Amazon GuardDuty hat Warnmeldungen für die Suchtypen UnauthorizedAccess:ec2/RDPBruteforce oder UnauthorizedAccess:ec2/SSHBruteForce für meine Amazon Elastic Compute Cloud (Amazon EC2)-Instance erkannt.
Kurzbeschreibung
Brute-Force-Angriffe können auf unbefugten Zugriff auf Ihre AWS-Ressourcen hinweisen. Weitere Informationen finden Sie unter Suchen nach Typen.
Lösung
Folgen Sie diesen Anweisungen, um in der Beschreibung des GuardDuty-Ergebnistyps, den Ergebnis-IDs und den Detektor-IDs weitere Informationen über den Brute-Force-Angriff zu finden.
Hinweis: Wenn Sie beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS CLI-Version verwenden.
Überprüfen Sie die Beschreibung des GuardDuty-Ergebnistyps
Folgen Sie den Anweisungen, um Ihre GuardDuty-Ergebnisse einzusehen und zu analysieren.
Notieren Sie sich im Bereich mit den Suchdetails den Titel des Ergebnistyps, der dem folgenden ähnelt:
„198.51.100.0 führt RDP-Brute-Force-Angriffe gegen i-99999999. Brute-Force-Angriffe werden eingesetzt, um unbefugten Zugriff auf Ihre Instanz zu erlangen, indem das RDP-Passwort erraten wird.“
In diesem Beispiel gibt die Beschreibung an, welche Amazon EC2-Instance betroffen ist, in welche Richtung der Brute-Force-Angriff ging und welche IP-Adresse es ist.
Überprüfen Sie die GuardDuty-Ergebnis-IDs und Detektor-IDs
1. Öffnen Sie die GuardDuty-Konsole.
2. Wählen Sie im Navigationsbereich Ergebnisse aus.
3. Wählen Sie unter Ergebnistyp den Ergebnistyp UnauthorizedAccess aus.
4. Wählen Sie im Detailbereich für den Suchtyp die Ergebnis-ID aus.
5. Notieren Sie sich in Ergebnisse JSON die GuardDuty-Ergebnis- und Detektor-IDs.
6. Führen Sie diesen AWS-CLI-Befehl aus:
Hinweis: Ersetzen Sie your-detector-id und your-findings-id durch Ihren GuardDuty-Detektor und Ihre Ergebnis-IDs.
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'
Sie erhalten eine Ausgabe, die der folgenden ähnelt:
[
"INBOUND"
]
7. Führen Sie diesen AWS-CLI-Befehl aus:
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'
Sie erhalten eine Ausgabe, die der folgenden ähnelt:
[
"198.51.100.0"
]
In diesem Beispiel erlaubt die Amazon EC2-Instance-Sicherheitsgruppe SSH/RDP-Verkehr und ist öffentlich zugänglich.
Um das Problem zu beheben, können Sie den SSH/RDP-Verkehr nur auf eine Reihe von IP-Adressen beschränken, die für den Zugriff auf die Amazon EC2-Instance autorisiert sind.
Informationen zur Einschränkung des SSH-Datenverkehrs finden Sie unter Hinzufügen einer Regel für eingehenden SSH-Verkehr zu einer Linux-Instance.
Informationen zum Beschränken des RDP-Datenverkehrs finden Sie unter Hinzufügen einer Regel für eingehenden RDP-Verkehr zu einer Windows-Instance.
Ähnliche Informationen
So verwenden Sie Amazon GuardDuty und AWS Web Application Firewall, um verdächtige Hosts automatisch zu blockieren
Wie verwende ich GuardDuty, um SSH-Brute-Force-Angriffe auf Linux-Instances zu identifizieren?
Wie richte ich eine vertrauenswürdige IP-Adressliste für GuardDuty ein?