Amazon EC2 インスタンスで、GuardDuty の結果タイプアラート Recon:EC2/PortProbeUnprotectedPort を受信したのはなぜですか?
最終更新日: 2020 年 10 月 28 日
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにある Amazon GuardDuty で、結果タイプ Recon:EC2/PortProbeUnprotectedPort のアラートが検出されました。
簡単な説明
GuardDuty が、結果タイプ Recon:EC2/PortProbeUnprotectedPort を返す場合は、Amazon EC2 インスタンスに保護されていないポートが存在し、そのポートが、既知の悪意のあるホストにより探査されていることを示します。
解決方法
次のベストプラクティスに則り、ポートの保護を設定するか、インバウンドルールを削除します。
- 手順に従って、GuardDuty の検出結果を表示および分析します。
- 結果の詳細ペインにある、ポートナンバーを記録します。
- 保護されていないポートが Linux のポート 22 である場合は、Linux インスタンス用の受信トラフィックの認可、の手順に従うことでアクセスを制限できます。
- 保護されていないポートが Windows のポート 3389 である場合は、Windows インスタンス用の受信トラフィックの認可、の手順に従いアクセスを制限します。
- 保護されていないポートが 80 もしくは 443 であり、このポートを開いたままにしておきたい場合には、EC2 インスタンスをロードバランサーの背後に配置します。
- そのポートを使用するアプリケーションがなく、それを開いておく必要もない場合は、EC2 インスタンスのセキュリティグループのための、インバウンドルールと iptables ルールを削除します。
- 保護されていないこれらのポートを、特に保護する必要がないのであれば、結果タイプ Recon:EC2/PortProbeUnprotectedPort は無視してかまいません。