Wie behebe ich ungewöhnliche Ressourcenaktivitäten in meinem AWS-Konto?

Kurzbeschreibung

Wenn du im Konto eine unerwartete Ressourcenaktivität feststellst, sind die Anmeldeinformationen möglicherweise gefährdet. Ein nicht autorisierter Benutzer mit den Anmeldeinformationen kann alle Aktionen ausführen, die nach den IAM-Richtlinien zulässig sind. Eine Anleitung zum Umgang mit potenziell unberechtigtem Zugriff findest du unter Was kann ich tun, wenn ich unbefugte Aktivitäten in meinem AWS-Konto feststelle?

Lösung

Zunächst, identifiziere den kompromittierten IAM-Benutzer und den Zugriffsschlüssel und dann deaktiviere sie anschließend. Verwende dann AWS CloudTrail, um nach dem API-Ereignisverlauf zu suchen, der mit dem kompromittierten IAM-Benutzer verknüpft ist.

Im folgenden Beispiel wurde eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance unerwartet gestartet.

**Hinweis:**Die folgende Lösung gilt für langfristige Sicherheitsanmeldeinformationen, nicht für temporäre Sicherheitsanmeldeinformationen. Informationen zum Widerrufen von Berechtigungen für temporäre Anmeldeinformationen findest du unter Deaktivieren von Berechtigungen für temporäre Sicherheitsanmeldeinformationen.

Die Amazon EC2-Instance-ID identifizieren

Führe die folgenden Schritte aus:

1. Öffne die Amazon-EC2-Konsole und wähle dann Instances.
2. Wähle die EC2-Instance aus und wähle dann die Registerkarte Instance-Zusammenfassung.
3. Kopiere die Instance-ID.

Suche die IAM-Zugriffsschlüssel-ID und den Benutzernamen, die zum Starten der Instance verwendet wurden

Führe die folgenden Schritte aus:

1. Öffne die CloudTrail-Konsole und wähle dann Ereignisverlauf.
2. Wähle für Suchattribute die Option Ressourcenname.
3. Gib im Feld Ressourcennamen eingeben die Instance-ID ein, und wähle dann Enter.
4. Erweitere den Ereignisnamen für RunInstances.
5. Kopiere den AWS-Zugriffsschlüssel und notiere dir dann den Benutzernamen.

Lösche den IAM-Benutzer, erstelle einen Backup-IAM-Zugriffsschlüssel und deaktiviere dann den kompromittierten Zugriffsschlüssel

Führe die folgenden Schritte aus:

1. Öffne die IAM-Konsole und gib dann die IAM-Zugriffsschlüssel-ID in die IAM-Suchleiste ein.
2. Wähle den Benutzernamen aus und dann wähle die Registerkarte Sicherheitsanmeldeinformationen.
3. Wähle unter Konsolenanmeldung die Option Konsolenzugriff verwalten aus.
   **Hinweis:**Wenn das Passwort für die AWS-Managementkonsole auf Deaktiviert gesetzt ist, kannst du diesen Schritt überspringen.
4. Wähle unter Konsolenzugriff verwalten die Option Deaktivieren und dann Anwenden aus.
   Wichtig: Wenn der Benutzer über aktive Zugriffsschlüssel verfügt, kann er weiterhin API-Aufrufe verwenden, um auf AWS-Services zuzugreifen.
5. Aktualisiere die Zugriffsschlüssel.
6. Wähle für den kompromittierten IAM-Zugriffsschlüssel Aktionen und dann wähle Deaktivieren aus.
   Hinweis: Wenn du den kompromittierten IAM-Zugriffsschlüssel deaktivierst, während er verwendet wird, kann dies Auswirkungen auf die Produktionsumgebung haben.

Den CloudTrail-Ereignisverlauf auf Aktivitäten für den kompromittierten Zugriffsschlüssel überprüfen

Führe die folgenden Schritte aus:

1. Öffne die CloudTrail-Konsole.
2. Wähle im Navigationsbereich die Option Ereignisverlauf aus.
3. Wähle für Suchattribute den AWS-Zugriffsschlüssel aus.
4. Gib im Feld AWS-Zugriffsschlüssel eingeben die kompromittierte IAM-Zugriffsschlüssel-ID ein.
5. Erweitere den Eventnamen für den RunInstances-API-Aufruf.
   **Hinweis:**Du kannst den Eventverlauf der letzten 90 Tage einsehen.

Du kannst auch den CloudTrail-Ereignisverlauf durchsuchen, um festzustellen, wie eine Sicherheitsgruppe oder Ressource geändert wurde.

Weitere Informationen findest du unter Arbeiten mit dem CloudTrail-Ereignisverlauf.

Ähnliche Informationen

Bewährte Sicherheitsmethoden in IAM

Sichere Zugriffsschlüssel

Verwaltung von IAM-Richtlinien

Richtlinien für die AWS-Sicherheitsprüfung