本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# GuardDuty 攻擊序列調查結果類型
當多個動作的特定序列符合潛在可疑活動時,GuardDuty 會偵測攻擊序列。攻擊序列包含**訊號**,例如 API 活動和 GuardDuty 調查結果。當 GuardDuty 在特定序列中觀察到一組訊號,其中指出進行中、持續中或最近的安全威脅時,GuardDuty 會產生攻擊序列問題清單。GuardDuty 會將個別 API 活動視為 ,[weak signals](guardduty_concepts.md#guardduty-weak-signals-attack-sequence)因為它們本身不會顯示為潛在的威脅。
攻擊序列偵測著重於對 Amazon S3 資料的潛在入侵 (可能是更廣泛的勒索軟體攻擊的一部分)、洩露的 AWS 憑證、洩露的 Amazon EKS 叢集、洩露的 Amazon ECS 叢集和洩露的 Amazon EC2 執行個體群組。以下各節提供每個攻擊序列的詳細資訊。
**Topics**
+ [AttackSequence:EKS/CompromisedCluster](#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:ECS/CompromisedCluster](#attack-sequence-ecs-compromised-cluster)
+ [AttackSequence:EC2/CompromisedInstanceGroup](#attack-sequence-ec2-compromised-instance-group)
+ [AttackSequence:IAM/CompromisedCredentials](#attack-sequence-iam-compromised-credentials)
+ [AttackSequence:S3/CompromisedData](#attack-sequence-s3-compromised-data)
## AttackSequence:EKS/CompromisedCluster
### 可能遭到入侵的 Amazon EKS 叢集所執行的一系列可疑動作。
+ 預設嚴重性:關鍵
+ 資料來源:
+ [EKS 稽核日誌事件](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html#guardduty_k8s-audit-logs)
+ [Amazon EKS 的執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-eks.html)
+ [Amazon EC2 的 Amazon EKS 惡意軟體偵測](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
+ [AWS CloudTrail S3 的資料事件](s3-protection.md#guardduty_s3dataplane)
+ [AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)
+ [VPC 流量日誌](guardduty_data-sources.md#guardduty_vpc)
+ [Route53 Resolver DNS 查詢日誌](guardduty_data-sources.md#guardduty_dns)
此調查結果會通知您,GuardDuty 偵測到一系列可疑動作,指出環境中可能遭到入侵的 Amazon EKS 叢集。在同一 Amazon EKS 叢集中觀察到多個可疑和異常的攻擊行為,例如惡意程序或與惡意端點的連線。
GuardDuty 使用其專有的相互關聯演算法來觀察和識別使用 IAM 憑證執行的動作序列。GuardDuty 會評估跨保護計畫和其他訊號來源的問題清單,以識別常見和新興的攻擊模式。GuardDuty 使用多種因素來浮現威脅,例如 IP 評價、API 序列、使用者組態和可能受影響的資源。
**修復動作**:如果此行為在您的環境中未預期,則 Amazon EKS 叢集可能會遭到入侵。如需完整的修補指引,請參閱 [修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)和 [修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
此外,由於 AWS 登入資料可能已透過 EKS 叢集遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。如需修復可能已受到影響之其他資源的步驟,請參閱 [修復偵測到的 GuardDuty 安全性問題清單](guardduty_remediate.md)。
## AttackSequence:ECS/CompromisedCluster
### 可能遭到入侵的 Amazon ECS 叢集所執行的一系列可疑動作。
+ 預設嚴重性:關鍵
+ 資料來源:
+ [Amazon ECS Fargate 的執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ecs-fargate.html)
+ [Amazon ECS 中 EC2 執行個體的執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
+ [ 適用於 Amazon EC2 的 GuardDuty 惡意軟體防護](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
此調查結果會通知您,GuardDuty 偵測到一系列可疑訊號,指出環境中可能遭到入侵的 Amazon ECS 叢集。這些訊號可能包括惡意程序、與惡意端點的通訊,或加密貨幣挖掘行為。
GuardDuty 使用專有的相互關聯演算法和多個偵測因素來識別 Amazon ECS 叢集內可疑動作的序列。透過跨保護計畫和各種訊號來源的分析,GuardDuty 可識別常見和新興的攻擊模式,提供對潛在入侵的高可信度偵測。
**修復動作**:如果此行為在您的環境中未預期,您的 Amazon ECS 叢集可能會遭到入侵。如需威脅遏制建議,請參閱 [修復可能遭到入侵的 ECS 叢集](compromised-ecs.md)。請注意,入侵可能延伸至一或多個 ECS 任務或容器工作負載,這些任務或容器工作負載可用來建立或修改 AWS 資源。如需涵蓋潛在受影響資源的完整修補指引,請參閱 [修復偵測到的 GuardDuty 安全性問題清單](guardduty_remediate.md)。
## AttackSequence:EC2/CompromisedInstanceGroup
### 一系列可疑動作,指出可能遭到入侵的 Amazon EC2 執行個體。
+ 預設嚴重性:關鍵
+ 資料來源:
+ [Amazon EC2 的執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
+ [ Amazon EC2 的惡意軟體偵測](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
+ [VPC 流量日誌](guardduty_data-sources.md#guardduty_vpc)
+ [Route53 Resolver DNS 查詢日誌](guardduty_data-sources.md#guardduty_dns)
此調查結果指出 GuardDuty 偵測到一系列可疑動作,顯示環境中的一組 Amazon EC2 執行個體可能遭到入侵。執行個體群組通常代表透過infrastructure-as-code管理的應用程式,共用類似的組態,例如自動擴展群組、IAM 執行個體描述檔角色、 AWS CloudFormation 堆疊、Amazon EC2 啟動範本、AMI 或 VPC ID。GuardDuty 在一或多個執行個體中觀察到多個可疑行為,包括:
+ 惡意程序
+ 惡意檔案
+ 可疑的網路連線
+ 加密貨幣挖掘活動
+ 可疑使用 Amazon EC2 執行個體登入資料
**偵測方法**:GuardDuty 使用專有的相互關聯演算法來識別 Amazon EC2 執行個體內的可疑動作序列。透過評估跨保護計畫和各種訊號來源的問題清單,GuardDuty 會使用 IP 和網域評價以及可疑執行程序等多種因素來識別攻擊模式。
**修復動作**:如果此行為在您的環境中未預期,您的 Amazon EC2 執行個體可能會遭到入侵。入侵可能涉及:
+ 多個程序
+ 可能已用於修改 Amazon EC2 執行個體或其他 AWS 資源的執行個體登入資料
如需威脅遏制建議,請參閱 [修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。請注意,入侵可能延伸至一或多個 Amazon EC2 執行個體,並涉及已用於建立或修改 Amazon EC2 執行個體或其他 AWS 資源的遭入侵程序或執行個體登入資料。如需涵蓋潛在受影響資源的完整修補指引,請參閱 [修復偵測到的 GuardDuty 安全性問題清單](guardduty_remediate.md)。
## AttackSequence:IAM/CompromisedCredentials
### 使用可能遭到入侵的 AWS 登入資料調用的一系列 API 請求。
+ 預設嚴重性:關鍵
+ 資料來源: [AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)
此調查結果會通知您,GuardDuty 偵測到一系列使用會影響您環境中一或多個資源的 AWS 登入資料所採取的可疑動作。相同的登入資料觀察到多個可疑和異常的攻擊行為,導致對登入資料遭到濫用的信心更高。
GuardDuty 使用其專有的相互關聯演算法來觀察和識別使用 IAM 憑證執行的動作序列。GuardDuty 會評估跨保護計畫和其他訊號來源的問題清單,以識別常見和新興的攻擊模式。GuardDuty 使用多種因素來浮現威脅,例如 IP 評價、API 序列、使用者組態和可能受影響的資源。
**修復動作**:如果此行為在您的環境中未預期,則您的 AWS 登入資料可能已遭到入侵。如需修復的步驟,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。遭入侵的登入資料可能已用於在您的環境中建立或修改其他資源,例如 Amazon S3 儲存貯體、 AWS Lambda 函數或 Amazon EC2 執行個體。如需修復可能已受到影響之其他資源的步驟,請參閱 [修復偵測到的 GuardDuty 安全性問題清單](guardduty_remediate.md)。
## AttackSequence:S3/CompromisedData
### 在 Amazon S3 中可能嘗試竊取或銷毀資料時,調用一系列 API 請求。
+ 預設嚴重性:關鍵
+ 資料來源: [AWS CloudTrail S3 的資料事件](s3-protection.md#guardduty_s3dataplane)和 [AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)
此調查結果會通知您,GuardDuty 偵測到一系列可疑動作,指出一或多個 Amazon Simple Storage Service (Amazon S3) 儲存貯體中的資料遭到入侵,方法是使用可能遭到 AWS 入侵的登入資料。觀察到多個可疑和異常攻擊行為 (API 請求),導致對登入資料的更有信心遭到濫用。
GuardDuty 使用其相互關聯演算法來觀察和識別使用 IAM 登入資料執行的動作順序。然後,GuardDuty 會評估跨保護計劃和其他訊號來源的問題清單,以識別常見和新興的攻擊模式。GuardDuty 使用多種因素來浮現威脅,例如 IP 評價、API 序列、使用者組態和可能受影響的資源。
**修復動作**:如果此活動在您的環境中未預期,您的 AWS 登入資料或 Amazon S3 資料可能會遭到洩漏或銷毀。如需修復的步驟,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)和 [修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。