Stay up to date with the latest from the Knowledge Center. See all new and updated Knowledge Center articles published in the last month and re:Post’s top contributors.
J’ai reçu des alertes de type « GuardDuty UnauthorizedAccess brute force finding » pour mon instance Amazon EC2. Que dois-je faire ?
Amazon GuardDuty a détecté des alertes pour les types de résultats UnauthorizedAccess:EC2/RDPBruteForce ou UnauthorizedAccess:EC2/SSHBruteForce pour mon instance Amazon Elastic Compute Cloud (Amazon EC2).
Brève description
Les attaques par force brute peuvent être le signe d’un accès non autorisé à vos ressources AWS. Pour plus d’informations, consultez les types de résultats UnauthorizedAccess:EC2/RDPBruteForce et UnauthorizedAccess:EC2/SSHBruteForce.
Résolution
Pour plus de détails sur l’attaque par force brute, suivez les instructions suivantes qui vous permettront de vérifier la description du type d’identifiants des résultats générés par GuardDuty et ceux des détecteurs de menace.
Remarque : si des erreurs surviennent lorsque vous exécutez des commandes via l’interface de la ligne de commande AWS (AWS CLI), consultez la section Corriger les erreurs liées à AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente d’AWS CLI.
Consulter la description du type de résultats générés par GuardDuty
Suivez les instructions pour consulter et analyser les résultats générés par GuardDuty.
Dans le volet des détails des résultats, notez que le titre du type de résultat est similaire au suivant :
« 198.51.100.0 effectue des attaques par force brute RDP contre i-99999999. Les attaques par force brute sont utilisées pour accéder sans autorisation à votre instance en devinant le mot de passe RDP. »
Dans cet exemple, la description indique quelle instance Amazon EC2 est affectée, la direction de l’attaque par force brute, et l’adresse IP.
Vérifier les identifiants de résultats générés par GuardDuty et ceux des détecteurs de menace
Pour vérifier les identifiants des résultats générés par GuardDuty et ceux des détecteurs de menace, procédez comme suit :
-
Ouvrez la console GuardDuty.
-
Dans le volet de navigation, choisissez Résultats.
-
Dans Type de Type de résultat, choisissez le type de résultats UnauthorizedAccess.
-
Dans le volet de détails du type de résultats, choisissez l’identifiant du résultat.
-
Dans Résultats JSON, notez les identifiants des résultats générés par GuardDuty et ceux des détecteurs de menace.
-
Exécutez cette commande de l’interface de l’AWS CLI :
Remarque : remplacez your-detector-id et your-findings-id par vos identifiants des résultats générés par GuardDuty et ceux des détecteurs de menace.aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'Vous obtenez un résultat similaire au suivant :
[ "INBOUND" ] -
Exécutez cette commande de l’interface de l’AWS CLI :
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'Vous obtenez un résultat similaire au suivant :
[ "198.51.100.0" ]
Dans cet exemple, le groupe de sécurité d’instance Amazon EC2 autorise le trafic SSH/RDP, ce qui permet d’accéder à tout le trafic sur Internet.
Pour atténuer le problème, vous pouvez restreindre le trafic SSH/RDP uniquement pour un ensemble d’adresses IP autorisées à accéder à l’instance Amazon EC2.
Pour restreindre le trafic SSH, ajoutez une règle de trafic SSH à destination d’une instance Linux.
Pour restreindre le trafic RDP, ajoutez une règle de trafic RDP à destination d’une instance Windows.
Informations connexes
Comment faire pour configurer une liste d’adresses IP approuvées par GuardDuty ?
Contenus pertinents
- demandé il y a 4 mois
- demandé il y a 8 mois
- demandé il y a 9 mois
- demandé il y a 2 ans
- demandé il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 3 ans