Amazon EC 2 インスタンスで GuardDuty 検出結果タイプアラート「UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS」を受け取ったのはなぜですか?

所要時間1分
0

Amazon GuardDuty が「UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS」検出結果タイプのアラートを検出しました。

簡単な説明

GuardDuty の検出結果タイプ UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS は、外部ホストが一時的な AWS 認証情報を使用して AWS API オペレーションを実行しようとしたことを示しています。一時的な AWS 認証情報は、お客様の AWS 環境の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで作成されました。

解決策

GuardDuty の検出結果を見つけて分析してください。検出結果の詳細ペインで、外部 IP アドレスと AWS Identity and Access Management (IAM) ユーザー名を書き留めます。

外部 IP アドレスは安全です

自分または信頼できる第三者が外部 IP アドレスを所有している場合は、検出結果を抑制ルールを使用して自動的にアーカイブできます。

外部 IP アドレスは悪意があります

この問題を解決するには、次のステップを実行してください。

  1. IAM ユーザーのすべての権限を拒否します
    **注:**IAM ユーザーの権限は、すべての EC2 インスタンスで拒否されます。

  2. IAM ユーザーのインスタンスへのアクセスをブロックする明示的な 拒否 を指定した IAM ポリシーを作成します。
    **注:**your-roleID、ロールの ID、your-role-session-name をロールのセッション名に置き換えてください。

    
    {  "Version": "2012-10-17",  
      "Statement": \[  
        {  
          "Effect": "Deny",  
          "Action": \[  
            "\*"  
          \],  
          "Resource": \[  
            "\*"  
          \],  
          "Condition": {  
            "StringEquals": {  
              "aws:userId": "your-roleId:your-role-session-name"  
            }  
          }  
        }  
      \]  
    }
  3. AWS 環境内の、侵害された可能性のある EC2 インスタンスを修復します
    **注:**セキュリティのベストプラクティスとして、インスタンスでは必ずインスタンスメタデータサービス (IMDS) を使用してください。

AWS公式
AWS公式更新しました 10ヶ月前
コメントはありません

関連するコンテンツ