问题标签 [amazon-guardduty]

我是来自一些 dotnet 经验的 Python 新手，所以如果这对 Python 没有意义，请告诉我。

我的意图是获取 json GuardDuty 发现（下面的示例）并使用 json 内容实例化一个类。我将使用这个类来使用表中的数据填充 HMTL 页面，模仿 AWS GuardDuty 控制台的外观，并且该类将具有响应发现的方法（例如：对于 EC2：关闭、快照、移动隔离 VPC / 用于 IAM：恢复角色）

GuardDuty 调查结果，原始 json
类型：侦察：EC2/Portscan：

示例表：

对于该类，我通过查找类型来创建一个类：EC2、IAM 或 S3。这些发现中的每一个都有子类型（对于 EC2：Trojan、Recon、Backdoor / IAM：Discovery、Exfiltration），这些子类型的属性可能略有不同，但我有一个所有可能组合的列表。我应该将这些作为可为空的初始化属性放入类中，还是应该在初始化后执行 **kwargs 之类的验证，可能在方法或 getter/setter 中？

我想监视任何试图从我的 CloudTrail 的 S3 存储桶中删除日志的人。

我曾尝试使用我自己的 IAM 用户删除此存储桶上的其中一个日志，但 CloudTrail 本身似乎没有注意到我已从其存储桶中删除了一个对象。

是否有我必须激活的特定监控来检查这些日志是否被可能的攻击者删除？

还有一个优点：Guard Duty 有没有办法在我的环境中检测到这种行为？

提前致谢。

我想知道是否可以使用云托管工具（https://cloudcustodian.io/）以自动方式基于警卫事件（如 SSHBruteforce、RDPBruteforce 等）阻止某些 IP。例如，获取IP并直接放入NACL。

我正在尝试通过使用 RDP 从我的本地 Windows 机器（在 aws 之外）对 Windows 目标 ec2 主机进行暴力攻击来测试守卫。我可以看到，即使我尝试通过大约 1000 次登录尝试闯入它，但在 guardduty 控制台上也没有发现任何发现。

但是对另一个 ec2 实例（在 vpc 内部和外部）进行相同的练习会导致在 guardduty 控制台中创建结果。

这是否意味着 GuardDuty 仅适用于在 aws 前提下进行的攻击？

我有一些 EC2 实例，在某些情况下，我收到了一些我无法完全确定的警戒问题。

即使我没有使用该实例（但它处于运行状态），我也会收到此问题。此外，我们还没有使用任何外部 IP 来很好地连接资源。

可能是什么原因？

我正在尝试解析 AWS GuardDuty Json 数据，但是一些嵌套的数据字段正在查找特定的。有没有办法在 pydantic 中做这样的事情：

并让 pydantic 将该service字段创建为动态模型？

澄清

我在一些测试数据上试过这个：

输出：test='test' dynamic_json=dynamic_json() test2='test2'

它创建了一个名为的对象dynamic_json，其中没有字段，我如何让 pydantic 获取嵌套的 json 数据并从数据构建模型？

在 AWS 警卫职责中，我们通过创建过滤器创建了抑制结果，当它们是任何匹配的结果时，它应该自动转到存档文件夹，但它不会显示在当前过滤器中。

我正在尝试通过某些 EC2 实例查询的 AWS Guard Duty 阻止恶意域。在一些研究中，我发现，我们只能通过将 IP 地址添加到威胁列表而不是域来阻止它们。那么，将域列入黑名单是否也有相同的方法？如果没有，我也想知道任何替代想法。

我们收到警报的域甚至没有注册。它有点像这样。

在互联网上，我遇到了一个安全博客，它告诉我们攻击者故意在他们的恶意软件中使用未注册的域，这样如果他们受到攻击，他们稍后会注册该域并获得访问权以谋取利益。