Amazon GuardDuty hat Warnmeldungen für den Erkenntnistyp UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS erkannt.
Kurzbeschreibung
Der GuardDuty-Erkenntnistyp UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS weist darauf hin, dass AWS-Anmeldeinformationen, die über eine Instance-Startrolle ausschließlich für eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance erstellt wurden, von einer externen IP-Adresse verwendet werden.
Behebung
Folgen Sie den Anweisungen, um Ihre GuardDuty-Erkenntnisse einzusehen und zu analysieren. Prüfen Sie dann im Detailbereich der Erkenntnisse die externe IP-Adresse und den IAM-Benutzernamen.
Die externe IP-Adresse ist sicher
Wenn die externe IP-Adresse Ihnen oder einer vertrauenswürdigen Person gehört, können Sie die Erkenntnisse mithilfe einer Unterdrückungsregel automatisch archivieren.
Die externe IP-Adresse ist bösartig
- Wenn die externe IP-Adresse bösartig ist, können Sie alle Berechtigungen des IAM-Benutzers widerrufen.
Hinweis: Die Berechtigungen des IAM-Benutzers werden in diesem Fall für alle EC2-Instances widerrufen.
- Erstellen Sie eine IAM-Richtlinie mit einer ausdrücklichen Verweigerung, um den Zugriff auf die EC2-Instance für den IAM-Benutzer zu blockieren, ähnlich der folgenden:
Hinweis: Ersetzen Sie your-roleID und your-role-session-name durch die Prinzipal-ID.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"*"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:userId": "your-roleId:your-role-session-name"
}
}
}
]
}
- Folgen Sie den Anweisungen zum Sichern einer kompromittierten EC2-Instance.
Hinweis: Als bewährtes Vorgehen in der IT-Sicherheit sollten Sie unbedingt auf einer vorhandenen Instance die Verwendung von IMDSv2 vorschreiben.