Níveis de gravidade das descobertas do GuardDuty
Cada descoberta do GuardDuty tem um nível de gravidade atribuído e um valor que reflete o risco potencial que a descoberta pode ter para o seu ambiente, conforme determinado por nossos engenheiros de segurança. O valor da gravidade pode estar entre 1,0 e 10,0, com valores mais altos indicando maior risco de segurança. Para ajudar você a determinar uma resposta para um possível problema de segurança destacado por uma descoberta, o GuardDuty divide esse intervalo nos níveis de gravidade Crítica, Alta, Média e Baixa.
Uma descoberta de um tipo específico pode ter uma gravidade diferente dependendo do contexto específico da descoberta. Para ver uma lista consolidada dos níveis de gravidade padrão para todos os tipos de descoberta do GuardDuty, consulte Tipos de descobertas ativas do GuardDuty.
As seções a seguir explicam os níveis de gravidade definidos para as descobertas do GuardDuty.
Gravidade crítica
Intervalo de valores: 9,0 – 10,0
Descrição: um nível de gravidade crítica indica que uma sequência de ataque pode estar em andamento ou ter ocorrido recentemente. Um ou mais recursos da AWS, como as credenciais de login do usuário do IAM e o bucket do Amazon S3, estão potencialmente comprometidos ou podem já ter sido comprometidos.
Recomendação: o GuardDuty recomenda que você priorize a triagem e a correção de todas as descobertas de gravidade crítica, pois esses problemas podem fazer parte de um ataque de ransomware e podem aumentar a qualquer momento. Veja detalhes sobre os recursos envolvidos e comece a abordar os problemas de segurança. Para obter mais informações, consulte Correção de descobertas.
Gravidade alta
Intervalo de valores: 7,0 – 8,9
Descrição: um nível de gravidade alta indica que o recurso em questão (uma instância do Amazon EC2 ou um conjunto de credenciais de login de usuário do IAM) está comprometido e sendo usado ativamente para fins não autorizados.
Recomendação: o GuardDuty recomenda que você trate todos os problemas de segurança das descoberta de gravidade alta como prioridade e tome medidas de correção imediatas para impedir o uso posterior não autorizado de seus recursos. Por exemplo, limpe sua instância do Amazon EC2 ou encerre-a, ou mude as credenciais do IAM. Siga as etapas em Correção de descobertas para corrigir a descoberta.
Gravidade média
Intervalo de valores: 4,0 – 6,9
Descrição: um nível de gravidade média indica atividade suspeita que se desvia do comportamento normalmente observado e, dependendo do seu caso de uso, pode indicar o comprometimento de recursos.
Recomendação: o GuardDuty recomenda investigar o recurso potencialmente afetado o quanto antes. As etapas de correção variam de acordo com o recurso e a família da descoberta. Uma abordagem estabelecida é confirmar se a atividade está autorizada e é consistente com o caso de uso. Se você não conseguir identificar a causa ou confirmar se a atividade foi autorizada, considere o recurso como comprometido. Siga as etapas em Correção de descobertas para corrigir a descoberta.
Veja alguns itens a serem considerados ao analisar uma descoberta de nível médio:
-
Verifique se um usuário autorizado instalou um novo software que alterou o comportamento de um recurso (por exemplo, permitido tráfego superior ao normal ou comunicação habilitada em uma nova porta).
-
Verifique se um usuário autorizado alterou as configurações do plano de controle, por exemplo, modificou uma configuração de grupo de segurança.
-
Execute uma verificação antivírus no recurso implicado para detectar software não autorizado.
-
Verifique as permissões associadas ao perfil, usuário, grupo ou conjunto de credenciais afetados do IAM. Pode ser necessário alterá-las.
Gravidade baixa
Intervalo de valores: 1,0 – 3,9
Descrição: um nível de gravidade baixa indica uma tentativa de atividade suspeita que não comprometeu seu ambiente. Por exemplo, uma varredura de porta ou uma tentativa de invasão fracassada.
Recomendação: não há nenhuma ação recomendada imediata, mas vale a pena anotar essas informações, pois elas podem indicar que alguém está procurando pontos fracos em seu ambiente.
