侵害された可能性のある AWS 認証情報の修正 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

侵害された可能性のある AWS 認証情報の修正

環境内の侵害された可能性のある認証情報を修正するには、以下の推奨ステップに従います AWS 。

  1. 侵害された可能性のあるIAMエンティティと使用されたAPI呼び出しを特定します。

    使用されたAPI呼び出しは、検出結果の詳細APIに としてリストされます。IAM エンティティ ( IAMロールまたはユーザー) とその識別情報は、検出結果の詳細のリソースセクションに一覧表示されます。関係するIAMエンティティのタイプはユーザータイプフィールドによって決定でき、IAMエンティティの名前はユーザー名フィールドに表示されます。検出結果に関係するIAMエンティティのタイプは、使用するアクセスキー ID によって決定することもできます。

    AKIA で始まるキーの場合:

    このタイプのキーは、 IAM ユーザーまたは に関連付けられた長期的なカスタマー管理の認証情報です AWS アカウントのルートユーザー。IAM ユーザーのアクセスキーの管理については、「ユーザーのアクセスキーの管理IAM」を参照してください。

    ASIA で始まるキーの場合:

    このタイプのキーは、 AWS Security Token Serviceによって生成される短期の一時的な認証情報です。これらのキーは短時間だけ存在し、 AWS マネジメントコンソールで表示または管理することはできません。IAM ロールは常に AWS STS 認証情報を使用しますが、IAMユーザー用に生成することもできます。詳細については、IAM「: 一時的なセキュリティ認証情報 AWS STS 」を参照してください。

    ロールが使用された場合、[User name] (ユーザー名) フィールドには使用されたロールの名前が表示されます。 CloudTrail ログエントリの sessionIssuer要素を調べる AWS CloudTrail ことで、 でキーがどのようにリクエストされたかを確認できます。詳細については、「」およびIAM AWS STS 「」を参照してください CloudTrail

  2. IAMエンティティのアクセス許可を確認します。

    IAM コンソールを開きます。使用するエンティティのタイプに応じて、ユーザーまたはロール タブを選択し、識別された名前を検索フィールドに入力して、影響を受けるエンティティを見つけます。[Permission] (許可) タブと [Access Advisor] (アクセスアドバイザー) タブを使用して、そのエンティティの有効な許可を確認します。

  3. IAMエンティティ認証情報が正当に使用されたかどうかを確認します。

    アクティビティが意図的なものであったかどうかを確認するには、認証情報のユーザーに問い合わせます。

    例えば、ユーザーが次のことを行ったかどうかを確認します。

    • GuardDuty 検出結果にリストされているAPIオペレーションを呼び出しました

    • 検出結果にリストされている時点で APIオペレーションを GuardDuty呼び出しました

    • GuardDuty 検出結果にリストされている IP アドレスから APIオペレーションを呼び出しました

このアクティビティが AWS 認証情報の正当な使用である場合は、 GuardDuty 結果を無視できます。https://console.aws.amazon.com/guardduty/ コンソールでは、個々の検出結果が表示されないように完全に抑制するルールを設定できます。詳細については、「抑制ルール」を参照してください。

このアクティビティが正当な使用であるかどうかが確認できない場合は、特定のアクセスキー、IAMつまりユーザーのサインイン認証情報、または 全体に対する侵害の結果である可能性があります AWS アカウント。認証情報が侵害された疑いがある場合は、「My AWS アカウント may be compromised」の記事の情報を確認して、この問題を修正してください。