Ich habe GuardDuty UnauthorizedAccess-Brute-Force-Warnmeldungen zur Typsuche für meine Amazon EC2-Instance erhalten. Was soll ich tun?

Lesedauer: 3 Minute
0

Amazon GuardDuty hat Warnmeldungen für die Suchtypen UnauthorizedAccess:ec2/RDPBruteforce oder UnauthorizedAccess:ec2/SSHBruteForce für meine Amazon Elastic Compute Cloud (Amazon EC2)-Instance erkannt.

Kurzbeschreibung

Brute-Force-Angriffe können auf unbefugten Zugriff auf Ihre AWS-Ressourcen hinweisen. Weitere Informationen finden Sie unter Suchen nach Typen.

Lösung

Folgen Sie diesen Anweisungen, um in der Beschreibung des GuardDuty-Ergebnistyps, den Ergebnis-IDs und den Detektor-IDs weitere Informationen über den Brute-Force-Angriff zu finden.

Hinweis: Wenn Sie beim Ausführen von AWS Command Line Interface (AWS CLI)-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS CLI-Version verwenden.

Überprüfen Sie die Beschreibung des GuardDuty-Ergebnistyps

Folgen Sie den Anweisungen, um Ihre GuardDuty-Ergebnisse einzusehen und zu analysieren.

Notieren Sie sich im Bereich mit den Suchdetails den Titel des Ergebnistyps, der dem folgenden ähnelt:

„198.51.100.0 führt RDP-Brute-Force-Angriffe gegen i-99999999. Brute-Force-Angriffe werden eingesetzt, um unbefugten Zugriff auf Ihre Instanz zu erlangen, indem das RDP-Passwort erraten wird.“

In diesem Beispiel gibt die Beschreibung an, welche Amazon EC2-Instance betroffen ist, in welche Richtung der Brute-Force-Angriff ging und welche IP-Adresse es ist.

Überprüfen Sie die GuardDuty-Ergebnis-IDs und Detektor-IDs

1.    Öffnen Sie die GuardDuty-Konsole.

2.    Wählen Sie im Navigationsbereich Ergebnisse aus.

3.    Wählen Sie unter Ergebnistyp den Ergebnistyp UnauthorizedAccess aus.

4.    Wählen Sie im Detailbereich für den Suchtyp die Ergebnis-ID aus.

5.    Notieren Sie sich in Ergebnisse JSON die GuardDuty-Ergebnis- und Detektor-IDs.

6.    Führen Sie diesen AWS-CLI-Befehl aus:

Hinweis: Ersetzen Sie your-detector-id und your-findings-id durch Ihren GuardDuty-Detektor und Ihre Ergebnis-IDs.

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'

Sie erhalten eine Ausgabe, die der folgenden ähnelt:

[
    "INBOUND"
]

7.    Führen Sie diesen AWS-CLI-Befehl aus:

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'

Sie erhalten eine Ausgabe, die der folgenden ähnelt:

[
    "198.51.100.0"
]

In diesem Beispiel erlaubt die Amazon EC2-Instance-Sicherheitsgruppe SSH/RDP-Verkehr und ist öffentlich zugänglich.

Um das Problem zu beheben, können Sie den SSH/RDP-Verkehr nur auf eine Reihe von IP-Adressen beschränken, die für den Zugriff auf die Amazon EC2-Instance autorisiert sind.

Informationen zur Einschränkung des SSH-Datenverkehrs finden Sie unter Hinzufügen einer Regel für eingehenden SSH-Verkehr zu einer Linux-Instance.

Informationen zum Beschränken des RDP-Datenverkehrs finden Sie unter Hinzufügen einer Regel für eingehenden RDP-Verkehr zu einer Windows-Instance.


Ähnliche Informationen

So verwenden Sie Amazon GuardDuty und AWS Web Application Firewall, um verdächtige Hosts automatisch zu blockieren

Wie verwende ich GuardDuty, um SSH-Brute-Force-Angriffe auf Linux-Instances zu identifizieren?

Wie richte ich eine vertrauenswürdige IP-Adressliste für GuardDuty ein?

AWS OFFICIAL
AWS OFFICIALAktualisiert vor 3 Jahren