Tipos de resultados de S3 Protection de GuardDuty - Amazon GuardDuty
Discovery:S3/AnomalousBehaviorDiscovery:S3/MaliciousIPCallerDiscovery:S3/MaliciousIPCaller.CustomDiscovery:S3/TorIPCallerExfiltration:S3/AnomalousBehaviorExfiltration:S3/MaliciousIPCallerImpact:S3/AnomalousBehavior.DeleteImpact:S3/AnomalousBehavior.PermissionImpact:S3/AnomalousBehavior.WriteImpact:S3/MaliciousIPCallerPenTest:S3/KaliLinuxPenTest:S3/ParrotLinuxPenTest:S3/PentooLinuxPolicy:S3/AccountBlockPublicAccessDisabledPolicy:S3/BucketAnonymousAccessGrantedPolicy:S3/BucketBlockPublicAccessDisabledPolicy:S3/BucketPublicAccessGrantedStealth:S3/ServerAccessLoggingDisabledUnauthorizedAccess:S3/MaliciousIPCaller.CustomUnauthorizedAccess:S3/TorIPCaller

Tipos de resultados de S3 Protection de GuardDuty

Los siguientes resultados son específicos de los recursos de Amazon S3 y tendrán un Tipo de recurso S3Bucket si el origen de datos son Eventos de datos de CloudTrail para S3 o AccessKey si el origen de datos son Eventos de administración de CloudTrail. La gravedad y los detalles de los resultados variarán en función del tipo de resultado y el permiso asociado con el bucket.

Los resultados que se muestran aquí incluyen los orígenes de datos y los modelos utilizados para generar ese tipo de resultado. Para obtener más información sobre orígenes de datos y modelos, consulte Orígenes de datos fundamentales de GuardDuty.

importante

Los resultados con un origen de datos de eventos de datos de CloudTrail para S3 se generan únicamente si la S3 Protection está habilitada. De forma predeterminada, a partir del 31 de julio de 2020, la S3 Protection se habilita cuando una cuenta habilita GuardDuty por primera vez o cuando una cuenta de administrador delegado de GuardDuty habilita GuardDuty en una cuenta de miembro existente. No obstante, cuando un nuevo miembro se une a la organización de GuardDuty, se aplican las preferencias de habilitación automática definidas por la organización. Para obtener información acerca de las preferencias de habilitación automática, consulte Configuración de las preferencias de habilitación automática de la organización. Para obtener información acerca de cómo habilitar o desactivar la S3 Protection, consulte Protección de S3 en GuardDuty

Para cualquier resultado del tipo S3Bucket, se recomienda examinar los permisos del bucket en cuestión y los permisos de los usuarios implicados en el resultado. Si la actividad es inesperada, consulte las recomendaciones de corrección que se detallan en Corregir un bucket de S3 potencialmente comprometido.

Discovery:S3/AnomalousBehavior

Se ha invocado de forma anómala una API que se utiliza habitualmente para descubrir objetos de S3.

Gravedad predeterminada: baja

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa de que una entidad de IAM ha invocado una API de S3 para detectar los buckets de S3 en su entorno, como, por ejemplo, ListObjects. Este tipo de actividad está asociada a la fase de descubrimiento de un ataque, en la que un atacante recopila información para determinar si su entorno de AWS es susceptible de un ataque más amplio. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, una entidad de IAM sin historial previo invoca una API de S3 o una entidad de IAM invoca una API de S3 desde una ubicación inusual.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Hace un seguimiento a varios factores de las solicitudes de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud, la API específica que se solicitó, el bucket que se solicitó y la cantidad de llamadas que se hicieron a la API. Para obtener más información acerca de los factores de una solicitud de API que son inusuales para la identidad de usuario que ha invocado la solicitud, consulte Detalles de los resultados.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Discovery:S3/MaliciousIPCaller

Se ha invocado una API de S3 que se suele utilizar para detectar recursos en un entorno de AWS desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa de que se ha invocado una operación de API de S3 desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a la fase de descubrimiento de un ataque, cuando un adversario recopila información sobre su entorno de AWS. Entre los ejemplos se incluyen GetObjectAcl y ListObjects.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Discovery:S3/MaliciousIPCaller.Custom

Se ha invocado una API de S3 desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: alta

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa de que se ha invocado una API de S3, como GetObjectAcl o ListObjects, desde una dirección IP que aparece en una lista de amenazas que ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado. Este tipo de actividad está asociada a la fase de detección de un ataque, en la que un atacante recopila información para determinar si su entorno de AWS es susceptible de un ataque más amplio.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Discovery:S3/TorIPCaller

Se ha invocado una API de S3 desde una dirección IP de nodo de salida de Tor.

Gravedad predeterminada: media

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa de que se ha invocado una API de S3, como GetObjectAcl o ListObjects, desde una dirección IP de nodo de salida de Tor. Este tipo de actividad está asociada a la fase de detección de un ataque, en la que un atacante recopila información para determinar si su entorno de AWS es susceptible de un ataque más amplio. Tor es un software que permite la comunicación anónima. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Esto puede indicar un acceso no autorizado a los recursos de AWS con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Exfiltration:S3/AnomalousBehavior

Una entidad de IAM ha invocado una API de S3 de forma sospechosa.

Gravedad predeterminada: alta

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado indica que una entidad de IAM está haciendo llamadas a la API que implican un bucket de S3 y que esta actividad difiere de la referencia establecida por esa entidad. La llamada a la API utilizada en esta actividad está asociada a la fase de exfiltración de un ataque, en la que un atacante intenta recopilar datos. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, una entidad de IAM sin historial previo invoca una API de S3 o una entidad de IAM invoca una API de S3 desde una ubicación inusual.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Hace un seguimiento a varios factores de las solicitudes de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud, la API específica que se solicitó, el bucket que se solicitó y la cantidad de llamadas que se hicieron a la API. Para obtener más información acerca de los factores de una solicitud de API que son inusuales para la identidad de usuario que ha invocado la solicitud, consulte Detalles de los resultados.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Exfiltration:S3/MaliciousIPCaller

Se ha invocado una API de S3 que se suele utilizar para recopilar datos de un entorno de AWS desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa de que se ha invocado una operación de API de S3 desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a tácticas de exfiltración, en las que un adversario intenta recopilar datos de su red. Entre los ejemplos se incluyen GetObject y CopyObject.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Impact:S3/AnomalousBehavior.Delete

Una entidad de IAM ha invocado una API de S3 que intenta eliminar datos de forma sospechosa.

Gravedad predeterminada: alta

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado indica que una entidad de IAM en su entorno de AWS está haciendo llamadas a la API que implican un bucket de S3 y que esta actividad difiere de la referencia establecida por esa entidad. La llamada a la API utilizada en esta actividad está asociada a un ataque que intenta eliminar datos. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, una entidad de IAM sin historial previo invoca una API de S3 o una entidad de IAM invoca una API de S3 desde una ubicación inusual.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Hace un seguimiento a varios factores de las solicitudes de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud, la API específica que se solicitó, el bucket que se solicitó y la cantidad de llamadas que se hicieron a la API. Para obtener más información acerca de los factores de una solicitud de API que son inusuales para la identidad de usuario que ha invocado la solicitud, consulte Detalles de los resultados.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Se recomienda llevar a cabo una auditoría del contenido del bucket de S3 para determinar si se puede o se debe restaurar la versión anterior del objeto.

Impact:S3/AnomalousBehavior.Permission

Se ha invocado de forma anómala una API que se utiliza habitualmente para establecer los permisos de la lista de control de acceso (ACL).

Gravedad predeterminada: alta

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa que una entidad de IAM de su entorno de AWS ha actualizado una política de bucket o una ACL en los buckets de S3 de la lista. Este cambio puede exponer públicamente sus buckets de S3 a todos los usuarios de AWS autenticados.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Hace un seguimiento a varios factores de las solicitudes de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud, la API específica que se solicitó, el bucket que se solicitó y la cantidad de llamadas que se hicieron a la API. Para obtener más información acerca de los factores de una solicitud de API que son inusuales para la identidad de usuario que ha invocado la solicitud, consulte Detalles de los resultados.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Se recomienda llevar a cabo una auditoría del contenido del bucket de S3 para asegurarse de que no se haya permitido el acceso público a ningún objeto de forma inesperada.

Impact:S3/AnomalousBehavior.Write

Una entidad de IAM ha invocado una API de S3 que intenta escribir datos de forma sospechosa.

Gravedad predeterminada: media

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado indica que una entidad de IAM en su entorno de AWS está haciendo llamadas a la API que implican un bucket de S3 y que esta actividad difiere de la referencia establecida por esa entidad. La llamada a la API utilizada en esta actividad está asociada a un ataque que intenta escribir datos. Esta actividad es sospechosa porque la entidad de IAM invocó la API de una forma inusual. Por ejemplo, una entidad de IAM sin historial previo invoca una API de S3 o una entidad de IAM invoca una API de S3 desde una ubicación inusual.

El modelo de machine learning (ML) de detección de anomalías de GuardDuty ha identificado esta API como anómala. El modelo de ML evalúa todas las solicitudes de API de su cuenta e identifica los eventos anómalos asociados a las técnicas utilizadas por los adversarios. Hace un seguimiento a varios factores de las solicitudes de API, como el usuario que hizo la solicitud, la ubicación desde la que se hizo la solicitud, la API específica que se solicitó, el bucket que se solicitó y la cantidad de llamadas que se hicieron a la API. Para obtener más información acerca de los factores de una solicitud de API que son inusuales para la identidad de usuario que ha invocado la solicitud, consulte Detalles de los resultados.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Se recomienda llevar a cabo una auditoría del contenido del bucket de S3 para asegurarse de que esta llamada a la API no haya escrito datos maliciosos o no autorizados.

Impact:S3/MaliciousIPCaller

Se ha invocado una API de S3 que se utiliza habitualmente para manipular datos o procesos de un entorno de AWS desde una dirección IP maliciosa conocida.

Gravedad predeterminada: alta

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa de que se ha invocado una operación de API de S3 desde una dirección IP asociada a una actividad maliciosa conocida. La API observada suele asociarse a tácticas de impacto, en las que un adversario intenta manipular, interrumpir o destruir datos de su entorno de AWS. Entre los ejemplos se incluyen PutObject y PutObjectAcl.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

PenTest:S3/KaliLinux

Se ha invocado una API de S3 desde una máquina de Kali Linux.

Gravedad predeterminada: media

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa de que una máquina que ejecuta Kali Linux está haciendo llamadas a la API de S3 con credenciales que pertenecen a su cuenta de AWS. Las credenciales podrían estar comprometidas. Kali Linux es una popular herramienta de pruebas de intrusión que utilizan los profesionales de la seguridad para identificar puntos débiles en las instancias de EC2 que requieren la aplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en la configuración de EC2 y obtener acceso no autorizado al entorno de AWS.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

PenTest:S3/ParrotLinux

Se ha invocado una API de S3 desde una máquina de Parrot Security Linux.

Gravedad predeterminada: media

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa de que una máquina que ejecuta Parrot Security Linux está haciendo llamadas a la API de S3 con credenciales que pertenecen a su cuenta de AWS. Las credenciales podrían estar comprometidas. Parrot Security Linux es una popular herramienta de pruebas de intrusión que utilizan los profesionales de la seguridad para identificar puntos débiles en las instancias de EC2 que requieren la aplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en la configuración de EC2 y obtener acceso no autorizado al entorno de AWS.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

PenTest:S3/PentooLinux

Se ha invocado una API de S3 desde una máquina de Pentoo Linux.

Gravedad predeterminada: media

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa de que una máquina que ejecuta Pentoo Linux está haciendo llamadas a la API de S3 con credenciales que pertenecen a su cuenta de AWS. Las credenciales podrían estar comprometidas. Pentoo Linux es una popular herramienta de pruebas de intrusión que utilizan los profesionales de la seguridad para identificar puntos débiles en las instancias de EC2 que requieren la aplicación de parches. Los atacantes también utilizan esta herramienta para encontrar puntos débiles en la configuración de EC2 y obtener acceso no autorizado al entorno de AWS.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Policy:S3/AccountBlockPublicAccessDisabled

Una entidad de IAM ha invocado una API utilizada para desactivar el bloqueo de acceso público de S3 en una cuenta.

Gravedad predeterminada: baja

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que el bloqueo de acceso público de Amazon S3 estaba desactivado en la cuenta. Cuando se activa la configuración de Bloqueo de acceso público de S3, se utiliza para filtrar las políticas o las listas de control de acceso (ACL) en los buckets como medida de seguridad para prevenir la exposición pública involuntaria de datos.

Normalmente, el Bloqueo de acceso público de S3 está desactivado en una cuenta para permitir el acceso público a un bucket o a los objetos que este contiene. Cuando Bloqueo de acceso público de S3 está desactivado para una cuenta, el acceso a sus buckets se controla mediante las políticas, las ACL o la configuración de Bloqueo de acceso público por bucket que se aplique a sus buckets individuales. Esto no necesariamente significa que los buckets se compartan públicamente, pero sí es importante auditar los permisos que se aplican a los buckets para confirmar que proporcionan el nivel de acceso adecuado.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Policy:S3/BucketAnonymousAccessGranted

Una entidad principal de IAM ha concedido acceso a Internet a un bucket de S3 al cambiar las políticas o las ACL del bucket.

Gravedad predeterminada: alta

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que el bucket de S3 que aparece en la lista se ha hecho públicamente accesible en Internet porque una entidad de IAM ha cambiado una política de bucket o una ACL de ese bucket.

Después de detectar un cambio de política o ACL, GuardDuty utiliza el razonamiento automatizado impulsado por Zelkova para determinar si el bucket es accesible públicamente.

nota

Si las ACL o las políticas de un bucket están configuradas para denegar explícitamente o denegar todo, es posible que este resultado no refleje el estado actual del bucket. Este resultado no reflejará ninguna configuración de Bloqueo de acceso público de S3 que pudiera haberse habilitado para su bucket de S3. En esos casos, el valor effectivePermission del resultado se marcará como UNKNOWN.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Policy:S3/BucketBlockPublicAccessDisabled

Una entidad de IAM ha invocado una API utilizada para desactivar el bloqueo de acceso público de S3 en un bucket.

Gravedad predeterminada: baja

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que el bloqueo de acceso público se ha deshabilitado para el bucket de S3 que aparece en la lista. Cuando se activa, la configuración de Bloqueo de acceso público de S3 se utiliza para filtrar las políticas o las listas de control de acceso (ACL) aplicadas a los buckets como medida de seguridad para prevenir la exposición pública involuntaria de datos.

Normalmente, el Bloqueo de acceso público de S3 está desactivado en un bucket para permitir el acceso público a este o a los objetos que contiene. Cuando el Bloqueo de acceso público de S3 se deshabilita en un bucket, las políticas o las ACL que se han aplicado al bucket controlan el acceso a este. Esto no significa que el bucket se comparta públicamente, pero sí es importante auditar las políticas y ACL que se aplican al bucket para confirmar que se apliquen los permisos adecuados.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Policy:S3/BucketPublicAccessGranted

Una entidad principal de IAM ha concedido acceso público a un bucket de S3 a todos los usuarios de AWS al cambiar las políticas o las ACL del bucket.

Gravedad predeterminada: alta

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que el bucket de S3 que aparece en la lista se ha expuesto públicamente a todos los usuarios de AWS autenticados porque una entidad de IAM ha cambiado una política de bucket o una ACL de ese bucket de S3.

Después de detectar un cambio de política o ACL, GuardDuty utiliza el razonamiento automatizado impulsado por Zelkova para determinar si el bucket es accesible públicamente.

nota

Si las ACL o las políticas de un bucket están configuradas para denegar explícitamente o denegar todo, es posible que este resultado no refleje el estado actual del bucket. Este resultado no reflejará ninguna configuración de Bloqueo de acceso público de S3 que pudiera haberse habilitado para su bucket de S3. En esos casos, el valor effectivePermission del resultado se marcará como UNKNOWN.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

Stealth:S3/ServerAccessLoggingDisabled

El registro de acceso al servidor de S3 se ha deshabilitado para un bucket.

Gravedad predeterminada: baja

  • Origen de datos: eventos de administración de CloudTrail

Este resultado le informa de que el registro de acceso al servidor de S3 está deshabilitado para un bucket dentro de su entorno de AWS. Si está deshabilitado, no se crea ningún registro de solicitud web de los intentos de acceso al bucket de S3 identificado; sin embargo, se siguen rastreando las llamadas a la API de administración de S3, como DeleteBucket. Si el registro de eventos de datos de S3 está habilitado a través de CloudTrail para este bucket, se seguirá rastreando las solicitudes web para los objetos incluidos en el bucket. La desactivación del registro es una técnica que suelen utilizar los usuarios no autorizados para evitar que los detecten. Para obtener más información sobre los registros de S3, consulte Registro de acceso al servidor de S3 y Opciones de registro para S3.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

Se ha invocado una API de S3 desde una dirección IP de una lista de amenazas personalizada.

Gravedad predeterminada: alta

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa de que se ha invocado una operación de la API de S3, como PutObject o PutObjectAcl, desde una dirección IP que aparece en una lista de amenazas que ha cargado. La lista de amenazas asociada a este resultado aparece enumerada en la sección Información adicional de los detalles del resultado.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.

UnauthorizedAccess:S3/TorIPCaller

Se ha invocado una API de S3 desde una dirección IP de nodo de salida de Tor.

Gravedad predeterminada: alta

  • Origen de datos: eventos de datos de CloudTrail para S3

Este resultado le informa de que se ha invocado una operación de la API de S3, como PutObject o PutObjectAcl, desde una dirección IP de nodo de salida de Tor. Tor es un software que permite la comunicación anónima. Cifra y hace rebotar de forma aleatoria las comunicaciones a través de relés entre una serie de nodos de red. El último nodo de Tor se denomina nodo de salida. Este resultado puede indicar un acceso no autorizado a los recursos de AWS con la intención de ocultar la verdadera identidad del atacante.

Recomendaciones de corrección:

Si esta actividad es inesperada para la entidad principal asociada, puede indicar que las credenciales han quedado expuestas o que sus permisos de S3 no son lo suficientemente restrictivos. Para obtener más información, consulte Corregir un bucket de S3 potencialmente comprometido.