Skip to content
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post
Über re:Post

Ich habe Brute-Force-Warnmeldungen des Ergebnistyps UnauthorizedAccess für meine Amazon-EC2-Instance von GuardDuty erhalten. Was soll ich tun?

Lesedauer: 3 Minute
0

Amazon GuardDuty hat Warnmeldungen für die Ergebnistypen UnauthorizedAccess:EC2/RDPBruteForce oder UnauthorizedAccess:EC2/SSHBruteForce für meine Amazon Elastic Compute Cloud (Amazon EC2)-Instance erkannt.

Kurzbeschreibung

Brute-Force-Angriffe können auf unbefugten Zugriff auf Ihre AWS-Ressourcen hinweisen. Weitere Informationen finden Sie in den Ergebnistypen UnauthorizedAccess:EC2/RDPBruteForce und UnauthorizedAccess:EC2/SSHBruteForce.

Behebung

Folgen Sie diesen Anweisungen, um in der Beschreibung des GuardDuty-Ergebnistyps, den Ergebnis-IDs und den Detektor-IDs weitere Informationen über den Brute-Force-Angriff zu finden.

**Hinweis:**Wenn bei der Ausführung von AWS Command Line Interface (AWS CLI)-Befehlen Fehler auftreten, finden Sie weitere Informationen unter Troubleshoot AWS CLI errors. Stellen Sie außerdem sicher, dass Sie die neueste Version von AWS CLI verwenden.

Überprüfen Sie die Beschreibung des GuardDuty-Ergebnistyps

Folgen Sie den Anweisungen, um Ihre GuardDuty-Ergebnisse einzusehen und zu analysieren.

Notieren Sie sich im Bereich mit den Ergebnisdetails den Titel des Ergebnistyps, der dem folgenden ähnelt:

„198.51.100.0 is performing RDP brute force attacks against i-99999999. Brute force attacks are used to gain unauthorized access to your instance by guessing the RDP password.“

In diesem Beispiel gibt die Beschreibung an, welche Amazon-EC2-Instance betroffen ist, in welche Richtung der Brute-Force-Angriff ging und welche IP-Adresse betroffen ist.

Überprüfen der Ergebnis-IDs und Detektor-IDs von GuardDuty

Gehen Sie wie folgt vor, um die GuardDuty-Ergebnis-IDs und Detektor-IDs zu überprüfen:

  1. Öffnen Sie die GuardDuty-Konsole.

  2. Wählen Sie im Navigationsbereich Ergebnisse aus.

  3. Wählen Sie unter Ergebnistyp den Ergebnistyp UnauthorizedAccess aus.

  4. Wählen Sie im Detailbereich für den Ergebnistyp die Ergebnis-ID aus.

  5. Notieren Sie sich in Ergebnisse JSON die Ergebnis- und Detektor-IDs von GuardDuty.

  6. Führen Sie diesen AWS-CLI-Befehl aus:
    Hinweis: Ersetzen Sie your-detector-id und your-findings-id durch Ihre Detektor-ID und Ergebnis-ID von GuardDuty.

    aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'

    Sie erhalten eine Ausgabe wie die folgende:

    [    "INBOUND"
]

  7. Führen Sie diesen AWS-CLI-Befehl aus:

    
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'

    Sie erhalten eine Ausgabe wie die folgende:

    [    "198.51.100.0"
]

In diesem Beispiel erlaubt die Sicherheitsgruppe der Amazon-EC2-Instance SSH/RDP-Datenverkehr, sodass Zugriff auf den gesamten Datenverkehr im Internet möglich ist.

Um das Problem zu beheben, können Sie den SSH/RDP-Datenverkehr auf eine Reihe von IP-Adressen beschränken, die für den Zugriff auf die Amazon-EC2-Instance autorisiert sind.

Um den SSH-Datenverkehr einzuschränken, fügen Sie eine Regel für eingehenden SSH-Datenverkehr zu einer Linux-Instance hinzu.

Um den RDP-Datenverkehr einzuschränken, fügen Sie eine Regel für eingehenden RDP-Datenverkehr zu einer Windows-Instance hinzu.

Verwandte Informationen

How to use Amazon GuardDuty and AWS Web Application Firewall to automatically block suspicious hosts

How do I use GuardDuty to identify SSH brute force attacks on Linux instances?

Wie richte ich eine vertrauenswürdige IP-Adressliste für GuardDuty ein?

Themen
Sicherheit, Identität & Konformität
Tags
Amazon GuardDuty
Sprache
Deutsch
AWS OFFICIALAktualisiert vor einem Jahr

Relevanter Inhalt