Amazon GuardDuty hat Warnmeldungen für den Erkenntnistyp UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS erkannt.
Kurzbeschreibung
Der GuardDuty-Erkenntnistyp UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS zeigt an, dass ein externer Host versucht hat, temporäre AWS-Anmeldeinformationen für die Ausführung von API-Vorgängen in AWS zu verwenden. Die temporären AWS-Anmeldeinformationen wurden auf einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance in Ihrer AWS-Umgebung erstellt.
Behebung
Lokalisieren und analysieren Sie die GuardDuty-Erkenntnis. Notieren Sie sich im Detailbereich der Erkenntnis die externe IP-Adresse und den AWS Identity and Access Management (IAM)-Benutzernamen.
Die externe IP-Adresse ist sicher
Wenn die externe IP-Adresse Ihnen oder einer vertrauenswürdigen Person gehört, können Sie die Erkenntnis automatisch mit einer Unterdrückungsregel archivieren.
Die externe IP-Adresse ist bösartig
Gehen Sie wie folgt vor, um das Problem zu beheben:
-
Verweigern Sie dem IAM-Benutzer alle Berechtigungen.
Hinweis: Die Berechtigungen des IAM-Benutzers werden für alle EC2-Instances verweigert.
-
Erstellen Sie eine IAM-Richtlinie mit einem expliziten Verweigern, das den Zugriff auf die Instance für den IAM-Benutzer blockiert:
Hinweis: Ersetzen Sie your-roleID durch Ihre Rollen-ID und your-role-session-name durch den Sitzungsnamen Ihrer Rolle.
{ "Version": "2012-10-17",
"Statement": \[
{
"Effect": "Deny",
"Action": \[
"\*"
\],
"Resource": \[
"\*"
\],
"Condition": {
"StringEquals": {
"aws:userId": "your-roleId:your-role-session-name"
}
}
}
\]
}
-
Remediate a potentially compromised EC2 instance in your AWS environment.
Hinweis: Aus Sicherheitsgründen ist es bewährte Praxis, auf allen Instances den Instance Metadata Service (IMDS) zu verwenden.