本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# GuardDuty 調查結果類型
問題清單是 GuardDuty 在偵測到可疑或惡意活動的跡象時產生的通知 AWS 帳戶。GuardDuty 會在已啟用 GuardDuty 的帳戶中產生問題清單。
如需有關 GuardDuty 調查結果類型重要變更的詳細資訊,包括新增或淘汰的調查結果類型,請參閱[Amazon GuardDuty 文件歷史記錄](doc-history.md)。
如需有關尋找現已淘汰之調查結果類型類型的詳細資訊,請參閱[已淘汰的調查結果類型](guardduty_finding-types-retired.md)。
# GuardDuty EC2 調查結果類型
以下調查結果專用於 Amazon EC2 資源,而且一律具有 `Instance` 的資源類型。調查結果的嚴重性和詳細資訊會根據資源角色而有所不同,資源角色會指出 EC2 資源是可疑活動的目標,還是執行活動的執行者。
此處列出的調查結果包括用來產生該調查結果類型的資料來源和模型。如需有關資料來源和模型的詳細資訊,請參閱[GuardDuty 基礎資料來源](guardduty_data-sources.md)。
**備註**
如果執行個體已終止,或基礎 API 呼叫來自不同區域中的 EC2 執行個體,則 EC2 調查結果執行個體詳細資訊可能會遺失。 EC2
使用 VPC 流程日誌做為資料來源的 EC2 調查結果不支援 IPv6 流量。
對於所有 EC2 調查結果,建議您檢查有問題的資源,以確定它是否以預期的方式運行。如果活動獲得授權,您可以使用隱藏規則或受信任的 IP 清單來防止該資源的誤判通知。如果活動是非預期的,安全最佳實務是假設執行個體已遭入侵,並採取[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)中詳述的動作。
**Topics**
+ [Backdoor:EC2/C&CActivity.B](#backdoor-ec2-ccactivityb)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Tcp](#backdoor-ec2-denialofservicetcp)
+ [Backdoor:EC2/DenialOfService.Udp](#backdoor-ec2-denialofserviceudp)
+ [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](#backdoor-ec2-denialofserviceudpontcpports)
+ [Backdoor:EC2/DenialOfService.UnusualProtocol](#backdoor-ec2-denialofserviceunusualprotocol)
+ [Backdoor:EC2/Spambot](#backdoor-ec2-spambot)
+ [Behavior:EC2/NetworkPortUnusual](#behavior-ec2-networkportunusual)
+ [Behavior:EC2/TrafficVolumeUnusual](#behavior-ec2-trafficvolumeunusual)
+ [CryptoCurrency:EC2/BitcoinTool.B](#cryptocurrency-ec2-bitcointoolb)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](#cryptocurrency-ec2-bitcointoolbdns)
+ [DefenseEvasion:EC2/UnusualDNSResolver](#defenseevasion-ec2-unusualdnsresolver)
+ [DefenseEvasion:EC2/UnusualDoHActivity](#defenseevasion-ec2-unsualdohactivity)
+ [DefenseEvasion:EC2/UnusualDoTActivity](#defenseevasion-ec2-unusualdotactivity)
+ [Impact:EC2/AbusedDomainRequest.Reputation](#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Custom](#impact-ec2-maliciousdomainrequest-custom)
+ [Impact:EC2/PortSweep](#impact-ec2-portsweep)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](#impact-ec2-suspiciousdomainrequestreputation)
+ [Impact:EC2/WinRMBruteForce](#impact-ec2-winrmbruteforce)
+ [Recon:EC2/PortProbeEMRUnprotectedPort](#recon-ec2-portprobeemrunprotectedport)
+ [Recon:EC2/PortProbeUnprotectedPort](#recon-ec2-portprobeunprotectedport)
+ [Recon:EC2/Portscan](#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic](#trojan-ec2-blackholetraffic)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.B](#trojan-ec2-dgadomainrequestb)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint](#trojan-ec2-droppoint)
+ [Trojan:EC2/DropPoint\$1DNS](#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](#unauthorizedaccess-ec2-maliciousipcallercustom)
+ [UnauthorizedAccess:EC2/MetadataDNSRebind](#unauthorizedaccess-ec2-metadatadnsrebind)
+ [UnauthorizedAccess:EC2/RDPBruteForce](#unauthorizedaccess-ec2-rdpbruteforce)
+ [UnauthorizedAccess:EC2/SSHBruteForce](#unauthorizedaccess-ec2-sshbruteforce)
+ [UnauthorizedAccess:EC2/TorClient](#unauthorizedaccess-ec2-torclient)
+ [UnauthorizedAccess:EC2/TorRelay](#unauthorizedaccess-ec2-torrelay)
## Backdoor:EC2/C&CActivity.B
### EC2 執行個體正在查詢與已知為命令和控管伺服器相關聯的 IP。
**預設嚴重性:高**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的執行個體正在查詢與已知為命令和控管 (C&C) 伺服器相關聯的 IP。列出的執行個體可能遭到入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。
殭屍網路是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合,可能包括 PC、伺服器、行動裝置及物聯網裝置。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的用途和結構而定,C&C 伺服器也可能發出命令來展開分散式阻斷服務 (DDoS) 攻擊。
**注意**
如果查詢的 IP 與 log4J 相關,則相關調查結果的欄位將包含下列值:
service.additionalInfo.threatListName = Amazon
service.additionalInfo.threatName = Log4j Related
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Backdoor:EC2/C&CActivity.B\$1DNS
### EC2 執行個體正在查詢與已知為命令和控管伺服器相關聯的網域名稱。
**預設嚴重性:高**
+ **資料來源:**DNS 日誌
此調查結果會通知您,列出的 AWS 環境中的執行個體正在查詢與已知為命令和控管 (C&C) 伺服器相關聯的網域名稱。列出的執行個體可能遭到入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。
殭屍網路是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合,可能包括 PC、伺服器、行動裝置及物聯網裝置。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的用途和結構而定,C&C 伺服器也可能發出命令來展開分散式阻斷服務 (DDoS) 攻擊。
**注意**
如果查詢的網域名稱與 log4J 相關,則相關調查結果的欄位將包含下列值:
service.additionalInfo.threatListName = Amazon
service.additionalInfo.threatName = Log4j Related
**注意**
若要測試 GuardDuty 如何產生此調查結果類型,您可以從執行個體對測試網域 `guarddutyc2activityb.com` 發出 DNS 請求 (針對 Linux 使用 `dig`,或針對 Windows 使用 `nslookup`)。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Backdoor:EC2/DenialOfService.Dns
### EC2 執行個體的表現方式,可能表示它被用來執行利用 DNS 通訊協定的阻斷服務 (DoS) 攻擊。
**預設嚴重性:高**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在產生大量的傳出 DNS 流量。這可能表示列出的執行個體被盜用,並用來執行利用 DNS 通訊協定的阻斷服務 (DoS) 攻擊。
**注意**
此調查結果偵測僅針對可公開路由 IP 地址 (DoS 攻擊的主要目標) 的 DoS 攻擊。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Backdoor:EC2/DenialOfService.Tcp
### EC2 執行個體的表現方式,表示它正用來執行利用 TCP 通訊協定的阻斷服務 (DoS) 攻擊。
**預設嚴重性:高**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在產生大量的傳出 TCP 流量。這可能表示該執行個體被盜用,並用來執行利用 TCP 通訊協定的阻斷服務 (DoS) 攻擊。
**注意**
此調查結果偵測僅針對可公開路由 IP 地址 (DoS 攻擊的主要目標) 的 DoS 攻擊。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Backdoor:EC2/DenialOfService.Udp
### EC2 執行個體的表現方式,表示它正用來執行利用 UDP 通訊協定的阻斷服務 (DoS) 攻擊。
**預設嚴重性:高**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在產生大量的傳出 UDP 流量。這可能表示列出的執行個體被盜用,並用來執行利用 UDP 通訊協定的阻斷服務 (DoS) 攻擊。
**注意**
此調查結果偵測僅針對可公開路由 IP 地址 (DoS 攻擊的主要目標) 的 DoS 攻擊。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Backdoor:EC2/DenialOfService.UdpOnTcpPorts
### EC2 執行個體的表現方式,可能表示它被用來執行在 TCP 連接埠上利用 UDP 通訊協定的阻斷服務 (DoS) 攻擊。
**預設嚴重性:高**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正產生大量的傳出 UDP 流量,而這些流量是以 TCP 通訊常用的連接埠為目標。這可能表示列出的執行個體被盜用,並用來執行在 TCP 連接埠上利用 UDP 通訊協定的阻斷服務 (DoS) 攻擊。
**注意**
此調查結果偵測僅針對可公開路由 IP 地址 (DoS 攻擊的主要目標) 的 DoS 攻擊。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Backdoor:EC2/DenialOfService.UnusualProtocol
### EC2 執行個體的表現方式,可能表示它被用來執行利用不常見通訊協定的阻斷服務 (DoS) 攻擊。
**預設嚴重性:高**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正從不常見的通訊協定類型產生傳出大量流量,EC2 執行個體通常不會使用該通訊協定 (例如,網際網路組管理協定)。這可能表示該執行個體被盜用,並用來執行利用不常見通訊協定的阻斷服務 (DoS) 攻擊。此調查結果偵測僅針對可公開路由 IP 地址 (DoS 攻擊的主要目標) 的 DoS 攻擊。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Backdoor:EC2/Spambot
### EC2 執行個體正在連接埠 25 上與遠端主機通訊,此舉展現出不尋常的行為。
**預設嚴重性:中**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在與連接埠 25 上的遠端主機進行通訊。此行為並不尋常,因為此 EC2 執行個體先前並沒有在連接埠 25 上通訊的歷程記錄。連接埠 25 以往是郵件伺服器進行 SMTP 通訊時使用。此調查結果表示您的 EC2 執行個體可能已遭受入侵,無法用於傳送垃圾郵件。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Behavior:EC2/NetworkPortUnusual
### EC2 執行個體正在不尋常的伺服器連接埠上與遠端主機通訊。
**預設嚴重性:中**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在進行與既有基準不同的行為。此 EC2 執行個體先前並沒有在此遠端連接埠上通訊的歷程記錄。
**注意**
如果 EC2 執行個體在連接埠 389 或連接埠 1389 上通訊,則相關聯的調查結果嚴重性會修改為「高」,而調查結果欄位將包含下列值:
service.additionalInfo.context = Possible log4j callback
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Behavior:EC2/TrafficVolumeUnusual
### EC2 執行個體與遠端主機之間產生異常大量的網路流量。
**預設嚴重性:中**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在進行與既有基準不同的行為。此 EC2 執行個體先前並沒有傳送如此大流量至此遠端主機的歷程記錄。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## CryptoCurrency:EC2/BitcoinTool.B
### EC2 執行個體正在查詢與加密貨幣活動有關聯的 IP 地址。
**預設嚴重性:高**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在查詢與比特幣或其他加密貨幣活動有關聯的 IP 地址。比特幣是一種全球性的加密貨幣和數位支付系統,可以用來兌換其他貨幣,產品和服務。比特幣是比特幣開採的獎勵,受到威脅參與者的高度追捧。
**修復建議:**
如果您使用此 EC2 執行個體來開採或管理加密貨幣,或者此執行個體以其他方式參與區塊鏈活動,則此調查結果可能是您環境的預期活動。如果您的 AWS 環境是這種情況,建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用**調查結果類型**屬性,其值為 `CryptoCurrency:EC2/BitcoinTool.B`。第二個篩選條件應該是區塊鏈活動中涉及之執行個體的 **Instance ID (執行個體 ID)**。若要進一步了解如何建立隱藏規則,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
如果此活動非預期,表示您的執行個體可能遭到破壞,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## CryptoCurrency:EC2/BitcoinTool.B\$1DNS
### EC2 執行個體正在查詢與加密貨幣活動有關聯的網域名稱。
**預設嚴重性:高**
+ **資料來源:**DNS 日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在查詢與比特幣或其他加密貨幣活動有關聯的網域名稱。比特幣是一種全球性的加密貨幣和數位支付系統,可以用來兌換其他貨幣,產品和服務。比特幣是比特幣開採的獎勵,受到威脅參與者的高度追捧。
**修復建議:**
如果您使用此 EC2 執行個體來開採或管理加密貨幣,或者此執行個體以其他方式參與區塊鏈活動,則此調查結果可能是您環境的預期活動。如果您的 AWS 環境是這種情況,建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用**調查結果類型**屬性,其值為 `CryptoCurrency:EC2/BitcoinTool.B!DNS`。第二個篩選條件應該是區塊鏈活動中涉及之執行個體的 **Instance ID (執行個體 ID)**。若要進一步了解如何建立隱藏規則,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
如果此活動非預期,表示您的執行個體可能遭到破壞,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## DefenseEvasion:EC2/UnusualDNSResolver
### Amazon EC2 執行個體正在與一個不尋常的公有 DNS 解析程式進行通訊。
**預設嚴重性:中**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 Amazon EC2 執行個體正在進行與既有基準行為不同的行為。此 EC2 執行個體最近沒有與此公有 DNS 解析程式通訊的歷史記錄。GuardDuty 主控台中調查結果詳細資訊面板中的**不尋常**欄位可提供有關查詢 DNS 解析程式的資訊。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## DefenseEvasion:EC2/UnusualDoHActivity
### Amazon EC2 執行個體正在通過 HTTPS (DoH) 通訊執行不尋常的 DNS。
**預設嚴重性:中**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 Amazon EC2 執行個體正在進行與既有基準不同的行為。此 EC2 執行個體沒有任何最近透過 HTTPS (DoH) 與此公有 DoH 伺服器通訊的 DNS 歷史記錄。調查結果詳細資訊中的**不尋常**欄位可提供有關查詢 DoH 伺服器的資訊。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## DefenseEvasion:EC2/UnusualDoTActivity
### Amazon EC2 執行個體正在通過 TLS (DoT) 通訊執行不尋常的 DNS。
**預設嚴重性:中**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在進行與既有基準不同的行為。此 EC2 執行個體沒有任何最近透過 TLS (DoT) 與此公有 DoT 伺服器通訊的 DNS 歷史記錄。調查結果詳細資訊中的**不尋常**欄位面板可提供有關查詢 DoT 伺服器的資訊。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Impact:EC2/AbusedDomainRequest.Reputation
### EC2 執行個體正在查詢與已知濫用網域相關聯的低信譽網域名稱。
**預設嚴重性:中**
+ **資料來源:**DNS 日誌
此調查結果會通知您,列出的 AWS 環境中的 Amazon EC2 執行個體正在查詢與已知濫用網域或 IP 地址相關聯的低信譽網域名稱。濫用網域的範例包括頂層網域名稱 (TLD) 和第二層網域名稱 (2LD),提供免費的子網域註冊,以及動態 DNS 提供者。威脅執行者傾向於使用這些服務免費或低成本註冊網域。此類別中的低信譽網域也可能是解析為註冊機構停駐 IP 地址的過期網域,因此可能不再處於作用中狀態。停駐 IP 是註冊機構為尚未連結到任何服務的網域引導流量的地方。列出的 Amazon EC2 執行個體可能已遭入侵,因為威脅參與者通常使用這些註冊機構或服務進行 C&C 和惡意軟體分發。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Impact:EC2/BitcoinDomainRequest.Reputation
### EC2 執行個體正在查詢與加密貨幣活動有關聯的低信譽網域名稱。
**預設嚴重性:高**
+ **資料來源:**DNS 日誌
此調查結果會通知您,列出的 AWS 環境中的 Amazon EC2 執行個體正在查詢與比特幣或其他加密貨幣活動有關聯的低信譽網域名稱。比特幣是一種全球性的加密貨幣和數位支付系統,可以用來兌換其他貨幣,產品和服務。比特幣是比特幣開採的獎勵,受到威脅參與者的高度追捧。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
**修復建議:**
如果您使用此 EC2 執行個體來開採或管理加密貨幣,或者此執行個體以其他方式參與區塊鏈活動,則此調查結果可能代表您環境的預期活動。如果您的 AWS 環境是這種情況,建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用**調查結果類型**屬性,其值為 `Impact:EC2/BitcoinDomainRequest.Reputation`。第二個篩選條件應該是區塊鏈活動中涉及之執行個體的 **Instance ID (執行個體 ID)**。若要進一步了解如何建立隱藏規則,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
如果此活動非預期,表示您的執行個體可能遭到破壞,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Impact:EC2/MaliciousDomainRequest.Reputation
### EC2 執行個體正在查詢與已知惡意網域相關聯的低信譽網域。
**預設嚴重性:高**
+ **資料來源:**DNS 日誌
此調查結果會通知您,列出的 AWS 環境中的 Amazon EC2 執行個體正在查詢與已知惡意網域或 IP 地址相關聯的低信譽網域名稱。例如,網域可能與已知的沉洞 IP 地址相關聯。沉洞網域是先前由威脅執行者控制的網域,對其提出的請求可能表示執行個體已遭到入侵。這些網域也可能與已知的惡意活動或網域產生演算法相關。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Impact:EC2/MaliciousDomainRequest.Custom
### EC2 執行個體正在查詢自訂威脅實體清單上的網域。
**預設嚴重性:中**
+ **資料來源:**DNS 日誌
此調查結果會通知您,您 AWS 環境中列出的 Amazon EC2 執行個體正在查詢您上傳和啟用的威脅實體清單中包含的網域名稱。在 GuardDuty 中,威脅實體清單包含已知的惡意網域名稱和 IP 地址。GuardDuty 會根據與上傳的威脅實體清單相關聯的活動產生調查結果。您可以在調查結果詳細資訊中檢視威脅實體清單的名稱。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Impact:EC2/PortSweep
### EC2 執行個體正在探查大量 IP 地址上的連接埠。
**預設嚴重性:高**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,您 AWS 環境中列出的 EC2 執行個體正在大量可公開路由 IP 地址上探查連接埠。這種類型的活動通常用於尋找易受攻擊的主機來利用。在 GuardDuty 主控台的調查結果詳細資訊面板中,只會顯示最新的遠端 IP 地址
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Impact:EC2/SuspiciousDomainRequest.Reputation
### EC2 執行個體正在查詢低信譽的網域名稱,該網域名稱本質上因其使用期限或低受歡迎程度而可疑。
**預設嚴重性:低**
+ **資料來源:**DNS 日誌
此調查結果會通知您,列出的 AWS 環境中的 Amazon EC2 執行個體正在查詢疑似惡意的低信譽網域名稱。注意到該網域的特徵與先前觀察到的惡意網域一致,但是,我們的聲譽模型無法明確地將其與已知威脅聯繫起來。這些網域通常是新觀察到的,或接收少量的流量。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Impact:EC2/WinRMBruteForce
### EC2 執行個體正在執行傳出 Windows 遠端管理暴力破解攻擊。
**預設嚴重性:低\$1**
**注意**
如果您的 EC2 執行個體是暴力密碼破解攻擊的目標,則此調查結果的嚴重性為「低」。如果您的 EC2 執行個體是用來執行暴力密碼破解攻擊的執行者,則此調查結果嚴重性為「高」。
+ **資料來源:**VPC 流量日誌
此調查結果項目會通知您,列出的 AWS 環境中的 EC2 執行個體正在執行 Windows 遠端管理 (WinRM) 暴力攻擊,旨在取得 Windows 系統上對 Windows 遠端管理服務的存取權。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Recon:EC2/PortProbeEMRUnprotectedPort
### EC2 執行個體有一個未受保護的 EMR 相關連接埠,正由已知的惡意主機探測。
**預設嚴重性:高**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,安全群組、存取控制清單 (ACL) 或 Linux IPTables 等主機防火牆不會封鎖所列出 EC2 執行個體上屬於您 AWS 環境中叢集一部分的 EMR 相關敏感連接埠。此調查結果也會通知網際網路上的已知掃描器正在主動探測此連接埠。觸發此調查結果的連接埠 (如連接埠 8088 (YARN Web UI 連接埠)),可能會被用來遠端執行程式碼。
**修復建議:**
您應該封鎖從網際網路開放存取叢集上的連接埠,並限制只有需要存取這些連接埠的特定 IP 地址才能存取。如需詳細資訊,請參閱 [EMR 叢集的安全群組](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-security-groups.html)。
## Recon:EC2/PortProbeUnprotectedPort
### EC2 執行個體有一個未受保護的連接埠,正由已知的惡意主機探測。
**預設嚴重性:低\$1**
**注意**
此調查結果的預設嚴重性為「低」。不過,如果 Elasticsearch (9200 或 9300) 使用正在探查的連接埠,則調查結果的嚴重性為高。
+ **資料來源:**VPC 流量日誌
此調查結果項目會通知您,列出的 AWS 環境中的 EC2 執行個體上的連接埠未由安全群組、存取控制清單 (ACL) 或主機上的防火牆 (例如 Linux IPTables) 以及網際網路上的已知掃描程式封鎖,且正在被積極的探測。
如果已識別的未受保護連接埠是 22 或 3389,且您正在使用這些連接埠連線到您的執行個體,您仍然可以透過僅允許來自公司的網路 IP 位址空間的 IP 位址,來存取這些連接埠以限制曝光。若要在 Linux 上限制存取連接埠 22,請參閱[授權 Linux 執行個體的傳入流量](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html)。若要在 Windows 上限制存取連接埠 3389,請參閱[授權 Windows 執行個體的傳入流量](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/authorizing-access-to-an-instance.html)。
GuardDuty 不會為連接埠 443 和 80 產生此調查結果。
**修復建議:**
在某些情況下,可能會刻意暴露執行個體,例如,若是託管在 Web 伺服器上。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用**調查結果類型**屬性,其值為 `Recon:EC2/PortProbeUnprotectedPort`。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用**執行個體映像 ID** 屬性或**標籤**值屬性,視主控這些工具的執行個體可識別的準則而定。如需有關建立隱藏規則的詳細資訊,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
如果此活動非預期,表示您的執行個體可能遭到破壞,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Recon:EC2/Portscan
### EC2 執行個體正在對遠端主機執行傳出連接埠掃描。
**預設嚴重性:中**
+ **資料來源:**VPC 流量日誌
此調查結果項目會通知您,列出的 AWS 環境中的 EC2 執行個體已遭受可能的連接埠掃描攻擊,因為它正試圖在短時間內連接到多個連接埠。連接埠掃描攻擊的目的是找出開放連接埠,以探索該機器正在執行的服務並識別其作業系統。
**修復建議:**
當漏洞評定應用程式部署在環境中的 EC2 執行個體上時,此調查結果可能是誤判,因為這些應用程式會執行連接埠掃描,以警告您開放連接埠設定不當。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用**調查結果類型**屬性,其值為 `Recon:EC2/Portscan`。第二個篩選條件應該找出主控這些漏洞評定工具的執行個體。您可以使用**執行個體映像 ID** 屬性或**標籤**值屬性,視主控這些工具的執行個體可識別的條件而定。如需有關建立隱藏規則的詳細資訊,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
如果此活動非預期,表示您的執行個體可能遭到破壞,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Trojan:EC2/BlackholeTraffic
### EC2 執行個體正在嘗試與已知黑洞的遠端主機 IP 地址進行通訊。
**預設嚴重性:中**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您環境中列出的 EC2 執行個體 AWS 可能遭到入侵,因為它嘗試與黑洞 (或接收器孔) 的 IP 地址通訊。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。黑洞的 IP 位址會指定為未執行的主機,或未分配主機的位址。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Trojan:EC2/BlackholeTraffic\$1DNS
### EC2 執行個體正在查詢重新導向到黑洞 IP 地址的網域名稱。
**預設嚴重性:中**
+ **資料來源:**DNS 日誌
此調查結果會通知您環境中列出的 EC2 執行個體 AWS 可能遭到入侵,因為它正在查詢重新導向至黑洞 IP 地址的網域名稱。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Trojan:EC2/DGADomainRequest.B
### EC2 執行個體正在查詢演算法產生的網域。這種網域常遭惡意軟體利用,且可以做為 EC2 執行個體已被盜用的跡象。
**預設嚴重性:高**
+ **資料來源:**DNS 日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在嘗試查詢網域產生演算法 (DGA) 網域。您的 EC2 執行個體可能遭到盜用。
DGA 可用來定期產生大量網域名稱,這些名稱可做為他們的命令與控制 (C&C) 伺服器的會合點。命令和控管伺服器是對殭屍網路的成員發出命令的電腦,這是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合。大量潛在的會合點會造成難以有效地關閉殭屍網路,因為受感染的電腦每天都會嘗試聯繫其中一些網域名稱以接收更新或命令。
**注意**
此調查結果是根據使用進階啟發式網域名稱分析,且可以識別威脅情報饋送中不存在的新 DGA 域。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Trojan:EC2/DGADomainRequest.C\$1DNS
### EC2 執行個體正在查詢演算法產生的網域。這種網域常遭惡意軟體利用,且可以做為 EC2 執行個體已被盜用的跡象。
**預設嚴重性:高**
+ **資料來源:**DNS 日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在嘗試查詢網域產生演算法 (DGA) 網域。您的 EC2 執行個體可能遭到盜用。
DGA 可用來定期產生大量網域名稱,這些名稱可做為他們的命令與控制 (C&C) 伺服器的會合點。命令和控管伺服器是對殭屍網路的成員發出命令的電腦,這是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合。大量潛在的會合點會造成難以有效地關閉殭屍網路,因為受感染的電腦每天都會嘗試聯繫其中一些網域名稱以接收更新或命令。
**注意**
此調查結果是根據 GuardDuty 的威脅情報饋送的已知 DGA 網域所產生。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Trojan:EC2/DNSDataExfiltration
### EC2 執行個體是透過 DNS 查詢移植資料的。
**預設嚴重性:高**
+ **資料來源:**DNS 日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體正在執行使用 DNS 查詢的惡意軟體,進行對外資料傳輸。這種類型的資料傳輸表示執行個體遭到入侵,可能導致資料外洩。DNS 流量通常不會被防火牆阻擋。例如,遭侵入 EC2 執行個體中的惡意軟體可以將資料 (例如,您的信用卡號) 編碼到 DNS 查詢中,並將它傳送到攻擊者所控制的遠端 DNS 伺服器。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Trojan:EC2/DriveBySourceTraffic\$1DNS
### EC2 執行個體正在查詢已知為 Drive-By (路過式) 下載攻擊來源的遠端主機網域名稱。
**預設嚴重性:高**
+ **資料來源:**DNS 日誌
此調查結果會通知您,列出的 AWS 環境中的 EC2 執行個體可能會遭入侵,因為它正在查詢已知為 Drive-By (路過式) 下載攻擊來源的遠端主機網域名稱。這些是從網際網路上意外下載的電腦軟體,它們可以觸發病毒、間諜軟體或惡意軟體的自動安裝。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Trojan:EC2/DropPoint
### EC2 執行個體正在嘗試與遠端主機的 IP 地址進行通信,該主機已知會保存由惡意軟體擷取的登入資料和其他遭竊資料。
**預設嚴重性:中**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在嘗試與遠端主機的 IP 地址進行通訊,該遠端主機已知會保存登入資料和惡意軟體擷取的其他遭竊資料。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Trojan:EC2/DropPoint\$1DNS
### EC2 執行個體正在查詢遠端主機的網域名稱,該主機已知會保存由惡意軟體擷取的登入資料和其他遭竊資料。
**預設嚴重性:中**
+ **資料來源:**DNS 日誌
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在查詢已知存放登入資料和惡意軟體擷取之其他遭竊資料的遠端主機網域名稱。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Trojan:EC2/PhishingDomainRequest\$1DNS
### EC2 執行個體正在查詢遭釣魚攻擊的網域。您的 EC2 執行個體可能遭到盜用。
**預設嚴重性:高**
+ **資料來源:**DNS 日誌
此調查結果會通知您,在 AWS 環境中有一個 EC2 執行個體正在嘗試查詢遭釣魚攻擊的網域。釣魚網域是由冒充合法機構的人所建立,以誘使個人提供敏感資料,如個人身分資訊、銀行和信用卡詳細資訊以及密碼。您的 EC2 執行個體可能試圖擷取儲存在釣魚網站上的敏感資料,或者嘗試設定網路釣魚網站。您的 EC2 執行個體可能遭到盜用。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
### EC2 執行個體正在連線到自訂威脅清單上的 IP 地址。
**預設嚴重性:中**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在與您上傳的威脅清單中包含的 IP 地址進行通訊。在 GuardDuty 中,威脅清單包含已知的惡意 IP 地址。GuardDuty 會根據上傳的威脅清單產生調查結果。用於產生此調查結果的威脅清單會列在調查結果詳細資訊中。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## UnauthorizedAccess:EC2/MetadataDNSRebind
### EC2 執行個體正在執行 DNS 查詢,以解析執行個體中繼資料服務。
**預設嚴重性:高**
+ **資料來源:**DNS 日誌
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在查詢解析為 EC2 中繼資料 IP 地址 (169.254.169.254 的網域)。這種類型的 DNS 查詢可能表示執行個體是 DNS 重新繫結技術的目標。此技術可用於從 EC2 執行個體獲取中繼資料,包含與執行個體相關聯的 IAM 憑證。
DNS 重新繫結涉及誘使在 EC2 執行個體上執行的應用程式從 URL 載入傳回資料,URL 中的網域名稱解析為 EC2 中繼資料的 IP 地址 (169.254.169.254)。這會導致應用程式存取 EC2 中繼資料,並可能讓攻擊者能夠使用。
只有在 EC2 執行個體執行的具漏洞應用程式允許注入 URL,或有人在 EC2 執行個體上執行的 Web 瀏覽器存取 URL 時,才可能使用 DNS 重新繫結存取 EC2 中繼資料。
**修復建議:**
為了回應此調查結果,您應該評估是否有在 EC2 執行個體上執行的具漏洞應用程式,或是有人使用瀏覽器存取調查結果中所識別的網域。如果根本原因是具漏洞的應用程式,您應該修復該漏洞。如果有人瀏覽已識別的網域,您應該封鎖該網域或防止使用者存取該網域。如果您判斷此調查結果與上述任一案例有關,[請撤銷與 EC2 執行個體相關聯的工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html)。
有些 AWS 客戶刻意將中繼資料 IP 地址映射至其授權 DNS 伺服器上的網域名稱。如果您的 環境是這種情況,建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用**調查結果類型**屬性,其值為 `UnauthorizedAccess:EC2/MetaDataDNSRebind`。第二個篩選條件應該是 **DNS request domain (DNS 請求網域)**,而且值應該符合您對應至中繼資料 IP 地址 (169.254.169.254) 的網域。如需建立隱藏規則的詳細資訊,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
## UnauthorizedAccess:EC2/RDPBruteForce
### EC2 執行個體已遭受 RDP 暴力密碼破解攻擊。
**預設嚴重性:低\$1**
**注意**
如果您的 EC2 執行個體是暴力密碼破解攻擊的目標,則此調查結果的嚴重性為「低」。如果您的 EC2 執行個體是用來執行暴力密碼破解攻擊的執行者,則此調查結果嚴重性為「高」。
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體遭受暴力攻擊,目的是在 Windows 系統上取得 RDP 服務的密碼。這可能表示您的 AWS 資源有未經授權的存取。
**修復建議:**
如果您執行個體的**資源角色**是 `ACTOR`,這表示您的執行個體已用於執行 RDP 暴力密碼破解攻擊。除非該執行個體有正當理由連線列為 `Target` 的 IP 地址,否則建議假設您的執行個體已遭受入侵,並採取 [修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md) 中所列的動作。
如果執行個體的**資源角色** 為 `TARGET`,可透過安全群組、ACL 或防火牆,僅針對可信任 IP 保護您的 SSH 連接埠,從而修復此調查結果。如需詳細資訊,請參閱 [Tips for securing your EC2 instances (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/)。
## UnauthorizedAccess:EC2/SSHBruteForce
### EC2 執行個體已遭受 SSH 暴力密碼破解攻擊。
**預設嚴重性:低\$1**
**注意**
如果暴力攻擊法的目標是您的其中一個 EC2 執行個體,則此調查結果的嚴重性為低。如果您的 EC2 執行個體被用來執行暴力攻擊法,則此調查結果嚴重性為高。
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體遭受暴力攻擊,目的是在 Linux 系統上取得 SSH 服務的密碼。這可能表示您的 AWS 資源有未經授權的存取。
**注意**
此調查結果只會透過連接埠 22 上的監控流量來產生。如果您的 SSH 服務已設定為使用其他連接埠,則此調查結果將不會產生。
**修復建議:**
如果暴力破解嘗試的目標是堡壘主機,這可能代表您 AWS 環境的預期行為。如果是這種情況,我們建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用**調查結果類型**屬性,其值為 `UnauthorizedAccess:EC2/SSHBruteForce`。第二個篩選條件應該找出執行個體或做為堡壘主機的執行個體。您可以使用**執行個體映像 ID** 屬性或**標籤**值屬性,視主控這些工具的執行個體可識別的條件而定。如需有關建立隱藏規則的詳細資訊,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
如果預計您的環境不會有這項活動,而且執行個體的 **Resource Role (資源角色)** 為 `TARGET`,可透過安全群組、ACL 或防火牆,僅針對可信任 IP 保護您的 SSH 連接埠,從而修復此調查結果。如需詳細資訊,請參閱 [Tips for securing your EC2 instances (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/)。
如果您執行個體的**資源角色** 是 `ACTOR`,這表示執行個體已用於執行 SSH 暴力密碼破解攻擊。除非該執行個體有正當理由連線列為 `Target` 的 IP 地址,否則建議假設您的執行個體已遭受入侵,並採取 [修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md) 中所列的動作。
## UnauthorizedAccess:EC2/TorClient
### 您的 EC2 執行個體正在連線至 Tor Guard 或 Authority 節點。
**預設嚴重性:高**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在連線到 Tor Guard 或 Authority 節點。Tor 是一種啟用匿名通訊的軟體。Tor Guards 和 Authority 節點為進入 Tor 網路的初始閘道。此流量表示此 EC2 執行個體已洩露且做為 Tor 網路的用戶端。此調查結果可能表示未經授權存取您的 AWS 資源,目的是隱藏攻擊者的真實身分。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## UnauthorizedAccess:EC2/TorRelay
### 您的 EC2 執行個體正在連線至 Tor 網路,且連線方式為顯示為代表 Tor 轉送。
**預設嚴重性:高**
+ **資料來源:**VPC 流量日誌
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在與 Tor 網路建立連線,其方式暗示其做為 Tor 轉送。Tor 是一種啟用匿名通訊的軟體。Tor 增加匿名通訊,做法是從一個 Tor 轉送轉寄使用者端潛在非法流量至另一個 Tor 轉送。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
# GuardDuty IAM 調查結果類型
以下調查結果專用於 IAM 實體和存取金鑰,而且一律具有 `AccessKey` 的**資源類型**。調查結果的嚴重性和詳細資訊依據調查結果類型而有所不同。
此處列出的調查結果包括用來產生該調查結果類型的資料來源和模型。如需詳細資訊,請參閱[GuardDuty 基礎資料來源](guardduty_data-sources.md)。
對於所有與 IAM 相關的調查結果,我們建議您檢查有問題的實體,並確保其許可依循最低權限的最佳實務。如果此活動為非預期活動,即代表憑證可能已遭入侵。如需有關修復調查結果的詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
**Topics**
+ [CredentialAccess:IAMUser/AnomalousBehavior](#credentialaccess-iam-anomalousbehavior)
+ [CredentialAccess:IAMUser/CompromisedCredentials](#credentialaccess-iam-compromisedcredentials)
+ [DefenseEvasion:IAMUser/AnomalousBehavior](#defenseevasion-iam-anomalousbehavior)
+ [DefenseEvasion:IAMUser/BedrockLoggingDisabled](#defenseevasion-iam-bedrockloggingdisabled)
+ [Discovery:IAMUser/AnomalousBehavior](#discovery-iam-anomalousbehavior)
+ [Exfiltration:IAMUser/AnomalousBehavior](#exfiltration-iam-anomalousbehavior)
+ [Impact:IAMUser/AnomalousBehavior](#impact-iam-anomalousbehavior)
+ [InitialAccess:IAMUser/AnomalousBehavior](#initialaccess-iam-anomalousbehavior)
+ [PenTest:IAMUser/KaliLinux](#pentest-iam-kalilinux)
+ [PenTest:IAMUser/ParrotLinux](#pentest-iam-parrotlinux)
+ [PenTest:IAMUser/PentooLinux](#pentest-iam-pentoolinux)
+ [Persistence:IAMUser/AnomalousBehavior](#persistence-iam-anomalousbehavior)
+ [Policy:IAMUser/RootCredentialUsage](#policy-iam-rootcredentialusage)
+ [Policy:IAMUser/ShortTermRootCredentialUsage](#policy-iam-user-short-term-root-credential-usage)
+ [PrivilegeEscalation:IAMUser/AnomalousBehavior](#privilegeescalation-iam-anomalousbehavior)
+ [Recon:IAMUser/MaliciousIPCaller](#recon-iam-maliciousipcaller)
+ [Recon:IAMUser/MaliciousIPCaller.Custom](#recon-iam-maliciousipcallercustom)
+ [Recon:IAMUser/TorIPCaller](#recon-iam-toripcaller)
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](#stealth-iam-cloudtrailloggingdisabled)
+ [Stealth:IAMUser/PasswordPolicyChange](#stealth-iam-passwordpolicychange)
+ [UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B](#unauthorizedaccess-iam-consoleloginsuccessb)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller](#unauthorizedaccess-iam-maliciousipcaller)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](#unauthorizedaccess-iam-maliciousipcallercustom)
+ [UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS](#unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/TorIPCaller](#unauthorizedaccess-iam-toripcaller)
## CredentialAccess:IAMUser/AnomalousBehavior
### 用來存取 AWS 環境的 API 是以異常方式叫用。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包含由單一[使用者身分](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)在鄰近提出的單一 API 或一系列相關 API 請求。當對手嘗試收集您的環境之密碼、使用者名稱和存取金鑰時,觀察到的 API 通常與攻擊的憑證存取階段相關聯。此類別中的 APIs 為 `GetPasswordData`、`BatchGetSecretValue`、 `GetSecretValue`和 `GenerateDbAuthToken`。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## CredentialAccess:IAMUser/CompromisedCredentials
### IAM 存取金鑰被識別為可能遭到 Amazon 威脅情報入侵。
**預設嚴重性:高**
+ **功能:包含在**基礎資料來源保護中
**完整說明:**
此調查結果會通知您,與 AWS 您的帳戶相關聯的 IAM 存取金鑰已識別為可能遭到 Amazon 威脅情報入侵。然後,遭入侵的登入資料用於在您的 AWS 環境中叫用 API 操作。使用遭入侵的登入資料進行的 API 呼叫清單,以及每個呼叫的計數和時間戳記、涉及的存取金鑰和來源 IP 地址都包含在調查結果詳細資訊中。
Amazon 威脅情報會識別此調查結果中的登入資料洩露。透過使用模式 AWS 監控可能洩露的登入資料,並在觀察到使用此類登入資料時產生此調查結果。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## DefenseEvasion:IAMUser/AnomalousBehavior
### 用於逃避防禦措施的 API 調用方式異常。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包括單一 API 或一系列由單一[使用者身分](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)鄰近發出的相關 API 請求。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試掩蓋其追蹤與避免檢測。此類別中的 API 通常是刪除、停用或停止操作,例如 `DeleteFlowLogs`、`DisableAlarmActions` 或 `StopLogging`。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## DefenseEvasion:IAMUser/BedrockLoggingDisabled
### Amazon Bedrock 的日誌記錄已停用。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,已停用帳戶中 Bedrock 模型調用的日誌記錄。這可能是攻擊者嘗試隱藏惡意活動,例如資料外洩或濫用 AI 模型。停用日誌記錄功能會將傳送至模型的資料可見性及模型的使用方式移除。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Discovery:IAMUser/AnomalousBehavior
### 常用來探索資源的 API 調用方式異常。
**預設嚴重性:低**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包括單一 API 或一系列由單一[使用者身分](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)鄰近發出的相關 API 請求。當對手收集資訊以判斷您的 AWS 環境是否容易受到更廣泛的攻擊時,觀察到的 API 通常與攻擊的探索階段相關聯。此類別中的 API 通常是取得、描述或列出操作,例如 `DescribeInstances`、`GetRolePolicy` 或 `ListAccessKeys`。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Exfiltration:IAMUser/AnomalousBehavior
### 常用於從 AWS 環境收集資料的 API 是以異常方式叫用。
**預設嚴重性:高**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包括單一 API 或一系列由單一[使用者身分](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)鄰近發出的相關 API 請求。觀察到的 API 通常與外流策略有關,其中對手試圖使用封裝和加密,從您的網路收集資料以避免偵測。此調查結果類型的 API 僅為管理 (控制平面) 操作,通常與 S3、快照和資料庫相關,例如 `PutBucketReplication`、`CreateSnapshot` 或 `RestoreDBInstanceFromDBSnapshot`。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Impact:IAMUser/AnomalousBehavior
### 通常用於竄改 AWS 環境中資料或程序的 API 是以異常方式叫用。
**預設嚴重性:高**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包括單一 API 或一系列由單一[使用者身分](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)鄰近發出的相關 API 請求。觀察到的 API 通常與影響策略相關聯,其中對手嘗試中斷操作與操縱、中斷或銷毀帳戶中的資料。此調查結果類型的 API 通常為刪除、更新或 PUT 操作,例如 `DeleteSecurityGroup`、`UpdateUser` 或 `PutBucketPolicy`。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## InitialAccess:IAMUser/AnomalousBehavior
### 常用於未經授權存取 AWS 環境的 API 是以異常方式叫用。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包括單一 API 或一系列由單一[使用者身分](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)鄰近發出的相關 API 請求。當對手嘗試建置對您環境的存取權限時,觀察到的 API 通常與攻擊的初始存取階段相關聯。此類別中的 APIs通常是取得字符或工作階段操作,例如 `StartSession`或 `GetAuthorizationToken`。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## PenTest:IAMUser/KaliLinux
### 從 Kali Linux 機器叫用 API。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,執行 Kali Linux 的機器正在使用您環境中列出的 AWS 帳戶所屬的登入資料進行 API 呼叫。Kali Linux 是一種安全專業人員所使用的熱門滲透測試工具,以在需要修復的 EC2 執行個體中找出弱點。攻擊者也會使用此工具來尋找 EC2 組態弱點,並未經授權存取您的 AWS 環境。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## PenTest:IAMUser/ParrotLinux
### 已從 Parrot Security Linux 機器調用一個 API。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,執行 Parrot Security Linux 的機器正在使用您環境中列出的 AWS 帳戶所屬的登入資料進行 API 呼叫。Parrot Security Linux 是一種安全專業人員所使用的熱門滲透測試工具,以在需要修復的 EC2 執行個體中找出弱點。攻擊者也會使用此工具來尋找 EC2 組態弱點,並未經授權存取您的 AWS 環境。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## PenTest:IAMUser/PentooLinux
### 已從 Pentoo Linux 機器調用一個 API。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,執行 Pentoo Linux 的機器正在使用您環境中列出的 AWS 帳戶所屬的登入資料進行 API 呼叫。Pentoo Linux 是一種安全專業人員所使用的熱門滲透測試工具,以在需要修復的 EC2 執行個體中找出弱點。攻擊者也會使用此工具來尋找 EC2 組態弱點,並未經授權存取您的 AWS 環境。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Persistence:IAMUser/AnomalousBehavior
### 常用於維護未經授權存取 AWS 環境的 API 是以異常方式叫用。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包括單一 API 或一系列由單一[使用者身分](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)鄰近發出的相關 API 請求。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的環境的存取權限,並嘗試維護該存取權限。此類別中的 API 通常是建立、匯入或修改操作,例如 `CreateAccessKey`、`ImportKeyPair` 或 `ModifyInstanceAttribute`。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Policy:IAMUser/RootCredentialUsage
### 使用根使用者登入憑證調用 API。
**預設嚴重性:低**
+ **資料來源:**S3 的 CloudTrail 管理事件或 CloudTrail 資料事件
這個調查結果會通知您,列出的環境中的 AWS 帳戶 的根使用者登入憑證正用於向 AWS 服務提出請求。建議使用者永遠不要使用根使用者登入憑證來存取 AWS 服務。反之,應使用來自 AWS Security Token Service (STS) 的最低權限臨時登入資料來存取 AWS 服務。對於不支援 AWS STS 的情況,建議使用 IAM 使用者憑證。如需詳細資訊,請參閱 [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
**注意**
如果為帳戶啟用 S3 保護,則可能會產生此調查結果,以回應嘗試使用 的根使用者登入資料在 Amazon S3 資源上執行 S3 資料平面操作 AWS 帳戶。 Amazon S3 使用的 API 呼叫會列示在調查結果詳細資訊中。如果未啟用 S3 保護,則此調查結果只能由事件日誌 APIs觸發。如需 S3 保護的詳細資訊,請參閱 [S3 保護](s3-protection.md)。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Policy:IAMUser/ShortTermRootCredentialUsage
### 使用受限根使用者憑證調用 API。
**預設嚴重性:低**
+ **資料來源:**AWS CloudTrail S3 的管理事件或 AWS CloudTrail 資料事件
此調查結果會通知您,針對 AWS 帳戶 您環境中列出的 所建立的受限制使用者登入資料,正用於向 提出請求 AWS 服務。建議僅針對[需要根使用者憑證的任務使用根使用者憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
盡可能使用最低權限 IAM 角色搭配來自 AWS Security Token Service () 的臨時登入資料 AWS 服務 來存取AWS STS。對於 AWS STS 不支援 的案例,最佳實務是使用 IAM 使用者登入資料。如需詳細資訊,請參閱《[IAM 使用者指南》中的 IAM 中的安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)和[適用於 的根使用者最佳實務 AWS 帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)。 **
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## PrivilegeEscalation:IAMUser/AnomalousBehavior
### 常用於取得 AWS 環境高階許可的 API 是以異常方式叫用。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,在您的帳戶中觀察到異常的 API 請求。此調查結果可能包括單一 API 或一系列由單一[使用者身分](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)鄰近發出的相關 API 請求。觀察到的 API 通常與權限提升策略相關聯,其中對手嘗試取得環境的較更高層級許可。此類別中的 API 通常涉及變更 IAM 政策、角色和使用者的操作,例如 `AssociateIamInstanceProfile`、`AddUserToGroup` 或 `PutUserPolicy`。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 請求識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 API 要求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。有關對於調用要求的使用者身份而言,哪些是不常見 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Recon:IAMUser/MaliciousIPCaller
### 從已知惡意 IP 地址呼叫的 API。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,可列出或描述在您的環境內之帳戶中 AWS 資源的 API 操作,已從威脅清單中包含的 IP 地址被調用。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵察,以尋找更有價值的登入資料,或判斷他們已有的登入資料功能。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Recon:IAMUser/MaliciousIPCaller.Custom
### 從已知惡意 IP 地址呼叫的 API。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,可列出或描述在您的環境內之帳戶中 AWS 資源的 API 操作,已從自訂威脅清單中包含的 IP 地址被調用。使用的威脅清單會列在調查結果詳細資訊中。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵察,以尋找更有價值的登入資料,或判斷他們已有的登入資料功能。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Recon:IAMUser/TorIPCaller
### 從 Tor 退出節點的 IP 地址呼叫 API。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,可列出或描述在您的環境內之帳戶中 AWS 資源的 API 操作,已從 Tor 退出節點 IP 地址被調用。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。攻擊者會使用 Tor 遮罩他們的真實身分。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Stealth:IAMUser/CloudTrailLoggingDisabled
### AWS CloudTrail 記錄已停用。
**預設嚴重性:低**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您環境內的 CloudTrail 追蹤 AWS 已停用。這可能是攻擊者嘗試停用日誌,以透過消除對其活動的任何追蹤進而掩蓋其蹤跡,同時為了惡意目的而取得對您的 AWS 資源之存取權限。可以透過成功刪除或更新線索來觸發此調查結果。也可以透過成功刪除 S3 儲存貯體 (其存放與 GuardDuty 相關聯之線索的日誌) ,來觸發此調查結果。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Stealth:IAMUser/PasswordPolicyChange
### 帳戶密碼政策已減弱。
**預設嚴重性:低\$1**
**注意**
根據密碼政策變更的嚴重性,此問題清單的嚴重性可以是「低」、「中」或「高」。
+ **資料來源:**CloudTrail 管理事件
您 AWS 環境中列出的帳戶上的 AWS 帳戶密碼政策已弱化。例如,它已被刪除或更新為要求較少的字元、不需要符號和數字,或要求延長密碼過期時段。嘗試更新或刪除 AWS 您的帳戶密碼政策也會觸發此調查結果。 AWS 帳戶密碼政策會定義規則,以控管可為您的 IAM 使用者設定的密碼類型。較弱的密碼政策將允許建立易於記憶且可能更容易猜測的密碼,從而產生安全風險。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
### 已觀察到多個全球主控台成功登入。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您在不同的地理位置、同一時間觀察到同一個 IAM 使用者的多個成功控制台登入。這種異常和有風險的存取位置模式表示對 AWS 資源的可能未經授權存取。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
### 透過執行個體啟動角色專為 EC2 執行個體建立的憑證,正在從 AWS內的其他帳戶中使用。
**預設嚴重性:高\$1**
**注意**
此調查結果的預設嚴重性為「高」。不過,如果 API 是由與您的 AWS 環境相關聯的帳戶調用,則嚴重性為中等。
+ **資料來源:**S3 的 CloudTrail 管理事件或 CloudTrail 資料事件
此調查結果會通知您,Amazon EC2 執行個體憑證從 IP 位址或 Amazon VPC 端點調用 API,該 IP 位址所屬的 AWS 帳戶與關聯的 Amazon EC2 執行個體所執行的帳戶有所不同。VPC 端點偵測僅適用於支援 VPC 端點網路活動事件的服務。如需支援 VPC 端點網路活動事件的服務相關資訊,請參閱《*AWS CloudTrail 使用者指南*》中的[記錄網路活動事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-network-events-with-cloudtrail.html)。
AWS 不建議在建立臨時憑證的實體外部重新分配臨時憑證 (例如 AWS ,應用程式、Amazon EC2 或 AWS Lambda)。但是,授權的使用者可以從其 Amazon EC2 執行個體匯出憑證以進行合法的 API 呼叫。如果 `remoteAccountDetails.Affiliated` 欄位是從與相同管理員帳戶相關聯的帳戶叫用 `True` API。若要排除潛在的攻擊並驗證活動的合法性,請聯絡指派這些登入資料的 AWS 帳戶 擁有者或 IAM 主體。
**注意**
如果 GuardDuty 從遠端帳戶觀察到持續的活動,其機器學習 (ML) 模型會將其識別為預期行為。因此,GuardDuty 將針對該遠端帳戶的活動停止產生此調查結果。GuardDuty 將繼續對來自於其他遠端帳戶的新行為產生調查結果,並會隨著行為在一段時間內的變更而重新評估已學習的遠端帳戶。
**修復建議:**
使用 Amazon EC2 執行個體的工作階段憑證,在 外部 AWS 透過 Amazon EC2 執行個體提出 API 請求時 AWS AWS 帳戶,就會產生此調查結果。使用 AWS 服務端點透過單一中樞輸出 VPC 路由流量可能是慣例,例如中[樞中的 Transit Gateway 架構和輻條](https://docs.aws.amazon.com/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/transit-vpc-solution.html)組態。如果預期會發生此行為,GuardDuty 建議您使用 [隱藏規則](findings_suppression-rule.md) 並建立具有兩個篩選條件的規則。第一個準則是調查結果類型,在此案例中為 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS。第二個篩選準則是遠端帳戶詳細資訊的遠端帳戶 ID。
針對此調查結果,您可以使用下列工作流程來決定動作方案:
1. 從 `service.action.awsApiCallAction.remoteAccountDetails.accountId` 欄位識別涉及的遠端帳戶。
1. 從 `service.action.awsApiCallAction.remoteAccountDetails.affiliated` 欄位判斷該帳戶是否與您的 GuardDuty 環境相關聯。
1. 如果該帳戶**有**關聯,請聯絡遠端帳戶擁有者,以及 Amazon EC2 執行個體憑證的擁有者以進行調查。
如果該帳戶**無**關聯,那麼第一步是先評估該帳戶是否與您的組織相關聯,但不是您的 GuardDuty 多帳戶環境設定的一部分,或者此帳戶是否尚未啟用 GuardDuty。接著,請聯絡 Amazon EC2 執行個體憑證的擁有者,以判斷是否有使用案例,可供遠端帳戶使用這些憑證。
1. 如果憑證的擁有者無法辨識遠端帳戶,則憑證可能已遭到在 AWS內運作的威脅執行者入侵。您應該採取 中建議的步驟[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)來保護您的環境。
此外,您可以向 AWS 信任與安全團隊[提交濫用報告](https://support.aws.amazon.com/#/contacts/report-abuse),以開始對遠端帳戶進行調查。將您的報告提交至 AWS 信任與安全部門時,請包含問題清單的完整 JSON 詳細資訊。
## UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
### 透過執行個體啟動角色且專為 EC2 執行個體建立的登入資料,正在從外部 IP 地址使用。
**預設嚴重性:高**
+ **資料來源:**S3 的 CloudTrail 管理事件或 CloudTrail 資料事件
此調查結果會通知您, 以外的主機 AWS 已嘗試使用在您 AWS 環境中的 EC2 執行個體上建立的暫時 AWS 登入資料來執行 AWS API 操作。列出的 EC2 執行個體可能會遭到入侵,而且此執行個體的臨時憑證可能已滲透到 外部的遠端主機 AWS。 AWS 不建議在建立臨時憑證的實體 (例如 AWS 應用程式、EC2 或 Lambda) 外部重新分配臨時憑證。但是,授權的使用者可以從其 EC2 執行個體匯出憑證以進行合法的 API 呼叫。若要排除潛在攻擊並驗證活動的合法性,請驗證是否需要在調查結果中使用來自遠端 IP 的執行個體憑證。
**注意**
如果 GuardDuty 從遠端主機觀察到持續的活動,其機器學習 (ML) 模型會將其識別為預期行為。因此,GuardDuty 將針對該遠端主機的活動停止產生此調查結果。GuardDuty 將繼續對來自於其他遠端主機的新行為產生調查結果,並會隨著行為在一段時間內的變更而重新評估已學習的遠端主機。
**修復建議:**
當將網路設定為路由網際網路流量,使其從內部部署閘道而不是從 VPC 網際網路閘道 (IGW) 輸出時,就會產生此調查結果。一般組態 (例如使用 [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) 或 VPC VPN 連接) 可能會導致流量以這種方式路由。如果這是預期的行為,我們建議您使用抑制規則,並建立包含兩個篩選條件準則的規則。第一個條件是 **finding type (問題清單類型)**,應該是 `UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS`。第二個篩選條件是具有內部部署網際網路閘道 IP 地址或 CIDR 範圍的 **API 呼叫者 IPv4 地址**。若要進一步了解如何建立隱藏規則,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
**注意**
如果 GuardDuty 觀察來自外部來源的持續活動,則其機器學習模型會將其識別為預期行為,並停止針對來自於該來源的活動產生此調查結果。GuardDuty 將繼續對來自於其他來源的新行為產生調查結果,並會隨著行為在一段時間內的變更而重新評估已學習的來源。
如果此活動非預期,即代表您的登入資料可能已遭入侵,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/MaliciousIPCaller
### 從已知惡意 IP 地址呼叫的 API。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,API 操作 (例如,嘗試啟動 EC2 執行個體、建立新的 IAM 使用者,或修改 AWS 權限) 已從已知的惡意 IP 地址被調用。這可能表示未經授權存取您環境中 AWS 的資源。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址呼叫的 API。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,已從您上傳的威脅清單中包含的 IP 地址叫用 API 操作 (例如,嘗試啟動 EC2 執行個體、建立新的 IAM 使用者或修改 AWS 權限)。在 GuardDuty 中,威脅清單包含已知的惡意 IP 地址。這可能表示未經授權存取您環境中 AWS 的資源。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS
### 專門為 AWS Lambda 資源建立的登入資料是從 外部的 IP 地址使用 AWS。
**預設嚴重性:高**
+ **資料來源:**S3 的 CloudTrail 管理事件或 CloudTrail 資料事件
此調查結果會通知您, 外部的主機 AWS 嘗試使用在您 AWS 環境中 AWS Lambda 資源上建立的暫時 AWS 登入資料來執行 AWS API 操作。列出的 Lambda 資源可能會遭到入侵,而且來自此 Lambda 的臨時登入資料可能已滲透到 外部的遠端主機 AWS。
AWS 不建議在建立臨時憑證的實體外部重新分配臨時憑證 (例如 Amazon Elastic Compute Cloud (Amazon EC2) 或 等 AWS 應用程式 AWS Lambda)。但是,授權的使用者可以從其 Lambda 資源匯出憑證以進行合法的 API 呼叫。若要排除潛在攻擊並驗證活動的合法性,請驗證是否需要在調查結果中使用來自遠端 IP 的執行個體憑證。
**注意**
如果 GuardDuty 從遠端主機觀察到持續的活動,其機器學習 (ML) 模型會將其識別為預期行為。因此,GuardDuty 將針對該遠端主機的活動停止產生此調查結果。GuardDuty 將繼續對來自於其他遠端主機的新行為產生調查結果,並會隨著行為在一段時間內的變更而重新評估已學習的遠端主機。
**修復建議:**
當將網路設定為路由網際網路流量,使其從內部部署閘道而不是從 VPC 網際網路閘道 (IGW) 輸出時,就會產生此調查結果。一般組態 (例如使用 [AWS Outposts](https://docs.aws.amazon.com/outposts/latest/userguide/) 或 VPC VPN 連接) 可能會導致流量以這種方式路由。如果這是預期的行為,GuardDuty 建議使用 [隱藏規則](findings_suppression-rule.md)來建立具有兩個篩選條件的規則。第一個條件是 **finding type (問題清單類型)**,應該是 `UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS`。第二個篩選條件是具有內部部署網際網路閘道的 IP 位址或 CIDR 範圍的 **API 呼叫者 IPv4 位址**。
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需修復此調查結果類型的步驟資訊,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/TorIPCaller
### 從 Tor 退出節點的 IP 地址呼叫 API。
**預設嚴重性:中**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,API 操作 (例如,嘗試啟動 EC2 執行個體、建立新的 IAM 使用者,或修改 AWS 權限) 已從 Tor 退出節點 IP 地址被調用。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 AWS 資源有未經授權的存取,目的是隱藏攻擊者的真實身分。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
# GuardDuty 攻擊序列調查結果類型
當多個動作的特定序列符合潛在可疑活動時,GuardDuty 會偵測攻擊序列。攻擊序列包含**訊號**,例如 API 活動和 GuardDuty 調查結果。當 GuardDuty 在特定序列中觀察到一組訊號,其中指出進行中、持續中或最近的安全威脅時,GuardDuty 會產生攻擊序列問題清單。GuardDuty 會將個別 API 活動視為 ,[weak signals](guardduty_concepts.md#guardduty-weak-signals-attack-sequence)因為它們本身不會顯示為潛在的威脅。
攻擊序列偵測著重於對 Amazon S3 資料的潛在入侵 (可能是更廣泛的勒索軟體攻擊的一部分)、洩露的 AWS 憑證、洩露的 Amazon EKS 叢集、洩露的 Amazon ECS 叢集和洩露的 Amazon EC2 執行個體群組。以下各節提供每個攻擊序列的詳細資訊。
**Topics**
+ [AttackSequence:EKS/CompromisedCluster](#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:ECS/CompromisedCluster](#attack-sequence-ecs-compromised-cluster)
+ [AttackSequence:EC2/CompromisedInstanceGroup](#attack-sequence-ec2-compromised-instance-group)
+ [AttackSequence:IAM/CompromisedCredentials](#attack-sequence-iam-compromised-credentials)
+ [AttackSequence:S3/CompromisedData](#attack-sequence-s3-compromised-data)
## AttackSequence:EKS/CompromisedCluster
### 可能遭到入侵的 Amazon EKS 叢集所執行的一系列可疑動作。
+ 預設嚴重性:關鍵
+ 資料來源:
+ [EKS 稽核日誌事件](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html#guardduty_k8s-audit-logs)
+ [Amazon EKS 的執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-eks.html)
+ [Amazon EC2 的 Amazon EKS 惡意軟體偵測](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
+ [AWS CloudTrail S3 的資料事件](s3-protection.md#guardduty_s3dataplane)
+ [AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)
+ [VPC 流量日誌](guardduty_data-sources.md#guardduty_vpc)
+ [Route53 Resolver DNS 查詢日誌](guardduty_data-sources.md#guardduty_dns)
此調查結果會通知您,GuardDuty 偵測到一系列可疑動作,指出環境中可能遭到入侵的 Amazon EKS 叢集。在同一 Amazon EKS 叢集中觀察到多個可疑和異常的攻擊行為,例如惡意程序或與惡意端點的連線。
GuardDuty 使用其專有的相互關聯演算法來觀察和識別使用 IAM 憑證執行的動作序列。GuardDuty 會評估跨保護計畫和其他訊號來源的問題清單,以識別常見和新興的攻擊模式。GuardDuty 使用多種因素來浮現威脅,例如 IP 評價、API 序列、使用者組態和可能受影響的資源。
**修復動作**:如果此行為在您的環境中未預期,則 Amazon EKS 叢集可能會遭到入侵。如需完整的修補指引,請參閱 [修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)和 [修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
此外,由於 AWS 登入資料可能已透過 EKS 叢集遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。如需修復可能已受到影響之其他資源的步驟,請參閱 [修復偵測到的 GuardDuty 安全性問題清單](guardduty_remediate.md)。
## AttackSequence:ECS/CompromisedCluster
### 可能遭到入侵的 Amazon ECS 叢集所執行的一系列可疑動作。
+ 預設嚴重性:關鍵
+ 資料來源:
+ [Amazon ECS Fargate 的執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ecs-fargate.html)
+ [Amazon ECS 中 EC2 執行個體的執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
+ [ 適用於 Amazon EC2 的 GuardDuty 惡意軟體防護](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
此調查結果會通知您,GuardDuty 偵測到一系列可疑訊號,指出環境中可能遭到入侵的 Amazon ECS 叢集。這些訊號可能包括惡意程序、與惡意端點的通訊,或加密貨幣挖掘行為。
GuardDuty 使用專有的相互關聯演算法和多個偵測因素來識別 Amazon ECS 叢集內可疑動作的序列。透過跨保護計畫和各種訊號來源的分析,GuardDuty 可識別常見和新興的攻擊模式,提供對潛在入侵的高可信度偵測。
**修復動作**:如果此行為在您的環境中未預期,您的 Amazon ECS 叢集可能會遭到入侵。如需威脅遏制建議,請參閱 [修復可能遭到入侵的 ECS 叢集](compromised-ecs.md)。請注意,入侵可能延伸至一或多個 ECS 任務或容器工作負載,這些任務或容器工作負載可用來建立或修改 AWS 資源。如需涵蓋潛在受影響資源的完整修補指引,請參閱 [修復偵測到的 GuardDuty 安全性問題清單](guardduty_remediate.md)。
## AttackSequence:EC2/CompromisedInstanceGroup
### 一系列可疑動作,指出可能遭到入侵的 Amazon EC2 執行個體。
+ 預設嚴重性:關鍵
+ 資料來源:
+ [Amazon EC2 的執行期監控](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-ec2.html)
+ [ Amazon EC2 的惡意軟體偵測](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)
+ [VPC 流量日誌](guardduty_data-sources.md#guardduty_vpc)
+ [Route53 Resolver DNS 查詢日誌](guardduty_data-sources.md#guardduty_dns)
此調查結果指出 GuardDuty 偵測到一系列可疑動作,顯示環境中的一組 Amazon EC2 執行個體可能遭到入侵。執行個體群組通常代表透過infrastructure-as-code管理的應用程式,共用類似的組態,例如自動擴展群組、IAM 執行個體描述檔角色、 AWS CloudFormation 堆疊、Amazon EC2 啟動範本、AMI 或 VPC ID。GuardDuty 在一或多個執行個體中觀察到多個可疑行為,包括:
+ 惡意程序
+ 惡意檔案
+ 可疑的網路連線
+ 加密貨幣挖掘活動
+ 可疑使用 Amazon EC2 執行個體登入資料
**偵測方法**:GuardDuty 使用專有的相互關聯演算法來識別 Amazon EC2 執行個體內的可疑動作序列。透過評估跨保護計畫和各種訊號來源的問題清單,GuardDuty 會使用 IP 和網域評價以及可疑執行程序等多種因素來識別攻擊模式。
**修復動作**:如果此行為在您的環境中未預期,您的 Amazon EC2 執行個體可能會遭到入侵。入侵可能涉及:
+ 多個程序
+ 可能已用於修改 Amazon EC2 執行個體或其他 AWS 資源的執行個體登入資料
如需威脅遏制建議,請參閱 [修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。請注意,入侵可能延伸至一或多個 Amazon EC2 執行個體,並涉及已用於建立或修改 Amazon EC2 執行個體或其他 AWS 資源的遭入侵程序或執行個體登入資料。如需涵蓋潛在受影響資源的完整修補指引,請參閱 [修復偵測到的 GuardDuty 安全性問題清單](guardduty_remediate.md)。
## AttackSequence:IAM/CompromisedCredentials
### 使用可能遭到入侵的 AWS 登入資料調用的一系列 API 請求。
+ 預設嚴重性:關鍵
+ 資料來源: [AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)
此調查結果會通知您,GuardDuty 偵測到一系列使用會影響您環境中一或多個資源的 AWS 登入資料所採取的可疑動作。相同的登入資料觀察到多個可疑和異常的攻擊行為,導致對登入資料遭到濫用的信心更高。
GuardDuty 使用其專有的相互關聯演算法來觀察和識別使用 IAM 憑證執行的動作序列。GuardDuty 會評估跨保護計畫和其他訊號來源的問題清單,以識別常見和新興的攻擊模式。GuardDuty 使用多種因素來浮現威脅,例如 IP 評價、API 序列、使用者組態和可能受影響的資源。
**修復動作**:如果此行為在您的環境中未預期,則您的 AWS 登入資料可能已遭到入侵。如需修復的步驟,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。遭入侵的登入資料可能已用於在您的環境中建立或修改其他資源,例如 Amazon S3 儲存貯體、 AWS Lambda 函數或 Amazon EC2 執行個體。如需修復可能已受到影響之其他資源的步驟,請參閱 [修復偵測到的 GuardDuty 安全性問題清單](guardduty_remediate.md)。
## AttackSequence:S3/CompromisedData
### 在 Amazon S3 中可能嘗試竊取或銷毀資料時,調用一系列 API 請求。
+ 預設嚴重性:關鍵
+ 資料來源: [AWS CloudTrail S3 的資料事件](s3-protection.md#guardduty_s3dataplane)和 [AWS CloudTrail 管理事件](guardduty_data-sources.md#guardduty_controlplane)
此調查結果會通知您,GuardDuty 偵測到一系列可疑動作,指出一或多個 Amazon Simple Storage Service (Amazon S3) 儲存貯體中的資料遭到入侵,方法是使用可能遭到 AWS 入侵的登入資料。觀察到多個可疑和異常攻擊行為 (API 請求),導致對登入資料的更有信心遭到濫用。
GuardDuty 使用其相互關聯演算法來觀察和識別使用 IAM 登入資料執行的動作順序。然後,GuardDuty 會評估跨保護計劃和其他訊號來源的問題清單,以識別常見和新興的攻擊模式。GuardDuty 使用多種因素來浮現威脅,例如 IP 評價、API 序列、使用者組態和可能受影響的資源。
**修復動作**:如果此活動在您的環境中未預期,您的 AWS 登入資料或 Amazon S3 資料可能會遭到洩漏或銷毀。如需修復的步驟,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)和 [修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
# GuardDuty S3 保護調查結果類型
下列調查結果針對 Amazon S3 資源,如果資料來源是**適用於 S3 的 CloudTrail 資料事件**,**資源類型**將為 `S3Bucket`,如果資料來源是 **CloudTrail 管理事件**,則為 `AccessKey`。問題清單的嚴重性和詳細資訊,依問題清單類型以及與該儲存貯體相關聯的許可而有所不同。
此處列出的調查結果包括用來產生該調查結果類型的資料來源和模型。如需有關資料來源和模型的詳細資訊,請參閱[GuardDuty 基礎資料來源](guardduty_data-sources.md)。
**重要**
只有在您啟用 ** S3 保護時,才會產生具有 S3 CloudTrail 資料事件資料來源的問題**清單。 S3 根據預設,在 2020 年 7 月 31 日之後,當帳戶第一次啟用 GuardDuty,或委派的 GuardDuty 管理員帳戶在現有成員帳戶中啟用 GuardDuty 時,會啟用 S3 保護。不過,當新成員加入 GuardDuty 組織時,將套用組織的自動啟用偏好設定。如需自動啟用偏好設定的詳細資訊,請參閱 [設定組織自動啟用偏好設定](set-guardduty-auto-enable-preferences.md)。如需如何啟用 S3 保護的資訊,請參閱 [GuardDuty S3 保護](s3-protection.md)
對於所有 `S3Bucket` 類型的調查結果,建議您檢查有問題儲存貯體的許可,以及與調查結果涉及之任何使用者的許可,如果活動是非預期的結果,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)中詳細說明的修復建議。
**Topics**
+ [Discovery:S3/AnomalousBehavior](#discovery-s3-anomalousbehavior)
+ [Discovery:S3/MaliciousIPCaller](#discovery-s3-maliciousipcaller)
+ [Discovery:S3/MaliciousIPCaller.Custom](#discovery-s3-maliciousipcallercustom)
+ [Discovery:S3/TorIPCaller](#discovery-s3-toripcaller)
+ [Exfiltration:S3/AnomalousBehavior](#exfiltration-s3-anomalousbehavior)
+ [Exfiltration:S3/MaliciousIPCaller](#exfiltration-s3-maliciousipcaller)
+ [Impact:S3/AnomalousBehavior.Delete](#impact-s3-anomalousbehavior-delete)
+ [Impact:S3/AnomalousBehavior.Permission](#impact-s3-anomalousbehavior-permission)
+ [Impact:S3/AnomalousBehavior.Write](#impact-s3-anomalousbehavior-write)
+ [Impact:S3/MaliciousIPCaller](#impact-s3-maliciousipcaller)
+ [PenTest:S3/KaliLinux](#pentest-s3-kalilinux)
+ [PenTest:S3/ParrotLinux](#pentest-s3-parrotlinux)
+ [PenTest:S3/PentooLinux](#pentest-s3-pentoolinux)
+ [Policy:S3/AccountBlockPublicAccessDisabled](#policy-s3-accountblockpublicaccessdisabled)
+ [Policy:S3/BucketAnonymousAccessGranted](#policy-s3-bucketanonymousaccessgranted)
+ [Policy:S3/BucketBlockPublicAccessDisabled](#policy-s3-bucketblockpublicaccessdisabled)
+ [Policy:S3/BucketPublicAccessGranted](#policy-s3-bucketpublicaccessgranted)
+ [Stealth:S3/ServerAccessLoggingDisabled](#stealth-s3-serveraccessloggingdisabled)
+ [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](#unauthorizedaccess-s3-maliciousipcallercustom)
+ [UnauthorizedAccess:S3/TorIPCaller](#unauthorizedaccess-s3-toripcaller)
## Discovery:S3/AnomalousBehavior
### 以異常方式調用通常用來探索 S3 物件的 API。
**預設嚴重性:低**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,IAM 實體已調用 S3 API,來探索環境中的 S3 儲存貯體,例如 `ListObjects`。這種類型的活動與攻擊的探索階段相關聯,攻擊者會收集資訊來判斷您的 AWS 環境是否容易受到更廣泛的攻擊。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,沒有先前歷史記錄的 IAM 實體會調用 S3 API,或者 IAM 實體會從不尋常的位置調用 S3 API。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用之技術相關聯的異常事件。ML 模型會追蹤 API 請求的各種因素,例如提出請求的使用者、發出請求的位置、請求的特定 API、請求的儲存貯體,以及發出的 API 呼叫次數。對於調用請求的使用者身分而言,如需哪些是不尋常之 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Discovery:S3/MaliciousIPCaller
### 從已知的惡意 IP 地址調用常用來探索 AWS 環境中資源的 S3 API。
**預設嚴重性:高**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,已從與已知惡意活動關聯的 IP 地址調用 S3 API 操作。當對手收集您 AWS 環境的相關資訊時,觀察到的 API 通常與攻擊的探索階段相關聯。範例包括 `GetObjectAcl` 和 `ListObjects`。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Discovery:S3/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用的 S3 API。
**預設嚴重性:高**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,已從您上傳的威脅清單上所包含的 IP 地址調用 S3 API (例如 `GetObjectAcl` 或 `ListObjects`)。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。這類活動與攻擊的探索階段相關聯,攻擊者會在此階段收集資訊,以判斷 AWS 環境是否容易受到更廣泛的攻擊。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Discovery:S3/TorIPCaller
### 從 Tor 退出節點的 IP 地址調用 S3 API。
**預設嚴重性:中**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 S3 API (例如 `GetObjectAcl` 或 `ListObjects`)。這種類型的活動與攻擊的探索階段相關聯,其中攻擊者正在收集資訊,以判斷您的 AWS 環境是否容易受到更廣泛的攻擊。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示未經授權存取您的 AWS 資源,目的是隱藏攻擊者的真實身分。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Exfiltration:S3/AnomalousBehavior
### IAM 實體以可疑的方式調用 S3 API。
**預設嚴重性:高**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,IAM 實體正在發出涉及 S3 儲存貯體的 API 呼叫,且此活動與該實體建立的基準不同。此活動中使用的 API 呼叫與攻擊的洩漏階段相關聯,攻擊者會在此階段嘗試收集資料。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,沒有先前歷史記錄的 IAM 實體會調用 S3 API,或者 IAM 實體會從不尋常的位置調用 S3 API。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用之技術相關聯的異常事件。ML 模型會追蹤 API 請求的各種因素,例如提出請求的使用者、發出請求的位置、請求的特定 API、請求的儲存貯體,以及發出的 API 呼叫次數。對於調用請求的使用者身分而言,如需哪些是不尋常之 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Exfiltration:S3/MaliciousIPCaller
### 通常用於從 AWS 環境收集資料的 S3 API 是從已知的惡意 IP 地址叫用。
**預設嚴重性:高**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,已從與已知惡意活動關聯的 IP 地址調用 S3 API 操作。觀察到的 API 通常與外洩策略有關,其中對手試圖從您的網路收集資料。範例包括 `GetObject` 和 `CopyObject`。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Impact:S3/AnomalousBehavior.Delete
### IAM 實體調用了嘗試以可疑方式刪除資料的 S3 API。
**預設嚴重性:高**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,您 AWS 環境中的 IAM 實體正在進行涉及 S3 儲存貯體的 API 呼叫,且此行為與該實體已建立的基準不同。此活動中使用的 API 呼叫與嘗試刪除資料的攻擊相關聯。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,沒有先前歷史記錄的 IAM 實體會調用 S3 API,或者 IAM 實體會從不尋常的位置調用 S3 API。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用之技術相關聯的異常事件。ML 模型會追蹤 API 請求的各種因素,例如提出請求的使用者、發出請求的位置、請求的特定 API、請求的儲存貯體,以及發出的 API 呼叫次數。對於調用請求的使用者身分而言,如需哪些是不尋常之 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
我們建議您稽核 S3 儲存貯體的內容,以判斷您是否可以還原先前的物件版本。
## Impact:S3/AnomalousBehavior.Permission
### 以異常方式調用通常在設定存取控制清單 (ACL) 許可所用的 API。
**預設嚴重性:高**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,您 AWS 環境中的 IAM 實體已更新列出的 S3 儲存貯體上的儲存貯體政策或 ACL。此變更可能會公開您的 S3 儲存貯體給所有已驗證 AWS 的使用者。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用之技術相關聯的異常事件。ML 模型會追蹤 API 請求的各種因素,例如提出請求的使用者、發出請求的位置、請求的特定 API、請求的儲存貯體,以及發出的 API 呼叫次數。對於調用請求的使用者身分而言,如需哪些是不尋常之 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
我們建議您稽核 S3 儲存貯體的內容,以確保不會以非預期的方式允許公開存取所有物件。
## Impact:S3/AnomalousBehavior.Write
### IAM 實體調用了嘗試以可疑方式寫入資料的 S3 API。
**預設嚴重性:中**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,您 AWS 環境中的 IAM 實體正在進行涉及 S3 儲存貯體的 API 呼叫,且此行為與該實體已建立的基準不同。此活動中使用的 API 呼叫與嘗試寫入資料的攻擊相關聯。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,沒有先前歷史記錄的 IAM 實體會調用 S3 API,或者 IAM 實體會從不尋常的位置調用 S3 API。
GuardDuty 異常偵測機器學習 (ML) 模型將此 API 識別為異常。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用之技術相關聯的異常事件。ML 模型會追蹤 API 請求的各種因素,例如提出請求的使用者、發出請求的位置、請求的特定 API、請求的儲存貯體,以及發出的 API 呼叫次數。對於調用請求的使用者身分而言,如需哪些是不尋常之 API 請求的詳細資訊,請參閱[調查結果詳細資訊](https://docs.aws.amazon.com//guardduty/latest/ug/guardduty_findings-summary.html#finding-anomalous)。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
我們建議您稽核 S3 儲存貯體的內容,以確保此 API 呼叫不會寫入惡意或未經授權的資料。
## Impact:S3/MaliciousIPCaller
### 從已知的惡意 IP 地址調用常用來竄改 AWS 環境中資料或程序的 S3 API。
**預設嚴重性:高**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,已從與已知惡意活動關聯的 IP 地址調用 S3 API 操作。觀察到的 API 通常與影響策略相關聯,其中對手正在嘗試操縱、中斷或銷毀 AWS 環境中的資料。範例包括 `PutObject` 和 `PutObjectAcl`。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## PenTest:S3/KaliLinux
### 已從 Kali Linux 機器調用 S3 API。
**預設嚴重性:中**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,執行 Kali Linux 的機器正在使用屬於您 AWS 帳戶的登入資料進行 S3 API 呼叫。您的憑證可能已遭洩漏。Kali Linux 是一種安全專業人員所使用的熱門滲透測試工具,以在需要修復的 EC2 執行個體中找出弱點。攻擊者也會使用此工具來尋找 EC2 組態弱點,並未經授權存取您的 AWS 環境。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## PenTest:S3/ParrotLinux
### 已從 Parrot Security Linux 機器調用 S3 API。
**預設嚴重性:中**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,執行 Parrot Security Linux 的機器正在使用屬於您 AWS 帳戶的登入資料進行 S3 API 呼叫。您的憑證可能已遭洩漏。Parrot Security Linux 是一種安全專業人員所使用的熱門滲透測試工具,以在需要修復的 EC2 執行個體中找出弱點。攻擊者也會使用此工具來尋找 EC2 組態的弱點,並以未授權的方式存取您的 AWS 環境。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## PenTest:S3/PentooLinux
### 已從 Pentoo Linux 機器調用 S3 API。
**預設嚴重性:中**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,執行 Pentoo Linux 的機器正在使用屬於您 AWS 帳戶的登入資料進行 S3 API 呼叫。您的憑證可能已遭洩漏。Pentoo Linux 是一種安全專業人員所使用的熱門滲透測試工具,以在需要修復的 EC2 執行個體中找出弱點。攻擊者也會使用此工具來尋找 EC2 組態弱點,並未經授權存取您的 AWS 環境。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Policy:S3/AccountBlockPublicAccessDisabled
### IAM 實體調用的 API,會用於停用帳戶上的 S3 封鎖公開存取。
**預設嚴重性:低**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,Amazon S3 封鎖公開存取已在帳戶層級停用。啟用 S3 封鎖公開存取時,可將其設定為篩選儲存貯體上的政策或存取控制清單 (ACL) 作為安全措施,以防止資料不慎公開曝光。
一般而言,帳戶中的 S3 封鎖公開存取會關閉,以允許公開存取儲存貯體或儲存貯體中的物件。當帳戶停用 S3 封鎖公開存取時,對儲存貯體的存取將由套用至個別儲存貯體的政策、ACL 或儲存貯體層級封鎖公開存取設定所控制。這並不表示儲存貯體是公開共用的,但您應該稽核向儲存貯體套用的政策和 ACL,以確認其提供的是適當的許可層級。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Policy:S3/BucketAnonymousAccessGranted
### IAM 主體已透過變更儲存貯體政策或 ACL,授予 S3 儲存貯體網際網路的存取權限。
**預設嚴重性:高**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,列出的 S3 儲存貯體已在網際網路上設為可供公開存取,因為 IAM 實體已變更該儲存貯體上的儲存貯體政策或 ACL。
偵測到政策或 ACL 變更後,GuardDuty 會使用 [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) 提供的自動推理,判斷儲存貯體是否可公開存取。
**注意**
如果儲存貯體的 ACL 或儲存貯體政策設定為明確拒絕或全部拒絕,則此調查結果可能不會反映儲存貯體目前的狀態。此調查結果不會反映可能已為 S3 儲存貯體啟用的任何 [S3 封鎖公開存取](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)設定。在這種情況下,調查結果中的 `effectivePermission` 值將標記為 `UNKNOWN`。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Policy:S3/BucketBlockPublicAccessDisabled
### IAM 主體調用的 API,會用於停用儲存貯體上的 S3 封鎖公開存取。
**預設嚴重性:低**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,已針對列出的 S3 儲存貯體停用封鎖公開存取。啟用時,S3 封鎖公開存取設定可用於篩選向儲存貯體套用的政策或存取控制清單 (ACL) 作為安全措施,以防止資料不慎公開曝光。
一般而言,儲存貯體上的 S3 封鎖公開存取會關閉,以允許公開存取儲存貯體或儲存貯體中的物件。由於儲存貯體的 S3 封鎖公開存取現已停用,因此套用至此儲存貯體的任何政策或 ACL 都會控制對此儲存貯體的存取。這並不表示儲存貯體是公開共用的,但您應該稽核套用到儲存貯體的政策和 ACL,以確認套用適當的許可。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Policy:S3/BucketPublicAccessGranted
### IAM 主體已透過變更儲存貯體政策或 ACL,將 S3 儲存貯體的公開存取權授予 AWS 所有使用者。 ACLs
**預設嚴重性:高**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您,列出的 S3 儲存貯體已公開給所有已驗證 AWS 的使用者,因為 IAM 實體已變更該 S3 儲存貯體上的儲存貯體政策或 ACL。
偵測到政策或 ACL 變更後,GuardDuty 會使用 [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) 提供的自動推理,判斷儲存貯體是否可公開存取。
**注意**
如果儲存貯體的 ACL 或儲存貯體政策設定為明確拒絕或全部拒絕,則此調查結果可能不會反映儲存貯體目前的狀態。此調查結果不會反映可能已為 S3 儲存貯體啟用的任何 [S3 封鎖公開存取](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)設定。在這種情況下,調查結果中的 `effectivePermission` 值將標記為 `UNKNOWN`。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Stealth:S3/ServerAccessLoggingDisabled
### 儲存貯體的 S3 伺服器存取記錄已停用。
**預設嚴重性:低**
+ **資料來源:**CloudTrail 管理事件
此調查結果會通知您, AWS 您環境中儲存貯體的 S3 伺服器存取記錄已停用。如果停用,則不會為任何嘗試存取已識別的 S3 儲存貯體建立 Web 請求日誌,但仍會追蹤儲存貯體 (例如 [DeleteBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)) 的 S3 管理 API 呼叫。如果透過 CloudTrail 針對此儲存貯體啟用 S3 資料事件記錄,則仍會追蹤該儲存貯體內物件的 Web 請求。停用記錄是未經授權的使用者用來逃避偵測的技術。若要進一步了解 S3 日誌,請參閱 [S3 伺服器存取記錄](https://docs.aws.amazon.com/AmazonS3/latest/dev/ServerLogs.html)和 [S3 記錄選項](https://docs.aws.amazon.com/AmazonS3/latest/userguide/logging-with-S3.html)。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## UnauthorizedAccess:S3/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用的 S3 API。
**預設嚴重性:高**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,已從您上傳的威脅清單上所包含的 IP 地址調用 S3 API 操作 (例如 `PutObject` 或 `PutObjectAcl`)。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## UnauthorizedAccess:S3/TorIPCaller
### 從 Tor 退出節點的 IP 地址調用 S3 API。
**預設嚴重性:高**
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 S3 API 操作 (例如 `PutObject` 或 `PutObjectAcl`)。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。此調查結果可能表示未經授權存取您的 AWS 資源,目的是隱藏攻擊者的真實身分。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
# EKS 保護調查結果類型
下列調查結果是 Amazon EKS 資源特有的,並具有 的 **resource\$1type**`EKSCluster`。調查結果的嚴重性和詳細資訊依據調查結果類型而有所不同。
對於所有 EKS 稽核日誌類型調查結果,我們建議您檢查有問題的資源,以判斷活動是否預期或潛在惡意。如需修復 GuardDuty 調查結果所識別遭入侵的 EKS 稽核日誌資源的指引,請參閱 [修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
**注意**
如果預期有此活動 (因其產生這些調查結果),請考慮新增 [GuardDuty 中的隱藏規則](findings_suppression-rule.md) 以防止未來出現警報。
**Topics**
+ [CredentialAccess:Kubernetes/MaliciousIPCaller](#credentialaccess-kubernetes-maliciousipcaller)
+ [CredentialAccess:Kubernetes/MaliciousIPCaller.Custom](#credentialaccess-kubernetes-maliciousipcallercustom)
+ [CredentialAccess:Kubernetes/SuccessfulAnonymousAccess](#credentialaccess-kubernetes-successfulanonymousaccess)
+ [CredentialAccess:Kubernetes/TorIPCaller](#credentialaccess-kubernetes-toripcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller](#defenseevasion-kubernetes-maliciousipcaller)
+ [DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom](#defenseevasion-kubernetes-maliciousipcallercustom)
+ [DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess](#defenseevasion-kubernetes-successfulanonymousaccess)
+ [DefenseEvasion:Kubernetes/TorIPCaller](#defenseevasion-kubernetes-toripcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller](#discovery-kubernetes-maliciousipcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](#discovery-kubernetes-maliciousipcallercustom)
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](#discovery-kubernetes-successfulanonymousaccess)
+ [Discovery:Kubernetes/TorIPCaller](#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller](#impact-kubernetes-maliciousipcaller)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](#impact-kubernetes-maliciousipcallercustom)
+ [Impact:Kubernetes/SuccessfulAnonymousAccess](#impact-kubernetes-successfulanonymousaccess)
+ [Impact:Kubernetes/TorIPCaller](#impact-kubernetes-toripcaller)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](#persistence-kubernetes-containerwithsensitivemount)
+ [Persistence:Kubernetes/MaliciousIPCaller](#persistence-kubernetes-maliciousipcaller)
+ [Persistence:Kubernetes/MaliciousIPCaller.Custom](#persistence-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/SuccessfulAnonymousAccess](#persistence-kubernetes-successfulanonymousaccess)
+ [Persistence:Kubernetes/TorIPCaller](#persistence-kubernetes-toripcaller)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/AnonymousAccessGranted](#policy-kubernetes-anonymousaccessgranted)
+ [Policy:Kubernetes/ExposedDashboard](#policy-kubernetes-exposeddashboard)
+ [Policy:Kubernetes/KubeflowDashboardExposed](#policy-kubernetes-kubeflowdashboardexposed)
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](#privilegeescalation-kubernetes-privilegedcontainer)
+ [CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed](#credaccess-kubernetes-anomalousbehavior-secretsaccessed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated](#privesc-kubernetes-anomalousbehavior-rolebindingcreated)
+ [Execution:Kubernetes/AnomalousBehavior.ExecInPod](#execution-kubernetes-anomalousbehvaior-execinprod)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer](#privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer)
+ [Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount](#privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount)
+ [Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed](#exec-kubernetes-anomalousbehavior-workloaddeployed)
+ [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated](#privesc-kubernetes-anomalousbehavior-rolecreated)
+ [Discovery:Kubernetes/AnomalousBehavior.PermissionChecked](#discovery-kubernetes-anomalousbehavrior-permissionchecked)
**注意**
在 Kubernetes 版本 1.14 之前,`system:unauthenticated` 群組預設與 `system:discovery` 和 `system:basic-user` **ClusterRoles**相關聯。此關聯可能會允許匿名使用者的非預期存取。叢集更新不會撤銷這些許可。即使您將叢集更新至 1.14 或更高版本,仍可能會啟用這些權限。建議您取消這些許可與 `system:unauthenticated` 群組的關聯。如需撤銷這些許可的指引,請參閱《[Amazon EKS 使用者指南》中的 Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。 **
## CredentialAccess:Kubernetes/MaliciousIPCaller
### 從已知的惡意 IP 地址調用了 Kubernetes 叢集中常用來存取憑證或秘密的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用了常用來存取 Kubernetes 叢集中之憑證或秘密的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。
**修復建議:**
如果 `KubernetesUserDetails`區段下的調查結果中報告的使用者是 `system:anonymous`,請根據 [Amazon EKS 使用者指南中 Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)的指示,調查允許匿名使用者叫用 API **的原因,並視需要撤銷許可。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/SuccessfulAnonymousAccess
### 未經驗證的使用者調用 Kubernetes 叢集中常用來存取憑證或秘密的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,`system:anonymous` 使用者已成功調用 API 操作。由 `system:anonymous` 進行的 API 呼叫未經驗證。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
**修復建議:**
您應該檢查已向叢集上 `system:anonymous` 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/TorIPCaller
### 從 Tor 退出節點 IP 地址調用一個常用來存取 Kubernetes 叢集中之憑證或秘密的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與對手嘗試為 Kubernetes 叢集收集密碼、使用者名稱和存取金鑰的憑證存取策略相關聯。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示您的 Kubernetes 叢集資源有未經授權的存取,目的是隱藏攻擊者的真實身分。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/MaliciousIPCaller
### 從已知的惡意 IP 地址調用的常用來逃避防禦措施的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用常用來逃避防禦措施的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess
### 由經驗證使用者調用常用來逃避防禦措施的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,`system:anonymous` 使用者已成功調用 API 操作。由 `system:anonymous` 進行的 API 呼叫未經驗證。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
**修復建議:**
您應該檢查已向叢集上 `system:anonymous` 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## DefenseEvasion:Kubernetes/TorIPCaller
### 從 Tor 退出節點 IP 地址調用的常用來逃避防禦措施的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與防禦逃稅策略有關,其中對手嘗試隱藏其行動以避免檢測。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後一個 Tor 節點稱為結束節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/MaliciousIPCaller
### 從 IP 地址調用常用來探索在 Kubernetes 叢集中之資源的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊以確定您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。
**對於未驗證的存取**
MaliciousIPCaller 問題清單不會針對未驗證的存取產生。
SuccessfulAnonymousAccess 問題清單會針對未經驗證或匿名存取產生。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用常用來探索在 Kubernetes 叢集中之資源的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從您上傳的威脅清單上所包含的 IP 地址調用 API。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。觀察到的 API 常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊以確定您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/SuccessfulAnonymousAccess
### 未經驗證的使用者調用 Kubernetes 叢集中常用來探索資源的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,`system:anonymous` 使用者已成功調用 API 操作。由 `system:anonymous` 進行的 API 呼叫未經驗證。當對手在您的 Kubernetes 叢集上收集資訊時,觀察到的 API 通常與攻擊的探索階段相關聯。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
此調查結果類型不包括運作狀態檢查 API 端點`/livez`,例如 `/healthz`、`/readyz`、 和 `/version`。
**修復建議:**
您應該檢查已向叢集上 `system:anonymous` 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Discovery:Kubernetes/TorIPCaller
### 從 Tor 退出節點 IP 地址調用常用來探索在 Kubernetes 叢集中之資源的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 常與攻擊的探索階段搭配使用,其中攻擊者正在收集資訊以確定您的 Kubernetes 叢集是否容易受到更廣泛的攻擊。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後一個 Tor 節點稱為結束節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。
**修復建議:**
如果 `KubernetesUserDetails`區段下的調查結果中報告的使用者是 `system:anonymous`,請根據 [Amazon EKS 使用者指南中的 Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的指示,調查匿名使用者為何被允許叫用 APIand在必要時撤銷許可。 **如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Execution:Kubernetes/ExecInKubeSystemPod
### 命令已在 `kube-system` 命名空間中的 Pod 內執行
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您使用 **Kubernetes exec API** 在 `kube-system` 命名空間內的 Pod 中執行的命令。`kube-system` 命名空間為預設的命名空間,主要用於系統層級元件,例如 `kube-dns` 和 `kube-proxy`。在 `kube-system` 命名空間下的 Pod 或容器內執行命令的情控非常罕見,並且可能表示可疑活動。
**修復建議:**
如果未預期執行此命令,用於執行命令的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/MaliciousIPCaller
### 從已知的惡意 IP 地址調用了 Kubernetes 叢集中常用來竄改資源的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與對手嘗試操縱、中斷或銷毀 AWS 環境中資料的影響策略相關聯。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用常用來竄改在 Kubernetes 叢集中之資源的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。觀察到的 API 通常與對手嘗試操縱、中斷或銷毀 AWS 環境中資料的影響策略相關聯。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/SuccessfulAnonymousAccess
### 未經驗證的使用者調用 Kubernetes 叢集中常用來竄改資源的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,`system:anonymous` 使用者已成功調用 API 操作。由 `system:anonymous` 進行的 API 呼叫未經驗證。當對手竄改叢集中的資源時,觀察到的 API 通常與攻擊的影響階段相關聯。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
**修復建議:**
您應該檢查已向叢集上 `system:anonymous` 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Impact:Kubernetes/TorIPCaller
### 從 Tor 退出節點 IP 地址調用常用來竄改在 Kubernetes 叢集中之資源的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與影響策略相關聯,其中對手嘗試操縱、中斷或銷毀 AWS 環境中的資料。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後一個 Tor 節點稱為結束節點。這可能表示您的 Kubernetes 叢集有未經授權的存取,目的是隱藏對手的真實身分。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/ContainerWithSensitiveMount
### 啟動了一個容器,其中掛載了敏感的外部主機路徑。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您已啟動容器,其組態包含在 `volumeMounts` 區段中具有寫入存取權限的敏感主機路徑。這使得敏感的主機路徑可從容器內部存取和寫入。這種技術通常被對手用來存取主機的檔案系統。
**修復建議:**
如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果此容器啟動為預期的結果,建議您根據 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 欄位使用篩選條件準則組成的抑制規則。在篩選條件準則中,`imagePrefix` 欄位應與調查結果中指定的 `imagePrefix` 相同。若要進一步了解有關建立隱藏規則的資訊,請參閱[隱藏規則](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule)。
## Persistence:Kubernetes/MaliciousIPCaller
### 從已知的惡意 IP 地址調用常用來取得 Kubernetes 叢集持續存取權限的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從與已知惡意活動關聯的 IP 地址調用了 API 操作。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的 Kubernetes 叢集的存取權限,並嘗試維護該存取權限。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/MaliciousIPCaller.Custom
### 從自訂威脅清單上的 IP 地址調用常用來取得 Kubernetes 叢集持續存取權限的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,從您上傳的威脅清單上所包含的 IP 地址調用了 API 操作。與此調查結果相關聯的威脅清單會列在調查結果詳細資訊的**其他資訊**區段中。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的 Kubernetes 叢集的存取權限,並嘗試維護該存取權限。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/SuccessfulAnonymousAccess
### 未經驗證的使用者調用常用來取得 Kubernetes 叢集之高層級許可的 API。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,`system:anonymous` 使用者已成功調用 API 操作。由 `system:anonymous` 進行的 API 呼叫未經驗證。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的叢集之存取權限,並嘗試維護該存取權限。此活動表示在調查結果中報告的 API 動作允許匿名或未經驗證的存取,並且可能在其他動作上允許匿名或未經驗證的存取。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
**修復建議:**
您應該檢查已向叢集上 `system:anonymous` 使用者授與的許可,並確保所有許可都是必要的。如果錯誤或惡意地授與許可,您應該撤銷使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Persistence:Kubernetes/TorIPCaller
### 從 Tor 退出節點 IP 地址調用常用來取得 Kubernetes 叢集持續存取權限的 API。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已從 Tor 退出節點 IP 地址調用 API。觀察到的 API 通常與持續性策略相關聯,其中對手已取得您的 Kubernetes 叢集的存取權限,並嘗試維護該存取權限。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表示未經授權存取您的 AWS 資源,目的是隱藏攻擊者的真實身分。
**修復建議:**
如果 `KubernetesUserDetails` 區段下的調查結果中所報告的使用者是 `system:anonymous`,請依照《*Amazon EKS 使用者指南*》中的 [Amazon EKS 安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)中的說明,調查為何允許匿名使用者調用 API,並根據需要撤銷許可權。如果使用者是經過驗證的使用者,請調查以確定該活動是否為合法或惡意的活動。如果活動是惡意的,請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/AdminAccessToDefaultServiceAccount
### 預設服務帳戶已被授與 Kubernetes 叢集上的管理員權限。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,Kubernetes 叢集中命名空間的預設服務帳戶已被授與管理員權限。Kubernetes 會為叢集中的所有命名空間建立預設服務帳戶。它會自動將預設服務帳戶以身分的形式指派給尚未明確關聯至另一個服務帳戶的 Pod。如果預設服務帳戶具有管理員權限,可能會導致意外地以管理員權限啟動 Pod。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
**修復建議:**
您不應使用預設服務帳戶對 Pod 授與許可。相反地,您應該為每個工作負載建立專用服務帳戶,並根據需要對該帳戶授與許可。若要修正此問題,您應該為所有 Pod 和工作負載建立專用服務帳戶,並更新 Pod 和工作負載,以便從預設服務帳戶遷移至其專用帳戶。然後,您應該從預設服務帳戶中移除管理員權限。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/AnonymousAccessGranted
### `system:anonymous` 使用者已被授與 Kubernetes 叢集上的 API 許可。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,Kubernetes 叢集上的使用者已成功建立 `ClusterRoleBinding` 或 `RoleBinding`,以將使用者 `system:anonymous` 繫結至角色。這會啟用角色所允許之 API 操作的未經驗證存取權限。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵
**修復建議:**
您應該檢查已授與叢集上 `system:anonymous` 使用者或 `system:unauthenticated` 群組的許可,並撤銷不必要的匿名存取權限。如需詳細資訊,請參閱《*Amazon EKS 使用者指南*》中的 [Amazon EKS 的安全最佳實務](https://docs.aws.amazon.com/eks/latest/userguide/security-best-practices.html)。如果惡意地授與許可,您應該撤銷已授與許可之使用者的存取權限,並還原對手對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/ExposedDashboard
### Kubernetes 叢集的儀表板已公開至網際網路
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,叢集的 Kubernetes 儀表板已由負載平衡器服務公開至網際網路。公開的儀表板使叢集的管理界面可從網際網路存取,並允許對手利用任何可能存在的驗證和存取控制差距。
**修復建議:**
您應該確保在 Kubernetes 儀表板上強制執行強式驗證和授權。您也應該實作網路存取控制,以限制從特定 IP 地址存取儀表板。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Policy:Kubernetes/KubeflowDashboardExposed
### **Kubernetes 叢集的 Kubeflow** 儀表板已向網際網路公開
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,叢集的 **Kubeflow** 儀表板已由負載平衡器服務公開至網際網路。公開的 **Kubeflow** 儀表板使 **Kubeflow** 環境的管理界面可從網際網路存取,並允許對手利用任何可能存在的驗證和存取控制差距。
**修復建議:**
您應該確保在 **Kubeflow** 儀表板上強制執行強式驗證和授權。您也應該實作網路存取控制,以限制從特定 IP 地址存取儀表板。
如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## PrivilegeEscalation:Kubernetes/PrivilegedContainer
### 在您的 Kubernetes 叢集上啟動具有根層級存取權限的具有權限容器。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,在 Kubernetes 叢集上使用映像啟動具有權限容器,以前從未被用來啟動叢集中具有權限的容器。具有權限容器有主機的根層級存取權限。對手可以啟動具有特權容器作為特權提升策略,以取得主機的存取權限,然後入侵主機。
**修復建議:**
如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭入侵。請撤銷使用者的存取權限,並還原對手對您的叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed
### 常用來存取秘密的 Kubernetes API 調用方式異常。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,叢集中的 Kubernetes 使用者調用擷取敏感叢集秘密的異常 API 操作。觀察到的 API 通常與可能導致具有特權提升並在您的叢集中進一步存取的憑證存取策略相關聯。如果未預期出現這種行為,則可能表示組態錯誤或您的 AWS 憑證遭到入侵。
GuardDuty 異常偵測機器學習 (ML) 模型會將觀察到的 API 識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 活動,並識別與未經授權使用者使用的技術相關聯的異常事件。ML 模型追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
檢查授與叢集中 Kubernetes 使用者的許可並確保需要這所有許可。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated
### 已在 Kubernetes 叢集中建立或修改過度寬鬆角色或敏感命名空間的 RoleBinding 或 ClusterRoleBinding。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。但是,如果 RoleBinding 或 ClusterRoleBinding 涉及 ClusterRoles,則 `admin` 或 `cluster-admin` 的嚴重性為「高」。
+ **功能:**EKS 稽核日誌
此調查結果會通知您,Kubernetes 叢集中的使用者已建立 `RoleBinding` 或 `ClusterRoleBinding`,將使用者繫結至具有管理員許可或敏感命名空間的角色。如果未預期出現這種行為,則可能表示組態錯誤或您的 AWS 憑證遭到入侵。
GuardDuty 異常偵測機器學習 (ML) 模型會將觀察到的 API 識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
檢查授與 Kubernetes 使用者的許可。這些許可以 `RoleBinding` 和 `ClusterRoleBinding` 中涉及的角色和主體予以定義。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Execution:Kubernetes/AnomalousBehavior.ExecInPod
### Pod 內命令的執行方式異常。
**預設嚴重性:中**
+ **功能:**EKS 稽核日誌
此調查結果會通知您使用 Kubernetes exec API 在 Pod 中執行命令。Kubernetes exec API 允許在 Pod 中執行任意命令。如果預期使用者、命名空間或 Pod 不會發生此行為,則可能表示組態錯誤或您的 AWS 登入資料遭到入侵。
GuardDuty 異常偵測機器學習 (ML) 模型會將觀察到的 API 識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
如果未預期執行此命令,用於執行命令的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer
### 使用具有特權容器,啟動工作負載的方式異常。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,在您的 Amazon EKS 叢集中使用具有特權容器啟動工作負載。具有權限容器有主機的根層級存取權限。未經授權使用者可以啟動具有特權容器作為特權提升策略,先取得主機的存取權限,然後入侵主機。
GuardDuty 異常偵測機器學習 (ML) 模型將觀察到的容器建立或修改識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
如果此容器啟動為預期的結果,建議您根據 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,`imagePrefix` 欄位必須具有與調查結果中指定的 `imagePrefix` 欄位相同的值。如需詳細資訊,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
## Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount
### 部署工作負載的方式異常,並在工作負載內部裝載了敏感的主機路徑。
**預設嚴重性:高**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,已透過 `volumeMounts` 區段中包含敏感主機路徑的容器啟動工作負載。這可能使得敏感的主機路徑可從容器內部存取和寫入。這種技術通常被未經授權使用者用來存取主機的檔案系統。
GuardDuty 異常偵測機器學習 (ML) 模型將觀察到的容器建立或修改識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
如果此容器啟動為預期的結果,建議您根據 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,`imagePrefix` 欄位必須具有與調查結果中指定的 `imagePrefix` 欄位相同的值。如需詳細資訊,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
## Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed
### 啟動工作負載的方式異常。
**預設嚴重性:低\$1**
**注意**
預設嚴重性為低。不過,如果工作負載包含潛在可疑的映像名稱 (例如已知的滲透測試工具),或是在啟動時執行潛在可疑命令的容器 (例如反向 Shell 命令),則此調查結果類型的嚴重性將被視為「中」。
+ **功能:**EKS 稽核日誌
此調查結果會通知您建立或修改 Kubernetes 工作負載的方式異常,例如 Amazon EKS 叢集中的 API 活動、新容器映像或有風險的工作負載組態。未經授權使用者可以啟動容器作為執行任意程式碼的策略,先取得主機的存取權限,然後入侵主機。
GuardDuty 異常偵測機器學習 (ML) 模型將觀察到的容器建立或修改識別為異常。ML 模型會評估 EKS 叢集中的所有使用者 API 和容器映像活動。此 ML 模型也會識別與未經授權使用者所使用之技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
如果此容器啟動並非預期的結果,用於啟動容器的使用者身分憑證可能已遭到入侵。撤銷使用者存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
如果此容器啟動為預期的結果,建議您根據 `resource.KubernetesDetails.KubernetesWorkloadDetails.containers.imagePrefix` 欄位使用具有篩選條件準則的抑制規則。在篩選條件準則中,`imagePrefix` 欄位必須具有與調查結果中指定的 `imagePrefix` 欄位相同的值。如需詳細資訊,請參閱[GuardDuty 中的隱藏規則](findings_suppression-rule.md)。
## PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated
### 建立或修改高度寬鬆的角色或 ClusterRole 的方式異常。
**預設嚴重性:低**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,Amazon EKS 叢集中的 Kubernetes 使用者呼叫建立具有過多許可之 `Role` 或 `ClusterRole` 的異常 API 操作。行動者可以使用具有強大許可的角色建立,以避免使用內建管理員式角色並避免偵測。過多的許可,可能會導致具有特權提升、遠端程式碼執行,以及可能控制命名空間或叢集。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
GuardDuty 異常偵測機器學習 (ML) 模型會將觀察到的 API 識別為異常。ML 模型會評估 Amazon EKS 叢集中的所有使用者 API 活動,並識別與未經授權使用者使用的技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、使用的使用者代理程式、在您的帳戶中觀察到的容器映像,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
檢查 `Role` 或 `ClusterRole` 中定義的權限,以確保需要所有權限,並遵循最低權限政策。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Discovery:Kubernetes/AnomalousBehavior.PermissionChecked
### 使用者檢查其存取許可的方式異常。
**預設嚴重性:低**
+ **功能:**EKS 稽核日誌
此調查結果會通知您,Kubernetes 叢集中的使用者已成功檢查是否允許可導致具有權限提升和遠端程式碼執行的已知強大許可。例如,用來檢查使用者許可的常用命令為 `kubectl auth can-i`。如果未預期出現這種行為,則可能表示組態錯誤或您的憑證遭到入侵。
GuardDuty 異常偵測機器學習 (ML) 模型會將觀察到的 API 識別為異常。ML 模型會評估 Amazon EKS 叢集中的所有使用者 API 活動,並識別與未經授權使用者使用的技術相關聯的異常事件。ML 模型也會追蹤 API 操作的多個因素,例如提出請求的使用者、提出請求的位置、檢查的許可,和使用者操作的命名空間。您可以在 GuardDuty 主控台的調查結果詳細資訊面板中找到不常見 API 請求的詳細資訊。
**修復建議:**
檢查授與 Kubernetes 使用者的許可,以確保需要所有許可。如果錯誤或惡意地授與許可,則撤銷使用者的存取權限,並還原未經授權使用者對叢集所做的任何變更。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
如果您的 AWS 登入資料遭到入侵,請參閱 [修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
# GuardDuty 執行期監控調查結果類型
Amazon GuardDuty 會產生下列執行期監控調查結果,根據來自 Amazon EKS 叢集、Fargate 和 Amazon ECS 工作負載以及 Amazon EC2 執行個體中 Amazon EC2 主機和容器的作業系統層級行為,指出潛在威脅。
**注意**
執行期監控調查結果類型以從主機收集的執行期記錄為基礎。日誌包含可能由惡意執行者控制的檔案路徑等欄位。這些欄位也包含在 GuardDuty 調查結果中,以提供執行期內容。在 GuardDuty 主控台之外處理執行期監控調查結果時,您必須清理調查結果欄位。例如,在網頁上顯示調查結果欄位時,您可以進行 HTML 編碼。
**Topics**
+ [CryptoCurrency:Runtime/BitcoinTool.B](#cryptocurrency-runtime-bitcointoolb)
+ [Backdoor:Runtime/C&CActivity.B](#backdoor-runtime-ccactivityb)
+ [UnauthorizedAccess:Runtime/TorRelay](#unauthorizedaccess-runtime-torrelay)
+ [UnauthorizedAccess:Runtime/TorClient](#unauthorizedaccess-runtime-torclient)
+ [Trojan:Runtime/BlackholeTraffic](#trojan-runtime-blackholetraffic)
+ [Trojan:Runtime/DropPoint](#trojan-runtime-droppoint)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](#cryptocurrency-runtime-bitcointoolbdns)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](#backdoor-runtime-ccactivitybdns)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](#trojan-runtime-droppointdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](#trojan-runtime-phishingdomainrequestdns)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](#impact-runtime-suspiciousdomainrequestreputation)
+ [UnauthorizedAccess:Runtime/MetadataDNSRebind](#unauthorizedaccess-runtime-metadatadnsrebind)
+ [Execution:Runtime/NewBinaryExecuted](#execution-runtime-newbinaryexecuted)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](#privilegeesc-runtime-dockersocketaccessed)
+ [PrivilegeEscalation:Runtime/RuncContainerEscape](#privilegeesc-runtime-runccontainerescape)
+ [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](#privilegeesc-runtime-cgroupsreleaseagentmodified)
+ [DefenseEvasion:Runtime/ProcessInjection.Proc](#defenseeva-runtime-processinjectionproc)
+ [DefenseEvasion:Runtime/ProcessInjection.Ptrace](#defenseeva-runtime-processinjectionptrace)
+ [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](#defenseeva-runtime-processinjectionvirtualmemw)
+ [Execution:Runtime/ReverseShell](#execution-runtime-reverseshell)
+ [DefenseEvasion:Runtime/FilelessExecution](#defenseeva-runtime-filelessexecution)
+ [Impact:Runtime/CryptoMinerExecuted](#impact-runtime-cryptominerexecuted)
+ [Execution:Runtime/NewLibraryLoaded](#execution-runtime-newlibraryloaded)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/UserfaultfdUsage](#privilegeescalation-runtime-userfaultfdusage)
+ [Execution:Runtime/SuspiciousTool](#execution-runtime-suspicioustool)
+ [Execution:Runtime/SuspiciousCommand](#execution-runtime-suspiciouscommand)
+ [DefenseEvasion:Runtime/SuspiciousCommand](#defenseevasion-runtime-suspicious-command)
+ [DefenseEvasion:Runtime/PtraceAntiDebugging](#defenseevasion-runtime-ptrace-anti-debug)
+ [Execution:Runtime/MaliciousFileExecuted](#execution-runtime-malicious-file-executed)
+ [Execution:Runtime/SuspiciousShellCreated](#execution-runtime-suspicious-shell-created)
+ [PrivilegeEscalation:Runtime/ElevationToRoot](#privilegeesc-runtime-elevation-to-root)
+ [Discovery:Runtime/SuspiciousCommand](#discovery-runtime-suspicious-command)
+ [Persistence:Runtime/SuspiciousCommand](#persistence-runtime-suspicious-command)
+ [PrivilegeEscalation:Runtime/SuspiciousCommand](#privilege-escalation-runtime-suspicious-command)
+ [DefenseEvasion:Runtime/KernelModuleLoaded](#defenseevasion-runtime-kernelmoduleloaded)
## CryptoCurrency:Runtime/BitcoinTool.B
### Amazon EC2 執行個體或容器正在查詢與加密貨幣相關活動有關聯的 IP 地址。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序正在查詢與加密貨幣相關活動的 IP 地址。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果您使用此 EC2 執行個體或容器來挖掘或管理加密貨幣,或者進行兩者中以其他方式參與區塊鏈活動的行為,則此 CryptoCurrency:Runtime/BitcoinTool.B 調查結果可能代表您環境的預期活動。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定抑制規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用**調查結果類型**屬性,其值為 `CryptoCurrency:Runtime/BitcoinTool.B`。第二個篩選條件應該是涉及加密貨幣或區塊鏈相關活動的執行個體的**執行個體 ID** 或相關容器的**容器映像 ID**。如需詳細資訊,請參閱[隱藏規則](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)。
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Backdoor:Runtime/C&CActivity.B
### Amazon EC2 執行個體或容器正在查詢與已知命令和控管伺服器相關聯的 IP。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序正在查詢與已知命令和控制 (C&C) 伺服器相關聯的 IP 地址。列出的執行個體或容器可能已遭入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。
殭屍網路是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合,可能包括 PC、伺服器、行動裝置及物聯網裝置。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的用途和結構而定,C&C 伺服器也可能發出命令來展開分散式阻斷服務 (DDoS) 攻擊。
**注意**
如果查詢的 IP 與 log4J 相關,則相關調查結果的欄位將包含下列值:
`service.additionalInfo.threatListName = Amazon`
`service.additionalInfo.threatName = Log4j Related`
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## UnauthorizedAccess:Runtime/TorRelay
### 您的 Amazon EC2 執行個體或容器正在連線至 Tor 網路作為 Tor 轉送。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或 AWS 環境中的容器上執行的程序正在以建議其做為 Tor 轉送的方式連線到 Tor 網路。Tor 是一種啟用匿名通訊的軟體。Tor 增加匿名通訊,做法是從一個 Tor 轉送轉寄使用者端潛在非法流量至另一個 Tor 轉送。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## UnauthorizedAccess:Runtime/TorClient
### 您的 Amazon EC2 執行個體或容器正在連線到 Tor Guard 或 Authority 節點。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或 AWS 環境中的容器上執行的程序正在連線到 Tor Guard 或 Authority 節點。Tor 是一種啟用匿名通訊的軟體。Tor Guards 和 Authority 節點為進入 Tor 網路的初始閘道。此流量表示此 EC2 執行個體或容器可能已遭入侵,且作為 Tor 網路中的用戶端。此調查結果可能表示未經授權存取您的 AWS 資源,目的是隱藏攻擊者的真實身分。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/BlackholeTraffic
### Amazon EC2 執行個體或容器正在嘗試與已知是黑洞的遠端主機 IP 地址進行通訊。
**預設嚴重性:中**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或 AWS 環境中的容器上執行的程序可能會遭到入侵,因為它嘗試與黑洞 (或接收器孔) 的 IP 地址通訊。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。黑洞的 IP 位址會指定為未執行的主機,或未分配主機的位址。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/DropPoint
### Amazon EC2 執行個體或容器正在嘗試與遠端主機的 IP 地址進行通訊,該主機已知存放了惡意軟體擷取的憑證和其他遭竊資料。
**預設嚴重性:中**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或 AWS 環境中的容器上執行的程序正在嘗試與遠端主機的 IP 地址進行通訊,該 IP 地址已知會保留憑證和惡意軟體擷取的其他遭竊資料。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## CryptoCurrency:Runtime/BitcoinTool.B\$1DNS
### Amazon EC2 執行個體或容器正在查詢與加密貨幣活動有關聯的網域名稱。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序正在查詢與比特幣或其他加密貨幣相關活動的網域名稱。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果您使用此 EC2 執行個體或容器來挖掘或管理加密貨幣,或者進行兩者中以其他方式參與區塊鏈活動的行為,則此 CryptoCurrency:Runtime/BitcoinTool.B\$1DNS 調查結果可能是您環境的預期活動。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用**調查結果類型**屬性,其值為 `CryptoCurrency:Runtime/BitcoinTool.B!DNS`。第二個篩選條件應該是加密貨幣或區塊鏈活動的執行個體的**執行個體 ID** 或相關容器的**容器映像 ID**。如需詳細資訊,請參閱[隱藏規則](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)。
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Backdoor:Runtime/C&CActivity.B\$1DNS
### Amazon EC2 執行個體或容器正在查詢與已知命令和控管伺服器相關聯的網域名稱。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序正在查詢與已知命令和控制 (C&C) 伺服器相關聯的網域名稱。列出的 EC2 執行個體或容器可能已遭入侵。命令和控管伺服器是對殭屍網路的成員發出命令的電腦。
殭屍網路是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合,可能包括 PC、伺服器、行動裝置及物聯網裝置。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的用途和結構而定,C&C 伺服器也可能發出命令來展開分散式阻斷服務 (DDoS) 攻擊。
**注意**
如果查詢的網域名稱與 log4J 相關,則相關調查結果的欄位將包含下列值:
`service.additionalInfo.threatListName = Amazon`
`service.additionalInfo.threatName = Log4j Related`
**注意**
若要測試 GuardDuty 如何產生此調查結果類型,您可以從執行個體對測試網域 `guarddutyc2activityb.com` 發出 DNS 請求 (針對 Linux 使用 `dig`,或針對 Windows 使用 `nslookup`)。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/BlackholeTraffic\$1DNS
### Amazon EC2 執行個體或容器正在查詢重新導向到黑洞 IP 地址的網域名稱。
**預設嚴重性:中**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序可能會遭到入侵,因為它正在查詢重新導向至黑洞 IP 地址的網域名稱。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/DropPoint\$1DNS
### Amazon EC2 執行個體或容器正在查詢遠端主機的網域名稱,該主機已知存放了惡意軟體擷取的憑證和其他遭竊資料。
**預設嚴重性:中**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或 AWS 環境中的容器上執行的程序正在查詢已知存放登入資料和惡意軟體擷取之其他遭竊資料的遠端主機網域名稱。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/DGADomainRequest.C\$1DNS
### Amazon EC2 執行個體或容器正在查詢演算法產生的網域。惡意軟體常用這種網域,且這可以視為 EC2 執行個體或容器已遭入侵的跡象。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序正在嘗試查詢網域產生演算法 (DGA) 網域。您的資源可能已遭入侵。
DGA 可用來定期產生大量網域名稱,這些名稱可做為他們的命令與控制 (C&C) 伺服器的會合點。命令和控管伺服器是對殭屍網路的成員發出命令的電腦,這是一種透過常見惡意軟體感染和控制的網際網路連線裝置集合。大量潛在的會合點會造成難以有效地關閉殭屍網路,因為受感染的電腦每天都會嘗試聯繫其中一些網域名稱以接收更新或命令。
**注意**
此調查結果根據來自 GuardDuty 的威脅智慧饋送的已知 DGA 網域產生。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/DriveBySourceTraffic\$1DNS
### Amazon EC2 執行個體或容器正在查詢已知是 Drive-By (路過式) 下載攻擊來源的遠端主機網域名稱。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序可能會遭到入侵,因為它正在查詢遠端主機的網域名稱,這是已知的隨需下載攻擊來源。這些是從網際網路上意外下載的電腦軟體,它們可以啟動病毒、間諜軟體或惡意軟體的自動安裝。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Trojan:Runtime/PhishingDomainRequest\$1DNS
### Amazon EC2 執行個體或容器正在查詢遭釣魚攻擊的網域。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序正在嘗試查詢涉及網路釣魚攻擊的網域。釣魚網域是由冒充合法機構的人所建立,以誘使個人提供敏感資料,如個人身分資訊、銀行和信用卡詳細資訊以及密碼。您的 EC2 執行個體或容器可能試圖擷取儲存在釣魚網站上的敏感資料,或者嘗試設定網路釣魚網站。您的 EC2 執行個體或容器可能已遭入侵。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Impact:Runtime/AbusedDomainRequest.Reputation
### Amazon EC2 執行個體或容器正在查詢與已知的濫用網域相關聯的低信譽網域名稱。
**預設嚴重性:中**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序正在查詢與已知濫用網域或 IP 地址相關聯的低評價網域名稱。濫用網域的範例包括頂層網域名稱 (TLD) 和第二層網域名稱 (2LD),提供免費的子網域註冊,以及動態 DNS 提供者。威脅執行者傾向於使用這些服務免費或低成本註冊網域。此類別中的低信譽網域也可能是解析為註冊機構停駐 IP 地址的過期網域,因此可能不再處於作用中狀態。停駐 IP 是註冊機構為尚未連結到任何服務的網域引導流量的地方。列出的 Amazon EC2 執行個體或容器可能已遭入侵,因為威脅執行者通常使用這些註冊機構或服務進行 C&C 和惡意軟體分發。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Impact:Runtime/BitcoinDomainRequest.Reputation
### Amazon EC2 執行個體或容器正在查詢與加密貨幣相關活動有關聯的低信譽網域名稱。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序正在查詢與比特幣或其他加密貨幣相關活動的低評價網域名稱。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果您使用此 EC2 執行個體或容器來挖掘或管理加密貨幣,或者如果這些資源以其他方式參與區塊鏈活動的行為,則此調查結果可能代表您環境的預期活動。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定抑制規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用**調查結果類型**屬性,其值為 `Impact:Runtime/BitcoinDomainRequest.Reputation`。第二個篩選條件應該是涉及加密貨幣或區塊鏈相關活動的執行個體的**執行個體 ID** 或相關容器的**容器映像 ID**。如需詳細資訊,請參閱[隱藏規則](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)。
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Impact:Runtime/MaliciousDomainRequest.Reputation
### Amazon EC2 執行個體或容器正在查詢與已知惡意網域相關聯的低信譽網域名稱。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序正在查詢與已知惡意網域或 IP 地址相關聯的低評價網域名稱。例如,網域可能會與已知的 sinkhole IP 地址相關聯。沉洞網域是先前由威脅執行者控制的網域,對其提出的請求可能表示執行個體已遭到入侵。這些網域也可能與已知的惡意活動或網域產生演算法相關。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Impact:Runtime/SuspiciousDomainRequest.Reputation
### Amazon EC2 執行個體或容器正在查詢低信譽的網域名稱,該網域名稱本質上因其使用期限或低熱門程度而可疑。
**預設嚴重性:低**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 EC2 執行個體或環境中 AWS 的容器上執行的程序正在查詢疑似惡意的低評價網域名稱。此網域觀察到的特性與先前觀察到的惡意網域一致。不過,我們的評價模型無法明確地將其與已知威脅相關聯。這些網域通常是新觀察到的,或接收少量的流量。
低信譽網域以信譽評分模型為基礎。此模型會評估網域的特徵並對其進行排名,以判斷其為惡意的可能性。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## UnauthorizedAccess:Runtime/MetadataDNSRebind
### Amazon EC2 執行個體或容器正在執行解析為執行個體中繼資料服務的 DNS 查詢。
**預設嚴重性:高**
+ **功能:**執行期監控
**注意**
目前,此調查結果類型僅支援 AMD64 架構。
此調查結果會通知您,在列出的 EC2 執行個體或 AWS 環境中的容器上執行的程序正在查詢解析為 EC2 中繼資料 IP 地址 (169.254.169.254 的網域)。這種類型的 DNS 查詢可能表示執行個體是 DNS 重新繫結技術的目標。此技術可用於從 EC2 執行個體獲取中繼資料,包含與執行個體相關聯的 IAM 憑證。
DNS 重新繫結涉及誘使在 EC2 執行個體上執行的應用程式從 URL 載入傳回資料,其中,URL 中的網域名稱解析為 EC2 中繼資料的 IP 地址 (`169.254.169.254`)。這會導致應用程式存取 EC2 中繼資料,並可能讓攻擊者能夠使用。
只有在 EC2 執行個體執行的具漏洞應用程式允許注入 URL,或有人在 EC2 執行個體上執行的 Web 瀏覽器存取 URL 時,才可能使用 DNS 重新繫結存取 EC2 中繼資料。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
為了回應此調查結果,您應該評估是否有在 EC2 執行個體或容器上執行的易受攻擊的應用程式,或是是否有人使用瀏覽器存取調查結果中識別的網域。如果根本原因是易受攻擊的應用程式,請修復該漏洞。如果有人瀏覽已識別的網域,請封鎖該網域或防止使用者存取該網域。如果您判斷此調查結果與上述任一案例有關,請[撤銷與 EC2 執行個體相關聯的工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html)。
有些 AWS 客戶刻意將中繼資料 IP 地址映射至其授權 DNS 伺服器上的網域名稱。如果您的 環境是這種情況,建議您為此調查結果設定隱藏規則。隱藏規則應包含兩個篩選準則。第一個篩選條件應該使用**調查結果類型**屬性,其值為 `UnauthorizedAccess:Runtime/MetaDataDNSRebind`。第二個篩選條件應該是 **DNS 請求網域**或容器的**容器映像 ID**。**DNS 請求網域**值應該符合您映射到中繼資料 IP 地址 (`169.254.169.254`) 的網域。如需有關建立隱藏規則的詳細資訊,請參閱[隱藏規則](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)。
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/NewBinaryExecuted
### 已執行容器中新建立或最近修改的二進位檔案。
**預設嚴重性:中**
+ **功能:**執行期監控
此調查結果會通知您,容器中新建立或最近修改的二進位檔案已執行。最佳實務是讓容器在執行期不可變,而且不應在容器的生命週期內建立或修改二進位檔案、指令碼或程式庫。此行為表示惡意行為者已獲得容器的存取權,已下載並執行惡意軟體或其他軟體,是潛在的盜用行為之一。雖然這種類型的活動可能是遭到洩漏的跡象,但也是常見的使用模式。因此,GuardDuty 會使用一些機制來識別此活動的可疑執行個體,並僅針對可疑執行個體產生此調查結果類型。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。若要識別修改程序和新的二進位檔,請檢視**修改程序**詳細資訊和**程序**詳細資訊
修改程序的詳細資訊會包含在調查結果 JSON 的 `service.runtimeDetails.context.modifyingProcess`欄位中,或在調查結果詳細資訊面板的**修改程序**下。對於此調查結果類型,修改程序為 `/usr/bin/dpkg`,如調查結果 JSON `service.runtimeDetails.context.modifyingProcess.executablePath` 的欄位所識別,或作為調查結果詳細資訊面板中**修改程序**的一部分。
已執行的新二進位或修改二進位檔的詳細資訊會包含在問題清單 JSON `service.runtimeDetails.process`的 中,或在**執行期詳細資訊**下的 **程序**區段中。對於此調查結果類型,新的或修改的二進位為 `/usr/bin/python3.8`,如 `service.runtimeDetails.process.executablePath`(**可執行路徑**) 欄位所示。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/DockerSocketAccessed
### 容器內的程序正在使用 Docker 通訊端與 Docker 常駐程式進行通訊。
**預設嚴重性:中**
+ **功能:**執行期監控
Docker 通訊端是 Docker 常駐程式 (`dockerd`) 用於與用戶端進行通訊的 Unix 網域通訊端。用戶端可以執行各種操作,例如通過 Docker 通訊端與 Docker 常駐程式進行通訊來建立容器。容器程序存取 Docker 通訊端是可疑行為。容器程序可以逸出容器,並透過與 Docker 通訊端通訊並建立特權容器來取得主機層級的存取。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/RuncContainerEscape
### 偵測到容器藉由 runC 逸出。
**預設嚴重性:高**
+ **功能:**執行期監控
RunC 是高階容器執行時間的低階容器執行時間,例如 Docker 和 Containerd 用於產生和執行容器。RunC 一律使用根權限執行,因為它需要執行建立容器的低階任務。威脅行為者可以透過修改或利用 runC 二進位中的漏洞來取得主機層級的存取。
此調查結果會偵測 runC 二進位檔的修改,並可能嘗試利用下列 runC 漏洞:
+ [https://nvd.nist.gov/vuln/detail/CVE-2019-5736](https://nvd.nist.gov/vuln/detail/CVE-2019-5736) – 的探索CVE-2019-5736涉及從容器內覆寫 runC 二進位檔。當容器內的程序修改 runC 二進位檔時,會叫用此調查結果。
+ [https://nvd.nist.gov/vuln/detail/CVE-2024-21626](https://nvd.nist.gov/vuln/detail/CVE-2024-21626) – 的探索CVE-2024-21626涉及將目前的工作目錄 (CWD) 或容器設定為開啟的檔案描述項 `/proc/self/fd/FileDescriptor`。當`/proc/self/fd/`偵測到 下具有目前工作目錄的容器程序時,會叫用此調查結果,例如 `/proc/self/fd/7`。
此調查結果指出惡意行動者曾經嘗試在下列其中一種容器類型中執行惡意探索:
+ 具有攻擊者控制的映像的新容器。
+ 在主機層級 runC 二進位檔上具有寫入權限之行動者可存取的現有容器。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified
### 偵測到容器藉由 CGroups 發行代理程式逸出。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,偵測到嘗試修改控制群組 (cgroup) 發行代理程式檔案的行為。Linux 使用控制群組 (cgroup) 來限制、說明和隔離處理程序集合的資源使用情況。每個 cgroup 都有一個發行代理程式檔案 (`release_agent`),這是一個指令碼,當 cgroup 內的任何程序終止時,Linux 會執行該命令碼。發行代理程式檔案一律會在主機層級執行。容器內的安全威脅執行者可將任意命令寫入屬於 cgroup 的發行代理程式檔案,藉此逸出至主機。當 cgroup 中的一個程序終止時,該執行者編寫的命令將被執行。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/ProcessInjection.Proc
### 在容器或 Amazon EC2 執行個體中偵測到使用 proc 檔案系統的程序注入。
**預設嚴重性:高**
+ **功能:**執行期監控
程序注入是威脅執行者用來將程式碼插入程序中的一種技術,以逃避防禦並可能提升許可。proc 檔案系統 (procfs) 是 Linux 中的一種特殊的檔案系統,會將程序的虛擬記憶體作為檔案顯示。該檔案的路徑是 `/proc/PID/mem`,其中 `PID` 是程序的唯一 ID。威脅執行者可以寫入此檔案,將程式碼插入程序。此調查結果可識別寫入此檔案的潛在嘗試。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源類型可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/ProcessInjection.Ptrace
### 在容器或 Amazon EC2 執行個體中偵測到使用 ptrace 系統呼叫的程序注入。
**預設嚴重性:中**
+ **功能:**執行期監控
程序注入是威脅執行者用來將程式碼插入程序中的一種技術,以逃避防禦並可能提升許可。一個程序可以使用 ptrace 系統呼叫將程式碼注入到另一個程序中。此調查結果可識別使用 ptrace 系統呼叫將程式碼插入程序的潛在嘗試。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源類型可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite
### 在容器或 Amazon EC2 執行個體中偵測到透過直接寫入虛擬記憶體的程序注入。
**預設嚴重性:高**
+ **功能:**執行期監控
程序注入是威脅執行者用來將程式碼插入程序中的一種技術,以逃避防禦並可能提升許可。一個程序可以使用系統呼叫 (例如 `process_vm_writev`) 直接將程式碼插入另一個程序的虛擬記憶體中。此調查結果可識別使用系統呼叫寫入處理程序虛擬記憶體,從而將程式碼插入程序的潛在嘗試。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源類型可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/ReverseShell
### 容器或 Amazon EC2 執行個體中的程序已建立反向 Shell。
**預設嚴重性:高**
+ **功能:**執行期監控
反向 Shell 是在從目標主機啟動至執行者主機的連線上建立的 Shell 工作階段。正常 Shell 是從執行者的主機啟動到目標主機,反向 Shell 則與之相反。威脅執行者會建立反向 Shell,在取得對目標的初始存取許可後,在目標上執行命令。此調查結果可識別潛在的可疑反向 shell 連線。
GuardDuty 會檢查相關的執行時間活動和內容,只有在發現相關的活動和內容異常或可疑時,才會產生此調查結果類型。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
GuardDuty 安全代理程式會監控來自多個來源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。如果此活動不在預期中,即代表您的資源類型可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/FilelessExecution
### 容器或 Amazon EC2 執行個體中的程序正在從記憶體執行程式碼。
**預設嚴重性:中**
+ **功能:**執行期監控
當使用磁碟上的記憶體內可執行檔執行程序時,此調查結果會通知您。這是一種常見的防禦逃避技術,可避免將惡意可執行檔案寫入磁碟,以逃避基於掃描的檔案系統的檢測。儘管惡意軟體會使用此技術,但也有一些合法的用例。其中一個例子是即時 (JIT) 編譯器,其將程式碼編譯到記憶體,並從記憶體執行。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Impact:Runtime/CryptoMinerExecuted
### 容器或 Amazon EC2 執行個體正在執行與加密貨幣挖掘活動相關聯的二進位檔案。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,在您 AWS 環境中列出的 EC2 執行個體或容器上執行的程序正在執行與加密貨幣挖掘活動相關聯的二進位檔案。威脅執行者可能試圖控制計算資源,以惡意重新利用它們進行未經授權的加密貨幣挖掘。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要識別可能遭到入侵的資源,請在 GuardDuty 主控台中檢視調查結果面板中的**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**,然後參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/NewLibraryLoaded
### 新建立或最近修改的程式庫由容器內的程序載入。
**預設嚴重性:中**
+ **功能:**執行期監控
此調查結果會通知您,程式庫是在執行期在容器內建立或修改的,並由容器內執行的程序載入。最佳實務是讓容器在執行期不可變,而且不應在容器的生命週期內建立或修改二進位檔案、指令碼或程式庫。在容器中載入新建立或修改的程式庫可能表示存在可疑活動。此行為表示惡意執行者可能獲得對容器的存取許可,且已經下載並執行惡意軟體或其他軟體作為潛在入侵的一部分。雖然這種類型的活動可能是遭到洩漏的跡象,但也是常見的使用模式。因此,GuardDuty 會使用一些機制來識別此活動的可疑執行個體,並僅針對可疑執行個體產生此調查結果類型。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/ContainerMountsHostDirectory
### 容器內的程序在執行期掛載了主機檔案系統。
**預設嚴重性:中**
+ **功能:**執行期監控
多種容器逸出技術涉及在執行期在容器中安裝主機檔案系統。此調查結果會通知您,容器內的程序可能嘗試掛載主機檔案系統,這可能表示存在嘗試逸出到主機的行為。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/UserfaultfdUsage
### 程序使用 `userfaultfd` 系統呼叫來處理使用者空間中的頁面錯誤。
**預設嚴重性:中**
+ **功能:**執行期監控
通常,頁面錯誤由核心空間中的核心處理。但是,`userfaultfd` 系統呼叫允許程序在使用者空間中處理檔案系統上的頁面錯誤。這個有用的功能可以實現使用者空間檔案系統的實作。另一方面,潛在惡意程序也可以利用它來中斷使用者空間的核心。使用 `userfaultfd` 系統呼叫中斷核心是在利用核心競爭條件期間延伸競爭視窗的常見利用技術。使用 `userfaultfd` 可能表示 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上存在可疑活動。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/SuspiciousTool
### 容器或 Amazon EC2 執行個體執行的二進位檔案或指令碼經常使用在主動出擊的安全情境,例如參與滲透測試。
**預設嚴重性:變數**
此調查結果的嚴重性可以是高或低,取決於偵測到的可疑工具是否被視為兩用,還是僅用於冒犯性用途。
+ **功能:**執行期監控
此調查結果會通知您,已在 AWS 環境中的 EC2 執行個體或容器上執行可疑的工具。這包括參與滲透測試的工具,也稱為後門工具、網路掃描器和網路偵測程式。所有這些工具都可以在良性內容中使用,但威脅執行者也會經常使用惡意意圖。觀察令人反感的安全工具可能表示相關聯的 EC2 執行個體或容器已遭入侵。
GuardDuty 會檢查相關的執行時間活動和內容,因此只有在相關的活動和內容可能可疑時,才會產生此調查結果。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。適用時,調查結果中會提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/SuspiciousCommand
### 可疑的命令已在 Amazon EC2 執行個體或容器上執行,這表示遭到洩漏。
**預設嚴重性:變數**
根據觀察到的惡意病毒碼所造成的影響而定,此調查結果類型的嚴重性可能為低、中或高。
+ **功能:**執行期監控
此調查結果會通知您已執行可疑命令,並指出您 AWS 環境中的 Amazon EC2 執行個體或容器已遭入侵。這種情況可能表示,檔案是從可疑來源下載後執行,或是執行中的處理程序在其命令列中顯示已知的惡意病毒碼。這也進一步表示,惡意軟體正在系統上執行。
GuardDuty 會檢查相關的執行時間活動和內容,因此只有在相關的活動和內容可能可疑時,才會產生此調查結果。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。適用時,調查結果中會提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
**注意**
程序命令列引數可能包含敏感資料。為了保護敏感資料,GuardDuty 執行期監控調查結果不包含完整的命令列引數。反之, `Service.RuntimeDetails.Context.CommandLineExample` 會提供產生調查結果之命令列模式的代表性範例。
## DefenseEvasion:Runtime/SuspiciousCommand
### 某個命令已在列出的 Amazon EC2 執行個體或容器上執行,該命令嘗試修改或停用 Linux 防禦機制,例如防火牆或必要的系統服務。
**預設嚴重性:變數**
根據何種防禦機制已遭到修改或停用而定,此調查結果類型的嚴重性可能為高、中或低。
+ **功能:**執行期監控
此調查結果會通知您,某個嘗試對本機系統的安全服務隱藏攻擊的命令已執行。這些動作包括停用 Unix 防火牆、修改本機 IP 表、移除 crontab 項目、停用本機服務,或是接管 `LDPreload` 功能。任何修改都非常可疑,且可能表示發生洩漏。因此,這些機制會偵測或防止系統遭到進一步洩漏。
GuardDuty 會檢查相關的執行時間活動和內容,因此只有在相關的活動和內容可能可疑時,才會產生此調查結果。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要找出可能遭洩漏的資源,請在 GuardDuty 主控台的調查結果詳細資訊中,檢視**資源類型**。適用時,調查結果中會提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/PtraceAntiDebugging
### 容器或 Amazon EC2 執行個體中的處理程序使用 ptrace 系統呼叫執行了反偵錯措施。
**預設嚴重性:低**
+ **功能:**執行期監控
此調查結果顯示,在列出的 Amazon EC2 執行個體或 AWS 環境中的容器上執行的程序已搭配 `PTRACE_TRACEME`選項使用 ptrace 系統呼叫。此活動可能會導致連接的偵錯工具從執行中的處理程序卸離。如果沒有連結任何偵錯工具,則無任何作用。然而,該活動本身也很可疑。這可能表示,惡意軟體正在系統上執行。惡意軟體經常使用反偵錯技術來規避分析,而這類技術可在執行時期偵測到。
GuardDuty 會檢查相關的執行時間活動和內容,因此只有在相關的活動和內容可能可疑時,才會產生此調查結果。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/MaliciousFileExecuted
### 已知的惡意可執行檔案已在 Amazon EC2 執行個體或容器上執行。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果會通知您,已知的惡意可執行檔已在 Amazon EC2 執行個體或 AWS 環境中的容器上執行。這強烈表示,執行個體或容器可能已遭到洩漏,且惡意軟體已執行。
GuardDuty 會檢查相關的執行時間活動和內容,因此只有在相關的活動和內容可能可疑時,才會產生此調查結果。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。適用時,調查結果中會提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Execution:Runtime/SuspiciousShellCreated
### Amazon EC2 執行個體或容器中的網路服務或網路可存取程序已啟動互動式 shell 程序。
**預設嚴重性:低**
+ **功能:**執行期監控
此調查結果會通知您,Amazon EC2 執行個體或 AWS 環境中容器中的網路可存取服務已啟動互動式 shell。在某些情況下,此案例可能表示探索後的行為。互動式 shell 允許攻擊者在受損的執行個體或容器上執行任意命令。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。您可以在父處理序詳細資訊中檢視可從網路存取的處理序資訊。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/ElevationToRoot
### 在列出的 Amazon EC2 執行個體或容器上執行的程序已取得根權限。
**預設嚴重性:中**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 Amazon EC2 或 AWS 環境中列出的容器中執行的程序已透過異常或可疑的`setuid`二進位執行取得根權限。這表示執行中的程序可能已遭入侵、透過 入侵或`setuid`利用 EC2 執行個體。透過使用根權限,攻擊者可能可以在執行個體或容器上執行命令。
雖然 GuardDuty 旨在不為涉及定期使用 `sudo`命令的活動產生此調查結果類型,但當它將活動識別為異常或可疑時,將產生此調查結果。
GuardDuty 會檢查相關的執行時間活動和內容,並只在相關的活動和內容異常或可疑時產生此調查結果類型。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Discovery:Runtime/SuspiciousCommand
### 可疑命令已在 Amazon EC2 執行個體或容器中執行,這可讓攻擊者取得本機系統、周邊 AWS 基礎設施或容器基礎設施的相關資訊。
**預設嚴重性:低**
**功能:**執行期監控
此調查結果會通知您,在您 AWS 環境中列出的 Amazon EC2 執行個體或容器上執行的程序已執行一個命令,該命令可能會為攻擊者提供可能推進攻擊的重要資訊。可能已擷取下列資訊:
+ 本機系統,例如使用者或網路組態、
+ 其他可用的 AWS 資源和許可,或
+ Kubernetes 基礎架構,例如服務和 Pod。
Amazon EC2 執行個體或問題清單詳細資訊中列出的容器可能已遭到入侵。
GuardDuty 執行期代理程式會監控來自多種資源類型的事件。若要找出可能遭洩漏的資源,請在 GuardDuty 主控台的調查結果詳細資訊中,檢視**資源類型**。您可以在調查結果 JSON 的 `service.runtimeDetails.context` 欄位中,尋找有關可疑命令的詳細資訊。調查結果中提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## Persistence:Runtime/SuspiciousCommand
### 可疑命令已在 Amazon EC2 執行個體或容器中執行,這可讓攻擊者在您的 AWS 環境中持續存取和控制。
**預設嚴重性:中**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 Amazon EC2 執行個體或 AWS 環境中的容器中執行的程序已執行可疑的命令。命令會安裝持久性方法,允許惡意軟體不間斷地執行,或允許攻擊者持續存取可能遭到入侵的執行個體或容器資源類型。這可能表示系統服務已安裝或修改、`crontab`已修改,或已將新使用者新增至系統組態。
GuardDuty 會檢查相關的執行時間活動和內容,並只在相關的活動和內容異常或可疑時產生此調查結果類型。
Amazon EC2 執行個體或問題清單詳細資訊中列出的容器可能已遭到入侵。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要找出可能遭洩漏的資源,請在 GuardDuty 主控台的調查結果詳細資訊中,檢視**資源類型**。您可以在調查結果 JSON 的 `service.runtimeDetails.context` 欄位中,尋找有關可疑命令的詳細資訊。適用時,調查結果中會提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## PrivilegeEscalation:Runtime/SuspiciousCommand
### 可疑命令已在 Amazon EC2 執行個體或容器中執行,這可讓攻擊者提升權限。
**預設嚴重性:中**
+ **功能:**執行期監控
此調查結果會通知您,在列出的 Amazon EC2 執行個體或 AWS 環境中的容器中執行的程序已執行可疑的命令。命令會嘗試執行權限提升,這可讓對手執行高權限任務。
GuardDuty 會檢查相關的執行時間活動和內容,並只在相關的活動和內容異常或可疑時產生此調查結果類型。
Amazon EC2 執行個體或問題清單詳細資訊中列出的容器可能已遭到入侵。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。適用時,調查結果中會提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
## DefenseEvasion:Runtime/KernelModuleLoaded
### 核心模組已載入 Amazon EC2 執行個體,表示嘗試取得核心層級的存取。
**預設嚴重性:高**
+ **功能:**執行期監控
此調查結果表示核心模組已載入列出的 EC2 執行個體。由於核心模組具有最高的系統層級權限 (ring 0),這可能表示威脅執行者已獲得核心層級的存取權。此存取層級允許完全控制系統。
GuardDuty 執行時期代理程式會監控多個資源的事件。若要識別受影響的資源,請在 GuardDuty 主控台的調查結果詳細資訊中檢視**資源類型**。適用時,調查結果中會提供其他內容,包括程序和程序歷程資訊,以供進一步調查。
**修復建議:**
如果此活動不在預期中,即代表您的資源可能已遭入侵。如需詳細資訊,請參閱[修復執行時期監控調查結果](guardduty-remediate-runtime-monitoring.md)。
# EC2 調查結果類型的惡意軟體防護
GuardDuty 惡意軟體防護 for EC2 為 EC2 執行個體EC2或容器工作負載掃描期間偵測到的所有威脅提供單一惡意軟體防護。此調查結果包括掃描期間所執行的偵測總數,並根據嚴重性,提供其偵測到的前 32 個安全威脅的詳細資訊。與其他 GuardDuty 調查結果不同,當再次掃描相同的 EC2 執行個體或容器工作負載時,不會更新 EC2 調查結果的惡意軟體防護。
每個偵測惡意軟體的掃描都會產生新的 EC2 惡意軟體防護問題清單。EC2 調查結果的惡意軟體防護包括產生調查結果的對應掃描,以及啟動此掃描的 GuardDuty 調查結果的相關資訊。這樣可以更輕鬆地將可疑行為與偵測到的惡意程式建立關聯。
**注意**
當 GuardDuty 偵測到容器工作負載上的惡意活動時,EC2 的惡意軟體防護不會產生 EC2 層級調查結果。
下列調查結果是 EC2 專用 GuardDuty 惡意軟體防護。
**Topics**
+ [Execution:EC2/MaliciousFile](#execution-malware-ec2-maliciousfile)
+ [Execution:ECS/MaliciousFile](#execution-malware-ecs-maliciousfile)
+ [Execution:Kubernetes/MaliciousFile](#execution-malware-kubernetes-maliciousfile)
+ [Execution:Container/MaliciousFile](#execution-malware-container-maliciousfile)
+ [Execution:EC2/SuspiciousFile](#execution-malware-ec2-suspiciousfile)
+ [Execution:ECS/SuspiciousFile](#execution-malware-ecs-suspiciousfile)
+ [Execution:Kubernetes/SuspiciousFile](#execution-malware-kubernetes-suspiciousfile)
+ [Execution:Container/SuspiciousFile](#execution-malware-container-suspiciousfile)
## Execution:EC2/MaliciousFile
### 在 EC2 執行個體上偵測到惡意檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**EBS 惡意軟體防護
此調查結果表示 GuardDuty 惡意軟體防護 EC2 掃描已在您的 AWS 環境中偵測到所列 EC2 執行個體上的一或多個惡意檔案。EC2 執行個體可能已遭入侵。如需詳細資訊,請參閱調查結果詳細資訊中的**偵測到的威脅**區段。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Execution:ECS/MaliciousFile
### 在 ECS 叢集上偵測到惡意檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**EBS 惡意軟體防護
此調查結果表示,EC2 的 GuardDuty 惡意軟體防護掃描已偵測到屬於 ECS 叢集之容器工作負載上的一或多個惡意檔案。如需詳細資訊,請參閱調查結果詳細資訊中的**偵測到的威脅**區段。
**修復建議:**
如果此活動為非預期活動,即代表屬於 ECS 叢集的容器可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 ECS 叢集](compromised-ecs.md)。
## Execution:Kubernetes/MaliciousFile
### 在 Kubernetes 叢集上偵測到惡意檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**EBS 惡意軟體防護
此調查結果表示 EC2 的 GuardDuty 惡意軟體防護掃描已偵測到屬於 Kubernetes 叢集之容器工作負載上的一或多個惡意檔案。如果這是 EKS 受管叢集,則調查結果詳細資訊將提供有關受影響 EKS 資源的其他資訊。如需詳細資訊,請參閱調查結果詳細資訊中的**偵測到的威脅**區段。
**修復建議:**
如果此活動為非預期活動,即代表您的容器工作負載可能已遭入侵。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Execution:Container/MaliciousFile
### 在獨立容器上偵測到惡意檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**EBS 惡意軟體防護
此調查結果表示,EC2 的 GuardDuty 惡意軟體防護掃描已偵測到容器工作負載上的一或多個惡意檔案,且並未識別任何叢集資訊。如需詳細資訊,請參閱調查結果詳細資訊中的**偵測到的威脅**區段。
**修復建議:**
如果此活動為非預期活動,即代表您的容器工作負載可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的獨立容器](remediate-compromised-standalone-container.md)。
## Execution:EC2/SuspiciousFile
### 在 EC2 執行個體上偵測到可疑檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**EBS 惡意軟體防護
此調查結果表示,EC2 的 GuardDuty 惡意軟體防護掃描已偵測到 EC2 執行個體上的一或多個可疑檔案。如需詳細資訊,請參閱調查結果詳細資訊中的**偵測到的威脅**區段。
`SuspiciousFile` 類型偵測表示受影響的資源上存在可能有害的程式,例如廣告軟體、間諜軟體或雙重使用工具。這些程式可能會對您的資源產生負面影響,或被攻擊者以惡意目的使用。例如,對手可以合法或惡意地使用網路工具作為駭客工具來嘗試入侵資源。
偵測到可疑檔案時,請評估您是否預期在您的 AWS 環境中看到偵測到的檔案。如果檔案不在預期中,請遵循下一節提供的修補建議。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Execution:ECS/SuspiciousFile
### 在 ECS 叢集上偵測到可疑檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**EBS 惡意軟體防護
此調查結果表示,EC2 的 GuardDuty 惡意軟體防護掃描已偵測到屬於 ECS 叢集之容器上的一或多個可疑檔案。如需詳細資訊,請參閱調查結果詳細資訊中的**偵測到的威脅**區段。
`SuspiciousFile` 類型偵測表示受影響的資源上存在可能有害的程式,例如廣告軟體、間諜軟體或雙重使用工具。這些程式可能會對您的資源產生負面影響,或被攻擊者以惡意目的使用。例如,對手可以合法或惡意地使用網路工具作為駭客工具來嘗試入侵資源。
偵測到可疑檔案時,請評估您是否預期在您的 AWS 環境中看到偵測到的檔案。如果檔案不在預期中,請遵循下一節提供的修補建議。
**修復建議:**
如果此活動為非預期活動,即代表屬於 ECS 叢集的容器可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 ECS 叢集](compromised-ecs.md)。
## Execution:Kubernetes/SuspiciousFile
### 在 Kubernetes 叢集上偵測到可疑檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**EBS 惡意軟體防護
此調查結果表示,EC2 的 GuardDuty 惡意軟體防護掃描已偵測到屬於 Kubernetes 叢集之容器上的一或多個可疑檔案。如果這是 EKS 受管叢集,則調查結果詳細資訊將提供有關受影響 EKS 的其他資訊。如需詳細資訊,請參閱調查結果詳細資訊中的**偵測到的威脅**區段。
`SuspiciousFile` 類型偵測表示受影響的資源上存在可能有害的程式,例如廣告軟體、間諜軟體或雙重使用工具。這些程式可能會對您的資源產生負面影響,或被攻擊者以惡意目的使用。例如,對手可以合法或惡意地使用網路工具作為駭客工具來嘗試入侵資源。
偵測到可疑檔案時,請評估您是否預期在您的 AWS 環境中看到偵測到的檔案。如果檔案不在預期中,請遵循下一節提供的修補建議。
**修復建議:**
如果此活動為非預期活動,即代表您的容器工作負載可能已遭入侵。如需詳細資訊,請參閱[修復 EKS 保護調查結果](guardduty-remediate-kubernetes.md)。
## Execution:Container/SuspiciousFile
### 在獨立容器上偵測到可疑檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**EBS 惡意軟體防護
此調查結果表示,EC2 的 GuardDuty 惡意軟體防護掃描已偵測到不具任何叢集資訊之容器上的一或多個可疑檔案。如需詳細資訊,請參閱調查結果詳細資訊中的**偵測到的威脅**區段。
`SuspiciousFile` 類型偵測表示受影響的資源上存在可能有害的程式,例如廣告軟體、間諜軟體或雙重使用工具。這些程式可能會對您的資源產生負面影響,或被攻擊者以惡意目的使用。例如,對手可以合法或惡意地使用網路工具作為駭客工具來嘗試入侵資源。
偵測到可疑檔案時,請評估您是否預期在您的 AWS 環境中看到偵測到的檔案。如果檔案不在預期中,請遵循下一節提供的修補建議。
**修復建議:**
如果此活動為非預期活動,即代表您的容器工作負載可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的獨立容器](remediate-compromised-standalone-container.md)。
# S3 調查結果類型的惡意軟體防護
GuardDuty 只會在您的 中偵測到潛在安全威脅時產生調查結果 AWS 帳戶。惡意軟體防護 S3 調查結果指出啟動惡意軟體掃描的上傳物件包含潛在的惡意檔案。
若要讓 Amazon GuardDuty 在 中產生調查結果 AWS 帳戶,請同時啟用 GuardDuty 和 S3 的惡意軟體防護。最佳實務是先啟用 GuardDuty,然後啟用 S3 的惡意軟體防護。如果此順序與您不同,請務必在 S3 物件上傳到受保護的儲存貯體之前啟用 GuardDuty。
**注意**
GuardDuty 無法為啟用 GuardDuty 之前掃描的 S3 物件產生問題清單。若要掃描現有的 S3 物件,您可以再次上傳。
## Object:S3/MaliciousFile
### 在掃描的 S3 物件上偵測到惡意檔案。
**預設嚴重性:高**
+ **功能:**S3 的惡意軟體防護
此調查結果表示,惡意軟體掃描已偵測到列出的 S3 物件是惡意的。如需詳細資訊,請檢視調查結果詳細資訊面板中**偵測到的威脅**區段。
**建議修補:**
如果這個調查結果是非預期的,則 S3 物件可能是惡意的。如需建議修復步驟的資訊,請參閱 [修復潛在的惡意 S3 物件](compromised-s3object-malware-protection-gdu.md)。
# 備份問題清單類型的惡意軟體防護
GuardDuty Malware Protection for Backup 為掃描請求的資源期間偵測到的所有威脅提供單一調查結果。此調查結果包括掃描期間所執行的偵測總數,並根據嚴重性,提供其偵測到的前 32 個安全威脅的詳細資訊。與其他 GuardDuty 調查結果不同,再次掃描相同資源時,不會更新備份的惡意軟體防護調查結果。每個偵測惡意軟體的掃描都會產生新的惡意軟體備份防護調查結果。
下列調查結果專屬於 GuardDuty 惡意軟體保護備份。
**Topics**
+ [Execution:EC2/MaliciousFile\$1Snapshot](#execution-malware-ec2-maliciousfile-snapshot)
+ [Execution:EC2/MaliciousFile\$1AMI](#execution-malware-ec2-maliciousfile-ami)
+ [Execution:EC2/MaliciousFile\$1RecoveryPoint](#execution-malware-ec2-maliciousfile-recoverypoint)
+ [Execution:S3/MaliciousFile\$1RecoveryPoint](#execution-malware-s3-maliciousfile-recoverypoint)
## Execution:EC2/MaliciousFile\$1Snapshot
### 在 EBS 快照中偵測到惡意檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**備份的惡意軟體防護
此調查結果指出,Backup 的 GuardDuty 惡意軟體防護掃描已偵測到您環境中所列 EBS 快照中一或多個惡意檔案。如需詳細資訊,請檢視調查結果詳細資料面板中的偵測到威脅區段。
**修復建議:**
如果此為非預期活動,即代表您的快照可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 EBS 快照](compromised-snapshot.md)。
## Execution:EC2/MaliciousFile\$1AMI
### 在 EC2 AMI 中偵測到惡意檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**備份的惡意軟體防護
此調查結果指出,Backup 的 GuardDuty 惡意軟體防護掃描已偵測到您環境中所列 AMI 中一或多個惡意檔案。如需詳細資訊,請檢視調查結果詳細資料面板中的偵測到威脅區段。
**修復建議:**
如果此為非預期活動,即代表您的 AMI 可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 EC2 AMI](compromised-ami.md)。
## Execution:EC2/MaliciousFile\$1RecoveryPoint
### AWS 備份 EC2 復原點中偵測到惡意檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**備份的惡意軟體防護
此調查結果指出,Backup 的 GuardDuty 惡意軟體防護掃描已偵測到您環境中所列 EC2 復原點中一或多個惡意檔案。受影響的復原點可以是 EBS 快照或 EC2 AMI。如需詳細資訊,請檢視調查結果詳細資料面板中的偵測到威脅區段。
**修復建議:**
如果這是非預期的,您的 EC2 復原點可能會遭到入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 EC2 復原點](compromised-ec2-recoverypoint.md)。
## Execution:S3/MaliciousFile\$1RecoveryPoint
### 備份 AWS S3 復原點中偵測到惡意檔案。
**預設嚴重性:視偵測到的安全威脅而有所不同。**
+ **功能:**備份的惡意軟體防護
此調查結果指出,Backup 的 GuardDuty 惡意軟體防護掃描已偵測到您環境中所列 S3 復原點中一或多個惡意物件。如需詳細資訊,請檢視調查結果詳細資料面板中的偵測到威脅區段。
**修復建議:**
如果這是非預期的,您的 S3 復原點可能會遭到入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 復原點](compromised-s3-recoverypoint.md)。
# GuardDuty RDS 保護調查結果類型
GuardDuty RDS 保護可偵測資料庫執行個體上的異常登入行為。下列問題清單專屬於 ,[支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db)且**資源類型**為 `RDSDBInstance`或 `RDSLimitlessDB`。調查結果的嚴重性和詳細資訊依調查結果類型而有所不同。
**Topics**
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin](#credaccess-rds-anombehavior-successlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.FailedLogin](#credaccess-rds-anombehavior-failedlogin)
+ [CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce](#credaccess-rds-anombehavior-successfulbruteforce)
+ [CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin](#credaccess-rds-maliciousipcaller-successfullogin)
+ [CredentialAccess:RDS/MaliciousIPCaller.FailedLogin](#credaccess-rds-maliciousipcaller-failedlogin)
+ [Discovery:RDS/MaliciousIPCaller](#discovery-rds-maliciousipcaller)
+ [CredentialAccess:RDS/TorIPCaller.SuccessfulLogin](#credaccess-rds-toripcaller-successfullogin)
+ [CredentialAccess:RDS/TorIPCaller.FailedLogin](#credaccess-rds-toripcaller-failedlogin)
+ [Discovery:RDS/TorIPCaller](#discovery-rds-toripcaller)
## CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin
### 使用者以異常方式在您的帳戶中成功登入 RDS 資料庫。
**預設嚴重性:變數**
**注意**
根據與此調查結果相關聯的異常行為,預設嚴重性可以是「低」、「中」和「高」。
**低**:如果與此調查結果相關聯的使用者名稱從與私有網路相關聯的 IP 地址登入。
**中**:如果與此調查結果相關聯的使用者名稱從公有 IP 地址登入。
**高**:如果公有 IP 地址存在一致的失敗登入嘗試模式,表示存在過於寬鬆的存取政策。
+ **功能:**RDS 登入活動監控
此調查結果會通知您,在您 AWS 環境中的 RDS 資料庫上觀察到異常的成功登入。這可能表示先前未出現的使用者是第一次登入 RDS 資料庫。常見的案例是內部使用者登入資料庫,該資料庫是由應用程式以程式設計方式存取,而不是由個別使用者存取。
GuardDuty 異常偵測機器學習 (ML) 模型將此成功登入識別為異常狀況。ML 模型會評估 [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) 中的所有資料庫登入事件,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 RDS 登入活動的各種因素,例如發出請求的使用者、發出請求的位置,以及使用的特定資料庫連線詳細資訊。如需有關可能異常之登入事件的詳細資訊,請參閱[RDS 登入活動型異常](guardduty_findings-summary.md#rds-pro-login-anomaly)。
**修復建議:**
如果此活動對於關聯的資料庫為非預期活動,建議您變更關聯資料庫使用者的密碼,並檢閱異常使用者執行活動的可用稽核日誌。中等嚴重性和高嚴重性調查結果可能表示資料庫存在過於寬鬆的存取政策,而且使用者憑證可能已公開或遭到入侵。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱[修復可能遭到入侵且含有成功登入事件的資料庫](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)。
## CredentialAccess:RDS/AnomalousBehavior.FailedLogin
### 在您帳戶中的 RDS 資料庫上發現一次或多次異常登入失敗嘗試。
**預設嚴重性:低**
+ **功能:**RDS 登入活動監控
此調查結果會通知您,在您 AWS 環境中的 RDS 資料庫上觀察到一或多個異常的失敗登入。從公有 IP 地址嘗試登入失敗,可能表示您帳戶中的 RDS 資料庫已遭受潛在惡意執行者嘗試的暴力攻擊。
GuardDuty 異常偵測機器學習 (ML) 模型會將這些失敗的登入識別為異常。ML 模型會評估 [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) 中的所有資料庫登入事件,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 RDS 登入活動的各種因素,例如發出請求的使用者、發出請求的位置,以及使用的特定資料庫連線詳細資訊。如需有關可能異常之 RDS 登入活動的詳細資訊,請參閱[RDS 登入活動型異常](guardduty_findings-summary.md#rds-pro-login-anomaly)。
**修復建議:**
如果此活動對於關聯的資料庫為非預期活動,則可能表示資料庫已公開,或是資料庫存在過於寬鬆的存取政策。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱[修復可能遭到入侵且含有失敗登入事件的資料庫](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)。
## CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce
### 在一致的異常失敗登錄嘗試模式之後,使用者以異常方式從公有 IP 地址成功登入您帳戶中的 RDS 資料庫。
**預設嚴重性:高**
+ **功能:**RDS 登入活動監控
此調查結果會通知您,在您 AWS 環境中的 RDS 資料庫上觀察到表示成功暴力破解的異常登入。在異常成功登入之前,發現一致的異常失敗登錄嘗試模式。這表示您帳戶中與 RDS 資料庫相關聯的使用者和密碼可能已遭到入侵,而且 RDS 資料庫可能已被潛在惡意執行者存取。
GuardDuty 異常偵測機器學習 (ML) 模型將這次成功的暴力破解登入識別為異常狀況。ML 模型會評估 [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) 中的所有資料庫登入事件,並識別與對手使用的技術相關聯的異常事件。ML 模型會追蹤 RDS 登入活動的各種因素,例如發出請求的使用者、發出請求的位置,以及使用的特定資料庫連線詳細資訊。如需有關可能異常之 RDS 登入活動的詳細資訊,請參閱[RDS 登入活動型異常](guardduty_findings-summary.md#rds-pro-login-anomaly)。
**修復建議:**
此活動表示資料庫憑證可能已公開或洩露。建議您變更關聯資料庫使用者的密碼,並檢閱可用的稽核日誌,以查看可能遭到入侵的使用者所執行的活動。一致的異常失敗登錄嘗試模式表示資料庫存在過於寬鬆的存取政策,或者資料庫也可能已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱[修復可能遭到入侵且含有成功登入事件的資料庫](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)。
## CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin
### 使用者從已知惡意 IP 地址成功登入您帳戶中的 RDS 資料庫。
**預設嚴重性:高**
+ **功能:**RDS 登入活動監控
此調查結果會通知您,成功的 RDS 登入活動是從與 AWS 環境中已知惡意活動相關聯的 IP 地址所發生。這表示您帳戶中與 RDS 資料庫相關聯的使用者和密碼可能已遭到入侵,而且 RDS 資料庫可能已被潛在惡意執行者存取。
**修復建議:**
如果此活動對於關聯的資料庫為非預期活動,則可能表示使用者憑證可能已公開或遭到入侵。建議您變更關聯資料庫使用者的密碼,並檢閱可用的稽核日誌,以查看遭盜用的使用者所執行的活動。此活動也可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱[修復可能遭到入侵且含有成功登入事件的資料庫](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)。
## CredentialAccess:RDS/MaliciousIPCaller.FailedLogin
### 與已知惡意活動相關聯的IP 地址未成功嘗試登入帳戶中的 RDS 資料庫。
**預設嚴重性:中**
+ **功能:**RDS 登入活動監控
此調查結果會通知您,與已知惡意活動相關聯的 IP 地址嘗試登入您 AWS 環境中的 RDS 資料庫,但無法提供正確的使用者名稱或密碼。這表示潛在惡意的參與者可能正在嘗試入侵您帳戶中的 RDS 資料庫。
**修復建議:**
如果此活動對於關聯的資料庫為非預期活動,則可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱[修復可能遭到入侵且含有失敗登入事件的資料庫](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)。
## Discovery:RDS/MaliciousIPCaller
### 與已知惡意活動相關聯的IP 地址探查了您帳戶中的 RDS 資料庫;未嘗試進行身分驗證。
**預設嚴重性:中**
+ **功能:**RDS 登入活動監控
此調查結果會通知您,雖然未嘗試登入,但與已知惡意活動相關聯的 IP 地址仍會探查您 AWS 環境中的 RDS 資料庫。這可能表示潛在惡意執行者正在嘗試掃描可公開存取的基礎設施。
**修復建議:**
如果此活動對於關聯的資料庫為非預期活動,則可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱[修復可能遭到入侵且含有失敗登入事件的資料庫](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)。
## CredentialAccess:RDS/TorIPCaller.SuccessfulLogin
### 使用者從 Tor 退出節點 IP 地址成功登入您帳戶中的 RDS 資料庫。
**預設嚴重性:高**
+ **功能:**RDS 登入活動監控
此調查結果會通知您,使用者從 Tor 退出節點 IP 地址成功登入 AWS 環境中的 RDS 資料庫。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表明您帳戶中的 RDS 資源有未經授權的存取,目的是隱藏匿名使用者的真實身分。
**修復建議:**
如果此活動對於關聯的資料庫為非預期活動,則可能表示使用者憑證可能已公開或遭到入侵。建議您變更關聯資料庫使用者的密碼,並檢閱可用的稽核日誌,以查看遭盜用的使用者所執行的活動。此活動也可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱[修復可能遭到入侵且含有成功登入事件的資料庫](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-successful-attempt)。
## CredentialAccess:RDS/TorIPCaller.FailedLogin
### Tor IP 地址嘗試登入您帳戶中的 RDS 資料庫失敗。
**預設嚴重性:中**
+ **功能:**RDS 登入活動監控
此調查結果會通知您,Tor 結束節點 IP 地址嘗試登入您 AWS 環境中的 RDS 資料庫,但無法提供正確的使用者名稱或密碼。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表明您帳戶中的 RDS 資源有未經授權的存取,目的是隱藏匿名使用者的真實身分。
**修復建議:**
如果此活動對於關聯的資料庫為非預期活動,則可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱[修復可能遭到入侵且含有失敗登入事件的資料庫](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)。
## Discovery:RDS/TorIPCaller
### Tor 退出節點 IP 地址探查到您帳戶中的 RDS 資料庫,但未嘗試進行身分驗證。
**預設嚴重性:中**
+ **功能:**RDS 登入活動監控
此調查結果會通知您,Tor 退出節點 IP 地址探查了 AWS 環境中的 RDS 資料庫,但未嘗試登入。這可能表示潛在惡意執行者正在嘗試掃描可公開存取的基礎設施。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的傳送來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。這可能表明您帳戶中的 RDS 資源有未經授權的存取,目的是隱藏潛在惡意執行者的真實身分。
**修復建議:**
如果此活動對於關聯的資料庫為非預期活動,則可能表示資料庫存在過於寬鬆的存取政策,或資料庫已公開。建議將資料庫放置在私有 VPC 中,並將安全群組規則限制為僅允許來自必要來源的流量。如需詳細資訊,請參閱[修復可能遭到入侵且含有失敗登入事件的資料庫](guardduty-remediate-compromised-database-rds.md#gd-compromised-db-failed-attempt)。
# Lambda 保護調查結果類型
本節說明 AWS Lambda 資源特有的調查結果類型,並將 `resourceType`列為 `Lambda`。對於所有 Lambda 調查結果,我們建議您檢查有問題的資源,並判斷該資源是否以預期的方式運作。如果活動獲得授權,您可以使用[隱藏規則](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)或[受信任的 IP 和威脅清單](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html),來防止該資源的誤判通知。
如果活動是非預期的結果,安全性最佳實務是假設 Lambda 可能遭到破壞,並遵循修復建議。
**Topics**
+ [Backdoor:Lambda/C&CActivity.B](#backdoor-lambda-ccactivity-b)
+ [CryptoCurrency:Lambda/BitcoinTool.B](#cryptocurrency-lambda-bitcointool-b)
+ [Trojan:Lambda/BlackholeTraffic](#trojan-lambda-blackhole-traffic)
+ [Trojan:Lambda/DropPoint](#trojan-lambda-drop-point)
+ [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](#unauthorized-access-lambda-maliciousIPcaller-custom)
+ [UnauthorizedAccess:Lambda/TorClient](#unauthorized-access-lambda-tor-client)
+ [UnauthorizedAccess:Lambda/TorRelay](#unauthorized-access-lambda-tor-relay)
## Backdoor:Lambda/C&CActivity.B
### Lambda 函數正在查詢與已知命令和控管伺服器相關聯的 IP 地址。
**預設嚴重性:高**
+ **功能:**Lambda 網路活動監控
此調查結果會通知您,您 AWS 環境中列出的 Lambda 函數正在查詢與已知命令和控制 (C&C) 伺服器相關聯的 IP 地址。與產生的調查結果相關聯的 Lambda 函數可能遭到破壞。C&C 伺服器是對殭屍網路的成員發出命令的電腦。
殭屍網路是一種透過感染和常見惡意軟體控制的網際網路連線裝置集合,可能包括 PC、伺服器、行動裝置及物聯網裝置。殭屍網路經常用來散佈惡意軟體和收集不當資訊,像是信用卡號碼。根據殭屍網路的用途和結構而定,C&C 伺服器也可能發出命令,來展開分散式阻斷服務。
**修復建議:**
如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Lambda 函數](remediate-lambda-protection-finding-types.md)。
## CryptoCurrency:Lambda/BitcoinTool.B
### Lambda 函數正在查詢與加密貨幣相關活動有關聯的 IP 地址。
**預設嚴重性:高**
+ **功能:**Lambda 網路活動監控
此調查結果會通知您,您 AWS 環境中列出的 Lambda 函數正在查詢與比特幣或其他加密貨幣相關活動的 IP 地址。威脅參與者可能會尋求 Lambda 函數的控制權,目的是惡意地重新利用這些函數進行未經授權的加密貨幣挖掘。
**修復建議:**
如果您使用此 Lambda 函數來挖掘或管理加密貨幣,或者此函數以其他方式參與區塊鏈活動,則此函數可能是您環境的預期活動。如果您的 AWS 環境中發生這種情況,我們建議您為此調查結果設定抑制規則。隱藏規則應包含兩個篩選準則。第一個條件應該使用調查結果類型屬性,其值為 CryptoCurrency:Lambda/BitcoinTool.B。第二個篩選條件應是參與區塊鏈活動之函數的 Lambda 函數名稱。如需有關建立隱藏規則的詳細資訊,請參閱[隱藏規則](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html)。
如果此活動是非預期的結果,則 Lambda 函數可能會遭到破壞。如需詳細資訊,請參閱[修復可能遭到入侵的 Lambda 函數](remediate-lambda-protection-finding-types.md)。
## Trojan:Lambda/BlackholeTraffic
### Lambda 函數正在嘗試與已知黑洞的遠端主機 IP 地址進行通訊。
**預設嚴重性:中**
+ **功能:**Lambda 網路活動監控
此調查結果會通知您,您 AWS 環境中列出的 Lambda 函數正在嘗試與黑洞 (或接收孔) 的 IP 地址通訊。黑洞是在網路上某些傳入或傳出流量會被無聲無息丟棄的地方,且資料來源也不會收到資料未傳送至收件人的通知。黑洞的 IP 位址會指定為未執行的主機,或未分配主機的位址。列出的 Lambda 函數可能遭到破壞。
**修復建議:**
如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Lambda 函數](remediate-lambda-protection-finding-types.md)。
## Trojan:Lambda/DropPoint
### Lambda 函數正在嘗試與遠端主機的 IP 地址進行通信,該主機已知會保存由惡意軟體擷取的憑證和其他遭竊資料。
**預設嚴重性:中**
+ **功能:**Lambda 網路活動監控
此調查結果會通知您,您 AWS 環境中列出的 Lambda 函數正在嘗試與遠端主機的 IP 地址進行通訊,該 IP 地址已知會保存登入資料和惡意軟體擷取的其他遭竊資料。
**修復建議:**
如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Lambda 函數](remediate-lambda-protection-finding-types.md)。
## UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom
### Lambda 函數正在連線至自訂威脅清單上的 IP 地址。
**預設嚴重性:中**
+ **功能:**Lambda 網路活動監控
此調查結果會通知您,您 AWS 環境中的 Lambda 函數正在與您上傳的威脅清單中包含的 IP 地址進行通訊。在 GuardDuty 中,[威脅清單](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_upload-lists.html)包含已知的惡意 IP 地址。GuardDuty 會根據上傳的威脅清單產生調查結果。您可以在 GuardDuty 主控台的調查結果詳細資訊中檢視威脅清單的詳細資訊。
**修復建議:**
如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Lambda 函數](remediate-lambda-protection-finding-types.md)。
## UnauthorizedAccess:Lambda/TorClient
### Lambda 函數正在連線至 Tor Guard 或 Authority 節點。
**預設嚴重性:高**
+ **功能:**Lambda 網路活動監控
此調查結果會通知您,您 AWS 環境中的 Lambda 函數正在連線到 Tor Guard 或 Authority 節點。Tor 是一種啟用匿名通訊的軟體。Tor Guards 和 Authority 節點為進入 Tor 網路的初始閘道。此流量可能表示此 Lambda 函數已可能遭到破壞。其現在作為 Tor 網路上的用戶端。
**修復建議:**
如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Lambda 函數](remediate-lambda-protection-finding-types.md)。
## UnauthorizedAccess:Lambda/TorRelay
### Lambda 函數正在連線至 Tor 網路,且連線方式為顯示為代表 Tor 轉送。
**預設嚴重性:高**
+ **功能:**Lambda 網路活動監控
此調查結果會通知您,您 AWS 環境中的 Lambda 函數正在以暗示其做為 Tor 轉送的方式連線到 Tor 網路。Tor 是一種啟用匿名通訊的軟體。Tor 允許匿名通訊,做法是從某個 Tor 轉送將用戶端潛在非法流量轉寄至另一個 Tor 轉送。
**修復建議:**
如果此活動為非預期活動,即代表 Lambda 函數可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Lambda 函數](remediate-lambda-protection-finding-types.md)。
# 已淘汰的調查結果類型
調查結果是一種包含 GuardDuty 所發現潛在安全問題詳細資訊的通知。如需有關 GuardDuty 調查結果類型重要變更的詳細資訊,包括新增或淘汰的調查結果類型,請參閱[Amazon GuardDuty 文件歷史記錄](doc-history.md)。
下列調查結果類型已淘汰,GuardDuty 不再產生這類調查結果。
**重要**
您無法重新啟動已淘汰的 GuardDuty 調查結果類型。
**Topics**
+ [Exfiltration:S3/ObjectRead.Unusual](#exfiltration-s3-objectreadunusual)
+ [Impact:S3/PermissionsModification.Unusual](#impact-s3-permissionsmodificationunusual)
+ [Impact:S3/ObjectDelete.Unusual](#impact-s3-objectdeleteunusual)
+ [Discovery:S3/BucketEnumeration.Unusual](#discovery-s3-bucketenumerationunusual)
+ [Persistence:IAMUser/NetworkPermissions](#persistence-iam-networkpermissions)
+ [Persistence:IAMUser/ResourcePermissions](#persistence-iam-resourcepermissions)
+ [Persistence:IAMUser/UserPermissions](#persistence-iam-userpermissions)
+ [PrivilegeEscalation:IAMUser/AdministrativePermissions](#privilegeescalation-iam-administrativepermissions)
+ [Recon:IAMUser/NetworkPermissions](#recon-iam-networkpermissions)
+ [Recon:IAMUser/ResourcePermissions](#recon-iam-resourcepermissions)
+ [Recon:IAMUser/UserPermissions](#recon-iam-userpermissions)
+ [ResourceConsumption:IAMUser/ComputeResources](#resourceconsumption-iam-computeresources)
+ [Stealth:IAMUser/LoggingConfigurationModified](#stealth-iam-loggingconfigurationmodified)
+ [UnauthorizedAccess:IAMUser/ConsoleLogin](#unauthorizedaccess-iam-consolelogin)
+ [UnauthorizedAccess:EC2/TorIPCaller](#unauthorizedaccess-ec2-toripcaller)
+ [Backdoor:EC2/XORDDOS](#backdoor2)
+ [Behavior:IAMUser/InstanceLaunchUnusual](#behavior1)
+ [CryptoCurrency:EC2/BitcoinTool.A](#crypto1)
+ [UnauthorizedAccess:IAMUser/UnusualASNCaller](#unauthorized6)
## Exfiltration:S3/ObjectRead.Unusual
### IAM 實體以可疑的方式調用 S3 API。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
+ **資料來源:**適用於 S3 的 CloudTrail 資料事件
此調查結果會通知您,您 AWS 環境中的 IAM 實體正在進行涉及 S3 儲存貯體且與該實體已建立的基準不同的 API 呼叫。此活動中使用的 API 呼叫與攻擊的洩漏階段相關聯,攻擊者會在此階段嘗試收集資料。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,此 IAM 實體先前沒有調用此類 API 的歷史記錄,或者 API 的調用是從不尋常的位置進行。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Impact:S3/PermissionsModification.Unusual
### IAM 實體調用 API 來修改一或多個 S3 資源的許可。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果會通知您,IAM 實體正在進行 API 呼叫,這類呼叫旨在修改 AWS 環境中一個或多個儲存貯體或物件的許可。攻擊者可能會執行此動作,以允許在帳戶外共用資訊。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,此 IAM 實體先前沒有調用此類 API 的歷史記錄,或者 API 的調用是從不尋常的位置進行。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Impact:S3/ObjectDelete.Unusual
### IAM 實體調用的是刪除 S3 儲存貯體中資料所用的 API。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果會通知您,您 AWS 環境中的特定 IAM 實體正在發出 API 呼叫,旨在透過刪除儲存貯體本身來刪除所列 S3 儲存貯體中的資料。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,此 IAM 實體先前沒有調用此類 API 的歷史記錄,或者 API 的調用是從不尋常的位置進行。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Discovery:S3/BucketEnumeration.Unusual
### IAM 實體調用探索網路中 S3 儲存貯體所用的 S3 API。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果會通知您,IAM 實體已調用 S3 API,來探索環境中的 S3 儲存貯體,例如 `ListBuckets`。這種類型的活動與攻擊的探索階段相關聯,其中攻擊者正在收集資訊,以判斷您的 AWS 環境是否容易受到更廣泛的攻擊。此活動非常可疑,因為 IAM 實體調用 API 的方式並不尋常。例如,此 IAM 實體先前沒有調用此類 API 的歷史記錄,或者 API 的調用是從不尋常的位置進行。
**修復建議:**
如果此活動對於關聯的主體是非預期的結果,則可能表示憑證已暴露或 S3 許可的限制不夠嚴格。如需詳細資訊,請參閱[修復可能遭到入侵的 S3 儲存貯體](compromised-s3.md)。
## Persistence:IAMUser/NetworkPermissions
### IAM 實體調用 API,常用於變更 AWS 帳戶中安全群組、路由和 ACLs的網路存取許可。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果指出您 AWS 環境中的特定委託人 (AWS 帳戶根使用者、IAM 角色或使用者) 正在展現與已建立的基準不同的行為。此主體之前沒有調用此 API 的歷程記錄。
在可疑情況下變更網路組態設定時,例如主體調用 `CreateSecurityGroup` API,但先前沒有這樣做的歷史記錄時,就會觸發此調查結果。攻擊者通常會嘗試變更安全群組,並在各種連接埠上允許特定傳入流量,以改進他們存取 EC2 執行個體的能力。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Persistence:IAMUser/ResourcePermissions
### 委託人調用 API,通常用於變更 中各種資源的安全存取政策 AWS 帳戶。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果叫用 API 時使用在執行個體上建立的臨時 AWS 登入資料,則調查結果的嚴重性為高。
此調查結果指出您 AWS 環境中的特定委託人 (AWS 帳戶根使用者、IAM 角色或使用者) 正在展現與已建立的基準不同的行為。此主體之前沒有調用此 API 的歷程記錄。
當偵測到連接到 AWS 資源的政策或許可變更時,例如您 AWS 環境中的委託人調用 `PutBucketPolicy` API 而先前沒有這樣做的歷史記錄時,就會觸發此調查結果。有些服務 (例如 Amazon S3) 可支援授予一個或以上的主體存取資源的資源連接許可。攻擊者可以透過竊取的憑證,變更連接到資源的政策,以獲得對該資源的存取權限。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Persistence:IAMUser/UserPermissions
### 委託人調用 API,通常用於新增、修改或刪除您 AWS 帳戶中的 IAM 使用者、群組或政策。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果指出您 AWS 環境中的特定委託人 (AWS 帳戶根使用者、IAM 角色或使用者) 正在展現與已建立的基準不同的行為。此主體之前沒有調用此 API 的歷程記錄。
此調查結果是由您 AWS 環境中使用者相關許可的可疑變更所觸發,例如您 AWS 環境中的委託人調用 `AttachUserPolicy` API 時,先前沒有這樣做的歷史記錄。攻擊者可能會使用竊取的憑證來新建使用者、為現有使用者新增存取政策,或建立存取金鑰以最大限度地提高其對帳戶的存取權限,即使原始存取點關閉也是如此。例如,帳戶擁有者可能會注意到特定 IAM 使用者或密碼遭竊,並將其從帳戶中刪除。不過,他們可能不會刪除由詐騙建立的管理員主體建立的其他使用者,讓攻擊者可以存取他們的 AWS 帳戶。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## PrivilegeEscalation:IAMUser/AdministrativePermissions
### 委託人嘗試將非常寬鬆的政策指派給自己。
**預設嚴重性:低\$1**
**注意**
如果嘗試權限提升失敗,此調查結果的嚴重性為「低」,如果嘗試提升權限成功,則為嚴重性為「中」。
此調查結果指出您 AWS 環境中的特定 IAM 實體正在展現可能表示權限提升攻擊的行為。當 IAM 使用者或角色嘗試將非常寬鬆的政策指派給自己時,將會觸發此調查結果。如果有問題的使用者或角色不具有管理權限,則使用者的登入資料可能會洩露,或角色的許可可能未正確設定。
攻擊者將會使用竊取的憑證來新建使用者、為現有使用者新增存取政策,或建立存取金鑰以最大限度地提高其對帳戶的存取權限,即使原始存取點關閉也是如此。例如,該帳戶的擁有者可能會注意到特定 IAM 使用者登入憑證遭竊,並將其從帳戶中刪除,但可能不會刪除以詐欺手段建立之管理員主體所建立的其他使用者,因而導致攻擊者仍可存取其 AWS 帳戶。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Recon:IAMUser/NetworkPermissions
### 委託人調用 API,通常用於變更您 AWS 帳戶中安全群組、路由和 ACLs的網路存取許可。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果指出您 AWS 環境中的特定委託人 (AWS 帳戶根使用者、IAM 角色或使用者) 正在展現與已建立的基準不同的行為。此主體之前沒有調用此 API 的歷程記錄。
此調查結果會在可疑情況下探測 AWS 帳戶中的資源存取許可時被觸發。例如,如果主體在調用 `DescribeInstances` API 時先前沒有這樣做的歷史記錄。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵察,以尋找更有價值的登入資料,或判斷他們已有的登入資料功能。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Recon:IAMUser/ResourcePermissions
### 委託人調用 API,常用於變更 AWS 帳戶中各種資源的安全存取政策。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果指出您 AWS 環境中的特定委託人 (AWS 帳戶根使用者、IAM 角色或使用者) 正在展現與已建立的基準不同的行為。此主體之前沒有調用此 API 的歷程記錄。
此調查結果會在可疑情況下探測 AWS 帳戶中的資源存取許可時被觸發。例如,如果主體在調用 `DescribeInstances` API 時先前沒有這樣做的歷史記錄。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵察,以尋找更有價值的登入資料,或判斷他們已有的登入資料功能。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Recon:IAMUser/UserPermissions
### 委託人調用 API,通常用於新增、修改或刪除您 AWS 帳戶中的 IAM 使用者、群組或政策。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
在可疑情況下探測 AWS 環境中的使用者許可時,會觸發此調查結果。例如,如果主體 (AWS 帳戶根使用者、IAM 角色或 IAM 使用者) 在調用 `ListInstanceProfilesForRole` API 時先前沒有這樣做的歷史記錄。攻擊者可能會使用遭竊的登入資料來執行這類 AWS 資源偵察,以尋找更有價值的登入資料,或判斷他們已有的登入資料功能。
此調查結果指出您 AWS 環境中的特定委託人所展現的行為與已建立的基準不同。此主體之前沒有使用此方法調用 API 的歷程記錄。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## ResourceConsumption:IAMUser/ComputeResources
### 委託人叫用常用於啟動運算資源 (例如 EC2 執行個體) 的 API。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果會在可疑情況下啟動 AWS 環境中所列帳戶中的 EC2 執行個體時被觸發。此調查結果指出您 AWS 環境中的特定委託人所展現的行為與已建立的基準不同;例如,如果委託人 (AWS 帳戶根使用者、IAM 角色或 IAM 使用者) 調用 `RunInstances` API 而先前沒有這樣做的歷史記錄。這可能表示攻擊者使用了遭洩漏的憑證來竊取運算時間 (可能用於加密貨幣採礦或密碼破解)。它也可以表示攻擊者在您的 AWS 環境中使用 EC2 執行個體及其登入資料來維護對帳戶的存取。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## Stealth:IAMUser/LoggingConfigurationModified
### 委託人調用 API,通常用於停止 CloudTrail 記錄、刪除現有日誌,以及消除 AWS 您帳戶中的活動追蹤。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
此調查結果會在可疑情況下修改您環境中所列 AWS 帳戶中的記錄組態時被觸發。此調查結果會通知您,您 AWS 環境中的特定委託人所展現的行為與已建立的基準不同;例如,如果委託人 (AWS 帳戶根使用者、IAM 角色或 IAM 使用者) 調用 `StopLogging` API 而先前沒有這樣做的歷史記錄。這可能表示攻擊者正試圖透過消除他們的任何活動痕跡來掩蓋其踪跡。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## UnauthorizedAccess:IAMUser/ConsoleLogin
### 您 AWS 帳戶中的主體發現不尋常的主控台登入。
**預設嚴重性:中\$1**
**注意**
此調查結果的預設嚴重性為「中」。不過,如果使用在執行個體上建立的臨時 AWS 登入資料叫用 API,則問題清單的嚴重性為高。
在可疑情況下偵測到主控台登入時都會觸發此調查結果。例如,如果一個主體沒有之前的歷程記錄,則會從一個從未使用過的用戶端或不尋常的位置調用 ConsoleLogin API。這可能表示被盜的登入資料被用來存取 AWS 您的帳戶,或以無效或較不安全的方式存取帳戶的有效使用者 (例如,不是透過核准的 VPN)。
此調查結果會通知您,您 AWS 環境中的特定主體所展現的行為與已建立的基準不同。此主體之前沒有從此特定位置使用此用戶端應用程式登入活動的歷程記錄。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## UnauthorizedAccess:EC2/TorIPCaller
### 您的 EC2 執行個體正在從一個 Tor 退出節點接收傳入連線。
**預設嚴重性:中**
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在從 Tor 結束節點接收傳入連線。Tor 是一種啟用匿名通訊的軟體。它會透過一系列網路節點之間的中繼來加密並隨機反彈通訊。最後的 Tor 節點稱為退出節點。此調查結果可能表示未經授權存取您的 AWS 資源,目的是隱藏攻擊者的真實身分。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Backdoor:EC2/XORDDOS
### EC2 執行個體嘗試與 XOR DDoS 惡意軟體相關聯的 IP 地址進行通訊。
**預設嚴重性:高**
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在嘗試與與 XOR DDoS 惡意軟體相關聯的 IP 地址進行通訊。此 EC2 執行個體可能已遭洩漏。XOR DDoS 是 Trojan (木馬程式) 惡意軟體,會劫持 Linux 系統。為了取得系統存取權限,它會啟動暴力破解攻擊,以找出 Linux 上 Secure Shell (SSH) 服務的密碼。取得 SSH 憑證並成功登入後,其會利用根使用者權限執行指令碼,來下載和安裝 XOR DDoS。接著此惡意軟體就會成為殭屍網路的一部分,用來對其他目標發動分散式阻斷服務 (DDoS) 攻擊。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## Behavior:IAMUser/InstanceLaunchUnusual
### 使用者啟動了不尋常的 EC2 執行個體類型。
**預設嚴重性:高**
此調查結果會通知您,您 AWS 環境中的特定使用者正在展現與已建立基準不同的行為。此使用者沒有啟動此 EC2 執行個體類型的歷史記錄。登入憑證可能已遭盜用。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## CryptoCurrency:EC2/BitcoinTool.A
### EC2 執行個體正在與 Bitcoin (比特幣) 採礦區通訊。
**預設嚴重性:高**
此調查結果會通知您,您 AWS 環境中的 EC2 執行個體正在與比特幣採礦集區通訊。在加密貨幣採礦的領域中,採礦池是礦工透過網路分享處理能力來匯集資源的集區,並根據他們解決區塊時貢獻的工作量來分割獎勵。除非您使用此 EC2 執行個體來挖掘 Bitcoin (比特幣),否則您的 EC2 執行個體可能會被洩漏。
**修復建議:**
如果此活動為非預期活動,即代表您的執行個體可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。
## UnauthorizedAccess:IAMUser/UnusualASNCaller
### API 已被一個不尋常網路的 IP 地址呼叫。
**預設嚴重性:高**
此調查結果會通知您,已從異常網路的 IP 地址叫用特定活動。在所描述使用者的 AWS 使用歷史記錄中從未觀察到該網路。此活動可以包括主控台登入、嘗試啟動 EC2 執行個體、新建 IAM 使用者、修改 AWS 權限等。這可能表示未經授權存取您的 AWS 資源。
**修復建議:**
如果此活動為非預期活動,即代表您的憑證可能已遭入侵。如需詳細資訊,請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
## 依潛在受影響資源的 GuardDuty 調查結果類型
以下頁面依與 GuardDuty 調查結果相關聯的潛在受影響資源類型進行分類:
+ [EC2 調查結果類型](guardduty_finding-types-ec2.md)
+ [IAM 調查結果類型](guardduty_finding-types-iam.md)
+ [攻擊序列調查結果類型](guardduty-attack-sequence-finding-types.md)
+ [S3 保護調查結果類型](guardduty_finding-types-s3.md)
+ [EKS 保護調查結果類型](guardduty-finding-types-eks-audit-logs.md)
+ [執行期監控問題清單類型](findings-runtime-monitoring.md)
+ [EC2 調查結果類型的惡意軟體防護](findings-malware-protection.md)
+ [S3 調查結果類型的惡意軟體防護](gdu-malware-protection-s3-finding-types.md)
+ [備份問題清單類型的惡意軟體防護](findings-malware-protection-backup.md)
+ [RDS 保護調查結果類型](findings-rds-protection.md)
+ [Lambda 保護調查結果類型](lambda-protection-finding-types.md)
## GuardDuty 作用中調查結果類型
下表展示了依基礎資料來源或功能 (如適用) 排序的所有作用中調查結果類型。在下表中,某些調查結果的*調查結果嚴重性*資料欄值以星號 (\$1) 或加號 (+) 標記:
\$1這些調查結果類型具有可變嚴重性。根據問題清單的特定內容,特定類型的問題清單可能會有不同的嚴重性。如需問題清單類型的詳細資訊,請檢視其詳細說明。
使用 VPC 流程日誌做為資料來源的 \$1EC2 調查結果不支援 IPv6 流量。
| 調查結果類型 | Resource Type (資源類型) | 基礎資料來源/功能 | 調查結果的嚴重性 |
| --- | --- | --- | --- |
| [Discovery:S3/AnomalousBehavior](guardduty_finding-types-s3.md#discovery-s3-anomalousbehavior) | Amazon S3 | S3 的 CloudTrail 資料事件 | 低 |
| [Discovery:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#discovery-s3-maliciousipcaller) | Amazon S3 | S3 的 CloudTrail 資料事件 | 高 |
| [Discovery:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#discovery-s3-maliciousipcallercustom) | Amazon S3 | S3 的 CloudTrail 資料事件 | 高 |
| [Discovery:S3/TorIPCaller](guardduty_finding-types-s3.md#discovery-s3-toripcaller) | Amazon S3 | S3 的 CloudTrail 資料事件 | 中 |
| [Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior) | Amazon S3 | S3 的 CloudTrail 資料事件 | 高 |
| [Exfiltration:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#exfiltration-s3-maliciousipcaller) | Amazon S3 | S3 的 CloudTrail 資料事件 | 高 |
| [Impact:EC2/MaliciousDomainRequest.Custom](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequest-custom) | Amazon EC2 | DNS 日誌 | 中 |
| [Impact:S3/AnomalousBehavior.Delete](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-delete) | Amazon S3 | S3 的 CloudTrail 資料事件 | 高 |
| [Impact:S3/AnomalousBehavior.Permission](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-permission) | Amazon S3 | S3 的 CloudTrail 資料事件 | 高 |
| [Impact:S3/AnomalousBehavior.Write](guardduty_finding-types-s3.md#impact-s3-anomalousbehavior-write) | Amazon S3 | S3 的 CloudTrail 資料事件 | 中 |
| [Impact:S3/MaliciousIPCaller](guardduty_finding-types-s3.md#impact-s3-maliciousipcaller) | Amazon S3 | S3 的 CloudTrail 資料事件 | 高 |
| [PenTest:S3/KaliLinux](guardduty_finding-types-s3.md#pentest-s3-kalilinux) | Amazon S3 | S3 的 CloudTrail 資料事件 | 中 |
| [PenTest:S3/ParrotLinux](guardduty_finding-types-s3.md#pentest-s3-parrotlinux) | Amazon S3 | S3 的 CloudTrail 資料事件 | 中 |
| [PenTest:S3/PentooLinux](guardduty_finding-types-s3.md#pentest-s3-pentoolinux) | Amazon S3 | S3 的 CloudTrail 資料事件 | 中 |
| [UnauthorizedAccess:S3/TorIPCaller](guardduty_finding-types-s3.md#unauthorizedaccess-s3-toripcaller) | Amazon S3 | S3 的 CloudTrail 資料事件 | 高 |
| [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#unauthorizedaccess-s3-maliciousipcallercustom) | Amazon S3 | S3 的 CloudTrail 資料事件 | 高 |
| [CredentialAccess:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#credentialaccess-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 中 |
| [CredentialAccess:IAMUser/CompromisedCredentials](guardduty_finding-types-iam.md#credentialaccess-iam-compromisedcredentials) | IAM | CloudTrail 管理事件或 S3 的 CloudTrail 資料事件 | 高 |
| [DefenseEvasion:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#defenseevasion-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 中 |
| [DefenseEvasion:IAMUser/BedrockLoggingDisabled](guardduty_finding-types-iam.md#defenseevasion-iam-bedrockloggingdisabled) | IAM | CloudTrail 管理事件 | 中 |
| [Discovery:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#discovery-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 低 |
| [Exfiltration:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#exfiltration-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 高 |
| [Impact:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#impact-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 高 |
| [InitialAccess:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#initialaccess-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 中 |
| [PenTest:IAMUser/KaliLinux](guardduty_finding-types-iam.md#pentest-iam-kalilinux) | IAM | CloudTrail 管理事件 | 中 |
| [PenTest:IAMUser/ParrotLinux](guardduty_finding-types-iam.md#pentest-iam-parrotlinux) | IAM | CloudTrail 管理事件 | 中 |
| [PenTest:IAMUser/PentooLinux](guardduty_finding-types-iam.md#pentest-iam-pentoolinux) | IAM | CloudTrail 管理事件 | 中 |
| [Persistence:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#persistence-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 中 |
| [Stealth:IAMUser/PasswordPolicyChange](guardduty_finding-types-iam.md#stealth-iam-passwordpolicychange) | IAM | CloudTrail 管理事件 | 低[*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationinsideaws) | IAM | CloudTrail 管理事件 | 高[*](#gdu-active-findings-variable-severity) |
| [Policy:S3/AccountBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-accountblockpublicaccessdisabled) | Amazon S3 | CloudTrail 管理事件 | 低 |
| [Policy:S3/BucketAnonymousAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketanonymousaccessgranted) | Amazon S3 | CloudTrail 管理事件 | 高 |
| [Policy:S3/BucketBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-bucketblockpublicaccessdisabled) | Amazon S3 | CloudTrail 管理事件 | 低 |
| [Policy:S3/BucketPublicAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketpublicaccessgranted) | Amazon S3 | CloudTrail 管理事件 | 高 |
| [PrivilegeEscalation:IAMUser/AnomalousBehavior](guardduty_finding-types-iam.md#privilegeescalation-iam-anomalousbehavior) | IAM | CloudTrail 管理事件 | 中 |
| [Recon:IAMUser/MaliciousIPCaller](guardduty_finding-types-iam.md#recon-iam-maliciousipcaller) | IAM | CloudTrail 管理事件 | 中 |
| [Recon:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#recon-iam-maliciousipcallercustom) | IAM | CloudTrail 管理事件 | 中 |
| [Recon:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#recon-iam-toripcaller) | IAM | CloudTrail 管理事件 | 中 |
| [Stealth:IAMUser/CloudTrailLoggingDisabled](guardduty_finding-types-iam.md#stealth-iam-cloudtrailloggingdisabled) | IAM | CloudTrail 管理事件 | 低 |
| [Stealth:S3/ServerAccessLoggingDisabled](guardduty_finding-types-s3.md#stealth-s3-serveraccessloggingdisabled) | Amazon S3 | CloudTrail 管理事件 | 低 |
| [UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B](guardduty_finding-types-iam.md#unauthorizedaccess-iam-consoleloginsuccessb) | IAM | CloudTrail 管理事件 | 中 |
| [UnauthorizedAccess:IAMUser/MaliciousIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcaller) | IAM | CloudTrail 管理事件 | 中 |
| [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcallercustom) | IAM | CloudTrail 管理事件 | 中 |
| [UnauthorizedAccess:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-toripcaller) | IAM | CloudTrail 管理事件 | 中 |
| [Policy:IAMUser/RootCredentialUsage](guardduty_finding-types-iam.md#policy-iam-rootcredentialusage) | IAM | CloudTrail 管理事件或 S3 的 CloudTrail 資料事件 | 低 |
| [Policy:IAMUser/ShortTermRootCredentialUsage](guardduty_finding-types-iam.md#policy-iam-user-short-term-root-credential-usage) | IAM | CloudTrail 管理事件或 S3 的 CloudTrail 資料事件 | 低 |
| [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws) | IAM | CloudTrail 管理事件或 S3 的 CloudTrail 資料事件 | 高 |
| [UnauthorizedAccess:IAMUser/ResourceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-resourcecredentialexfiltrationoutsideaws) | IAM | CloudTrail 管理事件或 S3 的 CloudTrail 資料事件 | 高 |
| [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster) | 攻擊序列中涉及的資源 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/guardduty_finding-types-active.html) | 嚴重 |
| [AttackSequence:IAM/CompromisedCredentials](guardduty-attack-sequence-finding-types.md#attack-sequence-iam-compromised-credentials) | 攻擊序列中涉及的資源 | CloudTrail 管理事件 | 嚴重 |
| [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data) | 攻擊序列中涉及的資源 | S3 的 CloudTrail 管理事件和 CloudTrail 資料事件 | 嚴重 |
| [AttackSequence:ECS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-ecs-compromised-cluster) | 攻擊序列中涉及的資源 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/guardduty_finding-types-active.html) | 嚴重 |
| [AttackSequence:EC2/CompromisedInstanceGroup](guardduty-attack-sequence-finding-types.md#attack-sequence-ec2-compromised-instance-group) | 攻擊序列中涉及的資源 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/guardduty_finding-types-active.html) | 嚴重 |
| [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns) | Amazon EC2 | DNS 日誌 | 高 |
| [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns) | Amazon EC2 | DNS 日誌 | 高 |
| [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation) | Amazon EC2 | DNS 日誌 | 中 |
| [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation) | Amazon EC2 | DNS 日誌 | 高 |
| [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation) | Amazon EC2 | DNS 日誌 | 高 |
| [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation) | Amazon EC2 | DNS 日誌 | 低 |
| [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns) | Amazon EC2 | DNS 日誌 | 中 |
| [Trojan:EC2/DGADomainRequest.B](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestb) | Amazon EC2 | DNS 日誌 | 高 |
| [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns) | Amazon EC2 | DNS 日誌 | 高 |
| [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration) | Amazon EC2 | DNS 日誌 | 高 |
| [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns) | Amazon EC2 | DNS 日誌 | 高 |
| [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns) | Amazon EC2 | DNS 日誌 | 中 |
| [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns) | Amazon EC2 | DNS 日誌 | 高 |
| [UnauthorizedAccess:EC2/MetadataDNSRebind](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-metadatadnsrebind) | Amazon EC2 | DNS 日誌 | 高 |
| [Execution:Container/MaliciousFile](findings-malware-protection.md#execution-malware-container-maliciousfile) | 容器 | EBS 惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [Execution:Container/SuspiciousFile](findings-malware-protection.md#execution-malware-container-suspiciousfile) | 容器 | EBS 惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [Execution:EC2/MaliciousFile](findings-malware-protection.md#execution-malware-ec2-maliciousfile) | Amazon EC2 | EBS 惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [Execution:EC2/SuspiciousFile](findings-malware-protection.md#execution-malware-ec2-suspiciousfile) | Amazon EC2 | EBS 惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [Execution:ECS/MaliciousFile](findings-malware-protection.md#execution-malware-ecs-maliciousfile) | ECS | EBS 惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [Execution:ECS/SuspiciousFile](findings-malware-protection.md#execution-malware-ecs-suspiciousfile) | ECS | EBS 惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [Execution:Kubernetes/MaliciousFile](findings-malware-protection.md#execution-malware-kubernetes-maliciousfile) | Kubernetes | EBS 惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [Execution:Kubernetes/SuspiciousFile](findings-malware-protection.md#execution-malware-kubernetes-suspiciousfile) | Kubernetes | EBS 惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [Execution:EC2/MaliciousFile\$1Snapshot](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-snapshot) | Amazon EBS | Backup 的惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [Execution:EC2/MaliciousFile\$1AMI在 EC2 AMI 中偵測到惡意檔案。](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-ami) | Amazon EC2 | Backup 的惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [Execution:EC2/MaliciousFile\$1RecoveryPoint](findings-malware-protection-backup.md#execution-malware-ec2-maliciousfile-recoverypoint) | AWS 備份 | Backup 的惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [Execution:S3/MaliciousFile\$1RecoveryPoint](findings-malware-protection-backup.md#execution-malware-s3-maliciousfile-recoverypoint) | AWS 備份 | Backup 的惡意軟體防護 | 根據偵測到的安全威脅而異 |
| [CredentialAccess:Kubernetes/AnomalousBehavior.SecretsAccessed](guardduty-finding-types-eks-audit-logs.md#credaccess-kubernetes-anomalousbehavior-secretsaccessed) | Kubernetes | EKS 稽核日誌 | 中 |
| [CredentialAccess:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-maliciousipcaller) | Kubernetes | EKS 稽核日誌 | 高 |
| [CredentialAccess:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 稽核日誌 | 高 |
| [CredentialAccess:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 稽核日誌 | 高 |
| [CredentialAccess:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#credentialaccess-kubernetes-toripcaller) | Kubernetes | EKS 稽核日誌 | 高 |
| [DefenseEvasion:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-maliciousipcaller) | Kubernetes | EKS 稽核日誌 | 高 |
| [DefenseEvasion:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 稽核日誌 | 高 |
| [DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 稽核日誌 | 高 |
| [DefenseEvasion:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#defenseevasion-kubernetes-toripcaller) | Kubernetes | EKS 稽核日誌 | 高 |
| [Discovery:Kubernetes/AnomalousBehavior.PermissionChecked](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-anomalousbehavrior-permissionchecked) | Kubernetes | EKS 稽核日誌 | 低 |
| [Discovery:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcaller) | Kubernetes | EKS 稽核日誌 | 中 |
| [Discovery:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 稽核日誌 | 中 |
| [Discovery:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 稽核日誌 | 中 |
| [Discovery:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-toripcaller) | Kubernetes | EKS 稽核日誌 | 中 |
| [Execution:Kubernetes/ExecInKubeSystemPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-execinkubesystempod) | Kubernetes | EKS 稽核日誌 | 中 |
| [Execution:Kubernetes/AnomalousBehavior.ExecInPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-anomalousbehvaior-execinprod) | Kubernetes | EKS 稽核日誌 | 中 |
| [Execution:Kubernetes/AnomalousBehavior.WorkloadDeployed](guardduty-finding-types-eks-audit-logs.md#exec-kubernetes-anomalousbehavior-workloaddeployed) | Kubernetes | EKS 稽核日誌 | 低 |
| [Impact:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcaller) | Kubernetes | EKS 稽核日誌 | 高 |
| [Impact:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 稽核日誌 | 高 |
| [Impact:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 稽核日誌 | 高 |
| [Impact:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-toripcaller) | Kubernetes | EKS 稽核日誌 | 高 |
| [Persistence:Kubernetes/ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-containerwithsensitivemount) | Kubernetes | EKS 稽核日誌 | 中 |
| [Persistence:Kubernetes/MaliciousIPCaller](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-maliciousipcaller) | Kubernetes | EKS 稽核日誌 | 中 |
| [Persistence:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-maliciousipcallercustom) | Kubernetes | EKS 稽核日誌 | 中 |
| [Persistence:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-successfulanonymousaccess) | Kubernetes | EKS 稽核日誌 | 高 |
| [Persistence:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-toripcaller) | Kubernetes | EKS 稽核日誌 | 中 |
| [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount) | Kubernetes | EKS 稽核日誌 | 高 |
| [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted) | Kubernetes | EKS 稽核日誌 | 高 |
| [Policy:Kubernetes/KubeflowDashboardExposed](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-kubeflowdashboardexposed) | Kubernetes | EKS 稽核日誌 | 中 |
| [Policy:Kubernetes/ExposedDashboard](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-exposeddashboard) | Kubernetes | EKS 稽核日誌 | 中 |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleBindingCreated](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-rolebindingcreated) | Kubernetes | EKS 稽核日誌 | 中[*](#gdu-active-findings-variable-severity) |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.RoleCreated](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-rolecreated) | Kubernetes | EKS 稽核日誌 | 低 |
| [Persistence:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-workloaddeployed-containerwithsensitivemount) | Kubernetes | EKS 稽核日誌 | 高 |
| [PrivilegeEscalation:Kubernetes/AnomalousBehavior.WorkloadDeployed\$1PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privesc-kubernetes-anomalousbehavior-workloaddeployed-privcontainer) | Kubernetes | EKS 稽核日誌 | 高 |
| [PrivilegeEscalation:Kubernetes/PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privilegeescalation-kubernetes-privilegedcontainer) | Kubernetes | EKS 稽核日誌 | 中 |
| [Backdoor:Lambda/C&CActivity.B](lambda-protection-finding-types.md#backdoor-lambda-ccactivity-b) | Lambda | Lambda 網路活動監控 | 高 |
| [CryptoCurrency:Lambda/BitcoinTool.B](lambda-protection-finding-types.md#cryptocurrency-lambda-bitcointool-b) | Lambda | Lambda 網路活動監控 | 高 |
| [Trojan:Lambda/BlackholeTraffic](lambda-protection-finding-types.md#trojan-lambda-blackhole-traffic) | Lambda | Lambda 網路活動監控 | 中 |
| [Trojan:Lambda/DropPoint](lambda-protection-finding-types.md#trojan-lambda-drop-point) | Lambda | Lambda 網路活動監控 | 中 |
| [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](lambda-protection-finding-types.md#unauthorized-access-lambda-maliciousIPcaller-custom) | Lambda | Lambda 網路活動監控 | 中 |
| [UnauthorizedAccess:Lambda/TorClient](lambda-protection-finding-types.md#unauthorized-access-lambda-tor-client) | Lambda | Lambda 網路活動監控 | 高 |
| [UnauthorizedAccess:Lambda/TorRelay](lambda-protection-finding-types.md#unauthorized-access-lambda-tor-relay) | Lambda | Lambda 網路活動監控 | 高 |
| [Object:S3/MaliciousFile](gdu-malware-protection-s3-finding-types.md#s3-object-s3-malicious-file) | S3Object | S3 的惡意軟體防護 | 高 |
| [CredentialAccess:RDS/AnomalousBehavior.FailedLogin](findings-rds-protection.md#credaccess-rds-anombehavior-failedlogin) | [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) | RDS 登入活動監控 | 低 |
| [CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce](findings-rds-protection.md#credaccess-rds-anombehavior-successfulbruteforce) | [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) | RDS 登入活動監控 | 高 |
| [CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-anombehavior-successlogin) | [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) | RDS 登入活動監控 | 變數[*](#gdu-active-findings-variable-severity) |
| [CredentialAccess:RDS/MaliciousIPCaller.FailedLogin](findings-rds-protection.md#credaccess-rds-maliciousipcaller-failedlogin) | [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) | RDS 登入活動監控 | 中 |
| [CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-maliciousipcaller-successfullogin) | [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) | RDS 登入活動監控 | 高 |
| [CredentialAccess:RDS/TorIPCaller.FailedLogin](findings-rds-protection.md#credaccess-rds-toripcaller-failedlogin) | [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) | RDS 登入活動監控 | 中 |
| [CredentialAccess:RDS/TorIPCaller.SuccessfulLogin](findings-rds-protection.md#credaccess-rds-toripcaller-successfullogin) | [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) | RDS 登入活動監控 | 高 |
| [Discovery:RDS/MaliciousIPCaller](findings-rds-protection.md#discovery-rds-maliciousipcaller) | [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) | RDS 登入活動監控 | 中 |
| [Discovery:RDS/TorIPCaller](findings-rds-protection.md#discovery-rds-toripcaller) | [支援的 Amazon Aurora、Amazon RDS 和 Aurora Limitless 資料庫](rds-protection.md#rds-pro-supported-db) | RDS 登入活動監控 | 中 |
| [Backdoor:Runtime/C&CActivity.B](findings-runtime-monitoring.md#backdoor-runtime-ccactivityb) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [CryptoCurrency:Runtime/BitcoinTool.B](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolb) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [DefenseEvasion:Runtime/FilelessExecution](findings-runtime-monitoring.md#defenseeva-runtime-filelessexecution) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [DefenseEvasion:Runtime/KernelModuleLoaded](findings-runtime-monitoring.md#defenseevasion-runtime-kernelmoduleloaded) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [DefenseEvasion:Runtime/ProcessInjection.Proc](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionproc) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [DefenseEvasion:Runtime/ProcessInjection.Ptrace](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionptrace) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionvirtualmemw) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [DefenseEvasion:Runtime/PtraceAntiDebugging](findings-runtime-monitoring.md#defenseevasion-runtime-ptrace-anti-debug) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 低 |
| [DefenseEvasion:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#defenseevasion-runtime-suspicious-command) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [Discovery:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#discovery-runtime-suspicious-command) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 低 |
| [Execution:Runtime/MaliciousFileExecuted](findings-runtime-monitoring.md#execution-runtime-malicious-file-executed) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [Execution:Runtime/NewBinaryExecuted](findings-runtime-monitoring.md#execution-runtime-newbinaryexecuted) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [Execution:Runtime/NewLibraryLoaded](findings-runtime-monitoring.md#execution-runtime-newlibraryloaded) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [Execution:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#execution-runtime-suspiciouscommand) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 變數 |
| [Execution:Runtime/SuspiciousShellCreated](findings-runtime-monitoring.md#execution-runtime-suspicious-shell-created) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 低 |
| [Execution:Runtime/SuspiciousTool](findings-runtime-monitoring.md#execution-runtime-suspicioustool) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 變數 |
| [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [Impact:Runtime/CryptoMinerExecuted](findings-runtime-monitoring.md#impact-runtime-cryptominerexecuted) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 低 |
| [Persistence:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#persistence-runtime-suspicious-command) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](findings-runtime-monitoring.md#privilegeesc-runtime-cgroupsreleaseagentmodified) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [PrivilegeEscalation:Runtime/ElevationToRoot](findings-runtime-monitoring.md#privilegeesc-runtime-elevation-to-root) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [PrivilegeEscalation:Runtime/RuncContainerEscape](findings-runtime-monitoring.md#privilegeesc-runtime-runccontainerescape) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [PrivilegeEscalation:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#privilege-escalation-runtime-suspicious-command) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [PrivilegeEscalation:Runtime/UserfaultfdUsage](findings-runtime-monitoring.md#privilegeescalation-runtime-userfaultfdusage) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [Trojan:Runtime/BlackholeTraffic](findings-runtime-monitoring.md#trojan-runtime-blackholetraffic) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [Trojan:Runtime/DropPoint](findings-runtime-monitoring.md#trojan-runtime-droppoint) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 中 |
| [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [UnauthorizedAccess:Runtime/MetadataDNSRebind](findings-runtime-monitoring.md#unauthorizedaccess-runtime-metadatadnsrebind) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [UnauthorizedAccess:Runtime/TorClient](findings-runtime-monitoring.md#unauthorizedaccess-runtime-torclient) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [UnauthorizedAccess:Runtime/TorRelay](findings-runtime-monitoring.md#unauthorizedaccess-runtime-torrelay) | 執行個體、EKS 叢集、ECS 叢集或容器 | 執行時期監控 | 高 |
| [Backdoor:EC2/C&CActivity.B](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivityb) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/DenialOfService.Tcp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicetcp) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudpontcpports) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/DenialOfService.UnusualProtocol](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceunusualprotocol) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Backdoor:EC2/Spambot](guardduty_finding-types-ec2.md#backdoor-ec2-spambot) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [Behavior:EC2/NetworkPortUnusual](guardduty_finding-types-ec2.md#behavior-ec2-networkportunusual) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [Behavior:EC2/TrafficVolumeUnusual](guardduty_finding-types-ec2.md#behavior-ec2-trafficvolumeunusual) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [CryptoCurrency:EC2/BitcoinTool.B](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolb) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [DefenseEvasion:EC2/UnusualDNSResolver](guardduty_finding-types-ec2.md#defenseevasion-ec2-unusualdnsresolver) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [DefenseEvasion:EC2/UnusualDoHActivity](guardduty_finding-types-ec2.md#defenseevasion-ec2-unsualdohactivity) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [DefenseEvasion:EC2/UnusualDoTActivity](guardduty_finding-types-ec2.md#defenseevasion-ec2-unusualdotactivity) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [Impact:EC2/PortSweep](guardduty_finding-types-ec2.md#impact-ec2-portsweep) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Impact:EC2/WinRMBruteForce](guardduty_finding-types-ec2.md#impact-ec2-winrmbruteforce) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 低[*](#gdu-active-findings-variable-severity) |
| [Recon:EC2/PortProbeEMRUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeemrunprotectedport) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [Recon:EC2/PortProbeUnprotectedPort](guardduty_finding-types-ec2.md#recon-ec2-portprobeunprotectedport) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 低[*](#gdu-active-findings-variable-severity) |
| [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [Trojan:EC2/BlackholeTraffic](guardduty_finding-types-ec2.md#trojan-ec2-blackholetraffic) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [Trojan:EC2/DropPoint](guardduty_finding-types-ec2.md#trojan-ec2-droppoint) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-maliciousipcallercustom) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 中 |
| [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 低[*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 低[*](#gdu-active-findings-variable-severity) |
| [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |
| [UnauthorizedAccess:EC2/TorRelay](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torrelay) | Amazon EC2 | VPC 流程日誌[+](#gdu-ec2-finding-no-support-ipv6-traffic) | 高 |