GuardDuty IAM 検出結果タイプ - Amazon GuardDuty
CredentialAccess:IAMUser/AnomalousBehaviorDefenseEvasion:IAMUser/AnomalousBehaviorDiscovery:IAMUser/AnomalousBehaviorExfiltration:IAMUser/AnomalousBehaviorImpact:IAMUser/AnomalousBehaviorInitialAccess:IAMUser/AnomalousBehaviorPenTest:IAMUser/KaliLinuxPenTest:IAMUser/ParrotLinuxPenTest:IAMUser/PentooLinuxPersistence:IAMUser/AnomalousBehaviorPolicy:IAMUser/RootCredentialUsagePolicy:IAMUser/ShortTermRootCredentialUsagePrivilegeEscalation:IAMUser/AnomalousBehaviorRecon:IAMUser/MaliciousIPCallerRecon:IAMUser/MaliciousIPCaller.CustomRecon:IAMUser/TorIPCallerStealth:IAMUser/CloudTrailLoggingDisabledStealth:IAMUser/PasswordPolicyChangeUnauthorizedAccess:IAMUser/ConsoleLoginSuccess.BUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWSUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWSUnauthorizedAccess:IAMUser/MaliciousIPCallerUnauthorizedAccess:IAMUser/MaliciousIPCaller.CustomUnauthorizedAccess:IAMUser/TorIPCaller

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty IAM 検出結果タイプ

以下の検出結果はエンティティIAMとアクセスキーに固有であり、常にリソースタイプは ですAccessKey。検出結果の重要度と詳細は、検出結果タイプによって異なります。

ここにリストされている検出結果には、検出結果タイプの生成に使用されるデータソースとモデルが含まれます。詳細については、「GuardDuty 基本データソース」を参照してください。

IAMに関連するすべての検出結果について、問題のエンティティを調べ、それらのアクセス許可が最小特権のベストプラクティスに従っていることを確認することをお勧めします。このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。検出結果の修正についての詳細は、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

CredentialAccess:IAMUser/AnomalousBehavior

AWS 環境へのアクセスを取得するAPIために使用される が異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観察される は、攻撃者が環境のパスワード、ユーザー名、およびアクセスキーを収集しようとしたときに、攻撃の認証情報アクセスステージに一般的に関連しています。このカテゴリAPIsの は、GetPasswordDataGetSecretValueBatchGetSecretValue、および ですGenerateDbAuthToken

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の など、リクエストのさまざまな要因を追跡APIします。API リクエストを呼び出したユーザー ID でリクエストのどの要因が異常であるかに関する詳細は、検出結果の詳細で確認できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

DefenseEvasion:IAMUser/AnomalousBehavior

防御対策を回避するAPIために使用される が異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観察された は、攻撃者がトラックをカバーして検出を回避しようとしている防御回避戦術に一般的に関連しています。このカテゴリAPIsの は通常、、DeleteFlowLogs、 などのオペレーションを削除、無効化DisableAlarmActions、または停止しますStopLogging

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の など、リクエストのさまざまな要因を追跡APIします。API リクエストを呼び出したユーザー ID でリクエストのどの要因が異常であるかに関する詳細は、検出結果の詳細で確認できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Discovery:IAMUser/AnomalousBehavior

リソースを検出するためにAPI一般的に使用される が異常な方法で呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観察される は、攻撃者が情報を収集して AWS 、環境がより広範な攻撃の影響を受けやすいかどうかを判断するときに、攻撃の検出段階と一般的に関連しています。このカテゴリAPIsの は通常、、、、 などの操作を取得DescribeInstances、説明GetRolePolicy、または一覧表示しますListAccessKeys

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の など、リクエストのさまざまな要因を追跡APIします。API リクエストを呼び出したユーザー ID でリクエストのどの要因が異常であるかに関する詳細は、検出結果の詳細で確認できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Exfiltration:IAMUser/AnomalousBehavior

AWS 環境からデータを収集するためにAPI一般的に使用される が異常な方法で呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観察された は、攻撃者が検出を避けるためにパッケージ化と暗号化を使用してネットワークからデータを収集しようとしている流出戦術に一般的に関連しています。APIsこの検出結果タイプの は管理 (コントロールプレーン) オペレーションのみであり、通常は 、PutBucketReplicationCreateSnapshotなどの S3、スナップショット、データベースに関連していますRestoreDBInstanceFromDBSnapshot

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の など、リクエストのさまざまな要因を追跡APIします。API リクエストを呼び出したユーザー ID でリクエストのどの要因が異常であるかに関する詳細は、検出結果の詳細で確認できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Impact:IAMUser/AnomalousBehavior

AWS 環境内のデータまたはプロセスを改ざんするためにAPI一般的に使用される が異常な方法で呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観察される は、攻撃者が アカウントのオペレーションを中断し、データを操作、中断、または破壊しようとしている影響戦術に一般的に関連しています。この検出APIs結果タイプの は通常、、DeleteSecurityGroup、、 UpdateUserなどの削除、更新、または配置オペレーションですPutBucketPolicy

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の など、リクエストのさまざまな要因を追跡APIします。API リクエストを呼び出したユーザー ID でリクエストのどの要因が異常であるかに関する詳細は、検出結果の詳細で確認できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

InitialAccess:IAMUser/AnomalousBehavior

AWS 環境への不正アクセスを得るためにAPI一般的に使用される が異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観察される は、攻撃者が環境へのアクセスを確立しようとしているときに、攻撃の初期アクセスステージに一般的に関連します。このカテゴリAPIsの は通常、トークン、または StartSessionや などのセッションオペレーションを取得しますGetAuthorizationToken

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の など、リクエストのさまざまな要因を追跡APIします。API リクエストを呼び出したユーザー ID でリクエストのどの要因が異常であるかに関する詳細は、検出結果の詳細で確認できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

PenTest:IAMUser/KaliLinux

Kali Linux マシンから API が呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Kali Linux を実行しているマシンが、環境内のリストされた AWS アカウントに属する認証情報を使用してAPI呼び出しを行っていることを知らせるものです。Kali Linux は、セキュリティプロフェッショナルがパッチ適用を必要とするEC2インスタンスの弱点を特定するために使用する一般的な侵入テストツールです。また、攻撃者はこのツールを使用してEC2設定の弱点を見つけ、 AWS 環境への不正アクセスを取得します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

PenTest:IAMUser/ParrotLinux

Parrot Security Linux マシンから APIが呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Parrot Security Linux を実行しているマシンが、環境内のリストされた AWS アカウントに属する認証情報を使用してAPI呼び出しを行っていることを知らせるものです。Parrot Security Linux は、セキュリティプロフェッショナルがパッチ適用を必要とするEC2インスタンスの弱点を特定するために使用する一般的な侵入テストツールです。また、攻撃者はこのツールを使用してEC2設定の弱点を見つけ、 AWS 環境への不正アクセスを取得します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

PenTest:IAMUser/PentooLinux

Pentoo Linux マシンから API が呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Pentoo Linux を実行しているマシンが、環境内のリストされた AWS アカウントに属する認証情報を使用してAPI呼び出しを行っていることを知らせるものです。Pentoo Linux は、セキュリティプロフェッショナルがパッチ適用が必要なEC2インスタンスの弱点を特定するために使用する一般的な侵入テストツールです。また、攻撃者はこのツールを使用してEC2設定の弱点を見つけ、 AWS 環境への不正アクセスを取得します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Persistence:IAMUser/AnomalousBehavior

AWS 環境への不正アクセスを維持するためにAPI一般的に使用される が異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観察される は、攻撃者が環境にアクセスし、そのアクセスを維持しようとしている永続化戦術に一般的に関連しています。このカテゴリAPIsの は通常、、CreateAccessKey、 などの作成、インポートImportKeyPair、または変更オペレーションですModifyInstanceAttribute

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の など、リクエストのさまざまな要因を追跡APIします。API リクエストを呼び出したユーザー ID に対してリクエストのどの要因が異常であるかに関する詳細は、検出結果の詳細で確認できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Policy:IAMUser/RootCredentialUsage

API は、ルートユーザーのサインイン認証情報を使用して呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail S3 の管理イベントまたは CloudTrail データイベント

この検出結果は、ユーザーの環境のリスト化された AWS アカウント のルートユーザーサインイン認証情報が AWS サービスへのリクエストに使用されていることを知らせるものです。ユーザーは、ルートユーザーのサインイン認証情報を使用して AWS サービスにアクセスしないことをお勧めします。代わりに、 AWS Security Token Service () の最小特権の一時的な認証情報を使用して AWS サービスにアクセスする必要がありますSTS。がサポートされ AWS STS ていない状況では、IAMユーザー認証情報が推奨されます。詳細については、IAM「ベストプラクティス」を参照してください。

注記

アカウントで S3 Protection が有効になっている場合、この検出結果は、 AWS アカウントのルートユーザーサインイン認証情報を使用して Amazon S3 リソースで S3 データプレーンオペレーションを実行しようとした場合に応答して生成される可能性があります。使用されたAPI呼び出しは、検出結果の詳細に表示されます。S3 Protection が有効になっていない場合、この検出結果はイベントログ によってのみトリガーできますAPIs。S3 Protection の詳細については、「S3 Protection」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Policy:IAMUser/ShortTermRootCredentialUsage

API は、制限されたルートユーザーの認証情報を使用して呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース: AWS CloudTrail S3 の管理イベントまたは AWS CloudTrail データイベント

この検出結果は、 AWS アカウント 環境にリストされた 用に作成された制限されたユーザー認証情報が、 へのリクエストに使用されていることを知らせるものです AWS のサービス。ルートユーザー認証情報は、ルートユーザー認証情報を必要とするタスクにのみ使用することをお勧めします。

可能であれば、 AWS Security Token Service () の一時的な認証情報で最小特権IAMロールを使用して AWS のサービス にアクセスしますAWS STS。 AWS STS がサポートされていないシナリオでは、IAMユーザー認証情報を使用することがベストプラクティスです。詳細については、「 IAMユーザーガイド」の「 のセキュリティのベストプラクティスIAM」および「 のルートユーザーのベストプラクティス AWS アカウント」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

PrivilegeEscalation:IAMUser/AnomalousBehavior

AWS 環境への高レベルのアクセス許可を取得するためにAPI一般的に使用される が、異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観察される は、攻撃者が環境に対してより高いレベルのアクセス許可を取得しようとしている特権エスカレーション戦術に一般的に関連しています。このカテゴリAPIsの には、通常、、AssociateIamInstanceProfileAddUserToGroupなどのIAMポリシー、ロール、ユーザーを変更するオペレーションが含まれますPutUserPolicy

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の など、リクエストのさまざまな要因を追跡APIします。API リクエストを呼び出したユーザー ID に対してリクエストのどの要因が異常であるかに関する詳細は、検出結果の詳細で確認できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Recon:IAMUser/MaliciousIPCaller

API が悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、環境内のアカウントのリソースを一覧表示または記述 AWS できるAPIオペレーションが、脅威リストに含まれている IP アドレスから呼び出されたことを知らせるものです。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Recon:IAMUser/MaliciousIPCaller.Custom

API が悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、環境内のアカウントのリソースを一覧表示または記述 AWS できるAPIオペレーションが、カスタム脅威リストに含まれている IP アドレスから呼び出されたことを知らせるものです。使用された脅威リストは、検出結果の詳細に表示されます。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Recon:IAMUser/TorIPCaller

Tor 出口ノードの IP アドレスから APIが呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、環境内のアカウントのリソースを一覧表示または記述 AWS できるAPIオペレーションが Tor 出口ノード IP アドレスから呼び出されたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。攻撃者は真のアイデンティティを隠すために Tor を使用します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail ログ記録が無効になりました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail 管理イベント

この検出結果は、 AWS 環境内の CloudTrail 証跡が無効になったことを知らせるものです。これにより、悪意ある目的でユーザーの AWS リソースへアクセスしている間、活動の痕跡を消してトラックを隠してログ記録を無効化しようとします。この検出結果は、証跡情報の削除または更新が成功することによってトリガーされる場合があります。この検出結果は、 が関連付けられている証跡からログを保存する S3 バケットが正常に削除されたことでもトリガーできます GuardDuty。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Stealth:IAMUser/PasswordPolicyChange

アカウントのパスワードポリシーが弱化されています。

デフォルトの重要度: [Low] (低)*

注記

この検出結果の重要度は、パスワードポリシーに加えられた変更の重要度に応じて、[Low] (低)、[Medium] (中)、[High] (高) になります。

  • データソース: CloudTrail 管理イベント

AWS アカウントパスワードポリシーは、 AWS 環境内のリストされたアカウントで弱体化されました。例えば、アカウントの削除、必要な文字数を減らすような更新、記号や数字を不要とする更新、パスワードの有効期限を延長するような更新が行われています。この検出結果は、 AWS アカウントのパスワードポリシーを更新または削除しようとしてトリガーすることもできます。 AWS アカウントパスワードポリシーは、IAMユーザーに設定できるパスワードの種類を管理するルールを定義します。パスワードポリシーが弱化されると、覚えやすいパスワードや推測しやすいパスワードの作成が可能になり、セキュリティ上のリスクが生じます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

世界中でコンソールに対する複数の正常なログインが確認されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、同じIAMユーザーの複数の成功したコンソールログインが、さまざまな地理的場所でほぼ同時に確認されたことを知らせるものです。このような異常でリスクの高いアクセス場所パターンは、 AWS リソースへの不正アクセスの可能性を示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

EC2 インスタンス起動ロールを通じてインスタンス専用に作成された認証情報は、その中の別のアカウントから使用されています AWS。

デフォルトの重要度: [High] (高)*

注記

この検出結果のデフォルトの重要度は [High] (高) です。ただし、 APIが AWS 環境に関連付けられたアカウントによって呼び出された場合、重要度は中になります。

  • データソース: CloudTrail S3 の管理イベントまたは CloudTrail データイベント

この検出結果は、Amazon EC2インスタンスの認証情報を使用して、関連付けられた Amazon インスタンスが実行されているアカウントとは異なる AWS アカウントが所有する IP アドレスまたは Amazon EC2 VPCエンドポイントAPIsから を呼び出すときに通知します。 VPC エンドポイント検出は、 VPC エンドポイントのネットワークアクティビティイベントをサポートするサービスでのみ使用できます。VPC エンドポイントのネットワークアクティビティイベントをサポートするサービスの詳細については、「 AWS CloudTrail ユーザーガイド」の「ネットワークアクティビティイベントのログ記録」を参照してください。

AWS では、一時的な認証情報を作成したエンティティ ( AWS アプリケーション、Amazon EC2、 など AWS Lambda) の外部に再配布することはお勧めしません。ただし、許可されたユーザーは、Amazon EC2インスタンスから認証情報をエクスポートして正当なAPI呼び出しを行うことができます。remoteAccountDetails.Affiliated フィールドが Trueの場合、 API は同じ管理者アカウントに関連付けられたアカウントから呼び出されました。潜在的な攻撃を除外し、アクティビティの正当性を検証するには、これらの認証情報が割り当てられている AWS アカウント 所有者またはIAMプリンシパルにお問い合わせください。

注記

がリモートアカウントからの継続的なアクティビティ GuardDuty を観察すると、その機械学習 (ML) モデルはこれを予想される動作として識別します。したがって、 GuardDuty は、そのリモートアカウントからのアクティビティに関するこの検出結果の生成を停止します。 GuardDuty は、他のリモートアカウントからの新しい動作に関する検出結果を引き続き生成し、時間の経過とともに動作が変化するにつれて、学習したリモートアカウントを再評価します。

修復のレコメンデーション

この検出結果は、Amazon EC2インスタンスのセッション認証情報を使用して AWS アカウント、 の外部の Amazon EC2インスタンス AWS を介して 内でAPIリクエストが行われたときに AWS 生成されます。ハブアンドスポーク設定の Transit Gateway アーキテクチャなどでは、 AWS サービスエンドポイントVPCを持つ単一のハブエグレスを介してトラフィックをルーティングするのが慣例である場合があります。この動作が予想される場合、 は を使用して 抑制ルール 2 つのフィルター条件を持つルールを作成することを GuardDuty 推奨しています。最初の基準は検出結果タイプで、この場合は です。UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS。 2 番目のフィルター条件は、リモートアカウントの詳細のリモートアカウント ID です。

この検出結果に応じて、次のワークフローを使用して、一連のアクションを決定できます。

  1. service.action.awsApiCallAction.remoteAccountDetails.accountId フィールドから関係するリモートアカウントを特定します。

  2. そのアカウントが service.action.awsApiCallAction.remoteAccountDetails.affiliatedフィールドから環境 GuardDutyに関連付けられているかどうかを確認します。

  3. アカウント関連付けられている場合は、リモートアカウントの所有者と Amazon EC2インスタンス認証情報の所有者に連絡して調査してください。

    アカウントが関連付けられていない場合、最初のステップは、そのアカウントが組織に関連付けられているが、マルチアカウント環境設定の一部 GuardDutyではないかどうか、またはこのアカウントでまだ有効 GuardDuty になっていないかどうかを評価することです。次に、Amazon EC2インスタンスの認証情報の所有者に連絡して、リモートアカウントがこれらの認証情報を使用するユースケースがあるかどうかを確認します。

  4. 認証情報の所有者がリモートアカウントを認識しない場合は、 AWS内で動作する脅威アクターによって認証情報が侵害された可能性があります。ご利用の環境を保護するために、「侵害された可能性のある Amazon EC2インスタンスの修復」で推奨されているステップを実行する必要があります。

    さらに、 AWS Trust and Safety チームに不正使用レポートを送信して、リモートアカウントの調査を開始できます。レポートを AWS Trust and Safety に送信するときは、検出結果の完全なJSON詳細を含めます。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

EC2 インスタンス起動ロールを介してインスタンス専用に作成された認証情報は、外部 IP アドレスから使用されています。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail S3 の管理イベントまたは CloudTrail データイベント

この検出結果は、 以外のホスト AWS が AWS 、環境内のEC2インスタンスで作成された一時的な AWS 認証情報を使用して AWS APIオペレーションを実行しようとしたことを知らせるものです。リストされたEC2インスタンスが侵害されている可能性があり、このインスタンスの一時的な認証情報が の外部にあるリモートホストに盗まれた可能性があります AWS。 AWS は、それらを作成したエンティティ ( AWS アプリケーション、、EC2Lambda など) の外部に一時的な認証情報を再配布することはお勧めしません。ただし、許可されたユーザーはEC2、インスタンスから認証情報をエクスポートして正当なAPI呼び出しを行うことができます。潜在的な攻撃を除外し、アクティビティの正当性を検証するには、検出結果においてリモート IP からのインスタンスの認証情報の使用が想定されるかどうかを検証します。

注記

がリモートアカウントからの継続的なアクティビティ GuardDuty を観察すると、その機械学習 (ML) モデルはこれを予想される動作として識別します。したがって、 GuardDuty は、そのリモートアカウントからのアクティビティに関するこの検出結果の生成を停止します。 GuardDuty は、他のリモートアカウントからの新しい動作に関する検出結果を引き続き生成し、時間の経過とともに動作が変化するにつれて、学習したリモートアカウントを再評価します。

修復のレコメンデーション

この検出結果は、インターネットゲートウェイ () からではなく、オンプレミスゲートウェイから出力されるようにVPCインターネットトラフィックをルーティングするようにネットワークが設定されている場合に生成されますIGW。AWS Outposts、、 VPCVPN接続などの一般的な設定では、トラフィックがこの方法でルーティングされる可能性があります。これが予期した動作である場合は、抑制ルールを使用して、2 つのフィルター条件で構成されるルールを作成することをお勧めします。1 つ目の条件では、[finding type] (結果タイプ) に UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS を使用します。2 番目のフィルター条件は、オンプレミスインターネットゲートウェイの IP アドレスまたはCIDR範囲を持つAPI発信者IPv4アドレスです。抑制ルールの作成の詳細については、「の抑制ルール GuardDuty」を参照してください。

注記

が外部ソースからの継続的なアクティビティ GuardDuty を観察した場合、その機械学習モデルはこれを予想される動作として識別し、そのソースからのアクティビティに対してこの検出結果の生成を停止します。 GuardDuty は他のソースからの新しい動作の検出結果を生成し続け、時間の経過とともに動作が変化するにつれて学習されたソースを再評価します。

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

API が悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、API既知の悪意のある IP アドレスからオペレーション (EC2インスタンスの起動、新しいIAMユーザーの作成、権限の変更など) が呼び出されたことを知らせるものです AWS 。これは、環境内の AWS リソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

API は、カスタム脅威リストの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アップロードした脅威リストに含まれている IP アドレスからAPIオペレーション (EC2インスタンスの起動、新しいIAMユーザーの作成、 AWS 権限の変更など) が呼び出されたことを知らせるものです。 では、脅威リストは悪意のある既知の IP アドレスで構成されます。これは、環境内の AWS リソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/TorIPCaller

Tor 出口ノードの IP アドレスから APIが呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Tor 出口ノードの IP アドレスからAPIオペレーション (EC2インスタンスの起動、新しいIAMユーザーの作成、権限の変更など) が呼び出されたことを知らせるものです AWS 。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠しているという意図により、 AWS リソースへの未承認のアクセスを示している場合があります。

修正のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。