Amazon GuardDuty が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの UnauthorizedAccess:EC2/RDPBruteForce または UnauthorizedAccess:EC2/SSHBruteForce 検出結果タイプのアラートを検出しました。
簡単な説明
ブルートフォース攻撃は、AWS リソースへの不正アクセスを示している可能性があります。詳細については、[タイプの検索] を参照してください。
解決方法
以下の手順に従って、GuardDuty 結果タイプの説明、結果 ID、および検出機能 ID で、ブルートフォース攻撃の詳細を確認します。
注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。
GuardDuty 結果タイプの説明を確認する
手順に従って、GuardDuty の結果を表示および分析します。
結果の詳細ペインで、次のような結果タイプのタイトルを書き留めます。
「198.51.100.0 が、i-99999999 に対して RDP ブルートフォース攻撃を行っています。ブルートフォース攻撃を使って、RDP パスワードを推測しインスタンスに不正にアクセスします。」
この例では、説明に、影響を受ける Amazon EC2 インスタンス、ブルートフォース攻撃の方向、IP アドレスが表示されます。
GuardDuty 結果 ID と検出機能 ID を確認する
1. GuardDuty コンソールを開きます。
2. ナビゲーションペインで、[Findings] をクリックします。
3. [Finding type] で、[UnauthorizedAccess] 結果タイプを選択します。
4. 結果タイプの詳細ペインで、[Finding ID] をクリックします。
5. [Findings JSON] で、GuardDuty の結果と検出機能 ID を書き留めます。
6. 次の AWS CLI コマンドを実行します。
注: your-detector-id と your-findings-id を GuardDuty 検出機能 ID と結果 ID に置き換えます。
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'
次のような出力が表示されます。
[
"INBOUND"
]
7. 次の AWS CLI コマンドを実行します。
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'
次のような出力が表示されます。
[
"198.51.100.0"
]
この例では、Amazon EC2 インスタンスのセキュリティグループは SSH/RDP トラフィックを許可し、一般公開しています。
この問題を解決するには、Amazon EC2 インスタンスへのアクセスを許可された一連の IP アドレスのみに SSH/RDP トラフィックを制限します。
SSH トラフィックを制限するには、Linux インスタンスへのインバウンド SSH トラフィックのルール追加をご参照ください。
RDP トラフィックを制限するには、Windows インスタンスへのインバウンド RDP トラフィックのルール追加をご参照ください。
関連情報
Amazon GuardDuty と AWS Web Application Firewall を使用して不審なホストを自動的にブロックする方法
GuardDuty を使用して Linux インスタンスの SSH ブルートフォース攻撃を特定する方法を教えてください。
GuardDuty の信頼できる IP アドレスリストを設定する方法を教えてください。