Warum habe ich eine GuardDuty-Warnmeldung für Erkenntnistyp UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS für meine Amazon-EC2-Instance erhalten?

Lesedauer: 2 Minute
0

Amazon GuardDuty hat Warnmeldungen für den Erkenntnistyp UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS erkannt.

Kurzbeschreibung

Der GuardDuty-Erkenntnistyp UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS zeigt an, dass ein externer Host versucht hat, temporäre AWS-Anmeldeinformationen für die Ausführung von API-Vorgängen in AWS zu verwenden. Die temporären AWS-Anmeldeinformationen wurden auf einer Amazon Elastic Compute Cloud (Amazon EC2)-Instance in Ihrer AWS-Umgebung erstellt.

Behebung

Lokalisieren und analysieren Sie die GuardDuty-Erkenntnis. Notieren Sie sich im Detailbereich der Erkenntnis die externe IP-Adresse und den AWS Identity and Access Management (IAM)-Benutzernamen.

Die externe IP-Adresse ist sicher

Wenn die externe IP-Adresse Ihnen oder einer vertrauenswürdigen Person gehört, können Sie die Erkenntnis automatisch mit einer Unterdrückungsregel archivieren.

Die externe IP-Adresse ist bösartig

Gehen Sie wie folgt vor, um das Problem zu beheben:

  1. Verweigern Sie dem IAM-Benutzer alle Berechtigungen.
    Hinweis: Die Berechtigungen des IAM-Benutzers werden für alle EC2-Instances verweigert.

  2. Erstellen Sie eine IAM-Richtlinie mit einem expliziten Verweigern, das den Zugriff auf die Instance für den IAM-Benutzer blockiert:
    Hinweis: Ersetzen Sie your-roleID durch Ihre Rollen-ID und your-role-session-name durch den Sitzungsnamen Ihrer Rolle.

    
    {  "Version": "2012-10-17",  
      "Statement": \[  
        {  
          "Effect": "Deny",  
          "Action": \[  
            "\*"  
          \],  
          "Resource": \[  
            "\*"  
          \],  
          "Condition": {  
            "StringEquals": {  
              "aws:userId": "your-roleId:your-role-session-name"  
            }  
          }  
        }  
      \]  
    }
  3. Remediate a potentially compromised EC2 instance in your AWS environment.
    Hinweis: Aus Sicherheitsgründen ist es bewährte Praxis, auf allen Instances den Instance Metadata Service (IMDS) zu verwenden.

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 9 Monaten