GuardDuty によって検出されたセキュリティ問題の修復 - Amazon GuardDuty

GuardDuty によって検出されたセキュリティ問題の修復

Amazon GuardDuty は、潜在的なセキュリティ問題を示す結果を生成します。このリリースの GuardDuty におけるセキュリティ問題は、AWS 環境の侵害された EC2 インスタンスまたは侵害された認証情報セットを示します。以下のセクションでは、どちらのシナリオにおいても推奨される修正手順について説明します。

侵害された EC2 インスタンスの修正

AWS 環境の侵害された EC2 インスタンスを修正するには、以下の推奨手順に従います。

侵害された AWS 認証情報の修正

AWS 環境の侵害された認証情報を修正するには、以下の推奨手順に従います。

  1. 影響を受ける IAM エンティティと使用された API コールを特定します。

    使用された API コールは、検索の詳細に API として表示されます。IAM エンティティ (IAM ユーザーまたは IAM ロール) とその識別情報は、結果の詳細の [リソース] セクションに表示されます。関連する IAM エンティティのタイプは、[ユーザータイプ] フィールドで特定できます。IAM エンティティの名前は、[ユーザー名] フィールドに表示されます。結果に関連する IAM エンティティのタイプは、使用されたアクセスキー ID でも特定できます。

    AKIA で始まるキーの場合:

    このタイプのキーは、IAM ユーザーまたは AWS アカウントのルートユーザーに関連付けられているお客様が管理する長期の認証情報です。IAM ユーザーのアクセスキーの管理については、「IAM ユーザーのアクセスキーの管理」を参照してください。

    ASIA で始まるキーの場合:

    このタイプのキーは、AWS Security Token Service によって生成される短期の一時的な認証情報です。これらのキーは短時間しか存在せず、AWS マネジメントコンソールで表示または管理することはできません。IAM ロールは常に AWS STS の認証情報を使用しますが、これらは IAM ユーザーに対して生成することもできます。AWS STS の詳細については、IAM の「一時的セキュリティ認証情報」を参照してください。

    ロールが使用された場合、[ユーザー名] フィールドには使用されたロールの名前についての情報が含まれます。AWS CloudTrail を使用して CloudTrail のログのエントリの sessionIssuer 要素を確認することにより、キーがどのようにリクエストされたかを特定できます。詳細については、「CloudTrail での IAM と AWS STS に関する情報」を参照してください。

  2. IAM エンティティのアクセス許可を確認します。

    IAM コンソールを開き、使用されたエンティティのタイプに応じて [ユーザー] タブまたは [ロール] タブを選択し、検索フィールドに特定した名前を入力して影響を受けるエンティティを見つけます。[アクセス許可] タブと [アクセスアドバイザー] タブを使用して、そのエンティティの有効なアクセス許可を確認します。

  3. IAM エンティティの認証情報が正当に使用されたかどうかを確認します。

    アクティビティが意図的なものであったかどうかを確認するには、認証情報のユーザーに問い合わせます。

    たとえば、ユーザーが以下のことを行ったかどうかを確認します。

    • GuardDuty の結果に表示された API オペレーションの呼び出し

    • GuardDuty の結果に表示された時刻における API オペレーションの呼び出し

    • GuardDuty の結果に表示された IP アドレスからの API オペレーションの呼び出し

アクティビティが AWS 認証情報の正当な使用を示していることを確認した場合、この GuardDuty の結果は無視できます。確認できない場合、このアクティビティは、その特定のアクセスキー、IAM ユーザーの ID とパスワード、または AWS アカウント全体に対する侵害の結果である可能性があります。認証情報が侵害された疑いがある場合は、「私の AWS アカウントが侵害を受けた可能性があります」の記事の情報を確認して問題を修正します。