Amazon GuardDuty ha rilevato avvisi relativi ai tipi di risultato UnauthorizedAccess:EC2/RDPBruteForce o UnauthorizedAccess:EC2/SSHBruteForce per l’istanza Amazon Elastic Compute Cloud (Amazon EC2).
Breve descrizione
Gli attacchi di forza bruta possono indicare un accesso non autorizzato alle risorse AWS. Per ulteriori informazioni, consulta Finding types.
Risoluzione
Segui queste istruzioni per controllare la descrizione del tipo di risultato, gli ID risultato e gli ID rilevatore di GuardDuty per maggiori dettagli sull'attacco di forza bruta.
Nota: se si verificano errori durante l'esecuzione dei comandi dell’interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente di AWS CLI.
Verifica della descrizione del tipo di risultato di GuardDuty
Segui le istruzioni per visualizzare e analizzare i risultati di GuardDuty.
Nel riquadro dei dettagli dei risultati, annota il titolo del tipo di risultato, come nell’esempio seguente:
"198.51.100.0 sta eseguendo attacchi di forza bruta RDP contro i-99999999. Gli attacchi di forza bruta vengono utilizzati per ottenere l'accesso non autorizzato all'istanza indovinando la password RDP."
In questo esempio, la descrizione indica l’istanza Amazon EC2 interessata, la direzione dell'attacco di forza bruta e l'indirizzo IP.
Controlla gli ID risultato e gli ID rilevatore di GuardDuty
1. Apri la console GuardDuty.
2. Nel riquadro di navigazione, scegli Risultati.
3. In Tipo di risultato, scegli il tipo di risultato UnauthorizedAccess.
4. Nel riquadro dei dettagli del tipo di risultato, scegli l'ID risultato.
5. In Risultati JSON, annota gli ID risultato e rilevatore di GuardDuty.
6. Esegui questo comando dell'interfaccia della linea di comando AWS:
Nota: sostituisci your-detector-id e your-findings-id con gli ID risultato e rilevatore di GuardDuty.
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'
Riceverai un output simile al seguente:
[
"INBOUND"
]
7. Esegui questo comando dell'interfaccia della linea di comando AWS:
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'
Riceverai un output simile al seguente:
[
"198.51.100.0"
]
in questo esempio, il gruppo di sicurezza delle istanze Amazon EC2 consente il traffico SSH/RDP ed è aperto al pubblico.
Per mitigare il problema, puoi limitare il traffico SSH/RDP solo per un set di indirizzi IP autorizzati ad accedere all'istanza Amazon EC2.
Per limitare il traffico SSH, consulta Aggiunta di una regola per il traffico SSH in entrata su un'istanza Linux.
Per limitare il traffico RDP, consulta Aggiunta di una regola per il traffico RDP in entrata su un'istanza Windows.
Informazioni correlate
How to use Amazon GuardDuty and AWS Web Application Firewall to automatically block suspicious hosts
How do I use GuardDuty to identify SSH brute force attacks on Linux instances?
How do I set up a trusted IP address list for GuardDuty?