GuardDuty 攻撃シーケンスの検出結果タイプ - Amazon GuardDuty
AttackSequence:EKS/CompromisedClusterAttackSequence:ECS/CompromisedClusterAttackSequence:EC2/CompromisedInstanceGroupAttackSequence:IAM/CompromisedCredentialsAttackSequence:S3/CompromisedData

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty 攻撃シーケンスの検出結果タイプ

GuardDuty は、複数のアクションの特定のシーケンスが疑わしい可能性のあるアクティビティと一致する場合に、攻撃シーケンスを検出します。攻撃シーケンスには、API アクティビティや GuardDuty の検出結果などのシグナルが含まれます。GuardDuty が、進行中、継続中、または最近のセキュリティ脅威を示す特定のシーケンスでシグナルのグループを観察すると、GuardDuty は攻撃シーケンスの検出結果を生成します。GuardDuty は、個々の API アクティビティを潜在的な脅威として提示しないため、weak signals と見なします。

攻撃シーケンス検出は、Amazon S3 データの潜在的な侵害 (より広範なランサムウェア攻撃の一部である可能性があります)、 AWS 認証情報の侵害、Amazon EKS クラスターの侵害、Amazon ECS クラスターの侵害、Amazon EC2 インスタンスグループの侵害に焦点を当てています。以下のセクションでは、各攻撃シーケンスについて詳しく説明します。

AttackSequence:EKS/CompromisedCluster

侵害された可能性のある Amazon EKS クラスターによって実行される一連の疑わしいアクション。

この検出結果は、GuardDuty が環境内の侵害された可能性のある Amazon EKS クラスターを示す一連の疑わしいアクションを検出したことを知らせるものです。悪意のあるプロセスや悪意のあるエンドポイントへの接続など、複数の疑わしい異常な攻撃動作が、同じ Amazon EKS クラスターで観察されました。

GuardDuty は独自の相関アルゴリズムを使用して、IAM 認証情報を使用して実行される一連のアクションを監視および識別します。GuardDuty は、保護プランやその他のシグナルソース全体の検出結果を評価し、一般的および新たな攻撃パターンを特定します。GuardDuty は、IP の評価、API シーケンス、ユーザー設定、影響を受ける可能性のあるリソースなど、複数の要因を使用して脅威を表面化します。

修復アクション: 環境でこの動作が予期しない場合、Amazon EKS クラスターが侵害されている可能性があります。包括的な修復ガイダンスについては、「EKS Protection の検出結果の修復」および「Runtime Monitoring 検出結果の修正」を参照してください。

さらに、 AWS 認証情報が EKS クラスターを介して侵害された可能性があるため、「」を参照してください漏えいした可能性のある AWS 認証情報の修復。影響を受ける可能性のある他のリソースを修復する手順については、「検出された GuardDuty セキュリティ検出結果の修復」を参照してください。

AttackSequence:ECS/CompromisedCluster

侵害された可能性のある Amazon ECS クラスターによって実行される一連の疑わしいアクション。

この検出結果は、GuardDuty が環境内の侵害された可能性のある Amazon ECS クラスターを示す一連の疑わしいシグナルを検出したことを知らせるものです。これらのシグナルには、悪意のあるプロセス、悪意のあるエンドポイントとの通信、または暗号通貨のマイニング動作が含まれる場合があります。

GuardDuty は、独自の相関アルゴリズムと複数の検出要因を使用して、Amazon ECS クラスター内の疑わしいアクションのシーケンスを識別します。GuardDuty は、保護プランとさまざまなシグナルソースを横断して分析することで、一般的な攻撃パターンと新たな攻撃パターンを特定し、潜在的な侵害を高い信頼性で検出します。

修復アクション: 環境でこの動作が予期しない場合、Amazon ECS クラスターが侵害されている可能性があります。脅威封じ込めの推奨事項については、「」を参照してください侵害された可能性のある ECS クラスターの修復。侵害は、 AWS リソースの作成または変更に使用された可能性のある 1 つ以上の ECS タスクまたはコンテナワークロードにも及ぶ可能性があることに注意してください。影響を受ける可能性のあるリソースに関する包括的な修復ガイダンスについては、「」を参照してください検出された GuardDuty セキュリティ検出結果の修復

AttackSequence:EC2/CompromisedInstanceGroup

侵害された可能性のある Amazon EC2 インスタンスを示す一連の疑わしいアクション。

この検出結果は、GuardDuty が環境内の Amazon EC2 インスタンスのグループ全体で潜在的な侵害を示唆する一連の疑わしいアクションを検出したことを示しています。インスタンスグループは、通常、infrastructure-as-codeで管理されるアプリケーションを表し、Auto Scaling グループ、IAM インスタンスプロファイルロール、 AWS CloudFormation スタック、Amazon EC2 起動テンプレート、AMI、VPC ID などの同様の設定を共有します。GuardDuty は、以下を含む 1 つ以上のインスタンスで複数の疑わしい動作を検出しました。

  • 悪意のあるプロセス

  • 悪意のあるファイル

  • 疑わしいネットワーク接続

  • 暗号通貨マイニングアクティビティ

  • Amazon EC2 インスタンス認証情報の疑わしい使用

検出方法: GuardDuty は独自の相関アルゴリズムを使用して、Amazon EC2 インスタンス内の疑わしいアクションシーケンスを識別します。GuardDuty は、保護プランやさまざまなシグナルソースにわたる検出結果を評価することで、IP やドメインの評価、疑わしい実行プロセスなど、複数の要因を使用して攻撃パターンを識別します。

修復アクション: 環境でこの動作が予期しない場合、Amazon EC2 インスタンスが侵害される可能性があります。侵害には、以下が含まれる可能性があります。

  • 複数のプロセス

  • Amazon EC2 インスタンスまたは他の AWS リソースの変更に使用された可能性のあるインスタンス認証情報

脅威封じ込めの推奨事項については、「」を参照してください侵害された可能性のある Amazon EC2 インスタンスの修復。侵害は 1 つ以上の Amazon EC2 インスタンスにまで及ぶ可能性があり、Amazon EC2 インスタンスやその他の AWS リソースを作成または変更するために使用された可能性のある侵害されたプロセスまたはインスタンス認証情報が含まれる可能性があることに注意してください。影響を受ける可能性のあるリソースに関する包括的な修復ガイダンスについては、「」を参照してください検出された GuardDuty セキュリティ検出結果の修復

AttackSequence:IAM/CompromisedCredentials

侵害された可能性のある AWS 認証情報を使用して呼び出された一連の API リクエスト。

この検出結果は、GuardDuty が環境内の 1 つ以上のリソースに影響を与える AWS 認証情報を使用して行われた一連の疑わしいアクションを検出したことを知らせるものです。同じ認証情報によって複数の疑わしい攻撃動作と異常な攻撃動作が観察され、認証情報が悪用されているという信頼度が高くなります。

GuardDuty は独自の相関アルゴリズムを使用して、IAM 認証情報を使用して実行される一連のアクションを監視および識別します。GuardDuty は、保護プランやその他のシグナルソース全体の検出結果を評価し、一般的および新たな攻撃パターンを特定します。GuardDuty は、IP の評価、API シーケンス、ユーザー設定、影響を受ける可能性のあるリソースなど、複数の要因を使用して脅威を表面化します。

修復アクション: 環境でこの動作が予期しない場合、 AWS 認証情報が侵害されている可能性があります。修正する手順については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。侵害された認証情報は、環境内の Amazon S3 バケット、 AWS Lambda 関数、Amazon EC2 インスタンスなどの追加のリソースを作成または変更するために使用された可能性があります。影響を受ける可能性のある他のリソースを修復する手順については、「検出された GuardDuty セキュリティ検出結果の修復」を参照してください。

AttackSequence:S3/CompromisedData

一連の API リクエストが、Amazon S3 内のデータを流出または破壊しようとして呼び出されました。

この検出結果は、GuardDuty が、侵害された可能性のある AWS 認証情報を使用して、1 つ以上の Amazon Simple Storage Service (Amazon S3) バケットでデータ侵害を示す一連の疑わしいアクションを検出したことを知らせるものです。複数の疑わしい攻撃動作と異常な攻撃動作 (API リクエスト) が観察され、認証情報が悪用されているという信頼度が高くなります。

GuardDuty は相関アルゴリズムを使用して、IAM 認証情報を使用して実行される一連のアクションを観察および識別します。GuardDuty はその後、保護プランやその他のシグナルソースにわたる発見事項を評価し、共通および新たな攻撃パターンを特定します。GuardDuty は、IP の評価、API シーケンス、ユーザー設定、影響を受ける可能性のあるリソースなど、複数の要因を使用して脅威を表面化します。

修復アクション: 環境でこのアクティビティが予期しない場合、 AWS 認証情報または Amazon S3 データが流出または破棄される可能性があります。修正する手順については、「漏えいした可能性のある AWS 認証情報の修復」および「侵害された可能性のある S3 バケットの修復」を参照してください。