Instance AWS EC2 communiquant avec un serveur de crypto-monnaie
Rapport de recherche Datadog : Bilan sur l'adoption de l'informatique sans serveur Rapport : Bilan sur l'adoption de l'informatique sans serveur
<  Back to rules search

Instance AWS EC2 communiquant avec un serveur de crypto-monnaie

guardduty

Classification:

attack

Tactic:

Technique:

Set up the guardduty integration.

Présentation

Objectif

Détectez lorsqu’une instance EC2 communique avec un serveur de crypto-monnaie

Stratégie

Cette règle vous permet d’utiliser GuardDuty pour détecter lorsqu’une instance EC2 a effectué une requête DNS ou communique avec une IP associée à des opérations de crypto-monnaie. Les résultats GuardDuty suivants déclenchent ce signal :

Triage et réponse

  1. Déterminez quel nom de domaine ou quelle adresse IP a déclenché le signal. Pour ce faire, reportez-vous aux échantillons.
  2. Dans le cas où le domaine ou l’adresse IP n’aurait pas dû faire l’objet d’une requête, ouvrez une enquête de sécurité et déterminez le processus à l’origine de la requête de nom de domaine ou d’adresse IP.