GuardDuty によって検出されたセキュリティ問題の修復
Amazon GuardDuty は、潜在的なセキュリティ問題を示す結果を生成します。このリリースの GuardDuty におけるセキュリティ問題は、AWS 環境の侵害された EC2 インスタンスまたは侵害された認証情報セットを示します。以下のセクションでは、どちらのシナリオにおいても推奨される修正手順について説明します。
侵害された EC2 インスタンスの修正
AWS 環境の侵害された EC2 インスタンスを修正するには、以下の推奨手順に従います。
-
マルウェアに侵害された可能性のあるインスタンスを調査し、検出されたマルウェアを削除します。マルウェアの特定および削除に役立つパートナー製品については、AWS Marketplace も参照してください。
-
EC2 インスタンス上の不正なアクティビティを特定し、停止できない場合は、侵害された EC2 インスタンスを削除し、必要に応じて新しいインスタンスを作成することをお勧めします。EC2 インスタンスを保護するための追加リソースを以下に示します。
-
「Amazon EC2 のベストプラクティス」の「セキュリティおよびネットワーク」セクション。
-
「Linux インスタンス用の Amazon EC2 セキュリティグループ」および「Windows インスタンス用の Amazon EC2 セキュリティグループ」
-
-
AWS 開発者フォーラムの詳細については、「https://forums.aws.amazon.com/index.jspa」を参照してください。
-
プレミアムサポートパッケージの受信者は、「テクニカルサポート」をリクエストをできます。
侵害された AWS 認証情報の修正
AWS 環境の侵害された認証情報を修正するには、以下の推奨手順に従います。
-
認証情報の所有者を識別します。
GuardDuty の結果により AWS 認証情報が侵害されている可能性に気づいたら、アクセスキーまたはユーザー名を使用して該当する IAM ユーザーを特定できます。
注記
ユーザーが各 AWS サービスの API を使用し、AWS コマンドラインインターフェイス (AWS CLI)、Tools for Windows PowerShell、AWS SDK、または直接 HTTP 呼び出しで AWS をプログラムで呼び出すには、ユーザー独自のアクセスキーが必要です。このニーズを満たすために、IAM ユーザーのアクセスキー (アクセスキー ID およびシークレットアクセスキー) を作成、修正、表示、および更新できます。詳細については、「IAM ユーザーのアクセスキーの管理」を参照してください。
侵害された可能性のある IAM ユーザーのアクセスキー ID またはユーザー名を確認するには、コンソールを開き、分析するる結果の詳細ペインを表示します。詳細については、「GuardDuty 結果の検索と分析」を参照してください。アクセスキー ID またはユーザー名を確認したら、IAM コンソールを開き、[ユーザー] タブを選択して、[Find users by username or access key (ユーザー名またはアクセスキーでユーザーを検索)] 検索フィールドにアクセスキー ID またはユーザー名を入力し、該当するユーザーを特定します。
-
認証情報が IAM ユーザーによって正当に使用されたかどうかを確認します。
特定した IAM ユーザーに連絡し、このユーザーが GuardDuty の結果で特定されたアクセスキーとユーザー名を正しく使用しているかどうかを確認します。たとえば、ユーザーが以下のことを行ったかどうかを確認します。
-
GuardDuty の結果に表示された API オペレーションの呼び出し
-
GuardDuty の結果に表示された時刻における API オペレーションの呼び出し
-
GuardDuty の結果に表示された IP アドレスからの API オペレーションの呼び出し
-
アクティビティが AWS 認証情報の正当な使用を示していることを確認した場合、この GuardDuty の結果は無視できます。そうではない場合、このアクティビティは、該当するアクセスキー、IAM ユーザーの ID とパスワード、または AWS アカウント全体に対する侵害の結果を示している可能性があります。問題の修正については、「自分の AWS アカウントが危険にさらされているようです」の記事の情報を参考にしてください。
