


Breve descrizione
------------------



I tipi di risultati [UnauthorizedAccess:IAMUser/TorIPCaller](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#unauthorizedaccess-iam-toripcaller) and [Recon:IAMUser/TorIPCaller](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#recon-iam-toripcaller) indicano che le credenziali di identità o le chiavi di accesso di AWS Identity and Access Management (IAM) sono state utilizzate per eseguire un'operazione API su AWS da un indirizzo IP del nodo di uscita Tor. Ad esempio, puoi ricevere questo errore quando provi a creare un'istanza Amazon Elastic Compute Cloud (Amazon EC2), elencare gli ID delle chiavi di accesso o modificare le autorizzazioni IAM. Questi tipi di ricerca possono anche indicare che le credenziali di identità o le chiavi di accesso IAM sono state associate ad attività non autorizzate. Per ulteriori informazioni, consulta[Tipi di risultato](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html).



Risoluzione
-----------



Usa GuardDuty per individuare la chiave di accesso IAM e AWS CloudTrail per identificare l'attività dell'API AWS.


1. Segui le istruzioni per [localizzare e analizzare i risultati di GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html#guardduty_working-with-findings).
2. Nel riquadro dei dettagli dei risultati, annota l'ID della chiave di accesso IAM.
3. Segui le istruzioni per [cercare l'attività API della chiave di accesso IAM utilizzando CloudTrail](https://repost.aws/it/knowledge-center/view-iam-history).


Se confermi che l'attività è un uso legittimo delle credenziali AWS, puoi:


* Ignorare il tipo di risultati.
* [Archiviare il tipo di risultati](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings.html#guardduty_working-with-findings).
* [Creare regole di soppressione per](https://docs.aws.amazon.com/guardduty/latest/ug/findings_suppression-rule.html#findings_suppression-rules-console) archiviare automaticamente i nuovi tipi di risultati.


Se confermi che l'attività non è un uso legittimo delle credenziali AWS, è buona prassi di sicurezza presumere che tutte le credenziali AWS siano compromesse. Segui queste istruzioni per correggere le [credenziali AWS compromesse](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_remediate.html#compromised-creds).


Per ulteriori informazioni, consulta [Che cosa devo fare se noto un'attività non autorizzata nel mio account AWS?](https://repost.aws/it/knowledge-center/potential-account-compromise)





---




Informazioni correlate
--------------------



[Cosa fare se si espone inavvertitamente una chiave di accesso AWS](https://aws.amazon.com/blogs/security/what-to-do-if-you-inadvertently-expose-an-aws-access-key/)







Amazon GuardDuty ha rilevato avvisi dei tipi di ricerca unauthorizedAccess:iamUser/toRipCaller o Recon:iamUser/toripCaller.

Risoluzione degli avvisi di ricerca di GuardDuty UnauthorizedAccess:iamUser/toRipCaller o Recon:iamUser/toripCaller

Perché ho ricevuto un avviso del tipo di ricerca di Amazon GuardDuty UnauthorizedAccess:iamUser/toripCaller o recon:iamUser/toripCaller per il mio utente o ruolo IAM?

Sicurezza, identità e conformità

Perché ho ricevuto una criptovaluta Amazon GuardDuty: EC2/BitcoinTool.B! Tipo di ricerca DNS per la mia istanza Amazon EC2?

Perché ho ricevuto l'avviso del tipo di rilevamento GuardDuty Recon:EC2/PortProbeUnprotectedPort per la mia istanza Amazon EC2?

Perché ho ricevuto l'avviso del tipo di risultato GuardDuty UnauthorizedAccess:iamUser/InstanceCredentialexfiltration.outsideAWS per la mia istanza Amazon EC2?

Perché ho ricevuto un avviso del tipo di ricerca di Amazon GuardDuty UnauthorizedAccess:iamUser/toripCaller o recon:iamUser/toripCaller per il mio utente o ruolo IAM?

Breve descrizione

Risoluzione

Informazioni correlate

Contenuto pertinente