GuardDuty によって検出されたセキュリティ問題の修復

Amazon GuardDutyの結果潜在的なセキュリティ問題を示します。このリリースの GuardDuty におけるセキュリティ問題は、侵害された EC2 インスタンスまたは侵害された認証情報セットを示します。AWS環境。以下のセクションでは、これらのシナリオの推奨修正手順について説明します。代替の修復シナリオがある場合は、その特定の検索タイプのエントリに説明されます。検索タイプに関する完全な情報にアクセスするには、[[アクティブな結果タイプ] テーブル。

侵害された EC2 インスタンスの修正

侵害された EC2 インスタンスを修正するには、以下の推奨手順に従います。AWS環境:

• マルウェアに侵害された可能性のあるインスタンスを調査し、検出されたマルウェアを削除します。マルウェアの特定および削除に役立つパートナー製品については、 AWS Marketplace も参照してください。

• EC2 インスタンス上の不正なアクティビティを特定し、停止できない場合は、侵害された EC2 インスタンスを削除し、必要に応じて新しいインスタンスを作成することをお勧めします。EC2 インスタンスを保護するための追加リソースを以下に示します。

  • の「セキュリティおよびネットワーク」セクションAmazon EC2 のベストプラクティス。

  • Linux インスタンス用の Amazon EC2 セキュリティグループおよびWindows インスタンス用の Amazon EC2 セキュリティグループ。

  • EC2 インスタンスのセキュリティを確保するためのヒント (Linux)

  • AWS セキュリティのベストプラクティス

  • のインフラストラクチャドメインインシデント AWS

• の詳細については、「」を参照してください。AWS開発者フォーラム:https://forums.aws.amazon.com/index.jspa

• プレミアムサポートパッケージの受信者は、「テクニカルサポート」をリクエストできます。

侵害された S3 バケットの修正

侵害された S3 バケットを修正するには、以下の推奨手順に従います。AWS環境:

1. 影響を受ける S3 リソースを特定します。

   S3 の GuardDuty 検索では、検索の詳細に S3 バケット、バケットの Amazon リソース番号（ARN）、およびバケット所有者が表示されます。

2. 疑わしいアクティビティのソースと使用された API コールを特定します。

   使用された API コールは、検索の詳細に API として表示されます。ソースは IAM プリンシパル（IAM ユーザー、ロール、またはアカウント）で、識別詳細が検索結果に表示されます。ソースタイプに応じて、リモート IP またはソースドメイン情報が利用可能になり、ソースが認可されたかどうかを評価するのに役立ちます。EC2 インスタンスからの認証情報が見つかった場合は、そのリソースの詳細も含まれます。

3. コールソースが、識別されたリソースへのアクセスを許可されたかどうかを確認します。

   たとえば、次の点を考慮します。

   • IAM ユーザーが関与していた場合、そのユーザーの認証情報が侵害されている可能性がありますか? 侵害された修正に関する次のセクション「」を参照してください。AWS認証情報。

   • このタイプの API を呼び出す以前の履歴がないプリンシパルから API が呼び出された場合、このソースはこのオペレーションのアクセス権限を必要としますか? バケットのアクセス許可をさらに制限できますか？

   • アクセスが[User name ANONYMOUS_PRINCIPALをユーザータイプのAWSAccountこれは、バケットがパブリックであり、アクセスされたことを示します。このバケットは公開する必要がありますか？ そうでない場合は、S3 リソースを共有するための代替ソリューションについて、以下のセキュリティ推奨事項を確認してください。

   • アクセスが成功していた場合PreflightRequestから見たコールは、[User nameANONYMOUS_PRINCIPALをユーザータイプのAWSAccountこれは、バケットのCross-Origin Resource Sharing (CORS) ポリシーセットがあることを示します。このバケットには CORS ポリシーが必要ですか? そうでない場合は、バケットが誤って公開されていないことを確認し、S3 リソースを共有するための代替ソリューションについては、以下のセキュリティ推奨事項を確認してください。CORSの詳細については、「」を参照してください。Cross-Origin Resource Sharing (CORS) の使用『S3 ユーザーガイド』を参照してください。

アクセスが承認された場合、このの結果は無視できます。S3 データが許可されていないパーティによって公開またはアクセスされていると判断した場合は、次の S3 セキュリティ推奨事項を確認して、アクセス許可を強化し、アクセスを制限してください。適切な修正ソリューションは、お客様の特定の環境のニーズによって異なります。

以下は、特定の S3 アクセスのニーズに基づく推奨事項です。

• S3 データへのパブリックアクセスを制限するための一元的な方法では、S3 ブロックパブリックアクセスを使用します。ブロックパブリックアクセスブロック設定は、アクセスポイント、バケット、AWSアクセスの粒度を制御するために、4つの異なる設定を使用してアカウント。詳細については、「」を参照してください。S3 パブリックアクセスブロック。

• AWSアクセスポリシーは、IAM ユーザーがリソースにアクセスする方法やバケットへのアクセス方法を制御するために使用できます。詳細については、「」を参照してください。バケットポリシーとユーザーポリシーの使用。

  さらに、S3 バケットポリシー付きVirtual Private Cloud (VPC) エンドポイントを使用して、特定の VPC エンドポイントへのアクセスを制限できます。詳細については、「」を参照してください。Amazon S3 の VPC エンドポイントのバケットポリシーの例

• アカウント外の信頼されたエンティティへの S3 オブジェクトへのアクセスを一時的に許可するには、S3 を使用して署名済み URL を作成します。このアクセスは、アカウントの認証情報を使用して作成され、使用される認証情報に応じて 6 時間から 7 日間続くことがあります。詳細については、「」を参照してください。S3 による署名付き URL の生成。

• 異なるソース間で S3 オブジェクトを共有する必要があるユースケースでは、S3 アクセスポイントを使用して、プライベートネットワーク内のアクセス権のみに制限するアクセス権セットを作成できます。詳細については、「」を参照してください。Amazon S3 アクセスポイントを使用したデータアクセスの管理。

• S3 リソースへのアクセスを他のAWSアクセスコントロールリスト (ACL) を使用できるアカウント。詳細については、ACL による S3 アクセスの管理。

S3 セキュリティオプションの完全な概要については、S3 セキュリティのベストプラクティス。

侵害された修復AWS認証情報

侵害された認証情報を修正するには、以下の推奨手順に従います。AWS環境:

1. 影響を受ける IAM エンティティと使用された API コールを特定します。

   使用された API コールは、検索の詳細に API として表示されます。IAM エンティティ (IAM ユーザーまたは IAM ロール) とその識別情報は、結果の詳細の [リソース] セクションに表示されます。関連する IAM エンティティのタイプは、[ユーザータイプ] フィールドで特定できます。IAM エンティティの名前は、[ユーザー名] フィールドに表示されます。結果に関連する IAM エンティティのタイプは、使用されたアクセスキー ID でも特定できます。

   AKIA で始まるキーの場合:

   このタイプのキーは、IAM ユーザーに関連付けられた、お客様が管理する長期の認証情報です。AWSアカウントのルートユーザーです。IAM ユーザーのアクセスキーの管理については、「」を参照してください。IAM ユーザーのアクセスキーを管理します。。

   ASIA で始まるキーの場合:

   このタイプのキーは、AWS Security Token Service によって生成される短期の一時的な認証情報です。これらのキーは短時間しか存在せず、AWSマネジメントコンソール。IAM ロールは常にAWS STS認証情報を生成することもできますが、これらは IAM ユーザーに対して生成することもできます。の詳細については、AWS STSseeIAM: 一時的な認証情報。

   ロールが使用された場合、[User name]フィールドには、使用されるロールの名前が示されます。キーがどのようにリクエストされたかを判断するには、AWS CloudTrailを調べることによるsessionIssuer要素CloudTrail。詳細については、IAM およびAWS STSCloudTrail での 情報。

2. IAM エンティティのアクセス許可を確認します。

   IAM コンソールを開き、使用されたエンティティのタイプに応じて [ユーザー] タブまたは [ロール] タブを選択し、検索フィールドに特定した名前を入力して影響を受けるエンティティを見つけます。[アクセス許可] タブと [アクセスアドバイザー] タブを使用して、そのエンティティの有効なアクセス許可を確認します。

3. IAM エンティティの認証情報が正当に使用されたかどうかを確認します。

   アクティビティが意図的なものであったかどうかを確認するには、認証情報のユーザーに問い合わせます。

   たとえば、ユーザーが以下のことを行ったかどうかを確認します。

   • GuardDuty の結果に表示された API オペレーションの呼び出し

   • GuardDuty の結果に表示された時刻における API オペレーションの呼び出し

   • GuardDuty の結果に表示された IP アドレスからの API オペレーションの呼び出し

アクティビティが正当な使用を示していることを確認した場合AWS資格情報を無視すると、GuardDuty の検索結果を無視できます。確認できない場合は、特定のアクセスキー、IAM ユーザーの ID とパスワード、またはAWSアカウント. 認証情報が侵害された疑いがある場合は、マイAWSアカウントが侵害される可能性がある記事を参照して、問題を修復してください。