As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
GuardDuty tipos de localização de sequência de ataque
GuardDuty detecta uma sequência de ataque quando uma sequência específica de várias ações se alinha a uma atividade potencialmente suspeita. Uma sequência de ataque inclui sinais como atividades e GuardDuty descobertas da API. Quando GuardDuty observa um grupo de sinais em uma sequência específica que indica uma ameaça à segurança em andamento, contínua ou recente, GuardDuty gera uma descoberta da sequência de ataque. GuardDuty considera as atividades individuais da API weak signals porque elas não se apresentam como uma ameaça potencial.
As detecções da sequência de ataque se concentram no possível comprometimento dos dados do Amazon S3 (que podem ser parte de um ataque de ransomware mais amplo), nas credenciais comprometidas e nos AWS clusters comprometidos do Amazon EKS. As seções a seguir fornecem detalhes sobre cada uma das sequências de ataque.
Tópicos
AttackSequence:EKS/CompromisedCluster
Uma sequência de ações suspeitas executadas por um cluster Amazon EKS potencialmente comprometido.
-
Gravidade padrão: Crítica
-
Fontes de dados:
Essa descoberta informa que GuardDuty detectou uma sequência de ações suspeitas que indica um cluster Amazon EKS potencialmente comprometido em seu ambiente. Vários comportamentos de ataque suspeitos e anômalos, como processos maliciosos ou conexão com endpoints maliciosos, foram observados no mesmo cluster do Amazon EKS.
GuardDuty usa seus algoritmos de correlação proprietários para observar e identificar a sequência de ações executadas usando a credencial do IAM. GuardDuty avalia as descobertas em planos de proteção e outras fontes de sinal para identificar padrões de ataque comuns e emergentes. GuardDuty usa vários fatores para revelar ameaças, como reputação de IP, sequências de API, configuração do usuário e recursos potencialmente afetados.
Ações de remediação: Se esse comportamento for inesperado em seu ambiente, seu cluster Amazon EKS poderá estar comprometido. Para obter uma orientação abrangente sobre remediação, consulte Como corrigir as descobertas da Proteção do EKS e. Como corrigir as descobertas do Monitoramento de runtime
Além disso, como AWS as credenciais podem ter sido comprometidas por meio do cluster EKS, consulte. Como corrigir credenciais possivelmente AWS comprometidas Para ver as etapas para remediar outros recursos que possam ter sido potencialmente afetados, consulte. Corrigindo as descobertas de GuardDuty segurança detectadas
AttackSequence:IAM/CompromisedCredentials
Uma sequência de solicitações de API que foram invocadas usando credenciais potencialmente comprometidas. AWS
-
Gravidade padrão: Crítica
-
Fonte de dados: AWS CloudTrail eventos de gerenciamento
Essa descoberta informa que GuardDuty detectou uma sequência de ações suspeitas feitas usando AWS credenciais que afetam um ou mais recursos em seu ambiente. Vários comportamentos de ataque suspeitos e anômalos foram observados pelas mesmas credenciais, resultando em maior confiança de que as credenciais estão sendo mal utilizadas.
GuardDuty usa seus algoritmos de correlação proprietários para observar e identificar a sequência de ações executadas usando a credencial do IAM. GuardDuty avalia as descobertas em planos de proteção e outras fontes de sinal para identificar padrões de ataque comuns e emergentes. GuardDuty usa vários fatores para revelar ameaças, como reputação de IP, sequências de API, configuração do usuário e recursos potencialmente afetados.
Ações de remediação: se esse comportamento for inesperado em seu ambiente, suas AWS credenciais podem ter sido comprometidas. Para obter as etapas de correção, consulteComo corrigir credenciais possivelmente AWS comprometidas. As credenciais comprometidas podem ter sido usadas para criar ou modificar recursos adicionais, como buckets, AWS Lambda funções ou instâncias da Amazon S3, em seu EC2 ambiente. Para ver as etapas para remediar outros recursos que possam ter sido potencialmente afetados, consulte. Corrigindo as descobertas de GuardDuty segurança detectadas
AttackSequence:S3/CompromisedData
Uma sequência de solicitações de API foi invocada em uma possível tentativa de exfiltrar ou destruir dados no Amazon S3.
-
Gravidade padrão: Crítica
-
Fontes de dados: AWS CloudTrail eventos de dados para S3 e AWS CloudTrail eventos de gerenciamento
Essa descoberta informa que GuardDuty detectou uma sequência de ações suspeitas indicativas de comprometimento de dados em um ou mais buckets do Amazon Simple Storage Service (Amazon S3), usando credenciais potencialmente comprometidas. AWS Vários comportamentos de ataque suspeitos e anômalos (solicitações de API) foram observados, resultando em maior confiança de que as credenciais estão sendo mal utilizadas.
GuardDuty usa seus algoritmos de correlação para observar e identificar a sequência de ações executadas usando a credencial do IAM. GuardDuty em seguida, avalia as descobertas em planos de proteção e outras fontes de sinal para identificar padrões de ataque comuns e emergentes. GuardDuty usa vários fatores para revelar ameaças, como reputação de IP, sequências de API, configuração do usuário e recursos potencialmente afetados.
Ações de remediação: Se essa atividade for inesperada em seu ambiente, suas AWS credenciais ou dados do Amazon S3 podem ter sido potencialmente exfiltrados ou destruídos. Para obter as etapas de correção, consulte Como corrigir credenciais possivelmente AWS comprometidas e. Como corrigir um bucket do S3 possivelmente comprometido
