View a markdown version of this page

GuardDuty 攻擊序列調查結果類型 - Amazon GuardDuty
AttackSequence:EKS/CompromisedClusterAttackSequence:ECS/CompromisedClusterAttackSequence:EC2/CompromisedInstanceGroupAttackSequence:IAM/CompromisedCredentialsAttackSequence:S3/CompromisedData

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty 攻擊序列調查結果類型

當多個動作的特定序列符合潛在可疑活動時,GuardDuty 會偵測攻擊序列。攻擊序列包含訊號,例如 API 活動和 GuardDuty 調查結果。當 GuardDuty 在特定序列中觀察到一組訊號,其中指出進行中、持續中或最近的安全威脅時,GuardDuty 會產生攻擊序列問題清單。GuardDuty 會將個別 API 活動視為 ,weak signals因為它們本身不會顯示為潛在的威脅。

攻擊序列偵測著重於對 Amazon S3 資料的潛在入侵 (可能是更廣泛的勒索軟體攻擊的一部分)、洩露的 AWS 憑證、洩露的 Amazon EKS 叢集、洩露的 Amazon ECS 叢集和洩露的 Amazon EC2 執行個體群組。以下各節提供每個攻擊序列的詳細資訊。

AttackSequence:EKS/CompromisedCluster

可能遭到入侵的 Amazon EKS 叢集所執行的一系列可疑動作。

此調查結果會通知您,GuardDuty 偵測到一系列可疑動作,指出環境中可能遭到入侵的 Amazon EKS 叢集。在同一 Amazon EKS 叢集中觀察到多個可疑和異常的攻擊行為,例如惡意程序或與惡意端點的連線。

GuardDuty 使用其專有的相互關聯演算法來觀察和識別使用 IAM 憑證執行的動作序列。GuardDuty 會評估跨保護計畫和其他訊號來源的問題清單,以識別常見和新興的攻擊模式。GuardDuty 使用多種因素來浮現威脅,例如 IP 評價、API 序列、使用者組態和可能受影響的資源。

修復動作:如果此行為在您的環境中未預期,則 Amazon EKS 叢集可能會遭到入侵。如需完整的修補指引,請參閱 修復 EKS 保護調查結果修復執行時期監控調查結果

此外,由於 AWS 登入資料可能已透過 EKS 叢集遭到入侵,請參閱 修復可能遭到入侵的 AWS 登入資料。如需修復可能已受到影響之其他資源的步驟,請參閱 修復偵測到的 GuardDuty 安全性問題清單

AttackSequence:ECS/CompromisedCluster

可能遭到入侵的 Amazon ECS 叢集所執行的一系列可疑動作。

此調查結果會通知您,GuardDuty 偵測到一系列可疑訊號,指出環境中可能遭到入侵的 Amazon ECS 叢集。這些訊號可能包括惡意程序、與惡意端點的通訊,或加密貨幣挖掘行為。

GuardDuty 使用專有的相互關聯演算法和多個偵測因素來識別 Amazon ECS 叢集內可疑動作的序列。透過跨保護計畫和各種訊號來源的分析,GuardDuty 可識別常見和新興的攻擊模式,提供對潛在入侵的高可信度偵測。

修復動作:如果此行為在您的環境中未預期,您的 Amazon ECS 叢集可能會遭到入侵。如需威脅遏制建議,請參閱 修復可能遭到入侵的 ECS 叢集。請注意,入侵可能延伸至一或多個 ECS 任務或容器工作負載,這些任務或容器工作負載可用來建立或修改 AWS 資源。如需涵蓋潛在受影響資源的完整修補指引,請參閱 修復偵測到的 GuardDuty 安全性問題清單

AttackSequence:EC2/CompromisedInstanceGroup

一系列可疑動作,指出可能遭到入侵的 Amazon EC2 執行個體。

此調查結果指出 GuardDuty 偵測到一系列可疑動作,顯示環境中的一組 Amazon EC2 執行個體可能遭到入侵。執行個體群組通常代表透過infrastructure-as-code管理的應用程式,共用類似的組態,例如自動擴展群組、IAM 執行個體描述檔角色、 AWS CloudFormation 堆疊、Amazon EC2 啟動範本、AMI 或 VPC ID。GuardDuty 在一或多個執行個體中觀察到多個可疑行為,包括:

  • 惡意程序

  • 惡意檔案

  • 可疑的網路連線

  • 加密貨幣挖掘活動

  • 可疑使用 Amazon EC2 執行個體登入資料

偵測方法:GuardDuty 使用專有的相互關聯演算法來識別 Amazon EC2 執行個體內的可疑動作序列。透過評估跨保護計畫和各種訊號來源的問題清單,GuardDuty 會使用 IP 和網域評價以及可疑執行程序等多種因素來識別攻擊模式。

修復動作:如果此行為在您的環境中未預期,您的 Amazon EC2 執行個體可能會遭到入侵。入侵可能涉及:

  • 多個程序

  • 可能已用於修改 Amazon EC2 執行個體或其他 AWS 資源的執行個體登入資料

如需威脅遏制建議,請參閱 修復可能遭到入侵的 Amazon EC2 執行個體。請注意,入侵可能延伸至一或多個 Amazon EC2 執行個體,並涉及已用於建立或修改 Amazon EC2 執行個體或其他 AWS 資源的遭入侵程序或執行個體登入資料。如需涵蓋潛在受影響資源的完整修補指引,請參閱 修復偵測到的 GuardDuty 安全性問題清單

AttackSequence:IAM/CompromisedCredentials

使用可能遭到入侵的 AWS 登入資料調用的一系列 API 請求。

此調查結果會通知您,GuardDuty 偵測到一系列使用會影響您環境中一或多個資源的 AWS 登入資料所採取的可疑動作。相同的登入資料觀察到多個可疑和異常的攻擊行為,導致對登入資料遭到濫用的信心更高。

GuardDuty 使用其專有的相互關聯演算法來觀察和識別使用 IAM 憑證執行的動作序列。GuardDuty 會評估跨保護計畫和其他訊號來源的問題清單,以識別常見和新興的攻擊模式。GuardDuty 使用多種因素來浮現威脅,例如 IP 評價、API 序列、使用者組態和可能受影響的資源。

修復動作:如果此行為在您的環境中未預期,則您的 AWS 登入資料可能已遭到入侵。如需修復的步驟,請參閱 修復可能遭到入侵的 AWS 登入資料。遭入侵的登入資料可能已用於在您的環境中建立或修改其他資源,例如 Amazon S3 儲存貯體、 AWS Lambda 函數或 Amazon EC2 執行個體。如需修復可能已受到影響之其他資源的步驟,請參閱 修復偵測到的 GuardDuty 安全性問題清單

AttackSequence:S3/CompromisedData

在 Amazon S3 中可能嘗試竊取或銷毀資料時,調用一系列 API 請求。

此調查結果會通知您,GuardDuty 偵測到一系列可疑動作,指出一或多個 Amazon Simple Storage Service (Amazon S3) 儲存貯體中的資料遭到入侵,方法是使用可能遭到 AWS 入侵的登入資料。觀察到多個可疑和異常攻擊行為 (API 請求),導致對登入資料的更有信心遭到濫用。

GuardDuty 使用其相互關聯演算法來觀察和識別使用 IAM 登入資料執行的動作順序。然後,GuardDuty 會評估跨保護計劃和其他訊號來源的問題清單,以識別常見和新興的攻擊模式。GuardDuty 使用多種因素來浮現威脅,例如 IP 評價、API 序列、使用者組態和可能受影響的資源。

修復動作:如果此活動在您的環境中未預期,您的 AWS 登入資料或 Amazon S3 資料可能會遭到洩漏或銷毀。如需修復的步驟,請參閱 修復可能遭到入侵的 AWS 登入資料修復可能遭到入侵的 S3 儲存貯體