He recibido alertas de GuardDuty sobre resultados de fuerza bruta del tipo «UnauthorizedAccess» con relación a mi instancia de Amazon EC2. ¿Qué debo hacer?
Amazon GuardDuty ha detectado alertas para los tipos de resultados UnauthorizedAccess:EC2/RDPBruteForce o UnauthorizedAccess:EC2/SSHBruteForce en relación con mi instancia de Amazon Elastic Compute Cloud (Amazon EC2).
Descripción corta
Los ataques de fuerza bruta pueden indicar un acceso no autorizado a sus recursos de AWS. Para obtener más información, consulte Tipos de resultados.
Resolución
Siga estas instrucciones para consultar la descripción del tipo de resultado, los ID de resultado y los ID de detector de GuardDuty con el fin de obtener más información sobre el ataque de fuerza bruta.
Nota: Si se muestran errores mientras ejecuta comandos de la Interfaz de la línea de comandos de AWS (AWS CLI), compruebe si está utilizando la versión más reciente de AWS CLI.
Consulta de la descripción del tipo de resultado de GuardDuty
Siga las instrucciones para ver y analizar sus resultados de GuardDuty.
En el panel de detalles de los resultados, anote el título del tipo de resultado, que será parecido al siguiente:
«198.51.100.0 está realizando ataques de fuerza bruta a través de RDP contra i-99999999. Los ataques de fuerza bruta se utilizan para adivinar la contraseña del RDP y así obtener acceso no autorizado a la instancia».
En este ejemplo, la descripción indica qué instancia de Amazon EC2 se ve afectada, la dirección del ataque de fuerza bruta y la dirección IP.
Consulta de los ID de resultados y detectores de GuardDuty
1. Abra la consola de GuardDuty.
2. En el panel de navegación, seleccione Resultados.
3. En Tipo de resultado, elija el tipo de resultado UnauthorizedAccess.
4. En el panel de detalles del tipo de resultado, elija el ID del resultado.
5. En JSON de resultados, anote los ID del detector y del resultado de GuardDuty.
6. Ejecute este comando de AWS CLI:
Nota: Sustituya your-detector-id y your-findings-id por sus ID de detector y resultado de GuardDuty, respectivamente.
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'
Se mostrará un resultado parecido al siguiente:
[ "INBOUND" ]
7. Ejecute este comando de AWS CLI:
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'
Se mostrará un resultado parecido al siguiente:
[ "198.51.100.0" ]
En este ejemplo, el grupo de seguridad de instancias de Amazon EC2 permite el tráfico de SSH/RDP y está abierto al público.
Para mitigar el problema, puede restringir el tráfico de SSH/RDP únicamente a un conjunto de direcciones IP autorizadas para acceder a la instancia de Amazon EC2.
Para restringir el tráfico de SSH, consulte Adición de una regla para tráfico de SSH entrante a una instancia de Linux.
Para restringir el tráfico de RDP, consulte Adición de una regla para tráfico de RDP entrante a una instancia de Windows.
Información relacionada
¿Cómo configuro una lista de direcciones IP de confianza para GuardDuty?
Contenido relevante
- OFICIAL DE AWSActualizada hace 2 años
- OFICIAL DE AWSActualizada hace 2 años