我收到 Amazon EC2 執行個體 GuardDuty UnauthorizedAccess 暴力破解調查結果類型警示。我該怎麼辦?
Amazon GuardDuty 偵測到 Amazon Elastic Compute Cloud (Amazon EC2) 的 UnauthorizedAccess:EC2/RDPBruteForce 警示或者 UnauthorizedAccess:EC2/SSHBruteForce 調查結果類型。
簡短說明
暴力密碼破解攻擊可能表示未經授權存取您的 AWS 資源。如需詳細資訊,請參閱尋找類型。
解決方案
請按照以下說明檢查 GuardDuty 調查結果類型說明,調查結果 ID 和偵測器 ID,以獲取有關暴力破解攻擊的更多詳細資訊。
**注意:**如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤訊息,請確定您使用的是最新的 AWS CLI 版本。
檢查 GuardDuty 調查結果類型說明
在調查結果詳細資訊窗格中,請記下類似下列內容的調查結果類型標題:
「198.51.100.0 正在對 i-99999999 進行 RDP 暴力破解攻擊。暴力破解攻擊用於透過猜測 RDP 密碼來獲得對執行個體未經授權的存取。」
在此範例中,說明表示受到影響的 Amazon EC2 執行個體、暴力破解攻擊的方向以及 IP 地址。
檢查 GuardDuty 調查結果 ID 和偵測器 ID
1、 開啟 GuardDuty 主控台。
2、 在瀏覽窗格中,選擇Findings (調查結果)。
3、 在調查結果類型中,選擇 UnauthorizedAccess 查找類型。
4、 在查找類型詳細資訊窗格中,選擇Finding ID (調查結果 ID)。
5、 在查找 JSON 中,請注意 GuardDuty 調查結果項目和偵測器 ID。
6、 執行這個 AWS CLI 命令:
**注意:**使用 GuardDuty 偵測器和調查結果 ID 替代 your-detector-id 和 your-findings-id。
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'
您會收到類似下列內容的輸出:
[ "INBOUND" ]
7、 執行這個 AWS CLI 命令:
aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'
您會收到類似下列內容的輸出:
[ "198.51.100.0" ]
在此範例中,Amazon EC2 執行個體安全群組允許 SSH/RDP 流量並向公眾開放。
為了緩解此問題,您只能針對一組授權可存取 Amazon EC2 執行個體的 IP 地址限制 SSH/RDP 流量。
若要限制 SSH 流量,請參閱將輸入 SSH 流量的規則新增至 Linux 執行個體。
若要限制 RDP 流量,請參閱將輸入 RDP 流量的規則新增至 Windows 執行個體。
相關資訊
如何使用 Amazon GuardDuty 和 AWS Web Application Firewall 自動封鎖可疑主機
相關內容
- 已提問 6 個月前
- 已提問 5 個月前
- 已提問 10 個月前
- AWS 官方已更新 2 年前