修复由发现的安全问题 GuardDuty - 亚马逊 GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复由发现的安全问题 GuardDuty

亚马逊 GuardDuty 生成发现表示存在潜在安全问题的信息。在此版本中 GuardDuty,则潜在安全问题表示您的 EC2 实例或容器工作负载被盗用,或者一组凭证被盗用AWS环境。以下部分针对各个场景介绍了推荐的补救措施。如果存在替代补救方案,则将在该特定发现类型的条目中对其进行描述。您可以访问有关查找结果类型的完整信息,方法是从活动调查结果类型表.

修复受损的 EC2 实例

通过以下推荐的步骤,修复您的 EC2 实例AWS环境:

  1. 调查可能遭盗用实例中的恶意软件,并清除任何发现的恶意软件。您可以查看AWS Marketplace查看是否有用于识别和清除恶意软件的合作伙伴产品。

  2. 如果您无法识别和阻止 EC2 实例上未经授权的活动,我们建议您终止遭盗用的 EC2,然后根据需要使用新实例来替换它。以下是可以保护您 EC2 实例的其他资源:

  3. 浏览更多帮助AWS开发人员论坛:https://forums.aws.amazon.com/index.jspa

  4. 如果您是 Premium Support 服务包的订阅者,您可以提交技术支持请求。

修复受影响的 S3 存储桶

通过以下推荐的步骤,修复您的 Amazon S3 存储桶遭盗用AWS环境:

  1. 确定受影响的 S3 资源。

    一个 GuardDuty S3 的查找将在查找详细信息中列出 S3 存储桶、存储桶的 Amazon 资源编号 (ARN) 和存储桶拥有者。

  2. 确定可疑活动的来源和使用的 API 调用。

    使用的 API 调用将在调查结果详细信息中作为 API 列出。来源将是 IAM 委托人(IAM 用户、角色或账户),识别详细信息将在调查结果中列出。根据源类型,将提供远程 IP 地址或源域信息,它们可以帮助您评估源是否已获得授权。如果发现涉及来自 EC2 实例的证书,则该资源的详细信息也将包括在内。

  3. 确定呼叫源是否被授权访问标识的资源。

    例如,请考虑以下事项:

    • 如果 IAM 用户参与其中,他们的凭证是否可能已被泄露? 请参阅以下有关修复受影响的部分,请参阅以下部分AWS凭证。

    • 如果 API 是从以前没有调用此类 API 历史记录的委托人调用的,那么此源是否需要访问权限才能执行此操作? 是否可以进一步限制存储桶权限?

    • 如果访问权限是从用户名 ANONYMOUS_PRINCIPAL用户类型AWSAccount这表示存储桶是公共的并且已被访问。这个存储桶应该公开吗? 如果没有,请查看以下安全建议,了解共享 S3 资源的替代解决方案。

    • 如果访问成功PreflightRequest呼叫从用户名ANONYMOUS_PRINCIPAL用户类型AWSAccount这表示存储桶已设置跨域资源共享 (CORS) 策略。这个存储桶应该有 CORS 策略吗? 如果没有,请确保存储桶不会在无意中被公开,并查看以下安全建议,以了解共享 S3 资源的替代解决方案。有关 COR 的更多信息,请参阅使用跨源资源共享 (CORS)在 S3 用户指南中。

如果访问权限,您可以忽略调查结果,您可以忽略调查结果。这些区域有:https://console.aws.amazon.com/guardduty/console 允许您设置规则以完全禁止单个查找结果,从而使它们不再显示。有关更多信息,请参阅 禁止规则

如果您确定您的 S3 数据已被未经授权方暴露或访问,请查看以下 S3 安全建议,以加强权限并限制访问。适当的补救措施将取决于您的特定环境需求。

以下是基于特定 S3 访问需求的一些建议:

  • 要以集中方式限制对您的 S3 数据的公开访问,请使用 S3 阻止公有访问。可以为访问点、存储桶和启用阻止公有访问设置AWS账户通过四种不同的设置来控制访问的粒度。有关更多信息,请参阅S3 阻止公有访问设置.

  • AWS访问策略可用于控制 IAM 用户访问您的资源的方式或访问存储桶的方式。有关更多信息,请参阅使用存储桶策略和用户策略。.

    此外,您可以使用Virtual Private Cloud (VPC) 终端节点和 S3 存储桶策略,限制对特定 VPC 终端节点的访问。有关更多信息,请参阅Amazon S3 的 VPC 终端节点的示例存储桶策略

  • 要暂时允许账户以外的受信任实体访问您的 S3 对象,您可以通过 S3 创建预签名 URL。此访问权限是使用您的账户凭据创建的,根据所使用的凭证,可以持续 6 小时到 7 天。有关更多信息,请参阅使用 S3 生成预签名 URL.

  • 对于需要在不同源之间共享 S3 对象的使用案例,您可以使用 S3 接入点创建权限集,将访问权限限制为仅限私有网络中的访问权限。有关更多信息,请参阅使用 Amazon S3 访问点管理数据访问.

  • 安全地授予 Authentication S3 资源的访问权限AWS您可以使用访问控制列表 (ACL) 的帐户,有关更多信息,请参阅使用 ACL 管理 S3 访问.

有关 S3 安全选项的完整概述,请参阅S3 安全最佳实践.

修复受感染的 ECS 群集

通过以下推荐的步骤,修复您的AWS环境:

  1. 确定受影响的 ECS 集群。

    这些区域有: GuardDuty 针对 ECS 的恶意软件防护调查结果提供了ECS 集群详细信息在调查结果的详细信息面板中。

  2. 评估恶意软件的来源

    评估检测到的恶意软件是否在容器的映像中。如果映像中存在恶意软件,请标识使用此映像运行的所有其他任务。有关正在运行的任务的信息,请参阅ListTasks.

  3. 隔离受影响的任务

    隔离受影响的任务,这些任务会拒绝该任务的所有入口和出站流量。“全部拒绝” 流量规则可切断与任务的所有连接,从而帮助阻止已经在进行的攻击。

如果访问权限,您可以忽略调查结果,您可以忽略调查结果。这些区域有:https://console.aws.amazon.com/guardduty/console 允许您设置规则以完全禁止单个查找结果,从而使它们不再显示。有关更多信息,请参阅 禁止规则

修复受感染的环境AWS证书

通过以下推荐的步骤,修复您的AWS环境:

  1. 确定受影响的 IAM 实体和使用的 API 调用。

    使用的 API 调用将在调查结果详细信息中作为 API 列出。IAM 实体(IAM 用户或角色)及其识别信息将在调查结果详细信息的 Resource (资源) 部分中列出。所涉及的 IAM 实体的类型可由 User Type (用户类型) 字段确定,IAM 实体的名称将位于 User name (用户名) 字段中。调查结果中涉及的 IAM 实体的类型也可以由使用的 Access key ID (访问密钥 ID) 确定。

    对于以 AKIA 开头的密钥:

    此类型的密钥是与 IAM 用户关联的长期客户托管凭证或AWS账户根用户。有关管理 IAM 用户的访问密钥的信息,请参阅管理 IAM 用户的访问密钥.

    对于以 ASIA 开头的密钥:

    此类型的密钥是由 AWS Security Token Service 生成的短期临时凭证。这些密钥仅存在很短的时间,无法在AWS管理控制台。IAM 角色将始终使用AWS STS凭证,但也可以为 IAM 用户生成这些凭证,有关的更多信息AWS STS看到IAM:临时安全凭证.

    如果使用了角色用户名字段将指示所用角色的名称。您可以使用以下命令确定密钥是如何申请的AWS CloudTrail通过检查sessionIssuer的元素 CloudTrail 日志条目,有关更多信息,请参阅IAM 与AWS STS中的 信息 CloudTrail.

  2. 查看 IAM 实体的权限。

    打开 IAM 控制台,根据使用的实体类型选择 Users (用户)Roles (角色) 选项卡,然后通过在搜索字段中键入已识别的名称来查找受影响的实体。使用 Permission (权限)Access Advisor (访问顾问) 选项卡可查看该实体的有效权限。

  3. 确定是否合法使用了 IAM 实体凭证。

    请与凭证用户联系以确定活动是否是有意进行的。

    例如,确定此用户是否执行了以下操作:

    • 调用了 API 操作 GuardDuty 发现

    • 在 GuardDuty 调查结果中列出的时间调用了 API 操作

    • 从 GuardDuty 调查结果中列出的 IP 地址调用了 API 操作

如果此活动是对AWS凭证,您可以忽略 GuardDuty 查找。这些区域有:https://console.aws.amazon.com/guardduty/console 允许您设置规则以完全禁止单个查找结果,从而使它们不再显示。有关更多信息,请参阅 禁止规则

如果您无法确认此活动是否为合法用途,则可能是特定访问密钥、IAM 用户的用户 ID 和密码或者可能是整个AWSaccount. 如果您怀疑您的凭证被盗用,请查看我的AWS账户可能被盗用文章来修复此问题。

修复受感染的独立容器

  1. 隔离容器

    要识别恶意容器工作负载,请遵循以下步骤:

    • 打开 GuardDuty 控制台位于https://console.aws.amazon.com/guardduty/.

    • 在存储库的结果页面上,选择相应的查找结果以打开调查结果面板。

    • 在调查结果面板中,在受影响的资源部分中,您可以查看容器的ID名称.

    将此容器与其他容器工作负载隔离开来。

  2. 暂停容器

    暂停容器中的所有进程。有关如何冻结容器的信息,请参阅暂停容器。

    停止容器

    如果上面的步骤失败,并且容器没有暂停,请停止容器运行。如果你已启用快照保留功能, GuardDuty 将保留包含恶意软件的 EBS 卷的快照。

    有关如何停止容器的信息,请参阅停止容器.

  3. 评估是否有恶意软件

    评估容器的映像中是否存在恶意软件。

如果访问权限,您可以忽略调查结果,您可以忽略调查结果。这些区域有:https://console.aws.amazon.com/guardduty/console 允许您设置规则以完全禁止单个查找结果,从而使它们不再显示。这些区域有: GuardDuty console 允许您设置规则以完全禁止单个查找结果,从而使它们不再显示。有关更多信息,请参阅禁止规则