GuardDuty IAM 検出結果タイプ - Amazon GuardDuty

GuardDuty IAM 検出結果タイプ

次の検出結果は、IAM エンティティとアクセスキーに特有であり、常に AccessKey[Resource Type] (リソースタイプ) です。検出結果の重要度と詳細は、検出結果タイプによって異なります。

ここにリストされている検出結果には、検出結果タイプの生成に使用されるデータソースとモデルが含まれます。データソースとモデルの詳細については、「Amazon GuardDuty でデータソースを使用する方法」を参照してください。

すべての IAM 関連の検出結果について、問題のエンティティを検証し、その許可が最小特権のベストプラクティスに従っていることを確認することをお勧めします。このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。アクションの詳細については、「侵害された AWS 認証情報の修復」を参照してください。

CredentialAccess:IAMUser/AnomalousBehavior

AWS 環境へアクセスを取得していた API は、異常な方法で起動しました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、通常、攻撃者がユーザーの環境のパスワード、ユーザー名、およびアクセスキーを収集しようすると、攻撃の認証情報アクセスステージに関連付けられます。このカテゴリの API は、GetPasswordDataGetSecretValueGenerateDbAuthToken です。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

DefenseEvasion:IAMUser/AnomalousBehavior

防御対策を回避するために使用された API が異常な方法で起動しました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察された API は、通常、攻撃者が自分のトラックをカバーし、検出を回避しようとしている防御回避戦術に関連しています。このカテゴリの API は通常、削除、無効化、停止オペレーションです (DeleteFlowLogsDisableAlarmActionsStopLogging など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

Discovery:IAMUser/AnomalousBehavior

リソースの検出に一般的に使用される API は、異常な方法で起動しました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API はユーザーの AWS 環境がより広範な攻撃を受けやすくなる場合、攻撃者が情報を収集して、通常攻撃の検出段階に関連付けます。このカテゴリの API は、get、describe、または list オペレーションです (DescribeInstancesGetRolePolicy、または ListAccessKeys など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

Exfiltration:IAMUser/AnomalousBehavior

AWS 環境からデータを収集するために一般的に使用される API は、異常な方法で起動しました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観測された API は、通常、侵入戦術に関連していて、そこでは攻撃者がネットワークからデータを収集しようとしています。この検出結果タイプの API は管理 (コントロールプレーン)オペレーションのみであり、通常は、S3、スナップショット、およびデータベースに関連しています (PutBucketReplicationCreateSnapshotRestoreDBInstanceFromDBSnapshot など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

Impact:IAMUser/AnomalousBehavior

ある AWS 環境でデータやプロセスを改ざんするために、一般的に使用される API は異常な方法で起動しました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、通常、攻撃者がオペレーションを中断し、ユーザーのアカウント内のデータを操作、中断、または破壊しようとするインパクト戦術に関連しています。この検出結果タイプの API は、通常、delete、update、または put オペレーションです (DeleteSecurityGroupUpdateUserPutBucketPolicy など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

InitialAccess:IAMUser/AnomalousBehavior

ある AWS 環境への不正アクセスを得るために、一般的に使用される API が異常な方法で起動しました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。攻撃者がユーザーの環境へのアクセスを確立しようとすると、観察される API は、通常攻撃の初期アクセス段階に関連付けられます。このカテゴリの API は、通常 get トークン、またはセッションオペレーションです (GetFederationTokenStartSessionGetAuthorizationToken など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

PenTest:IAMUser/KaliLinux

API が Kali Linux EC2 マシンから起動しました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Kali Linux が実行されているマシンはユーザーの環境の AWS アカウントの認証情報一覧を使用して API コールが行われていることを知らせるものです。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

PenTest:IAMUser/ParrotLinux

API が Parrot Security Linux マシンから起動しました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Parrot Security Linux が実行されているマシンはユーザーの環境の AWS アカウントの認証情報を使用して API コールが行われていることを知らせるものです。Parrot Security Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

PenTest:IAMUser/PentooLinux

API が Pentoo Linux マシンから起動しました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Pentoo Linux が実行されているマシンはユーザーの環境の AWS アカウントの認証情報一覧を使用して API コールが行われていることを知らせるものです。Pentoo Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

Persistence:IAMUser/AnomalousBehavior

ある AWS 環境への不正アクセスを維持するために、一般的に使用される API が異常な方法で起動しました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、通常、攻撃者がユーザーの環境へのアクセスを獲得し、そのアクセスを維持しようとするパーシスタンス戦術に関連しています。このカテゴリの API は、通常、create、インimport、または modify オペレーションです (CreateAccessKeyImportKeyPairModifyInstanceAttribute など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

Policy:IAMUser/RootCredentialUsage

API がルート認証情報を使用して呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail 管理イベントまたは CloudTrail データイベント

この検出結果は、ユーザーの環境のリスト化された AWS アカウントのルート認証情報が AWS のサービスへのリクエストに使用されていることを知らせるものです。ユーザーは AWS のサービスへのアクセスにルート認証情報を使用しないことをお勧めします。代わりに、AWS のサービスは AWS Security Token Service (STS) からの最小特権の一時認証情報を使用してアクセスします。AWS STS がサポートされていない状況では、IAM ユーザー認証情報をお勧めします。詳細については、「IAM ベストプラクティス」を参照してください。

注記

アカウントで S3 脅威検出が有効になっている場合、この検出結果は、AWS アカウントのルート認証情報を使用して S3 リソースで S3 データプレーンオペレーションを実行しようとした場合に応答して生成される可能性があります。使用された API コールは、検出結果の詳細でリスト化されます。S3 脅威検出が有効になっていない場合、この検出結果はイベントログ API によってのみトリガーされます。S3 脅威検出の詳細については、「S3 保護」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

PrivilegeEscalation:IAMUser/AnomalousBehavior

通常ある AWS 環境への高レベルの許可を取得するために使用される API が異常な方法で起動しました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、通常、攻撃者が環境へのより高いレベルの許可を取得しようとする特権エスカレーション戦術に関連しています。このカテゴリの API は、通常、IAM ポリシー、ロール、ユーザーを変更するオペレーションを含みます (AssociateIamInstanceProfileAddUserToGroupPutUserPolicy など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

Recon:IAMUser/MaliciousIPCaller

API が既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、ユーザーの環境内のアカウントの AWS リソースをリスト化または記述できる API オペレーションが、脅威リストの IP アドレスから起動したことを知らせるものです。攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、入手した認証情報の機能を特定するために、ユーザーの AWS リソースの偵察を行うことがあります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

Recon:IAMUser/MaliciousIPCaller.Custom

API が既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、ユーザーの環境のアカウントの AWS リソースをリスト化または説明できる API オペレーションがカスタム脅威リストの IP アドレスから起動したことを知らせるものです。使用された脅威リストは、検出結果の詳細に表示されます。攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、入手した認証情報の機能を特定するために、ユーザーの AWS リソースの偵察を行うことがあります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

Recon:IAMUser/TorIPCaller

API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、ユーザーの環境のアカウントの AWS リソースをリスト化または説明できる API オペレーションが Tor 出口ノードの IP アドレスから起動したことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。攻撃者は真のアイデンティティを隠すために Tor を使用します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail ログ記録は無効です。

デフォルトの重要度: [Low] (低)

  • データソース CloudTrail 管理イベント

この検出結果は、ユーザーの AWS 環境の CloudTrail の追跡が無効化されたことを知らせるものです。これにより、悪意ある目的でユーザーの AWS リソースへアクセスしている間、活動の痕跡を消してトラックを隠してログ記録を無効化しようとします。この検出結果は、証跡情報の削除または更新が成功することによってトリガーされる場合があります。また、この検出結果は、GuardDuty に関連付けられている証跡のログを保存する S3 バケットが削除された場合にもトリガーされます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

Stealth:IAMUser/PasswordPolicyChange

アカウントのパスワードポリシーが弱化されています。

デフォルトの重要度: [Low] (低)*

注記

この検出結果の重要度は、パスワードポリシーに加えられた変更の重要度に応じて、[Low] (低)、[Medium] (中)、[High] (高) になります。

  • データソース CloudTrail 管理イベント

AWS アカウントパスワードポリシーが、ユーザーの AWS 環境のリスト化されたアカウントでが無力にされました。例えば、アカウントの削除、必要な文字数を減らすような更新、記号や数字を不要とする更新、パスワードの有効期限を延長するような更新が行われています。この検出結果により、ユーザーの AWS アカウントのパスワードポリシーを更新または削除を試みることでトリガーされます。AWS アカウントのパスワードポリシーでは、IAM ユーザーに設定できるパスワードの種類を規定するルールを定義します。パスワードポリシーが弱化されると、覚えやすいパスワードや推測しやすいパスワードの作成が可能になり、セキュリティ上のリスクが生じます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

世界中でコンソールに対する複数の正常なログインが確認されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、世界各地から同時に同じ IAM ユーザーによるコンソールへの複数の正常なログインが確認されたことを知らせるものです。このような悪意やリスクの高いアクセスロケーションパターンは、AWS リソースへの不正アクセスの可能性を示しています。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

インスタンス起動ロールを通じて EC2 インスタンス専用に作成された認証情報は、AWS 内の別のアカウントから使用されています。

デフォルトの重要度: [High] (高)*

注記

この検出結果のデフォルトの重要度は [High] (高) です。ただし、API がご使用の AWS 環境に関連付けられているアカウントによって呼び出された場合、重要度は [Medium] (中) です。

  • データソース: CloudTrail 管理イベントまたは S3 データイベント

この検出結果は、EC2 インスタンスの認証情報を使用して、関連付けられた EC2 インスタンスが実行されているアカウントとは異なる AWS アカウントが所有する IP アドレスから API を呼び出す場合に知らせるものです。

AWS は、一時的な認証情報を作成したエンティティ (AWS アプリケーション、EC2、Lambda など) 外にその認証情報を再配布することはお勧めしません。ただし、承認されたユーザーは EC2 インスタンスから認証情報をエクスポートして正当な API コールを行うことができます。remoteAccountDetails.Affiliated フィールドが True である場合、API は、ご使用の AWS 環境に関連付けられたアカウントから呼び出されました。攻撃の可能性を排除してアクティビティが正当であることを確認するには、これらの認証情報を割り当てる先の IAM ユーザーに問い合わせてみます。

修復のレコメンデーション

この検出結果に応じて、次のワークフローを使用して、一連のアクションを決定できます。

  1. service.action.awsApiCallAction.remoteAccountDetails.accountId フィールドから関係するリモートアカウントを特定します。

  2. 次に、そのアカウントが service.action.awsApiCallAction.remoteAccountDetails.affiliated フィールドから GuardDuty 環境に関連付けられているかどうかを確認します。

  3. アカウントが連携している場合は、リモートアカウントの所有者と EC2 インスタンスの認証情報の所有者に問い合わせて、調査してください。

  4. アカウントが提携していない場合は、まず、そのアカウントが組織に関連付けられているが、GuardDuty マルチアカウントの設定の一部となっていないかどうか、または GuardDuty がアカウント内でまだ有効化されていないかどうかを評価します。それ以外の場合は、EC2 認証情報の所有者に問い合わせて、リモートアカウントがこれらの認証情報を使用するユースケースがあるかどうかを判断します。

  5. 認証情報の所有者がリモートアカウントを認識しない場合は、AWS 内で動作する脅威アクターによって認証情報が侵害された可能性があります。ご利用の環境を保護するために、侵害された EC2 インスタンスの修復 で推奨されているステップを実行する必要があります。さらに、AWS Trust and Safety チームに不正使用レポートを送信して、リモートアカウントの調査を開始できます。AWS Trust and Safety にレポートを送信するときは、検出結果の完全な JSON 詳細を含めてください。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

インスタンス作成ロールで EC2 インスタンス専用に作成された認証情報が外部 IP アドレスから使用されています。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベントまたは S3 データイベント

この検出結果は、AWS の外のホストはユーザーの AWS 環境の EC2 インスタンスで作成した一時的な AWS 認証情報を使用して、AWS API オペレーションを実行しようとしていることを知らせるものです。EC2 インスタンス一覧に不正アクセスされ、このインスタンスの一時的な認証情報が AWS の外のリモートホストに漏洩している可能性があります。AWS は、作成したエンティティの外で一時的な認証情報を再配布することは推奨しません (AWS アプリケーション、EC2、Lambda など)。ただし、承認されたユーザーは EC2 インスタンスから認証情報をエクスポートして正当な API コールを行うことができます。潜在的な攻撃を除外し、アクティビティの正当性を検証するには、検出結果においてリモート IP からのインスタンスの認証情報の使用が想定されるかどうかを検証します。

修復のレコメンデーション

この検出結果が生成されるのは、VPC インターネットゲートウェイ (IGW) からではなく、オンプレミスのゲートウェイから排出され、インターネットトラフィックがルーティングされるように、ネットワークが構成されている場合です。AWS Outposts や VPC VPN 接続などの一般的な構成では、このようにトラフィックがルーティングされる可能性があります これが予期した動作である場合は、抑制ルールを使用して、2 つのフィルター条件で構成されるルールを作成することをお勧めします。1 つ目の条件では、[finding type] (結果タイプ) に UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS を使用します。2 番目のフィルター条件は、オンプレミスインターネットゲートウェイの IP アドレスまたは CIDR 範囲を持つ [API caller IPv4 Address] (API 発信者の IPv4 アドレス) です。抑制ルールの作成の詳細については、「抑制ルール」を参照してください。

注記

GuardDuty が外部ソースからの継続的なアクティビティを観察した場合、その機械学習モデルは、想定されるアクティビティとしてこれを識別し、そのソースからのアクティビティの検出結果の生成を停止します。GuardDuty は、他のソースからの新しい動作に関する検出結果を引き続き生成し、学習したソースを時間の経過とともに変化する動作として再評価します。

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

API が既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行など) が既知の悪意のある IP アドレスから起動したことを知らせるものです。これは、ユーザーの環境の AWS リソースへの不正アクセスであることを示唆している場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行など) が、アップロードした脅威リストに含まれる IP アドレスから起動したことを知らせるものです。 では、脅威リストは既知の悪意のある IP アドレスで構成されます。これは、ユーザーの環境の AWS リソースへの不正アクセスであることを示唆している場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/TorIPCaller

API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行など) が Tor 出口ノードの IP アドレスから起動したことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠しているという意図により、AWS リソースへの未承認のアクセスを示唆している場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 認証情報の修復」を参照してください。