本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解和產生 Amazon GuardDuty 調查結果
GuardDuty 調查結果代表在 AWS 帳戶、工作負載和資料中偵測到的潛在安全問題。GuardDuty 會在偵測到 AWS 您環境中的意外和潛在惡意活動時產生調查結果。
您可以在 GuardDuty 主控台的**調查結果**頁面上,或使用 AWS CLI 或 API 操作來檢視和管理 GuardDuty 調查結果。如需如何管理 GuardDuty 調查結果的資訊,請參閱 [管理 Amazon GuardDuty 調查結果](findings_management.md)。
**主題:**
[GuardDuty 調查結果格式](guardduty_finding-format.md)
了解 GuardDuty 調查結果類型的格式,以及 GuardDuty 追蹤的不同威脅目的。
[範例問題清單](sample_findings.md)
在 GuardDuty 主控台或使用 GuardDuty API 或 AWS CLI 命令產生範例問題清單。產生的範例問題清單包含虛構的詳細資訊,可協助您了解與每個 GuardDuty 問題清單相關聯的問題清單詳細資訊。這些調查結果會以字首 **【SAMPLE】** 標記。
[在專用帳戶中測試 GuardDuty 調查結果](guardduty_findings-scripts.md)
您可以在環境中測試特定 GuardDuty 調查結果。在專用非生產 中執行`guardduty-tester`指令碼 AWS 帳戶。若要讓 GuardDuty 偵測和模擬問題清單,它會在您的環境中部署特定資源。此體驗與產生範例問題清單不同。
[在 GuardDuty 主控台中檢視產生的調查結果](guardduty_working-with-findings.md)
了解如何在 GuardDuty 主控台中檢閱產生的調查結果。
[GuardDuty 調查結果的嚴重性等級](guardduty_findings-severity.md)
每個 GuardDuty 調查結果都有相關聯的嚴重性等級,反映您 AWS 環境中的潛在風險。本節說明每個嚴重性等級所代表的意義。
[調查結果詳細資訊](guardduty_findings-summary.md)
了解與您帳戶中產生之 GuardDuty 調查結果相關聯的詳細資訊。本主題包含與 GuardDuty 中的基礎威脅偵測、延伸威脅偵測和專用保護計劃相關的詳細資訊。
[GuardDuty 調查結果彙總](finding-aggregation.md)
了解 GuardDuty 如何處理多個出現的相同問題清單類型。透過彙總偵測到的相同問題清單類型,GuardDuty 會使用最新的詳細資訊更新原始問題清單類型。
[GuardDuty 調查結果類型](guardduty_finding-types-active.md)
本節依相關聯的 [基礎資料來源](guardduty_data-sources.md)或 來註冊 GuardDuty 調查結果類型[映射的 GuardDuty 功能](guardduty-feature-object-api-changes-march2023.md#guardduty-feature-enablement-datasource-relation)。若要了解每個問題清單類型,請選取該問題清單以取得進一步的詳細資訊,例如其描述和修復問題清單的潛在步驟。
# GuardDuty 調查結果格式
當 GuardDuty 在您的 AWS 環境中偵測到可疑或非預期的行為時,會產生問題清單。調查結果是包含 GuardDuty 所發現潛在安全問題相關詳細資訊的通知。[在 GuardDuty 主控台中檢視產生的調查結果](guardduty_working-with-findings.md) 其中包括發生了什麼事、可疑活動涉及哪些 AWS 資源、此活動發生的時間,以及可協助您了解根本原因的相關資訊。
在問題清單詳細資訊中,最有用的資訊之一是**問題清單類型**。問題清單類型的目的,是提供潛在安全問題精簡易讀的描述。例如,GuardDuty *Recon:EC2/PortProbeUnprotectedPort* 調查結果類型會快速通知您,在 AWS 環境中的某個位置,EC2 執行個體具有潛在攻擊者正在探測的未受保護連接埠。
GuardDuty 會使用以下格式命名其產生的各種調查結果類型:
**ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.DetectionMechanism\$1Artifact**
此格式的每個部分都代表調查結果類型的一個層面。這些層面具有以下解釋:
+ **ThreatPurpose** - 描述威脅、攻擊類型或潛在攻擊階段的主要目的。如需 GuardDuty 威脅目的完整清單,請參閱下一節。
+ **ResourceTypeAffected** - 描述此調查結果中識別為對手潛在目標的 AWS 資源。目前,GuardDuty 可以為 中列出的資源類型產生問題清單[GuardDuty 作用中調查結果類型](guardduty_finding-types-active.md#findings-table)。
+ **ThreatFamilyName** - 描述 GuardDuty 偵測到的整體威脅或潛在惡意活動。例如,**NetworkPortUnusual** 的值指出在 GuardDuty 調查結果中識別的 EC2 執行個體在調查結果中識別之特定遠端連接埠上沒有之前的通訊歷程記錄。
+ **DetectionMechanism** - 描述 GuardDuty 檢測到調查結果的方法。這可用來指出常見調查結果類型的變化,或 GuardDuty 使用特定機制加以偵測的調查結果。例如,**Backdoor:EC2/DenialOfService.Tcp** 表示透過 TCP 偵測到拒絕服務 (DoS)。UDP 變體為 **Backdoor:EC2/DenialOfService.Udp**。
.**Custom** 值表示 GuardDuty 根據您的自訂威脅清單偵測到調查結果。如需詳細資訊,請參閱[實體清單和 IP 地址清單](guardduty_upload-lists.md)。
值為 **.Reputation** 表示 GuardDuty 使用網域評價分數模型偵測到調查結果。如需詳細資訊,請參閱 [如何 AWS 追蹤雲端最大的安全威脅,並協助將其關閉](https://aws.amazon.com/blogs/security/how-aws-tracks-the-clouds-biggest-security-threats-and-helps-shut-them-down/)。
+ **成品** - 描述在惡意活動中使用的工具所擁有的特定資源。例如,調查結果類型的 **DNS** [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)表示 Amazon EC2 執行個體正在與已知的比特幣相關網域通訊。
**注意**
成品是選用的,可能不適用於所有 GuardDuty 調查結果類型。
## 威脅目的
在 GuardDuty 中,*威脅目的*描述威脅、攻擊類型或潛在攻擊階段的主要目的。例如,某些威脅目的 (例如**後門**) 表示攻擊類型。然而,某些威脅目的 (例如**影響**) 與 [MITRE ATT&CK 策略](https://attack.mitre.org/tactics/TA0010/)保持一致。MITRE ATT&CK 測略指出對手的攻擊週期中不同的階段。在目前的 GuardDuty 版本中,ThreatPurpose 可以有以下值:
**Backdoor (後門)**
此值表示對手已入侵 AWS 資源並更改資源,使其能夠聯絡其主命令和控制 (C&C) 伺服器,以接收惡意活動的進一步指示。
**行為**
此值表示 GuardDuty 已偵測與涉及之 AWS 資源的既有基準不同的活動或活動模式。
**CredentialAccess**
此值表示 GuardDuty 已偵測到對手可能用來從環境中竊取登入資料的活動模式,例如密碼、使用者名稱和存取金鑰。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**加密貨幣**
此值表示 GuardDuty 已偵測到您環境中 AWS 的資源託管與加密貨幣相關聯的軟體 (例如,比特幣)。
**DefenseEvasion**
此值表示 GuardDuty 偵測到對手可能在滲透您的環境時用於避免偵測的活動或活動模式。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)
**探索**
此值表示 GuardDuty 偵測到對手可能會用來擴展他們對系統和內部網路之知識的活動或活動模式。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**執行**
此值表示 GuardDuty 偵測到對手可能嘗試執行或已執行惡意程式碼來探索 AWS 環境,或竊取資料。此威脅目的是基於 [MITRE ATT&CK 策略 ](https://attack.mitre.org/tactics/TA0002/)。
**外流**
此值表示 GuardDuty 已偵測到對手在嘗試從環境竊取資料時可能使用的活動或活動模式。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/tactics/TA0010/)。
**影響**
此值表示 GuardDuty 偵測到活動或活動模式,表明對手正嘗試操縱、中斷或銷毀您的系統和資料。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**InitialAccess**
當對手嘗試建立對您環境的存取時,此值通常與攻擊的初始存取階段相關聯。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**滲透測試**
有時 AWS ,資源擁有者或其授權代表會刻意對 AWS 應用程式執行測試,以尋找漏洞,例如開放安全群組或過度允許的存取金鑰。這些滲透測試,是要試圖在攻擊者發現易受攻擊資源之前識別並鎖定易受攻擊資源。不過,某些已授權的滲透測試者使用的工具其實是無償提供的,因此能讓未經授權的使用者或對手用於執行探測測試。雖然 GuardDuty 無法識別該活動背後的真正目的,但**滲透測試**值會表示 GuardDuty 正在偵測此類活動 (此類活動和已知的滲透測試工具所產生活動相似),並且可能表示對您的網路進行惡意探測。
**Persistence (持續)**
此值表示 GuardDuty 已偵測到即使對手的初始存取路由中斷,對手也可能使用的活動或活動模式,以嘗試與維持對您的系統之存取權限。例如,這可能包括在透過現有使用者遭入侵的憑證取得存取權限後,建立新的 IAM 使用者。刪除現有使用者的憑證後,對手將保留新使用者 (未偵測為原始事件一部分的新使用者) 的存取權限。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**政策**
此值表示您的 AWS 帳戶 展現違反建議安全最佳實務的行為。例如,意外修改與您的 AWS 資源或環境相關聯的許可政策,以及使用應該很少或沒有用量的特權帳戶。
**PrivilegeEscalation**
此值會通知您, AWS 環境中涉及的主體正在展現對手可能用來取得較高層級網路許可的行為。此威脅目的是基於 [MITRE ATT&CK 策略](https://attack.mitre.org/matrices/enterprise/cloud/aws/)。
**Recon (偵察)**
此值表示 GuardDuty 已偵測到對手在執行環境偵察時可能使用的活動或活動模式,以判斷他們如何擴展其存取或利用您的 資源。例如,此活動可以透過探查連接埠、進行 API 呼叫、列出使用者,以及列出資料庫資料表等,來縮小 AWS 環境中的漏洞。
**Stealth (隱匿)**
此值表示對手正在積極嘗試隱藏其動作。例如,他們可能使用匿名代理服務器,因此非常難以衡量活動的真實本質。
**Trojan (木馬程式)**
此值表示攻擊正在使用木馬程式,以隱匿方式進行惡意活動。有時候這些軟體會隱藏在合法程式之中。有時使用者會意外的執行此軟體。其他時候這些軟體可能會利用漏洞自動執行。
**UnauthorizedAccess (未授權的存取)**
此值表示 GuardDuty 偵測到了非授權人員的可疑活動或可疑活動模式。
# GuardDuty 惡意軟體偵測掃描引擎
Amazon GuardDuty 具有內部建置和受管掃描引擎,以及[第三方供應商](https://www.bitdefender.com/blog/businessinsights/bitdefender-and-amazon-web-services-strengthen-cloud-security/)。兩者都使用來自各種內部饋送的入侵指標 (IoCs),這些饋送具有可能鎖定的不同惡意軟體類型可見性 AWS。GuardDuty 也有以安全工程師新增的 YARA 規則為基礎的偵測定義,以及以啟發式和機器學習 (ML) 模型為基礎的偵測。掃描 Amazon S3 物件時,GuardDuty 惡意軟體防護會在使用相同掃描定義和引擎多次掃描相同物件時產生一致的結果。以簽章為基礎的偵測不僅包含位元組比對,還包括可能複雜的程式碼片段,而且掃描器可以剖析內容並做出決策。
惡意軟體掃描引擎不會執行即時行為分析,其中惡意軟體引爆會在實際系統中執行時監控範例。GuardDuty 解決方案主要是檔案型偵測。為了偵測無檔案惡意軟體,GuardDuty 提供以代理程式為基礎的解決方案,例如 [執行時期監控](runtime-monitoring.md) Amazon EKS、Amazon EC2 和 Amazon ECS (包括 AWS Fargate)。
GuardDuty 掃描的檔案格式不受限制,其使用的掃描引擎可以偵測不同類型的惡意軟體,例如加密程式、勒索軟體和 webshell。全受管 GuardDuty 掃描引擎每 15 分鐘會持續更新惡意軟體簽章清單。
掃描引擎是使用內部惡意軟體引爆元件的 GuardDuty 威脅情報系統的一部分。這會透過從多個來源獨立收集惡意軟體和良性樣本來產生新的威脅情報。來自威脅情報系統的檔案雜湊 IoC 類型會進一步饋送至惡意軟體掃描引擎,以根據已知的錯誤檔案雜湊偵測惡意軟體。
# 在 GuardDuty 中產生調查結果範例
Amazon GuardDuty 可協助您產生範例調查結果,以視覺化並了解其可產生的各種調查結果類型。當您產生範例調查結果時,GuardDuty 會將每個支援調查結果類型的一個範例填入您目前的調查結果清單,包括攻擊序列調查結果類型。
產生的範例是使用預留位置填入的近似值。這些範例可能與您的環境的實際調查結果不同,但您可以使用它們來測試 GuardDuty 的各種組態,例如您的 EventBridge 事件或篩選條件。如需問題清單類型的可用值清單,請參閱 [GuardDuty 調查結果類型](guardduty_finding-types-active.md) 資料表。
## 透過 GuardDuty 主控台或 API 產生調查結果範例
選擇您偏好的存取方法,以便產生調查結果範例。
**注意**
GuardDuty 主控台可協助您產生每種問題清單類型之一。若要產生一或多個特定問題清單類型,請執行相關聯的 API/CLI 步驟。
------
#### [ Console ]
請使用下列程序來產生問題清單範本。此程序會為每個 GuardDuty 調查結果類型產生調查結果範例。
****
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**設定**。
1. 在**設定**頁面的**調查結果範例**下,選擇**產生調查結果範例**。
1. 在導覽窗格中,選擇**調查結果**。此調查結果範例會顯示在**目前調查結果**頁面上,並有字首 **[SAMPLE]**。
------
#### [ API/CLI ]
您可以透過 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateSampleFindings.html) API 產生與任何 GuardDuty 調查結果類型相符的單一調查結果範例,可用於調查結果類型的值會在 [GuardDuty 調查結果類型](guardduty_finding-types-active.md) 資料表中列出。
這對於測試 CloudWatch 事件規則或根據調查結果進行自動化非常有用。以下範例顯示如何使用 AWS CLI來產生 `Backdoor:EC2/DenialOfService.Tcp` 類型的單一調查結果範例。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
```
aws guardduty create-sample-findings --detector-id 12abc34d567e8fa901bc2d34e56789f0 --finding-types Backdoor:EC2/DenialOfService.Tcp
```
------
透過這些方法產生的調查結果範例標題一律以主控台中的 **[SAMPLE]** 為開頭。在調查結果 JSON 詳細資訊的 **additionalInfo** 區段中,調查結果範例的值為 `"sample": true`。
若要了解與產生的問題清單相關聯的問題清單詳細資訊,例如問題清單嚴重性和可能遭到入侵的資源,請參閱 [GuardDuty 調查結果的嚴重性等級](guardduty_findings-severity.md)和 [調查結果詳細資訊](guardduty_findings-summary.md)。
若要根據 AWS 帳戶 環境中專用且隔離的模擬活動產生一些常見問題清單,請參閱 [在專用帳戶中測試 GuardDuty 調查結果](guardduty_findings-scripts.md)。
# 在專用帳戶中測試 GuardDuty 調查結果
使用本文件執行測試指令碼,以針對將部署在您的 中的測試資源產生 GuardDuty 調查結果 AWS 帳戶。當您想要了解和了解特定 GuardDuty 調查結果類型,以及調查結果詳細資訊如何尋找帳戶中的實際資源時,您可以執行這些步驟。此體驗與產生 不同[範例問題清單](sample_findings.md)。如需測試 GuardDuty 調查結果體驗的詳細資訊,請參閱 [考量事項](#considerations-generate-gdu-findings-tester)。
**Topics**
+ [考量事項](#considerations-generate-gdu-findings-tester)
+ [GuardDuty 問題清單測試人員指令碼可以產生](#gdu-findings-tester-generates)
+ [步驟 1 - 先決條件](#prerequisites-gdu-tester-script)
+ [步驟 2 - 部署 AWS 資源](#deploy-gdu-tester-script)
+ [步驟 3 - 執行測試人員指令碼](#run-gdu-tester-script)
+ [步驟 4 - 清除 AWS 測試資源](#clean-gdu-tester-script-resources)
+ [排解常見問題](#troubleshooting-gdu-tester-script-issues)
## 考量事項
在繼續之前,請考量下列考量事項:
+ GuardDuty 建議在專用非生產 中部署測試器 AWS 帳戶。此方法將確保您能夠正確識別測試人員產生的 GuardDuty 調查結果。此外,GuardDuty 測試人員會部署各種資源,這些資源可能需要超出其他帳戶中允許的 IAM 許可。使用專用帳戶可確保具有明確帳戶界限的許可適當範圍。
+ 測試人員指令碼會產生超過 100 個具有不同 AWS 資源組合的 GuardDuty 調查結果。目前,這不包含所有 [GuardDuty 調查結果類型](guardduty_finding-types-active.md)。如需您可以使用此測試人員指令碼產生的調查結果類型清單,請參閱 [GuardDuty 問題清單測試人員指令碼可以產生](#gdu-findings-tester-generates)。
**注意**
若要視覺化*攻擊序列調查結果類型*,測試人員指令碼只會產生 [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster)和 [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data)。若要視覺化和了解 [AttackSequence:IAM/CompromisedCredentials](guardduty-attack-sequence-finding-types.md#attack-sequence-iam-compromised-credentials),您可以在 [範例問題清單](sample_findings.md) 帳戶中產生 。
+ 若要讓 GuardDuty 測試人員如預期般運作,您必須在部署測試人員資源的帳戶中啟用 GuardDuty。根據將執行的測試,測試人員會評估是否啟用適當的 GuardDuty 保護計畫。對於任何未啟用的保護計畫,GuardDuty 會請求許可,以啟用必要的保護計畫足夠長的時間,讓 GuardDuty 執行將產生調查結果的測試。稍後,GuardDuty 會在測試完成後停用保護計畫。
**第一次啟用 GuardDuty **
當 GuardDuty 首次在特定區域中於您的專用帳戶中啟用時,您的帳戶將自動註冊 30 天的免費試用。
GuardDuty 提供選用的保護計畫。在啟用 GuardDuty 時,某些保護計畫也會啟用,並包含在 GuardDuty 30 天免費試用中。如需詳細資訊,請參閱[使用 GuardDuty 30 天免費試用](guardduty-pricing.md#using-guardduty-30-day-free-trial)。
**在執行測試器指令碼之前,已在您的帳戶中啟用 GuardDuty **
GuardDuty 啟用後,測試人員指令碼會根據參數檢查產生問題清單所需的特定保護計畫和其他帳戶層級設定的組態狀態。
透過執行此測試人員指令碼,特定保護計畫可能會首次在區域中的專用帳戶中啟用。這將啟動該保護計畫的 30 天免費試用。如需與每個保護計畫相關聯的免費試用資訊,請參閱 [使用 GuardDuty 30 天免費試用](guardduty-pricing.md#using-guardduty-30-day-free-trial)。
+ 只要部署 GuardDuty 測試器基礎設施,您偶爾可能會收到 PenTest 執行個體的問題[UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient)清單。
## GuardDuty 問題清單測試人員指令碼可以產生
目前,測試人員指令碼會產生下列與 Amazon EC2、Amazon EKS、Amazon S3、IAM 和 EKS 稽核日誌相關的調查結果類型:
+ [AttackSequence:EKS/CompromisedCluster](guardduty-attack-sequence-finding-types.md#attack-sequence-eks-compromised-cluster)
+ [AttackSequence:S3/CompromisedData](guardduty-attack-sequence-finding-types.md#attack-sequence-s3-compromised-data)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)
+ [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation)
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/MaliciousIPCaller.Custom](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-maliciousipcallercustom)
+ [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce)
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce)
+ [PenTest:IAMUser/KaliLinux](guardduty_finding-types-iam.md#pentest-iam-kalilinux)
+ [Recon:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#recon-iam-maliciousipcallercustom)
+ [Recon:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#recon-iam-toripcaller)
+ [Stealth:IAMUser/CloudTrailLoggingDisabled](guardduty_finding-types-iam.md#stealth-iam-cloudtrailloggingdisabled)
+ [Stealth:IAMUser/PasswordPolicyChange](guardduty_finding-types-iam.md#stealth-iam-passwordpolicychange)
+ [UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS](guardduty_finding-types-iam.md#unauthorizedaccess-iam-instancecredentialexfiltrationoutsideaws)
+ [UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom](guardduty_finding-types-iam.md#unauthorizedaccess-iam-maliciousipcallercustom)
+ [UnauthorizedAccess:IAMUser/TorIPCaller](guardduty_finding-types-iam.md#unauthorizedaccess-iam-toripcaller)
+ [Discovery:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-maliciousipcallercustom)
+ [Discovery:Kubernetes/SuccessfulAnonymousAccess](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-successfulanonymousaccess)
+ [Discovery:Kubernetes/TorIPCaller](guardduty-finding-types-eks-audit-logs.md#discovery-kubernetes-toripcaller)
+ [Execution:Kubernetes/ExecInKubeSystemPod](guardduty-finding-types-eks-audit-logs.md#execution-kubernetes-execinkubesystempod)
+ [Impact:Kubernetes/MaliciousIPCaller.Custom](guardduty-finding-types-eks-audit-logs.md#impact-kubernetes-maliciousipcallercustom)
+ [Persistence:Kubernetes/ContainerWithSensitiveMount](guardduty-finding-types-eks-audit-logs.md#persistence-kubernetes-containerwithsensitivemount)
+ [Policy:Kubernetes/AdminAccessToDefaultServiceAccount](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-adminaccesstodefaultserviceaccount)
+ [Policy:Kubernetes/AnonymousAccessGranted](guardduty-finding-types-eks-audit-logs.md#policy-kubernetes-anonymousaccessgranted)
+ [PrivilegeEscalation:Kubernetes/PrivilegedContainer](guardduty-finding-types-eks-audit-logs.md#privilegeescalation-kubernetes-privilegedcontainer)
+ [UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom](lambda-protection-finding-types.md#unauthorized-access-lambda-maliciousIPcaller-custom)
+ [Discovery:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#discovery-s3-maliciousipcallercustom)
+ [Discovery:S3/TorIPCaller](guardduty_finding-types-s3.md#discovery-s3-toripcaller)
+ [PenTest:S3/KaliLinux](guardduty_finding-types-s3.md#pentest-s3-kalilinux)
+ [Policy:S3/AccountBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-accountblockpublicaccessdisabled)
+ [Policy:S3/BucketAnonymousAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketanonymousaccessgranted)
+ [Policy:S3/BucketBlockPublicAccessDisabled](guardduty_finding-types-s3.md#policy-s3-bucketblockpublicaccessdisabled)
+ [Policy:S3/BucketPublicAccessGranted](guardduty_finding-types-s3.md#policy-s3-bucketpublicaccessgranted)
+ [Stealth:S3/ServerAccessLoggingDisabled](guardduty_finding-types-s3.md#stealth-s3-serveraccessloggingdisabled)
+ [UnauthorizedAccess:S3/MaliciousIPCaller.Custom](guardduty_finding-types-s3.md#unauthorizedaccess-s3-maliciousipcallercustom)
+ [UnauthorizedAccess:S3/TorIPCaller](guardduty_finding-types-s3.md#unauthorizedaccess-s3-toripcaller)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [DefenseEvasion:Runtime/ProcessInjection.Ptrace](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionptrace)
+ [DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite](findings-runtime-monitoring.md#defenseeva-runtime-processinjectionvirtualmemw)
+ [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
## 步驟 1 - 先決條件
若要準備測試環境,您需要下列項目:
+ **Git** – 根據您使用的作業系統安裝 git 命令列工具。
這是複製[`amazon-guardduty-tester`儲存庫](https://github.com/awslabs/amazon-guardduty-tester)的必要項目。
+ **AWS Command Line Interface** – 一種開放原始碼工具,可讓您在命令列 Shell 中使用命令 AWS 服務 來與 互動。如需詳細資訊,請參閱《 *AWS Command Line Interface 使用者指南*[》中的開始使用 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) 。
+ **AWS Systems Manager** – 若要使用 以受管節點啟動 Session Manager 工作階段 AWS CLI ,您必須在本機電腦上安裝 Session Manager 外掛程式。如需詳細資訊,請參閱*AWS Systems Manager 《 使用者指南*》中的[安裝 的 Session Manager 外掛程式 AWS CLI](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with-install-plugin.html)。
+ **Node Package Manager (NPM)** – 安裝 NPM 以安裝所有相依性。
+ **Docker** – 您必須安裝 Docker。如需安裝說明,請參閱 [Docker 網站](https://docs.docker.com/get-docker/)。
若要確認已安裝 Docker,請執行下列命令,並確認有類似下列輸出的輸出:
```
$ docker --version
Docker version 19.03.1
```
+ 在 中訂閱 [Kali Linux](https://aws.amazon.com/marketplace/pp/prodview-fznsw3f7mq7to) 映像*AWS Marketplace*。
## 步驟 2 - 部署 AWS 資源
本節提供重要概念的清單,以及在專用帳戶中部署特定 AWS 資源的步驟。
### 概念
下列清單提供與 命令相關的重要概念,可協助您部署資源:
+ **AWS Cloud Development Kit (AWS CDK)** – CDK 是一種開放原始碼軟體開發架構,可用來定義程式碼中的雲端基礎設施,並透過其佈建 CloudFormation。CDK 支援數種程式設計語言,以定義可重複使用的雲端元件,稱為建構。您可以將它們組合成堆疊和應用程式。然後,您可以將 CDK 應用程式部署到 , CloudFormation 以佈建或更新 資源。如需詳細資訊,請參閱《 *AWS Cloud Development Kit (AWS CDK) 開發人員指南*》中的[什麼是 AWS CDK?](https://docs.aws.amazon.com/cdk/v2/guide/home.html)。
+ **引導 –** 這是準備您的 AWS 環境以供 使用的程序 AWS CDK。在環境中部署 CDK 堆疊之前 AWS ,必須先引導環境。這個在環境中佈建 使用的特定 AWS 資源的程序, AWS CDK 是您將在下一節 - 中執行的步驟的一部分[部署 AWS 資源的步驟](#steps-deploy-resource-test-guardduty-findings)。
如需引導運作方式的詳細資訊,請參閱《 *AWS Cloud Development Kit (AWS CDK) 開發人員指南*》中的[引導](https://docs.aws.amazon.com/cdk/v2/guide/bootstrapping.html)。
### 部署 AWS 資源的步驟
執行下列步驟以開始部署資源:
1. 除非在 `bin/cdk-gd-tester.ts` 檔案中手動設定專用帳戶區域變數,否則請設定您的 AWS CLI 預設帳戶和區域。如需詳細資訊,請參閱《 *AWS Cloud Development Kit (AWS CDK) 開發人員指南*》中的[環境](https://docs.aws.amazon.com/cdk/v2/guide/environments.html)。
1. 執行下列命令來部署資源:
```
git clone https://github.com/awslabs/amazon-guardduty-tester && cd amazon-guardduty-tester
npm install
cdk bootstrap
cdk deploy
```
最後一個命令 (`cdk deploy`) 會代表您建立 CloudFormation 堆疊。此堆疊的名稱為 **GuardDutyTesterStack**。
在此指令碼中,GuardDuty 會建立新的資源,以在帳戶中產生 GuardDuty 調查結果。它也會將下列標籤金鑰:值對新增至 Amazon EC2 執行個體:
`CreatedBy`:`GuardDuty Test Script`
Amazon EC2 執行個體也包含託管 EKS 節點和 ECS 叢集的 EC2 執行個體。
**執行個體類型**
GuardDuty 旨在使用經濟實惠的執行個體類型,以提供成功執行測試所需的最低效能。由於 vCPU 需求,Amazon EKS 節點群組需要 `t3.medium`,而且由於DenialOfService調查結果測試所需的網路容量增加,驅動程式節點需要 `m6i.large`。對於所有其他測試,GuardDuty 會使用`t3.micro`執行個體類型。如需執行個體類型的詳細資訊,請參閱《*Amazon EC2 執行個體類型指南*》中的[可用大小](https://docs.aws.amazon.com/ec2/latest/instancetypes/gp.html#gp_sizes)。
## 步驟 3 - 執行測試人員指令碼
這是一個兩步驟的程序,首先需要使用測試驅動程式啟動工作階段,然後執行指令碼以產生具有特定資源組合的 GuardDuty 調查結果。
### A 部分 - 使用測試驅動程式開始工作階段
1. 部署資源之後,請將區域碼儲存至目前終端機工作階段中的變數。使用以下命令,並將 *us-east-1* 取代為您部署資源的區域碼:
```
$ REGION=us-east-1
```
1. 測試人員指令碼只能透過 AWS Systems Manager (SSM) 使用。若要在測試器主機執行個體上啟動互動式 shell,請查詢主機 **InstanceId**。
1. 使用下列命令開始測試人員指令碼的工作階段:
```
aws ssm start-session
--region $REGION
--document-name AWS-StartInteractiveCommand
--parameters command="cd /home/ssm-user/py_tester && bash -l"
--target $(aws ec2 describe-instances
--region $REGION
--filters "Name=tag:Name,Values=Driver-GuardDutyTester"
--query "Reservations[].Instances[?State.Name=='running'].InstanceId"
--output text)
```
### B 部分 - 產生問題清單
測試人員指令碼是以 Python 為基礎的程式,可動態建置 bash 指令碼,以根據您的輸入產生問題清單。您可以靈活地根據一或多個 AWS 資源類型、GuardDuty 保護計畫、 [威脅目的](guardduty_finding-format.md#guardduty_threat_purposes)(策略)[基礎資料來源](guardduty_data-sources.md)、 或 產生問題清單[GuardDuty 問題清單測試人員指令碼可以產生](#gdu-findings-tester-generates)。
使用下列命令範例做為參考,並執行一或多個命令來產生您要探索的問題清單:
```
python3 guardduty_tester.py
python3 guardduty_tester.py --all
python3 guardduty_tester.py --s3
python3 guardduty_tester.py --tactics discovery
python3 guardduty_tester.py --ec2 --eks --tactics backdoor policy execution
python3 guardduty_tester.py --eks --runtime only
python3 guardduty_tester.py --ec2 --runtime only --tactics impact
python3 guardduty_tester.py --log-source dns vpc-flowlogs
python3 guardduty_tester.py --finding 'CryptoCurrency:EC2/BitcoinTool.B!DNS'
```
如需有效參數的詳細資訊,您可以執行下列說明命令:
```
python3 guardduty_tester.py --help
```
### C 部分 - 檢閱產生的調查結果
選擇偏好的方法,以檢視帳戶中產生的問題清單。
------
#### [ GuardDuty console ]
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/):// 開啟 GuardDuty 主控台。
1. 在導覽窗格中,選擇**調查結果**。
1. 從問題清單表格中,選取您要檢視其詳細資訊的問題清單。這會開啟調查結果詳細資訊面板。如需相關資訊,請參閱[了解和產生 Amazon GuardDuty 調查結果](guardduty_findings.md)。
1. 如果您想要篩選這些調查結果,請使用資源標籤索引鍵和值。例如,若要篩選為 Amazon EC2 執行個體產生的調查結果,請針對執行個體標籤金鑰和**執行個體標籤金鑰**使用 `CreatedBy`:`GuardDuty Test Script` tag key:value 對。 ****
------
#### [ API ]
+ 執行 [ListFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) 以檢視特定偵測器 ID 的問題清單。您可以指定參數來篩選問題清單。
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
------
#### [ AWS CLI ]
+ 執行下列 AWS CLI 命令來檢視產生的調查結果,並以適當的值取代 *us-east-1* 和 *12abc34d567e8fa901bc2d34EXAMPLE*:
```
aws guardduty list-findings --region us-east-1 --detector-id 12abc34d567e8fa901bc2d34EXAMPLE
```
若要尋找`detectorId`您帳戶和目前區域的 ,請參閱 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台中的**設定**頁面,或執行 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API。
如需可用來篩選問題清單之參數的詳細資訊,請參閱《 *AWS CLI 命令參考*》中的[清單調查結果](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/guardduty/list-findings.html)。
------
## 步驟 4 - 清除 AWS 測試資源
當測試人員指令碼結束時,在 [步驟 3 - 執行測試人員指令碼](#run-gdu-tester-script) 傳回原始狀態期間進行的帳戶層級設定和其他組態狀態更新。
執行測試人員指令碼之後,您可以選擇清除 AWS 測試資源。您可以選擇使用下列其中一種方法來執行此操作:
+ 執行以下命令:
```
cdk destroy
```
+ 刪除名稱為 **GuardDutyTesterStack** 的 CloudFormation 堆疊。如需步驟的相關資訊,請參閱[刪除 CloudFormation 主控台上的堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-delete-stack.html)。
## 排解常見問題
GuardDuty 已識別常見問題,並建議疑難排解步驟:
+ `Cloud assembly schema version mismatch` – 將 AWS CDK CLI 更新為與所需雲端組件版本相容的版本,或更新為最新的可用版本。如需詳細資訊,請參閱 [AWS CDK CLI 相容性](https://docs.aws.amazon.com/cdk/v2/guide/versioning.html#cdk_toolkit_versioning)。
+ `Docker permission denied` – 將專用帳戶使用者新增至 **docker** 或 **docker-users**,讓專用帳戶可以執行命令。如需步驟的詳細資訊,請參閱[協助程式通訊端選項](https://docs.docker.com/reference/cli/dockerd/#daemon-socket-option)。
+ `Your requested instance type is not supported in your requested Availability Zone` – 某些可用區域不支援特定的執行個體類型。若要識別哪些可用區域支援您偏好的執行個體類型,並再次嘗試部署 AWS 資源,請執行下列步驟:
1. 選擇偏好的方法,以判斷哪些可用區域支援您的執行個體類型:
------
#### [ Console ]
**識別支援偏好執行個體類型的可用區域**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/):// 開啟 Amazon EC2 主控台。
1. 使用頁面右上角 AWS 的區域選擇器,選擇您要啟動執行個體的區域。
1. 在導覽窗格的**執行個體**下,選擇**執行個體類型**。
1. 從**執行個體類型**表格中,選擇偏好的執行個體類型。
1. 在**聯網**下,檢視可用區域下**列出的區域**。
根據此資訊,您可能需要選擇可以部署資源的新區域。
------
#### [ AWS CLI ]
執行下列命令以檢視可用區域的清單。請務必指定您偏好的執行個體類型和區域 (*us-east-1*)。
```
aws ec2 describe-instance-type-offerings --location-type availability-zone --filters Name=instance-type,Values=Preferred instance type --region us-east-1 --output table
```
如需此命令的詳細資訊,請參閱《 *AWS CLI 命令參考*》中的 [describe-instance-type-offerings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/describe-instance-type-offerings.html)。
執行此命令時,如果您收到錯誤,請確定您使用的是最新版本的 AWS CLI。如需詳細資訊,請參閱《AWS Command Line Interface 使用者指南》**中的[故障診斷](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-troubleshooting.html)一節。
------
1. 嘗試再次部署 AWS 資源,並指定支援您偏好執行個體類型的可用區域。
**重新嘗試部署 AWS 資源**
1. 在 `bin/cdk-gd-tester.ts` 檔案中設定預設區域。
1. 若要指定可用區域,請開啟 `amazon-guardduty-tester/lib/common/network/vpc.ts` 檔案。
1. 在此檔案中,`maxAzs: 2,`將 取代為 ,您必須在`availabilityZones: ['us-east-1a', 'us-east-1c'],`其中指定執行個體類型的可用區域。
1. 繼續執行 下的其餘步驟[部署 AWS 資源的步驟](#steps-deploy-resource-test-guardduty-findings)。
# 在 GuardDuty 主控台中檢視產生的調查結果
當 GuardDuty 偵測到符合安全問題模式的活動時,GuardDuty 會產生問題清單。此調查結果與在此活動期間可能已遭入侵的資源類型相關聯。您可以檢視與 GuardDuty 產生的每個調查結果相關聯的詳細資訊。
如果您使用的是 GuardDuty 管理員帳戶,您可以代表成員帳戶檢視產生的調查結果。不過,成員帳戶可以檢視自己帳戶中產生的調查結果。成員帳戶無法檢視為其他成員帳戶產生的調查結果。
**在 GuardDuty 主控台中檢視問題清單的步驟**
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
1. 在左側導覽窗格中,選擇**問題清單**。
GuardDuty 會以表格格式顯示問題清單。根據預設,此資料表會根據**上次看到**的資料欄值以遞減順序排序,並在頂端顯示最新的問題清單。
使用單字圖示 (![\[Sword icon that represents attack sequence finding in GuardDuty console.\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/attack-sequences-icon.PNG)) 的調查結果代表攻擊序列調查結果。
1. 若要檢視與問題清單相關聯的詳細資訊,請選取其**標題**。這會開啟調查結果詳細資訊側邊面板。對於攻擊序列調查結果,此側邊面板包含攻擊序列的*摘要版本*,若要展開此檢視,請選擇**檢視詳細資訊**。
如需此側邊面板中所列欄位的資訊,請參閱 [調查結果詳細資訊](guardduty_findings-summary.md)。
1.
**(選用) 下載問題清單 JSON**
1. 選取問題清單,然後選擇**動作**功能表。
1. 在**動作**功能表中,選擇**檢視和匯出 JSON**。
1. 在**問題清單 JSON **視窗中,選擇**下載**。
**注意**
在某些情況下,GuardDuty 會意識到某些調查結果在產生後是誤報。GuardDuty 會在調查結果的 JSON 中提供**可信度**欄位,並將其值設定為零。GuardDuty 藉此可以讓您知道您可以安全地忽略此類調查結果。
沒有**可信度**欄位的調查結果不會被視為誤報。
## 瀏覽問題清單頁面
本節提供有關**問題清單**頁面上各種元素的重要資訊。這將協助您分析產生的調查結果,以進行威脅分析和回應。
下列清單說明**調查結果**頁面元素,可協助您進一步了解產生的調查結果:
+ **威脅類型**:
威脅類型包括個別 GuardDuty 調查結果和攻擊序列調查結果。根據預設,頁面會顯示**所有問題清單**。
若要篩選問題清單表格檢視,請在**威脅類型**功能表中選擇其中一個選項:**僅限攻擊序列問題清單**或**僅限個別問題清單**。
+ **資源和計數資料欄**:
調查結果表中**的資源**欄會顯示可能遭到入侵 AWS 的資源名稱。針對攻擊序列調查結果,此欄會顯示可能遭到入侵 AWS 的資源數量。若要檢視資源名稱,請選取**資源**欄下方的*數字*。
**計數**欄指出 GuardDuty 觀察特定調查結果的次數。當 GuardDuty 偵測到符合先前識別安全問題的活動時,它會遞增該特定調查結果的計數。對於攻擊序列調查結果,此資料欄值表示產生調查結果所涉及的訊號和調查結果總數。
+ **依資料表資料欄排序問題**清單:
如果資料欄標頭旁有*箭頭*,您可以根據資料欄排序問題清單表格。選取資料欄標頭,以遞增或遞減該資料欄中值的順序來排序問題清單。
+ **篩選問題清單**:
根據特定屬性,例如 `Account ID`和 `Resource type`,您可以進一步篩選問題清單表格。如需有關您可以使用之篩選條件類型的資訊,請參閱 [篩選 GuardDuty 調查結果](guardduty_filter-findings.md)。
+ **狀態和已儲存規則**:
**狀態**功能表包含兩個值:**目前**和**已封存**。預設檢視是資料表中的**目前**問題清單。
當您不再希望 GuardDuty 產生符合特定條件的問題清單時,您可以隱藏該問題清單。GuardDuty 會封存該調查結果。當 GuardDuty 再次偵測到此調查結果時,您將不會收到此觀察的通知。若要特別檢視封存的問題清單,請在**狀態**功能表中,選擇**封存**。
**已儲存規則**是一項功能,可協助您自動篩選符合指定條件的問題清單,並對其採取動作。動作可能包括封存問題清單,或禁止日後收到通知。
如需詳細資訊,請參閱[隱藏規則](findings_suppression-rule.md)。
# GuardDuty 調查結果的嚴重性等級
每個 GuardDuty 調查結果都有指派的嚴重性等級和值,反映調查結果對您的環境可能造成的潛在風險,由我們的安全工程師決定。嚴重性的值可以落在 1.0 到 10.0 範圍內的任何位置,而較高的值表示更高的安全風險。為了協助您判斷對問題清單反白顯示之潛在安全問題的回應,GuardDuty 會將此範圍細分為*「關鍵*」、「*高*」、「*中*」和「*低*」嚴重性等級。
根據調查結果的特定內容,特定類型的調查結果可能會有不同的嚴重性。若要檢視所有 GuardDuty 調查結果類型的預設嚴重性等級的合併清單,請參閱 [GuardDuty 作用中調查結果類型](guardduty_finding-types-active.md#findings-table)。
下列各節說明 GuardDuty 調查結果的定義嚴重性等級。
**Topics**
+ [嚴重嚴重性](#guardduty-finding-severity-level-critical)
+ [高嚴重性](#guardduty-finding-severity-level-high)
+ [中等嚴重性](#guardduty-finding-severity-level-medium)
+ [低嚴重性](#guardduty-finding-severity-level-low)
## 嚴重嚴重性
**值範圍**:9.0 - 10.0
**描述**:嚴重嚴重性等級表示攻擊序列可能正在進行或最近已發生。一或多個 AWS 資源,例如 IAM 使用者登入憑證和 Amazon S3 儲存貯體,可能已遭入侵或可能已遭入侵。
**建議**:GuardDuty 建議您優先分類和修復所有關鍵嚴重性問題清單,因為這些問題可能是勒索軟體攻擊的一部分,並且可以隨時升級。檢視所涉及資源的詳細資訊,並開始解決安全問題。如需詳細資訊,請參閱[修復調查結果](guardduty_remediate.md)。
## 高嚴重性
**值範圍**:7.0 - 8.9
**描述**:高嚴重性等級表示有問題的資源 (Amazon EC2 執行個體或一組 IAM 使用者登入憑證) 已遭入侵,並正積極用於未經授權的用途。
**建議**:GuardDuty 建議您將任何高嚴重性的問題清單安全問題視為優先事項,並立即採取修復步驟,以防止進一步未經授權使用您的 資源。例如,清除或終止 Amazon EC2 執行個體,或輪換 IAM 登入資料。遵循 中的步驟[修復調查結果](guardduty_remediate.md)來修復問題清單。
## 中等嚴重性
**值範圍**:4.0 - 6.9
**描述**:中等嚴重性等級表示可疑活動偏離正常觀察到的行為,並且根據您的使用案例,可能表示資源洩露。
**建議**:GuardDuty 建議您儘早調查可能受影響的資源。修復步驟會因資源和問題清單系列而有所不同。建立方法可讓您確認活動已獲授權,且與您的使用案例一致。如果您無法識別原因,或確認活動已獲授權,您應該將資源視為遭到入侵。遵循 中的步驟[修復調查結果](guardduty_remediate.md)來修復問題清單。
以下是檢閱中階調查結果時需要考慮的一些事項:
+ 檢查授權使用者是否安裝了變更資源行為的新軟體 (例如,允許高於正常流量,或啟用了新連接埠上的通訊)。
+ 檢查授權使用者是否已變更控制平面設定,例如修改安全群組設定。
+ 在相關資源上執行防毒掃描,以偵測未經授權的軟體。
+ 驗證連接至相關 IAM 角色、使用者、群組或憑證組的許可。這些可能需要變更或輪換。
## 低嚴重性
**值範圍**:1.0 - 3.9
**描述**:低嚴重性等級表示嘗試的可疑活動未危及您的環境,例如連接埠掃描或失敗的入侵嘗試。
**建議**:沒有立即建議的動作,但值得記下此資訊,因為這可能表示有人正在尋找您環境中的弱點。
# 調查結果詳細資訊
在 Amazon GuardDuty 主控台中,您可以檢視調查结果摘要區段中調查結果的詳細資訊。調查結果的詳細資訊會根據調查結果類型而有所不同。
有兩項主要詳細資訊會決定哪些資訊類型可供任何調查結果使用。第一個是資源類型,可以是 `Instance`、`AccessKey`、`S3Bucket`、`S3Object``Kubernetes cluster`、`ECS cluster`、、`Container`、`RDSDBInstance`、 `RDSLimitlessDB`或 `Lambda`。決定調查結果資訊的第二項詳細資訊是**資源角色**。資源角色可以是 `Target`,這表示資源是可疑活動的目標。對於調查結果執行個體類型,資源角色也可以是 `Actor`,這意味著您的資源是執行可疑活動的執行者。本主題說明調查結果的一些常用詳細資訊。對於 [GuardDuty 執行期監控調查結果類型](findings-runtime-monitoring.md)和 [S3 調查結果類型的惡意軟體防護](gdu-malware-protection-s3-finding-types.md),不會填入資源角色。
**Topics**
+ [調查結果概觀](#findings-summary-section)
+ [資源](#findings-resource-affected)
+ [攻擊序列調查結果詳細資訊](#guardduty-extended-threat-detection-attack-sequence-finding-details)
+ [RDS 資料庫 (DB) 使用者詳細資訊](#rds-pro-db-user-details)
+ [執行時期監控調查結果詳細資訊](#runtime-monitoring-runtime-details)
+ [EBS 磁碟區掃描詳細資訊](#mp-ebs-volumes-scan-details)
+ [EC2 調查結果詳細資訊的惡意軟體防護](#malware-protection-scan-details)
+ [S3 的惡意軟體防護調查結果詳細資訊](#gdu-malware-protection-for-s3-finding-details)
+ [Action](#finding-action-section)
+ [執行者或目標](#finding-actor-target)
+ [地理位置詳細資訊](#guardduty-finding-details-geolocation)
+ [其他資訊](#finding-additional-info)
+ [證據](#finding-evidence)
+ [異常行為](#finding-anomalous)
## 調查結果概觀
調查結果的**概觀**區段包含調查結果最基本的識別特徵,包括下列資訊:
+ **帳戶 ID**:在活動發生時,提示 GuardDuty 產生此調查結果的 AWS 帳戶 ID。
+ **計數**:GuardDuty 在將此模式與此調查結果 ID 進行比對時所匯總的活動次數。
+ **建立日期**:第一次建立此調查結果的時間和日期。如果此值與**更新時間**不同,則表示活動已發生多次,而且是持續發生的問題。
**注意**
GuardDuty 主控台中的調查結果時間戳記會顯示您當地時區時間,而 JSON 匯出和 CLI 輸出則會顯示 UTC 時間戳記。
+ **調查結果 ID**:此調查結果類型和參數組的唯一識別符。符合此模式的活動新出現次數將會彙總至同一個 ID。
+ **尋找類型**:代表觸發調查結果之活動類型的格式化字串。如需詳細資訊,請參閱[GuardDuty 調查結果格式](guardduty_finding-format.md)。
+ **區域** – 產生調查結果 AWS 的區域。如需支援區域的詳細資訊,請參閱 [區域與端點](guardduty_regions.md)
+ **資源 ID**:在活動發生時,提示 GuardDuty 產生此調查結果時的 AWS 資源 ID。
+ **掃描 ID** – 適用於啟用 GuardDuty Malware Protection for EC2 時的調查結果,這是惡意軟體掃描的識別符,該掃描會在連接到潛在入侵的 EC2 執行個體或容器工作負載的 EBS 磁碟區上執行。如需詳細資訊,請參閱[EC2 調查結果詳細資訊的惡意軟體防護](#malware-protection-scan-details)。
+ **嚴重性** – 問題清單的指派嚴重性等級為「關鍵」、「高」、「中」或「低」。如需詳細資訊,請參閱[問題清單嚴重性等級](guardduty_findings-severity.md)。
+ **更新時間**:此調查結果最後一次更新的時間,而且有符合提示 GuardDuty 產生此調查結果之模式的新活動。
## 資源
**受影響的資源**會提供啟動活動目標 AWS 資源的詳細資訊。可用資訊會根據資源類型和動作類型而有所不同。
**資源角色** – 啟動調查結果 AWS 的資源角色。此值可以是 **TARGET** 或 **ACTOR**,而且表示資源是否為可疑活動的目標或執行可疑活動的執行者。
**資源類型**:受影響的資源類型。如果涉及多個資源,則一個調查結果可以包含多種資源類型。資源類型為 **Instance**、**AccessKey**、**S3Bucket**、**S3Object**、**KubernetesCluster**、**ECSCluster**、**Container**、**RDSDBInstance**、**RDSLimitlessDB** 和 **Lambda**。根據資源類型,會提供不同的調查結果詳細資訊。選取資源選項索引標籤,以了解該資源可用的詳細資訊。
------
#### [ Instance ]
**執行個體詳細資訊:**
**注意**
如果執行個體已終止,或在進行跨區域 API 呼叫時基礎 API 調用來自不同區域中的 EC2 執行個體,則可能會遺失一些執行個體詳細資訊。
+ **執行個體 ID**:與提示 GuardDuty 產生調查結果的活動有關的 EC2 執行個體 ID。
+ **執行個體類型**:調查結果所涉及的 EC2 執行個體類型。
+ **啟動時間**:執行個體啟動的時間與日期。
+ **Outpost ARN** – 的 Amazon Resource Name (ARN) AWS Outposts。僅適用於 AWS Outposts 執行個體。如需詳細資訊,請參閱《*Outposts 機架使用者指南*》中的[什麼是 AWS Outposts?](https://docs.aws.amazon.com/outposts/latest/userguide/what-is-outposts.html)。
+ **安全群組名稱**:連接到涉及之執行個體的安全群組名稱。
+ **安全群組 ID**:連接到涉及之執行個體的安全群組ID。
+ **執行個體狀態**:鎖定目標之執行個體的目前狀態。
+ **可用區域**:相關執行個體所在 AWS 區域的可用區域。
+ **影像 ID**:用來建置活動所涉及之執行個體的 Amazon Machine Image ID。
+ **影像描述**:用來建置活動所涉及之執行個體的 Amazon Machine Image ID 描述。
+ **標籤**:連接到此資源的標籤清單 (以 `key`:`value` 格式列出)。
------
#### [ AccessKey ]
**存取金鑰詳細資訊:**
+ **存取金鑰 ID**:在提示 GuardDuty 產生調查結果的活動中所使用的使用者存取金鑰 ID。
+ **主體 ID**:在提示 GuardDuty 產生調查結果的活動中所使用的使用者主體 ID。
+ **使用者類型**:在提示 GuardDuty 產生調查結果的活動中所使用的使用者類型。如需更多詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#cloudtrail-event-reference-user-identity-fields)。
+ **使用者名稱**:在提示 GuardDuty 產生調查結果的活動中所使用的使用者名稱。
------
#### [ S3Bucket ]
**Amazon S3 儲存貯體詳細資訊:**
+ **名稱**:調查結果所涉及的儲存貯體名稱。
+ **ARN**:調查結果所包含之儲存貯體 ARN。
+ **擁有者**:擁有此調查結果所涉及之儲存貯體使用者的正式使用者 ID。如需正式使用者 ID 的詳細資訊,請參閱 [AWS account identifiers](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html)。
+ **類型**:儲存貯體調查結果類型,可為**目的地**或**來源**。
+ **預設伺服器端加密**:儲存貯體的加密詳細資訊。
+ **儲存貯體標籤**:連接到此資源的標籤清單 (以 `key`:`value` 的格式列出)。
+ **有效許可**:儲存貯體上的所有有效許可和政策的評估,表示涉及的儲存貯體是否已公開。值可以是**公有**,也可以是**非公有**。
------
#### [ S3Object ]
+ **S3 物件詳細資訊** – 包含掃描 S3 物件的下列相關資訊:
+ **ARN** – 掃描 S3 物件的 Amazon Resource Name (ARN)。
+ **金鑰** – 在 S3 儲存貯體中建立檔案時指派給該檔案的名稱。
+ **版本 ID** – 當您啟用儲存貯體版本控制時,此欄位會指出與掃描的 S3 物件最新版本相關聯的版本 ID。如需詳細資訊,請參閱《Amazon [ S3 使用者指南》中的在 S3 儲存貯體中使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)。 *Amazon S3 *
+ **eTag** – 代表掃描 S3 物件的特定版本。
+ **雜湊**:此調查結果中偵測到的威脅雜湊。
+ **S3 儲存貯體詳細資訊** – 包括與掃描的 Amazon S3 S3 儲存貯體的下列資訊:
+ **名稱** – 指出包含物件的 S3 儲存貯體名稱。
+ **ARN** – S3 儲存貯體的 Amazon Resource Name (ARN)。
+ **擁有者** – S3 儲存貯體擁有者的正式 ID。
------
#### [ EKSCluster ]
**Kubernetes 叢集詳細資訊:**
+ **名稱**:Kubernetes 叢集的名稱。
+ **ARN**:識別叢集的 ARN。
+ **建立日期**:建立此叢集的時間和日期。
**注意**
GuardDuty 主控台中的調查結果時間戳記會顯示您當地時區時間,而 JSON 匯出和 CLI 輸出則會顯示 UTC 時間戳記。
+ **VPC ID**:與您的叢集關聯的 VPC ID。
+ **狀態**:提取叢集的目前狀態。
+ **標籤**:您套用到叢集以協助您分類和組織的中繼資料。每個標籤皆包含索引鍵與選用值,以 `key`:`value` 的格式列出。您可以定義索引鍵和值。
叢集標籤不會傳播到與叢集相關聯的任何其他資源。
**Kubernetes 工作負載詳細資訊:**
+ **類型**:Kubernetes 工作負載的類型,例如 Pod、部署和工作。
+ **名稱**:Kubernetes 工作負載的名稱。
+ **Uid**:Kubernetes 工作負載的唯一識別碼。
+ **建立時間**:建立此工作負載的時間和日期。
+ **標籤**:連接到 Kubernetes 工作負載的索引鍵/值組。
+ **容器**:作為 Kubernetes 工作負載一部分執行之容器的詳細資訊。
+ **命名空間**:工作負載屬於此 Kubernetes 命名空間。
+ **磁碟區**:Kubernetes 工作負載使用的磁碟區。
+ **主機路徑**:代表磁碟區映射至的主機機器上預先存在的檔案或目錄。
+ **名稱**:磁碟區名稱。
+ **Pod 安全性內容**:定義 Pod 中所有容器的權限和存取控制設定。
+ **主機網路**:設定為 `true` 是否將 Pod 包含在 Kubernetes 工作負載中。
**Kubernetes 使用者詳細資訊:**
+ **群組**:與產生調查結果之活動相關之使用者的 Kubernetes RBAC (角色存取型的控制) 群組。
+ **ID**:Kubernetes 使用者的唯一識別碼。
+ **使用者名稱**:參與產生調查結果之活動的 Kubernetes 使用者名稱。
+ **工作階段名稱**:擔任具有 Kubernetes RBAC 許可的 IAM 角色之實體。
------
#### [ ECSCluster ]
**ECS 叢集詳細資訊:**
+ **ARN**:識別叢集的 ARN。
+ **名稱**:叢集的名稱。
+ **狀態**:提取叢集的目前狀態。
+ **作用中服務計數**:在叢集上執行處於某種 `ACTIVE` 狀態的服務數目。您可以使用 [ListServices](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_ListServices.html) 查看這些服務
+ **已註冊的容器執行個體計數**:在叢集中註冊的容器執行個體數目。這包括 `ACTIVE` 和 `DRAINING` 狀態的容器執行個體。
+ **執行中工作計數**:叢集中處於 `RUNNING` 狀態的任務數目。
+ **標籤**:您套用到叢集以協助您分類和組織的中繼資料。每個標籤皆包含索引鍵與選用值,以 `key`:`value` 的格式列出。您可以定義索引鍵和值。
+ **容器**:與任務相關聯之容器的詳細資訊:
+ **容器名稱**:容器的名稱。
+ **容器映像**:容器的映像。
+ **任務詳細資訊**:叢集中任務的詳細資訊。
+ **ARN**:任務的 Amazon Resource Name (ARN)。
+ **定義 ARN**:建立任務的任務定義 Amazon Resource Name (ARN)。
+ **版本**:任務的版本計數器。
+ **任務建立時間**:建立任務時的 Unix 時間戳記。
+ **任務開始時間**:任務開始時的 Unix 時間戳記。
+ **任務開始者**:任務啟動時指定的標籤。
------
#### [ Container ]
**容器詳細資訊:**
+ **容器執行期**:用來執行容器的容器執行期 (例如 `docker` 或 `containerd`)。
+ **ID**:容器執行個體 ID 或容器執行個體的完整 ARN 項目。
+ **名稱**:容器的名稱。
+ **映像**:容器執行個體的映像。
+ **磁碟區掛載**:容器磁碟區掛載的清單。容器可以在其檔案系統下掛載磁碟區。
+ **安全性內容**:容器安全性內容定義容器的權限和存取控制設定。
+ **程序詳細資訊**:描述與調查結果相關聯之程序的詳細資訊。
------
#### [ RDSDBInstance ]
**RDSDBInstance 詳細資訊:**
**注意**
此資源可在與資料庫執行個體相關的 RDS 保護調查結果中找到。
+ **資料庫執行個體 ID**:與 GuardDuty 調查結果所涉及的資料庫執行個體相關聯的識別符。
+ **引擎**:調查結果所涉及的資料庫執行個體的資料庫引擎名稱。可能的值是 Aurora MySQL 相容或 Aurora PostgreSQL 相容。
+ **引擎版本**:GuardDuty 調查結果所涉及的資料庫引擎版本。
+ **資料庫叢集 ID**:資料庫叢集的識別符,其中包含 GuardDuty 調查結果所涉及的資料庫執行個體識別符。
+ **資料庫執行個體 ARN**:識別 GuardDuty 調查結果所涉及的資料庫執行個體的 ARN。
------
#### [ RDSLimitlessDB ]
**RDSLimitlessDB 詳細資訊:**
此資源可在與支援的無限資料庫引擎版本相關的 RDS 保護調查結果中使用。
+ **資料庫碎片群組識別符** – 與無限資料庫碎片群組相關聯的名稱。
+ **資料庫碎片群組資源 ID** – 無限資料庫內資料庫碎片群組的資源識別符。
+ **資料庫碎片群組 ARN** – 識別資料庫碎片群組的 Amazon Resource Name (ARN)。
+ **引擎** – 問題清單所涉及的無限資料庫的識別符。
+ **引擎版本** – 無限資料庫引擎的版本。
+ **資料庫叢集識別符** – 屬於無限資料庫的資料庫叢集名稱。
如需潛在受影響資料庫的使用者和身分驗證詳細資訊,請參閱 [RDS 資料庫 (DB) 使用者詳細資訊](#rds-pro-db-user-details)。
------
#### [ Lambda ]
**Lambda 函數詳細資訊**
+ **函數名稱**:調查結果所涉及的 Lambda 函數名稱。
+ **函數版本**:調查結果所涉及的 Lambda 函數版本。
+ **函數說明**:調查結果所涉及的 Lambda 函數的說明。
+ **函數 ARN**:調查結果中涉及的 Lambda 函數的 Amazon Resource Name (ARN)。
+ **修訂識別碼**:Lambda 函數版本的修訂識別碼。
+ **角色**:調查結果中涉及的 Lambda 函數的執行角色。
+ **VPC 組態**:Amazon VPC 組態,包括與 Lambda 函數相關聯的 VPC ID、安全群組和子網路 ID。
+ **VPC ID**:與調查結果中涉及的 Lambda 函數相關聯的 Amazon VPC ID。
+ **子網路 ID**:與 Lambda 函數相關聯之子網路的 ID。
+ **安全群組**:連接到涉及 Lambda 函數的安全群組。這包括安全群組名稱和群組 ID。
+ **標籤**:連接到此資源的標籤清單 (以 `key`:`value` 對格式列出)。
------
## 攻擊序列調查結果詳細資訊
GuardDuty 提供其在帳戶中產生的每個問題清單的詳細資訊。這些詳細資訊可協助您了解調查結果背後的原因。本節著重於與 相關聯的詳細資訊[攻擊序列調查結果類型](guardduty-attack-sequence-finding-types.md)。這包括可能受影響的資源、事件時間表、指標、訊號和調查結果中涉及的端點等洞見。
若要檢視與屬於 GuardDuty 調查結果的訊號相關聯的詳細資訊,請參閱此頁面上的相關區段。
在 GuardDuty 主控台中,當您選取攻擊序列調查結果時,詳細資訊側邊面板會分為下列索引標籤:
+ **概觀** – 提供攻擊序列詳細資訊的精簡檢視,包括訊號、MITRE 策略和可能受影響的資源。
+ **訊號** – 顯示與攻擊序列相關的事件時間軸。
+ **資源** – 提供有關可能受影響的資源或可能面臨風險的資源的資訊。
下列清單提供與攻擊序列調查結果詳細資訊相關聯的描述。
**訊號**
訊號可以是 GuardDuty 用來偵測攻擊序列調查結果的 API 活動或調查結果。GuardDuty 會將本身未呈現的弱訊號視為明確的威脅,將其拼湊在一起,並與個別產生的調查結果相關聯。如需更多內容,**訊號**索引標籤會提供訊號的時間軸,如 GuardDuty 所觀察。
每個訊號,也就是 GuardDuty 調查結果,都有自己的嚴重性等級和值指派給它。在 GuardDuty 主控台中,您可以選取每個訊號以檢視相關聯的詳細資訊。
**演員**
提供攻擊序列中威脅執行者的詳細資訊。如需詳細資訊,請參閱 *Amazon GuardDuty API 參考*中的[演員](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_Actor.html)。
**端點**
提供有關此攻擊序列中使用的網路端點的詳細資訊。如需詳細資訊,請參閱 *Amazon GuardDuty API 參考*中的 [NetworkEndpoint](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_NetworkEndpoint.html)。如需 GuardDuty 如何判斷位置的資訊,請參閱 [地理位置詳細資訊](#guardduty-finding-details-geolocation)。
**指標**
包括與安全問題模式相符的觀察資料。此資料會指定為何 GuardDuty 有潛在可疑活動的跡象。例如,當指標名稱為 時`HIGH_RISK_API`,這表示威脅執行者常用的動作,或可能導致 潛在影響的敏感動作 AWS 帳戶,例如存取登入資料或修改資源。
下表包含潛在指標的清單及其說明:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/guardduty_findings-summary.html)
**MITRE 策略**
此欄位指定威脅行為者嘗試通過攻擊序列的 MITRE ATT&CK 策略。GuardDuty 使用 [MITRE ATT&ACK](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-format.html#guardduty_threat_purposes) 架構,將內容新增至整個攻擊序列。GuardDuty 主控台用來指定威脅執行者已使用之威脅用途的顏色,與指出關鍵、高、中和低 的顏色保持一致[問題清單嚴重性等級](guardduty_findings-severity.md)。
**網路指標**
指標包含網路指標值的組合,說明網路為何表示可疑行為。本節僅適用於**指示器**包含 `SUSPICIOUS_NETWORK`或 時`MALICIOUS_IP`。下列範例顯示網路指標如何與 指標建立關聯,其中:
+ *AnyCompany* 是一種自治系統 (AS)。
+ `TUNNEL_VPN`、 `IS_ANONYMOUS`和 `ALLOWS_FREE_ACCESS`是網路指標。
```
...{
"key": "SUSPICIOUS_NETWORK",
"values": [{
"AnyCompany": [
"TUNNEL_VPN",
"IS_ANONYMOUS",
"ALLOWS_FREE_ACCESS"
]
}]
}
...
```
下表包含網路指標值及其描述。這些標籤會根據 GuardDuty 從 Spur 等來源收集的威脅情報新增
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/guardduty_findings-summary.html)
## RDS 資料庫 (DB) 使用者詳細資訊
**注意**
本區端適用於在 GuardDuty 中啟用 RDS 防護功能時的調查結果。如需詳細資訊,請參閱[GuardDuty RDS 保護](rds-protection.md)。
GuardDuty 調查結果提供下列可能遭到入侵之資料庫的使用者和身分驗證詳細資訊:
+ **使用者**:用來進行異常登入嘗試的使用者名稱。
+ **應用程式**:用來進行異常登入嘗試的應用程式名稱。
+ **資料庫**:異常登入嘗試所涉及的資料庫執行個體名稱。
+ **SSL**:用於網路的 Secure Socket Layer (SSL) 版本。
+ **驗證方法**:與調查結果中涉及的使用者使用的驗證方法。
如需可能遭到入侵資源的資訊,請參閱 [資源](#findings-resource-affected)。
## 執行時期監控調查結果詳細資訊
**注意**
僅當 GuardDuty 產生 [GuardDuty 執行期監控調查結果類型](findings-runtime-monitoring.md) 其中之一時,這些詳細資訊才可用。
本區段包含執行期詳細資訊,例如程序詳細資訊和任何必要的內容。程序詳細資訊說明觀察程序的相關資訊,執行時間內容說明任何有關潛在可疑活動的其他資訊。
**程序詳細資訊**
+ **名稱**:程序的名稱。
+ **可執行路徑**:處理程序可執行檔的絕對路徑。
+ **可執行 SHA-256**:處理程序可執行的 `SHA256` 雜湊值。
+ **命名空間 PID**:主機層級 PID 命名空間以外的次要 PID 命名空間中的程序之程序 ID。對於容器內的程序,它是容器內觀察到的程序 ID。
+ **目前的工作目錄**:程序的目前工作目錄。
+ **程序 ID**:由作業系統指派給程序的 ID。
+ **startTime**:程序開始的時間。這是 UTC 日期字串格式 (`2023-03-22T19:37:20.168Z`)。
+ **UUID**:由 GuardDuty 指派給程序的唯一識別碼。
+ **父系 UUID**:父系程序的唯一識別碼。此 ID 會由 GuardDuty 分配給父系程序。
+ **使用者**:執行程序的使用者。
+ **使用者 ID**:執行程序的使用者 ID。
+ **有效使用者 ID**:事件發生時程序的有效使用者 ID。
+ **世系**:程序上階的相關資訊。
+ **程序 ID**:由作業系統指派給程序的 ID。
+ **UUID**:由 GuardDuty 指派給程序的唯一識別碼。
+ **可執行路徑**:處理程序可執行檔的絕對路徑。
+ **有效使用者 ID**:事件發生時程序的有效使用者 ID。
+ **父系 UUID**:父系程序的唯一識別碼。此 ID 會由 GuardDuty 分配給父系程序。
+ **開始時間**:程序開始的時間。
+ **命名空間 PID**:主機層級 PID 命名空間以外的次要 PID 命名空間中的程序之程序 ID。對於容器內的程序,它是容器內觀察到的程序 ID。
+ **使用者 ID**:執行程序的使用者的使用者 ID。
+ **名稱**:程序的名稱。
**執行期內容**
從下列欄位中,產生的調查結果可能只包含與調查結果類型相關的欄位。
+ **掛載來源**:由容器掛載的主機路徑。
+ **掛載目標**:對應至主機目錄之容器中的路徑。
+ **檔案系統類型**:代表已掛載檔案系統的類型。
+ **旗標**:代表控制此調查結果所涉及之事件行為的選項。
+ **修改程序**:在執行期的容器內建立或修改二進位、指令碼或程式庫之程序的相關資訊。
+ **修改時間**:程序在執行期建立或修改二進位、指令碼或程式庫的時間戳記。此欄位是 UTC 日期字串格式 (`2023-03-22T19:37:20.168Z`)。
+ **程式庫路徑**:已載入之新程式庫的路徑。
+ **LD 載入前的值**:`LD_PRELOAD` 環境變數的值。
+ **通訊端路徑**:存取 Docker 通訊端的路徑。
+ **Runc 二進位路徑**:`runc` 二進位的路徑。
+ **代理程式版本路徑**:`cgroup` 發行代理程式檔案的路徑。
+ **命令列範例** – 潛在可疑活動中涉及的命令列範例。
+ **工具類別** – 工具所屬的類別。其中一些範例是 Backdoor Tool、Pentest Tool、Network Scanner 和 Network Sniffer。
+ **工具名稱** – 潛在可疑工具的名稱。
+ **指令碼路徑** – 產生問題清單之已執行指令碼的路徑。
+ **威脅檔案路徑** – 找到威脅情報詳細資訊的可疑路徑。
+ **服務名稱** – 已停用的安全服務名稱。
+ **模組名稱** – 載入核心的模組名稱。
+ **模組 SHA256** – 模組的 SHA256 雜湊。
+ **模組檔案路徑** – 載入核心的模組路徑。
## EBS 磁碟區掃描詳細資訊
**注意**
本節適用於您在 [EC2 的惡意軟體防護](malware-protection.md) 中啟動 GuardDuty 起始的惡意程式碼掃描時發現的調查結果。
EBS 磁碟區掃描提供有關連接至可能洩露 EC2 執行個體或容器工作負載的 EBS 磁碟區之詳細資訊。
+ **掃描 ID**:惡意程式碼掃描的識別碼。
+ **掃描開始時間**:惡意程式碼掃描開始的日期和時間。
+ **掃描完成時間**:惡意程式碼掃描完成的日期和時間。
+ **觸發調查結果 ID**:起始此惡意程式碼掃描之 GuardDuty 調查結果的調查結果 ID。
+ **來源** – 潛在值為 `Bitdefender`和 `Amazon`。
如需用於偵測惡意軟體之掃描引擎的詳細資訊,請參閱 [GuardDuty 惡意軟體偵測掃描引擎](guardduty-malware-detection-scan-engine.md)。
+ **掃描偵測**:每個惡意程式碼掃描的詳細資訊和結果的完整檢視。
+ **掃描項目計數**:已掃描檔案的總數。它提供了詳細資訊,例如 `totalGb`、`files`,和 `volumes`。
+ **偵測到的威脅項目計數**:掃描期間 `files` 偵測到的惡意程式總數。
+ **最高嚴重性威脅詳細資訊**:掃描期間偵測到的最高嚴重性威脅之詳細資訊,以及惡意檔案數目。它提供了詳細資訊,例如 `severity`、`threatName`,和 `count`。
+ **依名稱偵測到的威脅**:容器元素會將所有嚴重性等級的威脅分組。它提供了詳細資訊,例如 `itemCount`、`uniqueThreatNameCount`、`shortened` 和 `threatNames`。
## EC2 調查結果詳細資訊的惡意軟體防護
**注意**
本節適用於您在 [EC2 的惡意軟體防護](malware-protection.md) 中啟動 GuardDuty 起始的惡意程式碼掃描時發現的調查結果。
當 EC2 的惡意軟體防護掃描偵測到惡意軟體時,您可以在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台的**調查結果**頁面上選取對應的調查結果,以檢視掃描詳細資訊。EC2 的惡意軟體防護調查結果的嚴重性取決於 GuardDuty 調查結果的嚴重性。
下列資訊可在詳細資訊面板的**偵測到的威脅**區段下取得。
+ **名稱**:透過偵測將檔案分組而取得的威脅名稱。
+ **嚴重性**:偵測到的威脅嚴重性。
+ **雜湊**:檔案的 SHA-256。
+ **檔案路徑**:惡意檔案在 EBS 磁碟區中的位置。
+ **檔案名稱**:偵測到威脅的檔案名稱。
+ **磁碟區 ARN**:已掃描的 EBS 磁碟區的 ARN。
下列資訊可在詳細資訊面板的**惡意軟體掃描詳細資訊**區段下取得。
+ **掃描 ID**:惡意軟體掃描的掃描 ID。
+ **掃描開始時間**:掃描開始的日期和時間。
+ **掃描完成時間**:掃描完成的日期和時間。
+ **掃描的檔案**:已掃描檔案和目錄的總數。
+ **已掃描的 GB 總數**:程序期間掃描的儲存空間量。
+ **觸發調查結果 ID**:起始此惡意程式碼掃描之 GuardDuty 調查結果的調查結果 ID。
+ 下列資訊可在詳細資訊面板的**磁碟區詳細資訊**區段下取得。
+ **磁碟區 ARN**:磁碟區的 Amazon Resource Name (ARN)。
+ **SnapshotARN**:EBS 磁碟區快照的 ARN。
+ **狀態**:磁碟區的掃描狀態,例如 `Running`、`Skipped` 和 `Completed`。
+ **加密類型**:用來加密磁碟區的加密類型。例如 `CMCMK`。
+ **裝置名稱**:裝置的名稱。例如 `/dev/xvda`。
## S3 的惡意軟體防護調查結果詳細資訊
當您在 中同時啟用 GuardDuty 和 S3 的惡意軟體防護時,可使用下列惡意軟體掃描詳細資訊 AWS 帳戶:
+ **威脅** – 惡意軟體掃描期間偵測到的威脅清單。
**封存檔案中的多個潛在威脅**
如果您的封存檔案可能具有多個威脅,則 S3 的惡意軟體防護只會報告第一個偵測到的威脅。之後,掃描狀態會標示為完成。GuardDuty 會產生相關聯的調查結果類型,也會傳送其產生的 EventBridge 事件。如需使用 EventBridge 事件監控 Amazon S3 物件掃描的詳細資訊,請參閱 中 **THREATS\$1FOUND** 的範例通知結構描述[S3 物件掃描結果](monitor-with-eventbridge-s3-malware-protection.md#s3-object-scan-status-malware-protection-s3-ev)。
+ **項目路徑** – 已掃描 S3 物件的巢狀項目路徑和雜湊詳細資訊清單。
+ **巢狀項目路徑** – 偵測到威脅的已掃描 S3 物件的項目路徑。
只有在最上層物件是封存,且在封存內偵測到威脅時,此欄位的值才能使用。
+ **雜湊**:此調查結果中偵測到的威脅雜湊。
+ **來源** – 潛在值為 `Bitdefender`和 `Amazon`。
如需用於偵測惡意軟體之掃描引擎的詳細資訊,請參閱 [GuardDuty 惡意軟體偵測掃描引擎](guardduty-malware-detection-scan-engine.md)。
## Action
調查結果的**動作**提供觸發此調查結果之活動類型的相關詳細資訊。可用資訊會根據動作類型而有所不同。
**動作類型**:調查結果活動類型。這個值可以是**NETWORK\$1CONNECTION**、**PORT\$1PROBE**、**DNS\$1REQUEST**、**AWS\$1API\$1CALL** 或 **RDS\$1LOGIN\$1ATTEMPT**。可用資訊會根據動作類型而有所不同:
+ **NETWORK\$1CONNECTION**:表示已識別的 EC2 執行個體和遠端主機之間的網路流量已進行交換。此動作類型具有以下其他資訊:
+ **連線方向**:在提示 GuardDuty 產生調查結果的活動中所觀察到的網路連線方向。這些值可為下列其中一項:
+ **INBOUND**:表示遠端主機已啟動本機連接埠的連線,該本機連接埠位於您帳戶中的已識別 EC2 執行個體。
+ **OUTBOUND**:表示識別的 EC2 執行個體已啟動到遠端主機的連線。
+ **UNKNOWN**:表示 GuardDuty 無法判斷連線方向。
+ **協定**:在提示 GuardDuty 產生調查結果的活動中所觀察到的網路連線協定。
+ **本機 IP**:觸發調查結果之流量的原始來源 IP 地址。此資訊可以用來區分流量流經之中繼層的 IP 地址,以及觸發調查結果之流量的原始來源 IP 地址。例如,EKS Pod 的 IP 地址,而不是 EKS Pod 執行所在之執行個體的 IP 地址。
+ **已封鎖**:表示目標通訊埠是否已封鎖。
+ **PORT\$1PROBE**:表示遠端主機在多個開放連接埠上探測了已識別的 EC2 執行個體。此動作類型具有以下其他資訊:
+ **本機 IP**:觸發調查結果之流量的原始來源 IP 地址。此資訊可以用來區分流量流經之中繼層的 IP 地址,以及觸發調查結果之流量的原始來源 IP 地址。例如,EKS Pod 的 IP 地址,而不是 EKS Pod 執行所在之執行個體的 IP 地址。
+ **已封鎖**:表示目標通訊埠是否已封鎖。
+ **DNS\$1REQUEST**:表示識別的 EC2 執行個體已查詢網域名稱。此動作類型具有以下其他資訊:
+ **協定**:在提示 GuardDuty 產生調查結果的活動中所觀察到的網路連線協定。
+ **已封鎖**:表示目標通訊埠是否已封鎖。
+ **AWS\$1API\$1CALL**:表示已呼叫 AWS API。此動作類型具有以下其他資訊:
+ **API**:調用的 API 操作名稱,從而提示 GuardDuty 產生此調查結果。
**注意**
這些操作也可以包含 AWS CloudTrail擷取的非 API 活動。如需詳細資訊,請參閱 [Non-API events captured by CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-non-api-events.html)。
+ **使用者代理程式**:發出 API 請求的使用者代理程式。此值會告訴您呼叫是從 AWS 管理主控台、 AWS 服務、 AWS SDKs或 進行 AWS CLI。
+ **錯誤代碼**:如果調查結果是由失敗的 API 呼叫觸發,則會顯示該呼叫的錯誤代碼。
+ **服務名稱**:試圖發出觸發此調查結果之 API 呼叫的服務的 DNS 名稱。
+ **RDS\$1LOGIN\$1ATTEMPT**:表示嘗試從遠端 IP 地址登入可能遭到洩露的資料庫。
+ **IP 地址**:用來進行潛在可疑登入嘗試的遠端 IP 地址。
## 執行者或目標
如果**資源角色**是 `TARGET`,則調查結果具有**執行者**區段。這表示可疑活動已將目標鎖定在您的資源,而且**執行者**區段包含了將目標鎖定在執行個體之實體的相關詳細資訊。
如果**資源角色**是 `ACTOR`,則調查結果具有**目標**區段。這表示針對遠端主機之可疑活動涉及了您的資源,而且此區段包含 IP 或資源已鎖定目標之網域的相關資訊。
**執行者**或**目標**區段中的可用資訊可包含下列項目:
+ **附屬**:有關遠端 API 呼叫者 AWS 帳戶是否與您的 GuardDuty 環境相關的詳細資訊。如果此值為 `true`,則 API 呼叫者會以某種方式與您的帳戶相關聯;如果為 `false`,API 呼叫者來自您的環境之外。
+ **遠端帳戶 ID** – 擁有用於存取最終網路資源之傳出 IP 地址的帳戶 ID。
+ **IP 地址**:在提示 GuardDuty 產生調查結果活動時所涉及的 IP 地址。
+ **位置**:在提示 GuardDuty 產生調查結果活動時所涉及的 IP 地址位置資訊。
+ **組織**:在提示 GuardDuty 產生調查結果活動時所涉及的 IP 地址 ISP 組織資訊。
+ **連接埠**:在提示 GuardDuty 產生調查結果活動時所涉及的連接埠號碼。
+ **網域**:在提示 GuardDuty 產生調查結果活動時所涉及的網域。
+ **具有尾碼的網域**:活動中涉及的第二個和頂層網域,可能會提示 GuardDuty 產生調查結果。如需最上層和第二層網域的清單,請參閱[公有字尾清單](https://publicsuffix.org/)。
## 地理位置詳細資訊
GuardDuty 會使用 MaxMind GeoIP 資料庫來決定請求的位置和網路。MaxMind 會在國家/地區層級報告非常高的資料準確性,但準確性會根據國家/地區和 IP 地址類型等因素而有所不同。
如需 MaxMind 的詳細資訊,請參閱 [MaxMind IP 地理位置](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation)。如果您認為任何 GeoIP 資料不正確,請提交更正請求至 MaxMind at [MaxMind Correct GeoIP2 Data](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction)。
## 其他資訊
所有調查結果的**其他資訊**區段可包含以下資訊:
+ **威脅清單名稱** - 包含與活動相關的 IP 地址或網域名稱,並提示 GuardDuty 產生調查結果的威脅清單名稱。
+ **範例**:表示此是否為調查結果範本的 true 或 false 值。
+ **已封存**:表示此調查結果是否已封存的 true 或 false 值。
+ **異常**:在歷史中未觀察到的活動詳細資訊。這些可能包括不尋常 (以前未觀察到) 的使用者、位置、時間、儲存貯體、登入行為或 ASN Org。
+ **不尋常的協定**:在提示 GuardDuty 產生調查結果的活動中涉及的網路連線協定。
+ **代理程式詳細資訊**:目前部署在 AWS 帳戶的 EKS 叢集上的安全代理程式的詳細資訊。這僅適用於 EKS 執行期監控調查結果類型。
+ **代理程式版本**:GuardDuty 安全性代理程式的版本。
+ **代理程式 ID**:GuardDuty 安全性代理程式的唯一識別碼。
## 證據
根據威脅情報的調查結果具有**證據**區段,其中包含下列資訊:
+ **威脅情報詳細資訊** – `Threat name`可辨識的威脅清單名稱。
+ **威脅名稱** – 與威脅相關聯的惡意軟體系列或其他識別符的名稱。
+ 產生調查結果之檔案**的威脅檔案 SHA256** – SHA256。
## 異常行為
以 **AnomalousBehavior** 結尾的調查結果類型表示該調查結果是由 GuardDuty 異常偵測機器學習 (ML) 模型所產生。ML 模型會評估帳戶中的所有 API 請求,並識別與對手使用的策略相關聯的異常事件。ML 模型會追蹤 API 請求的各種因素,例如發出請求的使用者、發出請求的位置,以及請求的特定 API。
有關 API 請求的哪些因素對於調用該請求的 CloudTrail 使用者身分來說不常見的詳細資訊,請參閱調查結果詳細資訊。身分是由 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)所定義,可能的值為:`Root`、`IAMUser`、`AssumedRole`、`FederatedUser`、`AWSAccount` 或 `AWSService`。
除了可用於所有與 API 活動相關聯的 GuardDuty 調查結果的詳細資訊之外,**AnomalousBehavior** 調查結果還有其他詳細資訊,如下節所述。您可以在主控台中檢視這些詳細資訊,也可以在調查結果的 JSON 中找到。
+ **異常 API**:由與調查結果相關聯的主要 API 請求附近的使用者身分調用的 API 請求清單。此窗格會透過下列方式進一步細分 API 事件的詳細資訊。
+ 列出的第一個 API 是主要 API,這是與觀察到的最高風險活動相關聯的 API 請求。這是觸發調查結果並與調查結果類型的攻擊階段相關的 API。這也是在主控台的**動作**區段下,以及調查結果的 JSON 中詳細說明的 API。
+ 列出的任何其他 API 都是在主要 API 附近觀察到的所列使用者身分的其他異常 API。如果清單上只有一個 API,ML 模型就不會將來自該使用者身分的任何其他 API 請求識別為異常。
+ API 清單會根據是否**成功呼叫 API**,或是否呼叫 API 失敗而劃分,表示收到錯誤回應。收到的錯誤回應類型列在每個未成功呼叫 API 的上面。可能的錯誤回應類型為:`access denied`、`access denied exception`、`auth failure`、`instance limit exceeded`、`invalid permission - duplicate`、`invalid permission - not found` 和 `operation not permitted`。
+ API 按其關聯的服務進行分類。
+ 如需更多內容,請選擇**歷史 API** 以檢視有關頂端 API 的詳細資訊,最多 20 個,通常針對使用者身分和帳戶內的所有使用者顯示。這些 API 被標記為**極少 (每月少於一次)**、**不常 (每月幾次)**或**經常 (每天到每週)**,具體取決於它們在您的帳戶中使用頻率。
+ **異常行為 (帳戶)**:本節提供有關帳戶已分析行為的其他詳細資訊。
**設定檔行為**
GuardDuty 會根據交付的事件,持續了解您帳戶中的活動。這些活動及其觀察到的頻率稱為設定檔行為。
此面板中追蹤的資訊包括:
+ **ASN 組織** – 發出異常 API 呼叫的自治系統編號 (ASN) 組織。
+ **使用者名稱**:進行異常 API 呼叫的使用者名稱。
+ **使用者代理程式**:用來進行異常 API 呼叫的使用者代理程式。使用者代理程式是用來進行呼叫的方法,例如 `aws-cli` 或 `Botocore`。
+ **使用者類型**:進行異常 API 呼叫的使用者類型。可能值為 `AWS_SERVICE`、`ASSUMED_ROLE`、`IAM_USER`、 或 `ROLE`。
+ **儲存貯體**:要存取的 S3 儲存貯體名稱。
+ **異常行為 (使用者身分)**:本節提供調查結果所涉及**使用者身分**之已分析行為的其他詳細資訊。當行為未被識別為歷史行為時,這表示 GuardDuty ML 模型先前並未在訓練期間看過此使用者身分以這種方式進行此 API 呼叫。下列有關**使用者身分**的其他詳細資訊:
+ **ASN Org**:發出異常 API 呼叫的 ASN Org。
+ **使用者代理程式**:用來進行異常 API 呼叫的使用者代理程式。使用者代理程式是用來進行呼叫的方法,例如 `aws-cli` 或 `Botocore`。
+ **儲存貯體**:要存取的 S3 儲存貯體名稱。
+ **異常行為 (儲存貯體)**:本區段提供與調查結果相關聯之 S3 儲存貯體已分析行為的其他詳細資訊。當行為未被識別為歷史行為時,這表示 GuardDuty ML 模型先前並未在訓練期間以這種方式看到對此儲存貯體進行的 API 呼叫。本區段追蹤的資訊包括:
+ **ASN Org**:發出異常 API 呼叫的 ASN Org。
+ **使用者名稱**:進行異常 API 呼叫的使用者名稱。
+ **使用者代理程式**:用來進行異常 API 呼叫的使用者代理程式。使用者代理程式是用來進行呼叫的方法,例如 `aws-cli` 或 `Botocore`。
+ **使用者類型**:進行異常 API 呼叫的使用者類型。可能值為 `AWS_SERVICE`、`ASSUMED_ROLE`、`IAM_USER`、 或 `ROLE`。
**注意**
如需有關歷史行為的詳細內容,請在**異常行為 (帳戶)**、**使用者 ID**或**儲存貯體**區段中選擇**歷史行為**,以檢視您帳戶中每個類別預期行為的詳細資訊:**極少 (每月少於一次)**、**不常 (每月幾次)** 或**經常 (每天到每週)**,具體取決於它們在您的帳戶中使用頻率。
+ **異常行為 (資料庫)**:此區段提供與調查結果相關聯之資料庫執行個體已分析行為的其他詳細資訊。當行為未被識別為歷史行為時,這表示 GuardDuty ML 模型先前並未在訓練期間看到以這種方式嘗試登入此資料庫執行個體。在調查結果面板中針對此區段所追蹤的資訊包括:
+ **使用者名稱**:用來進行異常登入嘗試的使用者名稱。
+ **ASN Org**:發出異常登入嘗試的 ASN Org。
+ **應用程式名稱**:用來進行異常登入嘗試的應用程式名稱。
+ **資料庫名稱**:異常登入嘗試所涉及的資料庫執行個體名稱。
**歷史行為**區段提供有關之前觀察到的**使用者名稱**、**ASN Org**、**應用程式名稱**和相關聯資料庫的**資料庫名稱**的詳細內容。每個唯一值都有一個相關聯的計數,代表在成功登入事件中觀察到此值的次數。
+ **異常行為 (帳戶 Kubernetes 叢集、Kubernetes 命名空間和 Kubernetes 使用者名稱)**:本區段提供有關 Kubernetes 叢集的已分析行為的其他詳細資訊,以及與調查結果相關聯的命名空間。當行為未識別為歷史行為時,這表示 GuardDuty ML 模型先前未以這種方式觀察過此帳戶、叢集、命名空間或使用者名稱。在調查結果面板中針對此區段所追蹤的資訊包括:
+ **使用者名稱**:呼叫與調查結果相關聯之 Kubernetes API 的使用者。
+ **模擬使用者名稱**:被 `username` 模擬的使用者。
+ **命名空間**:產生動作的 Amazon EKS 叢集內的 Kubernetes 命名空間。
+ **使用者代理程式**:與 Kubernetes API 呼叫相關聯的使用者代理程式。使用者代理程式是用來進行呼叫的方法,例如 `kubectl`。
+ **API**:由 Amazon EKS 叢集內 `username` 呼叫的 Kubernetes API。
+ **ASN 資訊**:與進行此呼叫之使用者 IP 地址相關聯的 ASN 資訊,例如組織和 ISP。
+ **週幾**:進行 Kubernetes API 呼叫時是週幾。
+ **許可** – 正在檢查存取的 Kubernetes 動詞和資源,以指出 是否可以`username`使用 Kubernetes API。
+ **服務帳戶名稱** – 與為工作負載提供身分的 Kubernetes 工作負載相關聯的服務帳戶。
+ **登錄**檔 – 與部署在 Kubernetes 工作負載中的容器映像相關聯的容器登錄檔。
+ **映像** – 在 Kubernetes 工作負載中部署的容器映像,不含相關聯的標籤和摘要。
+ **映像字首組態** – 為使用映像的容器啟用容器和工作負載安全組態的映像字首`privileged`,例如 `hostNetwork`或 。
+ **主旨名稱** – `serviceAccountName`繫結至 或 `user`中參考角色的主旨,例如 `group`、 `RoleBinding`或 `ClusterRoleBinding`。
+ **角色名稱** – 參與建立或修改角色或 `roleBinding` API 的角色名稱。
### S3 磁碟區型異常
本區段詳細說明 S3 磁碟區型異常的關聯式資訊。磁碟區型調查結果 ([Exfiltration:S3/AnomalousBehavior](guardduty_finding-types-s3.md#exfiltration-s3-anomalousbehavior)) 會監控使用者對 S3 儲存貯體進行的不尋常 S3 API 呼叫次數,以表示可能的資料外洩。下列 S3 API 呼叫會受到監控,以進行磁碟區型的異常偵測。
+ `GetObject`
+ `CopyObject.Read`
+ `SelectObjectContent`
當 IAM 儲存貯體存取 S3 儲存貯體時,以下指標有助於建立常見行為的基準。為了偵測資料外洩,磁碟區型異常偵測調查結果會根據通常的行為基準來評估所有活動。在**異常行為 (使用者身分)**、**觀察到的磁碟區 (使用者身分)**和**觀察到的磁碟區 (儲存貯體)**區段中選擇**歷史行為**,分別檢視下列指標。
+ 過去 24 小時內,IAM 使用者或 IAM 角色調用的 `s3-api-name` API 呼叫次數 (取決於發出哪一個) 與受影響的 S3 儲存貯體相關聯。
+ 過去 24 小時內,IAM 使用者或 IAM 角色調用的 `s3-api-name` API 呼叫次數 (取決於發出哪一個) 與所有 S3 儲存貯體相關聯。
+ 過去 24 小時內,在各個 IAM 使用者或 IAM 角色中的 `s3-api-name` API 呼叫次數 (取決於發出哪一個) 與受影響的 S3 儲存貯體相關聯。
### RDS 登入活動型異常
本區段詳細說明了不尋常執行者執行的登入嘗試次數,並按登入嘗試的結果進行分組。[RDS 保護調查結果類型](findings-rds-protection.md) 透過監控 `successfulLoginCount`、`failedLoginCount` 和 `incompleteConnectionCount` 異常模式的登入事件來識別異常行為。
+ **successfulLoginCount**:此計數器代表不尋常的執行者對資料庫執行個體建立成功連線 (正確登入屬性組合) 的總和。登入屬性包括使用者名稱、密碼和資料庫名稱。
+ **FailedLoginCount**:此計數器代表嘗試登入失敗 (不成功) 嘗試建立與資料庫執行個體之連線的總和。這表示登入組合一個或多個屬性,例如使用者名稱、密碼或資料庫名稱不正確。
+ **incompleteConnectionCount**:此計數器代表無法分類為成功或失敗的連線嘗試次數。這些連接在資料庫提供回應之前關閉。例如,連接埠掃描,其中資料庫連接埠已連接,但沒有任何資訊發送到資料庫,或在成功或失敗的嘗試中登入完成之前連線已中止。
# GuardDuty 調查結果彙總
GuardDuty 會動態更新產生的調查結果。如果 GuardDuty 偵測到與相同安全問題相關的新活動,則 GuardDuty 會使用最新詳細資訊更新原始調查結果,而不是建立新的調查結果。此行為可讓您識別任何持續的問題,而無需查看多個類似的報告,並減少已知安全問題的整體問題清單數量。
例如,對於UnauthorizedAccess:EC2/SSHBruteForce調查結果,針對執行個體的多次存取嘗試會彙總到相同的調查結果 ID,增加調查結果詳細資訊中的**計數**編號。這是因為調查結果代表執行個體的單一安全問題,表示執行個體上的 SSH 連接埠未針對此類活動進行適當地保護。不過,如果 GuardDuty 偵測到以環境中新執行個體為目標的 SSH 存取活動,它會建立一個具有唯一調查結果 ID 的新調查結果,以提醒您發生與新資源相關聯的安全問題。
彙總問題清單時,會以該活動最新出現的資訊進行更新。這表示在上述範例中,如果您的執行個體是新執行者嘗試執行暴力密碼破解的目標,將會更新調查結果詳細資訊,以反映最新來源的遠端 IP,而且將取代舊的資訊。您的 CloudTrail 日誌或 VPC 流程日誌中仍會提供個別活動嘗試的完整資訊。
提醒 GuardDuty 產生新調查結果而不是彙總現有調查結果的條件,取決於調查結果類型。每個調查結果類型的彙總條件由我們的安全工程師決定,以提供您帳戶中不同安全問題的概觀。
當 GuardDuty 在您的帳戶中產生攻擊序列調查結果類型時,只有當 GuardDuty 在帳戶中以相同序列識別類似的訊號時,才會彙總調查結果。否則,GuardDuty 會產生另一個攻擊序列。