本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# GuardDuty 查找类型
发现是在检测到您的可疑或恶意活动的迹象时 GuardDuty 生成的通知 AWS 账户。 GuardDuty 在已启用的账户中生成查找结果 GuardDuty。
有关对 GuardDuty 查找结果类型进行重要更改(包括新添加或已停用的查找类型)的信息,请参见[Amazon 的文档历史记录 GuardDuty](doc-history.md)。
有关查找现已停用的类型的信息,请参阅 [停用的调查发现类型](guardduty_finding-types-retired.md)。
# GuardDuty EC2 查找类型
以下调查发现专门针对 Amazon EC2 资源,以及始终具有 `Instance` 的资源类型。调查发现的严重性和详细信息因资源角色而异,指示 EC2 资源是可疑活动的目标还是执行活动的威胁行为者。
此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关数据来源和模型的更多信息,请参阅 [GuardDuty 基础数据源](guardduty_data-sources.md)。
**注意**
如果实例已经终止,或者底层 API 调用源自不同区域的 EC2 实例,则 EC2 调查发现可能缺失实例详细信息。
使用 VPC 流日志作为数据源的 EC2 发现不支持 IPv6 流量。
对于所有 EC2 调查发现,建议您检查相关资源以确定其行为是否符合预期。如果活动已获得授权,则可以使用抑制规则或可信 IP 列表,来防止该资源的误报通知。如果活动是意外活动,则安全的最佳实践是假定实例已被盗用,并执行 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md) 中详述的操作。
**Topics**
+ [Backdoor:EC2/C&CActivity.B](#backdoor-ec2-ccactivityb)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Tcp](#backdoor-ec2-denialofservicetcp)
+ [Backdoor:EC2/DenialOfService.Udp](#backdoor-ec2-denialofserviceudp)
+ [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](#backdoor-ec2-denialofserviceudpontcpports)
+ [Backdoor:EC2/DenialOfService.UnusualProtocol](#backdoor-ec2-denialofserviceunusualprotocol)
+ [Backdoor:EC2/Spambot](#backdoor-ec2-spambot)
+ [Behavior:EC2/NetworkPortUnusual](#behavior-ec2-networkportunusual)
+ [Behavior:EC2/TrafficVolumeUnusual](#behavior-ec2-trafficvolumeunusual)
+ [CryptoCurrency:EC2/BitcoinTool.B](#cryptocurrency-ec2-bitcointoolb)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](#cryptocurrency-ec2-bitcointoolbdns)
+ [DefenseEvasion:EC2/UnusualDNSResolver](#defenseevasion-ec2-unusualdnsresolver)
+ [DefenseEvasion:EC2/UnusualDoHActivity](#defenseevasion-ec2-unsualdohactivity)
+ [DefenseEvasion:EC2/UnusualDoTActivity](#defenseevasion-ec2-unusualdotactivity)
+ [Impact:EC2/AbusedDomainRequest.Reputation](#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Custom](#impact-ec2-maliciousdomainrequest-custom)
+ [Impact:EC2/PortSweep](#impact-ec2-portsweep)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](#impact-ec2-suspiciousdomainrequestreputation)
+ [Impact:EC2/WinRMBruteForce](#impact-ec2-winrmbruteforce)
+ [Recon:EC2/PortProbeEMRUnprotectedPort](#recon-ec2-portprobeemrunprotectedport)
+ [Recon:EC2/PortProbeUnprotectedPort](#recon-ec2-portprobeunprotectedport)
+ [Recon:EC2/Portscan](#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic](#trojan-ec2-blackholetraffic)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.B](#trojan-ec2-dgadomainrequestb)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint](#trojan-ec2-droppoint)
+ [Trojan:EC2/DropPoint\$1DNS](#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](#unauthorizedaccess-ec2-maliciousipcallercustom)
+ [UnauthorizedAccess:EC2/MetadataDNSRebind](#unauthorizedaccess-ec2-metadatadnsrebind)
+ [UnauthorizedAccess:EC2/RDPBruteForce](#unauthorizedaccess-ec2-rdpbruteforce)
+ [UnauthorizedAccess:EC2/SSHBruteForce](#unauthorizedaccess-ec2-sshbruteforce)
+ [UnauthorizedAccess:EC2/TorClient](#unauthorizedaccess-ec2-torclient)
+ [UnauthorizedAccess:EC2/TorRelay](#unauthorizedaccess-ec2-torrelay)
## Backdoor:EC2/C&CActivity.B
### EC2 实例正在查询与已知命令和控制服务器关联的 IP。
**默认严重级别:高**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的实例,正在查询与已知命令和控制(C&C)服务器关联的 IP。列出的实例可能被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。
僵尸网络是一组联网的设备,其中可能包括服务器 PCs、移动设备和物联网设备,这些设备被一种常见的恶意软件感染和控制。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的目的和结构,C&C 服务器还可能发出命令开始分布式拒绝服务 (DDoS) 攻击。
**注意**
如果查询的 IP 与 log4j 相关,则相关调查发现的字段将包含以下值:
服务。附加信息。 threatListName = 亚马逊
service.additionalInfo.threatName = Log4j Related
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Backdoor:EC2/C&CActivity.B\$1DNS
### EC2 实例正在查询与已知命令和控制服务器关联的域名。
**默认严重级别:高**
+ **数据来源:**DNS 日志
此调查发现通知您,您 AWS 环境中列出的实例,正在查询与已知命令和控制(C&C)服务器关联的域名。列出的实例可能被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。
僵尸网络是一组联网的设备,其中可能包括服务器 PCs、移动设备和物联网设备,这些设备被一种常见的恶意软件感染和控制。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的目的和结构,C&C 服务器还可能发出命令开始分布式拒绝服务 (DDoS) 攻击。
**注意**
如果查询的域名与 log4j 相关,则相关调查发现的字段将包含以下值:
服务。附加信息。 threatListName = 亚马逊
service.additionalInfo.threatName = Log4j Related
**注意**
要测试如何 GuardDuty 生成此发现类型,您可以针对测试域从您的实例(使用`dig`适用于 Linux 或 `nslookup` Windows)发出 DNS 请求`guarddutyc2activityb.com`。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Backdoor:EC2/DenialOfService.Dns
### EC2 实例的行为方式可能表明该实例正被用于使用 DNS 协议执行拒绝服务(DoS)攻击。
**默认严重级别:高**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例,正在生成大量出站 DNS 流量。这可能表明列出的实例已遭到入侵,并被用来使用 DNS 协议执行 denial-of-service (DoS) 攻击。
**注意**
此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Backdoor:EC2/DenialOfService.Tcp
### EC2 实例的行为方式表明该实例正被正用于使用 TCP 协议执行拒绝服务(DoS)攻击。
**默认严重级别:高**
+ **数据来源:**VPC 流日志
此调查发现通知您,您的 AWS 环境中列出的 EC2 实例,正在生成大量出站 TCP 流量。这可能表明该实例已遭到入侵并被用来使用 TCP 协议执行 denial-of-service (DoS) 攻击。
**注意**
此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Backdoor:EC2/DenialOfService.Udp
### EC2 实例的行为方式表明该实例正被用于使用 UDP 协议执行拒绝服务(DoS)攻击。
**默认严重级别:高**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例,正在生成大量出站 UDP 流量。这可能表明列出的实例已遭到入侵,并被用来使用 UDP 协议执行 denial-of-service (DoS) 攻击。
**注意**
此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Backdoor:EC2/DenialOfService.UdpOnTcpPorts
### EC2 实例的行为方式可能表明该实例正被用于在 TCP 端口上使用 UDP 协议执行拒绝服务(DoS)攻击。
**默认严重级别:高**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例,正在生成大量出站 UDP 流量,该流量针对通常用于 TCP 通信的端口。这可能表明列出的实例已遭到入侵,并被用来在 TCP 端口上使用 UDP 协议执行 denial-of-service (DoS) 攻击。
**注意**
此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Backdoor:EC2/DenialOfService.UnusualProtocol
### EC2 实例的行为方式可能表明该实例正被用于使用不寻常协议执行拒绝服务(DoS)攻击。
**默认严重级别:高**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例正在生成大量来自异常协议类型的出站流量,EC2 实例通常不会使用该协议类型,例如 Internet 组管理协议。这可能表明该实例已遭到入侵,并被用来使用异常协议执行 denial-of-service (DoS) 攻击。此调查发现仅针对公共路由 IP 地址检测 DoS 攻击,这是 DoS 攻击的主要目标。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Backdoor:EC2/Spambot
### EC2 实例表现出不正常的行为,在端口 25 上与远程主机通信。
**默认严重级别:中**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例在端口 25 上与远程主机通信。这是异常行为,因为此 EC2 实例以前没有在端口 25 上通信的历史记录。端口 25 通常由电子邮件服务器用于 SMTP 通信。此调查发现表明 EC2 实例可能已遭盗用,并用于发送垃圾邮件。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Behavior:EC2/NetworkPortUnusual
### EC2 实例在异常服务器端口上与远程主机通信。
**默认严重级别:中**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例表现出的行为,偏离了所建立的基准。此 EC2 实例以前没有在该远程端口上通信的历史记录。
**注意**
如果 EC2 实例通过端口 389 或端口 1389 进行通信,则关联的调查发现严重级别将修改为“高”,并且调查发现字段将包含以下值:
service.additionalInfo.context = Possible log4j callback
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Behavior:EC2/TrafficVolumeUnusual
### EC2 实例正在生成异常大量的网络流量到远程主机。
**默认严重级别:中**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例表现出的行为,偏离了所建立的基准。此 EC2 实例以前没有发送这种大量流量到该远程主机的历史记录。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## CryptoCurrency:EC2/BitcoinTool.B
### EC2 实例正在查询与加密货币相关活动关联的 IP 地址。
**默认严重级别:高**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例,正在查询与比特币或其他加密货币相关活动关联的 IP 地址。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的高度追捧。
**修复建议:**
如果您使用此 EC2 实例挖掘或管理加密货币,或此实例涉及区块链活动,则该调查发现可能是您环境的预期活动。如果您的 AWS 环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `CryptoCurrency:EC2/BitcoinTool.B`。第二个筛选条件应是实例的**实例 ID**,该实例涉及区块链活动。要了解有关创建抑制规则的更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。
如果此活动是意外活动,则您的实例可能被盗用,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## CryptoCurrency:EC2/BitcoinTool.B\$1DNS
### EC2 实例正在查询与加密货币相关活动关联的域名。
**默认严重级别:高**
+ **数据来源:**DNS 日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例,正在查询与比特币或其他加密货币相关活动关联的域名。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的高度追捧。
**修复建议:**
如果您使用此 EC2 实例挖掘或管理加密货币,或此实例涉及区块链活动,则该调查发现可能是您环境的预期活动。如果您的 AWS 环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `CryptoCurrency:EC2/BitcoinTool.B!DNS`。第二个筛选条件应是实例的**实例 ID**,该实例涉及区块链活动。要了解有关创建抑制规则的更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。
如果此活动是意外活动,则您的实例可能被盗用,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## DefenseEvasion:EC2/UnusualDNSResolver
### Amazon EC2 实例正在与异常的公有 DNS 解析器通信。
**默认严重级别:中**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 Amazon EC2 实例表现出的行为,偏离了基准行为。此 EC2 实例最近没有与该公有 DNS 解析器通信的历史记录。 GuardDuty 控制台中查找详细信息面板中的 “**异常**” 字段可以提供有关所查询的 DNS 解析器的信息。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## DefenseEvasion:EC2/UnusualDoHActivity
### Amazon EC2 实例正在执行异常的 DNS over HTTPS(DoH)通信。
**默认严重级别:中**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 Amazon EC2 实例表现出的行为,偏离了所建立的基准。此 EC2 实例没有任何与该公共 DoH 服务器进行 DNS over HTTPS(DoH)通信的最新历史记录。调查发现详细信息中的**异常**字段,可提供有关所查询的 DoH 服务器的信息。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## DefenseEvasion:EC2/UnusualDoTActivity
### Amazon EC2 实例正在执行异常的 DNS over TLS(DoT)通信。
**默认严重级别:中**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例表现出的行为,偏离了所建立的基准。此 EC2 实例没有任何与该公共 DoT 服务器进行 DNS over TLS(DoT)通信的最新历史记录。调查发现详细信息面板中的**异常**字段,可提供有关所查询的 DoT 服务器的信息。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Impact:EC2/AbusedDomainRequest.Reputation
### EC2 实例正在查询与已知滥用域关联的低信誉域名。
**默认严重级别:中**
+ **数据来源:**DNS 日志
此调查发现通知您,您 AWS 环境中列出的 Amazon EC2 实例,正在查询与已知滥用域或滥用 IP 地址相关联的低信誉域。滥用域的示例:提供免费子域注册的顶级域名(TLD)和二级域名(2LD),以及动态 DNS 提供商。威胁行为者往往利用这些服务免费或低成本注册域名。这类低信誉域也可能是解析到注册商 Parking IP 地址的过期域,因此可能不再处于活跃状态。Parking IP 是注册商为未链接到任何服务的域引导流量的位置。由于威胁行为者通常使用这些注册商或服务进行 C&C 和恶意软件分发,因此列出的 Amazon EC2 实例可能会被盗用。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Impact:EC2/BitcoinDomainRequest.Reputation
### EC2 实例正在查询与加密货币相关活动关联的低信誉域名。
**默认严重级别:高**
+ **数据来源:**DNS 日志
此调查发现通知您,您 AWS 环境中列出的 Amazon EC2 实例,正在查询与比特币或其他加密货币相关活动相关联的低信誉域名。比特币是一种全球性的加密货币和数字支付系统,可以兑换成其他货币、产品和服务。比特币是比特币挖矿的奖励,受到威胁行为者的高度追捧。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
**修复建议:**
如果您使用此 EC2 实例挖掘或管理加密货币,或此实例涉及区块链活动,则该调查发现可能表示您环境的预期活动。如果您的 AWS 环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `Impact:EC2/BitcoinDomainRequest.Reputation`。第二个筛选条件应是实例的**实例 ID**,该实例涉及区块链活动。要了解有关创建抑制规则的更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。
如果此活动是意外活动,则您的实例可能被盗用,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Impact:EC2/MaliciousDomainRequest.Reputation
### EC2 实例正在查询与已知恶意域关联的低信誉域。
**默认严重级别:高**
+ **数据来源:**DNS 日志
此调查发现通知您,您 AWS 环境中列出的 Amazon EC2 实例,正在查询与已知恶意域或恶意 IP 地址相关联的低信誉域。例如,域可能与已知的陷穴 IP 地址相关联。Sinkholed 域是以前由威胁行为者控制的域,如果向该域发出请求则可能表明该实例已被盗用。这些域也可能与已知的恶意活动或域生成算法相关。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Impact:EC2/MaliciousDomainRequest.Custom
### EC2 实例正在查询自定义威胁实体列表中的域。
**默认严重级别:中**
+ **数据来源:**DNS 日志
此调查发现告知您, AWS 环境中列出的 Amazon EC2 实例正在查询您上传和激活的威胁实体列表中包含的域名。在中 GuardDuty,威胁实体列表由已知的恶意域名和 IP 地址组成。 GuardDuty 根据与上传的威胁实体列表相关的活动生成调查结果。可以在调查发现详细信息中查看威胁实体列表的名称。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Impact:EC2/PortSweep
### EC2 实例正在探测大量 IP 地址上的端口。
**默认严重级别:高**
+ **数据来源:**VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例正在探测大量可公开路由的 IP 地址上的端口。此类活动通常用于查找易受攻击的主机。在 GuardDuty 控制台的查找详细信息面板中,仅显示最新的远程 IP 地址
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Impact:EC2/SuspiciousDomainRequest.Reputation
### EC2 实例正在查询低信誉域名,该域名由于过时或受欢迎程度低而具有可疑性。
**默认严重级别:低**
+ **数据来源:**DNS 日志
此调查发现通知您,您 AWS 环境中列出的 Amazon EC2 实例,正在查询疑似恶意的低信誉域名。我们注意到该域的特征与之前观察到的恶意域一致,但我们的信誉模型无法将其与已知威胁明确关联起来。这些域通常是新近观察到的,或者接收到的流量较少。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Impact:EC2/WinRMBruteForce
### EC2 实例正在执行出站 Windows 远程管理暴力攻击。
**默认严重级别:低\$1**
**注意**
如果您的 EC2 实例是暴力攻击的目标,则此调查发现的严重级别为“低”。如果您的 EC2 实例是用于执行暴力攻击的攻击者,则此调查发现的严重级别为“高”。
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例,正在执行 Windows 远程管理(WinRM)暴力攻击,目的是在基于 Windows 的系统上访问 Windows 远程管理服务。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Recon:EC2/PortProbeEMRUnprotectedPort
### 已知恶意主机在探测 EC2 实例的一个未受保护的 EMR 相关端口。
**默认严重级别:高**
+ **数据来源:**VPC 流日志
这一发现告诉您,列出的 EC2 实例上与EMR相关的敏感端口是 AWS 您环境中集群的一部分,未被安全组、访问控制列表 (ACL) 或主机上的防火墙(例如 Linux)阻止。 IPTables此调查发现还表明互联网上的已知扫描器正在积极地探测该端口。可触发此调查发现的端口可能被用于远程代码执行,例如端口 8088(YARN Web UI 端口)。
**修复建议:**
您应阻止集群上的端口接受来自 Internet 的公开访问,并将访问限制为必须访问这些端口的特定 IP 地址。有关更多信息,请参阅 [EMR 集群的安全组](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html)。
## Recon:EC2/PortProbeUnprotectedPort
### 已知恶意主机在探测 EC2 实例的一个未受保护端口。
**默认严重级别:低\$1**
**注意**
此调查发现的默认严重级别为“低”。但是,如果被探测的端口是供 Elasticsearch(9200 或 9300)使用的,则调查发现的严重性将为高。
+ **数据来源:**VPC 流日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例上的端口未被安全组、访问控制列表 (ACL) 或主机防火墙(例如 Linux)阻止 IPTables,并且互联网上的已知扫描程序正在积极探测该端口。
如果确定的未受保护端口为 22 或 3389,并且您正在使用这些端口来连接到您的实例,则您仍可以将对这些端口的访问限制为您公司网络 IP 地址空间内的 IP 地址,从而限制暴露。要在 Linux 上限制对端口 22 的访问,请参阅[为您的 Linux 实例授权入站流量](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html)。要在 Windows 上限制对端口 3389 的访问,请参阅[为 Windows 实例授权入站流量](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/authorizing-access-to-an-instance.html)。
GuardDuty 不会为端口 443 和 80 生成此结果。
**修复建议:**
这可能是有意暴露实例的情况,例如,在它们托管 Web 服务器时。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `Recon:EC2/PortProbeUnprotectedPort`。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用**实例映像 ID** 属性或**标签**值属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。
如果此活动是意外活动,则您的实例可能被盗用,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Recon:EC2/Portscan
### EC2 实例正在执行对远程主机的出站端口扫描。
**默认严重级别:中**
+ **数据来源:**VPC 流日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例,参与到可能的端口扫描攻击中,因为此实例在短时间内尝试连接到多个端口。端口扫描攻击的目的是找出开放端口,用于发现机器运行何种服务以及确定其操作系统。
**修复建议:**
当漏洞评估应用程序部署在您环境中的 EC2 实例上时,此调查发现可能是误报的,因为这些应用程序会执行端口扫描,以提醒您注意错误配置的开放端口。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `Recon:EC2/Portscan`。第二个筛选条件应与托管这些漏洞评测工具的一个或多个实例匹配。您可以使用**实例映像 ID** 属性或**标签**值属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。
如果此活动是意外活动,则您的实例可能被盗用,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Trojan:EC2/BlackholeTraffic
### EC2 实例正在尝试与作为已知黑洞的远程主机的 IP 地址进行通信。
**默认严重级别:中**
+ **数据来源:**VPC 流日志
这一发现告诉您,您 AWS 环境中列出的 EC2 实例可能因尝试与黑洞(或沉孔)的 IP 地址通信而受到威胁。黑洞是网络中的一些位置,在这些位置中会将传入或传出流量静默丢弃,而不向源通知数据未达到源目标接收方。黑洞 IP 地址指定没有运行的主机或者未向其分配主机的地址。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Trojan:EC2/BlackholeTraffic\$1DNS
### EC2 实例正在查询重定向到黑洞 IP 地址的域名。
**默认严重级别:中**
+ **数据来源:**DNS 日志
这一发现告诉您,您的 AWS 环境中列出的 EC2 实例可能会受到威胁,因为它正在查询一个被重定向到黑洞 IP 地址的域名。黑洞是网络中的一些位置,在这些位置中会将传入或传出流量静默丢弃,而不向源通知数据未达到源目标接收方。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Trojan:EC2/DGADomainRequest.B
### EC2 实例正在查询通过算法生成的域。此类域通常由恶意软件使用,并且可能表示 EC2 实例被盗用。
**默认严重级别:高**
+ **数据来源:**DNS 日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例,正在尝试查询域生成算法(DGA)域。您的 EC2 实例可能被盗用。
DGAs 用于定期生成大量域名,这些域名可用作指挥和控制 (C&C) 服务器的集合点。命令和控制服务器是向僵尸网络的成员发布命令的计算机,僵尸网络是感染了相同类型恶意软件,并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。
**注意**
这此调查发现基于使用高级探试程序的域名分析,可能会发现在威胁情报源中不存在的新 DGA 域。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Trojan:EC2/DGADomainRequest.C\$1DNS
### EC2 实例正在查询通过算法生成的域。此类域通常由恶意软件使用,并且可能表示 EC2 实例被盗用。
**默认严重级别:高**
+ **数据来源:**DNS 日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例,正在尝试查询域生成算法(DGA)域。您的 EC2 实例可能被盗用。
DGAs 用于定期生成大量域名,这些域名可用作指挥和控制 (C&C) 服务器的集合点。命令和控制服务器是向僵尸网络的成员发布命令的计算机,僵尸网络是感染了相同类型恶意软件,并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。
**注意**
这一发现基于威胁情报源中已知 GuardDuty的DGA域名。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Trojan:EC2/DNSDataExfiltration
### EC2 实例通过 DNS 查询泄露数据。
**默认严重级别:高**
+ **数据来源:**DNS 日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例正在运行恶意软件,使用 DNS 查询用于出站数据传输。这种类型的数据传输表示实例已被盗用,并可能导致数据泄露。防火墙通常不会阻止 DNS 流量。举例而言,遭盗用 EC2 实例中的恶意软件可以将数据(例如,您的信用卡号)编码到 DNS 查询中,并将其发送到由攻击者控制的远程 DNS 服务器。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Trojan:EC2/DriveBySourceTraffic\$1DNS
### EC2 实例正在查询某个远程主机的域名,该远程主机是路过式下载攻击的已知来源。
**默认严重级别:高**
+ **数据来源:**DNS 日志
此调查发现通知您,您 AWS 环境中列出的 EC2 实例可能被盗用,因为此实例正在查询某个远程主机的域名,该远程主机是路过式下载攻击的已知来源。这些是来自 Internet 的恶意计算机软件下载,可能会触发自动安装病毒、间谍软件或恶意软件。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Trojan:EC2/DropPoint
### EC2 实例正在尝试与已知持有凭证和恶意软件捕获的其他被盗数据的远程主机的 IP 地址进行通信。
**默认严重级别:中**
+ **数据来源:**VPC 流日志
这一发现告诉您,您 AWS 环境中的一个 EC2 实例正试图与远程主机的 IP 地址通信,该主机已知该地址持有恶意软件捕获的凭证和其他被盗数据。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Trojan:EC2/DropPoint\$1DNS
### EC2 实例正在查询持有由恶意软件捕获的凭证和其他被盗数据的远程主机的域名。
**默认严重级别:中**
+ **数据来源:**DNS 日志
这一发现告诉您,您 AWS 环境中的一个 EC2 实例正在查询远程主机的域名,该域名已知该域名持有恶意软件捕获的凭证和其他被盗数据。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Trojan:EC2/PhishingDomainRequest\$1DNS
### EC2 实例正在查询涉及网络钓鱼攻击的域。您的 EC2 实例可能被盗用。
**默认严重级别:高**
+ **数据来源:**DNS 日志
此调查发现通知您,您 AWS 环境中的某个 EC2 实例,正在尝试查询参与网络钓鱼攻击的域。网络钓鱼域由冒充合法机构的人设置,其目的是引诱个人提供敏感数据,如个人可识别信息、银行和信用卡信息、密码等。您的 EC2 实例可能正在尝试检索存储在网络钓鱼网站上的敏感数据,或者可能正在尝试设置网络钓鱼网站。您的 EC2 实例可能被盗用。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
### EC2 实例正在与自定义威胁列表上的 IP 地址建立连接。
**默认严重级别:中**
+ **数据来源:**VPC 流日志
这一发现告诉您,您的 AWS 环境中的 EC2 实例正在与您上传的威胁列表中包含的 IP 地址进行通信。在 GuardDuty 中,威胁列表包含已知的恶意 IP 地址。 GuardDuty 将根据已上传的威胁列表生成调查结果。用于生成此调查发现的威胁列表将在调查发现的详细信息中列出。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## UnauthorizedAccess:EC2/MetadataDNSRebind
### EC2 实例正在执行解析到实例元数据服务的 DNS 查找。
**默认严重级别:高**
+ **数据来源:**DNS 日志
这一发现告诉您,您的 AWS 环境中的一个 EC2 实例正在查询一个解析为 EC2 元数据 IP 地址 (169.254.169.254) 的域。此类 DNS 查询可能表明该实例是 DNS 重新绑定技术的目标。此技术可用于从 EC2 实例获取元数据,包括与该实例关联的 IAM 凭证。
DNS 重新绑定需要引诱在 EC2 实例上运行的应用程序,以加载从 URL 返回的数据,该 URL 中的域名解析到 EC2 元数据 IP 地址(169.254.169.254)。这会导致应用程序访问 EC2 元数据,并可能使其为攻击者所用。
如果该 EC2 实例正在运行允许注入 URL 的应用程序,且该应用程序存在漏洞;或者如果某用户在该 EC2 实例上运行的 Web 浏览器中,访问该 URL,则可以使用 DNS 重新绑定来访问 EC2 元数据。
**修复建议:**
为了解决此调查发现,您应该考虑 EC2 实例上是否运行有漏洞的应用程序,或者某用户是否使用浏览器来访问调查发现中识别的域。如果根本原因在于有漏洞的应用程序,您应该修复漏洞。如果是由于某用户已浏览识别的域,则应阻止该域或阻止用户进行访问。如果您确定调查发现属于以上任一种情况,则[撤销与 EC2 实例相关联的会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html)。
一些 AWS 客户故意将元数据 IP 地址映射到其权威 DNS 服务器上的域名。如果您的 环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `UnauthorizedAccess:EC2/MetaDataDNSRebind`。第二个筛选条件应为 **DNS 请求域**,并且值应与已映射到元数据 IP 地址(169.254.169.254)的域匹配。有关创建隐藏规则的更多信息,请参阅[中的抑制规则 GuardDuty](findings_suppression-rule.md)。
## UnauthorizedAccess:EC2/RDPBruteForce
### EC2 实例涉及到 RDP 暴力攻击中。
**默认严重级别:低\$1**
**注意**
如果您的 EC2 实例是暴力攻击的目标,则此调查发现的严重级别为“低”。如果您的 EC2 实例是用于执行暴力攻击的攻击者,则此调查发现的严重级别为“高”。
+ **数据来源:**VPC 流日志
这一发现告诉您,您 AWS 环境中的一个 EC2 实例参与了暴力攻击,该攻击旨在获取基于 Windows 的系统上的 RDP 服务的密码。这种情况可能表明有人未经授权访问您的 AWS 资源。
**修复建议:**
如果您实例的**资源角色**为 `ACTOR`,则表示实例已用于执行 RDP 暴力攻击。除非此实例有正当理由联系作为 `Target` 列出的 IP 地址,否则建议您假定实例已被盗用,并执行 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md) 中列出的操作。
如果您的实例的**资源角色**为`TARGET`,则可以通过保护您的 RDP 端口仅 IPs通过安全组或防火墙进行信任 ACLs,从而纠正这一发现。有关更多信息,请参阅[有关保护您的 EC2 实例(Linux)的提示](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/)。
## UnauthorizedAccess:EC2/SSHBruteForce
### EC2 实例已涉及到 SSH 暴力攻击中。
**默认严重级别:低\$1**
**注意**
如果暴力攻击的目标是您的一个 EC2 实例,则此调查发现的严重程度较低。如果您的 EC2 实例用于执行暴力攻击,则此调查发现的严重程度为“高”。
+ **数据来源:**VPC 流日志
这一发现告诉您,您 AWS 环境中的一个 EC2 实例参与了暴力攻击,该攻击旨在获取基于 Linux 的系统上的 SSH 服务的密码。这种情况可能表明有人未经授权访问您的 AWS 资源。
**注意**
此调查发现仅通过在端口 22 上监控流量生成。如果 SSH 服务配置为使用其他端口,则不会生成此调查发现。
**修复建议:**
如果暴力攻击的目标是堡垒主机,则这可能代表您的 AWS 环境的预期行为。如果是这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `UnauthorizedAccess:EC2/SSHBruteForce`。第二个筛选条件应与用作堡垒主机的一个或多个实例匹配。您可以使用**实例映像 ID** 属性或**标签**值属性,具体取决于托管这些工具的实例可识别哪些条件。有关创建抑制规则的更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。
如果您的环境预计不会出现此活动,而您的实例的**资源角色**是`TARGET`,则可以通过将您的 SSH 端口保护为仅 IPs 通过安全组或防火墙信任来纠正此发现。 ACLs有关更多信息,请参阅[有关保护您的 EC2 实例(Linux)的提示](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/)。
如果您实例的**资源角色**为 `ACTOR`,则表示该实例已用于执行 SSH 暴力攻击。除非此实例有正当理由联系作为 `Target` 列出的 IP 地址,否则建议您假定实例已被盗用,并执行 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md) 中列出的操作。
## UnauthorizedAccess:EC2/TorClient
### EC2 实例正在连接到一个 Tor Guard 或 Authority 节点。
**默认严重级别:高**
+ **数据来源:**VPC 流日志
这一发现告诉您,您的 AWS 环境中的 EC2 实例正在与 Tor Guard 或授权节点建立连接。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当 Tor 网络的初始网关。此流量可能指示此 EC2 实例已被盗用,正充当 Tor 网络上的客户端。这一发现可能表明有人未经授权访问您的 AWS 资源,目的是隐藏攻击者的真实身份。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## UnauthorizedAccess:EC2/TorRelay
### EC2 实例正在以 Tor 中继身份连接到 Tor 网络。
**默认严重级别:高**
+ **数据来源:**VPC 流日志
这一发现告诉您,您 AWS 环境中的一个 EC2 实例正在与 Tor 网络建立连接,这表明它正在充当 Tor 中继。Tor 是用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继转发到另一个 Tor 中继,来提高通信的匿名程度。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
# GuardDuty IAM 查找类型
以下调查发现特定于 IAM 实体和访问密钥,其**资源类型**为 `AccessKey`。调查发现的严重性和详细信息因调查发现类型而异。
此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关更多信息,请参阅 [GuardDuty 基础数据源](guardduty_data-sources.md)。
对于所有 IAM 相关的调查发现,我们建议您检查相关实体,确保其权限遵循最低权限的最佳实践。如果此活动是意外活动,则凭证可能已泄露。有关修复调查发现的信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
**Topics**
+ [CredentialAccess:IAMUser/AnomalousBehavior](#credentialaccess-iam-anomalousbehavior)
+ [CredentialAccess:IAMUser/CompromisedCredentials](#credentialaccess-iam-compromisedcredentials)
+ [DefenseEvasion:IAMUser/AnomalousBehavior](#defenseevasion-iam-anomalousbehavior)
+ [DefenseEvasion:IAMUser/BedrockLoggingDisabled](#defenseevasion-iam-bedrockloggingdisabled)
+ [Discovery:IAMUser/AnomalousBehavior](#discovery-iam-anomalousbehavior)
+ [Exfiltration:IAMUser/AnomalousBehavior](#exfiltration-iam-anomalousbehavior)
+ [Impact:IAMUser/AnomalousBehavior](#impact-iam-anomalousbehavior)
+ [InitialAccess:IAMUser/AnomalousBehavior](#initialaccess-iam-anomalousbehavior)
+ [PenTest:IAMUser/KaliLinux](#pentest-iam-kalilinux)
+ [PenTest:IAMUser/ParrotLinux](#pentest-iam-parrotlinux)
+ [PenTest:IAMUser/PentooLinux](#pentest-iam-pentoolinux)
+ [Persistence:IAMUser/AnomalousBehavior](#persistence-iam-anomalousbehavior)
+ [Policy:IAMUser/RootCredentialUsage](#policy-iam-rootcredentialusage)
+ [Policy:IAMUser/ShortTermRootCredentialUsage](#policy-iam-user-short-term-root-credential-usage)
+ [PrivilegeEscalation:IAMUser/AnomalousBehavior](#privilegeescalation-iam-anomalousbehavior)
+ [Recon:IAMUser/MaliciousIPCaller](#recon-iam-maliciousipcaller)
+ [Recon:IAMUser/MaliciousIPCaller.Custom](#recon-iam-maliciousipcallercustom)
+ [Recon:IAMUser/TorIPCaller](#recon-iam-toripcaller)
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](#stealth-iam-cloudtrailloggingdisabled)
+ [Stealth:IAMUser/PasswordPolicyChange](#stealth-iam-passwordpolicychange)
+ [UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B](#unauthorizedaccess-iam-consoleloginsuccessb)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller](#unauthorizedaccess-iam-maliciousipcaller)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](#unauthorizedaccess-iam-maliciousipcallercustom)
+ [UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/TorIPCaller](#unauthorizedaccess-iam-toripcaller)
## CredentialAccess:IAMUser/AnomalousBehavior
### 用于获取 AWS 环境访问权限的 API 被异常调用。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。该调查发现可能包括单个 API,或由单个[用户身份](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)在附近发出的一系列相关 API 请求。观测到的 API 通常与攻击的凭证访问阶段有关,攻击者在该阶段尝试收集您的环境的密码、用户名和访问密钥 此类别 APIs 中的是`GetPasswordData`、`GetSecretValue``BatchGetSecretValue`、和`GenerateDbAuthToken`。
此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅[调查发现详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## CredentialAccess:IAMUser/CompromisedCredentials
### 一个 IAM 访问密钥被确定为可能被 Amazon 威胁情报泄露。
**默认严重级别:高**
+ **功能:**包含在基础数据源保护中
**完整描述:**
这一发现告诉您,与您的 AWS 账户关联的 IAM 访问密钥已被亚马逊威胁情报确定为可能遭到入侵。然后,泄露的凭据被用来在您的 AWS 环境中调用 API 操作。使用泄露的凭据进行的 API 调用列表,以及每次调用的计数和时间戳、涉及的访问密钥和源 IP 地址都包含在查找详细信息中。
Amazon 威胁情报发现了这一发现中的凭证漏洞。 AWS 通过使用模式监控可能被泄露的凭证,并在观察到使用此类凭据时生成此结果。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## DefenseEvasion:IAMUser/AnomalousBehavior
### 用于避开防御措施的 API 被异常调用。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。此调查发现可能包括单个 API 或由单个[用户身份](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)相近发出的一系列相关 API 请求。观察到的 API 通常与防御逃避策略有关,在这种策略中,对手试图掩盖自己的踪迹并避免被发现。 APIs 此类别中通常包括删除、禁用或停止操作,例如`DeleteFlowLogs`、`DisableAlarmActions`、或`StopLogging`。
此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅[调查发现详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## DefenseEvasion:IAMUser/BedrockLoggingDisabled
### 已禁用 Amazon Bedrock 的日志记录功能。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
该调查发现通知您,在您的账户中对 Bedrock 模型调用禁用了日志记录。这可能是攻击者试图隐藏恶意活动,例如数据泄露或滥用 AI 模型。禁用日志记录会移除发送到模型的数据以及模型使用方式的可见性。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Discovery:IAMUser/AnomalousBehavior
### 通常用于发现资源的 API 被异常调用。
**默认严重级别:低**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。此调查发现可能包括单个 API 或由单个[用户身份](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)相近发出的一系列相关 API 请求。观察到的 API 通常与攻击的发现阶段有关,即攻击者正在收集信息以确定您的 AWS 环境是否容易受到更广泛的攻击。 APIs 此类别中通常是获取、描述或列出操作,例如`DescribeInstances`、`GetRolePolicy`、或`ListAccessKeys`。
此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅[调查发现详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Exfiltration:IAMUser/AnomalousBehavior
### 通常用于从 AWS 环境中收集数据的 API 被异常调用。
**默认严重级别:高**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。此调查发现可能包括单个 API 或由单个[用户身份](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)相近发出的一系列相关 API 请求。观察到的 API 通常与泄露策略有关,在这种策略中,攻击者试图使用打包和加密从您的网络收集数据以避免被发现。 APIs 此查找类型仅为管理(控制平面)操作,通常与 S3、快照和数据库相关,例如、`PutBucketReplication``CreateSnapshot`、或。`RestoreDBInstanceFromDBSnapshot`
此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅[调查发现详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Impact:IAMUser/AnomalousBehavior
### 通常用于在 AWS 环境中篡改数据或进程的 API 被异常调用。
**默认严重级别:高**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。此调查发现可能包括单个 API 或由单个[用户身份](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)相近发出的一系列相关 API 请求。观察到的 API 通常与冲击策略有关,在这种策略中,对手试图中断运营并操纵、中断或销毁您账户中的数据。 APIs 对于此查找类型,通常是删除、更新或放置操作,例如`DeleteSecurityGroup`、`UpdateUser`、或`PutBucketPolicy`。
此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅[调查发现详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## InitialAccess:IAMUser/AnomalousBehavior
### 通常用于未经授权访问 AWS 环境的 API 被异常调用。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。此调查发现可能包括单个 API 或由单个[用户身份](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)相近发出的一系列相关 API 请求。当攻击者试图建立对您的环境的访问权限时,观察到的 API 通常与攻击的初始访问阶段有关。 APIs 此类别中通常是获取令牌或会话操作,例如`StartSession`、或`GetAuthorizationToken`。
此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅[调查发现详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## PenTest:IAMUser/KaliLinux
### 从 Kali Linux 计算机调用了一个 API。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
这一发现告诉您,一台运行 Kali Linux 的计算机正在使用属于您环境中列出的 AWS 账户的凭据进行 API 调用。Kali Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞,并获得对您的 AWS 环境的未经授权的访问权限。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## PenTest:IAMUser/ParrotLinux
### 从 Parrot Security Linux 机器调用了 API。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
这一发现告诉你,一台运行 Parrot Security Linux 的计算机正在使用属于你环境中列出的 AWS 账户的凭据进行 API 调用。Parrot Security Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞,并获得对您的 AWS 环境的未经授权的访问权限。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## PenTest:IAMUser/PentooLinux
### 从 Pentoo Linux 机器调用了 API。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
这一发现告诉您,运行 Pentoo Linux 的计算机正在使用属于您环境中列出的 AWS 账户的凭据进行 API 调用。Pentoo Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞,并获得对您的 AWS 环境的未经授权的访问权限。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Persistence:IAMUser/AnomalousBehavior
### 通常用于维护对 AWS 环境的未经授权访问的 API 被异常调用。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。此调查发现可能包括单个 API 或由单个[用户身份](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)相近发出的一系列相关 API 请求。观察到的 API 通常与持久性策略相关联,在这种策略中,攻击者已获得对您的环境的访问权限并试图保持该访问权限。 APIs 此类别中通常是创建、导入或修改操作,例如`CreateAccessKey`、`ImportKeyPair`、或`ModifyInstanceAttribute`。
此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅[调查发现详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Policy:IAMUser/RootCredentialUsage
### 使用根用户登录凭证调用了 API。
**默认严重级别:低**
+ **数据源:**S3 的CloudTrail 管理事件或 CloudTrail 数据事件
此调查发现通知您,正在利用您环境中列出的 AWS 账户 根用户登录凭证,向 AWS 服务发出请求。建议用户切勿使用 root 用户登录凭据来访问 AWS 服务。相反,应使用来自 AWS Security Token Service (STS) 的最低权限临时证书访问 AWS 服务。对于不支持 AWS STS 的情况,您可以使用推荐的 IAM 用户凭证。有关更多信息,请参阅 [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
**注意**
如果为该账户启用了 S3 防护,则在尝试使用 AWS 账户的根用户登录凭证在 Amazon S3 资源上运行 S3 数据面板操作时,可能会生成此调查发现。使用的 API 调用将列在调查发现详细信息中。如果未启用 S3 保护,则只能由事件日志触发此发现 APIs。有关 S3 防护的更多信息,请参阅 [S3 防护](s3-protection.md)。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Policy:IAMUser/ShortTermRootCredentialUsage
### API 是使用受限的根用户凭证调用的。
**默认严重级别:低**
+ **数据源:**S3 的AWS CloudTrail 管理事件或 AWS CloudTrail 数据事件
这一发现告诉您,针对您的环境 AWS 账户 中列出的用户创建的受限用户凭证正被用来向发出请求。 AWS 服务建议仅将根用户凭证用于[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
如果可能,请使用具有 AWS 服务 来自 AWS Security Token Service (AWS STS) 的临时证书的最低权限 IAM 角色进行访问。对于不支持的场 AWS STS 景,最佳做法是使用 IAM 用户证书。有关 IAM 最佳实践的更多信息,请参阅《IAM 用户指南**》中的 [IAM 的安全防御最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)和 [AWS 账户的根用户最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## PrivilegeEscalation:IAMUser/AnomalousBehavior
### 通常用于获取 AWS 环境高级权限的 API 被异常调用。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,在您的账户中观察到异常的 API 请求。此调查发现可能包括单个 API 或由单个[用户身份](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)相近发出的一系列相关 API 请求。观察到的 API 通常与权限升级策略有关,在这种策略中,攻击者试图获得更高级别的环境权限。 APIs 此类别中通常涉及更改 IAM 策略、角色和用户的操作,例如`AssociateIamInstanceProfile`、`AddUserToGroup`、或`PutUserPolicy`。
此 API 请求被 GuardDuty异常检测机器学习 (ML) 模型识别为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及请求的特定 API。有关 API 请求的哪些因素对于调用请求的用户身份来说存在异常的详细信息,请参阅[调查发现详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Recon:IAMUser/MaliciousIPCaller
### 从已知恶意 IP 地址调用了 API。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,从威胁列表中包含的 IP 地址调用了可以列出或描述您环境中账户的 AWS 资源的 API 操作。攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察,以找到更有价值的凭据或确定他们已经拥有的凭据的功能。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Recon:IAMUser/MaliciousIPCaller.Custom
### 从已知恶意 IP 地址调用了 API。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,从自定义威胁列表中包含的 IP 地址调用了可以列出或描述您环境中账户的 AWS 资源的 API 操作。使用的威胁列表将在调查发现的详细信息中列出。攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察,以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Recon:IAMUser/TorIPCaller
### 从 Tor 出口节点 IP 地址调用了 API。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,从 Tor 出口节点 IP 地址调用了可以列出或描述您环境中账户的 AWS 资源的 API 操作。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。攻击者会使用 Tor 来掩盖他们的真实身份。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Stealth:IAMUser/CloudTrailLoggingDisabled
### AWS CloudTrail 日志记录已禁用。
**默认严重级别:低**
+ **数据源:**CloudTrail 管理事件
此发现告知您 AWS 环境中的一条 CloudTrail 跟踪已被禁用。这可能是攻击者尝试禁用日志记录,通过消除其活动的任何痕迹来掩盖其踪迹,同时出于恶意目的获取对您 AWS 资源的访问权限。成功地删除或更新跟踪会触发此调查发现。成功删除存储与之关联的跟踪中的日志的 S3 存储桶也可能触发此发现 GuardDuty。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Stealth:IAMUser/PasswordPolicyChange
### 账户密码策略受损。
**默认严重级别:低\$1**
**注意**
此调查发现的严重性可以是“低”、“中”或“高”,具体取决于对密码策略所做更改的严重性。
+ **数据源:**CloudTrail 管理事件
您的 AWS 环境中列出的 AWS 账户的账户密码政策已被削弱。例如,策略已删除或者进行了更新,以要求较少的字符、无需符号和数字或者要求延长密码有效期。尝试更新或删除您的 AWS 账户密码策略也可能触发此发现。 AWS 账户密码策略定义了管理可以为您的 IAM 用户设置哪些类型的密码的规则。较弱的密码策略允许创建易于记住同时也可能更容易被猜到的密码,因而造成安全风险。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
### 发现多个全球范围内的成功控制台登录。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,发现同一个 IAM 用户在不同地理位置,大约同一时间多次成功登录控制台。这种异常且有风险的访问位置模式表明您的 AWS 资源可能遭到未经授权的访问。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
### 通过实例启动角色专门为 EC2 实例创建的凭证正在被 AWS中的其他账户使用。
**默认严重级别:高\$1**
**注意**
此调查发现的默认严重级别为“高”。但是,如果 API 是由与您的 AWS 环境关联的账户调用的,则严重性为 “中”。
+ **数据源:**S3 的CloudTrail 管理事件或 CloudTrail 数据事件
此发现会告知您何时使用您的 Amazon EC2 实例证书 APIs 从 IP 地址或 Amazon VPC 终端节点进行调用,该地址或终端节点所拥有的 AWS 账户与关联的 Amazon EC2 实例所在的账户不同。VPC 终端节点检测仅适用于支持 VPC 终端节点网络活动事件的服务。有关支持 VPC 端点网络活动事件的服务的信息,请参阅《AWS CloudTrail 用户指南》中的 [Logging network activity events](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-network-events-with-cloudtrail.html)**。
AWS 不建议在创建临时证书的实体(例如, AWS 应用程序、Amazon EC2 或 AWS Lambda)之外重新分配临时证书。但是,授权用户可以从其 Amazon EC2 实例导出凭证以进行合法的 API 调用。如果 `remoteAccountDetails.Affiliated` 字段为 `True`,则表示 API 是从与同一管理员账户相关联的账户调用的。要排除潜在的攻击并验证活动的合法性,请联系向其分配这些证书 AWS 账户 的所有者或 IAM 委托人。
**注意**
如果 GuardDuty 观察到来自远程账户的持续活动,则其机器学习 (ML) 模型会将其识别为预期行为。因此, GuardDuty 将停止为来自该远程账户的活动生成此调查结果。 GuardDuty 将继续从其他远程帐户生成有关新行为的调查结果,并将随着时间的推移行为发生变化而重新评估已学到的远程帐户。
**修复建议:**
当使用您的 Amazon EC2 实例的会话凭证 AWS 通过您外部的 Amazon EC2 实例在内部发出 AWS API 请求时 AWS 账户,就会生成这一发现。例如,对于[中心和分支](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/transit-vpc-solution.html)配置中的 Transit Gateway 架构,通常使用 AWS 服务终端节点通过单个中心出口 VPC 路由流量。如果预期会出现这种行为,则 GuardDuty 建议您使用[抑制规则](findings_suppression-rule.md)并创建具有双筛选条件的规则。第一个条件是调查发现类型,在本例中为 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS。第二个筛选条件是远程账户详细信息中的远程账户 ID。
针对此调查发现,您可以使用以下工作流程来确定行动方案:
1. 从 `service.action.awsApiCallAction.remoteAccountDetails.accountId` 字段识别涉及的远程账户。
1. 从`service.action.awsApiCallAction.remoteAccountDetails.affiliated`现场确定该账户是否与您的 GuardDuty环境有关联。
1. 如果该账户**是**附属账户,请联系远程账户所有者和 Amazon EC2 实例凭证所有者进行调查。
如果该账户**没有**关联账户,则第一步是评估该账户是否与您的组织关联但不是您的 GuardDuty多账户环境设置的一部分,或者该账户是否 GuardDuty 尚未启用。然后联系 Amazon EC2 实例凭证的所有者,以确定是否有远程账户使用这些凭证的应用场景。
1. 如果凭证的所有者无法识别远程账户,则该凭证可能已被在 AWS中操作的威胁行为者窃取。您应该采取[修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)中建议的步骤来保护您的环境。
此外,您可以[向 AWS 信任与安全团队提交滥用报告](https://support.aws.amazon.com/#/contacts/report-abuse),开始对远程账户进行调查。在向 AWS 信任与安全团队提交报告时,请提供调查发现的完整 JSON 详细信息。
## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
### 通过实例启动角色专为某个 EC2 实例创建的凭证正在从外部 IP 地址使用。
**默认严重级别:高**
+ **数据源:**S3 的CloudTrail 管理事件或 CloudTrail 数据事件
这一发现告诉您,外部的主机尝试使用 AWS 在您 AWS 环境中的 EC2 实例上创建的临时 AWS 证书运行 AWS API 操作。列出的 EC2 实例可能遭到入侵,并且该实例的临时证书可能已被泄露到外部的远程主机。 AWS AWS 不建议在创建临时证书的实体(例如 AWS 应用程序、EC2 或 Lambda)之外重新分配临时证书。但是,授权用户可以从其 EC2 实例导出凭证以进行合法 API 调用。要排除潜在的攻击并验证活动的合法性,请验证是否应在调查发现中使用来自远程 IP 的实例凭证。
**注意**
如果 GuardDuty 观察到来自远程主机的持续活动,则其机器学习 (ML) 模型会将其识别为预期行为。因此, GuardDuty 将停止为来自该远程主机的活动生成此调查结果。 GuardDuty 将继续从其他远程主机生成新行为的调查结果,并将随着时间的推移行为发生变化而重新评估已学习的远程主机。
**修复建议:**
当网络配置为路由互联网流量,使其从本地网关而不是 VPC 互联网网关(IGW)发出时会生成此调查发现。使用 [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) 或 VPC VPN 连接等常见配置可能会导致流量以这种方式路由。如果这是预期行为,我们建议您使用抑制规则,并创建一个包含两个过滤条件的规则。第一个标准是 **finding type(调查发现类型)**,它应是 `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`。第二个筛选条件是 **API 调用方 IPv4 地址**,其中包含本地互联网网关的 IP 地址或 CIDR 范围。要了解有关创建抑制规则的更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。
**注意**
如果 GuardDuty 观察到来自外部来源的持续活动,则其机器学习模型将将其识别为预期行为,并停止为来自该来源的活动生成此发现。 GuardDuty 将继续从其他来源得出有关新行为的调查结果,并将随着时间的推移行为发生变化而重新评估所学来源。
如果此活动是意外活动,则您的凭证可能已遭盗用,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/MaliciousIPCaller
### 从已知恶意 IP 地址调用了 API。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,从已知恶意 IP 地址调用了 API 操作(例如,尝试启动 EC2 实例、创建新的 IAM 用户或修改您的 AWS 权限)。这可能表示对您环境中的 AWS 资源进行了未经授权的访问。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
### 从自定义威胁列表中的 IP 地址调用了 API。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
这一发现告诉您,API 操作(例如,尝试启动 EC2 实例、创建新 IAM 用户或修改 AWS 权限)是从您上传的威胁列表中包含的 IP 地址调用的。在中 GuardDuty,威胁列表由已知的恶意 IP 地址组成。这可能表示对您环境中的 AWS 资源进行了未经授权的访问。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS
### 专为 AWS Lambda 资源创建的证书正在从外部的 IP 地址中使用 AWS。
**默认严重级别:高**
+ **数据源:**S3 的CloudTrail 管理事件或 CloudTrail 数据事件
这一发现告诉您,外部的主机 AWS 试图使用在您 AWS 环境中的 AWS Lambda 资源上创建的临时 AWS 证书运行 AWS API 操作。列出的 Lambda 资源可能遭到入侵,来自此 Lambda 的临时证书可能已被泄露到外部的远程主机。 AWS
AWS 不建议在创建临时证书的实体(例如亚马逊弹性计算云 (Amazon EC2)、Amazon EC2之类的 AWS 应用程序)之外重新分配临时证书。 AWS Lambda但是,获得授权的用户可以从其 Lambda 资源中导出凭证以进行合法 API 调用。要排除潜在的攻击并验证活动的合法性,请验证是否应在调查发现中使用来自远程 IP 的实例凭证。
**注意**
如果 GuardDuty 观察到来自远程主机的持续活动,则其机器学习 (ML) 模型会将其识别为预期行为。因此, GuardDuty 将停止为来自该远程主机的活动生成此调查结果。 GuardDuty 将继续从其他远程主机生成新行为的调查结果,并将随着时间的推移行为发生变化而重新评估已学习的远程主机。
**修复建议:**
当网络配置为路由互联网流量,以使其从本地网关而不是 VPC 互联网网关(IGW)发出时,会生成此调查发现。使用 [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) 或 VPC VPN 连接等常见配置可能会导致流量以这种方式路由。如果这是预期行为,则 GuardDuty 建议[抑制规则](findings_suppression-rule.md)使用创建具有双筛选条件的规则。第一个标准是 **finding type(调查发现类型)**,它应是 `UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS`。第二个筛选条件是 **API 调用方 IPv4 地址**,其中包含本地互联网网关的 IP 地址或 CIDR 范围。
如果此活动不符合预期,则您的凭证可能已遭盗用。有关修复此发现类型的步骤的信息,请参见[修复可能被泄露的凭证 AWS](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/TorIPCaller
### 从 Tor 出口节点 IP 地址调用了 API。
**默认严重级别:中**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,从 Tor 出口节点 IP 地址调用了 API 操作(例如,尝试启动 EC2 实例、创建新的 IAM 用户或修改您的 AWS 权限)。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 AWS 资源,并意图隐藏攻击者的真实身份。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
# GuardDuty 攻击序列查找类型
GuardDuty 当由多个操作组成的特定序列与潜在的可疑活动一致时,检测攻击序列。攻击序列包括诸如 API 活动和 GuardDuty 发现结果之类的**信号**。当 GuardDuty 观察到一组按特定顺序显示正在进行中、持续或最近的安全威胁的信号时, GuardDuty 会生成攻击序列发现。 GuardDuty 将单个 API 活动视为[weak signals](guardduty_concepts.md#guardduty-weak-signals-attack-sequence)不存在潜在威胁。
攻击序列检测的重点是 Amazon S3 数据的潜在泄露(这可能是更广泛的勒索软件攻击的一部分)、 AWS 凭证受损、Amazon EKS 集群受损、Amazon ECS 集群受损以及 Amazon EC2 实例组受损。以下各节详细介绍了每个攻击序列。
**Topics**
+ [AttackSequence:EKS/CompromisedCluster](#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:ECS/CompromisedCluster](#attack-sequence-ecs-compromised-cluster)
+ [AttackSequence:EC2/CompromisedInstanceGroup](#attack-sequence-ec2-compromised-instance-group)
+ [AttackSequence:IAM/CompromisedCredentials](#attack-sequence-iam-compromised-credentials)
+ [AttackSequence:S3/CompromisedData](#attack-sequence-s3-compromised-data)
## AttackSequence:EKS/CompromisedCluster
### 可能遭到入侵的 Amazon EKS 集群执行的一系列可疑操作。
+ 默认严重程度:重大
+ 数据来源:
+ [EKS 审计日志事件](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html#guardduty_k8s-audit-logs)
+ [适用于 Amazon EKS 的运行时监控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-eks.html)
+ [适用于 Amazon EC2 的 Amazon EKS 恶意软件检测](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
+ [AWS CloudTrail S3 的数据事件](s3-protection.md#guardduty_s3dataplane)
+ [AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)
+ [VPC 流日志](guardduty_data-sources.md#guardduty_vpc)
+ [Route53 Resolver DNS 查询日志](guardduty_data-sources.md#guardduty_dns)
此发现告知您 GuardDuty 已检测到一系列可疑操作,这些操作表明您的环境中存在可能遭到入侵的 Amazon EKS 集群。在同一 Amazon EKS 集群中观察到多种可疑和异常攻击行为,例如恶意进程或与恶意端点的连接。
GuardDuty 使用其专有的关联算法来观察和识别使用 IAM 凭证执行的操作顺序。 GuardDuty 评估保护计划和其他信号源的调查结果,以确定常见和新出现的攻击模式。 GuardDuty 使用多种因素来揭露威胁,例如 IP 信誉、API 序列、用户配置和可能受影响的资源。
**修复操作**:如果此行为并不是您环境的预期行为,则 Amazon EKS 集群可能已遭到入侵。有关全面的修复指南,请参阅[修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)和[修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
此外,由于 AWS 证书可能已通过 EKS 集群泄露,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)。有关修复可能受到影响的其他资源的步骤,请参阅[修复检测到 GuardDuty 的安全发现](guardduty_remediate.md)。
## AttackSequence:ECS/CompromisedCluster
### 可能遭到入侵的 Amazon ECS 集群执行的一系列可疑操作。
+ 默认严重程度:重大
+ 数据来源:
+ [亚马逊 ECS Fargate 的运行时监控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ecs-fargate.html)
+ [Amazon ECS 中 EC2 实例的运行时监控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
+ [ GuardDuty 适用于 Amazon EC2 的恶意软件防护](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
此发现告诉您, GuardDuty 检测到一系列可疑信号,表明您的环境中存在可能受损的 Amazon ECS 集群。这些信号可能包括恶意进程、与恶意端点的通信或加密货币挖矿行为。
GuardDuty 使用专有的关联算法和多种检测因子来识别 Amazon ECS 集群中的可疑操作序列。通过对保护计划和各种信号源的分析, GuardDuty 识别常见和新出现的攻击模式,从而对潜在的漏洞进行高度可信的检测。
**补救措施**:如果这种行为在您的环境中出乎意料,则您的 Amazon ECS 集群可能会受到威胁。有关威胁遏制的建议,请参阅[修复可能失陷的 ECS 集群](compromised-ecs.md)。请注意,折衷方案可能延伸到一个或多个 ECS 任务或容器工作负载,这些任务或容器工作负载本来可以用来创建或修改 AWS 资源。有关涵盖可能受影响的资源的全面补救指南,请参阅[修复检测到 GuardDuty 的安全发现](guardduty_remediate.md)。
## AttackSequence:EC2/CompromisedInstanceGroup
### 一系列可疑操作表明 Amazon EC2 实例可能遭到入侵。
+ 默认严重程度:重大
+ 数据来源:
+ [亚马逊 EC2 的运行时监控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
+ [适用于 Amazon EC2 的恶意软件检测](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
+ [VPC 流日志](guardduty_data-sources.md#guardduty_vpc)
+ [Route53 Resolver DNS 查询日志](guardduty_data-sources.md#guardduty_dns)
这一发现表明 GuardDuty 检测到一系列可疑操作,表明您的环境中的一组 Amazon EC2 实例可能受到攻击。实例组通常代表通过管理的应用程序 infrastructure-as-code,共享类似的配置,例如自动扩展组、IAM 实例配置文件角色、 AWS CloudFormation 堆栈、Amazon EC2 启动模板、AMI 或 VPC ID。 GuardDuty 在一个或多个实例中观察到多种可疑行为,包括:
+ 恶意进程
+ 恶意文件
+ 可疑的网络连接
+ 加密货币挖矿活动
+ 可疑使用 Amazon EC2 实例凭证的情况
**检测方法**: GuardDuty 使用专有的关联算法来识别 Amazon EC2 实例中的可疑操作序列。通过评估保护计划和各种信号源的调查结果,利用多种因素(例如 IP 和域名声誉以及可疑的运行进程) GuardDuty 识别攻击模式。
**补救措施**:如果这种行为在您的环境中出乎意料,则您的 Amazon EC2 实例可能会遭到入侵。折衷方案可能涉及:
+ 多个进程
+ 可能用于修改 Amazon EC2 实例或其他 AWS 资源的实例证书
有关威胁遏制的建议,请参阅[修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。请注意,该漏洞可能会扩展到一个或多个 Amazon EC2 实例,并涉及可能用于创建或修改 Amazon EC2 实例或其他 AWS 资源的流程或实例凭证遭到泄露。有关涵盖可能受影响的资源的全面补救指南,请参阅[修复检测到 GuardDuty 的安全发现](guardduty_remediate.md)。
## AttackSequence:IAM/CompromisedCredentials
### 使用可能被泄露的 AWS 凭据调用的一系列 API 请求。
+ 默认严重程度:重大
+ 数据来源:[AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)
此发现告诉您, GuardDuty 检测到使用 AWS 证书进行的一系列可疑操作,这些操作会影响您环境中的一个或多个资源。观察到使用相同凭证的多种可疑和异常攻击行为,提高了该凭证被滥用的可信度。
GuardDuty 使用其专有的关联算法来观察和识别使用 IAM 凭证执行的操作顺序。 GuardDuty 评估保护计划和其他信号源的调查结果,以确定常见和新出现的攻击模式。 GuardDuty 使用多种因素来揭露威胁,例如 IP 信誉、API 序列、用户配置和可能受影响的资源。
**补救措施**:如果这种行为在您的环境中出乎意料,则您的 AWS 凭据可能已被泄露。有关修复的步骤,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)。泄露的凭证可能被用于在您的环境中创建或修改其他资源,例如 Amazon S3 存储桶、 AWS Lambda 函数或 Amazon EC2 实例。有关修复可能受到影响的其他资源的步骤,请参阅[修复检测到 GuardDuty 的安全发现](guardduty_remediate.md)。
## AttackSequence:S3/CompromisedData
### 调用了一系列 API 请求,可能试图窃取或破坏 Amazon S3 中的数据。
+ 默认严重程度:重大
+ 数据来源:[AWS CloudTrail S3 的数据事件](s3-protection.md#guardduty_s3dataplane)和 [AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)
这一发现告诉您,通过使用可能被泄露的凭证, GuardDuty 检测到一系列可疑操作,表明一个或多个亚马逊简单存储服务 (Amazon S3) 存储桶中存在数据泄露。 AWS 观察到多种可疑和异常攻击行为(API 请求),提高了该凭证被滥用的可信度。
GuardDuty 使用其关联算法来观察和识别使用 IAM 凭证执行的操作顺序。 GuardDuty 然后评估保护计划和其他信号源的调查结果,以确定常见和新出现的攻击模式。 GuardDuty 使用多种因素来揭露威胁,例如 IP 信誉、API 序列、用户配置和可能受影响的资源。
**补救措施**:如果此活动在您的环境中出乎意料,则您的 AWS 凭证或 Amazon S3 数据可能已被泄露或销毁。有关修复的步骤,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)和[修复可能失陷的 S3 存储桶](compromised-s3.md)。
# GuardDuty S3 保护查找类型
以下发现特定于 Amazon S3 资源,`S3Bucket`如果数据源是 **S3 的数据事件,或者CloudTrail 数据**源是**CloudTrail 管理事件**,`AccessKey`则其**资源类型**将为。调查发现的严重性和详细信息将因调查发现类型和与存储桶关联的权限而异。
此处列出的调查发现包括用于生成该调查发现类型的数据来源和模型。有关数据来源和模型的更多信息,请参阅 [GuardDuty 基础数据源](guardduty_data-sources.md)。
**重要**
只有启用 S3 保护后,才会生成具有 **S3 CloudTrail 数据事件数据**源的调查结果。默认情况下,在 2020 年 7 月 31 日之后,如果账户首次启用,或者委托 GuardDuty 管理员账户在现有成员账户 GuardDuty 中启用 S3 保护,则会启用。 GuardDuty 但是,当有新成员加入 GuardDuty 组织时,该组织的自动启用首选项将适用。有关自动启用首选项的信息,请参阅[设置组织自动启用首选项](set-guardduty-auto-enable-preferences.md)。有关如何启用 S3 防护的信息,请参阅 [GuardDuty S3 防护](s3-protection.md)。
对于所有 `S3Bucket` 类型的调查发现,建议您检查相关存储桶的权限以及调查发现中涉及的任何用户权限,如果活动是不正常的,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md) 中详细介绍的修复建议。
**Topics**
+ [Discovery:S3/AnomalousBehavior](#discovery-s3-anomalousbehavior)
+ [Discovery:S3/MaliciousIPCaller](#discovery-s3-maliciousipcaller)
+ [Discovery:S3/MaliciousIPCaller.Custom](#discovery-s3-maliciousipcallercustom)
+ [Discovery:S3/TorIPCaller](#discovery-s3-toripcaller)
+ [Exfiltration:S3/AnomalousBehavior](#exfiltration-s3-anomalousbehavior)
+ [Exfiltration:S3/MaliciousIPCaller](#exfiltration-s3-maliciousipcaller)
+ [Impact:S3/AnomalousBehavior.Delete](#impact-s3-anomalousbehavior-delete)
+ [Impact:S3/AnomalousBehavior.Permission](#impact-s3-anomalousbehavior-permission)
+ [Impact:S3/AnomalousBehavior.Write](#impact-s3-anomalousbehavior-write)
+ [Impact:S3/MaliciousIPCaller](#impact-s3-maliciousipcaller)
+ [PenTest:S3/KaliLinux](#pentest-s3-kalilinux)
+ [PenTest:S3/ParrotLinux](#pentest-s3-parrotlinux)
+ [PenTest:S3/PentooLinux](#pentest-s3-pentoolinux)
+ [Policy:S3/AccountBlockPublicAccessDisabled](#policy-s3-accountblockpublicaccessdisabled)
+ [Policy:S3/BucketAnonymousAccessGranted](#policy-s3-bucketanonymousaccessgranted)
+ [Policy:S3/BucketBlockPublicAccessDisabled](#policy-s3-bucketblockpublicaccessdisabled)
+ [Policy:S3/BucketPublicAccessGranted](#policy-s3-bucketpublicaccessgranted)
+ [Stealth:S3/ServerAccessLoggingDisabled](#stealth-s3-serveraccessloggingdisabled)
+ [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](#unauthorizedaccess-s3-maliciousipcallercustom)
+ [UnauthorizedAccess:S3/TorIPCaller](#unauthorizedaccess-s3-toripcaller)
## Discovery:S3/AnomalousBehavior
### 常用于发现 S3 对象的 API 被异常调用。
**默认严重级别:低**
+ **数据源:**S3 CloudTrail 的数据事件
此调查发现通知您,IAM 实体已调用 S3 API 来发现您环境中的 S3 存储桶,例如 `ListObjects`。此类活动与攻击的发现阶段相关,在该阶段攻击者收集信息以确定您的 AWS 环境是否容易受到更广泛的攻击。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。
此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅[查找详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Discovery:S3/MaliciousIPCaller
### 通常用于在 AWS 环境中发现资源的 S3 API 是从已知的恶意 IP 地址调用的。
**默认严重级别:高**
+ **数据源:**S3 CloudTrail 的数据事件
此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。观察到的 API 通常与攻击的发现阶段相关联,即攻击者正在收集有关您的 AWS 环境的信息。示例包括 `GetObjectAcl` 和 `ListObjects`。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Discovery:S3/MaliciousIPCaller.Custom
### 自定义威胁列表中的 IP 地址调用了 S3 API。
**默认严重级别:高**
+ **数据源:**S3 CloudTrail 的数据事件
此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 S3 API(例如 `GetObjectAcl` 或 `ListObjects`)。调查发现详细信息的**其他信息**部分列有该调查发现所对应的威胁列表。此类活动与攻击的发现阶段有关,攻击者会在该阶段收集信息,以确定您的 AWS 环境是否容易受到更广泛的攻击。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Discovery:S3/TorIPCaller
### Tor 出口节点 IP 地址调用了 S3 API。
**默认严重级别:中**
+ **数据源:**S3 CloudTrail 的数据事件
此调查发现通知您,Tor 出口节点 IP 地址调用了 S3 API(例如 `GetObjectAcl` 和 `ListObjects`)。此类活动与攻击的发现阶段有关,攻击者正在收集信息以确定您的 AWS 环境是否容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这可能表示未经授权访问您的 AWS 资源,目的是隐藏攻击者的真实身份。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Exfiltration:S3/AnomalousBehavior
### IAM 实体以可疑的方式调用了 S3 API。
**默认严重级别:高**
+ **数据源:**S3 CloudTrail 的数据事件
此调查发现通知您,IAM 实体正在进行涉及 S3 存储桶的 API 调用,并且此活动与该实体的既定基准不同。此活动中使用的 API 调用在攻击的渗透阶段进行,攻击者在该阶段试图收集数据。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。
此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅[查找详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Exfiltration:S3/MaliciousIPCaller
### 通常用于从 AWS 环境中收集数据的 S3 API 是从已知的恶意 IP 地址调用的。
**默认严重级别:高**
+ **数据源:**S3 CloudTrail 的数据事件
此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。API 通常与攻击者试图从您的网络收集数据的泄露策略相关联。示例包括 `GetObject` 和 `CopyObject`。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Impact:S3/AnomalousBehavior.Delete
### IAM 实体以可疑的方式调用了试图删除数据的 S3 API。
**默认严重级别:高**
+ **数据源:**S3 CloudTrail 的数据事件
这一发现告诉您,您的 AWS 环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,而这种行为与该实体的既定基准不同。此活动中使用的 API 调用与试图删除数据的攻击相关联。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。
此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅[查找详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
我们建议您对 S3 存储桶的内容进行审计,以确定是否可以或应该恢复之前的对象版本。
## Impact:S3/AnomalousBehavior.Permission
### 异常调用了常用于设置访问控制列表(ACL)权限的 API。
**默认严重级别:高**
+ **数据源:**S3 CloudTrail 的数据事件
这一发现告诉您,您的 AWS 环境中的 IAM 实体已更新了列出的 S3 存储桶上的存储桶策略或 ACL。此更改可能会向所有经过身份验证的 AWS 用户公开您的 S3 存储桶。
此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅[查找详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
我们建议对您的 S3 存储桶的内容进行审计,以确保没有对象被意外允许公开访问。
## Impact:S3/AnomalousBehavior.Write
### IAM 实体调用了试图以可疑方式写入数据的 S3 API。
**默认严重级别:中**
+ **数据源:**S3 CloudTrail 的数据事件
这一发现告诉您,您的 AWS 环境中的 IAM 实体正在进行涉及 S3 存储桶的 API 调用,而这种行为与该实体的既定基准不同。此活动中使用的 API 调用与尝试写入数据的攻击相关联。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,以前没有历史记录的 IAM 实体调用了 S3 API,或者 IAM 实体从异常位置调用 S3 API。
此 API 被 GuardDuty异常检测机器学习 (ML) 模型确定为异常。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的技术相关的异常事件。还会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置、请求的特定 API、请求的存储桶,以及发出的 API 调用次数。如需了解对于调用 API 请求的用户身份而言具体的异常因素,请参阅[查找详细信息](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
我们建议您对 S3 存储桶的内容进行审计,以确保此 API 调用未写入恶意或未经授权的数据。
## Impact:S3/MaliciousIPCaller
### 通常用于在 AWS 环境中篡改数据或进程的 S3 API 是从已知的恶意 IP 地址调用的。
**默认严重级别:高**
+ **数据源:**S3 CloudTrail 的数据事件
此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 S3 API 操作。观察到的 API 通常与冲击策略相关联,在这种策略中,对手试图操纵、中断或销毁您的 AWS 环境中的数据。示例包括 `PutObject` 和 `PutObjectAcl`。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## PenTest:S3/KaliLinux
### 运行有 Kali Linux 的计算机调用了 S3 API。
**默认严重级别:中**
+ **数据源:**S3 CloudTrail 的数据事件
这一发现告诉你,一台运行 Kali Linux 的计算机正在使用属于你 AWS 账户的凭据进行 S3 API 调用。您的凭证可能遭到盗用。Kali Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞,并获得对您的 AWS 环境的未经授权的访问权限。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## PenTest:S3/ParrotLinux
### 运行有 Parrot Security Linux 的计算机调用了 S3 API。
**默认严重级别:中**
+ **数据源:**S3 CloudTrail 的数据事件
这一发现告诉你,一台运行 Parrot Security Linux 的计算机正在使用属于你 AWS 账户的凭据进行 S3 API 调用。您的凭证可能遭到盗用。Parrot Security Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者也会使用此工具来寻找 EC2 配置漏洞和获取对您 AWS 环境未经授权的访问。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## PenTest:S3/PentooLinux
### 运行有 Pentoo Linux 的计算机调用了 S3 API。
**默认严重级别:中**
+ **数据源:**S3 CloudTrail 的数据事件
这一发现告诉你,一台运行 Pentoo Linux 的计算机正在使用属于你 AWS 账户的凭据进行 S3 API 调用。您的凭证可能遭到盗用。Pentoo Linux 是一款流行的渗透测试工具,安全专家用它来确定 EC2 实例中需要修补的漏洞。攻击者还使用此工具来发现 EC2 配置漏洞,并获得对您的 AWS 环境的未经授权的访问权限。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Policy:S3/AccountBlockPublicAccessDisabled
### IAM 实体调用了用于禁用账户上 S3 屏蔽公共访问权限的 API。
**默认严重级别:低**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,Amazon S3 屏蔽公共访问权限已在账户级别禁用。启用 S3 阻止公共访问设置后,这些设置将用于筛选存储桶上的策略或访问控制列表 (ACLs),以此作为一项安全措施,以防止无意中向公众泄露数据。
通常情况下,会关闭账户的 S3 屏蔽公共访问权限,以允许公开访问存储桶或存储桶中的对象。当某个账户禁用 S3 阻止公共访问时,对存储桶的访问权限将由应用于您的个人存储桶的策略或存储桶级别的 “阻止公共访问” 设置来控制。 ACLs这并不一定意味着将公开共享存储桶,但应审计应用于存储桶的权限,以确认这些权限提供了适当的访问级别。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Policy:S3/BucketAnonymousAccessGranted
### IAM 委托人已通过更改存储桶策略向互联网授予对 S3 存储桶的访问权限,或者 ACLs。
**默认严重级别:高**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您,由于 IAM 实体更改了所列出的 S3 存储桶的策略或 ACL,因此该存储桶已可在 Internet 上公开访问。
检测到策略或 ACL 更改后, GuardDuty 使用由 [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) 支持的自动推理来确定存储桶是否可公开访问。
**注意**
如果将存储桶 ACLs 或存储桶策略配置为显式拒绝或全部拒绝,则此结果可能无法反映存储桶的当前状态。此调查发现不会反映任何可能已为您的 S3 存储桶启用的 [S3 屏蔽公共访问权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)设置。在这种情况下,调查发现中的 `effectivePermission` 值将标记为 `UNKNOWN`。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Policy:S3/BucketBlockPublicAccessDisabled
### IAM 主体调用了禁用存储桶 S3 屏蔽公共访问权限的 API。
**默认严重级别:低**
+ **数据源:**CloudTrail 管理事件
此调查发现通知您已禁用列出的 S3 存储桶的屏蔽公开访问权限。启用后,S3 Block Public Access 设置用于筛选应用于存储桶的策略或访问控制列表 (ACLs),以此作为一项安全措施,以防止无意中向公众泄露数据。
通常情况下,会关闭存储桶的 S3 屏蔽公共访问权限,以允许公开访问该存储桶或其中的对象。当对存储桶禁用 S3 阻止公共访问时,对该存储桶的访问权限将由策略控制或 ACLs 应用于该存储桶。这并不意味着存储桶已公开共享,但您应审核策略并将其 ACLs 应用于存储桶,以确认已应用适当的权限。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Policy:S3/BucketPublicAccessGranted
### IAM 委托人已通过更改存储桶策略向所有 AWS 用户授予对 S3 存储桶的公共访问权限或 ACLs。
**默认严重级别:高**
+ **数据源:**CloudTrail 管理事件
这一发现告诉您,列出的 S3 存储桶已向所有经过身份验证的 AWS 用户公开,因为 IAM 实体更改了该 S3 存储桶的存储桶策略或 ACL。
检测到策略或 ACL 更改后, GuardDuty 使用由 [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) 支持的自动推理来确定存储桶是否可公开访问。
**注意**
如果将存储桶 ACLs 或存储桶策略配置为显式拒绝或全部拒绝,则此结果可能无法反映存储桶的当前状态。此调查发现不会反映任何可能已为您的 S3 存储桶启用的 [S3 屏蔽公共访问权限](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)设置。在这种情况下,调查发现中的 `effectivePermission` 值将标记为 `UNKNOWN`。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Stealth:S3/ServerAccessLoggingDisabled
### 已为存储桶禁用 S3 服务器访问日志记录。
**默认严重级别:低**
+ **数据源:**CloudTrail 管理事件
这一发现告诉您,您的 AWS 环境中的存储桶已禁用 S3 服务器访问日志记录。如果禁用,则不会为访问已识别的 S3 存储桶的任何尝试创建 Web 请求日志,但是,仍会跟踪对该存储桶的 S3 管理 API 调用(例如 [DeleteBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html))。如果通过 CloudTrail 为该存储桶启用 S3 数据事件记录,则仍将跟踪对存储桶内对象的 Web 请求。禁用日志记录是未经授权的用户为逃避检测而使用的一种技术。要了解有关 S3 日志的更多信息,请参阅 [S3 服务器访问日志记录](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html)和 [S3 日志记录选项](https://docs.aws.amazon.com/AmazonS3/latest/userguide/logging-with-S3.html)。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## UnauthorizedAccess:S3/MaliciousIPCaller.Custom
### 自定义威胁列表中的 IP 地址调用了 S3 API。
**默认严重级别:高**
+ **数据源:**S3 CloudTrail 的数据事件
此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 S3 API 操作(例如 `PutObject` 或 `PutObjectAcl`)。调查发现详细信息的**其他信息**部分列有该调查发现所对应的威胁列表。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## UnauthorizedAccess:S3/TorIPCaller
### Tor 出口节点 IP 地址调用了 S3 API。
**默认严重级别:高**
+ **数据源:**S3 CloudTrail 的数据事件
此调查发现通知您,Tor 出口节点 IP 地址调用了 S3 API 操作(例如 `PutObject` 和 `PutObjectAcl`)。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这一发现可能表明有人未经授权访问您的 AWS 资源,目的是隐藏攻击者的真实身份。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
# EKS 防护调查发现类型
以下调查发现特定于 Amazon EKS 资源,并且 **resource\$1type** 为 `EKSCluster`。调查发现的严重性和详细信息将因调查发现类型而异。
对于所有 EKS 审计日志类型的调查发现,我们建议您检查相关资源,以确定该活动是正常的活动还是潜在的恶意活动。有关修复 GuardDuty 调查结果所识别的受损的 EKS 审核日志资源的指南,请参阅[修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
**注意**
如果生成这些调查发现的活动是正常的活动,则应考虑添加 [中的抑制规则 GuardDuty](findings_suppression-rule.md) 以防将来发出警报。
**Topics**
+ [CredentialAccess:Kubernetes/MaliciousIPCaller](#credentialaccess-kubernetes-maliciousipcaller)
+ [CredentialAccess:Kubernetes/MaliciousIPCaller.Custom](#credentialaccess-kubernetes-maliciousipcallercustom)
+ [CredentialAccess:Kubernetes/SuccessfulAnonymousAccess](#credentialaccess-kubernetes-successfulanonymousaccess)
+ [CredentialAccess:Kubernetes/TorIPCaller](#credentialaccess-kubernetes-toripcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller](#defenseevasion-kubernetes-maliciousipcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom](#defenseevasion-kubernetes-maliciousipcallercustom)
+ [DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess](#defenseevasion-kubernetes-successfulanonymousaccess)
+ [DefenseEvasion:Kubernetes/TorIPCaller](#defenseevasion-kubernetes-toripcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller](#discovery-kubernetes-maliciousipcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](#discovery-kubernetes-maliciousipcallercustom)
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](#discovery-kubernetes-successfulanonymousaccess)
+ [Discovery:Kubernetes/TorIPCaller](#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller](#impact-kubernetes-maliciousipcaller)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](#impact-kubernetes-maliciousipcallercustom)
+ [Impact:Kubernetes/SuccessfulAnonymousAccess](#impact-kubernetes-successfulanonymousaccess)
+ [Impact:Kubernetes/TorIPCaller](#impact-kubernetes-toripcaller)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](#persistence-kubernetes-containerwithsensitivemount)
+ [Persistence:Kubernetes/MaliciousIPCaller](#persistence-kubernetes-maliciousipcaller)
+ [Persistence:Kubernetes/MaliciousIPCaller.Custom](#persistence-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/SuccessfulAnonymousAccess](#persistence-kubernetes-successfulanonymousaccess)
+ [Persistence:Kubernetes/TorIPCaller](#persistence-kubernetes-toripcaller)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/AnonymousAccessGranted](#policy-kubernetes-anonymousaccessgranted)
+ [Policy:Kubernetes/ExposedDashboard](#policy-kubernetes-exposeddashboard)
+ [Policy:Kubernetes/KubeflowDashboardExposed](#policy-kubernetes-kubeflowdashboardexposed)
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](#privilegeescalation-kubernetes-privilegedcontainer)
+ [CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed](#credaccess-kubernetes-anomalousbehavior-secretsaccessed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated](#privesc-kubernetes-anomalousbehavior-rolebindingcreated)
+ [Execution:Kubernetes/AnomalousBehavior.ExecInPod](#execution-kubernetes-anomalousbehvaior-execinprod)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer](#privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer)
+ [Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount](#privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount)
+ [Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed](#exec-kubernetes-anomalousbehavior-workloaddeployed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated](#privesc-kubernetes-anomalousbehavior-rolecreated)
+ [Discovery:Kubernetes/AnomalousBehavior.PermissionChecked](#discovery-kubernetes-anomalousbehavrior-permissionchecked)
**注意**
在 Kubernetes 版本 1.14 之前,该`system:unauthenticated`群组与默认关联且处于关联状态。`system:discovery` `system:basic-user` **ClusterRoles**这种关联可能导致匿名用户意外访问。更新集群不会撤消这些权限。即使您将集群更新到版本 1.14 或更高版本,这些权限仍可能处于启用状态。我们建议您取消这些权限与 `system:unauthenticated` 组的关联。有关撤销这些权限的指南,请参阅《Amazon EKS 用户指南》中的 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**。
## CredentialAccess:Kubernetes/MaliciousIPCaller
### 已知的恶意 IP 地址调用了常用于访问 Kubernetes 集群中凭证或机密的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。观测到的 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/MaliciousIPCaller.Custom
### 自定义威胁列表中的 IP 地址调用了常用于访问 Kubernetes 集群中凭证或机密的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的**其他信息**部分列有该调查发现所对应的威胁列表。观测到的 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/SuccessfulAnonymousAccess
### 未经身份验证的用户调用了通常用于访问 Kubernetes 集群中凭证或机密的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,`system:anonymous` 用户成功调用了 API 操作。由 `system:anonymous` 发出的 API 调用未经身份验证。此 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。
**修复建议:**
您应检查集群上已授予 `system:anonymous` 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限并撤消攻击者对集群所做的任何更改。有关更多信息,请参阅《Amazon EKS 用户指南》中的 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**。
有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/TorIPCaller
### Tor 出口节点 IP 地址调用了常用于访问 Kubernetes 集群中凭证或机密的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与凭证访问策略有关,在这种策略中,攻击者会试图收集 Kubernetes 集群的密码、用户名和访问密钥。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群资源,并意图隐藏攻击者的真实身份。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/MaliciousIPCaller
### 已知的恶意 IP 地址调用了常用于逃避防御措施的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。观测到的 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom
### 自定义威胁列表中的 IP 地址调用了常用于逃避防御措施的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的**其他信息**部分列有该调查发现所对应的威胁列表。观测到的 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess
### 未经身份验证的用户调用了常用于逃避防御措施的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,`system:anonymous` 用户成功调用了 API 操作。由 `system:anonymous` 发出的 API 调用未经身份验证。此 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。
**修复建议:**
您应检查集群上已授予 `system:anonymous` 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限并撤消攻击者对集群所做的任何更改。有关更多信息,请参阅《Amazon EKS 用户指南》中的 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**。
有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/TorIPCaller
### Tor 出口节点 IP 地址调用了常用于逃避防御措施的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与逃避防御策略有关,在这种策略中,攻击者试图隐藏自己的行为以避免被发现。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群,并意图隐藏攻击者的真实身份。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/MaliciousIPCaller
### 某个 IP 地址调用了一个常用于发现 Kubernetes 集群中资源的 API。
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。此 API 通常用于攻击的发现阶段,攻击者在该阶段会收集信息,以确定 Kubernetes 集群是否容易受到更广泛的攻击。
**未通过身份验证的访问**
不会针对未通过身份验证的访问生成 MaliciousIPCaller 调查发现。
针对未通过身份验证的访问会生成 SuccessfulAnonymousAccess 调查发现。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/MaliciousIPCaller.Custom
### 自定义威胁列表中的 IP 地址调用了常用于发现 Kubernetes 集群中资源的 API。
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API。调查发现详细信息的**其他信息**部分列有该调查发现所对应的威胁列表。此 API 通常用于攻击的发现阶段,攻击者在该阶段会收集信息,以确定 Kubernetes 集群是否容易受到更广泛的攻击。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/SuccessfulAnonymousAccess
### 未经身份验证的用户调用了常用于发现 Kubernetes 集群中资源的 API。
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,`system:anonymous` 用户成功调用了 API 操作。由 `system:anonymous` 发出的 API 调用未经身份验证。此 API 通常与攻击的发现阶段有关,攻击者在该阶段将收集有关您的 Kubernetes 集群的信息。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。
此调查发现类型不包括运行状况检查 API 端点(例如 `/healthz`、`/livez`、`/readyz` 和 `/version`)。
**修复建议:**
您应检查集群上已授予 `system:anonymous` 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限并撤消攻击者对集群所做的任何更改。有关更多信息,请参阅《Amazon EKS 用户指南》中的 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**。
有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/TorIPCaller
### 某个 Tor 出口节点 IP 地址调用了常用于发现 Kubernetes 集群中资源的 API。
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,Tor 出口节点 IP 地址调用了 API。此 API 通常用于攻击的发现阶段,攻击者在该阶段会收集信息,以确定 Kubernetes 集群是否容易受到更广泛的攻击。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群,并意图隐藏攻击者的真实身份。
**修复建议:**
如果该`KubernetesUserDetails`部分下的调查结果中报告的用户是`system:anonymous`,请按照《Amazon EK [S 用户指南》中 Amazon E APIand KS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)*中的说明,调查允许匿名用户*在需要时调用撤销权限的原因。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Execution:Kubernetes/ExecInKubeSystemPod
### 在 `kube-system` 命名空间内的容器组中执行了一条命令
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,通过使用 **Kubernetes exec API**,在 `kube-system` 命名空间内的容器组中执行了一条命令。`kube-system` 命名空间是默认命名空间,主要用于系统级组件,例如 `kube-dns` 和 `kube-proxy`。在 `kube-system` 命名空间下的容器组或容器内执行命令的情况很少见,这种情况可能表明存在可疑活动。
**修复建议:**
如果意外执行此命令,则用于执行该命令的用户身份凭证可能已被盗用。撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/MaliciousIPCaller
### 一个已知的恶意 IP 地址调用了常用于篡改 Kubernetes 集群中资源的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。观察到的 API 通常与冲击策略相关联,在这种策略中,对手试图操纵、中断或销毁您的 AWS 环境中的数据。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/MaliciousIPCaller.Custom
### 自定义威胁列表中的 IP 地址调用了常用于篡改 Kubernetes 集群中资源的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的**其他信息**部分列有该调查发现所对应的威胁列表。观察到的 API 通常与冲击策略相关联,在这种策略中,对手试图操纵、中断或销毁您的 AWS 环境中的数据。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/SuccessfulAnonymousAccess
### 未经身份验证的用户调用了常用于篡改 Kubernetes 集群中资源的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,`system:anonymous` 用户成功调用了 API 操作。由 `system:anonymous` 发出的 API 调用未经身份验证。此 API 通常与攻击的影响阶段有关,攻击者在此阶段将篡改集群中的资源。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。
**修复建议:**
您应检查集群上已授予 `system:anonymous` 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限并撤消攻击者对集群所做的任何更改。有关更多信息,请参阅《Amazon EKS 用户指南》中的 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**。
有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/TorIPCaller
### Tor 出口节点 IP 地址调用了常用于篡改 Kubernetes 集群中资源的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与冲击策略有关,在这种策略中,攻击者试图操纵、中断或销毁您 AWS 环境中的数据。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问您的 Kubernetes 集群,并意图隐藏攻击者的真实身份。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/ContainerWithSensitiveMount
### 启动了挂载有敏感外部主机路径的容器。
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,启动的容器配置了在 `volumeMounts` 部分具有写入权限的敏感主机路径。这使敏感主机路径可以从容器内部进行访问和写入。攻击者通常使用这种技术来访问主机的文件系统。
**修复建议:**
如果意外启动此容器,则用于启动容器的用户身份凭证可能已被盗用。撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
如果此容器的启动是正常的活动,则建议您使用由基于 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 字段的筛选条件组成的抑制规则。在筛选条件中,`imagePrefix` 字段应与调查发现中指定的 `imagePrefix` 字段相同。要了解有关创建抑制规则的更多信息,请参阅[抑制规则](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule)。
## Persistence:Kubernetes/MaliciousIPCaller
### 已知的恶意 IP 地址调用了常用于获得对 Kubernetes 集群具有持久访问权限的 API。
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,与已知恶意活动关联的 IP 地址调用了 API 操作。观测到的 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的 Kubernetes 集群的访问权限并试图长久保有该访问权限。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/MaliciousIPCaller.Custom
### 自定义威胁列表中的 IP 地址调用了常用于获得对 Kubernetes 集群具有持久访问权限的 API。
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,您上传的威胁列表中的 IP 地址调用了 API 操作。调查发现详细信息的**其他信息**部分列有该调查发现所对应的威胁列表。观测到的 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的 Kubernetes 集群的访问权限并试图长久保有该访问权限。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/SuccessfulAnonymousAccess
### 未经身份验证的用户调用了常用于获取 Kubernetes 集群高级权限的 API。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,`system:anonymous` 用户成功调用了 API 操作。由 `system:anonymous` 发出的 API 调用未经身份验证。此 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的集群的访问权限并试图长久保有该访问权限。此活动表示,存在对调查发现中报告的 API 操作进行匿名或未经身份验证的访问的许可,而且可能也存在对其他操作进行同样类型的访问的许可。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。
**修复建议:**
您应检查集群上已授予 `system:anonymous` 用户的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤消用户的访问权限并撤消攻击者对集群所做的任何更改。有关更多信息,请参阅《Amazon EKS 用户指南》中的 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**。
有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/TorIPCaller
### Tor 出口节点 IP 地址调用了常用于获得对 Kubernetes 集群具有持久访问权限的 API。
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,Tor 出口节点 IP 地址调用了 API。观测到的 API 通常与持久性策略有关,在这种策略中,攻击者已获得对您的 Kubernetes 集群的访问权限并试图长久保有该访问权限。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这可能表示未经授权访问您的 AWS 资源,意图隐藏攻击者的真实身份。
**修复建议:**
如果 `KubernetesUserDetails` 部分下调查发现报告的用户是 `system:anonymous`,则应调查允许匿名用户调用 API 的原因,并按照《Amazon EKS 用户指南》中 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**部分的说明,在需要时撤销权限。如果用户经过了身份验证,则应进行调查以确定该活动是合法活动还是恶意活动。如果活动是恶意活动,则撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/AdminAccessToDefaultServiceAccount
### 默认服务账户被授予了 Kubernetes 集群的管理员权限。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,Kubernetes 集群中命名空间的默认服务账户已被授予管理员权限。Kubernetes 会为集群中的所有命名空间创建一个默认服务账户。还会自动将默认服务帐号作为身份,分配给尚未明确关联到其他服务帐号的容器组。如果默认服务帐户具有管理员权限,则可能会导致容器组无意中以管理员权限启动。如果这类活动不是正常活动,则可能是配置错误或您的凭证已遭到盗用。
**修复建议:**
不应使用默认服务帐户向容器组授予权限。相反,您应为每个工作负载都分别创建一个专用服务帐户,并根据需要向相应的帐户授予权限。要解决此问题,您应为所有容器组和工作负载创建专用服务帐户,并更新容器组和工作负载以从默认服务帐户迁移到其专用帐户。然后删除默认服务账户的管理员权限。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/AnonymousAccessGranted
### `system:anonymous` 用户已获得 Kubernetes 集群的 API 权限。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现通知您,Kubernetes 集群上的用户成功创建了 `ClusterRoleBinding` 或 `RoleBinding`,以将用户 `system:anonymous` 绑定到某个角色。这样就可以在未经身份验证的情况下访问此角色允许的 API 操作。如果这类活动不是正常活动,则可能是配置错误或您的凭据遭到盗用。
**修复建议:**
您应检查已授予集群上的 `system:anonymous` 用户或 `system:unauthenticated` 群组的权限,并撤消不必要的匿名访问权限。有关更多信息,请参阅《Amazon EKS 用户指南》中的 [Amazon EKS 安全最佳实践](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)**。如果权限是恶意授予的,则应撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/ExposedDashboard
### Kubernetes 集群的控制面板已在 Internet 上暴露
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,集群的 Kubernetes 控制面板已通过负载均衡器服务在 Internet 上暴露。暴露的控制面板会使他人可从 Internet 访问到集群的管理界面,从而让攻击者利用可能存在的任何身份验证和访问控制漏洞进行攻击操作。
**修复建议:**
您应确保在 Kubernetes 控制面板上强制执行严格的身份验证和授权。还应实施网络访问控制,以限制特定 IP 地址对控制面板的访问。
有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/KubeflowDashboardExposed
### Kubernetes 集群的 **Kubeflow** 控制面板已在 Internet 上暴露
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,集群的 **Kubeflow** 控制面板已通过负载均衡器服务在 Internet 上暴露。暴露的 **Kubeflow** 控制面板会使他人可从 Internet 访问到 **Kubeflow** 环境的管理界面,从而让攻击者利用可能存在的任何身份验证和访问控制漏洞进行攻击操作。
**修复建议:**
您应确保在 **Kubeflow** 控制面板上强制执行严格的身份验证和授权。还应实施网络访问控制,以限制特定 IP 地址对控制面板的访问。
有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## PrivilegeEscalation:Kubernetes/PrivilegedContainer
### 您的 Kubernetes 集群上启动了一个具有根级访问权限的特权容器。
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现通知您,您的 Kubernetes 集群上启动了一个特权容器,所使用的镜像以前从未用于启动集群中的特权容器。特权容器具有对主机的根级访问权限。攻击者可以启动特权容器作为权限升级策略,以获得对主机的访问权限,然后攻击主机。
**修复建议:**
如果意外启动此容器,则用于启动容器的用户身份凭证可能已被盗用。撤消用户的访问权限,并撤消攻击者对您的集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed
### 以异常方式调用了某个通常用于访问机密的 Kubernetes API。
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现表明,集群中有某个 Kubernetes用户进行了异常 API 操作调用来检索敏感的集群机密。观察到的 API 通常与可能导致在集群中升级权限和进一步访问的凭证访问战术有关。如果此行为不是预期行为,则可能说明有配置错误或您的 AWS 凭证已经泄露。
异常检测机器学习 (ML) 模型将观察到的 API 确定为 GuardDuty 异常。该 ML 模型会评估 EKS 集群中所有用户的 API 活动,并识别与未授权用户所用技巧相关的异常事件。该 ML 模型会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。
**修复建议:**
检查向集群中的 Kubernetes 用户授予的权限,并确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
如果您的 AWS 凭证遭到泄露,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)。
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated
### 在 RoleBinding 您的 Kubernetes 集群中创建或修改了过于宽松的角色或敏感命名空间的或。 ClusterRoleBinding
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果 RoleBinding 或 ClusterRoleBinding 涉及 ClusterRoles `admin`或`cluster-admin`,则严重性为 “高”。
+ **功能:**EKS 审计日志
此调查发现表明,Kubernetes 集群中有用户创建了一个将用户绑定到具有管理员权限或敏感命名空间的角色的 `RoleBinding` 或 `ClusterRoleBinding`。如果此行为不是预期行为,则可能说明有配置错误或您的 AWS 凭证已经泄露。
异常检测机器学习 (ML) 模型将观察到的 API 确定为 GuardDuty 异常。该 ML 模型会评估 EKS 集群中所有用户的 API 活动。该 ML 模型还会识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。
**修复建议:**
检查授予 Kubernetes 用户的权限。这些权限是在 `RoleBinding` 和 `ClusterRoleBinding` 所涉角色和主体中定义的。如果权限是错误或恶意授予的,则应撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
如果您的 AWS 凭证遭到泄露,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Execution:Kubernetes/AnomalousBehavior.ExecInPod
### 在容器组(pod)内部以异常方式执行了某个命令。
**默认严重级别:中**
+ **功能:**EKS 审计日志
此调查发现表明,在容器组中使用 Kubernetes exec API 执行了一个命令。Kubernetes exec API 允许在容器组中运行任意命令。如果预计用户、命名空间或 pod 不会出现这种行为,则可能表示配置错误或您的 AWS 凭据遭到泄露。
异常检测机器学习 (ML) 模型将观察到的 API 确定为 GuardDuty 异常。该 ML 模型会评估 EKS 集群中所有用户的 API 活动。该 ML 模型还会识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。
**修复建议:**
如果此命令的执行不符合预期,则用于执行该命令的用户身份凭证可能已经泄露。撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
如果您的 AWS 凭证遭到泄露,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)。
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer
### 以异常方式使用特权容器启动了某个工作负载。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现表明,使用 Amazon EKS 集群中的特权容器启动了某个工作负载。特权容器具有对主机的根级访问权限。未授权用户可能将启动特权容器作为权限升级战术,用来首先获得对主机的访问权限,然后攻陷主机。
异常检测机器学习 (ML) 模型将观察到的容器创建或修改确定为 GuardDuty 异常。该 ML 模型会评估 EKS 集群中所有用户的 API 和容器映像活动。该 ML 模型还会识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在账户中观察到的容器映像以及用户操作的命名空间。您可以在 GuardDuty控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。
**修复建议:**
如果此容器启动不符合预期,则用于启动容器的用户身份凭证可能已经泄露。撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
如果您的 AWS 凭证遭到泄露,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)。
如果此容器启动符合预期,则建议您根据 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 字段使用具有筛选条件的抑制规则。在筛选条件中,`imagePrefix` 字段应与调查发现中指定的 `imagePrefix` 字段具有相同的值。有关更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。
## Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount
### 以异常方式部署了某个工作负载,并在工作负载内挂载了某个敏感主机路径。
**默认严重级别:高**
+ **功能:**EKS 审计日志
此调查发现表明,使用在 `volumeMounts` 部分包含敏感主机路径的容器启动了某个工作负载。这可能会使该敏感主机路径可以从该容器内部进行访问和写入。未授权用户通常使用这种技术来获取主机文件系统的访问权限。
异常检测机器学习 (ML) 模型将观察到的容器创建或修改确定为 GuardDuty 异常。该 ML 模型会评估 EKS 集群中所有用户的 API 和容器映像活动。该 ML 模型还会识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在账户中观察到的容器映像以及用户操作的命名空间。您可以在 GuardDuty控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。
**修复建议:**
如果此容器启动不符合预期,则用于启动容器的用户身份凭证可能已经泄露。撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
如果您的 AWS 凭证遭到泄露,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)。
如果此容器启动符合预期,则建议您根据 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 字段使用具有筛选条件的抑制规则。在筛选条件中,`imagePrefix` 字段应与调查发现中指定的 `imagePrefix` 字段具有相同的值。有关更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。
## Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed
### 以异常方式启动了某个工作负载。
**默认严重级别:低\$1**
**注意**
默认严重性为“低”。但是,如果工作负载包含可能可疑的映像名称(例如已知的渗透测试工具),或者容器在启动时运行可能可疑的命令(例如反向 Shell 命令),则此调查发现类型的严重性将视为“中”。
+ **功能:**EKS 审计日志
此调查发现表明,是在您的 Amazon EKS 集群中以异常方式(例如 API 活动、新容器映像或有风险的工作负载配置)创建或修改了某个 Kubernetes 工作负载。未授权用户可能将启动容器作为执行任意代码的战术,用来首先获得对主机的访问权限,然后攻陷主机。
异常检测机器学习 (ML) 模型将观察到的容器创建或修改确定为 GuardDuty 异常。该 ML 模型会评估 EKS 集群中所有用户的 API 和容器映像活动。该 ML 模型还会识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在账户中观察到的容器映像以及用户操作的命名空间。您可以在 GuardDuty控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。
**修复建议:**
如果此容器启动不符合预期,则用于启动容器的用户身份凭证可能已经泄露。撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
如果您的 AWS 凭证遭到泄露,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)。
如果此容器启动符合预期,则建议您根据 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 字段使用具有筛选条件的抑制规则。在筛选条件中,`imagePrefix` 字段应与调查发现中指定的 `imagePrefix` 字段具有相同的值。有关更多信息,请参阅 [中的抑制规则 GuardDuty](findings_suppression-rule.md)。
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated
### 高度宽松的角色或 ClusterRole 是以异常方式创建或修改的。
**默认严重级别:低**
+ **功能:**EKS 审计日志
此调查发现表明,Amazon EKS 集群中有 Kubernetes 用户调用了某个异常的 API 操作来创建具有过多权限的 `Role` 或 `ClusterRole`。行为者可能使用具有强大权限的角色创建,来避免使用类似管理员的内置角色并逃避检测。过多的权限可能导致权限升级、远程代码执行,并可能导致对命名空间或集群进行控制。如果此行为不是预期行为,则可能说明有配置错误或您的凭证已经泄露。
异常检测机器学习 (ML) 模型将观察到的 API 确定为 GuardDuty 异常。该 ML 模型会评估 Amazon EKS 集群中所有用户的 API 活动,并识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、使用的用户代理、在账户中观察到的容器映像以及用户操作的命名空间。您可以在 GuardDuty控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。
**修复建议:**
检查 `Role` 或 `ClusterRole` 中定义的权限,确保所有权限都是必需的并遵循最低权限原则。如果权限是错误或恶意授予的,则应撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
如果您的 AWS 凭证遭到泄露,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Discovery:Kubernetes/AnomalousBehavior.PermissionChecked
### 某个用户以异常方式检查了其访问权限。
**默认严重级别:低**
+ **功能:**EKS 审计日志
此调查发现表明,Kubernetes 集群中有用户成功检查了是否允许可能导致权限升级和远程代码执行的已知强大权限。例如,用于检查用户权限的常用命令是 `kubectl auth can-i`。如果此行为不是预期行为,则可能说明有配置错误或您的凭证已经泄露。
异常检测机器学习 (ML) 模型将观察到的 API 确定为 GuardDuty 异常。该 ML 模型会评估 Amazon EKS 集群中所有用户的 API 活动,并识别与未授权用户所用技巧相关的异常事件。该 ML 模型还会跟踪 API 操作的多个因素,例如发出请求的用户、发出请求的位置、检查的权限以及用户操作的命名空间。您可以在 GuardDuty 控制台的查找详细信息面板中找到不寻常的 API 请求的详细信息。
**修复建议:**
检查向 Kubernetes 用户授予的权限,确保所有权限都是必需的。如果权限是错误或恶意授予的,则应撤销用户的访问权限,并撤销未授权用户对集群所做的任何更改。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
如果您的 AWS 凭证遭到泄露,请参阅[修复可能被泄露的凭证 AWS](compromised-creds.md)。
# GuardDuty 运行时监控查找类型
亚马逊 GuardDuty 生成以下运行时监控结果,根据来自亚马逊 EKS 集群中的 Amazon EC2 主机和容器、Fargate 和 Amazon ECS 工作负载以及 Amazon EC2 实例的操作系统级行为来指出潜在威胁。
**注意**
运行时系统监控调查发现类型基于从主机收集的运行时系统日志。日志中包含可能被恶意行为者控制的文件路径等字段。这些字段也包含在 GuardDuty 调查结果中,以提供运行时上下文。在 GuardDuty 控制台之外处理运行时监控结果时,必须对查找字段进行消毒。例如,在网页显示调查发现字段时,您可以对其进行 HTML 编码。
**Topics**
+ [CryptoCurrency:Runtime/BitcoinTool.B](#cryptocurrency-runtime-bitcointoolb)
+ [Backdoor:Runtime/C&CActivity.B](#backdoor-runtime-ccactivityb)
+ [UnauthorizedAccess:Runtime/TorRelay](#unauthorizedaccess-runtime-torrelay)
+ [UnauthorizedAccess:Runtime/TorClient](#unauthorizedaccess-runtime-torclient)
+ [Trojan:Runtime/BlackholeTraffic](#trojan-runtime-blackholetraffic)
+ [Trojan:Runtime/DropPoint](#trojan-runtime-droppoint)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](#cryptocurrency-runtime-bitcointoolbdns)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](#backdoor-runtime-ccactivitybdns)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](#trojan-runtime-droppointdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](#trojan-runtime-phishingdomainrequestdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](#impact-runtime-suspiciousdomainrequestreputation)
+ [UnauthorizedAccess:Runtime/MetadataDNSRebind](#unauthorizedaccess-runtime-metadatadnsrebind)
+ [Execution:Runtime/NewBinaryExecuted](#execution-runtime-newbinaryexecuted)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](#privilegeesc-runtime-dockersocketaccessed)
+ [PrivilegeEscalation:Runtime/RuncContainerEscape](#privilegeesc-runtime-runccontainerescape)
+ [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](#privilegeesc-runtime-cgroupsreleaseagentmodified)
+ [DefenseEvasion:Runtime/ProcessInjection.Proc](#defenseeva-runtime-processinjectionproc)
+ [DefenseEvasion:Runtime/ProcessInjection.Ptrace](#defenseeva-runtime-processinjectionptrace)
+ [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](#defenseeva-runtime-processinjectionvirtualmemw)
+ [Execution:Runtime/ReverseShell](#execution-runtime-reverseshell)
+ [DefenseEvasion:Runtime/FilelessExecution](#defenseeva-runtime-filelessexecution)
+ [Impact:Runtime/CryptoMinerExecuted](#impact-runtime-cryptominerexecuted)
+ [Execution:Runtime/NewLibraryLoaded](#execution-runtime-newlibraryloaded)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/UserfaultfdUsage](#privilegeescalation-runtime-userfaultfdusage)
+ [Execution:Runtime/SuspiciousTool](#execution-runtime-suspicioustool)
+ [Execution:Runtime/SuspiciousCommand](#execution-runtime-suspiciouscommand)
+ [DefenseEvasion:Runtime/SuspiciousCommand](#defenseevasion-runtime-suspicious-command)
+ [DefenseEvasion:Runtime/PtraceAntiDebugging](#defenseevasion-runtime-ptrace-anti-debug)
+ [Execution:Runtime/MaliciousFileExecuted](#execution-runtime-malicious-file-executed)
+ [Execution:Runtime/SuspiciousShellCreated](#execution-runtime-suspicious-shell-created)
+ [PrivilegeEscalation:Runtime/ElevationToRoot](#privilegeesc-runtime-elevation-to-root)
+ [Discovery:Runtime/SuspiciousCommand](#discovery-runtime-suspicious-command)
+ [Persistence:Runtime/SuspiciousCommand](#persistence-runtime-suspicious-command)
+ [PrivilegeEscalation:Runtime/SuspiciousCommand](#privilege-escalation-runtime-suspicious-command)
+ [DefenseEvasion:Runtime/KernelModuleLoaded](#defenseevasion-runtime-kernelmoduleloaded)
## CryptoCurrency:Runtime/BitcoinTool.B
### Amazon EC2 实例或容器正在查询与加密货币相关活动关联的 IP 地址。
**默认严重级别:高**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程,正在查询与加密货币相关活动关联的 IP 地址。威胁行为者可能会试图控制计算资源,恶意将这些资源重新用于未经授权的加密货币挖掘。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果您使用此 EC2 实例或容器挖掘或管理加密货币,或者此 EC2 实例或容器涉及区块链活动,则 CryptoCurrency:Runtime/BitcoinTool.B 调查发现可能表示您环境的预期活动。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `CryptoCurrency:Runtime/BitcoinTool.B`。第二个筛选条件应该是实例的**实例 ID** 或容器的**容器镜像 ID**,此类实例或容器涉及加密货币或区块链相关活动。有关更多信息,请参阅[抑制规则](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)。
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Backdoor:Runtime/C&CActivity.B
### Amazon EC2 实例或容器正在查询与已知命令和控制服务器关联的 IP。
**默认严重级别:高**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程,正在查询与已知命令和控制(C&C)服务器关联的 IP 地址。列出的实例或容器可能会被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。
僵尸网络是一组联网的设备,可能包括服务器 PCs、移动设备和物联网设备,这些设备受到一种常见的恶意软件的感染和控制。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的目的和结构,C&C 服务器还可能发出命令开始分布式拒绝服务 (DDoS) 攻击。
**注意**
如果查询的 IP 与 log4j 相关,则关联查找结果的字段将包含以下值:
`service.additionalInfo.threatListName = Amazon`
`service.additionalInfo.threatName = Log4j Related`
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## UnauthorizedAccess:Runtime/TorRelay
### Amazon EC2 实例或容器正在以 Tor 中继身份连接到 Tor 网络。
**默认严重级别:高**
+ **特征:**运行时系统监控
这一发现告诉您,在列出的 EC2 实例或 AWS 环境中的容器上运行的进程正在与 Tor 网络建立连接,这表明它充当 Tor 中继。Tor 是用于实现匿名通信的软件。Tor 通过将客户端可能的非法流量从一个 Tor 中继转发到另一个 Tor 中继来提高通信的匿名性。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## UnauthorizedAccess:Runtime/TorClient
### Amazon EC2 实例或容器正在连接到一个 Tor Guard 或 Authority 节点。
**默认严重级别:高**
+ **特征:**运行时系统监控
这一发现告诉您,在列出的 EC2 实例或 AWS 环境中的容器上运行的进程正在连接到 Tor Guard 或 Authority 节点。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当 Tor 网络的初始网关。此流量可能指示此 EC2 实例或容器已受到潜在攻击,并且正充当 Tor 网络上的客户端。这一发现可能表明有人未经授权访问您的 AWS 资源,目的是隐藏攻击者的真实身份。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/BlackholeTraffic
### Amazon EC2 实例或容器正在尝试与某个远程主机的 IP 地址进行通信,该主机已知是一个黑洞。
**默认严重级别:中**
+ **特征:**运行时系统监控
这一发现告诉您,在列出的 EC2 实例或 AWS 环境中的容器上运行的进程可能会受到威胁,因为它正在尝试与黑洞(或漏洞)的 IP 地址通信。黑洞是网络中的一些位置,在这些位置中会将传入或传出流量静默丢弃,而不向源通知数据未达到源目标接收方。黑洞 IP 地址指定没有运行的主机或者未向其分配主机的地址。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/DropPoint
### Amazon EC2 实例或容器正在尝试与某个远程主机的 IP 地址进行通信,该主机已知持有恶意软件捕获的凭证和其他被盗数据。
**默认严重级别:中**
+ **特征:**运行时系统监控
这一发现告诉您,在列出的 EC2 实例或您 AWS 环境中的容器上运行的进程正在尝试与远程主机的 IP 地址通信,该主机已知该地址持有恶意软件捕获的凭证和其他被盗数据。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## CryptoCurrency:Runtime/BitcoinTool.B\$1DNS
### Amazon EC2 实例或容器正在查询与加密货币活动关联的域名。
**默认严重级别:高**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程,正在查询与比特币或其他加密货币相关活动关联的域名。威胁行为者可能会试图控制计算资源,从而恶意将这些资源重新用于未经授权的加密货币挖掘。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果您使用此 EC2 实例或容器挖掘或管理加密货币,或者此实例或容器涉及区块链活动,则 CryptoCurrency:Runtime/BitcoinTool.B\$1DNS 调查发现可能是您环境的预期活动。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `CryptoCurrency:Runtime/BitcoinTool.B!DNS`。第二个筛选条件应是实例的**实例 ID** 或容器的**容器镜像 ID**,该实例或容器涉及加密货币或区块链活动。有关更多信息,请参阅[抑制规则](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)。
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Backdoor:Runtime/C&CActivity.B\$1DNS
### Amazon EC2 实例或容器正在查询与已知命令和控制服务器关联的域名。
**默认严重级别:高**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程,正在查询与已知命令和控制(C&C)服务器关联的域名。列出的 EC2 实例或容器可能被盗用。命令和控制服务器是向僵尸网络的成员发布命令的计算机。
僵尸网络是一组联网的设备,其中可能包括服务器 PCs、移动设备和物联网设备,这些设备被一种常见的恶意软件感染和控制。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的目的和结构,C&C 服务器还可能发出命令开始分布式拒绝服务 (DDoS) 攻击。
**注意**
如果查询的域名与 log4j 相关,则相关调查发现的字段将包含以下值:
`service.additionalInfo.threatListName = Amazon`
`service.additionalInfo.threatName = Log4j Related`
**注意**
要测试如何 GuardDuty 生成此发现类型,您可以针对测试域从您的实例(使用`dig`适用于 Linux 或 `nslookup` Windows)发出 DNS 请求`guarddutyc2activityb.com`。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/BlackholeTraffic\$1DNS
### Amazon EC2 实例或容器正在查询重定向到黑洞 IP 地址的域名。
**默认严重级别:中**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程可能已泄露,因为其正在查询重定向到黑洞 IP 地址的域名。黑洞是网络中的一些位置,在这些位置中会将传入或传出流量静默丢弃,而不向源通知数据未达到源目标接收方。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/DropPoint\$1DNS
### Amazon EC2 实例或容器正在查询某个远程主机的域名,该远程主机已知持有恶意软件捕获的凭证和其他被盗数据。
**默认严重级别:中**
+ **特征:**运行时系统监控
这一发现告诉您,在列出的 EC2 实例或 AWS 环境中的容器上运行的进程正在查询远程主机的域名,该域名已知包含恶意软件捕获的凭证和其他被盗数据。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/DGADomainRequest.C\$1DNS
### Amazon EC2 实例或容器正在查询通过算法生成的域。此类域通常由恶意软件使用,并且可能表示 EC2 实例或容器被盗用。
**默认严重级别:高**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程,正在尝试查询域生成算法(DGA)域。您的资源可能已被盗用。
DGAs 用于定期生成大量域名,这些域名可用作指挥和控制 (C&C) 服务器的集合点。命令和控制服务器是向僵尸网络的成员发布命令的计算机,僵尸网络是感染了相同类型恶意软件,并受其控制的一组连接到 Internet 的设备。大量潜在汇聚点的存在,使得有效关闭僵尸网络非常困难,因为受感染的计算机尝试每天与这样一些域名联系来接收更新或命令。
**注意**
这一发现基于 GuardDuty 威胁情报源中已知的 DGA 域。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/DriveBySourceTraffic\$1DNS
### Amazon EC2 实例或容器正在查询某个远程主机的域名,该远程主机是路过式下载攻击的已知来源。
**默认严重级别:高**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程可能已泄露,因为其正在查询某个远程主机的域名,该远程主机是路过式下载攻击的已知来源。这些是来自 Internet 的恶意计算机软件下载,可能会触发自动安装病毒、间谍软件或恶意软件。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/PhishingDomainRequest\$1DNS
### Amazon EC2 实例或容器正在查询涉及网络钓鱼攻击的域。
**默认严重级别:高**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程,正在尝试查询涉及网络钓鱼攻击的域。网络钓鱼域由冒充合法机构的人设置,其目的是引诱个人提供敏感数据,如个人可识别信息、银行和信用卡信息、密码等。您的 EC2 实例或容器可能正在尝试检索存储在网络钓鱼网站上的敏感数据,或者可能正在尝试设置网络钓鱼网站。您的 EC2 实例或容器可能被盗用。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Impact:Runtime/AbusedDomainRequest.Reputation
### Amazon EC2 实例或容器正在查询与已知滥用域相关联的低信誉域名。
**默认严重级别:中**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程,正在查询与已知滥用域或滥用 IP 地址相关联的低信誉域。滥用域的示例:提供免费子域注册的顶级域名(TLD)和二级域名(2LD),以及动态 DNS 提供商。威胁行为者往往利用这些服务免费或低成本注册域名。这类低信誉域也可能是解析到注册商 Parking IP 地址的过期域,因此可能不再处于活跃状态。Parking IP 是注册商为未链接到任何服务的域引导流量的位置。由于威胁行为者通常使用这些注册商或服务进行 C&C 和恶意软件分发,因此列出的 Amazon EC2 实例或容器可能会被盗用。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Impact:Runtime/BitcoinDomainRequest.Reputation
### Amazon EC2 实例或容器正在查询与加密货币相关活动相关联的低信誉域名。
**默认严重级别:高**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程,正在查询与比特币或其他加密货币相关活动相关联的低信誉域名。威胁行为者可能会试图控制计算资源,恶意将这些资源重新用于未经授权的加密货币挖掘。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果您使用此 EC2 实例或容器挖掘或管理加密货币,或这些资源以其他方式参与区块链活动,则该调查发现可能表示您环境的预期活动。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `Impact:Runtime/BitcoinDomainRequest.Reputation`。第二个筛选条件应是实例的**实例 ID** 或容器的**容器镜像 ID**,此类实例或容器涉及加密货币或区块链相关活动。有关更多信息,请参阅[抑制规则](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)。
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Impact:Runtime/MaliciousDomainRequest.Reputation
### Amazon EC2 实例或容器正在查询与已知恶意域相关的低信誉域。
**默认严重级别:高**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程,正在查询与已知恶意域或恶意 IP 地址相关联的低信誉域。例如,域可能与已知的陷穴 IP 地址相关联。Sinkholed 域是以前由威胁行为者控制的域,如果向该域发出请求则可能表明该实例已被盗用。这些域也可能与已知的恶意活动或域生成算法相关。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Impact:Runtime/SuspiciousDomainRequest.Reputation
### Amazon EC2 实例或容器正在查询低信誉域名,该域名由于过时或受欢迎程度低而具有可疑性。
**默认严重级别:低**
+ **特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 EC2 实例或容器上运行的进程,正在查询疑似恶意的域名。我们观测到该域的特征与之前观测到的恶意域一致,但我们的信誉模型无法将其与已知威胁明确关联起来。这些域通常是新近观察到的,或者接收到的流量较少。
低信誉域基于信誉评分模型进行评估。该模型对域的特征进行评估和排序,以确定其是否可能是恶意域。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## UnauthorizedAccess:Runtime/MetadataDNSRebind
### Amazon EC2 实例或容器正在执行解析到实例元数据服务的 DNS 查找。
**默认严重级别:高**
+ **特征:**运行时系统监控
**注意**
目前,只有 AMD64 架构支持这种查找类型。
这一发现告诉您,在列出的 EC2 实例或 AWS 环境中的容器上运行的进程正在查询解析为 EC2 元数据 IP 地址 (169.254.169.254) 的域。此类 DNS 查询可能表明该实例是 DNS 重新绑定技术的目标。此技术可用于从 EC2 实例获取元数据,包括与该实例关联的 IAM 凭证。
DNS 重新绑定需要引诱在 EC2 实例上运行的应用程序,以加载从 URL 返回的数据,该 URL 中的域名解析到 EC2 元数据 IP 地址(`169.254.169.254`)。这会导致应用程序访问 EC2 元数据,并可能使其为攻击者所用。
如果该 EC2 实例正在运行允许注入 URL 的应用程序,且该应用程序存在漏洞;或者如果某用户在该 EC2 实例上运行的 Web 浏览器中,访问该 URL,则可以使用 DNS 重新绑定来访问 EC2 元数据。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
为了解决此调查发现,您应该考虑 EC2 实例或容器上是否运行有漏洞的应用程序,或者某用户是否使用浏览器来访问调查发现中标识的域。如果根本原因在于有漏洞的应用程序,则修复漏洞。如果是由于某用户已浏览标识的域,则阻止该域或阻止用户进行访问。如果您确定调查发现属于以上任一种情况,则[撤销与 EC2 实例相关联的会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html)。
一些 AWS 客户故意将元数据 IP 地址映射到其权威 DNS 服务器上的域名。如果您的 环境中出现这种情况,我们建议您为此调查发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用**调查发现类型**属性,其值为 `UnauthorizedAccess:Runtime/MetaDataDNSRebind`。第二个筛选条件应是 **DNS 请求域**或容器的**容器镜像 ID**。**DNS 请求域**的值应与已映射到元数据 IP 地址(`169.254.169.254`)的域匹配。有关创建抑制规则的信息,请参阅[抑制规则](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)。
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/NewBinaryExecuted
### 已执行容器中新创建或最近修改的二进制文件。
**默认严重级别:中**
+ **特征:**运行时系统监控
此调查发现通知您,容器中新创建或最近修改的二进制文件已执行。最佳做法是保持容器在运行时系统不可变,并且不应在容器的生命周期内创建或修改二进制文件、脚本或库。此行为表明,作为潜在失陷情况的一部分,恶意行为者已经获得对容器的访问权限,下载并执行了恶意软件或其他软件。尽管此类活动可能属于失陷指标,但也是一种常见的使用模式。因此, GuardDuty 使用机制来识别此活动的可疑实例,并仅针对可疑实例生成此发现类型。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。要识别修改进程和新的二进制文件,请查看**修改进程**详细信息和**进程**详细信息
修改进程的详细信息包含在调查发现 JSON 的 `service.runtimeDetails.context.modifyingProcess` 字段中,或调查发现详细信息面板的**修改进程**下。对于此调查发现类型,修改进程为 `/usr/bin/dpkg`,由调查发现 JSON 的 `service.runtimeDetails.context.modifyingProcess.executablePath` 字段来标识,或者包含在调查发现详细信息面板的**修改进程**中。
已执行的新二进制文件或已修改二进制文件的详细信息,包含在调查发现 JSON 的 `service.runtimeDetails.process` 中,或**运行时详细信息**下的**进程**部分中。对于此调查发现类型,新二进制文件或已修改二进制文件为 `service.runtimeDetails.process.executablePath`,由 `/usr/bin/python3.8`(**可执行路径**)字段指示。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/DockerSocketAccessed
### 容器内的进程正在使用 Docker 套接字与 Docker 进程守护程序通信。
**默认严重级别:中**
+ **特征:**运行时系统监控
Docker 套接字是一个 Unix 域套接字,Docker 进程守护程序(`dockerd`)用以与其客户端进行通信。客户端可以执行各种操作,例如通过 Docker 套接字与 Docker 进程守护程序通信来创建容器。容器进程访问 Docker 套接字是可疑的。容器进程可以通过与 Docker 套接字通信并创建特权容器,来脱离容器并获得主机级访问权限。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/RuncContainerEscape
### 检测到通过 runC 的容器逃逸尝试。
**默认严重级别:高**
+ **特征:**运行时系统监控
RunC 是高级别容器运行时(例如 Docker 和 Containerd)用来生成和运行容器的低级别容器运行时。由于需要执行创建容器的低级别任务,RunC 始终以根权限执行。威胁实施者可以通过修改或利用 runC 二进制文件中的漏洞来获得主机级别的访问权限。
此调查发现可检测到 runC 二进制文件中的修改以及利用以下 runC 漏洞的潜在尝试:
+ [https://nvd.nist.gov/vuln/detail/CVE-2019-5736](https://nvd.nist.gov/vuln/detail/CVE-2019-5736):利用 CVE-2019-5736 涉及从容器内部覆盖该 runC 二进制文件。当容器内部的进程修改该 runC 二进制文件时,将会调用此调查发现。
+ [https://nvd.nist.gov/vuln/detail/CVE-2024-21626](https://nvd.nist.gov/vuln/detail/CVE-2024-21626):利用 CVE-2024-21626 涉及将当前工作目录(CWD)或容器设置为开放文件描述符 `/proc/self/fd/FileDescriptor`。在 `/proc/self/fd/` 下的当前工作目录中检测到某个容器进程(例如 `/proc/self/fd/7`)时,将会调用此调查发现。
此调查发现可能表明,恶意行为者尝试利用在以下类型容器之一中的漏洞:
+ 带有攻击者控制图像的新容器。
+ 恶意行为者能够访问并且拥有主机级别 runC 二进制文件写权限的现有容器。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
### 检测到有人企图通过 CGroups 释放剂逃出容器。
**默认严重级别:高**
+ **特征:**运行时系统监控
此调查发现通知您,已检测到有人试图修改控制组(cgroup)发布代理文件。Linux 使用控制组(cgroup)来限制、说明和隔离一组进程的资源使用情况。每个控制组都有一个发布代理文件(`release_agent`),该文件是一个脚本,当控制组内的任何进程终止时,Linux 会执行该脚本。发布代理文件始终在主机级别执行。通过向属于某个 cgroup 的发布代理文件写入任意命令,容器内的攻击者可以逃逸到主机。当该控制组内部的进程终止时,就会执行威胁行为者编写的命令。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/ProcessInjection.Proc
### 在容器或 Amazon EC2 实例中检测到使用 proc 文件系统的进程注入。
**默认严重级别:高**
+ **特征:**运行时系统监控
进程注入是威胁行为者使用的一种技术,用来向进程注入代码以逃避防御,并有可能提升权限。proc 文件系统(procfs)是 Linux 中的一种特殊文件系统,以文件的形式呈现进程的虚拟内存。该文件的路径是 `/proc/PID/mem`,其中 `PID` 是进程的唯一 ID。威胁行为者可以写入此文件,以向该进程注入代码。此调查发现可识别他人可能尝试向该文件的写入操作。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源类型可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/ProcessInjection.Ptrace
### 在容器或 Amazon EC2 实例中检测到使用 ptrace 系统调用的进程注入。
**默认严重级别:中**
+ **特征:**运行时系统监控
进程注入是威胁行为者使用的一种技术,用来向进程注入代码以逃避防御,并有可能提升权限。某个进程可以使用 ptrace 系统调用,将代码注入另一个进程。此调查发现可识别他人可能尝试使用 ptrace 系统调用向进程注入代码的操作。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源类型可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
### 在容器或 Amazon EC2 实例中检测到通过直接写入虚拟内存进行进程注入。
**默认严重级别:高**
+ **特征:**运行时系统监控
进程注入是威胁行为者使用的一种技术,用来向进程注入代码以逃避防御,并有可能提升权限。进程可以使用系统调用,例如 `process_vm_writev` 直接向另一个进程的虚拟内存注入代码。此调查发现可识别他人可能尝试使用系统调用向进程注入代码,从而向该进程的虚拟内存进行写入操作。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源类型可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/ReverseShell
### 容器或 Amazon EC2 实例中的进程创建了反向 Shell。
**默认严重级别:高**
+ **特征:**运行时系统监控
反向 Shell 是一种在连接上创建的 Shell 会话,该连接从目标主机到威胁行为者主机。反向 Shell 与从攻击者主机向目标主机发起的普通 Shell 相反。威胁行为者在获得对目标的初始访问权限后,会创建一个反向 Shell 对目标执行命令。这一调查发现可识别潜在可疑的反向 Shell 连接。
GuardDuty 检查相关的运行时活动和上下文,并仅在发现关联的活动和上下文异常或可疑时才生成此查找类型。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
GuardDuty 安全代理监控来自多个来源的事件。要识别受影响的资源,请在 GuardDuty控制台的查找结果详细信息中查看**资源类型**。如果此活动是意外活动,则您的资源类型可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/FilelessExecution
### 容器或 Amazon EC2 实例中的进程正在执行内存中的代码。
**默认严重级别:中**
+ **特征:**运行时系统监控
当使用磁盘上的内存中可执行文件执行进程时,此调查发现会告知您这一情况。这是一种常见的防御逃避技术,可避免将恶意可执行文件写入磁盘,以逃避基于文件系统扫描的检测。尽管这种技术被恶意软件利用,但也有一些合法的用例。其中一个例子是 just-in-time(JIT)编译器,它将编译后的代码写入内存并从内存中执行。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Impact:Runtime/CryptoMinerExecuted
### 容器或 Amazon EC2 实例正在执行与加密货币挖掘活动相关联的二进制文件。
**默认严重级别:高**
+ **特征:**运行时系统监控
这一发现告诉您,在您 AWS 环境中列出的 EC2 实例或容器上运行的进程正在执行与加密货币挖矿活动关联的二进制文件。威胁行为者可能会试图控制计算资源,恶意将这些资源重新用于未经授权的加密货币挖掘。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的查找结果面板中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty 控制台的调查结果详细信息中查看**资源类型**并查看[修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/NewLibraryLoaded
### 新创建或最近修改的库由容器内的进程加载。
**默认严重级别:中**
+ **特征:**运行时系统监控
此调查发现通知您,运行时系统期间在容器内创建或修改了库,并由在容器内运行的进程加载。最佳做法是保持容器在运行时系统不可变,不要在容器的生命周期内创建或修改二进制文件、脚本或库。在容器中加载新创建或修改的库,可能代表可疑活动。此行为表明,恶意行为者可能已获得对容器的访问权限,下载并执行了恶意软件或其他软件,属于潜在攻击行为的一部分。尽管此类活动可能属于失陷指标,但也是一种常见的使用模式。因此, GuardDuty 使用机制来识别此活动的可疑实例,并仅针对可疑实例生成此发现类型。
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty控制台的调查结果详细信息中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
### 容器内的进程在运行时系统挂载了主机文件系统。
**默认严重级别:中**
+ **特征:**运行时系统监控
多种容器逃逸技术都包括在运行时将主机文件系统挂载到容器内。此调查发现通知您,容器内的进程可能尝试挂载主机文件系统,可能表明有人试图逃逸到主机。
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty控制台的调查结果详细信息中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/UserfaultfdUsage
### 进程使用 `userfaultfd` 系统调用来处理用户空间中的页面错误。
**默认严重级别:中**
+ **特征:**运行时系统监控
通常,页面错误由内核在内核空间中处理。但是,`userfaultfd` 系统调用允许进程在用户空间中处理文件系统上的页面错误。此功能十分实用,可以实施用户空间文件系统。而且,潜在的恶意进程也可以利用此功能从用户空间中断内核。使用 `userfaultfd` 系统调用中断内核是一种常见的利用技术,用于在利用内核竞争条件时延长竞争窗口有效期限。使用 `userfaultfd` 将表示 Amazon Elastic Compute Cloud(Amazon EC2)实例存在可疑活动。
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty控制台的调查结果详细信息中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/SuspiciousTool
### 容器或 Amazon EC2 实例正在运行某个经常用于攻击性安全场景(例如渗透测试活动)的二进制文件或脚本。
**默认严重级别:可变**
此调查发现的严重程度可能为高或低,具体取决于检测到的可疑工具是双重用途还是仅用于攻击性用途。
+ **特征:**运行时系统监控
此发现告知您已在您的 AWS 环境中的 EC2 实例或容器上执行了可疑工具。这包括用于渗透测试活动的工具,也称为后门工具、网络扫描器和网络嗅探器。所有这些工具都用于良性目的,但也经常被有恶意的威胁行为者使用。观察到攻击性安全工具可能表明相关 EC2 实例或容器已经失陷。
GuardDuty 检查相关的运行时活动和上下文,以便只有当关联的活动和上下文可能存在可疑时,它才会生成此结果。
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty控制台的调查结果详细信息中查看**资源类型**。在适用情况下,调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/SuspiciousCommand
### 已在某个 Amazon EC2 实例或容器上执行了可疑命令,这表明可能已经失陷。
**默认严重级别:可变**
根据所观察到恶意模式的影响,这种调查发现类型的严重性可能为低、中或高。
+ **特征:**运行时系统监控
此发现告知您已执行可疑命令,这表明您的 AWS 环境中的 Amazon EC2 实例或容器已遭到入侵。这可能意味着已经从可疑来源下载并执行了某个文件,或者正在运行的进程在其命令行中出现已知的恶意模式。这进一步说明系统上正在运行恶意软件。
GuardDuty 检查相关的运行时活动和上下文,以便只有当关联的活动和上下文可能存在可疑时,它才会生成此结果。
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty控制台的调查结果详细信息中查看**资源类型**。在适用情况下,调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
**注意**
流程命令行参数可能包含敏感数据。为了保护敏感数据, GuardDuty 运行时监控结果不包括完整的命令行参数。而是`Service.RuntimeDetails.Context.CommandLineExample`提供了生成结果的命令行模式的代表性示例。
## DefenseEvasion:Runtime/SuspiciousCommand
### 已在所列 Amazon EC2 实例或容器上执行了一个命令,尝试修改或禁用 Linux 防御机制,例如防火墙或关键系统服务。
**默认严重级别:可变**
根据被修改或禁用的防御机制,此调查发现类型的严重性可能为高、中或低。
+ **特征:**运行时系统监控
此调查发现告知已经执行了一个尝试隐藏来自本地系统安全服务的攻击的命令。这包括禁用 Unix 防火墙、修改本地 IP 表、移除 crontab 条目、禁用本地服务或接管 `LDPreload` 功能等操作。任何修改都是高度可疑的,是可能的失陷指标。因此,这些机制可以检测或防止系统的进一步失陷。
GuardDuty 检查相关的运行时活动和上下文,以便只有当关联的活动和上下文可能存在可疑时,它才会生成此结果。
GuardDuty 运行时代理监视来自多个资源的事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台的发现结果详细信息中查看**资源类型**。在适用情况下,调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/PtraceAntiDebugging
### 某个容器或 Amazon EC2 实例中的某个进程使用 ptrace 系统调用执行了一个反调试措施。
**默认严重级别:低**
+ **特征:**运行时系统监控
此调查发现表明,在 AWS 环境中列出的 Amazon EC2 实例或容器上运行的进程,使用了带 `PTRACE_TRACEME` 选项的 ptrace 系统调用。此活动会导致连接的调试器与正在运行的进程断开。如果没有连接调试器,则会不会有影响。但这种活动本身就是可疑的。这可能表明系统上正在运行恶意软件。恶意软件经常使用反调试技术来逃避分析,并且此类技术可以在运行时被检测到。
GuardDuty 检查相关的运行时活动和上下文,以便只有当关联的活动和上下文可能存在可疑时,它才会生成此结果。
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty控制台的调查结果详细信息中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/MaliciousFileExecuted
### 已在某个 Amazon EC2 实例或容器上执行了已知的恶意可执行文件。
**默认严重级别:高**
+ **特征:**运行时系统监控
这一发现告诉您,已在 Amazon EC2 实例或您 AWS 环境中的容器上执行了已知的恶意可执行文件。这是表明该实例或容器可能已经失陷,并且恶意软件已被执行的强烈指标。
GuardDuty 检查相关的运行时活动和上下文,以便只有当关联的活动和上下文可能存在可疑时,它才会生成此结果。
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty控制台的调查结果详细信息中查看**资源类型**。在适用情况下,调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/SuspiciousShellCreated
### 某个 Amazon EC2 实例或容器中的网络服务或可通过网络访问的进程已启动了交互式 Shell 进程。
**默认严重级别:低**
+ **特征:**运行时系统监控
这一发现告诉您,Amazon EC2 实例或您 AWS 环境中的容器中可通过网络访问的服务已启动交互式 shell。在某些情况下,此场景可能指示利用漏洞后的行为。交互式 Shell 可让攻击者对失陷的实例或容器执行任意命令。
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty 控制台的调查结果详细信息中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。您可以在父进程详细信息中查看可通过网络访问的进程信息。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/ElevationToRoot
### 在所列 Amazon EC2 实例或容器上运行的进程已获得了根权限。
**默认严重级别:中**
+ **特征:**运行时系统监控
这一发现告诉您,在列出的 Amazon EC2 或您 AWS 环境中列出的容器中运行的进程通过异常或可疑的`setuid`二进制执行获得了根权限。这表明该 EC2 实例中某个正在运行的进程可能已通过利用漏洞或利用 `setuid` 漏洞而失陷。通过使用根权限,攻击者潜在可以在该实例或容器上执行命令。
虽然旨在不 GuardDuty 为涉及经常使用该`sudo`命令的活动生成这种发现类型,但是当它识别出该活动为异常或可疑时,它就会生成此发现。
GuardDuty 检查相关的运行时活动和上下文,并仅在关联的活动和上下文异常或可疑时才生成此发现类型。
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty控制台的调查结果详细信息中查看**资源类型**。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Discovery:Runtime/SuspiciousCommand
### 在 Amazon EC2 实例或容器中执行了可疑命令,这使得攻击者能够获取有关本地系统、周围 AWS 基础设施或容器基础设施的信息。
**默认严重级别:低**
**特征:**运行时系统监控
此调查发现告知您,在 AWS 环境中列出的 Amazon EC2 实例或容器上运行的进程,已经执行了可能会向攻击者提供可能推进攻击的关键信息的命令。可能已经检索了以下信息:
+ 本地系统,例如用户或网络配置,
+ 其他可用 AWS 资源和权限,或
+ Kubernetes 基础设施,例如服务和容器组(pod)。
调查发现详细信息中列出的 Amazon EC2 实例或容器可能已经失陷。
GuardDuty 运行时代理监控来自多种资源类型的事件。要识别可能受到威胁的资源,请在 GuardDuty控制台的发现结果详细信息中查看**资源类型**。您可以在调查发现 JSON 的 `service.runtimeDetails.context` 字段中找到该可疑命令的详细信息。调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## Persistence:Runtime/SuspiciousCommand
### 已在 Amazon EC2 实例或容器中执行了可疑命令,允许攻击者在您的 AWS 环境中持续访问和控制。
**默认严重级别:中**
+ **特征:**运行时系统监控
这一发现告诉您,在列出的 Amazon EC2 实例或您 AWS 环境中的容器中运行的进程执行了可疑命令。该命令安装了一种持久性方法,从而让恶意软件能够不间断地运行,或者让攻击者能够持续访问可能失陷的实例或容器资源类型。这可能意味着安装或修改了某个系统服务、修改了 `crontab`,或者在系统配置中添加了新用户。
GuardDuty 检查相关的运行时活动和上下文,并仅在关联的活动和上下文异常或可疑时才生成此发现类型。
调查发现详细信息中列出的 Amazon EC2 实例或容器可能已经失陷。
GuardDuty 运行时代理监视来自多个资源的事件。要识别可能受到威胁的资源,请在 GuardDuty控制台的发现结果详细信息中查看**资源类型**。您可以在调查发现 JSON 的 `service.runtimeDetails.context` 字段中找到该可疑命令的详细信息。在适用情况下,调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/SuspiciousCommand
### 已在某个 Amazon EC2 实例或容器中执行了可让攻击者升级权限的可疑命令。
**默认严重级别:中**
+ **特征:**运行时系统监控
这一发现告诉您,在列出的 Amazon EC2 实例或您 AWS 环境中的容器中运行的进程执行了可疑命令。该命令尝试执行权限升级,从而让攻击者能够执行高权限任务。
GuardDuty 检查相关的运行时活动和上下文,并仅在关联的活动和上下文异常或可疑时才生成此发现类型。
调查发现详细信息中列出的 Amazon EC2 实例或容器可能已经失陷。
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty控制台的调查结果详细信息中查看**资源类型**。在适用情况下,调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/KernelModuleLoaded
### 在 Amazon EC2 实例上加载了内核模块,表明存在试图获得内核级别访问权限的行为。
**默认严重级别:高**
+ **特征:**运行时系统监控
此调查发现表明在列出的 EC2 实例上加载了内核模块。由于内核模块具有最高的系统级权限(环 0),这可能表明威胁行为者已获得内核级别的访问权限。此级别的访问权限允许对系统进行完全控制。
GuardDuty 运行时代理监视来自多个资源的事件。要识别受影响的资源,请在 GuardDuty控制台的调查结果详细信息中查看**资源类型**。在适用情况下,调查发现中还会提供其他上下文(包括进程和进程谱系信息),以供进一步调查。
**修复建议:**
如果此活动是意外活动,则您的资源可能已被盗用。有关更多信息,请参阅 [修复运行时监控调查发现](guardduty-remediate-runtime-monitoring.md)。
# EC2 恶意软件防护调查发现类型
GuardDuty EC2 恶意软件防护为 EC2 提供了单一的恶意软件防护,可查找在扫描 EC2 实例或容器工作负载期间检测到的所有威胁。该调查发现包括扫描期间检测到的总数,并根据严重性提供检测到的前 32 个威胁的详细信息。与其他 GuardDuty 发现不同,再次扫描相同的 EC2 实例或容器工作负载时,EC2 的恶意软件防护发现不会更新。
每次检测到恶意软件的扫描都会生成新的 EC2 恶意软件防护调查发现。EC2 恶意软件防护调查结果包括有关生成该发现的相应扫描以及启动该扫描的 GuardDuty发现的信息。这样更容易将可疑行为与检测到的恶意软件关联起来。
**注意**
当 GuardDuty 检测到容器工作负载上的恶意活动时,EC2 恶意软件防护不会生成 EC2 级别的发现结果。
以下发现特定于 EC2 的 GuardDuty 恶意软件防护。
**Topics**
+ [Execution:EC2/MaliciousFile](#execution-malware-ec2-maliciousfile)
+ [Execution:ECS/MaliciousFile](#execution-malware-ecs-maliciousfile)
+ [Execution:Kubernetes/MaliciousFile](#execution-malware-kubernetes-maliciousfile)
+ [Execution:Container/MaliciousFile](#execution-malware-container-maliciousfile)
+ [Execution:EC2/SuspiciousFile](#execution-malware-ec2-suspiciousfile)
+ [Execution:ECS/SuspiciousFile](#execution-malware-ecs-suspiciousfile)
+ [Execution:Kubernetes/SuspiciousFile](#execution-malware-kubernetes-suspiciousfile)
+ [Execution:Container/SuspiciousFile](#execution-malware-container-suspiciousfile)
## Execution:EC2/MaliciousFile
### 在 EC2 实例上检测到恶意文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**EBS 恶意软件防护
这一发现表明,EC2 GuardDuty 恶意软件防护扫描已在您的 AWS 环境中列出的 EC2 实例上检测到一个或多个恶意文件。列出的实例可能被盗用。有关更多信息,请参阅调查发现详细信息中的**检测到的威胁**部分。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Execution:ECS/MaliciousFile
### 在 ECS 集群上检测到恶意文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**EBS 恶意软件防护
这一发现表明,EC2 GuardDuty 恶意软件防护扫描已在属于 ECS 集群的容器工作负载上检测到一个或多个恶意文件。有关更多信息,请参阅调查发现详细信息中的**检测到的威胁**部分。
**修复建议:**
如果此活动是意外活动,则属于 ECS 集群的容器可能被盗用。有关更多信息,请参阅 [修复可能失陷的 ECS 集群](compromised-ecs.md)。
## Execution:Kubernetes/MaliciousFile
### 在 Kubernetes 集群上检测到恶意文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**EBS 恶意软件防护
这一发现表明,EC2 GuardDuty 恶意软件防护扫描已在属于 Kubernetes 集群的容器工作负载上检测到一个或多个恶意文件。如果这是 EKS 托管集群,则调查发现详细信息将提供有关受影响的 EKS 资源的其他信息。有关更多信息,请参阅调查发现详细信息中的**检测到的威胁**部分。
**修复建议:**
如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Execution:Container/MaliciousFile
### 在独立容器上检测到恶意文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**EBS 恶意软件防护
这一发现表明,EC2 GuardDuty 恶意软件防护扫描已在容器工作负载上检测到一个或多个恶意文件,但未发现任何集群信息。有关更多信息,请参阅调查发现详细信息中的**检测到的威胁**部分。
**修复建议:**
如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 [修复可能失陷的独立容器](remediate-compromised-standalone-container.md)。
## Execution:EC2/SuspiciousFile
### 在 EC2 实例上检测到可疑文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**EBS 恶意软件防护
此发现表明 EC2 GuardDuty 恶意软件防护扫描已在 EC2 实例上检测到一个或多个可疑文件。有关更多信息,请参阅调查发现详细信息中的**检测到的威胁**部分。
`SuspiciousFile` 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。
检测到可疑文件后,请评估您是否希望在您的 AWS 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Execution:ECS/SuspiciousFile
### 在 ECS 集群上检测到可疑文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**EBS 恶意软件防护
此发现表明 EC2 GuardDuty 恶意软件防护扫描已在属于 ECS 集群的容器上检测到一个或多个可疑文件。有关更多信息,请参阅调查发现详细信息中的**检测到的威胁**部分。
`SuspiciousFile` 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。
检测到可疑文件后,请评估您是否希望在您的 AWS 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。
**修复建议:**
如果此活动是意外活动,则属于 ECS 集群的容器可能被盗用。有关更多信息,请参阅 [修复可能失陷的 ECS 集群](compromised-ecs.md)。
## Execution:Kubernetes/SuspiciousFile
### 在 Kubernetes 集群上检测到可疑文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**EBS 恶意软件防护
这一发现表明,EC2 GuardDuty 恶意软件防护扫描已在属于 Kubernetes 集群的容器上检测到一个或多个可疑文件。如果这是 EKS 托管集群,则调查发现详细信息将提供有关受影响的 EKS 的其他信息。有关更多信息,请参阅调查发现详细信息中的**检测到的威胁**部分。
`SuspiciousFile` 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。
检测到可疑文件后,请评估您是否希望在您的 AWS 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。
**修复建议:**
如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 [修复 EKS 防护调查发现](guardduty-remediate-kubernetes.md)。
## Execution:Container/SuspiciousFile
### 在独立容器上检测到可疑文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**EBS 恶意软件防护
这一发现表明,EC2 GuardDuty 恶意软件防护扫描已在没有集群信息的容器上检测到一个或多个可疑文件。有关更多信息,请参阅调查发现详细信息中的**检测到的威胁**部分。
`SuspiciousFile` 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。
检测到可疑文件后,请评估您是否希望在您的 AWS 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。
**修复建议:**
如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 [修复可能失陷的独立容器](remediate-compromised-standalone-container.md)。
# S3 恶意软件防护调查发现类型
GuardDuty 仅当它检测到您的潜在安全威胁时才会生成调查结果 AWS 账户。S3 恶意软件防护调查发现表明,启动恶意软件扫描的已上传对象包含可能有恶意的文件。
GuardDuty 要让 Amazon 在您的中生成调查结果 AWS 账户,请同时启用 S3 GuardDuty 和 “恶意软件防护”。最佳做法是先启用 S3 的恶意软件防护, GuardDuty 然后再启用。如果此顺序与您不同,请确保在 S3 对象上传到您的受保护存储桶 GuardDuty 之前启用。
**注意**
GuardDuty 无法为启用之前扫描的 S3 对象生成查找结果 GuardDuty。要扫描现有的 S3 对象,您可以重新上传该对象。
## Object:S3/MaliciousFile
### 在已扫描的 S3 对象上检测到恶意文件。
**默认严重级别:高**
+ **功能:**S3 恶意软件防护
此调查发现表明恶意软件扫描检测到所列 S3 对象有恶意。有关更多信息,请查看调查发现详细信息面板中**检测到的威胁**部分。
**修复建议:**
如果此调查发现不符合预期,则表明该 S3 对象可能有恶意。有关建议修复措施的信息,请参阅[修复可能有恶意的 S3 对象](compromised-s3object-malware-protection-gdu.md)。
# Backup 的恶意软件防护查找类型
GuardDuty Backup Malware Protection for Backup 提供了在扫描请求的资源期间检测到的所有威胁的单一查找结果。该调查发现包括扫描期间检测到的总数,并根据严重性提供检测到的前 32 个威胁的详细信息。与其他 GuardDuty 发现不同,再次扫描同一资源时,Backup 恶意软件保护的发现结果不会更新。每次检测到恶意软件的扫描都会生成一个新的 “Backup 恶意软件保护” 调查结果。
以下发现特定于 Backup 的 GuardDuty 恶意软件防护。
**Topics**
+ [Execution:EC2/MaliciousFile\$1Snapshot](#execution-malware-ec2-maliciousfile-snapshot)
+ [Execution:EC2/MaliciousFile\$1AMI](#execution-malware-ec2-maliciousfile-ami)
+ [Execution:EC2/MaliciousFile\$1RecoveryPoint](#execution-malware-ec2-maliciousfile-recoverypoint)
+ [Execution:S3/MaliciousFile\$1RecoveryPoint](#execution-malware-s3-maliciousfile-recoverypoint)
## Execution:EC2/MaliciousFile\$1Snapshot
### 在 EBS 快照中检测到恶意文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**Backup 的恶意软件防护
此发现表明 Backup GuardDuty 恶意软件保护扫描已在您环境的 EBS 快照中检测到一个或多个恶意文件。有关更多信息,请查看调查发现详细信息面板中检测到的威胁部分。
**修复建议:**
如果此行为不符合预期,则您的快照可能遭到盗用。有关更多信息,请参阅 [修复可能受损的 EBS 快照](compromised-snapshot.md)。
## Execution:EC2/MaliciousFile\$1AMI
### 在 EC2 AMI 中检测到恶意文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**Backup 的恶意软件防护
此发现表明 Backup GuardDuty 恶意软件保护扫描已在您环境中的 AMI 中检测到一个或多个恶意文件。有关更多信息,请查看调查发现详细信息面板中检测到的威胁部分。
**修复建议:**
如果此行为不符合预期,则您的 AMI 可能遭到盗用。有关更多信息,请参阅 [修复可能遭到入侵的 EC2 AMI](compromised-ami.md)。
## Execution:EC2/MaliciousFile\$1RecoveryPoint
### 已在 B AWS ackup EC2 恢复点中检测到恶意文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**Backup 的恶意软件防护
这一发现表明,针对备份的 GuardDuty 恶意软件保护扫描已在您环境中的 EC2 恢复点中检测到一个或多个恶意文件。受影响的恢复点可能是 EBS 快照或 EC2 AMI。有关更多信息,请查看调查发现详细信息面板中检测到的威胁部分。
**修复建议:**
如果此行为不符合预期,则您的 EC2 恢复点可能遭到盗用。有关更多信息,请参阅 [修复可能受损的 EC2 恢复点](compromised-ec2-recoverypoint.md)。
## Execution:S3/MaliciousFile\$1RecoveryPoint
### 已在 B AWS ackup S3 恢复点中检测到恶意文件。
**默认严重级别:因检测到的威胁而异。**
+ **功能:**Backup 的恶意软件防护
这一发现表明,针对备份的 GuardDuty 恶意软件保护扫描已在您环境中的 S3 恢复点中检测到一个或多个恶意对象。有关更多信息,请查看调查发现详细信息面板中检测到的威胁部分。
**修复建议:**
如果此行为不符合预期,则您的 S3 恢复点可能遭到盗用。有关更多信息,请参阅 [修复可能受损的 S3 恢复点](compromised-s3-recoverypoint.md)。
# GuardDuty RDS 保护查找类型
GuardDuty RDS 防护可检测数据库实例上的异常登录行为。以下调查发现特定于 [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db),其**资源类型**为 `RDSDBInstance` 或 `RDSLimitlessDB`。调查结果的严重性和详细信息将因调查结果类型而异。
**Topics**
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin](#credaccess-rds-anombehavior-successlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.FailedLogin](#credaccess-rds-anombehavior-failedlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce](#credaccess-rds-anombehavior-successfulbruteforce)
+ [CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin](#credaccess-rds-maliciousipcaller-successfullogin)
+ [CredentialAccess:RDS/MaliciousIPCaller.FailedLogin](#credaccess-rds-maliciousipcaller-failedlogin)
+ [Discovery:RDS/MaliciousIPCaller](#discovery-rds-maliciousipcaller)
+ [CredentialAccess:RDS/TorIPCaller.SuccessfulLogin](#credaccess-rds-toripcaller-successfullogin)
+ [CredentialAccess:RDS/TorIPCaller.FailedLogin](#credaccess-rds-toripcaller-failedlogin)
+ [Discovery:RDS/TorIPCaller](#discovery-rds-toripcaller)
## CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin
### 用户以异常方式成功登录到您账户中的 RDS 数据库。
**默认严重级别:可变**
**注意**
根据与此调查发现相关的异常行为,默认严重级别为“低”、“中”和“高”。
**低**:如果与此调查发现关联的用户名从与私有网络关联的 IP 地址登录。
**中**:如果与此调查发现关联的用户名从公有 IP 地址登录。
**高**:如果从公有 IP 地址进行的登录尝试一直失败,则表明访问策略过于宽松。
+ **功能:**RDS 登录活动监控
这一发现告诉您,在您的环境中,在 RDS 数据库上观察到异常成功登录。 AWS 这种情况可能表明之前未见过的用户首次登录 RDS 数据库。一个常见的场景是内部用户登录到数据库,该数据库是由应用程序,而不是单个用户以编程方式访问的。
异常检测机器学习 (ML) 模型将成功登录识别为 GuardDuty 异常。机器学习模型会评估您的 [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) 中所有数据库登录事件,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 RDS 登录活动的各种因素,如发出请求的用户、发出请求的位置,以及使用的特定数据库连接详细信息。有关可能异常的登录事件的信息,请参阅 [基于 RDS 登录活动的异常](guardduty_findings-summary.md#rds-pro-login-anomaly)。
**修复建议:**
如果此活动对于关联数据库来说是意外活动,建议更改关联数据库用户的密码,并查看可用的审计日志,以了解异常用户执行的活动。“中”和“高”严重性调查发现可能表明对数据库的访问策略过于宽松,用户凭证可能已暴露或泄露。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 [通过成功登录事件修复可能受攻击的数据库](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)。
## CredentialAccess:RDS/AnomalousBehavior.FailedLogin
### 在您账户的 RDS 数据库上观察到一次或多次异常的失败登录尝试。
**默认严重级别:低**
+ **功能:**RDS 登录活动监控
此发现告诉您,在您的环境中的 RDS 数据库上发现了一个或多个异常登录失败。 AWS 来自公有 IP 地址的失败登录尝试可能表明,您账户中的 RDS 数据库遭到潜在恶意行为者的暴力攻击。
异常检测机器学习 (ML) 模型将这些失败的登录识别为 GuardDuty 异常。机器学习模型会评估您的 [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) 中所有数据库登录事件,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 RDS 登录活动的各种因素,如发出请求的用户、发出请求的位置,以及使用的特定数据库连接详细信息。有关可能异常的 RDS 登录活动的信息,请参阅 [基于 RDS 登录活动的异常](guardduty_findings-summary.md#rds-pro-login-anomaly)。
**修复建议:**
如果此活动对于关联数据库来说是意外活动,则可能表明该数据库已公开,或对该数据库的访问策略过于宽松。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 [通过失败登录事件修复可能受攻击的数据库](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)。
## CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce
### 用户在连续异常登录尝试失败后,以异常方式从公有 IP 地址成功登录到您账户中的 RDS 数据库。
**默认严重级别:高**
+ **功能:**RDS 登录活动监控
此发现告诉您,在您环境中的 RDS 数据库上观察到异常登录表明成功使用了暴力破解。 AWS 在异常成功登录之前,观察到连续异常登录尝试失败。这表明您账户中与 RDS 数据库关联的用户和密码可能已泄露,并且 RDS 数据库可能已被潜在的恶意行为者访问。
异常检测机器学习 (ML) 模型将这种成功的暴力登录识别为 GuardDuty 异常。机器学习模型会评估您的 [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) 中所有数据库登录事件,并识别与攻击者使用的技术相关的异常事件。机器学习模型会跟踪 RDS 登录活动的各种因素,如发出请求的用户、发出请求的位置,以及使用的特定数据库连接详细信息。有关可能异常的 RDS 登录活动的信息,请参阅 [基于 RDS 登录活动的异常](guardduty_findings-summary.md#rds-pro-login-anomaly)。
**修复建议:**
此活动表明数据库凭证可能已公开或泄露。建议更改关联数据库用户的密码,并查看可用的审计日志,了解可能被盗用的用户执行的活动。连续异常登录尝试失败表明对数据库的访问策略过于宽松,或者数据库可能已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 [通过成功登录事件修复可能受攻击的数据库](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)。
## CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin
### 用户从已知的恶意 IP 地址成功登录您账户中的 RDS 数据库。
**默认严重级别:高**
+ **功能:**RDS 登录活动监控
此发现告诉您,成功的 RDS 登录活动来自与 AWS 环境中已知恶意活动关联的 IP 地址。这表明您账户中与 RDS 数据库关联的用户和密码可能已泄露,并且 RDS 数据库可能已被潜在的恶意行为者访问。
**修复建议:**
如果此活动对于关联的数据库来说是意外活动,则可能表明用户凭证可能已公开或泄露。建议更改关联数据库用户的密码,并查看可用的审计日志,了解被盗用的用户执行的活动。此活动还可能表明,对数据库的访问策略过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 [通过成功登录事件修复可能受攻击的数据库](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)。
## CredentialAccess:RDS/MaliciousIPCaller.FailedLogin
### 与已知恶意活动关联的 IP 地址尝试登录您账户中的 RDS 数据库失败。
**默认严重级别:中**
+ **功能:**RDS 登录活动监控
这一发现告诉您,与已知恶意活动关联的 IP 地址试图登录您 AWS 环境中的 RDS 数据库,但未能提供正确的用户名或密码。这表明潜在的恶意行为者可能正尝试盗用您账户中的 RDS 数据库。
**修复建议:**
如果此活动对于关联数据库来说是意外活动,则可能表明对该数据库的访问策略过于宽松,或该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 [通过失败登录事件修复可能受攻击的数据库](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)。
## Discovery:RDS/MaliciousIPCaller
### 与已知恶意活动关联的 IP 地址探测了您账户中的 RDS 数据库;未进行任何身份验证尝试。
**默认严重级别:中**
+ **功能:**RDS 登录活动监控
此发现告诉您,尽管没有尝试登录,但与已知恶意活动关联的 IP 地址探测了您 AWS 环境中的 RDS 数据库。这种情况可能表明潜在的恶意行为者正试图扫描可公开访问的基础设施。
**修复建议:**
如果此活动对于关联数据库来说是意外活动,则可能表明对该数据库的访问策略过于宽松,或该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 [通过失败登录事件修复可能受攻击的数据库](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)。
## CredentialAccess:RDS/TorIPCaller.SuccessfulLogin
### 用户从 Tor 出口节点 IP 地址成功登录到您账户中的 RDS 数据库。
**默认严重级别:高**
+ **功能:**RDS 登录活动监控
此调查发现通知您,用户已从 Tor 出口节点 IP 地址成功登录到您 AWS 环境中的 RDS 数据库。Tor 是一款支持匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问了您账户中的 RDS 资源,并意图隐藏匿名用户的真实身份。
**修复建议:**
如果此活动对于关联的数据库来说是意外活动,则可能表明用户凭证可能已公开或泄露。建议更改关联数据库用户的密码,并查看可用的审计日志,了解被盗用的用户执行的活动。此活动还可能表明,对数据库的访问策略过于宽松,或者数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 [通过成功登录事件修复可能受攻击的数据库](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)。
## CredentialAccess:RDS/TorIPCaller.FailedLogin
### Tor IP 地址尝试登录您账户中的 RDS 数据库失败。
**默认严重级别:中**
+ **功能:**RDS 登录活动监控
这一发现告诉您,Tor 退出节点 IP 地址试图登录您 AWS 环境中的 RDS 数据库,但未能提供正确的用户名或密码。Tor 是一款支持匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问了您账户中的 RDS 资源,并意图隐藏匿名用户的真实身份。
**修复建议:**
如果此活动对于关联数据库来说是意外活动,则可能表明对该数据库的访问策略过于宽松,或该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 [通过失败登录事件修复可能受攻击的数据库](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)。
## Discovery:RDS/TorIPCaller
### Tor 出口节点 IP 地址探测了您账户中的 RDS 数据库,但未尝试进行身份验证。
**默认严重级别:中**
+ **功能:**RDS 登录活动监控
此调查发现通知您,Tor 出口节点 IP 地址探测了您 AWS 环境中的 RDS 数据库,但未尝试登录。这种情况可能表明潜在的恶意行为者正试图扫描可公开访问的基础设施。Tor 是一款支持匿名通信的软件。该软件通过一系列网络节点之间的中继对通信进行加密和随机反弹。最后一个 Tor 节点称为出口节点。这种情况可能表明有人未经授权访问了您账户中的 RDS 资源,并意图隐藏潜在恶意行为者的真实身份。
**修复建议:**
如果此活动对于关联数据库来说是意外活动,则可能表明对该数据库的访问策略过于宽松,或该数据库已公开。建议将数据库放在私有 VPC 中,并将安全组规则限制为仅允许来自必要来源的流量。有关更多信息,请参阅 [通过失败登录事件修复可能受攻击的数据库](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)。
# Lambda 保护调查发现类型
本节介绍特定于您的 AWS Lambda 资源并`resourceType`列为的查找类型`Lambda`。对于所有 Lambda 调查发现,我们建议您检查相关资源,并确定其行为是否符合预期。如果活动获得授权,则可以使用[抑制规则](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)或[可信 IP 和威胁列表](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html),来防止针对该资源的误报通知。
如果意外进行此活动,最佳安全实践是假设 Lambda 可能已受到攻击,并遵循修复建议。
**Topics**
+ [Backdoor:Lambda/C&CActivity.B](#backdoor-lambda-ccactivity-b)
+ [CryptoCurrency:Lambda/BitcoinTool.B](#cryptocurrency-lambda-bitcointool-b)
+ [Trojan:Lambda/BlackholeTraffic](#trojan-lambda-blackhole-traffic)
+ [Trojan:Lambda/DropPoint](#trojan-lambda-drop-point)
+ [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](#unauthorized-access-lambda-maliciousIPcaller-custom)
+ [UnauthorizedAccess:Lambda/TorClient](#unauthorized-access-lambda-tor-client)
+ [UnauthorizedAccess:Lambda/TorRelay](#unauthorized-access-lambda-tor-relay)
## Backdoor:Lambda/C&CActivity.B
### 使用 Lambda 函数查询与已知命令与控制服务器关联的 IP 地址。
**默认严重级别:高**
+ **功能:**Lambda 网络活动监控
这一发现告诉您, AWS 您的环境中列出的 Lambda 函数正在查询与已知命令和控制 (C&C) 服务器关联的 IP 地址。与生成的调查发现关联的 Lambda 函数可能已泄露。C&C 服务器是向僵尸网络的成员发布命令的计算机。
僵尸网络是一组联网的设备,可能包括服务器 PCs、移动设备和物联网设备,这些设备被一种常见的恶意软件感染和控制。僵尸网络通常用于分发恶意软件和收集不当信息,例如信用卡号。根据僵尸网络的目的和结构,C&C 服务器还可能发出命令启动分布式拒绝服务攻击。
**修复建议:**
如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 [修复可能失陷的 Lambda 函数](remediate-lambda-protection-finding-types.md)。
## CryptoCurrency:Lambda/BitcoinTool.B
### Lambda 函数正在查询与加密货币相关活动关联的 IP 地址。
**默认严重级别:高**
+ **功能:**Lambda 网络活动监控
这一发现告诉您, AWS 您的环境中列出的 Lambda 函数正在查询与比特币或其他加密货币相关活动关联的 IP 地址。威胁行为者可能试图控制 Lambda 函数,从而恶意地将其重新用于未经授权的加密货币挖掘。
**修复建议:**
如果您使用此 Lambda 函数来挖掘或管理加密货币,或者此函数以其他方式参与区块链活动,则该活动可能是您环境的预期活动。如果您的 AWS 环境中出现这种情况,我们建议您为此发现设置抑制规则。抑制规则应由两个筛选条件组成。第一个条件应使用值为 CryptoCurrency:Lambda/BitcoinTool.B 的调查发现类型属性。第二个筛选条件应该是区块链活动中所涉及函数的 Lambda 函数名称。有关创建抑制规则的信息,请参阅[抑制规则](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)。
如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 [修复可能失陷的 Lambda 函数](remediate-lambda-protection-finding-types.md)。
## Trojan:Lambda/BlackholeTraffic
### Lambda 函数正在尝试与已知黑洞远程主机的 IP 地址进行通信。
**默认严重级别:中**
+ **功能:**Lambda 网络活动监控
这一发现告诉您, AWS 您的环境中列出的 Lambda 函数正在尝试与黑洞(或漏洞)的 IP 地址进行通信。黑洞是网络中的一些位置,在这些位置中会将传入或传出流量静默丢弃,而不向源通知数据未达到源目标接收方。黑洞 IP 地址指定没有运行的主机或者未向其分配主机的地址。列出的 Lambda 函数可能已泄露。
**修复建议:**
如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 [修复可能失陷的 Lambda 函数](remediate-lambda-protection-finding-types.md)。
## Trojan:Lambda/DropPoint
### Lambda 函数正在尝试与已知持有恶意软件捕获的凭证和其他被盗数据的远程主机的 IP 地址进行通信
**默认严重级别:中**
+ **功能:**Lambda 网络活动监控
这一发现告诉您, AWS 您的环境中列出的 Lambda 函数正在尝试与远程主机的 IP 地址通信,该主机已知该地址持有恶意软件捕获的凭证和其他被盗数据。
**修复建议:**
如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 [修复可能失陷的 Lambda 函数](remediate-lambda-protection-finding-types.md)。
## UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom
### Lambda 函数正在与自定义威胁列表上的 IP 地址建立连接。
**默认严重级别:中**
+ **功能:**Lambda 网络活动监控
这一发现告诉您,您环境中的 Lambda 函数正在与 AWS 您上传的威胁列表中包含的 IP 地址进行通信。在中 GuardDuty,[威胁列表](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html)由已知的恶意 IP 地址组成。 GuardDuty 根据上传的威胁列表生成调查结果。您可以在 GuardDuty控制台的发现详细信息中查看威胁列表的详细信息。
**修复建议:**
如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 [修复可能失陷的 Lambda 函数](remediate-lambda-protection-finding-types.md)。
## UnauthorizedAccess:Lambda/TorClient
### Lambda 函数正在与 Tor Guard 或 Authority 节点建立连接。
**默认严重级别:高**
+ **功能:**Lambda 网络活动监控
这一发现告诉您, AWS 您的环境中的 Lambda 函数正在与 Tor Guard 或授权节点建立连接。Tor 是用于实现匿名通信的软件。Tor Guard 和 Authority 节点充当进入 Tor 网络的初始网关。此流量能够指示 Lambda 函数可能已泄露。现在充当 Tor 网络上的客户端。
**修复建议:**
如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 [修复可能失陷的 Lambda 函数](remediate-lambda-protection-finding-types.md)。
## UnauthorizedAccess:Lambda/TorRelay
### Lambda 函数作为 Tor 中继连接到 Tor 网络。
**默认严重级别:高**
+ **功能:**Lambda 网络活动监控
这一发现告诉你, AWS 你环境中的一个 Lambda 函数正在与 Tor 网络建立连接,这表明它充当 Tor 中继。Tor 是用于实现匿名通信的软件。Tor 通过将客户端的潜在非法流量从一个 Tor 中继转发到另一个 Tor 中继,来实现匿名通信。
**修复建议:**
如果此活动是意外活动,则您的 Lambda 函数可能已泄露。有关更多信息,请参阅 [修复可能失陷的 Lambda 函数](remediate-lambda-protection-finding-types.md)。
# 停用的调查发现类型
调查结果是一个通知,包含有关 GuardDuty 发现的潜在安全问题的详细信息。有关对 GuardDuty 查找结果类型进行重要更改(包括新添加或已停用的查找类型)的信息,请参见[Amazon 的文档历史记录 GuardDuty](doc-history.md)。
以下查找类型已停用,不再由生成 GuardDuty。
**重要**
您无法重新激活已停用的 GuardDuty 查找类型。
**Topics**
+ [Exfiltration:S3/ObjectRead.Unusual](#exfiltration-s3-objectreadunusual)
+ [Impact:S3/PermissionsModification.Unusual](#impact-s3-permissionsmodificationunusual)
+ [Impact:S3/ObjectDelete.Unusual](#impact-s3-objectdeleteunusual)
+ [Discovery:S3/BucketEnumeration.Unusual](#discovery-s3-bucketenumerationunusual)
+ [Persistence:IAMUser/NetworkPermissions](#persistence-iam-networkpermissions)
+ [Persistence:IAMUser/ResourcePermissions](#persistence-iam-resourcepermissions)
+ [Persistence:IAMUser/UserPermissions](#persistence-iam-userpermissions)
+ [PrivilegeEscalation:IAMUser/AdministrativePermissions](#privilegeescalation-iam-administrativepermissions)
+ [Recon:IAMUser/NetworkPermissions](#recon-iam-networkpermissions)
+ [Recon:IAMUser/ResourcePermissions](#recon-iam-resourcepermissions)
+ [Recon:IAMUser/UserPermissions](#recon-iam-userpermissions)
+ [ResourceConsumption:IAMUser/ComputeResources](#resourceconsumption-iam-computeresources)
+ [Stealth:IAMUser/LoggingConfigurationModified](#stealth-iam-loggingconfigurationmodified)
+ [UnauthorizedAccess:IAMUser/ConsoleLogin](#unauthorizedaccess-iam-consolelogin)
+ [UnauthorizedAccess:EC2/TorIPCaller](#unauthorizedaccess-ec2-toripcaller)
+ [Backdoor:EC2/XORDDOS](#backdoor2)
+ [Behavior:IAMUser/InstanceLaunchUnusual](#behavior1)
+ [CryptoCurrency:EC2/BitcoinTool.A](#crypto1)
+ [UnauthorizedAccess:IAMUser/UnusualASNCaller](#unauthorized6)
## Exfiltration:S3/ObjectRead.Unusual
### IAM 实体以可疑的方式调用了 S3 API。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
+ **数据源:**S3 CloudTrail 的数据事件
这一发现告诉您,您 AWS 环境中的一个 IAM 实体正在进行 API 调用,这些调用涉及 S3 存储桶,并且与该实体的既定基准不同。此活动中使用的 API 调用在攻击的渗透阶段进行,攻击者在该阶段试图收集数据。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Impact:S3/PermissionsModification.Unusual
### IAM 实体调用了一个 API,来修改一个或多个 S3 资源的权限。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
此调查发现通知您,IAM 实体正在进行 API 调用,意图修改 AWS 环境中一个或多个存储桶或对象的权限。攻击者可能执行此操作,允许在账户外部共享信息。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Impact:S3/ObjectDelete.Unusual
### IAM 实体调用了一个 API,该 API 用于删除 S3 桶中数据的。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
这一发现告诉您,您的 AWS 环境中的一个特定 IAM 实体正在进行 API 调用,旨在通过删除列出的 S3 存储桶本身来删除该存储桶中的数据。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Discovery:S3/BucketEnumeration.Unusual
### IAM 实体调用了 S3 API,该 API 用于发现网络中的 S3 存储桶。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
此调查发现通知您,IAM 实体已调用 S3 API 来发现您环境中的 S3 存储桶,例如 `ListBuckets`。此类活动与攻击的发现阶段相关,攻击者正在收集信息以确定您的 AWS 环境是否容易受到更广泛的攻击。此活动之所以可疑,是因为 IAM 实体调用 API 的方式异常。例如,此 IAM 实体以前没有调用此类 API 的历史记录,或者是在异常位置调用该 API。
**修复建议:**
如果此活动对于关联主体来说是意外活动,则可能表明凭证已暴露或 S3 权限不够严格。有关更多信息,请参阅 [修复可能失陷的 S3 存储桶](compromised-s3.md)。
## Persistence:IAMUser/NetworkPermissions
### IAM 实体调用了一个 API,通常用于更改安全组、路由和 AWS 账户 ACLs 中的网络访问权限。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
这一发现表明,您 AWS 环境中的特定委托人(AWS 账户根用户 IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当网络配置设置在可疑的情况下发生更改时,例如,当主体调用 `CreateSecurityGroup` API 而之前没有此类历史记录时,就会触发该调查发现。攻击者通常会尝试更改安全组,从而允许各个端口上的特定入站流量,以提高其访问 EC2 实例的能力。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Persistence:IAMUser/ResourcePermissions
### 委托人调用了一个 API,通常用于更改您的中各种资源的安全访问策略 AWS 账户。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果调用的 API 使用在实例上创建的临时 AWS 证书,则发现的严重性为 “高”。
这一发现表明,您 AWS 环境中的特定委托人(AWS 账户根用户 IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当检测到附加到 AWS 资源的策略或权限发生了变化时,例如您的 AWS 环境中的委托人调用了 `PutBucketPolicy` API,但之前没有这样做的历史记录时,就会触发此发现。某些服务(如 Amazon S3)支持资源附加权限,可授予一个或多个主体访问资源的权限。攻击者利用窃取的凭证更改附加到资源的策略,从而获取对该资源的访问权限。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Persistence:IAMUser/UserPermissions
### 委托人调用了通常用于添加、修改或删除您 AWS 账户中的 IAM 用户、群组或策略的 API。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
这一发现表明,您 AWS 环境中的特定委托人(AWS 账户根用户 IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
此发现是由环境中用户相关权限的可疑更改触发的,例如,当您的 AWS 环境中的委托人调用了 API 时,之前没有调用过 `AttachUserPolicy` API。 AWS 攻击者可能会利用窃取的凭证创建新用户,为现有用户添加访问策略或创建访问密钥,以最大限度地提高对账户的访问权限,即使其原始接入点已关闭。例如,账户所有者可能会注意到某个 IAM 用户或密码被盗,并将其从账户中删除。但是,他们可能不会删除由欺诈创建的管理员主体创建的其他用户,从而使攻击者可以访问他们的 AWS 帐户。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## PrivilegeEscalation:IAMUser/AdministrativePermissions
### 委托人尝试给自己分配高度宽松的策略。
**默认严重级别:低\$1**
**注意**
如果权限提升尝试不成功,此调查发现的严重性为“低”;如果权限提升尝试成功,则为“中”。
这一发现表明,您的 AWS 环境中的特定 IAM 实体表现出的行为可能表明存在权限升级攻击。当 IAM 用户或角色尝试为自己分配高度宽松的策略时,将触发此调查发现。如果相关用户或角色不应具有管理权限,则表示该用户的凭证已泄露或者该角色的权限可能未正确配置。
攻击者将会利用窃取的凭证创建新用户,为现有用户添加访问策略或创建访问密钥,以最大限度地提高对账户的访问权限,即使其原始接入点已关闭。例如,账户所有者可能会注意到某个 IAM 用户的登录凭证被盗,并将其从账户中删除,但可能不会删除由欺诈性创建的管理员主体创建的其他用户,从而使攻击者仍可访问其 AWS 账户。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Recon:IAMUser/NetworkPermissions
### 委托人调用了一个 API,通常用于更改安全组、路由和您 AWS 账户 ACLs 中的网络访问权限。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
这一发现表明,您 AWS 环境中的特定委托人(AWS 账户根用户 IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当在可疑的情况下探测到您 AWS 账户中的资源访问权限时,将会触发此调查发现。例如,如果主体调用了 `DescribeInstances` API 而之前没有此类历史记录。攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察,以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Recon:IAMUser/ResourcePermissions
### 委托人调用了一个 API,通常用于更改您 AWS 账户中各种资源的安全访问策略。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
这一发现表明,您 AWS 环境中的特定委托人(AWS 账户根用户 IAM 角色或用户)表现出的行为与既定基准不同。此主体以前没有调用此 API 的历史记录。
当在可疑的情况下探测到您 AWS 账户中的资源访问权限时,将会触发此调查发现。例如,如果主体调用了 `DescribeInstances` API 而之前没有此类历史记录。攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察,以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Recon:IAMUser/UserPermissions
### 委托人调用了通常用于添加、修改或删除您 AWS 账户中的 IAM 用户、群组或策略的 API。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
当在可疑情况下探测您 AWS 环境中的用户权限时,就会触发此发现。例如,如果主体(AWS 账户根用户、IAM 角色或 IAM 用户)调用了 `ListInstanceProfilesForRole` API,而之前没有此类历史记录。攻击者可能会使用被盗的凭据对您的 AWS 资源进行此类侦察,以便找到更有价值的凭据或确定他们已经拥有的凭据的功能。
这一发现表明,您所在 AWS 环境中的一个特定主体表现出的行为与既定基准不同。此主体以前没有通过此方法调用该 API 的历史记录。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## ResourceConsumption:IAMUser/ComputeResources
### 委托人调用了一个 API,该 API 通常用于启动计算资源,如 EC2 实例。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
当您 AWS 环境中列出的账户中的 EC2 实例在可疑情况下启动时,就会触发此调查发现。这一发现表明,您的 AWS 环境中的特定委托人表现出的行为与既定基准不同;例如,如果委托人(AWS 账户根用户 IAM 角色或 IAM 用户)在以前没有调用过 `RunInstances` API 的情况下调用了 API。这可能指示攻击者正在使用被盗凭证窃取计算时间(可能用于加密货币挖矿或密码破解)。这也可能表明攻击者在您的 AWS 环境中使用了 EC2 实例及其证书来维护对您的账户的访问权限。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## Stealth:IAMUser/LoggingConfigurationModified
### 委托人调用了一个 API,通常用于停止 CloudTrail 记录、删除现有日志以及以其他方式消除您 AWS 账户中的活动痕迹。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
当在可疑情况下修改您环境中列出的 AWS 账户中的日志记录配置时,会触发此调查发现。这一发现告诉您,您的 AWS 环境中的特定委托人表现出的行为与既定基准不同;例如,如果委托人(AWS 账户根用户 IAM 角色或 IAM 用户)调用了 `StopLogging` API,但之前没有这样做的记录。这可能指示攻击者正在尝试通过消除其活动的任何踪迹来掩盖其跟踪。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/ConsoleLogin
### 在您的 AWS 账户中观察到一位委托人异常登录控制台。
**默认严重级别:中\$1**
**注意**
此调查发现的默认严重级别为“中”。但是,如果使用在实例上创建的临时 AWS 证书调用 API,则发现的严重性为 “高”。
当在可疑的情况下检测到控制台登录时,会触发此调查发现。例如,如果委托人以前没有这样做的历史,则从 never-before-used客户端或异常位置调用了 ConsoleLogin API。这可能表明被盗的凭证被用来访问您的 AWS 账户,或者有效用户以无效或不太安全的方式(例如,不是通过批准的 VPN)访问账户。
这一发现告诉你,你所在 AWS 环境中的一个特定的主体表现出的行为与既定基准不同。此主体以前没有从此特定位置使用此客户端应用程序的登录活动的历史记录。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## UnauthorizedAccess:EC2/TorIPCaller
### EC2 实例正在接收来自 Tor 退出节点的入站连接。
**默认严重级别:中**
这一发现告诉您,您的 AWS 环境中的 EC2 实例正在接收来自 Tor 出口节点的入站连接。Tor 是用于实现匿名通信的软件。通过一系列网络节点之间的中继来加密和随机反弹通信。最后一个 Tor 节点称为出口节点。这一发现可能表明有人未经授权访问您的 AWS 资源,目的是隐藏攻击者的真实身份。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Backdoor:EC2/XORDDOS
### 一个 EC2 实例正在尝试与与 XOR DDo S 恶意软件关联的 IP 地址进行通信。
**默认严重级别:高**
这一发现告诉您,您的 AWS 环境中的 EC2 实例正试图与与 XOR DDoS 恶意软件关联的 IP 地址进行通信。此 EC2 实例可能遭盗用。XOR DDo S 是一种劫持 Linux 系统的特洛伊木马恶意软件。为了获取对系统的访问,它启动暴力攻击,用于发现 Linux 上 Secure Shell(SSH)服务的密码。获取 SSH 凭据并成功登录后,它将使用 root 用户权限运行下载和安装 XOR S DDo 的脚本。然后,该恶意软件被用作僵尸网络的一部分,对其他目标发起分布式拒绝服务 (DDoS) 攻击。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## Behavior:IAMUser/InstanceLaunchUnusual
### 用户启动了异常类型的 EC2 实例。
**默认严重级别:高**
这一发现告诉您,您 AWS 环境中的特定用户表现出的行为与既定基准不同。此用户之前没有启动过此类的 EC2 实例的历史记录。您的登录凭证可能已泄露。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## CryptoCurrency:EC2/BitcoinTool.A
### EC2 实例与比特币矿池通信。
**默认严重级别:高**
这一发现告诉您,您 AWS 环境中的一个 EC2 实例正在与比特币矿池通信。在数字加密货币挖矿领域中,矿池是通过网络共享其处理能力的矿工的资源池,以根据在解析数据块中所贡献的工作量来拆分回报。除非您使用此 EC2 实例进行比特币挖矿,否则您的 EC2 实例可能遭盗用。
**修复建议:**
如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
## UnauthorizedAccess:IAMUser/UnusualASNCaller
### 从异常网络的 IP 地址调用了 API。
**默认严重级别:高**
此调查发现告知您已从异常网络的 IP 地址调用特定活动。在所描述用户的整个 AWS 使用历史中,从未观察到该网络。此活动可能包括控制台登录、尝试启动 EC2 实例、创建新的 IAM 用户、修改您的 AWS 权限等。这可能表示您的 AWS 资源遭到未经授权的访问。
**修复建议:**
如果此活动是意外活动,则您的凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
## GuardDuty 按可能受影响的资源查找类型
以下页面按与 GuardDuty 调查结果相关的可能受影响的资源类型分类:
+ [EC2 调查发现类型](guardduty_finding-types-ec2.md)
+ [IAM 调查发现类型](guardduty_finding-types-iam.md)
+ [攻击序列调查发现类型](guardduty-attack-sequence-finding-types.md)
+ [S3 防护调查发现类型](guardduty_finding-types-s3.md)
+ [EKS 防护调查发现类型](guardduty-finding-types-eks-audit-logs.md)
+ [运行时监控调查发现类型](findings-runtime-monitoring.md)
+ [EC2 恶意软件防护调查发现类型](findings-malware-protection.md)
+ [S3 恶意软件防护调查发现类型](gdu-malware-protection-s3-finding-types.md)
+ [Backup 的恶意软件防护查找类型](findings-malware-protection-backup.md)
+ [RDS 保护调查发现类型](findings-rds-protection.md)
+ [Lambda 保护调查发现类型](lambda-protection-finding-types.md)
## GuardDuty 主动查找类型
下表显示按基础数据来源或功能排序的所有处于活动状态的调查发现类型(如果适用)。在下表中,部分调查发现的*调查发现严重性*列值标有星号 (\$1) 或加号 (\$1):
\$1 这些调查发现类型的严重性各不相同。特定类型的调查发现可能具有不同的严重性,具体取决于该调查发现的特定上下文。有关调查发现类型的更多信息,请查看其详细描述。
\$1 使用 VPC 流日志作为数据源的 EC2 发现不支持 IPv6 流量。
| 调查发现类型 | 资源类型 | 基础数据来源/功能 | 调查发现的严重性 |
| --- | --- | --- | --- |
| [Discovery:S3/AnomalousBehavior](guardduty_finding-types-s3.md#discovery-s3-anomalousbehavior) | Amazon S3 | CloudTrail S3 的数据事件 | 低 |
| [Discovery:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#discovery-s3-maliciousipcaller) | Amazon S3 | CloudTrail S3 的数据事件 | 高 |
| [Discovery:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#discovery-s3-maliciousipcallercustom) | Amazon S3 | CloudTrail S3 的数据事件 | 高 |
| [Discovery:S3/TorIPCaller](guardduty_finding-types-s3.md#discovery-s3-toripcaller) | Amazon S3 | CloudTrail S3 的数据事件 | 中 |
| [Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior) | Amazon S3 | CloudTrail S3 的数据事件 | 高 |
| [Exfiltration:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#exfiltration-s3-maliciousipcaller) | Amazon S3 | CloudTrail S3 的数据事件 | 高 |
| [Impact:EC2/MaliciousDomainRequest.Custom](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequest-custom) | Amazon EC2 | DNS 日志 | 中 |
| [Impact:S3/AnomalousBehavior.Delete](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-delete) | Amazon S3 | CloudTrail S3 的数据事件 | 高 |
| [Impact:S3/AnomalousBehavior.Permission](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-permission) | Amazon S3 | CloudTrail S3 的数据事件 | 高 |
| [Impact:S3/AnomalousBehavior.Write](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-write) | Amazon S3 | CloudTrail S3 的数据事件 | 中 |
| [Impact:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#impact-s3-maliciousipcaller) | Amazon S3 | CloudTrail S3 的数据事件 | 高 |
| [PenTest:S3/KaliLinux](guardduty_finding-types-s3.md#pentest-s3-kalilinux) | Amazon S3 | CloudTrail S3 的数据事件 | 中 |
| [PenTest:S3/ParrotLinux](guardduty_finding-types-s3.md#pentest-s3-parrotlinux) | Amazon S3 | CloudTrail S3 的数据事件 | 中 |
| [PenTest:S3/PentooLinux](guardduty_finding-types-s3.md#pentest-s3-pentoolinux) | Amazon S3 | CloudTrail S3 的数据事件 | 中 |
| [UnauthorizedAccess:S3/TorIPCaller](guardduty_finding-types-s3.md#unauthorizedaccess-s3-toripcaller) | Amazon S3 | CloudTrail S3 的数据事件 | 高 |
| [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#unauthorizedaccess-s3-maliciousipcallercustom) | Amazon S3 | CloudTrail S3 的数据事件 | 高 |
| [CredentialAccess:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#credentialaccess-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 中 |
| [CredentialAccess:IAMUser/CompromisedCredentials](guardduty_finding-types-iam.md#credentialaccess-iam-compromisedcredentials) | IAM | CloudTrail S3 的管理事件或 CloudTrail 数据事件 | 高 |
| [DefenseEvasion:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#defenseevasion-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 中 |
| [DefenseEvasion:IAMUser/BedrockLoggingDisabled](guardduty_finding-types-iam.md#defenseevasion-iam-bedrockloggingdisabled) | IAM | CloudTrail 管理事件 | 中 |
| [Discovery:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#discovery-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 低 |
| [Exfiltration:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#exfiltration-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 高 |
| [Impact:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#impact-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 高 |
| [InitialAccess:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#initialaccess-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 中 |
| [PenTest:IAMUser/KaliLinux](guardduty_finding-types-iam.md#pentest-iam-kalilinux) | IAM | CloudTrail 管理事件 | 中 |
| [PenTest:IAMUser/ParrotLinux](guardduty_finding-types-iam.md#pentest-iam-parrotlinux) | IAM | CloudTrail 管理事件 | 中 |
| [PenTest:IAMUser/PentooLinux](guardduty_finding-types-iam.md#pentest-iam-pentoolinux) | IAM | CloudTrail 管理事件 | 中 |
| [Persistence:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#persistence-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 中 |
| [Stealth:IAMUser/PasswordPolicyChange](guardduty_finding-types-iam.md#stealth-iam-passwordpolicychange) | IAM | CloudTrail 管理事件 | 低 [*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws) | IAM | CloudTrail 管理事件 | 高 [*](#gdu-active-findings-variable-severity) |
| [Policy:S3/AccountBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-accountblockpublicaccessdisabled) | Amazon S3 | CloudTrail 管理事件 | 低 |
| [Policy:S3/BucketAnonymousAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketanonymousaccessgranted) | Amazon S3 | CloudTrail 管理事件 | 高 |
| [Policy:S3/BucketBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-bucketblockpublicaccessdisabled) | Amazon S3 | CloudTrail 管理事件 | 低 |
| [Policy:S3/BucketPublicAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketpublicaccessgranted) | Amazon S3 | CloudTrail 管理事件 | 高 |
| [PrivilegeEscalation:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#privilegeescalation-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 中 |
| [Recon:IAMUser/MaliciousIPCaller](guardduty_finding-types-iam.md#recon-iam-maliciousipcaller) | IAM | CloudTrail 管理事件 | 中 |
| [Recon:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#recon-iam-maliciousipcallercustom) | IAM | CloudTrail 管理事件 | 中 |
| [Recon:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#recon-iam-toripcaller) | IAM | CloudTrail 管理事件 | 中 |
| [Stealth:IAMUser/CloudTrailLoggingDisabled](guardduty_finding-types-iam.md#stealth-iam-cloudtrailloggingdisabled) | IAM | CloudTrail 管理事件 | 低 |
| [Stealth:S3/ServerAccessLoggingDisabled](guardduty_finding-types-s3.md#stealth-s3-serveraccessloggingdisabled) | Amazon S3 | CloudTrail 管理事件 | 低 |
| [UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B](guardduty_finding-types-iam.md#unauthorizedaccess-iam-consoleloginsuccessb) | IAM | CloudTrail 管理事件 | 中 |
| [UnauthorizedAccess:IAMUser/MaliciousIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcaller) | IAM | CloudTrail 管理事件 | 中 |
| [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcallercustom) | IAM | CloudTrail 管理事件 | 中 |
| [UnauthorizedAccess:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-toripcaller) | IAM | CloudTrail 管理事件 | 中 |
| [Policy:IAMUser/RootCredentialUsage](guardduty_finding-types-iam.md#policy-iam-rootcredentialusage) | IAM | CloudTrail S3 的管理事件或 CloudTrail 数据事件 | 低 |
| [Policy:IAMUser/ShortTermRootCredentialUsage](guardduty_finding-types-iam.md#policy-iam-user-short-term-root-credential-usage) | IAM | CloudTrail S3 的管理事件或 CloudTrail 数据事件 | 低 |
| [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) | IAM | CloudTrail S3 的管理事件或 CloudTrail 数据事件 | 高 |
| [UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws) | IAM | CloudTrail S3 的管理事件或 CloudTrail 数据事件 | 高 |
| [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster) | 攻击序列中涉及的资源 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty_finding-types-active.html) | 重大 |
| [AttackSequence:IAM/CompromisedCredentials](guardduty-attack-sequence-finding-types.md#attack-sequence-iam-compromised-credentials) | 攻击序列中涉及的资源 | CloudTrail 管理事件 | 重大 |
| [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data) | 攻击序列中涉及的资源 | CloudTrail S3 的管理事件和 CloudTrail 数据事件 | 重大 |
| [AttackSequence:ECS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-ecs-compromised-cluster) | 攻击序列中涉及的资源 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty_finding-types-active.html) | 重大 |
| [AttackSequence:EC2/CompromisedInstanceGroup](guardduty-attack-sequence-finding-types.md#attack-sequence-ec2-compromised-instance-group) | 攻击序列中涉及的资源 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty_finding-types-active.html) | 重大 |
| [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns) | Amazon EC2 | DNS 日志 | 高 |
| [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns) | Amazon EC2 | DNS 日志 | 高 |
| [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation) | Amazon EC2 | DNS 日志 | 中 |
| [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation) | Amazon EC2 | DNS 日志 | 高 |
| [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation) | Amazon EC2 | DNS 日志 | 高 |
| [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation) | Amazon EC2 | DNS 日志 | 低 |
| [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns) | Amazon EC2 | DNS 日志 | 中 |
| [Trojan:EC2/DGADomainRequest.B](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestb) | Amazon EC2 | DNS 日志 | 高 |
| [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns) | Amazon EC2 | DNS 日志 | 高 |
| [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration) | Amazon EC2 | DNS 日志 | 高 |
| [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns) | Amazon EC2 | DNS 日志 | 高 |
| [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns) | Amazon EC2 | DNS 日志 | 中 |
| [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns) | Amazon EC2 | DNS 日志 | 高 |
| [UnauthorizedAccess:EC2/MetadataDNSRebind](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-metadatadnsrebind) | Amazon EC2 | DNS 日志 | 高 |
| [Execution:Container/MaliciousFile](findings-malware-protection.md#execution-malware-container-maliciousfile) | Container | EBS 恶意软件防护 | 因检测到的威胁而异 |
| [Execution:Container/SuspiciousFile](findings-malware-protection.md#execution-malware-container-suspiciousfile) | Container | EBS 恶意软件防护 | 因检测到的威胁而异 |
| [Execution:EC2/MaliciousFile](findings-malware-protection.md#execution-malware-ec2-maliciousfile) | Amazon EC2 | EBS 恶意软件防护 | 因检测到的威胁而异 |
| [Execution:EC2/SuspiciousFile](findings-malware-protection.md#execution-malware-ec2-suspiciousfile) | Amazon EC2 | EBS 恶意软件防护 | 因检测到的威胁而异 |
| [Execution:ECS/MaliciousFile](findings-malware-protection.md#execution-malware-ecs-maliciousfile) | ECS | EBS 恶意软件防护 | 因检测到的威胁而异 |
| [Execution:ECS/SuspiciousFile](findings-malware-protection.md#execution-malware-ecs-suspiciousfile) | ECS | EBS 恶意软件防护 | 因检测到的威胁而异 |
| [Execution:Kubernetes/MaliciousFile](findings-malware-protection.md#execution-malware-kubernetes-maliciousfile) | Kubernetes | EBS 恶意软件防护 | 因检测到的威胁而异 |
| [Execution:Kubernetes/SuspiciousFile](findings-malware-protection.md#execution-malware-kubernetes-suspiciousfile) | Kubernetes | EBS 恶意软件防护 | 因检测到的威胁而异 |
| [Execution:EC2/MaliciousFile\$1Snapshot](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-snapshot) | Amazon EBS | 备份恶意软件防护 | 因检测到的威胁而异 |
| [Execution:EC2/MaliciousFile\$1AMI在 EC2 AMI 中检测到恶意文件。](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-ami) | Amazon EC2 | 备份恶意软件防护 | 因检测到的威胁而异 |
| [Execution:EC2/MaliciousFile\$1RecoveryPoint](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-recoverypoint) | AWS Backup | 备份恶意软件防护 | 因检测到的威胁而异 |
| [Execution:S3/MaliciousFile\$1RecoveryPoint](findings-malware-protection-backup.md#execution-malware-s3-maliciousfile-recoverypoint) | AWS Backup | 备份恶意软件防护 | 因检测到的威胁而异 |
| [CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed](guardduty-finding-types-eks-audit-logs.md#credaccess-kubernetes-anomalousbehavior-secretsaccessed) | Kubernetes | EKS 审计日志 | 中 |
| [CredentialAccess:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-maliciousipcaller) | Kubernetes | EKS 审计日志 | 高 |
| [CredentialAccess:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 审计日志 | 高 |
| [CredentialAccess:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 审计日志 | 高 |
| [CredentialAccess:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-toripcaller) | Kubernetes | EKS 审计日志 | 高 |
| [DefenseEvasion:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-maliciousipcaller) | Kubernetes | EKS 审计日志 | 高 |
| [DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 审计日志 | 高 |
| [DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 审计日志 | 高 |
| [DefenseEvasion:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-toripcaller) | Kubernetes | EKS 审计日志 | 高 |
| [Discovery:Kubernetes/AnomalousBehavior.PermissionChecked](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-anomalousbehavrior-permissionchecked) | Kubernetes | EKS 审计日志 | 低 |
| [Discovery:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcaller) | Kubernetes | EKS 审计日志 | 中 |
| [Discovery:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 审计日志 | 中 |
| [Discovery:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 审计日志 | 中 |
| [Discovery:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-toripcaller) | Kubernetes | EKS 审计日志 | 中 |
| [Execution:Kubernetes/ExecInKubeSystemPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-execinkubesystempod) | Kubernetes | EKS 审计日志 | 中 |
| [Execution:Kubernetes/AnomalousBehavior.ExecInPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-anomalousbehvaior-execinprod) | Kubernetes | EKS 审计日志 | 中 |
| [Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed](guardduty-finding-types-eks-audit-logs.md#exec-kubernetes-anomalousbehavior-workloaddeployed) | Kubernetes | EKS 审计日志 | 低 |
| [Impact:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcaller) | Kubernetes | EKS 审计日志 | 高 |
| [Impact:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 审计日志 | 高 |
| [Impact:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 审计日志 | 高 |
| [Impact:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-toripcaller) | Kubernetes | EKS 审计日志 | 高 |
| [Persistence:Kubernetes/ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-containerwithsensitivemount) | Kubernetes | EKS 审计日志 | 中 |
| [Persistence:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-maliciousipcaller) | Kubernetes | EKS 审计日志 | 中 |
| [Persistence:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 审计日志 | 中 |
| [Persistence:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 审计日志 | 高 |
| [Persistence:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-toripcaller) | Kubernetes | EKS 审计日志 | 中 |
| [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount) | Kubernetes | EKS 审计日志 | 高 |
| [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted) | Kubernetes | EKS 审计日志 | 高 |
| [Policy:Kubernetes/KubeflowDashboardExposed](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-kubeflowdashboardexposed) | Kubernetes | EKS 审计日志 | 中 |
| [Policy:Kubernetes/ExposedDashboard](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-exposeddashboard) | Kubernetes | EKS 审计日志 | 中 |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-rolebindingcreated) | Kubernetes | EKS 审计日志 | 中等 [*](#gdu-active-findings-variable-severity) |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-rolecreated) | Kubernetes | EKS 审计日志 | 低 |
| [Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount) | Kubernetes | EKS 审计日志 | 高 |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer) | Kubernetes | EKS 审计日志 | 高 |
| [PrivilegeEscalation:Kubernetes/PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privilegeescalation-kubernetes-privilegedcontainer) | Kubernetes | EKS 审计日志 | 中 |
| [Backdoor:Lambda/C&CActivity.B](lambda-protection-finding-types.md#backdoor-lambda-ccactivity-b) | Lambda | Lambda 网络活动监控 | 高 |
| [CryptoCurrency:Lambda/BitcoinTool.B](lambda-protection-finding-types.md#cryptocurrency-lambda-bitcointool-b) | Lambda | Lambda 网络活动监控 | 高 |
| [Trojan:Lambda/BlackholeTraffic](lambda-protection-finding-types.md#trojan-lambda-blackhole-traffic) | Lambda | Lambda 网络活动监控 | 中 |
| [Trojan:Lambda/DropPoint](lambda-protection-finding-types.md#trojan-lambda-drop-point) | Lambda | Lambda 网络活动监控 | 中 |
| [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](lambda-protection-finding-types.md#unauthorized-access-lambda-maliciousIPcaller-custom) | Lambda | Lambda 网络活动监控 | 中 |
| [UnauthorizedAccess:Lambda/TorClient](lambda-protection-finding-types.md#unauthorized-access-lambda-tor-client) | Lambda | Lambda 网络活动监控 | 高 |
| [UnauthorizedAccess:Lambda/TorRelay](lambda-protection-finding-types.md#unauthorized-access-lambda-tor-relay) | Lambda | Lambda 网络活动监控 | 高 |
| [Object:S3/MaliciousFile](gdu-malware-protection-s3-finding-types.md#s3-object-s3-malicious-file) | S3Object | S3 恶意软件防护 | 高 |
| [CredentialAccess:RDS/AnomalousBehavior.FailedLogin](findings-rds-protection.md#credaccess-rds-anombehavior-failedlogin) | [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) | RDS 登录活动监控 | 低 |
| [CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce](findings-rds-protection.md#credaccess-rds-anombehavior-successfulbruteforce) | [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) | RDS 登录活动监控 | 高 |
| [CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-anombehavior-successlogin) | [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) | RDS 登录活动监控 | 变量 [*](#gdu-active-findings-variable-severity) |
| [CredentialAccess:RDS/MaliciousIPCaller.FailedLogin](findings-rds-protection.md#credaccess-rds-maliciousipcaller-failedlogin) | [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) | RDS 登录活动监控 | 中 |
| [CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-maliciousipcaller-successfullogin) | [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) | RDS 登录活动监控 | 高 |
| [CredentialAccess:RDS/TorIPCaller.FailedLogin](findings-rds-protection.md#credaccess-rds-toripcaller-failedlogin) | [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) | RDS 登录活动监控 | 中 |
| [CredentialAccess:RDS/TorIPCaller.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-toripcaller-successfullogin) | [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) | RDS 登录活动监控 | 高 |
| [Discovery:RDS/MaliciousIPCaller](findings-rds-protection.md#discovery-rds-maliciousipcaller) | [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) | RDS 登录活动监控 | 中 |
| [Discovery:RDS/TorIPCaller](findings-rds-protection.md#discovery-rds-toripcaller) | [支持的 Amazon Aurora、Amazon RDS 和 Aurora Limitless Database](rds-protection.md#rds-pro-supported-db) | RDS 登录活动监控 | 中 |
| [Backdoor:Runtime/C&CActivity.B](findings-runtime-monitoring.md#backdoor-runtime-ccactivityb) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [CryptoCurrency:Runtime/BitcoinTool.B](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolb) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [DefenseEvasion:Runtime/FilelessExecution](findings-runtime-monitoring.md#defenseeva-runtime-filelessexecution) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [DefenseEvasion:Runtime/KernelModuleLoaded](findings-runtime-monitoring.md#defenseevasion-runtime-kernelmoduleloaded) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [DefenseEvasion:Runtime/ProcessInjection.Proc](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionproc) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [DefenseEvasion:Runtime/ProcessInjection.Ptrace](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionptrace) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionvirtualmemw) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [DefenseEvasion:Runtime/PtraceAntiDebugging](findings-runtime-monitoring.md#defenseevasion-runtime-ptrace-anti-debug) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 低 |
| [DefenseEvasion:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#defenseevasion-runtime-suspicious-command) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [Discovery:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#discovery-runtime-suspicious-command) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 低 |
| [Execution:Runtime/MaliciousFileExecuted](findings-runtime-monitoring.md#execution-runtime-malicious-file-executed) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [Execution:Runtime/NewBinaryExecuted](findings-runtime-monitoring.md#execution-runtime-newbinaryexecuted) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [Execution:Runtime/NewLibraryLoaded](findings-runtime-monitoring.md#execution-runtime-newlibraryloaded) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [Execution:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#execution-runtime-suspiciouscommand) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 变量 |
| [Execution:Runtime/SuspiciousShellCreated](findings-runtime-monitoring.md#execution-runtime-suspicious-shell-created) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 低 |
| [Execution:Runtime/SuspiciousTool](findings-runtime-monitoring.md#execution-runtime-suspicioustool) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 变量 |
| [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [Impact:Runtime/CryptoMinerExecuted](findings-runtime-monitoring.md#impact-runtime-cryptominerexecuted) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 低 |
| [Persistence:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#persistence-runtime-suspicious-command) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](findings-runtime-monitoring.md#privilegeesc-runtime-cgroupsreleaseagentmodified) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [PrivilegeEscalation:Runtime/ElevationToRoot](findings-runtime-monitoring.md#privilegeesc-runtime-elevation-to-root) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [PrivilegeEscalation:Runtime/RuncContainerEscape](findings-runtime-monitoring.md#privilegeesc-runtime-runccontainerescape) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [PrivilegeEscalation:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#privilege-escalation-runtime-suspicious-command) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [PrivilegeEscalation:Runtime/UserfaultfdUsage](findings-runtime-monitoring.md#privilegeescalation-runtime-userfaultfdusage) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [Trojan:Runtime/BlackholeTraffic](findings-runtime-monitoring.md#trojan-runtime-blackholetraffic) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [Trojan:Runtime/DropPoint](findings-runtime-monitoring.md#trojan-runtime-droppoint) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 中 |
| [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [UnauthorizedAccess:Runtime/MetadataDNSRebind](findings-runtime-monitoring.md#unauthorizedaccess-runtime-metadatadnsrebind) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [UnauthorizedAccess:Runtime/TorClient](findings-runtime-monitoring.md#unauthorizedaccess-runtime-torclient) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [UnauthorizedAccess:Runtime/TorRelay](findings-runtime-monitoring.md#unauthorizedaccess-runtime-torrelay) | 实例、EKS 集群、ECS 集群或容器 | 运行时监控 | 高 |
| [Backdoor:EC2/C&CActivity.B](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivityb) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/DenialOfService.Tcp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicetcp) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudpontcpports) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/DenialOfService.UnusualProtocol](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceunusualprotocol) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/Spambot](guardduty_finding-types-ec2.md#backdoor-ec2-spambot) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [Behavior:EC2/NetworkPortUnusual](guardduty_finding-types-ec2.md#behavior-ec2-networkportunusual) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [Behavior:EC2/TrafficVolumeUnusual](guardduty_finding-types-ec2.md#behavior-ec2-trafficvolumeunusual) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [CryptoCurrency:EC2/BitcoinTool.B](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolb) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [DefenseEvasion:EC2/UnusualDNSResolver](guardduty_finding-types-ec2.md#defenseevasion-ec2-unusualdnsresolver) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [DefenseEvasion:EC2/UnusualDoHActivity](guardduty_finding-types-ec2.md#defenseevasion-ec2-unsualdohactivity) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [DefenseEvasion:EC2/UnusualDoTActivity](guardduty_finding-types-ec2.md#defenseevasion-ec2-unusualdotactivity) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [Impact:EC2/PortSweep](guardduty_finding-types-ec2.md#impact-ec2-portsweep) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Impact:EC2/WinRMBruteForce](guardduty_finding-types-ec2.md#impact-ec2-winrmbruteforce) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 低 [*](#gdu-active-findings-variable-severity) |
| [Recon:EC2/PortProbeEMRUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeemrunprotectedport) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 低 [*](#gdu-active-findings-variable-severity) |
| [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [Trojan:EC2/BlackholeTraffic](guardduty_finding-types-ec2.md#trojan-ec2-blackholetraffic) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [Trojan:EC2/DropPoint](guardduty_finding-types-ec2.md#trojan-ec2-droppoint) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-maliciousipcallercustom) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 低 [*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 低 [*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [UnauthorizedAccess:EC2/TorRelay](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torrelay) | Amazon EC2 | VPC 流日志 [+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |