本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 了解并生成 Amazon GuardDuty 调查结果
GuardDuty 发现代表在工作负载和数据中 AWS 账户检测到的潜在安全问题。 GuardDuty 每当它在您的 AWS 环境中检测到意外和潜在的恶意活动时,都会生成调查结果。
您可以在 GuardDuty 控制台的 GuardDuty 调查结果页面上查看和管理您的**发现**,也可以使用 AWS CLI 或 API 操作来查看和管理您的发现。有关如何管理 GuardDuty 调查结果的信息,请参阅[管理亚马逊 GuardDuty 调查结果](findings_management.md)。
**主题:**
[GuardDuty 查找格式](guardduty_finding-format.md)
了解 GuardDuty 追踪的 GuardDuty 发现类型和不同威胁目的的格式。
[示例发现结果](sample_findings.md)
在 GuardDuty 控制台中或使用 GuardDuty API 或 AWS CLI 命令生成样本调查结果。生成的样本发现包括虚构的细节,可帮助您了解与每个 GuardDuty 发现相关的发现细节。这些调查发现标有前缀 **[SAMPLE]**。
[专用账户中的测试 GuardDuty 结果](guardduty_findings-scripts.md)
您可以在自己的环境中测试特定的 GuardDuty 发现。在专用的非生产 AWS 账户中运行 `guardduty-tester` 脚本。 GuardDuty 为了检测和模拟调查结果,它将在您的环境中部署某些资源。这种体验与生成示例调查发现不同。
[在 GuardDuty 控制台中查看生成的调查结果](guardduty_working-with-findings.md)
了解如何在 GuardDuty 控制台中查看生成的调查结果。
[GuardDuty 调查结果的严重性级别](guardduty_findings-severity.md)
每项 GuardDuty 发现都有一个相关的严重性级别,反映了您 AWS 环境中的潜在风险。本节解释了每个严重性级别的含义。
[调查发现详细信息](guardduty_findings-summary.md)
了解与您的账户中生成的 GuardDuty 调查结果相关的详细信息。本主题包括中与基础威胁检测、扩展威胁检测和专用保护计划相关的详细信息。 GuardDuty
[GuardDuty 查找聚合](finding-aggregation.md)
了解如何 GuardDuty 处理同一查找类型相同的多个匹配项。通过聚合检测到的相同查找类型,使用最新的详细信息 GuardDuty更新原始查找类型。
[GuardDuty 查找类型](guardduty_finding-types-active.md)
本节列出了关联的[基础数据来源](guardduty_data-sources.md)或[映射 GuardDuty要素](guardduty-feature-object-api-changes-march2023.md#guardduty-feature-enablement-datasource-relation)的 GuardDuty 查找类型。要了解每种调查发现类型,请选择该调查发现以获取更多详细信息,例如其描述和修复调查发现的可能步骤。
# GuardDuty 查找格式
当在您的 AWS 环境中 GuardDuty 检测到可疑或意外行为时,它会生成调查结果。调查结果是一种通知,其中包含有关已发现 GuardDuty 的潜在安全问题的详细信息。[在 GuardDuty 控制台中查看生成的调查结果](guardduty_working-with-findings.md)其中包括有关发生了什么、可疑活动涉及哪些 AWS 资源、此活动何时发生的信息,以及可能有助于您了解根本原因的相关信息。
调查发现详细信息中最有用的一部分信息是**调查发现类型**。调查发现类型的目的是为潜在安全问题提供简明且可读的说明。例如, GuardDuty*Recon:EC2/PortProbeUnprotectedPort*查找类型会很快通知您,在您的 AWS 环境中,某个 EC2 实例有一个未受保护的端口,潜在的攻击者正在探测该端口。
GuardDuty 使用以下格式命名其生成的各种类型的调查结果:
**ThreatPurpose:ResourceTypeAffected/ThreatFamilyName。 DetectionMechanism! Artical**
此格式的每个部分都表示调查发现类型的一个方面。这些方面有如下解释:
+ **ThreatPurpose**-描述威胁的主要目的、攻击类型或潜在攻击的阶段。有关 GuardDuty 威胁目的的完整列表,请参阅以下部分。
+ **ResourceTypeAffected**-描述本调查结果中将哪种 AWS 资源类型确定为对手的潜在目标。目前, GuardDuty 可以为中列出的资源类型生成调查结果[GuardDuty 主动查找类型](guardduty_finding-types-active.md#findings-table)。
+ **ThreatFamilyName**-描述 GuardDuty 正在检测到的总体威胁或潜在的恶意活动。例如,值为**NetworkPortUnusual**表示在调查结果中识别的 EC2 实例在 GuardDuty 调查结果中也标识的特定远程端口上没有先前的通信记录。
+ **DetectionMechanism**-描述 GuardDuty 检测发现结果的方法。这可用于表示常见发现类型的变异或 GuardDuty 使用特定机制进行检测的发现。例如,**Backdoor:EC2/DenialOfService.Tcp 表示通过 TCP** 检测到拒绝服务 (DoS)。UDP 变体是 **Backdoor:EC2/DenialOfService**.Udp。
值为 **.Custom** 表示根据您的自定义威胁列表 GuardDuty 检测到了发现。有关更多信息,请参阅 [实体列表和 IP 地址列表](guardduty_upload-lists.md)。
**.Repitution** 值表示使用域名信誉评分模型 GuardDuty 检测到该结果。有关更多信息,请参阅[如何 AWS 跟踪云中最大的安全威胁并帮助将其关闭](https://aws.amazon.com/blogs/security/how-aws-tracks-the-clouds-biggest-security-threats-and-helps-shut-them-down/)。
+ **Artifact**:描述恶意活动中使用的工具所拥有的特定资源。例如,查找类型中的 **DNS** [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns) 表示一个 Amazon EC2 实例正在与已知的比特币相关域进行通信。
**注意**
Artifact 是可选的,可能不适用于所有 GuardDuty 查找类型。
## 威胁目的
GuardDuty 在*威胁目的*中,描述威胁的主要目的、攻击类型或潜在攻击的阶段。例如,某些威胁目的(例如 **Backdoor**)表示一种攻击类型。但某些威胁目的,例如,**Impact** 与 [MITRE ATT&CK 策略](https://attack.mitre.org/tactics/TA0010/)一致。MITRE ATT&CK 策略表示攻击者攻击周期的不同阶段。在当前版本中 GuardDuty, ThreatPurpose 可以有以下值:
**后门**
此值表示攻击者破坏了 AWS 资源并更改了资源,因此它能够联系其主命令和控制 (C&C) 服务器以接收有关恶意活动的进一步指令。
**行为**
此值表示检测到 GuardDuty 的活动或活动模式与所涉 AWS 资源的既定基准不同。
**CredentialAccess**
此值表示 GuardDuty 已检测到活动模式,攻击者可能利用这些活动模式从您的环境中窃取证书,例如密码、用户名和访问密钥。此威胁目的基于 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**Cryptocurrency**
此值表示 GuardDuty 已检测到您的环境中的 AWS 资源正在托管与加密货币(例如比特币)关联的软件。
**DefenseEvasion**
此值表示 GuardDuty 已检测到活动或活动模式,攻击者在渗透到您的环境时可能会使用这些活动或活动模式来避免被发现。此威胁目的基于 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)
**Discovery**
此值表示 GuardDuty 已检测到活动或活动模式,攻击者可能会利用这些活动或活动模式来扩展他们对您的系统和内部网络的了解。此威胁目的基于 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**Execution**
此值表示 GuardDuty 已检测到攻击者可能试图运行或已经运行恶意代码来探索 AWS 环境或窃取数据。此威胁目的基于 [MITRE ATT&CK 策略](https://attack.mitre.org/tactics/TA0002/)。
**Exfiltration**
此值表示 GuardDuty 已检测到攻击者在尝试从您的环境中窃取数据时可能使用的活动或活动模式。此威胁目的基于 [MITRE ATT&CK 策略](https://attack.mitre.org/tactics/TA0010/)。
**Impact**
此值表示 GuardDuty 已检测到活动或活动模式,这些活动或活动模式表明对手正试图操纵、中断或破坏您的系统和数据。此威胁目的基于 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**InitialAccess**
该值通常与攻击的初始访问阶段有关,即攻击者尝试建立对环境的访问的阶段。此威胁目的基于 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**Pentest**
有时, AWS 资源所有者或其授权代表会故意对 AWS 应用程序进行测试以发现漏洞,例如开放的安全组或过于宽松的访问密钥。进行这些渗透测试是为了尝试在攻击者发现之前确定和锁定易受攻击的资源。但是,授权渗透测试人员使用的一些工具是免费的,因此未经授权的用户或攻击者也可使用这些工具进行探测测试。尽管 GuardDuty 无法确定此类活动背后的真正目的,但 **Pentest** 值表示 GuardDuty 正在检测此类活动,它与已知的笔试工具生成的活动类似,并且可能表示对您的网络进行了恶意探测。
**Persistence**
此值表示 GuardDuty 已检测到活动或活动模式,即使他们的初始访问路径被切断,攻击者也可能使用这些活动或活动模式来尝试保持对系统的访问权限。例如,这可能包括通过现有用户泄露的凭证获得访问权限后创建新的 IAM 用户。现有用户的凭证被删除后,攻击者将保留对新用户的访问权限,而在原始事件中未检测到这种访问权限。此威胁目的基于 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**Policy**
此值表示您的 AWS 账户 行为与推荐的安全最佳实践背道而驰。例如,意外修改与 AWS 资源或环境相关的权限策略,以及使用本应很少或根本没有使用的特权账户。
**PrivilegeEscalation**
该值通知您,攻击者可能利用您 AWS 环境中相关主体表现出的行为,来获取更高级别的网络访问权限。此威胁目的基于 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**Recon**
此值表示 GuardDuty 已检测到活动或活动模式,攻击者在对您的环境进行侦察时可能会使用这些活动或活动模式,以确定他们如何扩大访问范围或利用您的资源。例如,此活动可能包括通过探测端口、发出 API 调用、列出用户、列出数据库表等操作来确定 AWS 环境中的漏洞。
**Stealth**
该值表示攻击者正在主动尝试隐藏其操作。例如,他们可能会使用匿名代理服务器,从而极难判断活动的真实性质。
**Trojan**
该值表示攻击使用了木马程序,静默执行恶意活动。有时候此软件貌似合法程序。有时候用户会意外运行此软件。另一些时候,此软件会自动通过利用漏洞来运行。
**UnauthorizedAccess**
此值表示 GuardDuty 正在检测未经授权的个人的可疑活动或可疑活动模式。
# GuardDuty 恶意软件检测扫描引擎
Amazon GuardDuty 拥有内部构建和管理的扫描引擎和[第三方供应商](https://www.bitdefender.com/blog/businessinsights/bitdefender-and-amazon-web-services-strengthen-cloud-security/)。两者都使用来自各种内部 Feed 的入侵指标 (IoCs),这些信息可以查看可能针对的不同类型的恶意软件 AWS。 GuardDuty 还有基于我们的安全工程师添加的 YARA 规则的检测定义,以及基于启发式和机器学习 (ML) 模型的检测。扫描 Amazon S3 对象时,当使用相同的扫描定义和引擎多次扫描同一个对象时, GuardDuty 恶意软件防护会产生一致的结果。基于签名的检测不仅包括字节匹配,还包括可能很复杂的代码片段匹配,并且扫描器可以解析内容并做出决策。
恶意软件扫描引擎不执行实时行为分析,在实时行为分析中,恶意软件引爆组件会监控在真实系统中执行的样本。 GuardDuty 解决方案主要是基于文件的检测。为了检测无文件恶意软件, GuardDuty 提供了基于代理的解决方案,例如适用于 Amazon EKS、[运行时监控](runtime-monitoring.md) Amazon EC2 和 Amazon ECS(包括)。 AWS Fargate
它使用的扫描引擎对 GuardDuty 扫描恶意软件的文件格式没有限制,可以检测不同类型的恶意软件,例如加密矿工、勒索软件和网络外壳。完全托管的 GuardDuty 扫描引擎每 15 分钟持续更新一次恶意软件签名列表。
扫描引擎是 GuardDuty 威胁情报系统的一部分,它使用内部恶意软件引爆组件。该引擎会通过独立收集来自多个来源的恶意软件和良性样本来生成新的威胁情报。然后进一步将来自威胁情报系统的文件哈希 IoC 类型推送到恶意软件扫描引擎,从而根据已知恶意文件哈希值检测恶意软件。
# 在中生成样本调查结果 GuardDuty
Amazon 可 GuardDuty 帮助您生成样本调查结果,以可视化和了解它可能生成的各种调查结果类型。生成样本发现结果时, GuardDuty会在当前发现列表中填入每种支持的查找类型(包括攻击序列查找类型)的一个样本。
生成的示例是用占位符值填充的近似值。这些样本可能与您环境的实际发现不同,但您可以使用它们来测试各种配置 GuardDuty,例如您的 EventBridge 事件或过滤器。有关不同调查发现类型的可用值列表,请参阅 [GuardDuty 查找类型](guardduty_finding-types-active.md)表。
## 通过 GuardDuty 控制台或 API 生成样本调查结果
选择您的首选访问方法以生成示例调查发现。
**注意**
GuardDuty 控制台可帮助您生成每种查找类型中的一个。要生成一个或多个特定的查找结果类型,请执行相关 API/CLI 步骤。
------
#### [ Console ]
使用以下过程来生成示例调查发现。此过程为每种查找类型生成一个样本 GuardDuty 查找结果。
****
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择**设置**。
1. 在**设置**页面上的**示例调查发现**下,选择**生成示例调查发现**。
1. 在导航窗格中,选择**调查发现**。示例调查发现显示在**当前调查发现**页面上,并带有前缀 **[SAMPLE]**。
------
#### [ API/CLI ]
您可以通过 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html)API 生成与任何 GuardDuty 查找类型匹配的单个样本查找结果,[GuardDuty 查找类型](guardduty_finding-types-active.md)表格中列出了查找类型的可用值。
这对于测试 CloudWatch 事件规则或基于发现的自动化非常有用。以下示例展示了如何使用 AWS CLI生成 `Backdoor:EC2/DenialOfService.Tcp` 类型的单个示例调查发现。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
```
aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp
```
------
在控制台中,通过这些方法生成的示例调查发现的标题始终以 **[SAMPLE]** 开头。示例调查发现在调查发现 JSON 详细信息的 **additionalInfo** 部分具有 `"sample": true` 值。
要了解与生成的调查发现相关的调查发现详细信息,例如调查发现的严重性和可能失陷的资源,请参阅 [GuardDuty 调查结果的严重性级别](guardduty_findings-severity.md)和[调查发现详细信息](guardduty_findings-summary.md)。
要根据您的环境中专用和隔离 AWS 账户 环境中的模拟活动生成一些常见发现,请参阅[专用账户中的测试 GuardDuty 结果](guardduty_findings-scripts.md)。
# 专用账户中的测试 GuardDuty 结果
使用本文档运行测试器脚本,该脚本针对将部署在您的中的测试资源生成 GuardDuty 结果 AWS 账户。当您想了解和了解某些 GuardDuty 查找类型以及查找结果详细信息如何查找您账户中的实际资源时,可以执行这些步骤。这种体验不同于生成[示例发现结果](sample_findings.md)。有关测试 GuardDuty 结果体验的更多信息,请参阅[注意事项](#considerations-generate-gdu-findings-tester)。
**Topics**
+ [注意事项](#considerations-generate-gdu-findings-tester)
+ [GuardDuty 调查结果测试器脚本可以生成](#gdu-findings-tester-generates)
+ [第 1 步 – 先决条件](#prerequisites-gdu-tester-script)
+ [步骤 2-部署 AWS 资源](#deploy-gdu-tester-script)
+ [第 3 步 – 运行测试程序脚本](#run-gdu-tester-script)
+ [步骤 4-清理 AWS 测试资源](#clean-gdu-tester-script-resources)
+ [排查常见 问题](#troubleshooting-gdu-tester-script-issues)
## 注意事项
在继续操作之前,请注意以下事项:
+ GuardDuty 建议在专用的非生产 AWS 账户环境中部署测试器。这种方法将确保您能够正确识别测试人员生成的 GuardDuty 结果。此外, GuardDuty 测试人员还会部署各种资源,这些资源可能需要超出其他账户所允许的 IAM 权限。使用专用账户可确保通过明确的账户边界来恰当界定权限范围。
+ 测试器脚本使用不同的 AWS 资源组合生成 100 多个 GuardDuty 调查结果。目前,这并未包括所有 [GuardDuty 查找类型](guardduty_finding-types-active.md)。有关可使用此测试程序脚本生成的调查发现类型列表,请参阅[GuardDuty 调查结果测试器脚本可以生成](#gdu-findings-tester-generates)。
**备注**
为可视化*攻击序列调查发现类型*,测试程序脚本将仅生成 [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster) 和 [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data)。如需可视化和了解 [AttackSequence:IAM/CompromisedCredentials](guardduty-attack-sequence-finding-types.md#attack-sequence-iam-compromised-credentials),您可以在账户中生成 [示例发现结果](sample_findings.md)。
+ 要使 GuardDuty 测试人员按预期工作, GuardDuty 需要在部署测试人员资源的账户中启用。根据将要运行的测试,测试人员评估是否启用了相应的 GuardDuty 保护计划。对于任何未启用的保护计划, GuardDuty 将请求允许启用必要的保护计划,以便在足够长的时间 GuardDuty 内执行将生成结果的测试。稍后, GuardDuty 将在测试完成后禁用保护计划。
** GuardDuty 首次启用**
在 GuardDuty 特定地区首次在您的专用账户中启用后,您的账户将自动注册为期 30 天的免费试用。
GuardDuty 提供可选的保护计划。启用时 GuardDuty,某些保护计划也已启用,并包含在 GuardDuty 30 天免费试用版中。有关更多信息,请参阅 [使用 GuardDuty 30 天免费试用](guardduty-pricing.md#using-guardduty-30-day-free-trial)。
**GuardDuty 在运行测试器脚本之前,已在您的账户中启用**
如果 GuardDuty 已启用,则测试器脚本将根据参数检查某些保护计划的配置状态以及生成调查结果所需的其他账户级别设置。
通过运行此测试程序脚本,某些防护计划可能会在您位于某个区域的专用账户中首次启用。该防护计划的 30 天免费试用期将由此开始计算。有关每个防护计划相关的免费试用期的信息,请参阅[使用 GuardDuty 30 天免费试用](guardduty-pricing.md#using-guardduty-30-day-free-trial)。
+ 只要部署了 GuardDuty 测试器基础架构,您就可能偶尔会收到来自 PenTest 实例的[UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient)调查结果。
## GuardDuty 调查结果测试器脚本可以生成
目前,测试程序脚本生成以下与 Amazon EC2、Amazon EKS、Amazon S3、IAM 和 EKS 审计日志有关的调查发现类型:
+ [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)
+ [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation)
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-maliciousipcallercustom)
+ [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce)
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce)
+ [PenTest:IAMUser/KaliLinux](guardduty_finding-types-iam.md#pentest-iam-kalilinux)
+ [Recon:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#recon-iam-maliciousipcallercustom)
+ [Recon:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#recon-iam-toripcaller)
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](guardduty_finding-types-iam.md#stealth-iam-cloudtrailloggingdisabled)
+ [Stealth:IAMUser/PasswordPolicyChange](guardduty_finding-types-iam.md#stealth-iam-passwordpolicychange)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcallercustom)
+ [UnauthorizedAccess:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-toripcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcallercustom)
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-successfulanonymousaccess)
+ [Discovery:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-containerwithsensitivemount)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted)
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privilegeescalation-kubernetes-privilegedcontainer)
+ [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](lambda-protection-finding-types.md#unauthorized-access-lambda-maliciousIPcaller-custom)
+ [Discovery:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#discovery-s3-maliciousipcallercustom)
+ [Discovery:S3/TorIPCaller](guardduty_finding-types-s3.md#discovery-s3-toripcaller)
+ [PenTest:S3/KaliLinux](guardduty_finding-types-s3.md#pentest-s3-kalilinux)
+ [Policy:S3/AccountBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-accountblockpublicaccessdisabled)
+ [Policy:S3/BucketAnonymousAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketanonymousaccessgranted)
+ [Policy:S3/BucketBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-bucketblockpublicaccessdisabled)
+ [Policy:S3/BucketPublicAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketpublicaccessgranted)
+ [Stealth:S3/ServerAccessLoggingDisabled](guardduty_finding-types-s3.md#stealth-s3-serveraccessloggingdisabled)
+ [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#unauthorizedaccess-s3-maliciousipcallercustom)
+ [UnauthorizedAccess:S3/TorIPCaller](guardduty_finding-types-s3.md#unauthorizedaccess-s3-toripcaller)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [DefenseEvasion:Runtime/ProcessInjection.Ptrace](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionptrace)
+ [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionvirtualmemw)
+ [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
## 第 1 步 – 先决条件
要准备测试环境,您需要以下项目:
+ **Git**:根据您使用的操作系统安装 git 命令行工具。
克隆 [`amazon-guardduty-tester` 存储库](https://github.com/awslabs/amazon-guardduty-tester) 将需要此项目。
+ **AWS Command Line Interface**— 一种开源工具,允许您使用命令行外壳中的命令进行交互。 AWS 服务 有关更多信息,请参阅《AWS Command Line Interface 用户指南》中的 [Get started with AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)**。
+ **AWS Systems Manager**— 要使用与托管节点启动会话管理器会话, AWS CLI 必须在本地计算机上安装会话管理器插件。有关更多信息,请参阅《AWS Systems Manager 用户指南》中的[为 AWS CLI安装 Session Manager 插件](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html)**。
+ **节点包管理器(NPM)**:安装 NPM 以安装所有依赖项。
+ **Docker**:您必须已经安装 Docker。有关安装说明,请参阅 [Docker 网站](https://docs.docker.com/get-docker/)。
要验证是否已安装 Docker,请运行以下命令并确认是否有与以下输出类似的输出:
```
$ docker --version
Docker version 19.03.1
```
+ 在 *AWS Marketplace* 中订阅 [Kali Linux](https://aws.amazon.com/marketplace/pp/prodview-fznsw3f7mq7to) 映像。
## 步骤 2-部署 AWS 资源
本节列出了在专用账户中部署某些 AWS 资源的关键概念和步骤。
### 概念
以下列表提供了与有助您部署资源的命令相关的关键概念:
+ **AWS Cloud Development Kit (AWS CDK)**— CDK 是一个开源软件开发框架,用于在代码中定义云基础架构并通过它进行 CloudFormation配置。CDK 支持多种编程语言,从而定义称为构造的可重用云组件。您可以将构造组合成堆栈和应用程序。然后,您可以将 CDK 应用程序部署到 CloudFormation 以配置或更新您的资源。有关更多信息,请参阅[什么是 AWS CDK?](https://docs.aws.amazon.com/cdk/v2/guide/home.html) 在《*AWS Cloud Development Kit (AWS CDK) 开发人员指南》*中。
+ **Bootstrapping** — 这是准备您的 AWS 环境以供使用的过程。 AWS CDK在将 CDK 堆栈部署到 AWS 环境中之前,必须先对环境进行引导。在您的环境中配置由使用的特定 AWS 资源的过程 AWS CDK 是您将在下一节中执行的步骤的一部分-[部署 AWS 资源的步骤](#steps-deploy-resource-test-guardduty-findings)。
有关引导工作原理的更多信息,请参阅《AWS Cloud Development Kit (AWS CDK) 开发人员指南》中的 [Bootstrapping](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html)**。
### 部署 AWS 资源的步骤
执行以下步骤以开始部署资源:
1. 除非在`bin/cdk-gd-tester.ts`文件中手动设置了专用账户 “区域” 变量,否则请设置您的 AWS CLI 默认账户和区域。有关更多信息,请参阅《AWS Cloud Development Kit (AWS CDK) 开发人员指南》中的 [Environments](https://docs.aws.amazon.com/cdk/v2/guide/environments.html)**。
1. 运行以下命令来部署资源:
```
git clone https://github.com/awslabs/amazon-guardduty-tester && cd amazon-guardduty-tester
npm install
cdk bootstrap
cdk deploy
```
最后一个命令 (`cdk deploy`) 代表你创建一个 CloudFormation 堆栈。此堆栈的名称是**GuardDutyTesterStack**。
作为此脚本的一部分, GuardDuty 创建新资源以在您的账户中生成 GuardDuty调查结果。此外还会向 Amazon EC2 实例添加以下标签键值对:
`CreatedBy`:`GuardDuty Test Script`
Amazon EC2 实例还包括托管 EKS 节点和 ECS 集群的 EC2 实例。
**实例类型**
GuardDuty 旨在使用经济实惠的实例类型,这些实例类型可提供成功执行测试所需的最低性能。由于 vCPU 要求,Amazon EKS 节点组需要使用 `t3.medium`;同时,由于 DenialOfService 查找测试所需的网络容量增加,驱动程序节点需要使用 `m6i.large`。对于所有其他测试, GuardDuty 使用`t3.micro`实例类型。有关实例类型的更多信息,请参阅《Amazon EC2 实例类型指南》中的[可用大小](https://docs.aws.amazon.com/ec2/latest/instancetypes/gp.html#gp_sizes)**。
## 第 3 步 – 运行测试程序脚本
这是一个分为两步的过程,首先需要启动与测试驱动程序的会话,然后运行脚本以生成具有特定资源组合的 GuardDuty 结果。
### A 部分 – 启动与测试驱动程序的会话
1. 部署资源后,将区域代码保存到当前终端会话中的某个变量中。使用以下命令并*us-east-1*替换为部署资源的区域代码:
```
$ REGION=us-east-1
```
1. 测试器脚本只能通过 AWS Systems Manager (SSM) 获得。要在测试器主机实例上启动交互式 shell,请查询主机**InstanceId**。
1. 使用以下命令启动与测试程序脚本的会话:
```
aws ssm start-session
--region $REGION
--document-name AWS-StartInteractiveCommand
--parameters command="cd /home/ssm-user/py_tester && bash -l"
--target $(aws ec2 describe-instances
--region $REGION
--filters "Name=tag:Name,Values=Driver-GuardDutyTester"
--query "Reservations[].Instances[?State.Name=='running'].InstanceId"
--output text)
```
### B 部分 – 生成调查发现
测试程序脚本是一种基于 Python 的程序,可动态构建 bash 脚本以根据您的输入生成调查发现。您可以根据一种或多种 AWS 资源类型、 GuardDuty 保护计划[威胁目的](guardduty_finding-format.md#guardduty_threat_purposes)(战术)或灵活地生成调查结果[GuardDuty 调查结果测试器脚本可以生成](#gdu-findings-tester-generates)。[基础数据来源](guardduty_data-sources.md)
以下列命令示例为参考,然后运行一个或多个命令来生成要探索的调查发现:
```
python3 guardduty_tester.py
python3 guardduty_tester.py --all
python3 guardduty_tester.py --s3
python3 guardduty_tester.py --tactics discovery
python3 guardduty_tester.py --ec2 --eks --tactics backdoor policy execution
python3 guardduty_tester.py --eks --runtime only
python3 guardduty_tester.py --ec2 --runtime only --tactics impact
python3 guardduty_tester.py --log-source dns vpc-flowlogs
python3 guardduty_tester.py --finding 'CryptoCurrency:EC2/BitcoinTool.B!DNS'
```
如需有关有效参数的更多信息,您可以运行以下帮助命令:
```
python3 guardduty_tester.py --help
```
### C 部分 – 检查生成的调查发现
选择一种您偏好的方法,以便查看账户中生成的调查发现。
------
#### [ GuardDuty console ]
1. 登录 AWS 管理控制台 并打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在导航窗格中,选择 **调查发现**。
1. 从调查发现表中,选择要查看详细信息的调查发现。这时将打开调查发现详细信息面板。有关信息,请参阅[了解并生成 Amazon GuardDuty 调查结果](guardduty_findings.md)。
1. 如果要筛选这些调查发现,请使用资源标签键和值。例如,要筛选为 Amazon EC2 实例生成的调查发现,请将 `CreatedBy`:`GuardDuty Test Script` 作为**实例标签键**和**实例标签键**的标签键值对。
------
#### [ API ]
+ 运行[ListFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html)以查看特定探测器 ID 的发现结果。您可以指定参数来筛选调查发现。
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
------
#### [ AWS CLI ]
+ 运行以下 AWS CLI 命令查看生成的结果,并用合适*12abc34d567e8fa901bc2d34EXAMPLE*的值替换*us-east-1*和:
```
aws guardduty list-findings --region us-east-1 --detector-id 12abc34d567e8fa901bc2d34EXAMPLE
```
要查找您的账户和当前区域的,请查看[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台中的 **“设置**” 页面,或者运行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API。`detectorId`
要详细了解可用于筛选调查发现的参数,请参阅《AWS CLI 命令参考》中的 [list-findings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/list-findings.html)**。
------
## 步骤 4-清理 AWS 测试资源
当测试程序脚本结束时,在[第 3 步 – 运行测试程序脚本](#run-gdu-tester-script)期间进行的账户级别设置和其他配置状态更新都将回到原始状态。
运行测试器脚本后,您可以选择清理 AWS 测试资源。您可以选择通过以下方法之一来完成此操作:
+ 运行如下命令:
```
cdk destroy
```
+ 删除名称为的 CloudFormation 堆栈**GuardDutyTesterStack**。有关步骤的信息,请参阅在[CloudFormation 控制台上删除堆栈](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)。
## 排查常见 问题
GuardDuty 已确定常见问题并推荐了故障排除步骤:
+ `Cloud assembly schema version mismatch`— 将 AWS CDK CLI 更新到与所需云装配版本兼容的版本或最新可用版本。有关更多信息,请参阅 [AWS CDK CLI compatibility](https://docs.aws.amazon.com/cdk/v2/guide/versioning.html#cdk_toolkit_versioning)。
+ `Docker permission denied`:将专用账户用户添加到 **docker** 或 **docker-users** 中,以便专用账户可以运行命令。有关步骤的更多信息,请参阅 [Daemon socket option](https://docs.docker.com/reference/cli/dockerd/#daemon-socket-option)。
+ `Your requested instance type is not supported in your requested Availability Zone`:某些可用区不支持特定的实例类型。要确定哪些可用区支持您的首选实例类型并重新尝试部署 AWS 资源,请执行以下步骤:
1. 选择一种您偏好的方法,确定哪些可用区支持您的实例类型:
------
#### [ Console ]
**识别支持首选实例类型的可用区**
1. 登录 AWS 管理控制台 并打开 Amazon EC2 控制台,网址为[https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/)。
1. 使用页面右上角的 AWS 区域选择器,选择要启动实例的区域。
1. 在导航窗格中的**实例**下,选择**实例类型**。
1. 从**实例类型**表中,选择一个首选实例类型。
1. 在**联网**下,查看**可用区**下列出的区域。
根据此信息,您可能需要选择一个能够部署相关资源的新区域。
------
#### [ AWS CLI ]
运行以下命令来查看可用区列表。请务必指定您的首选实例类型和区域 (*us-east-1*)。
```
aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=instance-type,Values=Preferred instance type --region us-east-1 --output table
```
有关此命令的更多信息,请参阅《AWS CLI 命令参考》**中的 [describe-instance-type-offerings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-instance-type-offerings.html)。
如果您在运行此命令时遇到错误,请确认您使用的是最新版本的 AWS CLI。有关更多信息,请参阅《AWS Command Line Interface User Guide》**中的 [Troubleshooting](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html)。
------
1. 尝试再次部署 AWS 资源并指定支持您的首选实例类型的可用区。
**重新尝试部署资源 AWS**
1. 在 `bin/cdk-gd-tester.ts` 文件中设置默认区域。
1. 要指定可用区,请使用 `amazon-guardduty-tester/lib/common/network/vpc.ts` 文件。
1. 请将在此文件中的 `maxAzs: 2,` 替换为必须为您的实例类型指定可用区的 `availabilityZones: ['us-east-1a', 'us-east-1c'],`。
1. 继续完成[部署 AWS 资源的步骤](#steps-deploy-resource-test-guardduty-findings)下剩余的步骤。
# 在 GuardDuty 控制台中查看生成的调查结果
当 GuardDuty 检测到与安全问题模式相匹配的活动时, GuardDuty 会生成调查结果。此调查发现与可能在此活动期间已泄露的资源类型相关。您可以查看与 GuardDuty生成的每个查找结果相关的详细信息。
如果您使用的是 GuardDuty 管理员帐户,则可以代表成员帐户查看生成的调查结果。但是,成员账户可以查看自己账户中生成的调查发现,成员账户无法查看为其他成员账户生成的调查发现。
**在 GuardDuty 控制台中查看发现结果的步骤**
1. 打开 GuardDuty 控制台,网址为[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在左侧导航窗格中,选择**发现**。
GuardDuty 以表格格式显示调查结果。默认情况下,此表将根据**上次查看**列的值按降序排序,在顶部显示最新的调查发现。
带有剑形图标 (![\[Sword icon that represents attack sequence finding in GuardDuty console.\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/images/attack-sequences-icon.PNG)) 的调查发现表示攻击序列调查发现。
1. 要查看与调查发现相关的详细信息,请选择其**标题**。这将打开调查发现详细信息侧面板。对于攻击序列调查发现,此侧面板包含攻击序列的*摘要版本*,要展开此视图,请选择**查看详细信息**。
有关此侧面板中所列字段的信息,请参阅[调查发现详细信息](guardduty_findings-summary.md)。
1.
**(可选)下载调查发现 JSON**
1. 选择调查发现,然后选择**操作**菜单。
1. 在**操作**菜单上,选择**查看并导出 JSON**。
1. 在**调查发现 JSON** 窗口中,选择**下载**。
**注意**
在某些情况下,在某些发现生成后 GuardDuty 就会意识到这些发现是误报。 GuardDuty 在查找结果的 JSON 中提供置**信**度字段,并将其值设置为零。这样 GuardDuty 可以让你知道你可以放心地忽略这些发现。
不会将没有**置信度**字段的调查发现视为误报。
## 导航“调查发现”页面
本节提供有关**调查发现**页面上各种元素的关键信息。这将帮助您分析生成的调查发现,以便进行威胁分析和响应。
以下列表说明了**调查发现**页面元素,有助于您更好地理解生成的调查发现:
+ **威胁类型**:
威胁类型包括个人 GuardDuty 发现和攻击序列发现。默认情况下,该页面会显示**所有调查发现**。
要筛选调查发现表格视图,请在**威胁类型**菜单上选择其中一个选项:**仅限攻击序列调查发现**或**仅限单独调查发现**。
+ **资源和计数列**:
调查结果表中的**资源**列显示了可能受到威胁的 AWS 资源的名称。对于攻击序列的发现,此列显示可能受到威胁的 AWS 资源的数量。要查看资源名称,请选择**资源**列下的*数字*。
“**计数**” 列表示 GuardDuty 观察特定发现的次数。当 GuardDuty 检测到与先前发现的安全问题相匹配的活动时,它会增加该特定发现的计数。对于攻击序列调查发现,此列值表示生成该调查发现所涉及的信号和调查发现的总数。
+ **按表格列对调查发现进行排序**:
如果列标题旁边有*箭头*,则可以根据该列对调查发现表进行排序。选择列标题,即可按该列中值的递增或递减顺序对调查发现进行排序。
+ **筛选调查发现**:
根据特定的属性特性(例如 `Account ID` 和 `Resource type`),您可以进一步筛选调查发现表。有关可使用的筛选条件类型的信息,请参阅[筛选 GuardDuty 调查结果](guardduty_filter-findings.md)。
+ **状态和已保存规则**:
**状态**菜单包含两个值:**当前**和**已存档**。表格中的默认视图为**当前**调查发现。
当您不 GuardDuty 想再生成符合特定条件的查找结果时,可以隐藏该查找结果。 GuardDuty 将这一发现归档。当再次 GuardDuty 检测到此发现时,您不会收到有关此观察结果的通知。要专门查看已存档的调查发现,请在**状态**菜单上选择**已存档**。
**已保存规则**是一项功能,可帮助您自动筛选符合指定条件的调查发现并对其执行操作。操作可能包括存档调查发现或在未来的通知中将其隐藏。
有关更多信息,请参阅 [抑制规则](findings_suppression-rule.md)。
# GuardDuty 调查结果的严重性级别
根据我们的安全工程师的决定,每个 GuardDuty 发现都有指定的严重级别和值,以反映该发现可能对您的环境造成的潜在风险。严重性值可以落在 1.0 到 10.0 范围内的任何地方,值越高表示安全风险越大。为了帮助您确定对调查结果中突出显示的潜在安全问题的应对措施,请将此范围 GuardDuty 分为*严*重、*高*、*中*和*低*严重级别。
特定类型的调查发现可能具有不同的严重性,具体取决于该调查发现的特定上下文。要查看所有 GuardDuty 查找结果类型的默认严重性级别的合并列表,请参阅[GuardDuty 主动查找类型](guardduty_finding-types-active.md#findings-table)。
以下各节说明了 GuardDuty调查结果的定义严重级别。
**Topics**
+ [重大严重性](#guardduty-finding-severity-level-critical)
+ [高严重性](#guardduty-finding-severity-level-high)
+ [中严重性](#guardduty-finding-severity-level-medium)
+ [低严重性](#guardduty-finding-severity-level-low)
## 重大严重性
**值范围**:9.0 – 10.0
**描述**:重大严重性级别表示攻击序列可能正在进行中或最近发生过。一个或多个 AWS 资源(例如 IAM 用户登录凭证和 Amazon S3 存储桶)可能遭到入侵或可能已经遭到入侵。
**建议**: GuardDuty 建议您优先对所有关键严重性发现进行分类和修复,因为这些问题可能是勒索软件攻击的一部分,并且可能随时升级。查看有关相关资源的详细信息并开始解决安全问题。有关更多信息,请参阅 [修复调查发现](guardduty_remediate.md)。
## 高严重性
**值范围**:7.0 – 8.9
**描述**:高严重性级别表示相关资源(某个 Amazon EC2 实例或一组 IAM 用户登录凭证)已泄露,并且正被主动用于未经授权的目的。
**建议**: GuardDuty 建议您将任何高严重性的发现安全问题作为优先事项,并立即采取补救措施,防止进一步未经授权使用您的资源。例如,清理或终止 Amazon EC2 实例,或者轮换 IAM 凭证。按照[修复调查发现](guardduty_remediate.md)中的步骤,对调查发现进行补救。
## 中严重性
**值范围**:4.0 – 6.9
**描述**:中严重性级别表示偏离正常观测到的行为的可疑活动,根据使用案例,可能指示资源已泄露。
**建议**: GuardDuty 建议您尽早调查可能受影响的资源。补救措施步骤会因资源和调查发现系列而异。但是,您可以采取一种既定方法,即确认活动是否已获得授权并与使用案例一致。如果您无法确定原因,或者无法确认该活动是否获得授权,则应考虑资源已泄露。按照[修复调查发现](guardduty_remediate.md)中的步骤,对调查发现进行补救。
查看中严重性级别的调查发现时,需要注意以下事项:
+ 检查是否有授权用户安装新的软件,更改了资源的行为 (例如,允许高于正常流量,或者在新端口上启用了通信)。
+ 检查是否有授权用户更改了控制面板设置,例如,修改了安全组设置。
+ 在牵涉的资源上运行反病毒扫描,检测未经授权的软件。
+ 验证附加到相关 IAM 角色、用户、组或一组凭证的权限。可能需要更改或轮换它们。
## 低严重性
**值范围**:1.0 – 3.9
**描述**:低严重性级别表示尝试进行的可疑活动未危及环境,例如端口扫描或失败的入侵尝试。
**建议**:不需要立即采取行动,但此信息值得注意,因为它可能表明有人正在寻找环境中的弱点。
# 调查发现详细信息
在 Amazon GuardDuty 控制台中,您可以在查找结果摘要部分查看查找详情。调查发现详细信息因调查发现类型而异。
有两类主要详细信息,用于确定哪些类型的信息可用于任何调查发现。第一个是资源类型,可以是 `Instance`、`AccessKey`、`S3Bucket`、`S3Object`、`Kubernetes cluster`、`ECS cluster`、`Container`、`RDSDBInstance`、`RDSLimitlessDB` 或 `Lambda`。决定调查发现信息的第二类详细信息是**资源角色**。资源角色可以是 `Target`,表示该资源是可疑活动的目标。对于实例类型的调查发现,资源角色也可以是 `Actor`,这意味着您的资源是进行可疑活动的行动者。本主题介绍调查发现的一些常见可用详细信息。对于[GuardDuty 运行时监控查找类型](findings-runtime-monitoring.md)和 [S3 恶意软件防护调查发现类型](gdu-malware-protection-s3-finding-types.md),资源角色未填充。
**Topics**
+ [调查发现概览](#findings-summary-section)
+ [资源](#findings-resource-affected)
+ [攻击序列调查发现详细信息](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [RDS 数据库(DB)用户详细信息](#rds-pro-db-user-details)
+ [运行时监控调查发现详细信息](#runtime-monitoring-runtime-details)
+ [EBS 卷扫描详细信息](#mp-ebs-volumes-scan-details)
+ [EC2 恶意软件防护调查发现详细信息](#malware-protection-scan-details)
+ [S3 恶意软件防护调查发现详细信息](#gdu-malware-protection-for-s3-finding-details)
+ [Action](#finding-action-section)
+ [行动者或目标](#finding-actor-target)
+ [地理位置详细信息](#guardduty-finding-details-geolocation)
+ [附加信息](#finding-additional-info)
+ [证据](#finding-evidence)
+ [异常行为](#finding-anomalous)
## 调查发现概览
调查发现的**概览**部分包含该调查发现最基本的识别特征,包括以下信息:
+ **账户 ID** — 发生活动并提示 GuardDuty 生成此调查结果的 AWS 账户的 ID。
+ **计数**-汇总 GuardDuty 与此发现 ID 匹配此模式的活动的次数。
+ **创建时间**:首次创建此调查发现的时间和日期。如果此值与**更新时间**不同,则表示该活动已多次发生,是一个持续的问题。
**注意**
GuardDuty 控制台中查找结果的时间戳以您的本地时区显示,而 JSON 导出和 CLI 输出以 UTC 显示时间戳。
+ **调查发现 ID**:此调查发现类型和参数集的唯一标识符。与此模式匹配的新活动实例将聚合到同一 ID 中。
+ **调查发现类型**:表示触发调查发现的活动类型的格式化字符串。有关更多信息,请参阅 [GuardDuty 查找格式](guardduty_finding-format.md)。
+ **区域**-生成发现的 AWS 区域。有关支持的区域的更多信息,请参阅[区域和端点](guardduty_regions.md)。
+ **资源 ID** — 发生活动时提示 GuardDuty 生成此结果的 AWS 资源的 ID。
+ **扫描 ID** — 适用于启用 EC2 GuardDuty 恶意软件防护时的发现,这是在连接到可能受感染的 EC2 实例或容器工作负载的 EBS 卷上运行的恶意软件扫描的标识符。有关更多信息,请参阅 [EC2 恶意软件防护调查发现详细信息](#malware-protection-scan-details)。
+ **严重性**:为调查发现分配的严重性级别,可以为“重大”、“高”、“中”或“低”。有关更多信息,请参阅 [调查发现的严重性级别](guardduty_findings-severity.md)。
+ **更新时间 — 上**次更新此发现的时间,新活动与提示生成此发现 GuardDuty的模式相匹配。
## 资源
“**受影响的资源**” 提供了有关启动活动所针对的 AWS 资源的详细信息。可用信息因资源类型和操作类型而异。
**资源角色**-启动查找结果的 AWS 资源的角色。此值可以是 **TARGET** 或 **ACTOR**,并表示您的资源是可疑活动的目标,还是执行可疑活动的行动者。
**资源类型**:受影响资源的类型。如果涉及多个资源,则调查发现可能包括多种资源类型。****资源类型包括**实例**、**S3Bucket **AccessKey**、S3** **Object**、、、**容器**KubernetesCluster****、**ECSCluster**、数据库和 Lambd **RDSDBInstance**a RDSLimitless。****根据资源类型,将提供不同的调查发现详细信息。选择资源选项卡,了解该资源的可用详细信息。
------
#### [ Instance ]
**实例详细信息:**
**注意**
如果实例已经停止,或者在进行跨区域 API 调用时,底层 API 调用来自不同区域的 EC2 实例,则可能缺少一些实例详细信息。
+ **实例 ID** — 提示 GuardDuty 生成调查结果的活动所涉及的 EC2 实例的 ID。
+ **实例类型**:EC2 实例的类型,在调查发现中包含该实例。
+ **启动时间**:启动实例的日期和时间。
+ **Outpost ARN** — 的亚马逊资源名称 (ARN)。 AWS Outposts仅适用于实 AWS Outposts 例。有关更多信息,请参阅《User Guide for Outposts racks**》中的 [What is AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html)。
+ **安全组名称**:附加到所涉及实例的安全组的名称。
+ **安全组 ID**:附加到所涉及实例的安全组的 ID。
+ **实例状态**:目标实例的当前状态。
+ **可用区**:相关实例所在的 AWS 区域可用区。
+ **映像 ID**:Amazon 系统映像的 ID,该系统映像用于构建活动中涉及的实例。
+ **映像描述**: Amazon 系统映像 ID 的描述,该系统映像用于构建活动中涉及的实例。
+ **标签**:附加到此资源的标签列表,格式为 `key`:`value`。
------
#### [ AccessKey ]
**访问密钥详细信息:**
+ **访问密钥 ID** — 参与提示 GuardDuty 生成调查结果的活动的用户的访问密钥 ID。
+ **委托人 ID** — 参与提示 GuardDuty生成调查结果的活动的用户的主人 ID。
+ **用户类型**-参与活动并提示 GuardDuty 生成调查结果的用户类型。有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields)。
+ **用户名**-参与提示 GuardDuty 生成调查结果的活动的用户的姓名。
------
#### [ S3Bucket ]
**Amazon S3 存储桶详细信息:**
+ **名称**:存储桶的名称,在调查发现中包含该存储桶。
+ **ARN**:存储桶的 ARN,在调查发现中包含该存储桶。
+ **拥有者**:用户的规范用户 ID,该用户拥有调查发现中涉及的存储桶。有关规范用户的更多信息, IDs 请参阅[AWS 账户](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)标识符。
+ **类型**:存储桶调查发现的类型,可以是**目标**或**源**。
+ **默认服务器端加密**:存储桶的加密详细信息。
+ **存储桶标签**:附加到此资源的标签列表,以 `key`:`value` 格式列出。
+ **有效权限**:评估存储桶上的所有有效权限和策略,指示涉及的存储桶是否公开。值可以是**公开**,也可以是**非公开**。
------
#### [ S3Object ]
+ **S3 对象详细信息**:包括与已扫描 S3 对象有关的下列信息:
+ **ARN**:已扫描 S3 对象的 Amazon 资源名称(ARN)。
+ **键**:在 S3 存储桶中创建文件时分配给该文件的名称。
+ **版本 Id**:启用存储桶版本控制后,此字段用于指示与已扫描 S3 对象的最新版本关联的版本 Id。有关更多信息,请参阅《Amazon S3 用户指南》**中的[在 S3 存储桶中使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)。
+ **eTag**:表示已扫描 S3 对象的具体版本。
+ **哈希**:此调查发现中检测到的威胁的哈希值。
+ **S3 存储桶详细信息**:包括与已扫描 S3 对象关联的 Amazon S3 存储桶的以下信息:
+ **名称**:指示包含该对象的 S3 存储桶的名称。
+ **ARN**:该 S3 存储桶的 Amazon 资源名称(ARN)。
+ **所有者**:该 S3 存储桶所有者的规范 Id。
------
#### [ EKSCluster ]
**Kubernetes 集群详情:**
+ **名称**:Kubernetes 集群名称。
+ **ARN**:标识集群的 ARN。
+ **创建时间**:创建此集群的时间和日期。
**注意**
GuardDuty 控制台中查找结果的时间戳以您的本地时区显示,而 JSON 导出和 CLI 输出以 UTC 显示时间戳。
+ **VPC ID**:与您集群关联的 VPC 的 ID。
+ **状态**:集群的当前状态。
+ **标签**:您应用于集群以帮助您对其进行分类和组织的元数据。每个标签都由一个键和一个可选值组成,以 `key`:`value` 格式列出。您可以定义键和值。
集群标签不会应用到与集群关联的任何其他资源。
**Kubernetes 工作负载详情:**
+ **类型**:Kubernetes 工作负载的类型,例如容器组、部署和作业。
+ **名称**:Kubernetes 工作负载的名称。
+ **Uid**:Kubernetes 工作负载的唯一 ID。
+ **创建时间**:创建此工作负载的日期和时间。
+ **标签**:附加到 Kubernetes 工作负载的键值对。
+ **容器**:容器的详细信息,该容器作为 Kubernetes 工作负载的一部分运行。
+ **命名空间**:工作负载所属的 Kubernetes 命名空间。
+ **卷**:Kubernetes 工作负载使用的卷。
+ **主机路径**:表示卷映射的目标主机上预先存在的文件或目录。
+ **名称**:卷的名称。
+ **容器组安全上下文**:定义容器组中所有容器的权限和访问控制设置。
+ **主机网络**:如果容器组包含在 Kubernetes 工作负载中,则设置为 `true`。
**Kubernetes 用户详细信息:**
+ **组**:用户的 Kubernetes RBAC(基于角色访问权限的控制)组,该用户参与生成调查发现的活动。
+ **ID**:Kubernetes 用户的唯一 ID。
+ **用户名**:Kubernetes 用户的名称,该用户参与生成调查发现的活动。
+ **会话名称**:实体,该实体担任具有 Kubernetes RBAC 权限的 IAM 角色的。
------
#### [ ECSCluster ]
**ECS 集群详细信息:**
+ **ARN**:标识集群的 ARN。
+ **名称**:集群的名称。
+ **状态**:集群的当前状态。
+ **活动服务计数**:处于 `ACTIVE` 状态的集群上运行的服务数量。您可以通过以下方式查看这些服务 [ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html)
+ **已注册的容器实例计数**:注册到集群中的容器实例数量,包括同时处于 `ACTIVE` 和 `DRAINING` 状态的容器实例。
+ **正在运行的任务计数**:集群中处于 `RUNNING` 状态的任务数。
+ **标签**:您应用于集群以帮助您对其进行分类和组织的元数据。每个标签都由一个键和一个可选值组成,以 `key`:`value` 格式列出。您可以定义键和值。
+ **容器**:与任务关联的容器的详细信息:
+ **容器名称**:容器的名称。
+ **容器映像**:容器的映像。
+ **任务详情**:集群中任务的详细信息。
+ **ARN**:任务的 Amazon 资源名称(ARN)。
+ **定义 ARN**:创建任务的任务定义 Amazon 资源名称(ARN)。
+ **版本**:任务的版本计数器。
+ **任务创建时间**:创建任务时的 Unix 时间戳。
+ **任务开始时间**:任务开始时的 Unix 时间戳。
+ **任务启动者**:任务开始时指定的标签。
------
#### [ Container ]
**容器详细信息:**
+ **容器运行时**:用于运行容器的容器运行时(例如 `docker` 或 `containerd`)。
+ **ID**:容器实例 ID 或容器实例的完整 ARN 条目。
+ **名称**:容器的名称。
+ **映像**:容器实例的映像。
+ **卷挂载**:容器卷挂载列表。容器可以在其文件系统下挂载卷。
+ **安全上下文**:容器安全上下文定义容器的权限和访问控制设置。
+ **进程详细信息**:描述与调查发现关联的进程的详细信息。
------
#### [ RDSDBInstance ]
**RDSDBInstance 细节:**
**注意**
此资源可在与数据库实例相关的 RDS 保护调查发现中找到。
+ **数据库实例 ID**-与 GuardDuty 调查结果中涉及的数据库实例关联的标识符。
+ **引擎**:数据库实例的数据库引擎名称,在调查发现中包含该实例。可能的值是“兼容 Aurora MySQL”或“兼容 Aurora PostgreSQL”。
+ **引擎版本**- GuardDuty 调查结果中涉及的数据库引擎的版本。
+ **数据库集群 ID**-包含 GuardDuty 调查结果中涉及的数据库实例 ID 的数据库集群的标识符。
+ **数据库实例 ARN** — 标识调查结果中涉及的数据库实例的 ARN。 GuardDuty
------
#### [ RDSLimitlessDB ]
**RDSLimitless数据库详情:**
此资源可在与支持的 Limitless 数据库引擎版本相关的 RDS 防护调查发现中找到。
+ **数据库分片组标识符**:与 Limitless 数据库分片组关联的名称。
+ **数据库分片组资源 ID**:Limitless 数据库内分片组的资源标识符。
+ **数据库分片组 ARN**:标识数据库分片组的 Amazon 资源名称(ARN)。
+ **引擎**:调查发现中涉及的 Limitless 数据库标识符。
+ **引擎版本**:Limitless 数据库引擎的版本。
+ **数据库集群标识符**:作为 Limitless 数据库一部分的数据库集群名称。
有关可能受影响数据库的用户和身份验证详细信息,请参阅 [RDS 数据库(DB)用户详细信息](#rds-pro-db-user-details)。
------
#### [ Lambda ]
**Lambda 函数详细信息**
+ **函数名称**:Lambda 函数的名称,在调查发现中包含该函数。
+ **函数版本**:Lambda 函数的版本,在调查发现中包含该函数。
+ **函数描述**:对 Lambda 函数的描述,在调查发现中包含该函数。
+ **函数 ARN**:Lambda 函数的 Amazon 资源名称(ARN),在调查发现中包含该函数。
+ **修订 ID**:Lambda 函数版本的修订 ID。
+ **角色**:Lambda 函数的执行角色,在调查发现中包含该函数。
+ **VPC 配置** — 亚马逊 VPC 配置,包括与您的 Lambda 函数 IDs 关联的 VPC ID、安全组和子网。
+ **VPC ID**:与 Lambda 函数关联的 Amazon VPC 的 ID,在调查发现中包含该函数。
+ **子网 IDs**-与您的 Lambda 函数关联的子网的 ID。
+ **安全组**:附加到相关 Lambda 函数的安全组。这包括安全组名称和组 ID。
+ **标签**:附加到此资源的标签列表,以 `key`:`value` 格式列出。
------
## 攻击序列调查发现详细信息
GuardDuty 提供了它在您的账户中生成的每项发现的详细信息。这些详细信息有助于您理解调查发现背后的原因。本节重点介绍与 [攻击序列调查发现类型](guardduty-attack-sequence-finding-types.md)相关的详细信息。这包括调查发现中涉及的可能受影响资源、事件时间表、指标、信号和端点等洞察。
要查看与已 GuardDuty 发现的信号相关的详细信息,请参阅本页上的相关部分。
在 GuardDuty 控制台中,当您选择攻击序列查找结果时,详细信息侧面板分为以下选项卡:
+ **概述**:提供攻击序列详细信息的简要视图,包括信号、MITRE 战术和可能受影响的资源。
+ **信号**:显示攻击序列中涉及的事件时间表。
+ **资源**:提供有关可能受影响的资源或可能面临风险的资源的信息。
以下列表提供了与攻击序列调查发现详细信息相关的描述。
**信号**
信号可以是 API 活动或 GuardDuty用于检测攻击序列发现的发现。 GuardDuty 考虑那些没有表现为明显威胁的微弱信号,将它们拼凑在一起,并与单独得出的发现相关联。如需更多背景信息,“**信号**” 选项卡提供了信号的时间表,如所示 GuardDuty。
每个信号,即 GuardDuty 发现,都有自己的严重程度和分配给它的值。在 GuardDuty 控制台中,您可以选择每个信号以查看相关的详细信息。
**演员们**
提供有关攻击序列中威胁行为者的详细信息。有关更多信息,请参阅 *Amazon GuardDuty API 参考*中的操作[者](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html)。
**端点**
提供有关此攻击序列中所使用网络端点的详细信息。有关更多信息,请参阅 *Amazon GuardDuty API 参考[NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)*中的。有关如何 GuardDuty 确定位置的信息,请参阅[地理位置详细信息](#guardduty-finding-details-geolocation)。
**指标**
包括与安全问题模式匹配的观测数据。这些数据说明了为什么 GuardDuty 有迹象表明存在潜在的可疑活动。例如,当指标名称为时`HIGH_RISK_API`,这表示威胁行为者常用的操作,或者可能对造成潜在影响的敏感操作 AWS 账户,例如访问证书或修改资源。
下表包括潜在指标列表及其描述:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty_findings-summary.html)
**MITRE 战术**
此字段指定了威胁行为者在攻击序列中尝试的 MITRE ATT&CK 战术。 GuardDuty 使用 [MITRE ATT&ACK](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes) 框架,为整个攻击序列添加背景信息。 GuardDuty 控制台用于指定威胁行为者已使用的威胁目的的颜色与表示临界、高、中和低的颜色一致[调查发现的严重性级别](guardduty_findings-severity.md)。
**网络指标**
指标包括网络指标值的组合,这些值解释了网络为何指示可疑行为。仅当**指标**包含 `SUSPICIOUS_NETWORK` 或 `MALICIOUS_IP` 时,本节才适用。以下示例显示了网络指标如何与某个指标相关联,其中:
+ *AnyCompany*是一个自治系统 (AS)。
+ `TUNNEL_VPN`、`IS_ANONYMOUS` 和 `ALLOWS_FREE_ACCESS` 是网络指标。
```
...{
"key": "SUSPICIOUS_NETWORK",
"values": [{
"AnyCompany": [
"TUNNEL_VPN",
"IS_ANONYMOUS",
"ALLOWS_FREE_ACCESS"
]
}]
}
...
```
下表包括网络指标值及其描述。这些标签是根据从 Spur 等来源 GuardDuty 收集的威胁情报添加的
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/guardduty/latest/ug/guardduty_findings-summary.html)
## RDS 数据库(DB)用户详细信息
**注意**
本节适用于您在中启用 RDS 保护功能时的发现 GuardDuty。有关更多信息,请参阅 [GuardDuty RDS 保护](rds-protection.md)。
GuardDuty 调查结果提供了可能遭到入侵的数据库的以下用户和身份验证详细信息:
+ **用户**:用于进行异常登录尝试的用户名。
+ **应用程序**:用于进行异常登录尝试的应用程序名称。
+ **数据库**:数据库实例的名称,在异常登录尝试中包含此实例。
+ **SSL**:用于网络的安全套接字层(SSL)的版本。
+ **身份验证方法**:用户使用的身份验证方法,在调查发现中包括该用户。
有关可能已泄露资源的信息,请参阅[资源](#findings-resource-affected)。
## 运行时监控调查发现详细信息
**注意**
这些详细信息只有在 GuardDuty 生成其中一个时才可用[GuardDuty 运行时监控查找类型](findings-runtime-monitoring.md)。
本节包含运行时详细信息,例如进程详细信息和任何必需的上下文。进程详细信息描述了有关观察到的进程的信息,运行时上下文描述了有关潜在可疑活动的任何其他信息。
**进程详细信息**
+ **名称**:进程的名称。
+ **可执行文件路径**:进程可执行文件的绝对路径。
+ **可执行文件 SHA-256**:进程可执行文件的 `SHA256` 哈希值。
+ **命名空间 PID**:进程的进程 ID,该进程在除主机级别 PID 命名空间之外的二级 PID 命名空间中。对于容器内的进程,命名空间 PID 是容器内观察到的进程 ID。
+ **当前工作目录**:进程的当前工作目录。
+ **进程 ID**:操作系统分配给进程的 ID。
+ **开始时间**:进程启动的时间。该时间采用 UTC 日期字符串格式(`2023-03-22T19:37:20.168Z`)。
+ **UUID** — 由 GuardDuty分配给进程的唯一 ID。
+ **父级 UUID**:父进程的唯一 ID。此 ID 由分配给父进程 GuardDuty。
+ **用户**:执行进程的用户。
+ **用户 ID**:执行进程的用户 ID。
+ **有效用户 ID**:事件发生时进程的有效用户 ID。
+ **谱系**:有关进程原级的信息。
+ **进程 ID**:操作系统分配给进程的 ID。
+ **UUID** — 由 GuardDuty分配给进程的唯一 ID。
+ **可执行文件路径**:进程可执行文件的绝对路径。
+ **有效用户 ID**:事件发生时进程的有效用户 ID。
+ **父级 UUID**:父进程的唯一 ID。此 ID 由分配给父进程 GuardDuty。
+ **开始时间**:进程启动的时间。
+ **命名空间 PID**:进程的进程 ID,该进程在除主机级别 PID 命名空间之外的二级 PID 命名空间中。对于容器内的进程,命名空间 PID 是容器内观察到的进程 ID。
+ **用户 ID**:执行进程用户的用户 ID。
+ **名称**:进程的名称。
**运行时上下文**
在以下字段中,生成的调查发现可能仅包含与调查发现类型相关的字段。
+ **挂载源**:被容器挂载的主机上的路径。
+ **挂载目标**:容器中映射到主机目录的路径。
+ **文件系统类型**:表示已挂载文件系统的类型。
+ **标志**:表示控制事件行为的选项,在此调查发现中包含该事件。
+ **修改进程**:有关运行时在容器内创建或修改二进制文件、脚本或库的进程的信息。
+ **修改时间**:进程运行时在容器内创建或修改二进制文件、脚本或库的时间戳。该字段采用 UTC 日期字符串格式(`2023-03-22T19:37:20.168Z`)。
+ **库路径**:已加载的新库的路径。
+ **LD 预加载值**:`LD_PRELOAD` 环境变量的值。
+ **套接字路径**:被访问的 Docker 套接字的路径。
+ **Runc 二进制文件路径**:`runc` 二进制文件的路径。
+ **版本代理路径**:`cgroup` 版本代理文件的路径。
+ **命令行示例**:潜在可疑活动所涉及的命令行的示例。
+ **工具类别**:工具所属的类别,例如后门工具、渗透测试工具、网络扫描器和网络嗅探器。
+ **工具名称**:潜在可疑工具的名称。
+ **脚本路径**:生成该调查发现的已执行脚本的路径。
+ **威胁文件路径**:找到威胁情报详细信息的可疑路径。
+ **服务名称**:已被禁用的安全服务的名称。
+ **模块名称**:已加载到内核中的模块名称。
+ **模块 SHA256-模块**的 SHA256 哈希值。
+ **模块文件路径**:已加载到内核中的模块路径。
## EBS 卷扫描详细信息
**注意**
本节适用于开启 GuardDuty启动的恶意软件扫描时发现的结果。[EC2 恶意软件防护](malware-protection.md)
EBS 卷扫描提供有关 EBS 卷的详细信息,该卷附加到可能被盗用的 EC2 实例或容器工作负载。
+ **扫描 ID**:恶意软件扫描的标识符。
+ **扫描开始时间**:开始恶意软件扫描的日期和时间。
+ **扫描完成时间**:完成恶意软件扫描的日期和时间。
+ **触发器查找 ID** — 启动此恶意软件扫描的 GuardDuty 发现的查找 ID。
+ **来源**:可能的值为 `Bitdefender` 和 `Amazon`。
有关用于检测恶意软件的扫描引擎的更多信息,请参阅 [GuardDuty 恶意软件检测扫描引擎](guardduty-malware-detection-scan-engine.md)。
+ **扫描检测**:每次恶意软件扫描的详细信息和结果的完整视图。
+ **已扫描项目数**:已扫描文件的总数。提供例如 `totalGb`、`files` 和 `volumes` 的详细信息。
+ **检测到的威胁项目数**:扫描期间检测到的恶意 `files` 总数。
+ **最高严重性威胁详细信息**:扫描期间检测到的最高严重性威胁的详细信息,以及恶意文件数量。提供例如 `severity`、`threatName` 和 `count` 的详细信息。
+ **检测到的威胁(按名称)**:对所有严重性级别的威胁进行分组的容器元素。提供例如`itemCount`、`uniqueThreatNameCount`、`shortened` 和 `threatNames` 的详细信息。
## EC2 恶意软件防护调查发现详细信息
**注意**
本节适用于开启 GuardDuty启动的恶意软件扫描时发现的结果。[EC2 恶意软件防护](malware-protection.md)
当 EC2 恶意软件防护扫描检测到恶意软件时,您可以通过在[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)控制台的 “发现” 页面上选择相应的发现**结果**来查看扫描详细信息。您的 EC2 恶意软件防护发现的严重程度取决于 GuardDuty发现的严重程度。
详细信息面板的**检测到的威胁**部分,提供以下信息。
+ **名称**:威胁的名称,该名称通过将文件按检测结果分组获得。
+ **严重性**:检测到的威胁的严重性。
+ **哈希值**:文件的 SHA256 哈希值。
+ **文件路径**:恶意文件在 EBS 卷中的位置。
+ **文件名称**:检测出威胁的文件的名称。
+ **卷 ARN**:已扫描的 EBS 卷的 ARN。
详细信息面板的**恶意软件扫描详细信息**部分,提供以下信息。
+ **扫描 ID**:恶意软件扫描的扫描 ID。
+ **扫描开始时间**:开始扫描的日期和时间。
+ **扫描完成时间**:完成扫描的日期和时间。
+ **扫描的文件**:扫描的文件和目录的总数。
+ **扫描总量(GB)**:扫描过程中扫描的存储量。
+ **触发查找 ID** — 启动此恶意软件扫描的 GuardDuty 发现的查找 ID。
+ 详细信息面板的**卷详细信息**部分,提供以下信息。
+ **卷 ARN**:卷的 Amazon 资源名称(ARN)。
+ **SnapshotArn**:EBS 卷快照的 ARN。
+ **状态**:卷的扫描状态,例如 `Running`、`Skipped` 和 `Completed`。
+ **加密类型**:用于给卷加密的加密类型。例如 `CMCMK`。
+ **设备名称**:设备的名称。例如 `/dev/xvda`。
## S3 恶意软件防护调查发现详细信息
当您在中同时启用 S3 GuardDuty 和 “恶意软件防护” 时,以下恶意软件扫描详细信息可用 AWS 账户:
+ **威胁**:恶意软件扫描期间检测到的威胁列表。
**归档文件中的多种潜在威胁**
如果您的归档文件中包含多种可能的威胁,则 S3 恶意软件防护仅报告第一个检测到的威胁。之后,扫描状态将标记为完成。 GuardDuty 生成关联的查找类型并发送其生成 EventBridge 的事件。有关使用 EventBridge 事件监控 Amazon S3 对象扫描的更多信息,请参阅中的 TH **REATS\$1** FOUND 通知架构示例。[S3 对象扫描结果](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)
+ **项路径**:已扫描 S3 对象的嵌套项路径列表和哈希详细信息。
+ **嵌套项路径**:检测到威胁的已扫描 S3 对象的项路径。
只有当顶层对象属于归档并且在该归档内检测到威胁时,此字段的值才可用。
+ **哈希**:此调查发现中检测到的威胁的哈希值。
+ **来源**:可能的值为 `Bitdefender` 和 `Amazon`。
有关用于检测恶意软件的扫描引擎的更多信息,请参阅 [GuardDuty 恶意软件检测扫描引擎](guardduty-malware-detection-scan-engine.md)。
## Action
调查发现的**操作**提供触发调查发现的活动类型的详细信息。可用信息因操作类型而异。
**操作类型**:调查发现活动类型。****此值可以是 **NETWORK\$1CONNECTION、PORT\$1** **PROBE、DNS\$1REQUEST、\$1** **CALL 或 RDS\$1LOGIN\$1APTEMT**。AWS\$1API****可用信息因操作类型而异:
+ **NETWORK\$1CONNECTION**:指示标识的 EC2 实例与远程主机之间交换的网络流量。此操作类型具有以下额外信息:
+ **连接方向**-在提示生成结果的活动中观察到 GuardDuty 的网络连接方向。它可以是以下值之一:
+ **入站**:指示远程主机已在您的账户中发起连接,连接到标识的 EC2 实例上的本地端口。
+ **出站**:指示标识的 EC2 实例已发起与远程主机的连接。
+ **未知** — 表示 GuardDuty 无法确定连接方向。
+ **协议** — 在提示生成调查结果的活动中观察 GuardDuty 到的网络连接协议。
+ **本地 IP**:触发调查发现的流量的原始源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查发现的流量的原始源 IP 地址。例如,EKS 容器组的 IP 地址与运行 EKS pod 的实例的 IP 地址。
+ **已阻止**:指示目标端口是否被阻止。
+ **PORT\$1PROBE**:指示远程主机已在多个开放端口上探测标识的 EC2 实例。此操作类型具有以下额外信息:
+ **本地 IP**:触发调查发现的流量的原始源 IP 地址。此信息可用于区分流量流经的中间层的 IP 地址与触发调查发现的流量的原始源 IP 地址。例如,EKS 容器组的 IP 地址与运行 EKS pod 的实例的 IP 地址。
+ **已阻止**:指示目标端口是否被阻止。
+ **DNS\$1REQUEST**:指示标识的 EC2 实例已查询域名。此操作类型具有以下额外信息:
+ **协议** — 在提示生成调查结果的活动中观察 GuardDuty 到的网络连接协议。
+ **已阻止**:指示目标端口是否被阻止。
+ **AWS\$1API\$1CAL** L — 表示已调用了 AWS API。此操作类型具有以下额外信息:
+ **API** — 被调用并因此被提示 GuardDuty 生成此结果的 API 操作的名称。
**注意**
这些操作也可能包括由 AWS CloudTrail捕获的非 API 事件。有关更多信息,请参阅[捕获的非 API 事件。 CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html)
+ **用户代理**:发出 API 请求的用户代理。此值告诉您呼叫是从 AWS 管理控制台、 AWS 服务 AWS SDKs、还是 AWS CLI。
+ **错误代码**:如果调查发现是由失败的 API 调用触发的,则会显示该调用的错误代码。
+ **服务名称**:服务的 DNS 名称,该服务试图调用触发调查发现的 API。
+ **RDS\$1LOGIN\$1ATTEMPT**:表示有人尝试从远程 IP 地址登录可能被盗用的数据库。
+ **IP 地址**:用于进行潜在可疑登录尝试的远程 IP 地址。
## 行动者或目标
如果**资源角色**是 `TARGET`,则调查发现会有**行动者**部分。这表示您的资源是可疑活动的目标,并且**行动者**部分包含针对您资源的实体的详细信息。
如果**资源角色**是 `ACTOR`,则调查发现会有**目标**部分。这表示您的资源参与了针对远程主机的可疑活动,且该部分包含有关资源所针对的 IP 或域的信息。
**行动者**或**目标**部分中可用的信息包括以下内容:
+ **关联** ——有关远程 API 调用者的 AWS 账户是否与您的 GuardDuty 环境相关的详细信息。如果此值为 `true`,则 API 调用方以某种方式关联到您的账户;如果为 `false`,则 API 调用方来自您的环境之外。
+ **远程账户 ID**:用于访问最终网络资源的 IP 地址所属的账户 ID。
+ **IP 地址**-提示 GuardDuty 生成调查结果的活动中涉及的 IP 地址。
+ **位置**-提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址的位置信息。
+ **组织** — 提示 GuardDuty 生成调查结果的活动所涉及的 IP 地址的 ISP 组织信息。
+ **端口** — 提示 GuardDuty 生成查找结果的活动所涉及的端口号。
+ **域**-提示 GuardDuty 生成调查结果的活动所涉及的域。
+ **带后缀的域**-可能提示 GuardDuty 生成调查结果的活动中涉及的第二和顶级域名。有关顶级域和二级域的列表,请参阅 [public suffix list](https://publicsuffix.org/)。
## 地理位置详细信息
GuardDuty 使用 MaxMind GeoIP 数据库确定请求的位置和网络。 MaxMind 尽管准确性因国家/地区和 IP 地址类型等因素而异,但其数据在国家层面的准确性非常高。
有关的更多信息 MaxMind,请参阅 [MaxMind IP 地理定位](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您认为任何GeoIP数据不正确,请向更正地理数据提交更[MaxMind正 MaxMind ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction)请求。IP2
## 附加信息
调查发现的**额外信息**部分,包括以下信息:
+ **威胁列表名称**-威胁列表的名称,其中包括提示 GuardDuty 生成发现的活动所涉及的 IP 地址或域名。
+ **示例**:true 或 false 值,指示此项否为示例调查发现。
+ **已存档**:true 或 false 值,指示此调查发现是否已存档。
+ **不常见**:过去未观察到的活动详细信息。其中可能包括不常见的(过去未观察到的)用户、位置、时间、存储桶、登录行为或 ASN 组织。
+ **异常协议**-提示生成调查结果的活动中涉及 GuardDuty 的网络连接协议。
+ **代理详细信息**:有关安全代理的详细信息,该安全代理当前部署在您 AWS 账户中的 EKS 集群上。仅适用于 EKS 运行时监控调查发现类型。
+ **代理版本**- GuardDuty 安全客户端的版本。
+ **代理 ID**- GuardDuty 安全代理的唯一标识符。
## 证据
基于威胁情报的调查发现包括**证据**部分,其中包含以下信息:
+ **威胁情报详细信息**:威胁列表名称,其中会显示已识别出的 `Threat name`。
+ **威胁名称**:与威胁相关的恶意软件系列名称或其他标识符。
+ **威胁文件 SHA256** — SHA256 生成发现的文件。
## 异常行为
结尾为的发现类型**AnomalousBehavior**表示发现是由 GuardDuty 异常检测机器学习 (ML) 模型生成的。机器学习模型会评估您账户中的所有 API 请求,并识别与攻击者使用的策略相关的异常事件。机器学习模型会跟踪 API 请求的各种因素,例如发出请求的用户、发出请求的位置以及所请求的特定 API。
有关调用该请求的 CloudTrail 用户身份的 API 请求中哪些因素不寻常的详细信息,可以在调查结果详细信息中找到。身份由[ CloudTrail 用户身份元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)定义,可能的值为:`Root`、、、`IAMUser``AssumedRole``FederatedUser``AWSAccount`、或。`AWSService`
除了与 API 活动相关的所有 GuardDuty 发现的详细信息外,**AnomalousBehavior**调查结果还有其他详细信息,将在下一节中概述。这些详细信息可以在控制台中查看,也可以在调查发现的 JSON 中找到。
+ **Anomalous APIs** — 用户身份在与调查结果关联的主要 API 请求附近调用的 API 请求列表。此窗格通过以下方式进一步细分 API 事件的详细信息。
+ 列出的第一个 API 是主要 API,即与最高风险观测活动关联的 API 请求。该 API 是触发调查发现的 API,与调查发现类型的攻击阶段相关联,也是控制台的**操作**部分,以及调查发现的 JSON 中详细介绍的 API。
+ APIs 列出的任何其他用户身份都是在主要 API 附近观察 APIs 到的所列用户身份中的其他异常情况。如果列表中只有一个 API,则机器学习模型不会将来自该用户身份的任何其他 API 请求识别为异常。
+ 列表根据是否**成功调用 API 或 API 调**用失败(即已收到错误响应)进行划分。 APIs 收到的错误响应类型列在每个未成功调用的 API 的上方。可能的错误响应类型有:`access denied`、`access denied exception`、`auth failure`、`instance limit exceeded`、`invalid permission - duplicate`、`invalid permission - not found`、和 `operation not permitted`。
+ APIs 按其相关服务分类。
+ APIs要了解更多背景信息,请选择 Historical(**历史**)以查看有关顶部的 APIs详细信息,最多 20 个,通常同时显示用户身份和账户内所有用户。根据您账户中的使用频率,分别标记为 “**稀 APIs 有”(每月少于****一次)、“不频繁”(每月几次****)或 “频繁”(从每天到每周)**。
+ **异常行为(账户)**:本部分提供有关您账户的已剖析行为的更多详细信息。
**已分析的行为**
GuardDuty 根据已交付的事件持续了解您账户中的活动。这些活动及其观察到的频率成为已分析的行为。
此面板中跟踪的信息包括:
+ **ASN 组织**:发出异常 API 调用的自治系统编号(ASN)组织。
+ **用户名称**:发出异常 API 调用的用户的名称。
+ **用户代理**:用于发出异常 API 调用的用户代理。用户代理是用于发出调用的方法,例如 `aws-cli` 或 `Botocore`。
+ **用户类型**:发出异常 API 调用的用户类型。可能的值为 `AWS_SERVICE`、`ASSUMED_ROLE`、`IAM_USER` 或 `ROLE`。
+ **存储桶**:正在经受访问的 S3 存储桶的名称。
+ **异常行为(用户身份)**:本部分提供了有关调查发现所涉及的**用户身份**剖析行为的更多详细信息。当某项行为未被识别为历史行为时,这意味着 GuardDuty ML 模型以前没有看到此用户身份在训练期内以这种方式进行此 API 调用。有关**用户身份**的以下其他详细信息可用:
+ **ASN 组织**:发出异常 API 调用的 ASN 组织。
+ **用户代理**:用于发出异常 API 调用的用户代理。用户代理是用于发出调用的方法,例如 `aws-cli` 或 `Botocore`。
+ **存储桶**:正在经受访问的 S3 存储桶的名称。
+ **不常见行为(存储桶)**:本部分提供与调查发现关联的 S3 存储桶已剖析行为的更多详细信息。当某项行为未被识别为历史行为时,这意味着 GuardDuty ML 模型以前在训练期内未见过以这种方式对该存储桶进行的 API 调用。此部分中跟踪的信息包括:
+ **ASN 组织**:发出异常 API 调用的 ASN 组织。
+ **用户名称**:发出异常 API 调用的用户的名称。
+ **用户代理**:用于发出异常 API 调用的用户代理。用户代理是用于发出调用的方法,例如 `aws-cli` 或 `Botocore`。
+ **用户类型**:发出异常 API 调用的用户类型。可能的值为 `AWS_SERVICE`、`ASSUMED_ROLE`、`IAM_USER` 或 `ROLE`。
**注意**
有关历史行为的更多上下文,请在**不常见行为(账户)**、**用户 ID** 或**存储桶**部分中,选择**历史行为**,查看有关账户中以下每个类别预期行为的详细信息:**稀有(每月少于一次)**、**不频繁(每月几次)**或**频繁(每天到每周)**,具体取决于其在账户中的使用频率。
+ **不常见行为(数据库)**:本部分提供有关数据库实例剖析行为的更多详细信息,该实例与调查发现相关联。如果某项行为未被识别为历史行为,则意味着 GuardDuty ML 模型在训练期内未曾尝试以这种方式登录该数据库实例。在调查发现面板中针对此部分跟踪的信息包括:
+ **用户名**:用于进行异常登录尝试的用户名。
+ **ASN 组织**:发出异常登录尝试的 ASN 组织。
+ **应用程序名称**:用于进行异常登录尝试的应用程序名称。
+ **数据库名称**:数据库实例的名称,在异常登录尝试中包含该实例。
**历史行为**部分提供了有关先前观测到的相关数据库的**用户名**、**ASN 组织**、**应用程序名称**和**数据库名称**的更多上下文。每个唯一值都有一个关联的计数,表示在成功登录事件中观察到该值的次数。
+ **异常行为(账户 Kubernetes 集群、Kubernetes 命名空间和 Kubernetes 用户名)**:这一部分提供调查发现相关 Kubernetes 集群和命名空间的已分析行为的更多详细信息。如果某项行为未被识别为历史行为,则意味着 GuardDuty ML 模型以前未以这种方式观察到此账户、集群、命名空间或用户名。在调查发现面板中针对此部分跟踪的信息包括:
+ **用户名**:调用与该调查发现相关的 Kubernetes API 的用户。
+ **被冒充的用户名**:被 `username` 冒充的用户。
+ **命名空间**:发生该操作的 Amazon EKS 集群中的 Kubernetes 命名空间。
+ **用户代理**:与 Kubernetes API 调用相关的用户代理。用户代理是用于发出调用的方法,例如 `kubectl`。
+ **API**:`username` 在 Amazon EKS 集群中调用的 Kubernetes API。
+ **ASN 信息**:与发出此调用的用户 IP 地址相关的 ASN 信息,例如组织和 ISP。
+ **星期**:发出 Kubernetes API 调用的星期。
+ **权限**:要检查访问权限的 Kubernetes 谓词和资源,以指示 `username` 其是否可以使用该 Kubernetes API。
+ **服务账户名称**:与 Kubernetes 工作负载关联的服务账户,用于为工作负载提供身份。
+ **注册表**:与 Kubernetes 工作负载中部署的容器映像关联的容器注册表。
+ **映像**:部署在 Kubernetes 工作负载中的容器映像,不含相关标签和摘要。
+ **映像前缀配置**:为使用映像的容器启用了容器和工作负载安全配置的映像前缀,例如 `hostNetwork` 或 `privileged`。
+ **主体名称**:在 `RoleBinding` 或 `ClusterRoleBinding` 中绑定到某个参考角色的主体,例如 `user`、`group` 或 `serviceAccountName`。
+ **角色名称**:创建或修改角色或 `roleBinding` API 所涉及的角色的名称。
### 基于 S3 卷的异常
本节详细介绍基于 S3 卷的异常的上下文信息。基于卷的调查发现([Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior))监视用户对 S3 存储桶发出的不常见数量的 S3 API 调用,这表明存在潜在的数据泄露。监控以下 S3 API 调用以进行基于卷的异常检测。
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`
以下指标将有助于为 IAM 实体访问 S3 存储桶时的常见行为建立基准。为了检测数据泄露,基于卷的异常检测调查发现会根据常见的行为基准评估所有活动。在**不常见行为(用户身份)**、**观测到的卷(用户身份)**和**观测到的卷(存储桶)**部分中,选择**历史行为**,以分别查看以下指标。
+ 在过去 24 小时内,与受影响的 S3 存储桶关联的 IAM 用户或 IAM 角色调用(取决于发出的是哪个)的 `s3-api-name` API 调用次数。
+ 在过去 24 小时内,与所有 S3 存储桶关联的 IAM 用户或 IAM 角色调用(取决于发出的是哪个)的 `s3-api-name` API 调用次数。
+ 在过去 24 小时内,与受影响的 S3 存储桶关联的 IAM 用户或 IAM 角色(取决于发出的是哪个)中的 `s3-api-name` API 调用次数。
### 基于 RDS 登录活动的异常
本节详细说明了不常见行动者执行的登录尝试次数,并按登录尝试的结果进行分组。[RDS 保护调查发现类型](findings-rds-protection.md) 通过监控登录事件中是否存在 `successfulLoginCount`、`failedLoginCount` 和 `incompleteConnectionCount` 的不常见模式,来识别异常行为。
+ **successfulLoginCount**— 此计数器表示异常行为者成功连接到数据库实例的总和(登录属性的正确组合)。登录属性包括用户名、密码和数据库名称。
+ **failedLoginCount**— 此计数器表示为建立与数据库实例的连接而进行的失败(失败)登录尝试的总和。这表明登录组合的一个或多个属性(例如用户名、密码或数据库名称)不正确。
+ **incompleteConnectionCount**— 此计数器表示无法归类为成功或失败的连接尝试次数。这些连接在数据库提供响应之前就已关闭。例如,在端口扫描中已连接数据库端口,但没有向数据库发送任何信息,或者在成功或失败的尝试中,连接在登录完成前中止。
# GuardDuty 查找聚合
GuardDuty 动态更新生成的调查结果。如果 GuardDuty 检测到与相同安全问题相关的新活动,则 GuardDuty 不会创建新的调查结果,而是使用最新的详细信息更新原始调查结果。此行为使您无需浏览多个类似报告,就能识别正在发生的问题,并且还减少了已知安全问题的调查发现总量。
例如,对于 UnauthorizedAccess:EC2/SSHBruteForce 调查发现,针对实例的多次访问尝试将聚合到同一调查发现 ID,从而增加调查发现详细信息中的**计数**数量。这是因为该调查发现表示实例的安全问题,指示未针对此类活动正确保护实例上的 SSH 端口。但是,如果 GuardDuty 检测到针对环境中的新实例的 SSH 访问活动,它将创建具有唯一调查结果 ID 的新调查结果,以提醒您存在与新资源关联的安全问题。
聚合调查发现后,系统会根据该活动最近一次发生的信息进行更新。这意味着,在上面的示例中,如果您的实例是新攻击者的暴力攻击目标,则调查发现的详细信息将会更新,以反映最新源的远程 IP 信息,并且旧信息将被替换。您的 CloudTrail日志或 VPC 流日志中仍将提供有关个人活动尝试的完整信息。
提醒 GuardDuty 生成新查找结果而不是汇总现有查找结果的标准取决于查找结果类型。每种调查发现类型的聚合标准均由我们的安全工程师确定,以便为您提供账户中各种安全问题的概述。
在您的账户中 GuardDuty 生成攻击序列查找类型时,只有当您在账户中 GuardDuty 识别出相同序列中的相似信号时,才会汇总搜索结果。否则, GuardDuty 将生成另一个攻击序列。