Amazon GuardDuty hat Warnmeldungen für die Erkenntnistypen UnauthorizedAccess:IAMUser/TorIPCaller oder Recon:IAMUser/TorIPCaller ausgegeben.
Kurzbeschreibung
Die Erkenntnistypen UnauthorizedAccess:IAMUser/TorIPCaller und Recon:IAMUser/TorIPCaller weisen darauf hin, dass Ihre Anmeldeinformationen oder Zugriffsschlüssel für AWS Identity and Access Management (IAM) verwendet wurden, um eine API-Operation mit AWS von der IP-Adresse eines Tor-Ausgangsknotens aus durchzuführen. Dieser Fehler kann beispielsweise auftreten, wenn Sie versuchen, eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance zu erstellen, Zugriffsschlüssel-IDs aufzulisten oder IAM-Berechtigungen zu ändern. Diese Erkenntnistypen können auch darauf hinweisen, dass IAM-Anmeldeinformation oder Zugriffsschlüssel für unbefugte Aktivitäten verwendet werden. Weitere Informationen finden Sie unter Erkenntnistypen.
Behebung
Verwenden Sie GuardDuty, um den IAM-Zugriffsschlüssel zu finden, und AWS CloudTrail, um die AWS-API-Aktivität zu identifizieren.
- Folgen Sie den Anweisungen unter Lokalisieren und analysieren von GuardDuty Erkenntnisse.
- Beachten Sie die IAM-Zugriffsschlüssel-ID im Detailbereich der Erkenntnis.
- Folgen Sie der Anleitung, um mithilfe von CloudTrail nach API-Aktivitäten mit IAM-Zugriffsschlüsseln zu suchen.
Wenn Sie feststellen, dass es sich bei der Aktivität um eine legitime Verwendung von AWS-Anmeldeinformationen handelt, können Sie:
Wenn Sie feststellen, dass es sich bei der Aktivität nicht um eine legitime Verwendung von AWS-Anmeldeinformationen handelt, ist es eine bewährte Methode der IT-Sicherheit, davon auszugehen, dass alle AWS-Anmeldeinformationen kompromittiert sind. Folgen Sie diesen Anweisungen, um die Kompromittierung Ihrer AWS-Anmeldeinformationen zu beheben.
Weitere Informationen finden Sie unter Was kann ich tun, wenn ich unbefugte Aktivitäten in meinem AWS-Konto bemerke?
Weitere Informationen
Was tun, wenn Sie versehentlich einen AWS-Zugriffsschlüssel preisgeben?