Tipos de descoberta do IAM no GuardDuty

As descobertas a seguir são específicas de entidades e chaves de acesso do IAM e sempre têm um Tipo de recurso igual a AccessKey. A gravidade e os detalhes das descobertas serão diferentes com base no tipo de descoberta.

As descobertas listadas aqui incluem as fontes de dados e os modelos usados para gerar esse tipo de descoberta. Para obter mais informações, consulte Fontes de dados fundamentais do GuardDuty.

Para todas as descobertas relacionadas ao IAM, recomendamos que você examine a entidade em questão e garanta que suas permissões sigam a melhor prática de privilégio mínimo. Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Consulte . Para obter mais informações sobre correção de descobertas, consulte Como corrigir credenciais possivelmente AWS comprometidas.

CredentialAccess:IAMUser/AnomalousBehavior

Uma API usada para obter acesso a um ambiente da AWS foi invocada de forma anômala.

Gravidade padrão: média

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas nas proximidades por uma única identidade de usuário. Comumente, a API observada é associada ao estágio de acesso às credenciais de um ataque quando um adversário está tentando coletar senhas, nomes de usuário e chaves de acesso para seu ambiente. As APIs nesta categoria são GetPasswordData, GetSecretValue, BatchGetSecretValue e GenerateDbAuthToken.

Essa solicitação de API foi identificada como anômala pelo modelo de machine learning (ML) de detecção de anomalias do GuardDuty. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

DefenseEvasion:IAMUser/AnomalousBehavior

Uma API usada para evitar medidas defensivas foi invocada de forma anômala.

Gravidade padrão: média

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas nas proximidades por uma única identidade de usuário. Comumente, a API observada é associada a táticas de evasão de defesa, nas quais um adversário está tentando encobrir seus rastros e evitar ser detectado. As APIs nessa categoria geralmente são operações de exclusão, desabilitação ou interrupção, como DeleteFlowLogs, DisableAlarmActions ou StopLogging.

Essa solicitação de API foi identificada como anômala pelo modelo de machine learning (ML) de detecção de anomalias do GuardDuty. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

Discovery:IAMUser/AnomalousBehavior

Uma API comumente usada para descobrir recursos foi invocada de forma anômala.

Gravidade padrão: baixa

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas nas proximidades por uma única identidade de usuário. Comumente, a API observada é associada ao estágio de descoberta de um ataque, quando um adversário coleta informações para determinar se seu ambiente da AWS é suscetível a um ataque mais amplo. As APIs nessa categoria geralmente são operações de obtenção, descrição ou lista, como DescribeInstances, GetRolePolicy ou ListAccessKeys.

Essa solicitação de API foi identificada como anômala pelo modelo de machine learning (ML) de detecção de anomalias do GuardDuty. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

Exfiltration:IAMUser/AnomalousBehavior

Uma API comumente usada para coletar dados de um ambiente da AWS foi invocada de forma anômala.

Gravidade padrão: alta

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas nas proximidades por uma única identidade de usuário. Comumente, a API observada é associada a táticas de exfiltração em que um adversário está tentando coletar dados de sua rede usando empacotamento e criptografia para evitar a detecção. As APIs para esse tipo de descoberta são apenas operações de gerenciamento (ambiente de gerenciamento) e geralmente estão relacionadas ao S3, aos snapshots e aos bancos de dados, como PutBucketReplication, CreateSnapshot ou RestoreDBInstanceFromDBSnapshot.

Essa solicitação de API foi identificada como anômala pelo modelo de machine learning (ML) de detecção de anomalias do GuardDuty. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

Impact:IAMUser/AnomalousBehavior

Uma API comumente usada para adulterar dados ou processos em um ambiente da AWS foi invocada de forma anômala.

Gravidade padrão: alta

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas nas proximidades por uma única identidade de usuário. Comumente, a API observada é associada a táticas de impacto em que um adversário está tentando interromper as operações e manipular, interromper ou destruir dados em sua conta. As APIs para esse tipo de descoberta geralmente são operações de exclusão, atualização ou colocação, como DeleteSecurityGroup, UpdateUser ou PutBucketPolicy.

Essa solicitação de API foi identificada como anômala pelo modelo de machine learning (ML) de detecção de anomalias do GuardDuty. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

InitialAccess:IAMUser/AnomalousBehavior

Uma API comumente usada para obter acesso não autorizado a um ambiente da AWS foi invocada de forma anômala.

Gravidade padrão: média

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas nas proximidades por uma única identidade de usuário. Comumente, a API observada é associada ao estágio inicial de acesso de um ataque, quando um adversário está tentando estabelecer acesso ao seu ambiente. As APIs nessa categoria geralmente são operações de token de obtenção ou de sessão, como StartSession ou GetAuthorizationToken.

Essa solicitação de API foi identificada como anômala pelo modelo de machine learning (ML) de detecção de anomalias do GuardDuty. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

PenTest:IAMUser/KaliLinux

Uma API foi invocada de uma máquina Linux Kali.

Gravidade padrão: média

Essa descoberta informa que uma máquina executando o Kali Linux está fazendo chamadas de API usando credenciais que pertencem à conta da AWS listada em seu ambiente. O Kali Linux é uma ferramenta conhecida de teste de penetração usada por profissionais de segurança para identificar vulnerabilidades em instâncias do EC2 que exigem correções. Os invasores também usam essa ferramenta para encontrar vulnerabilidades na configuração do EC2 e obter acesso não autorizado ao seu ambiente da AWS.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

PenTest:IAMUser/ParrotLinux

Uma API foi invocada a partir de uma máquina Parrot Security Linux.

Gravidade padrão: média

Essa descoberta informa que uma máquina executando o Parrot Security Linux está fazendo chamadas de API usando credenciais que pertencem à conta da AWS listada em seu ambiente. O Parrot Security Linux é uma ferramenta popular de teste de penetração que profissionais de segurança usam para identificar vulnerabilidades nas instâncias do EC2 que exigem correções. Os invasores também usam essa ferramenta para encontrar vulnerabilidades na configuração do EC2 e obter acesso não autorizado ao seu ambiente da AWS.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

PenTest:IAMUser/PentooLinux

Uma API foi invocada a partir de uma máquina Pentoo Linux.

Gravidade padrão: média

Essa descoberta informa que uma máquina executando o Pentoo Linux está fazendo chamadas de API usando credenciais que pertencem à conta da AWS listada em seu ambiente. O Pentoo Linux é uma ferramenta conhecida de teste de penetração usada por profissionais de segurança para identificar vulnerabilidades em instâncias do EC2 que exigem correções. Os invasores também usam essa ferramenta para encontrar vulnerabilidades na configuração do EC2 e obter acesso não autorizado ao seu ambiente da AWS.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

Persistence:IAMUser/AnomalousBehavior

Uma API comumente usada para manter o acesso não autorizado a um ambiente da AWS foi invocada de forma anômala.

Gravidade padrão: média

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas nas proximidades por uma única identidade de usuário. Comumente, a API observada é associada a táticas de persistência em que um adversário obteve acesso ao seu ambiente e está tentando manter esse acesso. As APIs nessa categoria geralmente são operações de criação, importação ou modificação, como CreateAccessKey, ImportKeyPair ou ModifyInstanceAttribute.

Essa solicitação de API foi identificada como anômala pelo modelo de machine learning (ML) de detecção de anomalias do GuardDuty. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

Policy:IAMUser/RootCredentialUsage

Foi invocada uma API usando credenciais de login do usuário raiz.

Gravidade padrão: baixa

Essa descoberta informa que as credenciais de login do usuário raiz da Conta da AWS listada em seu ambiente estão sendo usadas para fazer solicitações aos serviços da AWS. É recomendável que os usuários nunca usem as credenciais de login do usuário raiz para acessar os serviços da AWS. Em vez disso, os serviços da AWS devem ser acessados usando credenciais temporárias de privilégio mínimo obtidas do AWS Security Token Service (STS). Para situações em que o AWS STS não é compatível, é recomendável usar credenciais de usuário do IAM. Para obter mais informações, consulte Melhores práticas do IAM.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

Policy:IAMUser/ShortTermRootCredentialUsage

Uma API foi invocada usando credenciais restritas de usuário-raiz.

Gravidade padrão: baixa

Essa descoberta informa que credenciais do usuário restritas criadas para a Conta da AWS listada em seu ambiente estão sendo usadas para fazer solicitações aos Serviços da AWS. Recomenda-se usar as credenciais de usuário-raiz somente para aquelas tarefas que exigem credenciais de usuário-raiz.

Quando possível, acesse os Serviços da AWS usando perfis do IAM com privilégios mínimos com credenciais temporárias a partir do AWS Security Token Service (AWS STS). Para cenários em que não há suporte para o AWS STS, a melhor prática é usar as credenciais de usuário do IAM. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM e Práticas recomendadas para o usuário-raiz para sua Conta da AWS no Guia do usuário do IAM.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

PrivilegeEscalation:IAMUser/AnomalousBehavior

Uma API comumente usada para obter permissões de alto nível para um ambiente da AWS foi invocada de forma anômala.

Gravidade padrão: média

Essa descoberta informa que uma solicitação de API anômala foi observada em sua conta. Essa descoberta pode incluir uma única API ou uma série de solicitações de API relacionadas feitas na proximidade por uma única identidade de usuário. Comumente, a API observada é associada a táticas de escalonamento de privilégios em que um adversário está tentando obter permissões de nível superior para um ambiente. As APIs nessa categoria geralmente envolvem operações que alteram políticas, perfis e usuários do IAM, como AssociateIamInstanceProfile, AddUserToGroup ou PutUserPolicy.

Essa solicitação de API foi identificada como anômala pelo modelo de machine learning (ML) de detecção de anomalias do GuardDuty. O modelo de ML avalia todas as solicitações de API em sua conta e identifica eventos anômalos associados às técnicas usadas pelos adversários. O modelo de ML rastreia vários fatores da solicitação de API, como o usuário que fez a solicitação, o local de onde a solicitação foi feita e a API específica que foi solicitada. Os detalhes sobre quais fatores da solicitação de API são incomuns para a identidade do usuário que invocou a solicitação podem ser encontrados nos detalhes da descoberta.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

Recon:IAMUser/MaliciousIPCaller

Uma API foi invocada a partir de um endereço IP mal-intencionado conhecido.

Gravidade padrão: média

Essa descoberta informa que uma operação de API que pode listar ou descrever recursos em uma conta no seu ambiente da AWS foi invocada a partir de um endereço IP incluído em uma lista de ameaças. Um invasor pode usar credenciais roubadas para realizar esse tipo de reconhecimento de seus recursos da AWS a fim de encontrar credenciais mais valiosas ou determinar os recursos das credenciais que ele já possui.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

Recon:IAMUser/MaliciousIPCaller.Custom

Uma API foi invocada a partir de um endereço IP mal-intencionado conhecido.

Gravidade padrão: média

Essa descoberta informa que uma operação de API que pode listar ou descrever recursos em uma conta dentro do seu ambiente da AWS foi invocada a partir de um endereço IP incluído em uma lista de ameaças personalizada. A lista de ameaças usada será indicada nos detalhes da descoberta. Um invasor pode usar credenciais roubadas para executar esse tipo de reconhecimento de seus recursos da AWS para localizar credenciais mais valiosas ou determinar os recursos das credenciais que já possui.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

Recon:IAMUser/TorIPCaller

Uma API foi invocada a partir de um endereço IP do nó de saída do Tor.

Gravidade padrão: média

Essa descoberta informa que uma operação de API que pode listar ou descrever recursos em uma conta no seu ambiente da AWS foi invocada de um endereço IP de nó de saída Tor. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Um atacante usaria o Tor para mascarar sua verdadeira identidade.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

Stealth:IAMUser/CloudTrailLoggingDisabled

O registro em log do AWS CloudTrail está desabilitado.

Gravidade padrão: baixa

Essa descoberta informa que uma trilha do CloudTrail no seu ambiente da AWS foi desabilitada. Isso pode ser uma tentativa de um invasor de desabilitar a gravação de logs para não deixar rastros, eliminando quaisquer evidências da atividade dele ao obter acesso aos seus recursos da AWS para fins mal-intencionados. Essa descoberta pode ser acionada por uma exclusão ou atualização bem-sucedida de uma trilha. Essa descoberta também pode ser acionada por uma exclusão bem-sucedida de um bucket do S3 que armazena os logs de uma trilha associada ao GuardDuty.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

Stealth:IAMUser/PasswordPolicyChange

A política de senha da conta foi enfraquecida.

Gravidade padrão: baixa*

A política de senha da conta da AWS foi enfraquecida na conta listada em seu ambiente da AWS. Por exemplo, ela foi excluída ou atualizada para exigir menos caracteres, não requer símbolos nem números ou precisou prolongar o período de validade da senha. Essa descoberta também pode ser disparada por uma tentativa de atualizar ou excluir sua política de senha da conta da AWS. A política de senha da conta da AWS define as regras que regem quais tipos de senhas podem ser configuradas para os seus usuários do IAM. Uma política de senha mais fraca permite a criação de senhas fáceis de lembrar e possivelmente mais fáceis de adivinhar, criando um risco à segurança.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

Foram observados vários logins de console bem-sucedidos em todo o mundo.

Gravidade padrão: média

Essa descoberta informa que foram observados vários logins bem-sucedidos no console para o mesmo usuário do IAM por volta do mesmo horário em vários locais geográficos. Esses padrões anômalos e arriscados de localização de acesso indicam possível acesso não autorizado aos seus recursos da AWS.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

As credenciais criadas exclusivamente para uma instância do EC2 pela função de execução de uma instância estão sendo usadas de outra conta na AWS.

Gravidade padrão: alta*

Essa descoberta informa quando suas credenciais de instância do EC2 são usadas para invocar APIs de um endereço IP ou endpoint da VPC Amazon que pertence a uma conta da AWS diferente daquela em que a instância Amazon EC2 associada está sendo executada. A detecção de endpoints de VPC só está disponível para serviços que oferecem suporte a eventos de atividade de rede para endpoints da VPC. Para obter informações sobre serviços que oferecem suporte a eventos de atividade de rede para endpoint da VPC, consulte Registro de eventos de atividade de rede no Guia do usuário do AWS CloudTrail.

A AWS não recomenda a redistribuição de credenciais temporárias fora da entidade que as criou (por exemplo, aplicações da AWS, Amazon EC2 ou AWS Lambda). No entanto, os usuários autorizados podem exportar credenciais das suas respectivas instâncias do Amazon EC2 para fazer chamadas de API legítimas. Se o campo remoteAccountDetails.Affiliated for True, a API foi invocada de uma conta associada à mesma conta de administrador. Para descartar um possível ataque e verificar a legitimidade da atividade, entre em contato com o proprietário da Conta da AWS ou com a entidade principal do IAM à qual essas credenciais estão atribuídas.

Recomendações de correção:

Essa descoberta é gerada quando as solicitações da AWS API são feitas internamente AWS por meio de uma instância do Amazon EC2 fora da suaConta da AWS, usando as credenciais de sessão da sua instância do Amazon EC2. Pode ser habitual, como na arquitetura Transit Gateway em uma configuração de hub e spoke, rotear o tráfego por meio de uma única VPC de saída do hub com endpoints de serviço. AWS. Se esse comportamento for esperado, o GuardDuty recomenda que você use Regras de supressão e crie uma regra com critérios de dois filtros. O primeiro critério é o tipo de descoberta, que, nesse caso, é UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS. O segundo critério de filtro é o ID da conta remota dos detalhes da conta remota.

Em resposta a essa descoberta, é possível usar o seguinte fluxo de trabalho para determinar um curso de ação:

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

As credenciais criadas exclusivamente para uma instância do EC2 pela função de execução de uma instância estão sendo usadas por um endereço IP externo.

Gravidade padrão: alta

Essa descoberta informa que um host fora da AWS tentou executar operações de API da AWS usando credenciais da AWS temporárias que foram criadas em uma instância do EC2 em seu ambiente da AWS. A instância EC2 listada pode estar comprometida e as credenciais temporárias dessa instância podem ter sido transferidas para um host remoto fora da AWS. A AWS não recomenda redistribuir credenciais temporárias fora da entidade que as criou (por exemplo, aplicações da AWS, EC2 ou Lambda). No entanto, os usuários autorizados podem exportar credenciais das respectivas instâncias do EC2 para fazer chamadas de API legítimas. Para descartar um possível ataque e verificar a legitimidade da atividade, valide se o uso de credenciais de instância do IP remoto na descoberta é esperado.

Recomendações de correção:

Essa descoberta é gerada quando a rede é configurada para rotear o tráfego da Internet de modo que ele saia de um gateway on-premises e não de um gateway da Internet (IGW) da VPC. Configurações comuns, como usar AWS Outposts, ou conexões de VPN da VPC podem resultar em tráfego roteado dessa maneira. Se esse comportamento for esperado, é recomendável usar regras de supressão e criar uma regra que consista em dois critérios de filtro. O primeiro critério é tipo de descoberta, que deve ser UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS. O segundo critério de filtro é o endereço IPv4 do chamador de API com o endereço IP ou intervalo CIDR do seu gateway da Internet on-premises. Para saber mais sobre a criação de regras de supressão, consulte Regras de supressão no GuardDuty.

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Consulte Como corrigir credenciais possivelmente AWS comprometidas.

UnauthorizedAccess:IAMUser/MaliciousIPCaller

Uma API foi invocada a partir de um endereço IP mal-intencionado conhecido.

Gravidade padrão: média

Essa descoberta informa que uma operação de API (por exemplo, uma tentativa de iniciar uma instância do EC2, criar um novo usuário do IAM ou modificar seus privilégios da AWS) foi invocada a partir de um endereço IP mal-intencionado conhecido. Isso pode indicar acesso não autorizado a recursos da AWS em seu ambiente.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

Uma API foi invocada a partir de um endereço IP em uma lista de ameaças personalizada.

Gravidade padrão: média

Essa descoberta informa que uma operação de API (por exemplo, uma tentativa de iniciar uma instância do EC2, criar um novo usuário do IAM ou modificar privilégios da AWS) foi invocada a partir de um endereço IP incluído em uma lista de ameaças que você carregou. No GuardDuty, uma lista de ameaças consiste em endereços IP mal-intencionados conhecidos. Isso pode indicar acesso não autorizado a recursos da AWS em seu ambiente.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.

UnauthorizedAccess:IAMUser/TorIPCaller

Uma API foi invocada a partir de um endereço IP do nó de saída do Tor.

Gravidade padrão: média

Essa descoberta informa que uma operação da API (por exemplo, uma tentativa de iniciar uma instância do EC2, criar um novo usuário do IAM ou modificar seus privilégios da AWS) foi invocada a partir de um endereço IP de nó de saída do Tor. Tor é um software para permitir a comunicação anônima. Ele criptografa e aleatoriamente envia comunicações por meio de relés entre uma série de nós de rede. O último nó do Tor é chamado de nó de saída. Isso pode indicar um acesso não autorizado aos seus recursos da AWS com a intenção de ocultar a verdadeira identidade do invasor.

Recomendações de correção:

Se essa atividade for inesperada, suas credenciais podem estar comprometidas. Para obter mais informações, consulte Como corrigir credenciais possivelmente AWS comprometidas.