GuardDuty IAM 検索タイプ - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty IAM 検索タイプ

以下の結果は、IAM エンティティとアクセスキーに固有のものであり、リソースタイプAccessKey。結果の重大度と詳細は、結果タイプによって異なります。

すべての IAM 関連の結果について、問題のエンティティに対するアクセス許可を調べて、そのエンティティが最小権限のベストプラクティスに従っていることを確認することをお勧めします。アクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。アクションの詳細については、」侵害された AWS 認証情報の修正

クレデンシャルアクセス:IAMUser/異常動作

AWS 環境にアクセスするために使用される API は、異常な方法で呼び出されました。

デフォルトの重要度: ミディアム

この結果により、アカウントで異常な API リクエストが観察されたことが通知されます。この結果には、単一の API または単一のCloudTrail ユーザーアイデンティティ。監視される API は、通常、攻撃者がお客様の環境のパスワード、ユーザー名、およびアクセスキーを収集しようとしたときに、攻撃の認証情報アクセス段階に関連付けられます。このカテゴリの API はGetPasswordDataGetSecretValue, およびGenerateDbAuthToken

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常であると確認されました。ML モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常イベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。API リクエストのどの要素が、リクエストを呼び出したユーザー ID で異常であるかについては、結果の詳細

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

防御条件:IAMUSER/異常動作

防御対策を回避するために使用された API は、異常な方法で呼び出されました。

デフォルトの重要度: ミディアム

この結果により、アカウントで異常な API リクエストが観察されたことが通知されます。この結果には、単一の API または単一のCloudTrail ユーザーアイデンティティ。観察された API は、通常、攻撃者が自分のトラックをカバーし、検出を回避しようとしている防衛回避戦術に関連しています。このカテゴリの API は通常、削除、無効化、または停止操作です。たとえば、DeleteFlowLogsDisableAlarmActions, またはStopLogging

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常であると確認されました。ML モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常イベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。API リクエストのどの要素が、リクエストを呼び出したユーザー ID で異常であるかについては、結果の詳細

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

検出:IAMUSER/異常動作

リソースの検出に一般的に使用される API は、異常な方法で呼び出されました。

デフォルトの重要度: 低

この結果により、アカウントで異常な API リクエストが観察されたことが通知されます。この結果には、単一の API または単一のCloudTrail ユーザーアイデンティティ。監視される API は、通常、攻撃者が情報を収集し、AWS 環境がより広範な攻撃を受けやすいかどうかを判断する場合の攻撃の発見段階に関連付けられます。このカテゴリの API は、通常、取得、記述、またはリスト操作です。DescribeInstancesGetRolePolicy, またはListAccessKeys

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常であると確認されました。ML モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常イベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。API リクエストのどの要素が、リクエストを呼び出したユーザー ID で異常であるかについては、結果の詳細

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

除去:IAMUser/異常動作

AWS 環境からデータを収集するために一般的に使用される API は、異常な方法で呼び出されました。

デフォルトの重要度: 高

この結果により、アカウントで異常な API リクエストが観察されたことが通知されます。この結果には、単一の API または単一のCloudTrail ユーザーアイデンティティ。観察される API は、通常、攻撃者が検出を回避するためにパッケージングと暗号化を使用してネットワークからデータを収集しようとする侵入戦術と関連しています。この検索タイプの API は CloudTrail 管理 (コントロールプレーン) 操作のみであり、通常は S3、スナップショット、データベースに関連しています。PutBucketReplicationCreateSnapshot, またはRestoreDBInstanceFromDBSnapshot

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常であると確認されました。ML モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常イベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。API リクエストのどの要素が、リクエストを呼び出したユーザー ID で異常であるかについては、結果の詳細

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

インパクト:IAMuser/異常動作

AWS 環境でデータやプロセスの改ざんによく使用される API は、異常な方法で呼び出されました。

デフォルトの重要度: 高

この結果により、アカウントで異常な API リクエストが観察されたことが通知されます。この結果には、単一の API または単一のCloudTrail ユーザーアイデンティティ。観察される API は、通常、攻撃者が操作を妨害し、アカウント内のデータを操作、中断、破壊しようとするインパクト戦術と関連しています。この検索タイプの API は、通常、削除、更新、または put 操作です。たとえば、DeleteSecurityGroupUpdateUser, またはPutBucketPolicy

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常であると確認されました。ML モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常イベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。API リクエストのどの要素が、リクエストを呼び出したユーザー ID で異常であるかについては、結果の詳細

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

初期アクセス:IAMUSER/異常動作

AWS 環境への不正アクセスを得るためによく使用される API は、異常な方法で呼び出されました。

デフォルトの重要度: ミディアム

この結果により、アカウントで異常な API リクエストが観察されたことが通知されます。この結果には、単一の API または単一のCloudTrail ユーザーアイデンティティ。監視される API は、通常、攻撃者が環境へのアクセスを確立しようとしたときの攻撃の初期アクセス段階に関連付けられます。このカテゴリのAPIは、通常、トークンを取得するか、セッション操作(GetFederationTokenStartSession, またはGetAuthorizationToken

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常であると確認されました。ML モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常イベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。API リクエストのどの要素が、リクエストを呼び出したユーザー ID で異常であるかについては、結果の詳細

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

PenTest:IAMUser/KaliLinux

API が Kali Linux EC2 マシンから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、Kali Linux が実行されているマシンでお使いの AWS アカウントの認証情報を使用して API コールが行われていることを知らせます。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

PenTest:IAMUser/ParrotLinux

API が Parrot Security Linux マシンから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、Parrot Security Linux が実行されているマシンでお使いの AWS アカウントの認証情報を使用して API コールが行われていることを知らせます。Parrot Security Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

PenTest:IAMUser/PentooLinux

API が Pentoo Linux マシンから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、Pentoo Linux が実行されているマシンでお使いの AWS アカウントの認証情報を使用して API コールが行われていることを知らせます。Pentoo Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

Persistence: IAMUser/異常な動作

AWS 環境への不正アクセスを維持するために一般的に使用される API は、異常な方法で呼び出されました。

デフォルトの重要度: ミディアム

この結果により、アカウントで異常な API リクエストが観察されたことが通知されます。この結果には、単一の API または単一のCloudTrail ユーザーアイデンティティ。観察される API は、通常、攻撃者が環境へのアクセスを取得し、そのアクセスを維持しようとする永続性戦術に関連しています。このカテゴリの API は通常、作成、インポート、または変更操作です。たとえば、CreateAccessKeyImportKeyPair, またはModifyInstanceAttribute

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常であると確認されました。ML モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常イベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。API リクエストのどの要素が、リクエストを呼び出したユーザー ID で異常であるかについては、結果の詳細

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

Policy:IAMUser/RootCredentialUsage

API がルート認証情報を使用して呼び出された。

デフォルトの重要度: 低

この結果では、ご利用の環境にある AWS アカウントのルート認証情報が AWS サービスへのリクエストに使用されていることを知らせます。ユーザーが AWS サービスへのアクセスにルート認証情報を使用しないことが推奨されています。その代わりに、AWS Security Token Service (AWS STS) から一時的な限定権限認証情報を取得して、AWS のサービスへのアクセスが必要です。STS がサポートされていない状況では、IAM ユーザーの認証情報が推奨されています。詳細については、「」を参照してください。IAM ベストプラクティス

注記

S3 脅威の検出がアカウントに対して有効になっている場合、AWS アカウントのルート認証情報を使用して S3 リソースで S3 データプレーン操作を実行しようとした場合の応答として、この結果を生成できます。使用された API コールは、検索の詳細に表示されます。S3 脅威検出が有効になっていない場合、この検出はイベントログ API によってのみトリガーされます。S3 脅威の検出の詳細については、」S3 保護

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

特権のエスカレーション:IAMUser/異常な動作

AWS 環境に対する高レベルのアクセス許可を取得するために一般的に使用される API は、異常な方法で呼び出されました。

デフォルトの重要度: ミディアム

この結果により、アカウントで異常な API リクエストが観察されたことが通知されます。この結果には、単一の API または単一のCloudTrail ユーザーアイデンティティ。観察される API は、通常、攻撃者が環境に対してより高いレベルのアクセス許可を取得しようとする特権エスカレーション戦術に関連付けられます。このカテゴリの API には、通常、IAM ポリシー、ロール、ユーザーを変更する操作が含まれます。たとえば、AssociateIamInstanceProfileAddUserToGroup, またはPutUserPolicy

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常であると確認されました。ML モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常イベントを特定します。ML モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。API リクエストのどの要素が、リクエストを呼び出したユーザー ID で異常であるかについては、結果の詳細

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

Recon:IAMUser/MaliciousIPCaller

API が既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、環境内のアカウントの AWS リソースをリストアップまたは記述できる API オペレーションが、脅威リスト内の IP アドレスから呼び出されたことを知らせます。攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり手に入れた認証情報の能力を確認するために、このような AWS リソースの偵察行動を行うことがあります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

Recon:IAMUser/MaliciousIPCaller.Custom

API が既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、環境内のアカウントの AWS リソースをリストアップまたは記述できる API オペレーションが、カスタム脅威リスト内の IP アドレスから呼び出されたことを知らせます。使用された脅威リストは、結果の詳細に表示されます。攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり手に入れた認証情報の能力を確認するために、このような AWS リソースの偵察行動を行うことがあります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

Recon:IAMUser/TorIPCaller

API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、環境内のアカウントの AWS リソースをリストアップまたは記述できる API オペレーションが Tor 出口ノードの IP アドレスから呼び出されたことを知らせます。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。攻撃者は Tor を使用して、真の ID を隠します。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail の証跡が無効化されています。

デフォルトの重要度: 低

この結果では、AWS 環境内での CloudTrail の証跡が無効化されたことを知らせます。攻撃者が追跡対象となるログ記録を無効化し、アクティビティの形跡を消すことで、悪意のある目的で AWS リソースにアクセスしようとしている可能性があります。この結果は、証跡情報の削除または更新が成功することによってトリガーされる場合があります。また、GuardDuty に関連付けられている証跡のログを保存する S3 バケットが削除された場合にもトリガーされます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

Stealth:IAMUser/PasswordPolicyChange

アカウントのパスワードポリシーが弱化されています。

デフォルトの重要度: 低

AWS 環境内のリストされているアカウントで、AWS アカウントのパスワードポリシーが弱くなりました。たとえば、アカウントの削除、必要な文字数を減らすような更新、記号や数字を不要とする更新、パスワードの有効期限を延長するような更新が行われています。この結果は、AWS アカウントのパスワードポリシーを更新または削除しようとしてもトリガーされます。AWS アカウントのパスワードポリシーでは、IAM ユーザーに設定できるパスワードの種類を規定するルールを定義します。パスワードポリシーが弱化されると、覚えやすいパスワードや推測しやすいパスワードの作成が可能になり、セキュリティ上のリスクが生じます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

世界中でコンソールに対する複数の正常なログインが確認されました。

デフォルトの重要度: ミディアム

この結果では、世界各地から同時に同じ IAM ユーザーによるコンソールへの複数の正常なログインが確認されたことを知らせます。このような通常と異なる、リスクの高いアクセス元のパターンは、AWS リソースへの未承認のアクセスの可能性を示しています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

インスタンス作成ロールで EC2 インスタンス専用に作成された認証情報が外部 IP アドレスから使用されています。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスで作成された一時的な AWS 認証情報を使用して、EC2 外のホストから AWS API オペレーションを実行しようとしている試行について知らせます。リストされている EC2 インスタンスが侵害されていて、このインスタンスの一時的な認証情報が密かに AWS 外のリモートホストに抽出されている可能性があります。AWS は、一時的な認証情報を作成したエンティティ (AWS アプリケーション、EC2、Lambda など) 外にその認証情報を再配布することはお勧めしません。ただし、承認されたユーザーは EC2 インスタンスから認証情報をエクスポートして正当な API コールを行うことができます。攻撃の可能性を排除してアクティビティが正当であることを確認するには、これらの認証情報を割り当てる先の IAM ユーザーに問い合わせてみます。

注記

S3 脅威検出がアカウントに対して有効になっている場合、EC2 認証情報を使用して S3 リソースで S3 データプレーン操作を実行しようとしたときに、この結果が生成される可能性があります。使用された API コールは、検索の詳細に表示されます。S3 脅威検出が有効になっていない場合、この検出はイベントログ API によってのみトリガーされます。S3 脅威の検出の詳細については、」S3 保護

修正の推奨事項:

この結果が生成されるのは、VPC Internet Gateway (IGW) からではなく、オンプレミスのゲートウェイからエグレスされるという方法で、インターネットトラフィックがルーティングされるように、ネットワークが設定されている場合です。使用など、一般的な構成AWS Outposts、VPC VPN 接続では、この方法でトラフィックがルーティングされる可能性があります。これが予期した動作である場合は、 の抑制ルールを使用して、2 つのフィルター条件で構成されるルールを作成することをお勧めします。1 つ目の条件では、[結果タイプ] に UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration を使用します。2 番目のフィルタ基準はAPI 発信者の IPv4 アドレスを、オンプレミスのインターネットゲートウェイの IP アドレスまたは CIDR 範囲に置き換えます。抑制ルールの作成の詳細については、「」を参照してください。抑制ルール

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「」を参照してください。漏洩した認証情報の修復

UnauthorizedAccess:IAMUser/MaliciousIPCaller

API が既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が悪意のある既知の IP アドレスから呼び出されたことを知らせます。これは、環境内の AWS リソースへの未承認のアクセスを示している可能性があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が、アップロードした脅威リストに含まれている IP アドレスから呼び出されたことを知らせます。 の場合、脅威リストは既知の悪意のある IP アドレスで構成されます。これは、環境内の AWS リソースへの未承認のアクセスを示している可能性があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/TorIPCaller

API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が Tor 出口ノードの IP アドレスから呼び出されたことを知らせます。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修正」を参照してください。