Amazon GuardDuty
Amazon Guard Duty ユーザーガイド

GuardDuty によって検出されたセキュリティ問題の修復

Amazon GuardDuty は、潜在的なセキュリティ問題を示す結果を生成します。このリリースの GuardDuty におけるセキュリティ問題は、AWS 環境の侵害された EC2 インスタンスまたは侵害された認証情報セットを示します。以下のセクションでは、どちらのシナリオにおいても推奨される修正手順について説明します。

侵害された EC2 インスタンスの修正

AWS 環境の侵害された EC2 インスタンスを修正するには、以下の推奨手順に従います。

侵害された AWS 認証情報の修正

AWS 環境の侵害された認証情報を修正するには、以下の推奨手順に従います。

  • 認証情報の所有者を識別します。

    GuardDuty の結果により AWS 認証情報が侵害されている可能性に気づいたら、アクセスキーまたはユーザー名を使用して該当する IAM ユーザーを特定できます。

    注記

    ユーザーが各 AWS サービスの API を使用し、AWS コマンドラインインターフェイス (AWS CLI)、Tools for Windows PowerShell、AWS SDK、または直接 HTTP 呼び出しで AWS をプログラムで呼び出すには、ユーザー独自のアクセスキーが必要です。このニーズを満たすために、IAM ユーザーのアクセスキー (アクセスキー ID およびシークレットアクセスキー) を作成、修正、表示、および更新できます。詳細については、「IAM ユーザーのアクセスキーの管理」を参照してください。

    侵害された可能性のある IAM ユーザーのアクセスキー ID またはユーザー名を確認するには、コンソールを開き、分析するる結果の詳細ペインを表示します。詳細については、「GuardDuty 結果の検索と分析」を参照してください。アクセスキー ID またはユーザー名を確認したら、IAM コンソールを開き、[ユーザー] タブを選択して、[Find users by username or access key (ユーザー名またはアクセスキーでユーザーを検索)] 検索フィールドにアクセスキー ID またはユーザー名を入力し、該当するユーザーを特定します。

  • 認証情報が IAM ユーザーによって正当に使用されたかどうかを確認します。

    特定した IAM ユーザーに連絡し、このユーザーが GuardDuty の結果で特定されたアクセスキーとユーザー名を正しく使用しているかどうかを確認します。たとえば、ユーザーが以下のことを行ったかどうかを確認します。

    • GuardDuty の結果に表示された API オペレーションの呼び出し

    • GuardDuty の結果に表示された時刻における API オペレーションの呼び出し

    • GuardDuty の結果に表示された IP アドレスからの API オペレーションの呼び出し

アクティビティが AWS 認証情報の正当な使用を示していることを確認した場合、この GuardDuty の結果は無視できます。そうではない場合、このアクティビティは、該当するアクセスキー、IAM ユーザーの ID とパスワード、または AWS アカウント全体に対する侵害の結果を示している可能性があります。問題の修正については、「自分の AWS アカウントが危険にさらされているようです」の記事の情報を参考にしてください。