AttackSequence:EKS/CompromisedCluster AttackSequence:IAM/CompromisedCredentials AttackSequence:S3/CompromisedData

Tipos de descoberta de sequência de ataque do GuardDuty

O GuardDuty detecta uma sequência de ataque quando uma sequência específica de várias ações se alinha a uma atividade potencialmente suspeita. Uma sequência de ataque inclui sinais como atividades de API e descobertas do GuardDuty. Quando o GuardDuty observa um grupo de sinais em uma sequência específica que indica uma ameaça à segurança em andamento, contínua ou recente, o GuardDuty gera uma descoberta da sequência de ataque. O GuardDuty considera as atividades individuais de API como weak signals porque elas não se apresentam como uma ameaça potencial.

As detecções da sequência de ataque se concentram no possível comprometimento dos dados do Amazon S3 (que podem ser parte de um ataque de ransomware mais amplo), nas credenciais comprometidas da AWS e nos clusters comprometidos do Amazon EKS. As seguintes seções fornecem detalhes sobre cada uma das sequências de ataque.

Tópicos

AttackSequence:EKS/CompromisedCluster
AttackSequence:IAM/CompromisedCredentials
AttackSequence:S3/CompromisedData

AttackSequence:EKS/CompromisedCluster

Uma sequência de ações suspeitas executadas por um cluster potencialmente comprometido do Amazon EKS.

Gravidade padrão: crítica
Fontes de dados:

Essa descoberta informa que o GuardDuty detectou uma sequência de ações suspeitas que indica um cluster potencialmente comprometido do Amazon EKS em seu ambiente. Vários comportamentos de ataque suspeitos e anômalos, como processos maliciosos ou conexão com endpoints maliciosos, foram observados no mesmo cluster do Amazon EKS.

O GuardDuty usa seus algoritmos de correlação proprietários para observar e identificar a sequência de ações executadas usando a credencial do IAM. O GuardDuty avalia as descobertas em todos os planos de proteção e outras fontes de sinal para identificar padrões de ataque comuns e emergentes. O GuardDuty usa vários fatores para revelar ameaças, como reputação de IP, sequências de API, configuração do usuário e recursos potencialmente afetados.

Ações de remediação: se esse comportamento for inesperado em seu ambiente, seu cluster do Amazon EKS pode estar comprometido. Para obter uma orientação abrangente sobre remediação, consulte Como corrigir as descobertas da Proteção do EKS e Como corrigir as descobertas do Monitoramento de runtime.

Além disso, como as credenciais da AWS podem ter sido comprometidas por meio do cluster EKS, consulte Como corrigir credenciais possivelmente AWS comprometidas. Para ver as etapas para remediar outros recursos que possam ter sido potencialmente afetados, consulte Como corrigir as descobertas de segurança detectadas do GuardDuty.

AttackSequence:IAM/CompromisedCredentials

Uma sequência de solicitações de API que foram invocadas usando credenciais potencialmente comprometidas da AWS.

Gravidade padrão: crítica
Fonte de dados: Eventos de gerenciamento do AWS CloudTrail

Essa descoberta informa que o GuardDuty detectou uma sequência de ações suspeitas feitas usando credenciais da AWS que afetam um ou mais recursos em seu ambiente. Vários comportamentos de ataque suspeitos e anômalos foram observados pelas mesmas credenciais, resultando em maior confiança de que as credenciais estão sendo mal utilizadas.

Ações de remediação: se esse comportamento for inesperado em seu ambiente, suas credenciais da AWS podem ter sido comprometidas. Para obter as etapas de correção, consulte Como corrigir credenciais possivelmente AWS comprometidas. As credenciais comprometidas podem ter sido usadas para criar ou modificar recursos adicionais, como buckets do Amazon S3, funções AWS Lambda ou instâncias do Amazon EC2, no seu ambiente. Para ver as etapas para remediar outros recursos que possam ter sido potencialmente afetados, consulte Como corrigir as descobertas de segurança detectadas do GuardDuty.

AttackSequence:S3/CompromisedData

Uma sequência de solicitações de API foi invocada em uma possível tentativa de exfiltrar ou destruir dados no Amazon S3.

Gravidade padrão: crítica
Fontes de dados: Eventos de dados do AWS CloudTrail para o S3 e Eventos de gerenciamento do AWS CloudTrail

Essa descoberta informa que o GuardDuty detectou uma sequência de ações suspeitas indicativas de comprometimento de dados em um ou mais buckets do Amazon Simple Storage Service (Amazon S3), usando credenciais da AWS potencialmente comprometidas. Vários comportamentos de ataque suspeitos e anômalos (solicitações de API) foram observados, resultando em maior confiança de que as credenciais estão sendo mal utilizadas.

O GuardDuty usa seus algoritmos de correlação para observar e identificar a sequência de ações executadas usando a credencial do IAM. O GuardDuty então avalia as descobertas em todos os planos de proteção e outras fontes de sinal para identificar padrões de ataque comuns e emergentes. O GuardDuty usa vários fatores para revelar ameaças, como reputação de IP, sequências de API, configuração do usuário e recursos potencialmente afetados.

Ações de remediação: se essa atividade for inesperada em seu ambiente, suas credenciais da AWS ou os dados do Amazon S3 podem ter sido potencialmente exfiltrados ou destruídos. Para obter as etapas de correção, consulte Como corrigir credenciais possivelmente AWS comprometidas e Como corrigir um bucket do S3 possivelmente comprometido.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Tipos de descobertas do IAM

Tipos de descoberta da Proteção do S3