Amazon GuardDutyの結果タイプ一覧
Amazon GuardDutyの結果タイプ一覧:
※2019/1/18時点のものです。
できるだけ公式のドキュメントに寄せた形で説明文を書き直しています
誤字や間違った解釈があればコメントor編集リクエストをお願いします
EC2インスタンスが通信しようとしているIPアドレスにXor DDoSマルウェアが関連付けられている
EC2インスタンスがSMTPポート(25)でリモートホストと通信して通常と異なる動作をしている
EC2インスタンスが既知のコマンド&コントロールサーバーに関連付けられるドメインと通信している
EC2インスタンスが通常と異なるポートでリモートホストと通信している
EC2インスタンスがリモートホストに対して通常と異なる大量のネットワークトラフィックを生成している
EC2インスタンスが暗号通貨関連のアクティビティに関連付けられているドメインと通信している
EC2インスタンスが暗号通貨関連のアクティビティに関連付けられているIPアドレスと通信している
AWSのAPIがKali Linux(侵入テスト用のOS)から呼び出されている
(※公式ドキュメントには記載はありませんが、結果のサンプルに記載があります)
※Parrot Linux環境の構築が大変(時間がかかる)ため、実際に出力されるかわかりません(検証した方がいたら教えてください!)
(※公式ドキュメントには記載はありませんが、結果のサンプルに記載があります)
※Pentoo Linux環境の構築が大変(時間がかかる)ため、実際に出力されるかわかりません(検証した方がいたら教えてください!)
IAMユーザーがAWSアカウントのセキュリティグループ、ルート、ACLのネットワークアクセス許可を変更するAPIを呼び出した
IAMユーザーがAWSアカウントのさまざまなリソース(S3のバケットポリシーなど)のセキュリティアクセスポリシーを変更するAPIを呼び出した
IAMユーザーがAWSアカウントのIAMユーザー、グループ、ポリシーを追加、変更、削除するAPIを呼び出した
既知の悪意のあるホストがEC2インスタンスの保護されていないポートを探している(ポートスキャン攻撃)
APIがTor(匿名通信のソフトウェア)ネットワーク上のIPアドレスから呼び出されている
APIがカスタム脅威リストにあるIPアドレスから呼び出されている
APIが既知の悪意のあるIPアドレスから呼び出されている
EC2インスタンスがリモートホストにアウトバウンドポートスキャンを実行している
IAMユーザーがAWSアカウントの既存のセキュリティグループ、ACL、ルートのネットワークアクセス許可を検出するAPIを呼び出した
IAMユーザーがAWSアカウントのさまざまなリソースに関連付けられたアクセス権限を検出するAPIを呼び出した(情報取得や攻撃者が取得したクレデンシャルの有用性確認をしている)
IAMユーザーがAWSアカウントのユーザー、グループ、ポリシー、アクセス権限を検出するAPIを呼び出した(攻撃者が取得したクレデンシャルの有用性確認やより権限のあるクレデンシャルを探している)
IAMユーザーがEC2インスタンスなどのコンピューティングリソースを起動するAPIを呼び出した(マイニングやパスワードクラッキングなどに使用される可能性有)
アカウントのパスワードポリシーが弱化されている
AWS CloudTrailの証跡が無効化されている
IAMユーザーがAWSアカウントのCloudTrailログ記録の停止、既存ログの削除、その他アクティビティの痕跡を消去するAPIを呼び出した
EC2インスタンスがブラックホールと呼ばれるリモートホストのIPアドレスに通信しようとしている
EC2インスタンスがマルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのIPアドレスに通信しようとしている
EC2インスタンスがブラックホールIPアドレスにリダイレクトされるドメインと通信している
EC2インスタンスがドライブバイダウンロード攻撃の既知のソースであるリモートホストのドメインと通信している
EC2インスタンスがマルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメインと通信している
EC2インスタンスがアルゴリズム(DGA)を使用して生成されたドメインと通信している(このようなドメインはマルウェアによって悪用されることが多い)
※この結果は高度なヒューリスティックを使用したドメイン名の分析に基づくため、脅威インテリジェンスフィードでは検出されない新しいDGAドメインを識別する可能性があります
EC2インスタンスがアルゴリズム(DGA)を使用して生成されたドメインと通信している(このようなドメインはマルウェアによって悪用されることが多い)
※この結果はGuardDutyの脅威インテリジェンスフィードで「既知」のDGAドメインに基づいています
EC2インスタンスがDNSクエリを通じてデータを密かに抽出しようとしている
EC2インスタンスがフィッシング攻撃に関与する通信をしている(EC2インスタンスが侵害されている可能性有)
APIがTor(匿名通信のソフトウェア)ネットワーク上のIPアドレスから呼び出されている
APIがカスタム脅威リストにあるIPアドレスから呼び出されている
世界中でコンソールに対する複数の正常なログインが確認された
※この結果はルート、IAMユーザー、フェデレーティッドユーザー、といったIAM IDのアクティビティによってのみトリガーされます
※この結果は想定されたロールのアクティビティによってトリガーされるものではありません
APIが既知の悪意のあるIPアドレスから呼び出されている
(※結果のサンプルには入っていません)
APIが通常とは異なるネットワークのIPアドレス(使用履歴に存在しないIPアドレス)から呼び出された
EC2インスタンスがTor(匿名通信のソフトウェア)ネットワーク上のIPアドレスと通信している
EC2インスタンスがカスタム脅威リスト内のIPアドレスとアウトバウンド通信している
EC2インスタンスがSSHブルートフォース攻撃に関与している
※この結果はSSHが22番ポートを使用している場合のGuardDutyモニタリングトラフィックでのみ生成されます
EC2インスタンスがRDPブルートフォース攻撃に関与している
インスタンス起動ロールを通じてEC2インスタンス専用に作成された認証情報が外部IPアドレスから使用されている
IAMユーザーによる通常とは違うコンソールへのログインが確認された(IAMユーザが今まで行ったことがないAPIの呼び出しを、通常とは異なる場所から使用したことがないクライアントで実行した場合など)
EC2インスタンスがTor GuardまたはAuthorityノードに接続している
EC2インスタンスがTorリレーとしてTorネットワークに接続している
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-active.html
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/doc-history.html
https://dev.classmethod.jp/cloud/aws/re-invent-2017-guardduty-finding-type/
https://dev.classmethod.jp/cloud/aws/guardduty-add-twelve-finding-types/
https://dev.classmethod.jp/cloud/aws/guardduty-automatically-archive-findings/
GuardDuty
※2019/1/18時点のものです。できるだけ公式のドキュメントに寄せた形で説明文を書き直しています
誤字や間違った解釈があればコメントor編集リクエストをお願いします
Backdoor
Backdoor:EC2/XORDDOS
EC2インスタンスが通信しようとしているIPアドレスにXor DDoSマルウェアが関連付けられている
Backdoor:EC2/Spambot
EC2インスタンスがSMTPポート(25)でリモートホストと通信して通常と異なる動作をしている
Backdoor:EC2/C&CActivity.B!DNS
EC2インスタンスが既知のコマンド&コントロールサーバーに関連付けられるドメインと通信している
Behavior
Behavior:EC2/NetworkPortUnusual
EC2インスタンスが通常と異なるポートでリモートホストと通信している
Behavior:EC2/TrafficVolumeUnusual
EC2インスタンスがリモートホストに対して通常と異なる大量のネットワークトラフィックを生成している
CryptoCurrency
CryptoCurrency:EC2/BitcoinTool.B!DNS
EC2インスタンスが暗号通貨関連のアクティビティに関連付けられているドメインと通信している
CryptoCurrency:EC2/BitcoinTool.B
EC2インスタンスが暗号通貨関連のアクティビティに関連付けられているIPアドレスと通信している
PenTest
PenTest:IAMUser/KaliLinux
AWSのAPIがKali Linux(侵入テスト用のOS)から呼び出されている
PenTest:IAMUser/ParrotLinux
(※公式ドキュメントには記載はありませんが、結果のサンプルに記載があります)※Parrot Linux環境の構築が大変(時間がかかる)ため、実際に出力されるかわかりません(検証した方がいたら教えてください!)
PenTest:IAMUser/PentooLinux
(※公式ドキュメントには記載はありませんが、結果のサンプルに記載があります)※Pentoo Linux環境の構築が大変(時間がかかる)ため、実際に出力されるかわかりません(検証した方がいたら教えてください!)
Persistence
Persistence:IAMUser/NetworkPermissions
IAMユーザーがAWSアカウントのセキュリティグループ、ルート、ACLのネットワークアクセス許可を変更するAPIを呼び出した
Persistence:IAMUser/ResourcePermissions
IAMユーザーがAWSアカウントのさまざまなリソース(S3のバケットポリシーなど)のセキュリティアクセスポリシーを変更するAPIを呼び出した
Persistence:IAMUser/UserPermissions
IAMユーザーがAWSアカウントのIAMユーザー、グループ、ポリシーを追加、変更、削除するAPIを呼び出した
Recon
Recon:EC2/PortProbeUnprotectedPort
既知の悪意のあるホストがEC2インスタンスの保護されていないポートを探している(ポートスキャン攻撃)
Recon:IAMUser/TorIPCaller
APIがTor(匿名通信のソフトウェア)ネットワーク上のIPアドレスから呼び出されている
Recon:IAMUser/MaliciousIPCaller.Custom
APIがカスタム脅威リストにあるIPアドレスから呼び出されている
Recon:IAMUser/MaliciousIPCaller
APIが既知の悪意のあるIPアドレスから呼び出されている
Recon:EC2/Portscan
EC2インスタンスがリモートホストにアウトバウンドポートスキャンを実行している
Recon:IAMUser/NetworkPermissions
IAMユーザーがAWSアカウントの既存のセキュリティグループ、ACL、ルートのネットワークアクセス許可を検出するAPIを呼び出した
Recon:IAMUser/ResourcePermissions
IAMユーザーがAWSアカウントのさまざまなリソースに関連付けられたアクセス権限を検出するAPIを呼び出した(情報取得や攻撃者が取得したクレデンシャルの有用性確認をしている)
Recon:IAMUser/UserPermissions
IAMユーザーがAWSアカウントのユーザー、グループ、ポリシー、アクセス権限を検出するAPIを呼び出した(攻撃者が取得したクレデンシャルの有用性確認やより権限のあるクレデンシャルを探している)
ResourceConsumption
ResourceConsumption:IAMUser/ComputeResources
IAMユーザーがEC2インスタンスなどのコンピューティングリソースを起動するAPIを呼び出した(マイニングやパスワードクラッキングなどに使用される可能性有)
Stealth
Stealth:IAMUser/PasswordPolicyChange
アカウントのパスワードポリシーが弱化されている
Stealth:IAMUser/CloudTrailLoggingDisabled
AWS CloudTrailの証跡が無効化されている
Stealth:IAMUser/LoggingConfigurationModified
IAMユーザーがAWSアカウントのCloudTrailログ記録の停止、既存ログの削除、その他アクティビティの痕跡を消去するAPIを呼び出した
Trojan
Trojan:EC2/BlackholeTraffic
EC2インスタンスがブラックホールと呼ばれるリモートホストのIPアドレスに通信しようとしている
Trojan:EC2/DropPoint
EC2インスタンスがマルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのIPアドレスに通信しようとしている
Trojan:EC2/BlackholeTraffic!DNS
EC2インスタンスがブラックホールIPアドレスにリダイレクトされるドメインと通信している
Trojan:EC2/DriveBySourceTraffic!DNS
EC2インスタンスがドライブバイダウンロード攻撃の既知のソースであるリモートホストのドメインと通信している
Trojan:EC2/DropPoint!DNS
EC2インスタンスがマルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメインと通信している
Trojan:EC2/DGADomainRequest.B
EC2インスタンスがアルゴリズム(DGA)を使用して生成されたドメインと通信している(このようなドメインはマルウェアによって悪用されることが多い)※この結果は高度なヒューリスティックを使用したドメイン名の分析に基づくため、脅威インテリジェンスフィードでは検出されない新しいDGAドメインを識別する可能性があります
Trojan:EC2/DGADomainRequest.C!DNS
EC2インスタンスがアルゴリズム(DGA)を使用して生成されたドメインと通信している(このようなドメインはマルウェアによって悪用されることが多い)※この結果はGuardDutyの脅威インテリジェンスフィードで「既知」のDGAドメインに基づいています
Trojan:EC2/DNSDataExfiltration
EC2インスタンスがDNSクエリを通じてデータを密かに抽出しようとしている
Trojan:EC2/PhishingDomainRequest!DNS
EC2インスタンスがフィッシング攻撃に関与する通信をしている(EC2インスタンスが侵害されている可能性有)
UnauthorizedAccess
UnauthorizedAccess:IAMUser/TorIPCaller
APIがTor(匿名通信のソフトウェア)ネットワーク上のIPアドレスから呼び出されている
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
APIがカスタム脅威リストにあるIPアドレスから呼び出されている
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
世界中でコンソールに対する複数の正常なログインが確認された※この結果はルート、IAMユーザー、フェデレーティッドユーザー、といったIAM IDのアクティビティによってのみトリガーされます
※この結果は想定されたロールのアクティビティによってトリガーされるものではありません
UnauthorizedAccess:IAMUser/MaliciousIPCaller
APIが既知の悪意のあるIPアドレスから呼び出されている
UnauthorizedAccess:IAMUser/UnusualASNCaller
(※結果のサンプルには入っていません)APIが通常とは異なるネットワークのIPアドレス(使用履歴に存在しないIPアドレス)から呼び出された
UnauthorizedAccess:EC2/TorIPCaller
EC2インスタンスがTor(匿名通信のソフトウェア)ネットワーク上のIPアドレスと通信している
UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
EC2インスタンスがカスタム脅威リスト内のIPアドレスとアウトバウンド通信している
UnauthorizedAccess:EC2/SSHBruteForce
EC2インスタンスがSSHブルートフォース攻撃に関与している※この結果はSSHが22番ポートを使用している場合のGuardDutyモニタリングトラフィックでのみ生成されます
UnauthorizedAccess:EC2/RDPBruteForce
EC2インスタンスがRDPブルートフォース攻撃に関与している
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration
インスタンス起動ロールを通じてEC2インスタンス専用に作成された認証情報が外部IPアドレスから使用されている
UnauthorizedAccess:IAMUser/ConsoleLogin
IAMユーザーによる通常とは違うコンソールへのログインが確認された(IAMユーザが今まで行ったことがないAPIの呼び出しを、通常とは異なる場所から使用したことがないクライアントで実行した場合など)
UnauthorizedAccess:EC2/TorClient
EC2インスタンスがTor GuardまたはAuthorityノードに接続している
UnauthorizedAccess:EC2/TorRelay
EC2インスタンスがTorリレーとしてTorネットワークに接続している
参考
https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-active.htmlhttps://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/doc-history.html
https://dev.classmethod.jp/cloud/aws/re-invent-2017-guardduty-finding-type/
https://dev.classmethod.jp/cloud/aws/guardduty-add-twelve-finding-types/
https://dev.classmethod.jp/cloud/aws/guardduty-automatically-archive-findings/
コメント
コメントを投稿