Amazon GuardDuty が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの UnauthorizedAccess:EC2/RDPBruteForce または UnauthorizedAccess:EC2/SSHBruteForce 検出結果タイプのアラートを検出しました。
簡単な説明
ブルートフォース攻撃は、AWS リソースへの不正アクセスを示している可能性があります。詳細については、UnauthorizedAccess:EC2/RDPBruteForce および UnauthorizedAccess:EC2/SSHBruteForce の検索タイプを参照してください。
解決策
以下の手順に従って、GuardDuty 検出結果タイプの説明、検出結果 ID、および検出機能 ID で、ブルートフォース攻撃の詳細を確認します。
**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。
GuardDuty の検出結果タイプの説明を確認する
手順に従って、GuardDuty の検出結果を表示および分析します。
検索の詳細ペインで、次のような検出結果タイプのタイトルを書き留めます。
「198.51.100.0が、i-99999999 に対して RDPブルートフォース攻撃を行っています。ブルートフォース攻撃を使って、RDP パスワードを推測しインスタンスに不正アクセスします。」
この例では、説明に、影響を受ける Amazon EC2 インスタンス、ブルートフォース攻撃の方向、IP アドレスが示されています。
GuardDuty 検出結果 ID と検出機能 ID を確認する
GuardDuty 検出結果 ID と検出機能 ID を確認するには、次の手順に従います。
-
GuardDuty コンソールを開きます。
-
ナビゲーションペインで、検出結果をクリックします。
-
検出結果タイプで、UnauthorizedAccess 検出結果タイプを選択します。
-
検出結果タイプの詳細ペインで、検出結果 ID を選択します。
-
検出結果 JSON に、GuardDuty の検出結果 ID と検出機能 ID を書き留めます。
-
次の AWS CLI コマンドを実行します。
**注:**your-detector-id と your-findings-id を GuardDuty 検出機能 ID と検出結果 ID に置き換えます。
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'
次のような出力が表示されます。
[ "INBOUND"
]
-
次の AWS CLI コマンドを実行します。
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'
次のような出力が表示されます。
[ "198.51.100.0"
]
この例では、Amazon EC2 インスタンスのセキュリティグループが SSH/RDP トラフィックを許可し、インターネット上のすべてのトラフィックへのアクセスを許可します。
この問題を解決するには、Amazon EC2 インスタンスへのアクセスが許可された一連の IP アドレスのみに SSH/RDP トラフィックを制限します。
SSH トラフィックを制限するには、](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html#add-rule-authorize-access)Linux インスタンスへのインバウンド SSH トラフィックのルールを追加します[。
RDP トラフィックを制限するには、インバウンド RDP トラフィックのルールを Windows インスタンスに追加します。
関連情報
Amazon GuardDuty と AWS ウェブアプリケーションファイアウォールを使用して疑わしいホストを自動的にブロックする方法
GuardDuty を使用して Linux インスタンスの SSH ブルートフォース攻撃を特定する方法を教えてください。
GuardDuty の信頼できる IP アドレスリストを設定する方法を教えてください。