Amazon EC2 インスタンスの GuardDuty UnauthorizedAccess ブルートフォース検出結果タイプのアラートを受け取りました。どうすればよいですか?

所要時間1分
0

Amazon GuardDuty が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの UnauthorizedAccess:EC2/RDPBruteForce または UnauthorizedAccess:EC2/SSHBruteForce 検出結果タイプのアラートを検出しました。

簡単な説明

ブルートフォース攻撃は、AWS リソースへの不正アクセスを示している可能性があります。詳細については、UnauthorizedAccess:EC2/RDPBruteForce および UnauthorizedAccess:EC2/SSHBruteForce の検索タイプを参照してください。

解決策

以下の手順に従って、GuardDuty 検出結果タイプの説明、検出結果 ID、および検出機能 ID で、ブルートフォース攻撃の詳細を確認します。

**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、AWS CLI の最新バージョンを使用していることを確認してください。

GuardDuty の検出結果タイプの説明を確認する

手順に従って、GuardDuty の検出結果を表示および分析します

検索の詳細ペインで、次のような検出結果タイプのタイトルを書き留めます。

「198.51.100.0が、i-99999999 に対して RDPブルートフォース攻撃を行っています。ブルートフォース攻撃を使って、RDP パスワードを推測しインスタンスに不正アクセスします。」

この例では、説明に、影響を受ける Amazon EC2 インスタンス、ブルートフォース攻撃の方向、IP アドレスが示されています。

GuardDuty 検出結果 ID と検出機能 ID を確認する

GuardDuty 検出結果 ID と検出機能 ID を確認するには、次の手順に従います。

  1. GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、検出結果をクリックします。

  3. 検出結果タイプで、UnauthorizedAccess 検出結果タイプを選択します。

  4. 検出結果タイプの詳細ペインで、検出結果 ID を選択します。

  5. 検出結果 JSON に、GuardDuty の検出結果 ID と検出機能 ID を書き留めます。

  6. 次の AWS CLI コマンドを実行します。
    **注:**your-detector-idyour-findings-id を GuardDuty 検出機能 ID と検出結果 ID に置き換えます。

    aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'

    次のような出力が表示されます。

    [    "INBOUND"
    ]
  7. 次の AWS CLI コマンドを実行します。

    
    aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'

    次のような出力が表示されます。

    [    "198.51.100.0"
    ]
    

この例では、Amazon EC2 インスタンスのセキュリティグループが SSH/RDP トラフィックを許可し、インターネット上のすべてのトラフィックへのアクセスを許可します。

この問題を解決するには、Amazon EC2 インスタンスへのアクセスが許可された一連の IP アドレスのみに SSH/RDP トラフィックを制限します。

SSH トラフィックを制限するには、](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html#add-rule-authorize-access)Linux インスタンスへのインバウンド SSH トラフィックのルールを追加します[。

RDP トラフィックを制限するには、インバウンド RDP トラフィックのルールを Windows インスタンスに追加します

関連情報

Amazon GuardDuty と AWS ウェブアプリケーションファイアウォールを使用して疑わしいホストを自動的にブロックする方法

GuardDuty を使用して Linux インスタンスの SSH ブルートフォース攻撃を特定する方法を教えてください。

GuardDuty の信頼できる IP アドレスリストを設定する方法を教えてください。

AWS公式
AWS公式更新しました 5ヶ月前
コメントはありません

関連するコンテンツ