Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
GuardDuty jenis pencarian urutan serangan
GuardDuty mendeteksi urutan serangan ketika urutan tertentu dari beberapa tindakan sejajar dengan aktivitas yang berpotensi mencurigakan. Urutan serangan mencakup sinyal seperti aktivitas dan GuardDuty temuan API. Ketika GuardDuty mengamati sekelompok sinyal dalam urutan tertentu yang menunjukkan ancaman keamanan yang sedang berlangsung, sedang berlangsung, atau baru-baru ini, GuardDuty menghasilkan temuan urutan serangan. GuardDuty menganggap aktivitas API individu weak signals karena mereka tidak menampilkan diri sebagai ancaman potensial.
Deteksi urutan serangan berfokus pada potensi kompromi data Amazon S3 (yang dapat menjadi bagian dari serangan ransomware yang lebih luas), AWS kredensi yang dikompromikan, dan klaster Amazon EKS yang dikompromikan. Bagian berikut memberikan rincian tentang masing-masing urutan serangan.
Topik
AttackSequence:EKS/CompromisedCluster
Urutan tindakan mencurigakan yang dilakukan oleh cluster Amazon EKS yang berpotensi dikompromikan.
-
Tingkat keparahan default: Kritis
-
Sumber data:
Temuan ini memberi tahu Anda bahwa GuardDuty mendeteksi urutan tindakan mencurigakan yang menunjukkan klaster Amazon EKS yang berpotensi dikompromikan di lingkungan Anda. Beberapa perilaku serangan yang mencurigakan dan anomali, seperti proses berbahaya atau koneksi dengan titik akhir berbahaya, diamati di cluster Amazon EKS yang sama.
GuardDuty menggunakan algoritma korelasi miliknya untuk mengamati dan mengidentifikasi urutan tindakan yang dilakukan dengan menggunakan kredensi IAM. GuardDuty mengevaluasi temuan di seluruh rencana perlindungan dan sumber sinyal lainnya untuk mengidentifikasi pola serangan yang umum dan muncul. GuardDuty menggunakan beberapa faktor untuk memunculkan ancaman, seperti reputasi IP, urutan API, konfigurasi pengguna, dan sumber daya yang berpotensi terkena dampak.
Tindakan remediasi: Jika perilaku ini tidak terduga di lingkungan Anda, maka klaster Amazon EKS Anda dapat dikompromikan. Untuk panduan remediasi yang komprehensif, lihat Remediasi temuan Perlindungan EKS danRemediasi temuan Runtime Monitoring.
Selain itu, karena AWS kredensil mungkin telah dikompromikan melalui kluster EKS, lihat. Memulihkan kredensi yang berpotensi dikompromikan AWS Untuk langkah-langkah untuk memulihkan sumber daya lain yang mungkin berpotensi terkena dampak, lihat. Memulihkan temuan GuardDuty keamanan yang terdeteksi
AttackSequence:IAM/CompromisedCredentials
Urutan permintaan API yang dipanggil dengan menggunakan kredensil yang berpotensi dikompromikan AWS .
-
Tingkat keparahan default: Kritis
-
Sumber data: AWS CloudTrail acara manajemen
Temuan ini memberi tahu Anda bahwa GuardDuty mendeteksi serangkaian tindakan mencurigakan yang dilakukan dengan menggunakan AWS kredensil yang memengaruhi satu atau lebih sumber daya di lingkungan Anda. Beberapa perilaku serangan yang mencurigakan dan anomali diamati oleh kredensil yang sama, menghasilkan keyakinan yang lebih tinggi bahwa kredensil disalahgunakan.
GuardDuty menggunakan algoritma korelasi miliknya untuk mengamati dan mengidentifikasi urutan tindakan yang dilakukan dengan menggunakan kredensi IAM. GuardDuty mengevaluasi temuan di seluruh rencana perlindungan dan sumber sinyal lainnya untuk mengidentifikasi pola serangan yang umum dan muncul. GuardDuty menggunakan beberapa faktor untuk memunculkan ancaman, seperti reputasi IP, urutan API, konfigurasi pengguna, dan sumber daya yang berpotensi terkena dampak.
Tindakan remediasi: Jika perilaku ini tidak terduga di lingkungan Anda, maka AWS kredensil Anda mungkin telah dikompromikan. Untuk langkah-langkah untuk memperbaiki, lihatMemulihkan kredensi yang berpotensi dikompromikan AWS. Kredensi yang disusupi mungkin telah digunakan untuk membuat atau memodifikasi sumber daya tambahan, seperti bucket Amazon S3, fungsi, atau instans Amazon AWS Lambda EC2 , di lingkungan Anda. Untuk langkah-langkah untuk memulihkan sumber daya lain yang mungkin berpotensi terkena dampak, lihat. Memulihkan temuan GuardDuty keamanan yang terdeteksi
AttackSequence:S3/CompromisedData
Urutan permintaan API dipanggil dalam upaya potensial untuk mengekstrasi atau menghancurkan data di Amazon S3.
-
Tingkat keparahan default: Kritis
-
Sumber data: AWS CloudTrail peristiwa data untuk S3 dan AWS CloudTrail acara manajemen
Temuan ini memberi tahu Anda bahwa GuardDuty mendeteksi urutan tindakan mencurigakan yang menunjukkan kompromi data dalam satu atau beberapa bucket Amazon Simple Storage Service (Amazon S3), dengan menggunakan kredensil yang berpotensi dikompromikan. AWS Beberapa perilaku serangan yang mencurigakan dan anomali (permintaan API) diamati, menghasilkan kepercayaan yang lebih tinggi dari kredensil yang disalahgunakan.
GuardDuty menggunakan algoritma korelasinya untuk mengamati dan mengidentifikasi urutan tindakan yang dilakukan dengan menggunakan kredensi IAM. GuardDuty kemudian mengevaluasi temuan di seluruh rencana perlindungan dan sumber sinyal lainnya untuk mengidentifikasi pola serangan yang umum dan muncul. GuardDuty menggunakan beberapa faktor untuk memunculkan ancaman, seperti reputasi IP, urutan API, konfigurasi pengguna, dan sumber daya yang berpotensi terkena dampak.
Tindakan remediasi: Jika aktivitas ini tidak terduga di lingkungan Anda, AWS kredensil, atau data Amazon S3 Anda mungkin berpotensi diekstraksi atau dihancurkan. Untuk langkah-langkah untuk memulihkan, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS danMemperbaiki bucket S3 yang berpotensi dikompromikan.