Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

GuardDuty types de recherche de séquences d'attaque

GuardDuty détecte une séquence d'attaque lorsqu'une séquence spécifique de plusieurs actions correspond à une activité potentiellement suspecte. Une séquence d'attaque inclut des signaux tels que les activités et les GuardDuty résultats de l'API. L' GuardDuty observation d'un groupe de signaux dans une séquence spécifique indiquant une menace de sécurité en cours, en cours ou récente GuardDuty génère une détection de séquence d'attaque. GuardDuty considère les activités des API individuelles comme weak signals étant donné qu'elles ne se présentent pas comme une menace potentielle.

Les détections des séquences d'attaque se concentrent sur la compromission potentielle des données Amazon S3 (qui peut s'inscrire dans le cadre d'une attaque de ransomware plus large), les AWS informations d'identification compromises et les clusters Amazon EKS compromis. Les sections suivantes fournissent des détails sur chacune des séquences d'attaque.

AttackSequence:EKS/CompromisedCluster

Séquence d'actions suspectes effectuées par un cluster Amazon EKS potentiellement compromis.

Ce résultat vous indique que vous avez GuardDuty détecté une séquence d'actions suspectes indiquant la présence d'un cluster Amazon EKS potentiellement compromis dans votre environnement. Plusieurs comportements d'attaque suspects et anormaux, tels que des processus malveillants ou une connexion avec des points de terminaison malveillants, ont été observés dans le même cluster Amazon EKS.

GuardDuty utilise ses algorithmes de corrélation propriétaires pour observer et identifier la séquence d'actions effectuées à l'aide des informations d'identification IAM. GuardDuty évalue les résultats des plans de protection et d'autres sources de signaux afin d'identifier les modèles d'attaque courants et émergents. GuardDuty utilise plusieurs facteurs pour détecter les menaces, tels que la réputation IP, les séquences d'API, la configuration utilisateur et les ressources potentiellement affectées.

Actions de correction : si ce comportement est inattendu dans votre environnement, votre cluster Amazon EKS est peut-être compromis. Pour obtenir des conseils complets sur les mesures correctives, reportez-vous aux sections Corriger les résultats de la protection EKS et. Corriger les résultats de la surveillance de l'exécution

En outre, étant donné que les AWS informations d'identification peuvent avoir été compromises par le biais du cluster EKS, voirCorriger les informations d'identification potentiellement compromises AWS. Pour connaître les étapes permettant de remédier aux autres ressources susceptibles d'avoir été potentiellement touchées, voirCorriger les résultats de GuardDuty sécurité détectés.

AttackSequence:IAM/CompromisedCredentials

Séquence de demandes d'API invoquées à l'aide d'informations d' AWS identification potentiellement compromises.

Ce résultat vous indique que vous avez GuardDuty détecté une séquence d'actions suspectes effectuées à l'aide d' AWS informations d'identification ayant un impact sur une ou plusieurs ressources de votre environnement. Plusieurs comportements d'attaque suspects et anormaux ont été observés avec les mêmes informations d'identification, ce qui a permis de renforcer le niveau de confiance quant à l'utilisation abusive des informations d'identification.

GuardDuty utilise ses algorithmes de corrélation propriétaires pour observer et identifier la séquence d'actions effectuées à l'aide des informations d'identification IAM. GuardDuty évalue les résultats des plans de protection et d'autres sources de signaux afin d'identifier les modèles d'attaque courants et émergents. GuardDuty utilise plusieurs facteurs pour détecter les menaces, tels que la réputation IP, les séquences d'API, la configuration utilisateur et les ressources potentiellement affectées.

Actions correctives : si ce comportement est inattendu dans votre environnement, vos AWS informations d'identification ont peut-être été compromises. Pour connaître les étapes à suivre pour y remédier, voirCorriger les informations d'identification potentiellement compromises AWS. Les informations d'identification compromises ont peut-être été utilisées pour créer ou modifier des ressources supplémentaires, telles que des compartiments Amazon S3, des AWS Lambda fonctions ou des EC2 instances Amazon, dans votre environnement. Pour connaître les étapes permettant de remédier aux autres ressources susceptibles d'avoir été potentiellement touchées, voirCorriger les résultats de GuardDuty sécurité détectés.

AttackSequence:S3/CompromisedData

Une séquence de demandes d'API a été invoquée dans le cadre d'une tentative potentielle d'exfiltration ou de destruction de données dans Amazon S3.

Ce résultat vous indique que vous avez GuardDuty détecté une séquence d'actions suspectes indiquant que des données ont été compromises dans un ou plusieurs compartiments Amazon Simple Storage Service (Amazon S3), en utilisant des informations d'identification potentiellement compromises. AWS De multiples comportements d'attaque suspects et anormaux (demandes d'API) ont été observés, ce qui a renforcé le niveau de confiance quant à l'utilisation abusive des informations d'identification.

GuardDuty utilise ses algorithmes de corrélation pour observer et identifier la séquence d'actions effectuées à l'aide des informations d'identification IAM. GuardDuty évalue ensuite les résultats des plans de protection et d'autres sources de signaux afin d'identifier les modèles d'attaque courants et émergents. GuardDuty utilise plusieurs facteurs pour détecter les menaces, tels que la réputation IP, les séquences d'API, la configuration utilisateur et les ressources potentiellement affectées.

Mesures correctives : si cette activité est inattendue dans votre environnement, vos AWS informations d'identification ou les données Amazon S3 ont peut-être été exfiltrées ou détruites. Pour connaître les étapes à suivre pour y remédier, reportez-vous aux sections Corriger les informations d'identification potentiellement compromises AWS et. Corriger un compartiment S3 potentiellement compromis