Ho ricevuto avvisi di forza bruta UnauthorizedAccess da GuardDuty per l’istanza Amazon EC2. Cosa devo fare?

3 minuti di lettura
0

Amazon GuardDuty ha rilevato avvisi relativi ai tipi di risultato UnauthorizedAccess:EC2/RDPBruteForce o UnauthorizedAccess:EC2/SSHBruteForce per l’istanza Amazon Elastic Compute Cloud (Amazon EC2).

Breve descrizione

Gli attacchi di forza bruta possono indicare un accesso non autorizzato alle risorse AWS. Per ulteriori informazioni, consulta Finding types.

Risoluzione

Segui queste istruzioni per controllare la descrizione del tipo di risultato, gli ID risultato e gli ID rilevatore di GuardDuty per maggiori dettagli sull'attacco di forza bruta.

Nota: se si verificano errori durante l'esecuzione dei comandi dell’interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.

Verifica della descrizione del tipo di risultato di GuardDuty

Segui le istruzioni per visualizzare e analizzare i risultati di GuardDuty.

Nel riquadro dei dettagli dei risultati, annota il titolo del tipo di risultato, come nell’esempio seguente:

"198.51.100.0 sta eseguendo attacchi di forza bruta RDP contro i-99999999. Gli attacchi di forza bruta vengono utilizzati per ottenere l'accesso non autorizzato all'istanza indovinando la password RDP."

In questo esempio, la descrizione indica l’istanza Amazon EC2 interessata, la direzione dell'attacco di forza bruta e l'indirizzo IP.

Controlla gli ID risultato e gli ID rilevatore di GuardDuty

1.    Apri la console GuardDuty.

2.    Nel riquadro di navigazione, scegli Risultati.

3.    In Tipo di risultato, scegli il tipo di risultato UnauthorizedAccess.

4.    Nel riquadro dei dettagli del tipo di risultato, scegli l'ID risultato.

5.    In Risultati JSON, annota gli ID risultato e rilevatore di GuardDuty.

6.    Esegui questo comando dell'interfaccia della linea di comando AWS:

Nota: sostituisci your-detector-id e your-findings-id con gli ID risultato e rilevatore di GuardDuty.

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'

Riceverai un output simile al seguente:

[
    "INBOUND"
]

7.    Esegui questo comando dell'interfaccia della linea di comando AWS:

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'

Riceverai un output simile al seguente:

[
    "198.51.100.0"
]

in questo esempio, il gruppo di sicurezza delle istanze Amazon EC2 consente il traffico SSH/RDP ed è aperto al pubblico.

Per mitigare il problema, puoi limitare il traffico SSH/RDP solo per un set di indirizzi IP autorizzati ad accedere all'istanza Amazon EC2.

Per limitare il traffico SSH, consulta Aggiunta di una regola per il traffico SSH in entrata su un'istanza Linux.

Per limitare il traffico RDP, consulta Aggiunta di una regola per il traffico RDP in entrata su un'istanza Windows.


Informazioni correlate

How to use Amazon GuardDuty and AWS Web Application Firewall to automatically block suspicious hosts

How do I use GuardDuty to identify SSH brute force attacks on Linux instances?

How do I set up a trusted IP address list for GuardDuty?

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 anni fa