Recebi alertas do tipo de descoberta de força bruta do GuardDuty UnauthorizedAccess para minha instância do Amazon EC2. O que devo fazer?

3 minuto de leitura
0

O Amazon GuardDuty detectou alertas para os tipos de descoberta UnauthorizedAccess:EC2/RDPBruteForce ou UnauthorizedAccess:EC2/SSHBruteForce na minha instância do Amazon Elastic Compute Cloud (Amazon EC2).

Descrição resumida

Ataques de força bruta podem indicar acesso não autorizado aos seus recursos da AWS. Para obter mais informações, consulte Tipos de descoberta.

Resolução

Siga estas instruções para verificar a descrição do tipo de descoberta do GuardDuty, as IDs de descoberta e as IDs do detector para obter mais detalhes sobre o ataque de força bruta.

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando a versão mais recente da AWS CLI.

Verifique a descrição do tipo de descoberta do GuardDuty

Siga as instruções para visualizar e analisar suas descobertas do GuardDuty.

No painel de detalhes da descoberta, observe o título do tipo de descoberta semelhante ao seguinte:

“198.51.100.0 está realizando ataques de força bruta do RDP contra i-99999999. Ataques de força bruta são usados para obter acesso não autorizado à sua instância ao adivinhar a senha do RDP.”

Neste exemplo, a descrição indica qual instância do Amazon EC2 foi afetada, a direção do ataque de força bruta e o endereço IP.

Verifique as IDs de descoberta do GuardDuty e as IDs do detector

1.    Abra o console do GuardDuty.

2.    No painel de navegação, escolha Descobertas.

3.    Em Tipo de descoberta, escolha o tipo de descoberta UnauthorizedAccess.

4.    No painel de detalhes do tipo de descoberta, escolha a ID da descoberta.

5.    Em Descobertas JSON, anote as IDs do detector e de descoberta do GuardDuty.

6.    Execute este comando da AWS CLI:

Observação: substitua your-detector-id e your-findings-id pelo detector GuardDuty e pelas IDs de descoberta.

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'

Você receberá uma saída semelhante à seguinte:

[
    "INBOUND"
]

7.    Execute este comando da AWS CLI:

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'

Você receberá uma saída semelhante à seguinte:

[
    "198.51.100.0"
]

Neste exemplo, o grupo de segurança da instância do Amazon EC2 permite o tráfego SSH/RDP e está aberto ao público.

Para mitigar o problema, você pode restringir o tráfego SSH/RDP somente para um conjunto de endereços IP autorizados a acessar a instância do Amazon EC2.

Para restringir o tráfego SSH, consulte Adicione uma regra para o tráfego SSH de entrada em uma instância do Linux.

Para restringir o tráfego RDP, consulte Adicione uma regra para o tráfego RDP de entrada em uma instância do Windows.


Informações relacionadas

Como usar o Amazon GuardDuty e o AWS Web Application Firewall para bloquear automaticamente hosts suspeitos

Como usar o GuardDuty para identificar ataques de força bruta do SSH em instâncias do Linux?

Como configuro uma lista de endereços IP confiáveis para o GuardDuty?

AWS OFICIAL
AWS OFICIALAtualizada há 2 anos