Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

GuardDuty Arten der Suche nach Angriffssequenzen

GuardDuty erkennt eine Angriffssequenz, wenn eine bestimmte Abfolge mehrerer Aktionen auf eine potenziell verdächtige Aktivität zurückzuführen ist. Eine Angriffssequenz umfasst Signale wie API-Aktivitäten und GuardDuty Ergebnisse. Wenn eine Gruppe von Signalen in einer bestimmten Reihenfolge GuardDuty beobachtet wird, die auf eine laufende, anhaltende oder kürzlich aufgetretene Sicherheitsbedrohung hindeuten, wird ein Ergebnis der Angriffssequenz GuardDuty generiert. GuardDuty betrachtet einzelne API-Aktivitäten soweak signals, als ob sie sich nicht als potenzielle Bedrohung darstellen.

Die Erkennungen der Angriffssequenz konzentrieren sich auf die potenzielle Gefährdung von Amazon S3-Daten (die Teil eines umfassenderen Ransomware-Angriffs sein können), kompromittierte AWS Anmeldeinformationen und kompromittierte Amazon EKS-Cluster. Die folgenden Abschnitte enthalten Einzelheiten zu den einzelnen Angriffssequenzen.

AttackSequence:EKS/CompromisedCluster

Eine Abfolge verdächtiger Aktionen, die von einem potenziell gefährdeten Amazon EKS-Cluster ausgeführt werden.

Dieses Ergebnis informiert Sie darüber, dass Sie eine Abfolge verdächtiger Aktionen GuardDuty entdeckt haben, die auf einen potenziell gefährdeten Amazon EKS-Cluster in Ihrer Umgebung hindeuten. In demselben Amazon EKS-Cluster wurden mehrere verdächtige und anomale Angriffsverhalten beobachtet, z. B. bösartige Prozesse oder Verbindungen mit böswilligen Endpunkten.

GuardDuty verwendet seine eigenen Korrelationsalgorithmen, um die Reihenfolge der Aktionen zu beobachten und zu identifizieren, die mithilfe der IAM-Anmeldeinformationen ausgeführt werden. GuardDuty bewertet die Ergebnisse anhand von Schutzplänen und anderen Signalquellen, um gängige und sich abzeichnende Angriffsmuster zu identifizieren. GuardDuty nutzt mehrere Faktoren, um Bedrohungen aufzudecken, z. B. IP-Reputation, API-Sequenzen, Benutzerkonfiguration und potenziell betroffene Ressourcen.

Behebungsmaßnahmen: Wenn dieses Verhalten in Ihrer Umgebung unerwartet auftritt, ist Ihr Amazon EKS-Cluster möglicherweise gefährdet. Umfassende Anleitungen zur Problembehebung finden Sie unter und. Behebung der Ergebnisse des EKS-Schutzes Behebung der Ergebnisse von Runtime Monitoring

Da AWS Anmeldeinformationen möglicherweise durch den EKS-Cluster kompromittiert wurden, finden Sie außerdem weitere Informationen unter. Behebung potenziell AWS kompromittierter Anmeldedaten Schritte zur Behebung anderer Ressourcen, die möglicherweise betroffen waren, finden Sie unter. Behebung erkannter GuardDuty Sicherheitslücken

AttackSequence:IAM/CompromisedCredentials

Eine Abfolge von API-Anfragen, die mithilfe potenziell kompromittierter Anmeldeinformationen aufgerufen wurden. AWS

Dieses Ergebnis informiert Sie darüber, dass Sie eine Folge verdächtiger Aktionen GuardDuty entdeckt haben, die mithilfe von AWS Anmeldeinformationen ausgeführt wurden und sich auf eine oder mehrere Ressourcen in Ihrer Umgebung auswirken. Mit denselben Anmeldeinformationen wurden mehrere verdächtige und anomale Angriffsverhaltensweisen beobachtet, was zu einer höheren Wahrscheinlichkeit führte, dass die Anmeldeinformationen missbraucht wurden.

GuardDuty verwendet seine firmeneigenen Korrelationsalgorithmen, um die Reihenfolge der Aktionen zu beobachten und zu identifizieren, die mithilfe der IAM-Anmeldeinformationen ausgeführt wurden. GuardDuty bewertet die Ergebnisse anhand von Schutzplänen und anderen Signalquellen, um gängige und sich abzeichnende Angriffsmuster zu identifizieren. GuardDuty nutzt mehrere Faktoren, um Bedrohungen aufzudecken, z. B. IP-Reputation, API-Sequenzen, Benutzerkonfiguration und potenziell betroffene Ressourcen.

Behebungsmaßnahmen: Wenn dieses Verhalten in Ihrer Umgebung unerwartet auftritt, wurden Ihre AWS Anmeldeinformationen möglicherweise kompromittiert. Schritte zur Problembehebung finden Sie unter. Behebung potenziell AWS kompromittierter Anmeldedaten Die kompromittierten Anmeldeinformationen wurden möglicherweise verwendet, um zusätzliche Ressourcen wie Amazon S3 S3-Buckets, AWS Lambda Funktionen oder EC2 Amazon-Instances in Ihrer Umgebung zu erstellen oder zu ändern. Schritte zur Behebung anderer Ressourcen, die möglicherweise beeinträchtigt wurden, finden Sie unter. Behebung erkannter GuardDuty Sicherheitslücken

AttackSequence:S3/CompromisedData

Bei einem möglichen Versuch, Daten in Amazon S3 zu exfiltrieren oder zu vernichten, wurde eine Abfolge von API-Anfragen aufgerufen.

Dieses Ergebnis informiert Sie darüber, dass Sie in einem oder mehreren Amazon Simple Storage Service (Amazon S3) -Buckets eine Abfolge verdächtiger Aktionen GuardDuty entdeckt haben, die auf eine Datenkompromittierung hindeuten. Dabei wurden potenziell AWS kompromittierte Anmeldeinformationen verwendet. Es wurden mehrere verdächtige und ungewöhnliche Angriffsverhaltensweisen (API-Anfragen) beobachtet, was zu einer höheren Wahrscheinlichkeit führte, dass die Anmeldeinformationen missbraucht werden.

GuardDuty verwendet seine Korrelationsalgorithmen, um die Reihenfolge der Aktionen zu beobachten und zu identifizieren, die mithilfe der IAM-Anmeldeinformationen ausgeführt wurden. GuardDuty bewertet dann die Ergebnisse anhand von Schutzplänen und anderen Signalquellen, um gängige und sich abzeichnende Angriffsmuster zu identifizieren. GuardDuty nutzt mehrere Faktoren, um Bedrohungen aufzudecken, z. B. IP-Reputation, API-Sequenzen, Benutzerkonfiguration und potenziell betroffene Ressourcen.

Abhilfemaßnahmen: Wenn diese Aktivität in Ihrer Umgebung unerwartet auftritt, wurden Ihre AWS Anmeldeinformationen oder Amazon S3 S3-Daten möglicherweise exfiltriert oder zerstört. Schritte zur Problembehebung finden Sie unter und. Behebung potenziell AWS kompromittierter Anmeldedaten Behebung eines potenziell gefährdeten S3-Buckets