Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
GuardDuty tipi di ricerca della sequenza di attacco
GuardDuty rileva una sequenza di attacco quando una sequenza specifica di più azioni si allinea a un'attività potenzialmente sospetta. Una sequenza di attacco include segnali come attività e risultati delle API. GuardDuty Quando GuardDuty osserva un gruppo di segnali in una sequenza specifica che indica una minaccia alla sicurezza in corso, in corso o recente, GuardDuty genera una rilevazione della sequenza di attacco. GuardDuty considera le singole attività delle API come weak signals se non si presentassero come una potenziale minaccia.
I rilevamenti delle sequenze di attacco si concentrano sulla potenziale compromissione dei dati di Amazon S3 (che possono far parte di un attacco ransomware più ampio), sulle AWS credenziali compromesse e sui cluster Amazon EKS compromessi. Le seguenti sezioni forniscono dettagli su ciascuna delle sequenze di attacco.
Argomenti
AttackSequence:EKS/CompromisedCluster
Una sequenza di azioni sospette eseguite da un cluster Amazon EKS potenzialmente compromesso.
-
Severità predefinita: critica
-
Fonti di dati:
Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette che indica un cluster Amazon EKS potenzialmente compromesso nel tuo ambiente. Nello stesso cluster Amazon EKS sono stati osservati diversi comportamenti di attacco sospetti e anomali, come processi dannosi o connessioni con endpoint dannosi.
GuardDuty utilizza i suoi algoritmi di correlazione proprietari per osservare e identificare la sequenza di azioni eseguite utilizzando la credenziale IAM. GuardDuty valuta i risultati dei piani di protezione e di altre fonti di segnale per identificare modelli di attacco comuni ed emergenti. GuardDuty utilizza diversi fattori per far emergere le minacce, come la reputazione IP, le sequenze API, la configurazione degli utenti e le risorse potenzialmente interessate.
Azioni correttive: se questo comportamento è imprevisto nel tuo ambiente, il cluster Amazon EKS potrebbe essere compromesso. Per una guida completa sulla riparazione, consulta e. Correzione dei risultati della protezione EKS Correzione dei risultati del Runtime Monitoring
Inoltre, poiché AWS le credenziali potrebbero essere state compromesse attraverso il cluster EKS, vedi. Riparazione delle credenziali potenzialmente compromesse AWS Per informazioni sulle procedure per correggere altre risorse che potrebbero essere state potenzialmente compromesse, consulta. Correzione dei problemi di GuardDuty sicurezza rilevati
AttackSequence:IAM/CompromisedCredentials
Una sequenza di richieste API che sono state richiamate utilizzando credenziali potenzialmente compromesse. AWS
-
Gravità predefinita: critica
-
Fonte dati: AWS CloudTrail eventi di gestione
Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette eseguite utilizzando AWS credenziali che hanno un impatto su una o più risorse dell'ambiente. Sono stati osservati più comportamenti di attacco sospetti e anomali con le stesse credenziali, con conseguente maggiore certezza che le credenziali vengano utilizzate in modo improprio.
GuardDuty utilizza i propri algoritmi di correlazione proprietari per osservare e identificare la sequenza di azioni eseguite utilizzando la credenziale IAM. GuardDuty valuta i risultati dei piani di protezione e di altre fonti di segnale per identificare modelli di attacco comuni ed emergenti. GuardDuty utilizza diversi fattori per far emergere le minacce, come la reputazione IP, le sequenze API, la configurazione degli utenti e le risorse potenzialmente interessate.
Azioni correttive: se questo comportamento è imprevisto nell'ambiente in uso, è possibile che le AWS credenziali siano state compromesse. Per le procedure da seguire per rimediare, consulta. Riparazione delle credenziali potenzialmente compromesse AWS Le credenziali compromesse potrebbero essere state utilizzate per creare o modificare risorse aggiuntive, come bucket Amazon S3, AWS Lambda funzioni o istanze EC2 Amazon, nel tuo ambiente. Per informazioni su come correggere altre risorse che potrebbero essere state potenzialmente interessate, consulta. Correzione dei problemi di GuardDuty sicurezza rilevati
AttackSequence:S3/CompromisedData
È stata richiamata una sequenza di richieste API in un potenziale tentativo di esfiltrare o distruggere dati in Amazon S3.
-
Gravità predefinita: critica
-
Fonti di dati: AWS CloudTrail eventi relativi ai dati per S3 e AWS CloudTrail eventi di gestione
Questo risultato indica che è GuardDuty stata rilevata una sequenza di azioni sospette indicative di una compromissione dei dati in uno o più bucket Amazon Simple Storage Service (Amazon S3), utilizzando credenziali potenzialmente compromesse. AWS Sono stati osservati diversi comportamenti di attacco sospetti e anomali (richieste API), con conseguente maggiore fiducia nell'uso improprio delle credenziali.
GuardDuty utilizza i suoi algoritmi di correlazione per osservare e identificare la sequenza di azioni eseguite utilizzando la credenziale IAM. GuardDuty quindi valuta i risultati dei piani di protezione e di altre fonti di segnale per identificare modelli di attacco comuni ed emergenti. GuardDuty utilizza diversi fattori per far emergere le minacce, come la reputazione IP, le sequenze API, la configurazione degli utenti e le risorse potenzialmente interessate.
Azioni correttive: se questa attività è imprevista nel tuo ambiente, AWS le tue credenziali o i dati di Amazon S3 potrebbero essere stati potenzialmente esfiltrati o distrutti. Per le procedure di correzione, consulta e. Riparazione delle credenziali potenzialmente compromesse AWS Riparazione di un bucket S3 potenzialmente compromesso
