados. Fornece detalhes como `severity`, `threatName` e `count`.
+ **Ameaças detectadas por nome**: o elemento de contêiner que agrupa ameaças de todos os níveis de gravidade. Fornece detalhes como `itemCount`, `uniqueThreatNameCount`,`shortened` e `threatNames`.
## Detalhes de descobertas sobre a Proteção contra malware para EC2
**nota**
Esta seção é aplicável às descobertas quando você ativa a verificação de GuardDuty malware iniciada em[Proteção contra malware para o EC2](malware-protection.md).
Quando o escaneamento do Malware Protection for EC2 detecta malware, você pode visualizar os detalhes do escaneamento selecionando a descoberta correspondente na página **Descobertas** no [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console. A gravidade da descoberta do Malware Protection for EC2 depende da gravidade da GuardDuty descoberta.
As informações exibidas a seguir estão disponíveis na seção **Ameaças detectadas** no painel de detalhes.
+ **Nome**: o nome da ameaça, obtido ao agrupar os arquivos por detecção.
+ **Gravidade**: a gravidade da ameaça detectada.
+ **Hash**: o hash SHA-256 do arquivo.
+ **Caminho do arquivo**: a localização do arquivo mal-intencionado no volume do EBS.
+ **Nome do arquivo**: o nome do arquivo em que a ameaça foi detectada.
+ **ARN do volume**: o ARN dos volumes do EBS verificados.
As informações a seguir estão disponíveis na seção **Detalhes do verificação de malware** no painel de detalhes.
+ **ID de verificação**: o ID de verificação da verificação de malware.
+ **Verificação começou em**: a data e a hora em que a verificação foi iniciada.
+ **Verificação concluída em**: a data e a hora em que a verificação foi concluída.
+ **Arquivos verificados**: o número total de arquivos e diretórios verificados.
+ **Total de GB verificados**: a quantidade de armazenamento verificada durante o processo.
+ **ID de descoberta do gatilho** — O ID de GuardDuty descoberta da descoberta que iniciou essa verificação de malware.
+ As informações exibidas a seguir estão disponíveis na seção **Detalhes do volume** no painel de detalhes.
+ **ARN do volume**: o nome do recurso da Amazon (ARN) do volume.
+ **SnapshotARN**: o ARN do snapshot do volume do EBS.
+ **Status**: o status de verificação do volume, como`Running`, `Skipped` e `Completed`.
+ **Tipo de criptografia**: o tipo de criptografia usado para criptografar o volume. Por exemplo, .`CMCMK`
+ **Nome do dispositivo**: o nome do dispositivo. Por exemplo, .`/dev/xvda`
## Detalhes de descobertas sobre a Proteção contra malware para S3
Os seguintes detalhes do escaneamento de malware estão disponíveis quando você ativa o Malware Protection for S3 no seu Conta da AWS: GuardDuty
+ **Ameaças** — Uma lista das ameaças detectadas durante a verificação do malware.
**Várias ameaças potenciais em arquivos.**
Se você tiver um arquivo com várias ameaças potenciais, a Proteção contra Malware para S3 reportará somente a primeira ameaça detectada. Depois disso, o status da verificação é marcado como concluído. GuardDuty gera o tipo de descoberta associado e também envia EventBridge os eventos que ele gera. **Para obter mais informações sobre o monitoramento das varreduras de objetos do Amazon S3 usando os EventBridge eventos, consulte o exemplo de esquema de notificação para THREATS\$1FOUND em.** [Resultado da verificação de objetos do S3](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)
+ **Caminho do item** — Uma lista do caminho do item aninhado e dos detalhes de hash do objeto S3 escaneado.
+ **Caminho do item aninhado** — Caminho do item do objeto S3 escaneado em que a ameaça foi detectada.
O valor desse campo só estará disponível se o objeto de nível superior for um arquivo e se a ameaça for detectada dentro de um arquivo.
+ **Hash** — Hash da ameaça detectada nesta descoberta.
+ **Fontes** — Os valores potenciais são `Bitdefender` e `Amazon`.
Para obter mais informações sobre o mecanismo de verificação usado para detectar malware, consulte [GuardDuty mecanismo de verificação de detecção de malware](guardduty-malware-detection-scan-engine.md).
## Ação
A **Ação** de uma descoberta fornece detalhes sobre o tipo de atividade que acionou a descoberta. As informações disponíveis variam com base no tipo de ação.
**Tipo de ação**: o tipo de atividade de descoberta. ****Esse valor pode ser **NETWORK\$1CONNECTION, PORT\$1PROBE****, **DNS\$1REQUEST**, \$1CALL** ou RDS\$1LOGIN\$1ATTEMPT. AWS\$1API**** As informações disponíveis variam com base no tipo de ação:
+ **NETWORK\$1CONNECTION**: indica que o tráfego de rede foi trocado entre a instância do EC2 identificada e o host remoto. Esse tipo de ação tem as seguintes informações adicionais:
+ **Direção da conexão** — A direção da conexão de rede observada na atividade que levou GuardDuty à geração da descoberta. Os valores podem ser:
+ **INBOUND**: indica que um host remoto iniciou uma conexão a uma porta local na instância do EC2 identificada na conta.
+ **OUTBOUND**: indica que a instância do EC2 identificada iniciou uma conexão a um host remoto.
+ **DESCONHECIDO** — Indica que não GuardDuty foi possível determinar a direção da conexão.
+ **Protocolo** — O protocolo de conexão de rede observado na atividade que levou GuardDuty à geração da descoberta.
+ **IP local**: o endereço IP de origem original do tráfego que acionou a descoberta. Essas informações podem ser usadas para fazer a distinção entre o endereço IP de uma camada intermediária pela qual o tráfego flui e o endereço IP de origem original do tráfego que acionou a descoberta. Por exemplo, o endereço IP de um pod do EKS em oposição ao endereço IP da instância em que o pod do EKS está sendo executado.
+ **Bloqueado**: indica se a porta de destino está bloqueada.
+ **PORT\$1PROBE**: indica que um host remoto consultou a instância do EC2 identificada em várias portas abertas. Esse tipo de ação tem as seguintes informações adicionais:
+ **IP local**: o endereço IP de origem original do tráfego que acionou a descoberta. Essas informações podem ser usadas para fazer a distinção entre o endereço IP de uma camada intermediária pela qual o tráfego flui e o endereço IP de origem original do tráfego que acionou a descoberta. Por exemplo, o endereço IP de um pod do EKS em oposição ao endereço IP da instância em que o pod do EKS está sendo executado.
+ **Bloqueado**: indica se a porta de destino está bloqueada.
+ **DNS\$1REQUEST**: indica que a instância do EC2 identificada consultou um nome de domínio. Esse tipo de ação tem as seguintes informações adicionais:
+ **Protocolo** — O protocolo de conexão de rede observado na atividade que levou GuardDuty à geração da descoberta.
+ **Bloqueado**: indica se a porta de destino está bloqueada.
+ **AWS\$1API\$1CALL** — Indica que uma AWS API foi invocada. Esse tipo de ação tem as seguintes informações adicionais:
+ **API** — O nome da operação de API que foi invocada e, portanto, solicitada GuardDuty para gerar essa descoberta.
**nota**
Essas operações também podem incluir eventos que não são de API capturados pelo AWS CloudTrail. Para obter mais informações, consulte [Eventos não relacionados à API capturados por CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html).
+ **Agente do usuário**: o agente do usuário que fez a solicitação da API. Esse valor informa se a chamada foi feita a partir do Console de gerenciamento da AWS, AWS de um serviço AWS SDKs, do ou do AWS CLI.
+ **CÓDIGO DE ERRO**: se a descoberta foi acionada por uma falha na chamada de API, o código de erro dessa chamada será exibido.
+ **Nome do serviço**: o nome DNS do serviço que tentou fazer a chamada de API que acionou a descoberta.
+ **RDS\$1LOGIN\$1ATTEMPT**: indica que foi feita uma tentativa de login no banco de dados potencialmente comprometido de um endereço IP remoto.
+ **Endereço IP**: o endereço IP remoto usado para fazer a tentativa de login potencialmente suspeita.
## Agente ou destino
Uma descoberta terá uma seção **Agente** se a **Função do recurso** for `TARGET`. Isso indicará que o recurso foi alvo de atividades suspeitas, e a seção **Agente** apresentará detalhes sobre a entidade que apontou para o recurso.
Uma descoberta terá uma seção **Destino** se a **Função do recurso** for `ACTOR`. Isso indica que o recurso estava envolvido em atividades suspeitas em um host remoto, e essa seção contém informações sobre o IP e/ou domínio para o qual o recurso apontou.
As informações disponíveis em uma seção **Agente** ou **Destino** podem incluir:
+ **Afiliado** — Detalhes sobre se a AWS conta do chamador remoto da API está relacionada ao seu GuardDuty ambiente. Se esse valor for `true`, o chamador da API está afiliado à sua conta de alguma forma. Se for `false`, o chamador da API é de fora do seu ambiente.
+ **ID da conta remota**: o ID da conta que possui o endereço IP de saída usado para acessar o recurso na rede final.
+ **Endereço IP** — O endereço IP envolvido na atividade que levou GuardDuty à geração da descoberta.
+ **Localização** — Informações de localização do endereço IP envolvido na atividade que levou GuardDuty à geração da descoberta.
+ **Organização** — informações da organização do ISP sobre o endereço IP envolvido na atividade que levou GuardDuty à geração da descoberta.
+ **Porta** — O número da porta envolvida na atividade que levou GuardDuty à geração da descoberta.
+ **Domínio** — O domínio envolvido na atividade que levou GuardDuty à geração da descoberta.
+ **Domínio com sufixo** — O domínio de segundo e primeiro nível envolvido em uma atividade que potencialmente levou GuardDuty à geração da descoberta. Para obter uma lista de domínios de primeiro e segundo nível, consulte a lista [pública](https://publicsuffix.org/) de sufixos.
## Detalhes de geolocalização
GuardDuty determina a localização e a rede das solicitações usando bancos de dados MaxMind GeoIP. MaxMind relata uma precisão muito alta de seus dados em nível de país, embora a precisão varie de acordo com fatores como país e tipo de endereço IP.
Para obter mais informações sobre MaxMind, consulte [Geolocalização MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Se você acredita que algum dos dados do GeoIP está incorreto, envie uma solicitação de correção para MaxMind Correct [MaxMindIP2 Geo](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Data.
## Mais informações
Todas as descobertas têm uma seção **Informações adicionais** que pode incluir as seguintes informações:
+ **Nome da lista de ameaças** — O nome da lista de ameaças que inclui o endereço IP ou o nome de domínio envolvido na atividade que levou GuardDuty à geração da descoberta.
+ **Amostra**: um valor verdadeiro ou falso que indica se é uma descoberta de amostra.
+ **Arquivada**: um valor verdadeiro ou falso que indica se essa descoberta foi arquivada.
+ **Incomum**: detalhes da atividade que não foram observados historicamente. Eles podem incluir um usuário, local, hora, bucket, comportamento de login ou ASN Org incomum (não observado anteriormente).
+ **Protocolo incomum** — O protocolo de conexão de rede envolvido na atividade que levou GuardDuty à geração da descoberta.
+ **Detalhes do agente**: detalhes sobre o agente de segurança que está atualmente implantado no cluster do EKS em sua Conta da AWS. Isso só se aplica aos tipos de descoberta do Monitoramento de runtime do EKS.
+ **Versão do agente** — A versão do agente GuardDuty de segurança.
+ **ID do agente** — O identificador exclusivo do agente GuardDuty de segurança.
## Evidência
As descobertas baseadas na inteligência de ameaças têm uma seção **Evidência** que inclui as seguintes informações:
+ **Detalhes da inteligência de ameaças**: o nome da lista de ameaças na qual o `Threat name` reconhecido aparece.
+ **Nome da ameaça**: o nome da família de malware, ou outro identificador, associado à ameaça.
+ **Arquivo de ameaças SHA256** — SHA256 do arquivo que gerou a descoberta.
## Comportamento anômalo
Os tipos de descobertas que terminam em **AnomalousBehavior**indicam que a descoberta foi gerada pelo modelo de aprendizado de máquina (ML) de detecção de GuardDuty anomalias. O modelo de machine learning avalia todas as solicitações de API para sua conta e identifica eventos anômalos associados às táticas usadas pelos adversários. O modelo de machine learning rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada.
Detalhes sobre quais fatores da solicitação de API são incomuns para a identidade CloudTrail do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta. As identidades são definidas pelo elemento [ CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) e os valores possíveis são`Root`:`IAMUser`,,, `AssumedRole` `FederatedUser``AWSAccount`, ou. `AWSService`
Além dos detalhes disponíveis para todas as GuardDuty descobertas associadas à atividade da API, **AnomalousBehavior**as descobertas têm detalhes adicionais que são descritos na seção a seguir. É possível visualizar esses detalhes no console e eles também estão disponíveis no JSON da descoberta.
+ **Anômalo APIs** — Uma lista de solicitações de API que foram invocadas pela identidade do usuário nas proximidades da solicitação de API primária associada à descoberta. Esse painel traz ainda mais detalhes do evento da API das maneiras a seguir.
+ A primeira API listada é a API primária, que é a solicitação de API associada à atividade de maior risco observada. Essa é a API que acionou a descoberta e se correlaciona ao estágio de ataque do tipo de descoberta. Essa também é a API detalhada na seção **Ação** do console e no JSON da descoberta.
+ Todas as outras APIs listadas são mais anômalas em APIs relação à identidade de usuário listada observada nas proximidades da API primária. Se houver apenas uma API na lista, o modelo de machine learning não identificou nenhuma solicitação de API adicional dessa identidade de usuário como anômala.
+ A lista de APIs é dividida com base no fato de uma API ter sido **chamada com sucesso** ou se a API foi chamada sem sucesso, o que significa que uma resposta de erro foi recebida. O tipo de resposta de erro recebida está listado acima de cada API chamada sem êxito. Os possíveis tipos de resposta de erro são: `access denied`, `access denied exception`, `auth failure`, `instance limit exceeded`, `invalid permission - duplicate`, `invalid permission - not found` e `operation not permitted`.
+ APIs são categorizados pelo serviço associado.
+ Para obter mais contexto, escolha **Histórico APIs** para ver os detalhes sobre o topo APIs, até um máximo de 20, geralmente vistos tanto para a identidade do usuário quanto para todos os usuários da conta. Eles APIs são marcados como **Raros (menos de uma vez por mês)**, **Infrequentes (algumas vezes por mês)** ou **Frequentes (diariamente a semanalmente)**, dependendo da frequência com que são usados em sua conta.
+ **Comportamento incomum (conta)**: esta seção fornece detalhes adicionais sobre o comportamento descrito para a conta.
**Comportamento de perfil**
GuardDuty aprende continuamente sobre as atividades em sua conta com base nos eventos entregues. Essas atividades e sua frequência observada são conhecidas como comportamento de perfil.
As informações rastreadas nesse painel incluem:
+ **ASN Org**: o número de sistema autônomo (ASN) da Org da qual a chamada de API anômala foi feita.
+ **Nome de usuário**: o nome do usuário que fez a chamada de API anômala.
+ **Agente do usuário**: o agente do usuário usado para fazer a chamada de API anômala. O agente do usuário é o método usado para fazer a chamada, como `aws-cli` ou `Botocore`.
+ **Tipo de usuário**: o tipo de usuário que fez a chamada de API anômala. Os valores possíveis são `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` ou `ROLE`.
+ **Bucket**: o nome do bucket do S3 que está sendo acessado.
+ **Comportamento incomum (identidade do usuário)**: esta seção fornece detalhes adicionais sobre o comportamento descrito para a **identidade do usuário** envolvida na descoberta. Quando um comportamento não é identificado como histórico, isso significa que o modelo de GuardDuty ML não viu anteriormente essa identidade de usuário fazendo essa chamada de API dessa forma durante o período de treinamento. Estes detalhes adicionais sobre a **identidade do usuário** estão disponíveis:
+ **ASN Org**: o ASN Org do qual a chamada de API anômala foi feita.
+ **Agente do usuário**: o agente do usuário usado para fazer a chamada de API anômala. O agente do usuário é o método usado para fazer a chamada, como `aws-cli` ou `Botocore`.
+ **Bucket**: o nome do bucket do S3 que está sendo acessado.
+ **Comportamento incomum (bucket)**: esta seção fornece detalhes adicionais sobre o comportamento perfilado do bucket do S3 associado à descoberta. Quando um comportamento não é identificado como histórico, isso significa que o modelo de GuardDuty ML não viu anteriormente chamadas de API feitas para esse bucket dessa forma durante o período de treinamento. As informações rastreadas nessa seção incluem:
+ **ASN Org**: o ASN Org do qual a chamada de API anômala foi feita.
+ **Nome de usuário**: o nome do usuário que fez a chamada de API anômala.
+ **Agente do usuário**: o agente do usuário usado para fazer a chamada de API anômala. O agente do usuário é o método usado para fazer a chamada, como `aws-cli` ou `Botocore`.
+ **Tipo de usuário**: o tipo de usuário que fez a chamada de API anômala. Os valores possíveis são `AWS_SERVICE`, `ASSUMED_ROLE`, `IAM_USER` ou `ROLE`.
**nota**
Para obter mais contexto sobre comportamentos históricos, selecione **Comportamento histórico** na seção **Comportamento incomum (conta)**, **ID de usuário** ou **Bucket** para ver detalhes sobre o comportamento esperado em sua conta para cada uma das seguintes categorias: **Raro (menos de uma vez por mês)**, **Infrequente (algumas vezes por mês)** ou **Frequente (diário ou semanal)**, dependendo da frequência em que são usados em sua conta.
+ **Comportamento incomum (banco de dados)**: essa seção fornece detalhes adicionais sobre o comportamento perfilado da instância do banco de dados associada à descoberta. Quando um comportamento não é identificado como histórico, isso significa que o modelo de GuardDuty ML não viu anteriormente uma tentativa de login feita nessa instância de banco de dados dessa forma durante o período de treinamento. As informações rastreadas para essa seção no painel de descoberta incluem:
+ **Nome de usuário**: o nome de usuário usado para fazer a tentativa anômala de login.
+ **ASN Org**: o ASN Org da qual a tentativa anômala de login foi feita.
+ **Nome da aplicação**: o nome da aplicação usada para fazer a tentativa anômala de login.
+ **Nome do banco de dados**: o nome da instância do banco de dados envolvida na tentativa de login anômala.
A seção **Comportamento histórico** fornece mais contexto sobre os **nomes de usuário**, **ASN Orgs**, **nomes de aplicações** e **nomes de bancos de dados** observados anteriormente para o banco de dados associado. Cada valor exclusivo possui uma contagem associada que representa o número de vezes que esse valor foi observado em um evento de login bem-sucedido.
+ **Comportamento incomum (cluster do Kubernetes da conta, namespace do Kubernetes e nome de usuário do Kubernetes)**: essa seção fornece mais detalhes sobre o comportamento do perfil do cluster e do namespace do Kubernetes associado à descoberta. Quando um comportamento não é identificado como histórico, isso significa que o modelo de GuardDuty ML não observou anteriormente essa conta, cluster, namespace ou nome de usuário dessa forma. As informações rastreadas para essa seção no painel de descoberta incluem:
+ **Nome de usuário**: o usuário que chamou a API do Kubernetes associada à descoberta.
+ **Nome do usuário personificado**: o usuário que está sendo personificado por `username`.
+ **Namespace**: o namespace do Kubernetes dentro do cluster Amazon EKS em que a ação ocorreu.
+ **Agente do usuário**: o agente do usuário associado à chamada de API do Kubernetes. O agente do usuário é o método usado para fazer a chamada, como `kubectl`.
+ **API**: a API do Kubernetes chamada pelo `username` dentro do cluster do Amazon EKS.
+ **Informações de ASN**: as informações de ASN, como organização e ISP, associadas ao endereço IP do usuário que está fazendo essa chamada.
+ **Dia da semana**: o dia da semana em que a chamada de API do Kubernetes foi feita.
+ **Permissão**: o verbo e o recurso do Kubernetes que estão sendo verificados quanto ao acesso para indicar se o `username` pode ou não usar a API do Kubernetes.
+ **Nome da conta de serviço**: a conta de serviço associada à workload do Kubernetes que fornece uma identidade à workload.
+ **Registro**: o registro do contêiner associado à imagem do contêiner que é implantada na workload do Kubernetes.
+ **Imagem**: a imagem do contêiner, sem as tags e o resumo associados, que é implantada na workload do Kubernetes.
+ **Configuração de prefixo de imagem**: o prefixo da imagem com o contêiner e a configuração de segurança da workload habilitados, como `hostNetwork` ou `privileged`, para o contêiner que usa a imagem.
+ **Nome do assunto**: os assuntos, como um `user`, `group` ou `serviceAccountName` que estão vinculados a uma função de referência em um `RoleBinding` ou `ClusterRoleBinding`.
+ **Nome da função**: o nome da função envolvida na criação ou modificação das funções ou da API `roleBinding`.
### Anomalias com base em volume do S3
Esta seção detalha as informações contextuais relacionadas a anomalias baseadas em volume do S3. A descoberta baseada em volume ([Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior)) monitora números incomuns de chamadas de API do S3 feitas aos buckets do S3 pelos usuários, indicando uma possível exfiltração de dados. As chamadas de API do S3 a seguir são monitoradas em relação à detecção de anomalias com base em volume.
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`
As métricas a seguir ajudariam a criar uma linha de base do comportamento normal quando uma entidade do IAM acessa um bucket do S3. Para detectar a exfiltração de dados, a descoberta de detecção de anomalias com base em volume avalia todas as atividades em relação à linha de base comportamental usual. Selecione **Comportamento histórico** nas seções **Comportamento incomum (identidade do usuário)**, **Volume observado (identidade do usuário)** e **Volume observado (bucket)** para visualizar as seguintes métricas, respectivamente.
+ Número de chamadas da API `s3-api-name` invocadas pelo usuário do IAM ou pelo perfil do IAM (depende de qual deles foi emitido) associados ao bucket do S3 afetado nas últimas 24 horas.
+ Número de chamadas da API `s3-api-name` invocadas pelo usuário do IAM ou pelo perfil do IAM (depende de qual deles foi emitido) associados a todos os buckets do S3 nas últimas 24 horas.
+ Número de chamadas da API `s3-api-name` em todos os usuários ou perfis do IAM (depende de qual deles foi emitido) associados ao bucket do S3 afetado nas últimas 24 horas.
### Anomalias baseadas na atividade de login do RDS
Esta seção detalha a contagem de tentativas de login realizadas pelo agente incomum e é agrupada pelo resultado das tentativas de login. Os [Tipos de descoberta da Proteção do RDS](findings-rds-protection.md) identificam comportamentos anômalos monitorando os eventos de login em busca de padrões incomuns de `successfulLoginCount`, `failedLoginCount` e `incompleteConnectionCount`.
+ **successfulLoginCount**— Esse contador representa a soma das conexões bem-sucedidas (combinação correta de atributos de login) feitas na instância do banco de dados pelo ator incomum. Os atributos de login incluem o nome de usuário, a senha e o nome do banco de dados.
+ **failedLoginCount**— Esse contador representa a soma das tentativas de login malsucedidas feitas para estabelecer uma conexão com a instância do banco de dados. Isso indica que um ou mais atributos da combinação de login, como o nome de usuário, a senha ou o nome do banco de dados, estavam incorretos.
+ **incompleteConnectionCount**— Esse contador representa o número de tentativas de conexão que não podem ser classificadas como bem-sucedidas ou malsucedidas. Essas conexões são encerradas antes que o banco de dados forneça uma resposta. Por exemplo, verificação de portas em que a porta do banco de dados está conectada, mas nenhuma informação é enviada ao banco de dados, ou a conexão foi interrompida antes que o login fosse concluído em uma tentativa bem-sucedida ou malsucedida.
# GuardDuty encontrando agregação
GuardDuty atualiza dinamicamente as descobertas geradas. Se GuardDuty detectar uma nova atividade relacionada ao mesmo problema de segurança, em vez de criar uma nova descoberta, GuardDuty atualizará a descoberta original com os detalhes mais recentes. Esse comportamento permite que os problemas em andamento sejam identificados, sem a necessidade de examinar vários relatórios semelhantes, e reduz o volume geral de descobertas para problemas de segurança conhecidos.
Por exemplo, para uma descoberta UnauthorizedAccess:EC2/SSHBruteForce, múltiplas tentativas de acesso à sua instância serão agregadas ao mesmo ID da descoberta, aumentando o número da **Contagem** nos detalhes da descoberta. Isso ocorre porque essa descoberta representa um único problema de segurança com a instância, indicando que a porta SSH da instância não está adequadamente protegida contra esse tipo de atividade. No entanto, se o GuardDuty detectar uma atividade de acesso SSH direcionada a uma nova instância no ambiente, ele criará uma nova descoberta com um ID de descoberta exclusivo para alertar você sobre o fato de que há um problema de segurança associado ao novo recurso.
Quando uma descoberta é agregada, ela é atualizada com as informações da última ocorrência dessa atividade. Quando uma descoberta é agregada, ela é atualizada com as informações da ocorrência mais recente dessa atividade, o que significa que, no exemplo acima, se sua instância for alvo de uma tentativa de força bruta de um novo ator, os detalhes da descoberta serão atualizados para refletir o IP remoto da fonte mais recente e as informações mais antigas serão substituídas. Informações completas sobre tentativas de atividades individuais ainda estarão disponíveis nos seus CloudTrail registros ou nos registros de fluxo da VPC.
Os critérios que alertam GuardDuty para gerar uma nova descoberta em vez de agregar uma existente dependem do tipo de descoberta. Os critérios de agregação para cada tipo de descoberta são determinados por nossos engenheiros de segurança para fornecer uma visão geral de diferentes problemas de segurança na sua conta.
Quando GuardDuty gera um tipo de descoberta de sequência de ataque em sua conta, a descoberta será agregada somente quando você GuardDuty identificar os sinais semelhantes na mesma sequência em sua conta. Caso contrário, GuardDuty gerará outra sequência de ataque.