Behebung potenziell AWS kompromittierter Anmeldedaten - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung potenziell AWS kompromittierter Anmeldedaten

Folgen Sie diesen empfohlenen Schritten, um potenziell kompromittierte Anmeldeinformationen in Ihrer Umgebung zu beheben: AWS

  1. Identifizieren Sie die potenziell gefährdete IAM Entität und den API verwendeten Anruf.

    Der verwendete API Anruf wird wie API in den Ergebnisdetails aufgeführt. Die IAM Entität (entweder eine IAM Rolle oder ein Benutzer) und ihre identifizierenden Informationen werden im Abschnitt Ressourcen der Ergebnisdetails aufgeführt. Der Typ der beteiligten IAM Entität kann im Feld Benutzertyp bestimmt werden. Der Name der IAM Entität wird im Feld Benutzername angezeigt. Der Typ der IAM Entität, die an der Suche beteiligt war, kann auch anhand der verwendeten Zugriffsschlüssel-ID bestimmt werden.

    Für Schlüssel, die mit AKIA beginnen:

    Bei diesem Schlüsseltyp handelt es sich um langfristige, vom Kunden verwaltete Anmeldeinformationen, die einem IAM Benutzer oder zugeordnet sind. Root-Benutzer des AWS-Kontos Informationen zur Verwaltung von Zugriffsschlüsseln für IAM Benutzer finden Sie unter Zugriffsschlüssel für IAM Benutzer verwalten.

    Für Schlüssel, die mit ASIA beginnen:

    Bei dieser Art von Schlüssel handelt es sich um kurzfristige temporäre Anmeldeinformationen, die von AWS Security Token Service generiert werden. Diese Schlüssel existieren nur für kurze Zeit und können in der AWS Management Console nicht angezeigt oder verwaltet werden. IAMRollen verwenden immer AWS STS Anmeldeinformationen, sie können aber auch für IAM Benutzer generiert werden. Weitere Informationen AWS STS finden Sie unter Temporäre IAM Sicherheitsanmeldeinformationen.

    Wenn eine Rolle verwendet wurde, enthält das Feld Benutzername den Namen der verwendeten Rolle. Sie können feststellen, wie der Schlüssel angefordert wurde, AWS CloudTrail indem Sie das sessionIssuer Element des CloudTrail Protokolleintrags untersuchen. Weitere Informationen finden Sie unter IAMund AWS STS unter CloudTrail.

  2. Überprüfen Sie die Berechtigungen für die IAM Entität.

    Öffnen Sie die IAM Konsole. Wählen Sie je nach Typ der verwendeten Entität die Registerkarte Benutzer oder Rollen und suchen Sie die betroffene Entität, indem Sie den identifizierten Namen in das Suchfeld eingeben. Überprüfen Sie über die Registerkarten Berechtigung und Access Advisor effektive Berechtigungen für diese Entität.

  3. Stellen Sie fest, ob die Anmeldeinformationen der IAM Entität rechtmäßig verwendet wurden.

    Wenden Sie sich an den Benutzer der Anmeldeinformationen, um festzustellen, ob die Aktivität beabsichtigt war.

    Ermitteln Sie beispielsweise, ob der Benutzer die Anmeldeinformationen zu Folgendem verwendet hat:

    • Hat den API Vorgang aufgerufen, der im Ergebnis aufgeführt war GuardDuty

    • Der API Vorgang wurde zu dem Zeitpunkt aufgerufen, der im Ergebnis aufgeführt ist GuardDuty

    • Der API Vorgang wurde von der IP-Adresse aus aufgerufen, die im Ergebnis aufgeführt ist GuardDuty

Wenn es sich bei dieser Aktivität um eine legitime Verwendung der AWS Anmeldeinformationen handelt, können Sie den GuardDuty Befund ignorieren. In der https://console.aws.amazon.com/guardduty/Konsole können Sie Regeln einrichten, um einzelne Ergebnisse vollständig zu unterdrücken, sodass sie nicht mehr angezeigt werden. Weitere Informationen finden Sie unter Unterdrückungsregeln.

Wenn Sie nicht bestätigen können, ob es sich bei dieser Aktivität um eine legitime Nutzung handelt, könnte dies das Ergebnis einer Kompromittierung eines bestimmten Zugriffsschlüssels sein — der Anmeldedaten des IAM Benutzers oder möglicherweise des gesamten AWS-Konto Schlüssels. Wenn Sie vermuten, dass Ihre Anmeldeinformationen kompromittiert wurden, lesen Sie die Informationen im Artikel Meine Daten sind AWS-Konto möglicherweise kompromittiert, um dieses Problem zu beheben.