Amazon EC2 インスタンスの GuardDuty UnauthorizedAccess ブルートフォース検出結果タイプのアラートを受け取りました。どうすればよいですか?

簡単な説明

ブルートフォース攻撃は、AWS リソースへの不正アクセスを示している可能性があります。詳細については、[タイプの検索] を参照してください。

解決方法

以下の手順に従って、GuardDuty 結果タイプの説明、結果 ID、および検出機能 ID で、ブルートフォース攻撃の詳細を確認します。

注: AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。

GuardDuty 結果タイプの説明を確認する

手順に従って、GuardDuty の結果を表示および分析します。

結果の詳細ペインで、次のような結果タイプのタイトルを書き留めます。

「198.51.100.0 が、i-99999999 に対して RDP ブルートフォース攻撃を行っています。ブルートフォース攻撃を使って、RDP パスワードを推測しインスタンスに不正にアクセスします。」

この例では、説明に、影響を受ける Amazon EC2 インスタンス、ブルートフォース攻撃の方向、IP アドレスが表示されます。

GuardDuty 結果 ID と検出機能 ID を確認する

1.    GuardDuty コンソールを開きます。

2.    ナビゲーションペインで、[Findings] をクリックします。

3.    [Finding type] で、[UnauthorizedAccess] 結果タイプを選択します。

4.    結果タイプの詳細ペインで、[Finding ID] をクリックします。

5.    [Findings JSON] で、GuardDuty の結果と検出機能 ID を書き留めます。

6.    次の AWS CLI コマンドを実行します。

注: your-detector-id と your-findings-id を GuardDuty 検出機能 ID と結果 ID に置き換えます。

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'

次のような出力が表示されます。

[
    "INBOUND"
]

7.    次の AWS CLI コマンドを実行します。

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'

次のような出力が表示されます。

[
    "198.51.100.0"
]

この例では、Amazon EC2 インスタンスのセキュリティグループは SSH/RDP トラフィックを許可し、一般公開しています。

この問題を解決するには、Amazon EC2 インスタンスへのアクセスを許可された一連の IP アドレスのみに SSH/RDP トラフィックを制限します。

SSH トラフィックを制限するには、Linux インスタンスへのインバウンド SSH トラフィックのルール追加をご参照ください。

RDP トラフィックを制限するには、Windows インスタンスへのインバウンド RDP トラフィックのルール追加をご参照ください。

---

関連情報

Amazon GuardDuty と AWS Web Application Firewall を使用して不審なホストを自動的にブロックする方法

GuardDuty を使用して Linux インスタンスの SSH ブルートフォース攻撃を特定する方法を教えてください。

GuardDuty の信頼できる IP アドレスリストを設定する方法を教えてください。