Por que recebi alertas do tipo de descoberta UnauthorizedAccess:IAMUser/TorIPCaller ou Recon:IAMUser/TorIPCaller do GuardDuty para meu usuário ou função do IAM?

Breve descrição

Os tipos de descoberta UnauthorizedAccess:IAMUser/TorIPCaller e Recon:IAMUser/TorIPCaller indicam que suas credenciais de identidade ou chaves de acesso do AWS Identity and Access Management (IAM) foram usadas para fazer uma operação de API para a AWS a partir de um endereço IP de nó de saída do Tor. Por exemplo, você pode receber esse erro ao tentar criar uma instância do Amazon Elastic Compute Cloud (Amazon EC2), listar IDs de chave de acesso ou modificar as permissões do IAM. Esses tipos de descoberta também podem indicar que as credenciais de identidade ou chaves de acesso do IAM foram associadas a atividades não autorizadas. Para obter mais informações, consulte Tipos de descoberta.

Resolução

Use o GuardDuty para localizar a chave de acesso do IAM, e o AWS CloudTrail para identificar a atividade da API da AWS.

1. Siga as instruções para Localizar e analisar as descobertas do GuardDuty.
2. No painel de detalhes das descobertas, observe o ID da chave de acesso do IAM.
3. Siga as instruções para pesquisar a atividade da API da chave de acesso do IAM usando o CloudTrail.

Se você confirmar que a atividade é um uso legítimo das credenciais da AWS, você poderá:

• Ignorar o tipo de descoberta.
• Arquivar o tipo de descoberta.
• Criar regras de supressão para arquivar automaticamente novos tipos de descoberta.

Se você confirmar que a atividade não é um uso legítimo das credenciais da AWS, é uma boa prática de segurança presumir que todas as credenciais da AWS estão comprometidas. Siga estas instruções para corrigir as credenciais comprometidas da AWS.

Para obter mais informações, consulte O que eu faço se notar uma atividade não autorizada em minha conta da AWS?

Informações relacionadas

O que fazer se você expuser inadvertidamente uma chave de acesso da AWS