Wie behebe ich ungewöhnliche Ressourcenaktivitäten mit meinem AWS-Konto?

Kurzbeschreibung

Unbefugte Kontoaktivitäten, wie z. B. neue Dienste, die unerwartet gestartet werden, können darauf hinweisen, dass Ihre AWS-Anmeldeinformationen gefährdet sind. Jemand mit böswilliger Absichten kann Ihre Anmeldeinformationen verwenden, um auf Ihr Konto zuzugreifen und Aktivitäten durchzuführen, die gemäß den Richtlinien zulässig sind. Weitere Informationen finden Sie unter Was kann ich tun, wenn ich unbefugte Aktivitäten in meinem AWS-Konto bemerke?

Behebung

Identifizieren Sie den kompromittierten IAM-Benutzer und den Zugriffsschlüssel und deaktivieren Sie sie anschließend. Verwenden Sie dann AWS CloudTrail, um nach dem API-Ereignisverlauf zu suchen, der mit dem kompromittierten IAM-Benutzer verknüpft ist.

Im folgenden Beispiel wurde eine Amazon Elastic Compute Cloud (Amazon EC2)-Instance unerwartet gestartet.

**Hinweis:**Die folgende Lösung gilt für langfristige Sicherheitsanmeldeinformationen, nicht für temporäre Sicherheitsanmeldeinformationen. Informationen zum Deaktivieren temporärer Anmeldeinformationen finden Sie unter Deaktivieren von Berechtigungen für temporäre Sicherheitsanmeldeinformationen.

Identifizieren Sie die Amazon EC2-Instance-ID

Führen Sie die folgenden Schritte aus:

1. Öffnen Sie die Amazon-EC2-Konsole und wählen Sie dann Instances aus.
2. Wählen Sie die EC2-Instance aus, und klicken Sie dann auf die Registerkarte Beschreibung.
3. Kopieren Sie die Instance-ID.

Suchen Sie die IAM-Zugriffsschlüssel-ID und den Benutzernamen, die zum Starten der Instance verwendet wurden

Führen Sie die folgenden Schritte aus:

1. Öffnen Sie die CloudTrail-Konsole und wählen Sie dann Ereignis-verlauf.
2. Wählen Sie unter Filter den Ressourcennamen.
3. Geben Sie im Feld Ressourcennamen eingeben die Instance-ID ein, und wählen Sie dann Enter.
4. Erweitern Sie den Ereignisnamen für RunInstances.
5. Kopieren Sie den AWS-Zugriffsschlüssel und notieren Sie sich dann den Benutzernamen.

Deaktivieren Sie den IAM-Benutzer, erstellen Sie einen Backup-IAM-Zugriffsschlüssel und deaktivieren Sie dann den kompromittierten Zugriffsschlüssel

Führen Sie die folgenden Schritte aus:

1. Öffnen Sie die IAM-Konsole und geben Sie dann die IAM-Zugriffsschlüssel-ID in die IAM-Such leiste ein.
2. Wählen Sie den Benutzernamen und dann die Registerkarte Sicherheitsanmeldeinformationen.
3. Wählen Sie unter Konsolenanmeldung die Option Konsolenzugriff verwalten aus.
   **Hinweis:**Wenn das Passwort für die AWS-Managementkonsole auf Deaktiviert gesetzt ist, können Sie diesen Schritt überspringen.
4. Wählen Sie unter Konsolenzugriff verwalten die Option Deaktivieren und dann Anwenden aus.
   **Wichtig:**Benutzer, deren Konten deaktiviert sind, können nicht auf die AWS-Managementkonsole zugreifen. Wenn der Benutzer jedoch über aktive Zugriffsschlüssel verfügt, kann er weiterhin API-Aufrufe verwenden, um auf AWS-Services zuzugreifen.
5. Aktualisieren Sie die Zugriffsschlüssel für den IAM-Benutzer.
6. Wählen Sie für den kompromittierten IAM-Zugriffsschlüssel die Option Inaktiv machen aus.

Überprüfen Sie den CloudTrail-Ereignisverlauf auf Aktivitäten für den kompromittierten Zugriffsschlüssel

Führen Sie die folgenden Schritte aus:

1. Öffnen Sie die CloudTrail-Konsole.
2. Wählen Sie im Navigationsbereich die Option Aktivitätsverlauf aus.
3. Wählen Sie für Filter AWS-Zugriffsschlüssel aus.
4. Geben Sie im Feld AWS-Zugriffsschlüssel eingeben die kompromittierte IAM-Zugriffsschlüssel-ID ein.
5. Erweitern Sie den Eventnamen für den RunInstances-API-Aufruf.
   **Hinweis:**Sie können den Eventverlauf der letzten 90 Tage einsehen.

Sie können auch den CloudTrail-Ereignis-verlauf durchsuchen, um festzustellen, wie eine Sicherheitsgruppe oder Ressource geändert wurde.

Weitere Informationen finden Sie unter Arbeiten mit dem CloudTrail-Ereignis-verlauf.

Ähnliche Informationen

Bewährte Sicherheitsmethoden in IAM

Zugriffsschlüssel sichern

Verwaltung von IAM-Richtlinien

Richtlinien für die AWS-Sicherheitsprüfung