Tipos de resultados de secuencias de ataque de GuardDuty - Amazon GuardDuty
AttackSequence:EKS/CompromisedClusterAttackSequence:IAM/CompromisedCredentialsAttackSequence:S3/CompromisedData

Tipos de resultados de secuencias de ataque de GuardDuty

GuardDuty detecta una secuencia de ataque cuando una secuencia específica de múltiples acciones se alinea con una actividad potencialmente sospechosa. Una secuencia de ataque incluye señales como las actividades de la API y los resultados de GuardDuty. Cuando GuardDuty observa un grupo de señales en una secuencia específica que indican una amenaza de seguridad en avance, en curso o reciente, GuardDuty genera un resultado de la secuencia de ataque. GuardDuty considera que las actividades individuales de la API no se presentan como weak signals porque no se presentan como una amenaza potencial.

Las detecciones de secuencias de ataques se centran en la posibilidad de comprometer los datos de Amazon S3 (que pueden formar parte de un ataque de ransomware más amplio), las credenciales de AWS comprometidas y los clústeres de Amazon EKS comprometidos. En las siguientes secciones, se proporciona información sobre cada una de las secuencias de ataque.

AttackSequence:EKS/CompromisedCluster

Secuencia de acciones sospechosas realizadas por un clúster Amazon EKS potencialmente comprometido.

Este resultado le informa que GuardDuty detectó una secuencia de acciones sospechosas que indican un clúster de Amazon EKS potencialmente comprometido en su entorno. Se observaron varios comportamientos de ataque sospechosos y anómalos, como procesos maliciosos o conexiones con puntos de conexión maliciosos, en el mismo clúster de Amazon EKS.

GuardDuty utiliza sus algoritmos de correlación patentados para observar e identificar la secuencia de acciones realizadas mediante la credencial de IAM. GuardDuty evalúa los resultados de los planes de protección y otras fuentes de señales para identificar patrones de ataque comunes y emergentes. GuardDuty utiliza varios factores para detectar amenazas, como la reputación de la IP, las secuencias de API, la configuración del usuario y los recursos potencialmente afectados.

Medidas correctivas: si este comportamiento es inesperado en su entorno, es posible que su clúster de Amazon EKS esté en peligro. Para obtener una guía completa de correcciones, consulte Corregir los resultados de EKS Protection y Corregir los resultados de la Supervisión en tiempo de ejecución

Además, dado que es posible que las credenciales de AWS se hayan visto comprometidas a través del clúster de EKS, consulte Corregir credenciales de AWS potencialmente comprometidas. Para ver los pasos a seguir para corregir otros recursos que podrían haberse visto afectados, consulte Corregir los resultados de seguridad detectados en GuardDuty.

AttackSequence:IAM/CompromisedCredentials

Secuencia de solicitudes de API que se invocaron con credenciales de AWS potencialmente comprometidas.

Este resultado le informa de que GuardDuty detectó una secuencia de acciones sospechosas realizadas con credenciales de AWS que afectan a uno o más recursos de su entorno. Se observaron varios comportamientos de ataque sospechosos y anómalos con las mismas credenciales, lo que aumentó la confianza en que se estaba haciendo un uso indebido de las credenciales.

GuardDuty utiliza sus algoritmos de correlación patentados para observar e identificar la secuencia de acciones realizadas mediante la credencial de IAM. GuardDuty evalúa los resultados de los planes de protección y otras fuentes de señales para identificar patrones de ataque comunes y emergentes. GuardDuty utiliza varios factores para detectar amenazas, como la reputación de la IP, las secuencias de API, la configuración del usuario y los recursos potencialmente afectados.

Medidas correctivas: si este comportamiento es inesperado en su entorno, es posible que sus credenciales de AWS se hayan visto comprometidas. Para obtener información sobre los pasos necesarios para solucionarlo, consulte Corregir credenciales de AWS potencialmente comprometidas. Es posible que las credenciales comprometidas se hayan utilizado para crear o modificar recursos adicionales en su entorno, como buckets de Amazon S3, funciones de AWS Lambda o instancias Amazon EC2. Para ver los pasos a seguir para corregir otros recursos que podrían haberse visto afectados, consulte Corregir los resultados de seguridad detectados en GuardDuty.

AttackSequence:S3/CompromisedData

Se invocó una secuencia de solicitudes de API en un posible intento de filtrar o destruir datos en Amazon S3.

Este resultado le informa que GuardDuty detectó una secuencia de acciones sospechosas indicativas de que los datos estaban en peligro en uno o más buckets de Amazon Simple Storage Service (Amazon S3), mediante el uso de credenciales de AWS potencialmente comprometidas. Se observaron varios comportamientos de ataque sospechosos y anómalos (solicitudes de API), lo que aumentó la confianza en el uso indebido de las credenciales.

GuardDuty utiliza sus algoritmos de correlación para observar e identificar la secuencia de acciones realizadas mediante la credencial de IAM. Luego, GuardDuty evalúa los resultados en los planes de protección y otras fuentes de señales para identificar patrones de ataque comunes y emergentes. GuardDuty utiliza varios factores para detectar amenazas, como la reputación de la IP, las secuencias de API, la configuración del usuario y los recursos potencialmente afectados.

Medidas correctivas: si esta actividad es inesperada en su entorno, es posible que sus credenciales de AWS o los datos de Amazon S3 se hayan filtrado o destruido. Para ver los pasos a seguir para solucionarlo, consulte Corregir credenciales de AWS potencialmente comprometidas y Corregir un bucket de S3 potencialmente comprometido.