本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# GuardDuty 調查結果格式
<a name="guardduty_finding-format"></a>

當 GuardDuty 在您的 AWS 環境中偵測到可疑或非預期的行為時，會產生問題清單。調查結果是包含 GuardDuty 所發現潛在安全問題相關詳細資訊的通知。[在 GuardDuty 主控台中檢視產生的調查結果](guardduty_working-with-findings.md) 其中包括發生了什麼事、可疑活動涉及哪些 AWS 資源、此活動發生的時間，以及可協助您了解根本原因的相關資訊。

在問題清單詳細資訊中，最有用的資訊之一是**問題清單類型**。問題清單類型的目的，是提供潛在安全問題精簡易讀的描述。例如，GuardDuty *Recon：EC2/PortProbeUnprotectedPort* 調查結果類型會快速通知您，在 AWS 環境中的某個位置，EC2 執行個體具有潛在攻擊者正在探測的未受保護連接埠。

GuardDuty 會使用以下格式命名其產生的各種調查結果類型：

**ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism\$1Artifact**

此格式的每個部分都代表調查結果類型的一個層面。這些層面具有以下解釋：
+ **ThreatPurpose** - 描述威脅、攻擊類型或潛在攻擊階段的主要目的。如需 GuardDuty 威脅目的完整清單，請參閱下一節。
+ **ResourceTypeAffected** - 描述此調查結果中識別為對手潛在目標的 AWS 資源。目前，GuardDuty 可以為 中列出的資源類型產生問題清單[GuardDuty 作用中調查結果類型](guardduty_finding-types-active.md#findings-table)。
+ **ThreatFamilyName** - 描述 GuardDuty 偵測到的整體威脅或潛在惡意活動。例如，**NetworkPortUnusual** 的值指出在 GuardDuty 調查結果中識別的 EC2 執行個體在調查結果中識別之特定遠端連接埠上沒有之前的通訊歷程記錄。
+ **DetectionMechanism** - 描述 GuardDuty 檢測到調查結果的方法。這可用來指出常見調查結果類型的變化，或 GuardDuty 使用特定機制加以偵測的調查結果。例如，**Backdoor:EC2/DenialOfService.Tcp** 表示透過 TCP 偵測到拒絕服務 (DoS)。UDP 變體為 **Backdoor:EC2/DenialOfService.Udp**。

  .**Custom** 值表示 GuardDuty 根據您的自訂威脅清單偵測到調查結果。如需詳細資訊，請參閱[實體清單和 IP 地址清單](guardduty_upload-lists.md)。

  值為 **.Reputation** 表示 GuardDuty 使用網域評價分數模型偵測到調查結果。如需詳細資訊，請參閱 [如何 AWS 追蹤雲端最大的安全威脅，並協助將其關閉](https://aws.amazon.com/blogs/security/how-aws-tracks-the-clouds-biggest-security-threats-and-helps-shut-them-down/)。
+ **成品** - 描述在惡意活動中使用的工具所擁有的特定資源。例如，調查結果類型的 **DNS** [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)表示 Amazon EC2 執行個體正在與已知的比特幣相關網域通訊。
**注意**  
成品是選用的，可能不適用於所有 GuardDuty 調查結果類型。

## 威脅目的
<a name="guardduty_threat_purposes"></a>

在 GuardDuty 中，*威脅目的*描述威脅、攻擊類型或潛在攻擊階段的主要目的。例如，某些威脅目的 (例如**後門**) 表示攻擊類型。然而，某些威脅目的 (例如**影響**) 與 [MITRE ATT&CK 策略](https://attack.mitre.org/tactics/TA0010/)保持一致。MITRE ATT&CK 測略指出對手的攻擊週期中不同的階段。在目前的 GuardDuty 版本中，ThreatPurpose 可以有以下值：

**Backdoor (後門)**  
此值表示對手已入侵 AWS 資源並更改資源，使其能夠聯絡其主命令和控制 (C&C) 伺服器，以接收惡意活動的進一步指示。

**行為**  
此值表示 GuardDuty 已偵測與涉及之 AWS 資源的既有基準不同的活動或活動模式。

**CredentialAccess**  
此值表示 GuardDuty 已偵測到對手可能用來從環境中竊取登入資料的活動模式，例如密碼、使用者名稱和存取金鑰。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。

**加密貨幣**  
此值表示 GuardDuty 已偵測到您環境中 AWS 的資源託管與加密貨幣相關聯的軟體 （例如，比特幣）。

**DefenseEvasion**  
此值表示 GuardDuty 偵測到對手可能在滲透您的環境時用於避免偵測的活動或活動模式。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)

**探索**  
此值表示 GuardDuty 偵測到對手可能會用來擴展他們對系統和內部網路之知識的活動或活動模式。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。

**執行**  
此值表示 GuardDuty 偵測到對手可能嘗試執行或已執行惡意程式碼來探索 AWS 環境，或竊取資料。此威脅目的是基於 [MITRE ATT&CK 策略 ](https://attack.mitre.org/tactics/TA0002/)。

**外流**  
此值表示 GuardDuty 已偵測到對手在嘗試從環境竊取資料時可能使用的活動或活動模式。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/tactics/TA0010/)。

**影響**  
此值表示 GuardDuty 偵測到活動或活動模式，表明對手正嘗試操縱、中斷或銷毀您的系統和資料。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。

**InitialAccess**  
當對手嘗試建立對您環境的存取時，此值通常與攻擊的初始存取階段相關聯。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。

**滲透測試**  
有時 AWS ，資源擁有者或其授權代表會刻意對 AWS 應用程式執行測試，以尋找漏洞，例如開放安全群組或過度允許的存取金鑰。這些滲透測試，是要試圖在攻擊者發現易受攻擊資源之前識別並鎖定易受攻擊資源。不過，某些已授權的滲透測試者使用的工具其實是無償提供的，因此能讓未經授權的使用者或對手用於執行探測測試。雖然 GuardDuty 無法識別該活動背後的真正目的，但**滲透測試**值會表示 GuardDuty 正在偵測此類活動 (此類活動和已知的滲透測試工具所產生活動相似)，並且可能表示對您的網路進行惡意探測。

**Persistence (持續)**  
此值表示 GuardDuty 已偵測到即使對手的初始存取路由中斷，對手也可能使用的活動或活動模式，以嘗試與維持對您的系統之存取權限。例如，這可能包括在透過現有使用者遭入侵的憑證取得存取權限後，建立新的 IAM 使用者。刪除現有使用者的憑證後，對手將保留新使用者 (未偵測為原始事件一部分的新使用者) 的存取權限。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。

**政策**  
此值表示您的 AWS 帳戶 展現違反建議安全最佳實務的行為。例如，意外修改與您的 AWS 資源或環境相關聯的許可政策，以及使用應該很少或沒有用量的特權帳戶。

**PrivilegeEscalation**  
此值會通知您， AWS 環境中涉及的主體正在展現對手可能用來取得較高層級網路許可的行為。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。

**Recon (偵察)**  
此值表示 GuardDuty 已偵測到對手在執行環境偵察時可能使用的活動或活動模式，以判斷他們如何擴展其存取或利用您的 資源。例如，此活動可以透過探查連接埠、進行 API 呼叫、列出使用者，以及列出資料庫資料表等，來縮小 AWS 環境中的漏洞。

**Stealth (隱匿)**  
此值表示對手正在積極嘗試隱藏其動作。例如，他們可能使用匿名代理服務器，因此非常難以衡量活動的真實本質。

**Trojan (木馬程式)**  
此值表示攻擊正在使用木馬程式，以隱匿方式進行惡意活動。有時候這些軟體會隱藏在合法程式之中。有時使用者會意外的執行此軟體。其他時候這些軟體可能會利用漏洞自動執行。

**UnauthorizedAccess (未授權的存取)**  
此值表示 GuardDuty 偵測到了非授權人員的可疑活動或可疑活動模式。