Tipos de resultados de IAM con GuardDuty - Amazon GuardDuty
CredentialAccess:IAMUser/AnomalousBehaviorDefenseEvasion:IAMUser/AnomalousBehaviorDiscovery:IAMUser/AnomalousBehaviorExfiltration:IAMUser/AnomalousBehaviorImpact:IAMUser/AnomalousBehaviorInitialAccess:IAMUser/AnomalousBehaviorPenTest:IAMUser/KaliLinuxPenTest:IAMUser/ParrotLinuxPenTest:IAMUser/PentooLinuxPersistence:IAMUser/AnomalousBehaviorPolicy:IAMUser/RootCredentialUsagePolicy:IAMUser/ShortTermRootCredentialUsagePrivilegeEscalation:IAMUser/AnomalousBehaviorRecon:IAMUser/MaliciousIPCallerRecon:IAMUser/MaliciousIPCaller.CustomRecon:IAMUser/TorIPCallerStealth:IAMUser/CloudTrailLoggingDisabledStealth:IAMUser/PasswordPolicyChangeUnauthorizedAccess:IAMUser/ConsoleLoginSuccess.BUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWSUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWSUnauthorizedAccess:IAMUser/MaliciousIPCallerUnauthorizedAccess:IAMUser/MaliciousIPCaller.CustomUnauthorizedAccess:IAMUser/TorIPCaller

Tipos de resultados de IAM con GuardDuty

Los siguientes resultados son específicos de las entidades y claves de acceso de IAM y siempre tendrán un Tipo de recurso de AccessKey. La gravedad y los detalles de los resultados varían en función del tipo de resultado.

Los resultados que se muestran aquí incluyen los orígenes de datos y los modelos utilizados para generar ese tipo de resultado. Para obtener más información, consulte Orígenes de datos fundamentales de GuardDuty.

En el caso de todos los resultados relacionados con IAM, se recomienda que examine la entidad en cuestión y se asegure de que sus permisos sigan las prácticas recomendadas de privilegio mínimo. Si la actividad es inesperada, las credenciales pueden verse afectadas. Para obtener más información sobre los resultados de corrección, consulte Corregir credenciales de AWS potencialmente comprometidas.

CredentialAccess:IAMUser/AnomalousBehavior

Se ha invocado una API utilizada para acceder a un entorno de AWS de forma anómala.

Gravedad predeterminada: media

  • Origen de datos: evento de administración de CloudTrail

Este resultado le informa de que se ha observado una solicitud de API anómala en su cuenta. Este resultado puede incluir una sola solicitud de API o una serie de solicitudes de API relacionadas que haya hecho en proximidad una sola identidad de usuario. La API observada suele asociarse a la fase de acceso a las credenciales en un ataque, donde un adversario intenta recopilar contraseñas, nombres de usuario y claves de acceso de su entorno. Las API de esta categoría son GetPasswordData, GetSecretValue, BatchGetSecretValue y GenerateDbAuthToken.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta solicitud de API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de ML hace un seguimiento de varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó. Los detalles sobre qué factores de la solicitud de API son inusuales para la identidad de usuario que ha invocado la solicitud se encuentran en los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

DefenseEvasion:IAMUser/AnomalousBehavior

Se ha invocado de forma anómala una API utilizada para evadir las medidas defensivas.

Gravedad predeterminada: media

  • Origen de datos: evento de administración de CloudTrail

Este resultado le informa de que se ha observado una solicitud de API anómala en su cuenta. Este resultado puede incluir una sola solicitud de API o una serie de solicitudes de API relacionadas que haya hecho en proximidad una sola identidad de usuario. La API observada suele asociarse a las tácticas de evasión de la defensa, en las que un adversario intenta ocultar sus rastros para evitar ser detectado. Las API de esta categoría suelen eliminar, deshabilitar o detener operaciones, como DeleteFlowLogs, DisableAlarmActions o StopLogging.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta solicitud de API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de ML hace un seguimiento de varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó. Los detalles sobre qué factores de la solicitud de API son inusuales para la identidad de usuario que ha invocado la solicitud se encuentran en los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Discovery:IAMUser/AnomalousBehavior

Se ha invocado de forma anómala una API que se utiliza habitualmente para detectar recursos.

Gravedad predeterminada: baja

  • Origen de datos: evento de administración de CloudTrail

Este resultado le informa de que se ha observado una solicitud de API anómala en su cuenta. Este resultado puede incluir una sola solicitud de API o una serie de solicitudes de API relacionadas que haya hecho en proximidad una sola identidad de usuario. La API observada se suele asociar a la fase de detección de un ataque, en la que un atacante recopila información para determinar si su entorno de AWS es susceptible de sufrir un ataque más amplio. Las API de esta categoría suelen obtener, describir o enumerar operaciones, como DescribeInstances, GetRolePolicy o ListAccessKeys.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta solicitud de API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de ML hace un seguimiento de varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó. Los detalles sobre qué factores de la solicitud de API son inusuales para la identidad de usuario que ha invocado la solicitud se encuentran en los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Exfiltration:IAMUser/AnomalousBehavior

Se ha invocado de forma anómala una API que se utiliza habitualmente para recopilar datos de un entorno de AWS.

Gravedad predeterminada: alta

  • Origen de datos: evento de administración de CloudTrail

Este resultado le informa de que se ha observado una solicitud de API anómala en su cuenta. Este resultado puede incluir una sola solicitud de API o una serie de solicitudes de API relacionadas que haya hecho en proximidad una sola identidad de usuario. La API observada suele asociarse a tácticas de exfiltración, en las que un adversario intenta recopilar datos de su red mediante el empaquetado y el cifrado para evitar ser detectado. Las API para este tipo de resultado son únicamente operaciones de administración (plano de control) y, por lo general, están relacionadas con S3, instantáneas y bases de datos, como PutBucketReplication, CreateSnapshot o RestoreDBInstanceFromDBSnapshot.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta solicitud de API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de ML hace un seguimiento de varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó. Los detalles sobre qué factores de la solicitud de API son inusuales para la identidad de usuario que ha invocado la solicitud se encuentran en los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Impact:IAMUser/AnomalousBehavior

Se ha invocado de forma anómala una API que se utiliza habitualmente para manipular datos o procesos de un entorno de AWS.

Gravedad predeterminada: alta

  • Origen de datos: evento de administración de CloudTrail

Este resultado le informa de que se ha observado una solicitud de API anómala en su cuenta. Este resultado puede incluir una sola solicitud de API o una serie de solicitudes de API relacionadas que haya hecho en proximidad una sola identidad de usuario. La API observada suele asociarse a tácticas de impacto, en las que un adversario intenta interrumpir las operaciones y manipular, interrumpir o destruir los datos de la cuenta. Las API para este tipo de resultado suelen eliminar, actualizar o preparar operaciones, como DeleteSecurityGroup, UpdateUser o PutBucketPolicy.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta solicitud de API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de ML hace un seguimiento de varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó. Los detalles sobre qué factores de la solicitud de API son inusuales para la identidad de usuario que ha invocado la solicitud se encuentran en los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

InitialAccess:IAMUser/AnomalousBehavior

Se ha invocado de forma anómala una API que suele utilizarse para obtener acceso no autorizado a un entorno de AWS.

Gravedad predeterminada: media

  • Origen de datos: evento de administración de CloudTrail

Este resultado le informa de que se ha observado una solicitud de API anómala en su cuenta. Este resultado puede incluir una sola solicitud de API o una serie de solicitudes de API relacionadas que haya hecho en proximidad una sola identidad de usuario. La API observada suele asociarse a la fase de acceso inicial de un ataque, cuando un adversario intenta establecer acceso a su entorno. Las API de esta categoría suelen obtener operaciones de token o de sesión, como StartSession o GetAuthorizationToken.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta solicitud de API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de ML hace un seguimiento de varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó. Los detalles sobre qué factores de la solicitud de API son inusuales para la identidad de usuario que ha invocado la solicitud se encuentran en los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

PenTest:IAMUser/KaliLinux

Se invocó una API desde una máquina Kali Linux.

Gravedad predeterminada: media

  • Origen de datos: evento de administración de CloudTrail

Este resultado le informa de que una máquina que ejecuta Kali Linux está haciendo llamadas a la API mediante credenciales que pertenecen a la cuenta de AWS que aparece en la lista de su entorno. Kali Linux es una popular herramienta de pruebas de intrusión que utilizan los profesionales de la seguridad para identificar puntos débiles en las instancias de EC2 que requieren la aplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en la configuración de EC2 y obtener acceso no autorizado al entorno de AWS.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

PenTest:IAMUser/ParrotLinux

Se ha invocado una API desde una máquina Parrot Security Linux.

Gravedad predeterminada: media

  • Origen de datos: evento de administración de CloudTrail

Este resultado le informa de que una máquina que ejecuta Parrot Security Linux está haciendo llamadas a la API mediante unas credenciales que pertenecen a la cuenta de AWS que aparece en la lista de su entorno. Parrot Security Linux es una popular herramienta de pruebas de intrusión que utilizan los profesionales de la seguridad para identificar puntos débiles en las instancias de EC2 que requieren la aplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en la configuración de EC2 y obtener acceso no autorizado al entorno de AWS.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

PenTest:IAMUser/PentooLinux

Se ha invocado una API desde una máquina Pentoo Linux.

Gravedad predeterminada: media

  • Origen de datos: evento de administración de CloudTrail

Este resultado le informa de que una máquina que ejecuta Pentoo Linux está haciendo llamadas a la API mediante credenciales que pertenecen a la cuenta de AWS que aparece en la lista de su entorno. Pentoo Linux es una popular herramienta de pruebas de intrusión que utilizan los profesionales de la seguridad para identificar puntos débiles en las instancias de EC2 que requieren la aplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en la configuración de EC2 y obtener acceso no autorizado al entorno de AWS.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Persistence:IAMUser/AnomalousBehavior

Se ha invocado de forma anómala una API que suele utilizarse para conservar acceso no autorizado a un entorno de AWS.

Gravedad predeterminada: media

  • Origen de datos: evento de administración de CloudTrail

Este resultado le informa de que se ha observado una solicitud de API anómala en su cuenta. Este resultado puede incluir una sola solicitud de API o una serie de solicitudes de API relacionadas que haya hecho en proximidad una sola identidad de usuario. La API observada suele asociarse a tácticas de persistencia, en las que un adversario ha logrado acceder a su entorno e intenta conservar ese acceso. Las API de esta categoría suelen crear, importar o modificar operaciones, como CreateAccessKey, ImportKeyPair o ModifyInstanceAttribute.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta solicitud de API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de ML hace un seguimiento de varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó. Los detalles sobre qué factores de la solicitud de API son inusuales para la identidad de usuario que ha invocado la solicitud se encuentran en los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Policy:IAMUser/RootCredentialUsage

Se ha invocado una API mediante credenciales de inicio de sesión del usuario raíz.

Gravedad predeterminada: baja

  • Origen de datos: eventos de administración de CloudTrail o eventos de datos de CloudTrail para S3

Este resultado le informa de que las credenciales de inicio de sesión del usuario raíz de la Cuenta de AWS que aparece en la lista de su entorno se están utilizando para hacer solicitudes a los servicios de AWS. Se recomienda que los usuarios nunca utilicen las credenciales de inicio de sesión del usuario raíz para acceder a los servicios de AWS. En su lugar, se debe acceder a los servicios de AWS con credenciales temporales con privilegios mínimos de AWS Security Token Service (STS). En los casos donde no se admite AWS STS, se recomienda utilizar las credenciales de usuario de IAM. Para obtener más información, consulte las prácticas recomendadas de IAM.

nota

Si la protección para S3 está habilitada para la cuenta, este resultado se puede generar en respuesta a los intentos de ejecutar operaciones de plano de datos de S3 en recursos de Amazon S3 con credenciales de inicio de sesión de usuario raíz de la Cuenta de AWS. La llamada a la API utilizada se mostrará en los detalles de resultado. Si la S3 Protection no está habilitada, este resultado solo se puede activar mediante las API de registro de eventos. Para obtener más información sobre la protección para S3, consulte Protección de S3.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Policy:IAMUser/ShortTermRootCredentialUsage

Se ha invocado una API mediante el uso de credenciales de usuario raíz restringidas.

Gravedad predeterminada: baja

  • Origen de datos: eventos de administración de AWS CloudTrail o eventos de datos de AWS CloudTrail de S3

Este resultado le informa que las credenciales de usuario creadas para la Cuenta de AWS que aparece en la lista de su entorno se están utilizando para hacer solicitudes a los Servicios de AWS. Se recomienda que utilice sus credenciales de usuario raíz únicamente para realizar tareas que requieran credenciales de usuario raíz.

Cuando sea posible, acceda a los Servicios de AWS mediante roles de IAM con privilegios mínimos con credenciales temporales de AWS Security Token Service (AWS STS). En los casos en los que AWS STS no se admite, la mejor práctica es utilizar las credenciales de usuario de IAM. Para más información, consulte Prácticas recomendadas de seguridad en IAM y las Prácticas recomendadas de usuario raíz para su Cuenta de AWS en la Guía de usuario de IAM.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

PrivilegeEscalation:IAMUser/AnomalousBehavior

Se ha invocado de forma anómala una API que se utiliza habitualmente para obtener permisos de nivel superior a un entorno de AWS.

Gravedad predeterminada: media

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que se ha observado una solicitud de API anómala en su cuenta. Este resultado puede incluir una única API o una serie de solicitudes de API relacionadas realizadas en proximidad por una sola identidad de usuario. La API observada suele asociarse a tácticas de derivación de privilegios, en las que un adversario intenta obtener permisos de nivel superior para acceder a un entorno. Las API de esta categoría suelen implicar operaciones que cambian las políticas, los roles y los usuarios de IAM, como AssociateIamInstanceProfile, AddUserToGroup o PutUserPolicy.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta solicitud de API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. El modelo de ML hace un seguimiento de varios factores de la solicitud de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud y la API específica que se solicitó. Los detalles sobre qué factores de la solicitud de API son inusuales para la identidad de usuario que ha invocado la solicitud se encuentran en los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Recon:IAMUser/MaliciousIPCaller

Se ha invocado una API desde una dirección IP malintencionada conocida.

Gravedad predeterminada: media

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que una operación de API que puede enumerar o describir los recursos de AWS se ha invocado desde una dirección IP que aparece en una lista de amenazas. Un atacante puede utilizar credenciales robadas para llevar a cabo este tipo de reconocimiento de sus recursos de AWS y encontrar de esta manera más credenciales valiosas o determinar cuáles son las capacidades de las credenciales que ya tiene.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Recon:IAMUser/MaliciousIPCaller.Custom

Se ha invocado una API desde una dirección IP malintencionada conocida.

Gravedad predeterminada: media

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que una operación de API que puede enumerar o describir los recursos de AWS en una cuenta dentro de su entorno se ha invocado desde una dirección IP que aparece en una lista de amenazas personalizada. La lista de amenazas utilizada se mostrará en los detalles del resultado. Un atacante podría utilizar credenciales robadas para llevar a cabo este tipo de reconocimiento de sus recursos de AWS y encontrar de esta manera más credenciales valiosas o determinar cuáles son las capacidades de las credenciales que ya tiene.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Recon:IAMUser/TorIPCaller

Se ha invocado una API desde una dirección IP de un nodo de salida de Tor.

Gravedad predeterminada: media

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que una operación de API que puede enumerar o describir los recursos de AWS de una cuenta dentro de su entorno se ha invocado desde una dirección IP de nodo de salida de Tor. Tor es un software que permite la comunicación anónima. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Un atacante utilizaría Tor para ocultar su verdadera identidad.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Stealth:IAMUser/CloudTrailLoggingDisabled

Los registros de AWS CloudTrail se han desactivado.

Gravedad predeterminada: baja

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que se ha desactivado un registro de seguimiento de CloudTrail dentro de su entorno de AWS. Puede tratarse del intento por parte de un atacante de desactivar el registro para cubrir sus rastros mediante la eliminación de cualquier indicio de su actividad y, a su vez, la obtención de acceso a los recursos de AWS con fines maliciosos. Este resultado se puede desencadenar mediante una eliminación o actualización correcta de un registro de seguimiento. Este resultado también se puede desencadenar mediante una eliminación exitosa de un bucket de S3 que almacena los registros de un seguimiento asociado con GuardDuty.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

Stealth:IAMUser/PasswordPolicyChange

La política de contraseñas de la cuenta se ha debilitado.

Gravedad predeterminada: baja*

nota

La gravedad de este resultado puede ser baja, media o alta, según la gravedad de los cambios hechos en la política de contraseñas.

  • Origen de datos: eventos de administración de CloudTrail

La política de contraseñas de las cuentas de AWS estaba debilitada en la cuenta que aparece en la lista dentro de su entorno de AWS. Por ejemplo, se ha eliminado o actualizado para exigir menos caracteres, no requerir símbolos y números, o se ha requerido la ampliación del periodo de vencimiento de la contraseña. Este resultado también se puede desencadenar mediante un intento de actualización o de eliminación de la política de contraseñas de la cuenta de AWS. La política de contraseñas de la cuenta de AWS define las reglas que determinan los tipos de contraseñas que se pueden establecer para los usuarios de IAM. Una política de contraseñas más débil permite la creación de contraseñas que son fáciles de recordar y potencialmente más fáciles de adivinar, y que suponen un riesgo para la seguridad.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

Se han observado varios inicios de sesión correctos en la consola desde distintos lugares del mundo.

Gravedad predeterminada: media

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que se han observado varios inicios de sesión correctos en la consola para el mismo usuario de IAM aproximadamente al mismo tiempo en diversas ubicaciones geográficas. Estos patrones de ubicación de acceso anómalo y arriesgado indican un posible acceso no autorizado a los recursos de AWS.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

Se están utilizando las credenciales creadas exclusivamente para una instancia de EC2 a través de un rol de lanzamiento de instancias desde otra cuenta dentro de AWS.

Gravedad predeterminada: alta*

nota

La gravedad predeterminada de este resultado es alta. Sin embargo, si una cuenta afiliada a su entorno de AWS ha invocado la API, la gravedad es media.

  • Origen de datos: eventos de administración de CloudTrail o eventos de datos de CloudTrail para S3

Este resultado informa de cuándo se utilizan las credenciales de la instancia de Amazon EC2 para invocar API desde una dirección IP o un punto de conexión de Amazon VPC que pertenece a una cuenta de AWS diferente de aquella en la que se ejecuta la instancia de Amazon EC2 asociada. La detección de puntos de conexión de VPC solo está disponible para los servicios que admiten eventos de actividad de red para puntos de conexión de VPC. Para obtener información sobre los servicios que admiten eventos de actividad de red para puntos de conexión de VPC, consulte Registro de eventos de actividad de red en la Guía del usuario de AWS CloudTrail.

AWS no recomienda redistribuir credenciales temporales fuera de la entidad que las ha creado (por ejemplo, las aplicaciones de AWS Lambda, Amazon EC2 o AWS). Sin embargo, los usuarios autorizados pueden exportar credenciales desde las instancias de Amazon EC2 para realizar llamadas a la API legítimas. Si el campo remoteAccountDetails.Affiliated es True, se ha invocado la API desde una cuenta asociada a la misma cuenta de administrador. Para descartar un posible ataque y verificar la legitimidad de la actividad, póngase en contacto con el propietario de la Cuenta de AWS o la entidad principal de IAM a la que se han asignado estas credenciales.

nota

Si GuardDuty observa una actividad continua desde una cuenta remota, su modelo de machine learning (ML) lo identificará como un comportamiento esperado. Por lo tanto, GuardDuty dejará de generar este resultado para la actividad de esa cuenta remota. GuardDuty seguirá generando resultados sobre el nuevo comportamiento de otras cuentas remotas y volverá a evaluar las cuentas remotas aprendidas a medida que el comportamiento cambie.

Recomendaciones de corrección:

Este resultado se genera cuando se realizan solicitudes a la API de AWS dentro de AWS a través de una instancia de Amazon EC2 fuera de la Cuenta de AWS, mediante el uso de las credenciales de sesión de la instancia de Amazon EC2. Puede ser habitual, como en el caso de la arquitectura de puerta de enlace de tránsito en una configuración de centro y radios, dirigir el tráfico a través de una única VPC de egreso central con puntos de conexión de servicios de AWS. Si este es el comportamiento previsto, GuardDuty recomienda utilizar Reglas de supresión y crear una regla con un criterio de dos filtros. El primer criterio es el tipo de resultado, que en este caso es UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. El segundo criterio de filtrado es el ID de cuenta remota de los detalles de la cuenta remota.

En respuesta a este resultado, puede utilizar el siguiente flujo de trabajo para determinar el curso de acción:

  1. Identifique la cuenta remota implicada en el campo service.action.awsApiCallAction.remoteAccountDetails.accountId.

  2. Determine si esa cuenta está afiliada al entorno de GuardDuty desde el campo service.action.awsApiCallAction.remoteAccountDetails.affiliated.

  3. Si la cuenta está afiliada, contacte al propietario de la cuenta remota y al propietario de las credenciales de la instancia de Amazon EC2 para investigar.

    Si la cuenta no está afiliada, el primer paso es evaluar si esa cuenta está asociada a la organización pero no forma parte del entorno de múltiples cuentas de GuardDuty configurado, o si GuardDuty aún no ha sido habilitado en esta cuenta. A continuación, contacte al propietario de las credenciales de la instancia de Amazon EC2 para determinar si existe un caso de uso que amerite que una cuenta remota utilice estas credenciales.

  4. Si el propietario de las credenciales no reconoce la cuenta remota, es posible que un actor de amenazas que opere dentro de AWS haya puesto en peligro las credenciales. Debe seguir los pasos que se recomiendan en Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida para proteger el entorno.

    Además, puede enviar un informe de uso indebido al equipo de Seguridad y confianza de AWS para iniciar una investigación sobre la cuenta remota. Al enviar el informe al equipo de Seguridad y confianza de AWS, incluya todos los detalles del resultado en JSON.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

Las credenciales creadas exclusivamente para una instancia EC2 a través de un rol de lanzamiento de instancias se utilizan desde una dirección IP externa.

Gravedad predeterminada: alta

  • Origen de datos: eventos de administración de CloudTrail o eventos de datos de CloudTrail para S3

Este resultado le informa de que un host fuera de AWS ha intentado ejecutar operaciones de API de AWS mediante credenciales de AWS temporales que se crearon en una instancia de EC2 dentro de su entorno de AWS. La instancia de EC2 que aparece en la lista podría haberse visto afectada y las credenciales temporales de esta instancia podrían haberse exfiltrado a un host remoto fuera de AWS. AWS no recomienda redistribuir las credenciales temporales fuera de la entidad que las creó (por ejemplo, aplicaciones de AWS, EC2 o Lambda). Sin embargo, los usuarios autorizados pueden exportar credenciales desde sus instancias de EC2 para realizar llamadas a la API legítimas. Para descartar un posible ataque y verificar la legitimidad de la actividad, valide si se espera el uso de credenciales de instancia por parte de la IP remota en el resultado.

nota

Si GuardDuty observa una actividad continua desde una cuenta remota, su modelo de machine learning (ML) lo identificará como un comportamiento esperado. Por lo tanto, GuardDuty dejará de generar este resultado para la actividad de esa cuenta remota. GuardDuty seguirá generando resultados sobre el nuevo comportamiento de otras cuentas remotas y volverá a evaluar las cuentas remotas aprendidas a medida que el comportamiento cambie.

Recomendaciones de corrección:

Este resultado se genera cuando la red está configurada para dirigir el tráfico de Internet de tal forma que salga por una puerta de enlace en las instalaciones y no por una puerta de enlace de Internet (IGW) de la VPC. Las configuraciones comunes, como el uso de AWS Outposts o de conexiones de VPN de la VPC, pueden generar tráfico dirigido de esta manera. Si se trata de un comportamiento esperado, se recomienda utilizar reglas de supresión y crear una regla que conste de dos criterios de filtrado. El primer criterio es Tipo de resultado, que debería ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. El segundo criterio de filtro es la Dirección IPv4 de la persona que llama a la API con el rango de direcciones IP o CIDR de su puerta de enlace de Internet en las instalaciones. Para obtener más información sobre la creación de reglas de supresión, consulte Reglas de supresión en GuardDuty.

nota

Si GuardDuty observa una actividad continua de un origen externa, su modelo de machine learning identificará este comportamiento como esperado y dejará de generar este resultado para la actividad de ese origen. GuardDuty seguirá generando resultados sobre el nuevo comportamiento de otros orígenes y volverá a evaluar los orígenes aprendidos a medida que el comportamiento cambie.

Si esta actividad es inesperada sus credenciales pueden verse comprometidas, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:IAMUser/MaliciousIPCaller

Se ha invocado una API desde una dirección IP malintencionada conocida.

Gravedad predeterminada: media

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que una operación de la API (por ejemplo, un intento de lanzar una instancia de EC2, crear un nuevo usuario de IAM o modificar los privilegios de AWS) se ha invocado desde una dirección IP maliciosa conocida. Esto puede significar un acceso no autorizado a los recursos de AWS dentro de su entorno.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

Se ha invocado una API desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: media

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que una operación de la API (por ejemplo, un intento de lanzar una instancia de EC2, crear un nuevo usuario de IAM o modificar los privilegios de AWS) se ha invocado desde una dirección IP incluida en una lista de amenazas que se ha cargado. En GuardDuty, una lista de amenazas está formada por direcciones IP maliciosas conocidas. Esto puede significar un acceso no autorizado a los recursos de AWS dentro de su entorno.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.

UnauthorizedAccess:IAMUser/TorIPCaller

Se ha invocado una API desde una dirección IP de un nodo de salida de Tor.

Gravedad predeterminada: media

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que una operación de la API (por ejemplo, un intento de lanzar una instancia de EC2, crear un nuevo usuario de IAM o modificar los privilegios de AWS) se ha invocado desde una dirección IP de nodo de salida de Tor. Tor es un software que permite la comunicación anónima. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a los recursos de AWS con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada, sus credenciales pueden verse afectadas. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.