IAM入侵防护
CloudTrail management event
在您的账户中发现了异常 API 请求,存在安全凭据访问攻击特征,此时攻击者正试图收集您环境中的密码、用户名和访问密钥。这类 API 包括 GetPasswordData、GetSecretValue 和 GenerateDbAuthToken。
CloudTrail management event
在您的账户中发现了异常 API 请求,存在防御规避战术有关的攻击特征,攻击者试图掩盖其踪迹并避免被检测到。此类 API 通常是删除、禁用或停止操作,如 DeleteFlowLogs、DisableAlarmActions 或 StopLogging。
CloudTrail management event
在您的账户中发现了异常 API 请求,存在发现阶段有关的攻击特征,攻击者正在收集信息,以确定您的 AWS 环境是否容易受到更广泛的攻击。此类 API 通常是获取、描述或列表操作,如 DescribeInstances、GetRolePolicy 或 ListAccessKeys。
CloudTrail management event
在您的账户中发现了异常 API 请求,存在与外渗策略有关的攻击特征,攻击者试图使用打包和加密从您的网络中收集数据以避免被检测到。此发现类型的 API 仅为管理(控制面)操作,通常与 S3、快照和数据库相关,如 PutBucketReplication、CreateSnapshot 或 RestoreDBInstanceFromDBSnapshot。
CloudTrail management event
在您的账户中发现了异常 API 请求,存在与影响策略有关的攻击特征,攻击者试图操纵、中断或破坏您账户中的数据。这种发现类型的 API 通常是delete、update或put操作,如 DeleteSecurityGroup、UpdateUser 或 PutBucketPolicy。
CloudTrail management event
在您的账户中发现了异常 API 请求,存在与攻击的初始访问阶段有关的攻击特征,攻击者试图建立对您环境的访问。此类 API 通常是获取令牌或会话操作,如 GetFederationToken、StartSession 或 GetAuthorizationToken。
CloudTrail management event
在您的账户中发现了异常 API 请求,一台运行 Kali Linux 的机器正在使用属于您环境中列出的 AWS 账户的凭据进行 API 调用。Kali Linux 是一种流行的渗透测试工具,安全专业人员使用它来识别 EC2 实例中需要打补丁的弱点。攻击者还使用该工具查找 EC2 配置弱点,并在未经授权的情况下访问您的 AWS 环境。
CloudTrail management event
在您的账户中发现了异常 API 请求,一台运行 Parrot Security Linux 的机器正在使用属于您环境中列出的 AWS 账户的凭据进行 API 调用。Parrot Security Linux 是一种流行的渗透测试工具,安全专业人员用它来识别 EC2 实例中需要打补丁的弱点。攻击者还使用该工具查找 EC2 配置弱点,并在未经授权的情况下访问您的 AWS 环境。
CloudTrail management event
在您的账户中发现了异常 API 请求,一台运行 Pentoo Linux 的机器正在使用属于您环境中列出的 AWS 账户的凭据进行 API 调用。Pentoo Linux 是一种流行的渗透测试工具,攻击者通常使用该工具查找 EC2 配置弱点,并在未经授权的情况下访问您的 AWS 环境。
CloudTrail management event
在您的账户中发现了异常 API 请求,存在与持久性策略有关的攻击,在这种情况下,攻击者已获得对您环境的访问权限,并试图保持该访问权限。此类 API 通常是创建、导入或修改操作,如创建访问密钥(CreateAccessKey)、导入密钥对(ImportKeyPair)或修改实例属性(ModifyInstanceAttribute)
CloudTrail management events or CloudTrail data events
您环境中列出的 AWS 帐户的根用户登录凭据正被用于向 AWS 服务发出请求。建议用户切勿使用根用户登录凭据访问 AWS 服务。相反,应使用 AWS 安全令牌服务 (STS) 中的最低权限临时凭据访问 AWS 服务。在不支持 AWS STS 的情况下,建议使用 IAM 用户凭据。有关详细信息,请参阅 IAM 最佳实践。
CloudTrail management events
该发现通知您,在您的账户中发现了异常 API 请求。该发现可能包括单个用户身份发出的单个 API 或一系列相关 API 请求。观察到的 API 通常与权限升级策略有关,在这种策略中,对手试图获得环境的更高级权限。此类 API 通常涉及更改 IAM 策略、角色和用户的操作,如 AssociateIamInstanceProfile、AddUserToGroup 或 PutUserPolicy。
CloudTrail management events
此发现通知您,从威胁列表中包含的 IP 地址调用了一个 API 操作,该 API 操作可以列出或描述您环境中某个帐户中的 AWS 资源。攻击者可能会使用窃取的凭证对您的 AWS 资源进行此类侦查,以便找到更有价值的凭证或确定其已有凭证的功能。
CloudTrail management events
此发现通知您,从一个包含在自定义威胁列表中的 IP 地址调用了一个 API 操作,该 API 操作可以列出或描述您环境中某个帐户中的 AWS 资源。所使用的威胁列表将在调查结果的详细信息中列出。攻击者可能会使用窃取的凭证对您的 AWS 资源执行此类侦查,以便找到更有价值的凭证或确定其已有凭证的功能。
CloudTrail management events
本发现通知您,从 Tor 退出节点 IP 地址调用了一个 API 操作,该 API 操作可以列出或描述您环境中某个账户中的 AWS 资源。Tor 是一款用于实现匿名通信的软件。它通过一系列网络节点之间的中继器对通信进行加密和随机跳转。最后一个 Tor 节点称为出口节点。攻击者会使用 Tor 来掩盖自己的真实身份。
CloudTrail management events
此发现会通知您 AWS 环境中的 CloudTrail 跟踪已被禁用。这可能是攻击者试图禁用日志记录以掩盖其活动痕迹,同时出于恶意目的访问您的 AWS 资源。成功删除或更新跟踪可触发此发现。成功删除存储与 GuardDuty 相关联的跟踪日志的 S3 存储桶也可能触发这一发现。
CloudTrail management events
在您的 AWS 环境中,所列帐户的 AWS 帐户密码策略被削弱。例如,删除或更新为要求更少的字符、不要求符号和数字,或要求延长密码有效期。尝试更新或删除 AWS 账户密码策略也会触发此发现。AWS 账户密码策略定义了管理 IAM 用户密码设置类型的规则。较弱的密码策略会允许创建易于记忆且可能更容易被猜中的密码,从而产生安全风险。
CloudTrail management events
这一发现告诉您,在不同的地理位置,同一时间观察到同一 IAM 用户多次成功登录控制台。这种异常和危险的访问位置模式表明您的 AWS 资源可能存在未经授权的访问。
CloudTrail management events or S3 data events
如果您的 EC2 实例凭据被用于从一个 IP 地址调用 API,而该 IP 地址的所有者是与相关 EC2 实例运行账户不同的 AWS 账户,则该发现会通知您。AWS 不建议在创建临时凭据的实体(例如 AWS 应用程序、EC2 或 Lambda)之外重新分发临时凭据。
CloudTrail management events or S3 data events
通过实例启动角色专门为 EC2 实例创建的凭据正被外部 IP 地址使用。列出的 EC2 实例可能已受到威胁,该实例中的临时凭据可能已外泄到 AWS 以外的远程主机
CloudTrail management events
从自定义威胁列表中的 IP 地址调用了 API。
最后更新于