Ho ricevuto avvisi di forza bruta UnauthorizedAccess da GuardDuty per l’istanza Amazon EC2. Cosa devo fare?

3 minuti di lettura
0

Amazon GuardDuty ha rilevato avvisi relativi ai tipi di risultato UnauthorizedAccess:EC2/RDPBruteForce o UnauthorizedAccess:EC2/SSHBruteForce per l’istanza Amazon Elastic Compute Cloud (Amazon EC2).

Breve descrizione

Gli attacchi di forza bruta possono indicare un accesso non autorizzato alle risorse AWS. Per ulteriori informazioni, consulta i tipi di risultato UnauthorizedAccess:EC2/RDPBruteForce e UnauthorizedAccess:EC2/SSHBruteForce.

Risoluzione

Segui queste istruzioni per controllare la descrizione del tipo di risultato, gli ID risultato e gli ID rilevatore di GuardDuty per maggiori dettagli sull'attacco di forza bruta.

Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Verifica la descrizione del tipo di risultato di GuardDuty

Segui le istruzioni per visualizzare e analizzare i risultati di GuardDuty.

Nel riquadro dei dettagli dei risultati, annota il titolo del tipo di risultato, come nell’esempio seguente:

"198.51.100.0 sta eseguendo attacchi di forza bruta RDP contro i-99999999. Gli attacchi di forza bruta vengono utilizzati per ottenere l'accesso non autorizzato all'istanza indovinando la password RDP."

In questo esempio, la descrizione indica l’istanza Amazon EC2 interessata, la direzione dell'attacco di forza bruta e l'indirizzo IP.

Controlla gli ID risultato e gli ID rilevatore di GuardDuty

Per controllare gli ID risultato e gli ID rilevatore di GuardDuty, segui questi passaggi:

  1. Apri la console GuardDuty.

  2. Nel riquadro di navigazione, scegli Risultati.

  3. In Tipo di risultato, scegli il tipo di risultato UnauthorizedAccess.

  4. Nel riquadro dei dettagli del tipo di risultato, scegli l'ID risultato.

  5. In Risultati JSON, annota gli ID risultato e rilevatore di GuardDuty.

  6. Esegui questo comando dell'interfaccia AWS CLI:
    Nota: sostituisci your-detector-id e your-findings-id con gli ID risultato e rilevatore di GuardDuty.

    aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'

    Riceverai un output simile al seguente:

    [    "INBOUND"
    ]
  7. Esegui questo comando dell'interfaccia AWS CLI:

    
    aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'

    Riceverai un output simile al seguente:

    [    "198.51.100.0"
    ]
    

In questo esempio, il gruppo di sicurezza dell’istanza Amazon EC2 consente il traffico SSH/RDP che permette l'accesso a tutto il traffico su Internet.

Per mitigare il problema, puoi limitare il traffico SSH/RDP solo per un set di indirizzi IP autorizzati ad accedere all'istanza Amazon EC2.

Per limitare il traffico SSH, aggiungi una regola per il traffico SSH in entrata in un'istanza Linux.

Per limitare il traffico RDP, aggiungi una regola per il traffico RDP in entrata in un'istanza Windows.

Informazioni correlate

How to use Amazon GuardDuty and AWS Web Application Firewall to automatically block suspicious hosts

How do I use GuardDuty to identify SSH brute force attacks on Linux instances?

How do I set up a trusted IP address list for GuardDuty?

AWS UFFICIALE
AWS UFFICIALEAggiornata 9 mesi fa