AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約

CloudTrailによるAccess Deniedログが大量に生成

0

先日CloudTrailで証跡を作成したところ、使っていない時間に大量のログが生成されたようで無料枠の上限にかかりそうだという警告メールが届きました。 確認してみるとかなりのリージョンでAccess Deniedのログが生成されていました。 ひとまずログの生成を停止し、IAMの権限を外したのですが、不正アクセスを試みられたということでしょうか?

質問済み 2年前635ビュー
2回答
0

Access Deniedが検出されているイベントのユーザー名に心当たりがありますか?一概にAccess Dinedが不正アクセスとは言い切れないので確認してみてください。

例えば、定期的にAWSサービスからIAMロールを使用して操作を行う際に、権限不足でAccess Deniedが発生して再試行がループしている場合も考えられます。

まずは、CloudTrail イベントの表示から操作履歴を追ってみてください。 https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#displaying-cloudtrail-events

以後、コメントへの回答追記

パブリックアクセスがブロックされている設定のオブジェクトをURLから開こうとしたことでAccess Deniedが出ているものと思います。

こちら処理は仕様なので、定期的にご自身以外からGetObjectがないのであれば問題ないかともいます。

恐らく証跡を有効にしたことが大量のログの原因だとは思うのですが、サインアウトしている時間にも数分おきにログが生成されており、かつ、有効になっていないものも含め全てのリージョンにダイジェストが生成されていたという状況になります。 こちらに関してもCloudTrailの整合性検証を有効にしている場合の仕様になります。

以下、ブログを確認するとCloudTrailの整合性検証を利用した場合、無料枠を超えてしまうことがあるみたいです。 https://qiita.com/fkooo/items/df3b1b47a61f7826ffd4

もしかすると、AccessDined云々よりもCloudTrailの整合性検証を有効にしているから、メールが届いているのではないでしょうか。 ご参考になりましたら、回答の承認いただけると嬉しいです。

profile picture
回答済み 2年前
  • ありがとうございます。 分からなくて慌ててましたが落ち着いて確認してみたところ、AdministratorAccessを付与して作成したユーザーより、全リージョンで同じ時間に2回、lamdaからの履歴がありました。 lamdaの操作は行っておりません。 その後、サインアウトしている時間にもログ保存用のバケットの、CloudTrailフォルダのus-east-1とap-northeast-1にサインアウトしている時間にも生成されていまして また、CloudTrail-Digest以下に有効になっていないものを含め全てのリージョンに生成されておりました。 恐らくlamdaの履歴(ListFunctions20150331)が原因だとは思うのですが対処法を教えていただければ幸いです。 他に必要な情報があれば提供させていただきたいと思います。 長文すみませんがよろしくお願いいたします。

  • AdministratorAccessを付与して作成したユーザーより、全リージョンで同じ時間に2回、lamdaからの履歴がありました。

    念のため、この部分確認させていただきたいのですが、イベントレコード内のerrorMessageまたはerrorCode内に「Access Denied」が記載されているのでしょうか?

  • すみません、最近学習し始めたばかりで私の理解が追い付いていなかったので恐らく勘違いで、パブリックアクセスがブロックされている設定のオブジェクトをURLから開こうとしたことでAccess Deniedが出ているものと思います。 ダウンロードしたところログが見れました。 恐らく証跡を有効にしたことが大量のログの原因だとは思うのですが、サインアウトしている時間にも数分おきにログが生成されており、かつ、有効になっていないものも含め全てのリージョンにダイジェストが生成されていたという状況になります。 理解が浅いせいで二転三転してしまい申し訳ありませんがご教授いただけると幸いです。 いくつか見たところほぼ同じでしたので一応ログも分割で載せておきます(ID等は一応消してます)

0

言語ではじかれるのでこちらに ログです

回答済み 2年前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

質問に答えるためのガイドライン

関連するコンテンツ