我收到 Amazon EC2 執行個體 GuardDuty UnauthorizedAccess 暴力破解調查結果類型警示。我該怎麼辦？

簡短說明

暴力密碼破解攻擊可能表示未經授權存取您的 AWS 資源。如需詳細資訊，請參閱 UnauthorizedAccess:EC2/RDPBruteForce 和 UnauthorizedAccess:EC2/SSHBruteForce 尋找類型。

解決方法

請按照以下說明檢查 GuardDuty 調查結果類型說明，調查結果 ID 和偵測器 ID，以獲取有關暴力破解攻擊的更多詳細資訊。

**注意：**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤，請參閱排解 AWS CLI 錯誤。此外，請確定您使用的是最新的 AWS CLI 版本。

檢查 GuardDuty 調查結果類型說明

依照指示檢視和分析您的 GuardDuty 調查結果。

在調查結果詳細資訊窗格中，請記下類似下列內容的調查結果類型標題：

「198.51.100.0 正在對 i-99999999 進行 RDP 暴力破解攻擊。暴力破解攻擊用於透過猜測 RDP 密碼來獲得對執行個體未經授權的存取。」

在此範例中，說明表示受到影響的 Amazon EC2 執行個體、暴力破解攻擊的方向以及 IP 地址。

檢查 GuardDuty 調查結果 ID 和偵測器 ID

要檢查 GuardDuty 尋找 ID 和偵測器 ID，請執行下列步驟：

1. 開啟 GuardDuty 主控台。

2. 在導覽窗格中，選擇Findings (尋找)。

3. 在Finding type (尋找類型) 中，選擇 UnauthorizedAccess 尋找類型。

4. 在尋找類型詳細資訊窗格中，選擇Finding ID (尋找 ID)。

5. 在Findings JSON (尋找 JSON) 中，記下 GuardDuty 尋找和偵測器 ID。

6. 執行下列 AWS CLI 命令：
   **注意：**使用 GuardDuty 偵測器和調查結果 ID 替代 your-detector-id 和 your-findings-id。

   aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'

   您會收到類似於以下內容的輸出：

   [    "INBOUND"
   ]

7. 執行下列 AWS CLI 命令：

   
   aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'

   您會收到類似於以下內容的輸出：

   [    "198.51.100.0"
   ]
   

在此範例中，Amazon EC2 執行個體安全群組允許 SSH/RDP 流量，可以存取網際網路上的所有流量。

為了緩解此問題，您只能針對一組授權可存取 Amazon EC2 執行個體的 IP 地址限制 SSH/RDP 流量。

若要限制 SSH 流量，為 Linux 執行個體的輸入 SSH 流量新增規則。

若要限制 RDP 流量，為 Windows 執行個體的輸入 RDP 流量新增規則。

相關資訊

如何使用 Amazon GuardDuty 和 AWS Web Application Firewall 自動封鎖可疑主機

如何使用 GuardDuty 來識別 Linux 執行個體上的 SSH 暴力破解攻擊？

我要如何為 GuardDuty 設定可信任的 IP 地址清單？