GuardDuty IAM 検出結果タイプ - Amazon GuardDuty
CredentialAccess:IAMUser/AnomalousBehaviorDefenseEvasion:IAMUser/AnomalousBehaviorDiscovery:IAMUser/AnomalousBehaviorExfiltration:IAMUser/AnomalousBehaviorImpact:IAMUser/AnomalousBehaviorInitialAccess:IAMUser/AnomalousBehaviorPenTest:IAMUser/KaliLinuxPenTest:IAMUser/ParrotLinuxPenTest:IAMUser/PentooLinuxPersistence:IAMUser/AnomalousBehaviorPolicy:IAMUser/RootCredentialUsagePrivilegeEscalation:IAMUser/AnomalousBehaviorRecon:IAMUser/MaliciousIPCallerRecon:IAMUser/MaliciousIPCaller.CustomRecon:IAMUser/TorIPCallerStealth:IAMUser/CloudTrailLoggingDisabledStealth:IAMUser/PasswordPolicyChangeUnauthorizedAccess:IAMUser/ConsoleLoginSuccess.BUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWSUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWSUnauthorizedAccess:IAMUser/MaliciousIPCallerUnauthorizedAccess:IAMUser/MaliciousIPCaller.CustomUnauthorizedAccess:IAMUser/TorIPCaller

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty IAM 検出結果タイプ

以下の検出結果はエンティティIAMとアクセスキーに固有であり、常に のリソースタイプを持ちますAccessKey。検出結果の重要度と詳細は、検出結果タイプによって異なります。

ここにリストされている検出結果には、検出結果タイプの生成に使用されるデータソースとモデルが含まれます。詳細については、「GuardDuty 基礎データソース」を参照してください。

IAMに関連するすべての検出結果について、問題のエンティティを調べ、それらのアクセス許可が最小特権のベストプラクティスに従っていることを確認することをお勧めします。このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。検出結果の修正についての詳細は、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

CredentialAccess:IAMUser/AnomalousBehavior

AWS 環境へのアクセスを取得するAPIために使用される は、異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 攻撃者が環境のパスワード、ユーザー名、アクセスキーを収集しようとしている場合、観測された は一般的に攻撃の認証情報アクセスステージに関連付けられます。このカテゴリAPIsの はGetPasswordData、、GetSecretValueBatchGetSecretValue、および ですGenerateDbAuthToken

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の要素など、リクエストのさまざまな要素を追跡APIします。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかに関する詳細は、検出結果の詳細 に記載されています。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

DefenseEvasion:IAMUser/AnomalousBehavior

防御対策を回避するAPIために使用される は、異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観測された は、攻撃者がトラックをカバーして検出を回避しようとしている防御回避戦術に一般的に関連します。APIs このカテゴリでは、通常、、、 などの削除、無効化DeleteFlowLogsDisableAlarmActions、停止オペレーションがありますStopLogging

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の要素など、リクエストのさまざまな要素を追跡APIします。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかに関する詳細は、検出結果の詳細 に記載されています。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Discovery:IAMUser/AnomalousBehavior

リソースを検出するためにAPI一般的に使用される は、異常な方法で呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観察される は、攻撃者が情報を収集して AWS 、環境がより広範な攻撃の影響を受けやすいかどうかを判断する場合、攻撃の検出段階に一般的に関連します。APIs このカテゴリでは、通常、、、または DescribeInstancesなどの取得、記述GetRolePolicy、または一覧表示オペレーションがありますListAccessKeys

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の要素など、リクエストのさまざまな要素を追跡APIします。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかに関する詳細は、検出結果の詳細 に記載されています。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Exfiltration:IAMUser/AnomalousBehavior

AWS 環境からデータを収集するためにAPI一般的に使用される は、異常な方法で呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観測された は、一般的に、攻撃者が検出を避けるためにパッケージ化と暗号化を使用してネットワークからデータを収集しようとしている流出戦術に関連付けられています。APIs この検出結果タイプは管理 (コントロールプレーン) PutBucketReplicationオペレーションのみであり、通常は 、、 CreateSnapshotなどの S3、スナップショット、データベースに関連していますRestoreDBInstanceFromDBSnapshot

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の要素など、リクエストのさまざまな要素を追跡APIします。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかに関する詳細は、検出結果の詳細 に記載されています。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Impact:IAMUser/AnomalousBehavior

AWS 環境内のデータまたはプロセスを改ざんするためにAPI一般的に使用される は、異常な方法で呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザーアイデンティティ によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観測された は、攻撃者がオペレーションを中断し、アカウントのデータを操作、中断、または破壊しようとしている影響戦術に一般的に関連します。APIs この検出結果タイプは通常、、、または などの削除、更新DeleteSecurityGroupUpdateUser、または配置オペレーションですPutBucketPolicy

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の要素など、リクエストのさまざまな要素を追跡APIします。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかに関する詳細は、検出結果の詳細 に記載されています。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

InitialAccess:IAMUser/AnomalousBehavior

AWS 環境への不正アクセスを得るためにAPI一般的に使用される は、異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観察される は、攻撃者が環境へのアクセスを確立しようとしている場合、攻撃の初期アクセスステージに通常関連します。APIs このカテゴリの は通常、 トークンの取得、または 、、 GetFederationToken StartSessionなどのセッションオペレーションですGetAuthorizationToken

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の要素など、リクエストのさまざまな要素を追跡APIします。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかに関する詳細は、検出結果の詳細 に記載されています。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

PenTest:IAMUser/KaliLinux

Kali Linux マシンから API が呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Kali Linux を実行しているマシンが、環境内のリストされた AWS アカウントに属する認証情報を使用してAPI呼び出しを行っていることを知らせるものです。Kali Linux は、セキュリティプロフェッショナルがパッチ適用が必要なEC2インスタンスの弱点を特定するために使用する一般的なペネトレーションテストツールです。攻撃者は、このツールを使用してEC2設定の弱点を見つけ、 AWS 環境への不正アクセスも行います。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

PenTest:IAMUser/ParrotLinux

Parrot Security Linux マシンから API が呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Parrot Security Linux を実行しているマシンが、環境内のリストされた AWS アカウントに属する認証情報を使用してAPI呼び出しを行っていることを知らせるものです。Parrot Security Linux は、セキュリティプロフェッショナルがパッチ適用が必要なEC2インスタンスの弱点を特定するために使用する一般的なペネトレーションテストツールです。攻撃者は、このツールを使用してEC2設定の弱点を見つけ、 AWS 環境への不正アクセスも行います。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

PenTest:IAMUser/PentooLinux

Pentoo Linux マシンから API が呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Pentoo Linux を実行しているマシンが、環境内のリストされた AWS アカウントに属する認証情報を使用してAPI呼び出しを行っていることを知らせます。Pentoo Linux は、セキュリティプロフェッショナルがパッチ適用が必要なEC2インスタンスの弱点を特定するために使用する一般的なペネトレーションテストツールです。攻撃者は、このツールを使用してEC2設定の弱点を見つけ、 AWS 環境への不正アクセスも行います。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Persistence:IAMUser/AnomalousBehavior

AWS 環境への不正アクセスを維持するためにAPI一般的に使用される は、異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観測された は、攻撃者が環境へのアクセスを取得し、そのアクセスを維持しようとしている永続化戦術に一般的に関連します。APIs このカテゴリでは、通常、、、 などの作成、インポートCreateAccessKeyImportKeyPair、または変更オペレーションがありますModifyInstanceAttribute

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の要素など、リクエストのさまざまな要素を追跡APIします。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかに関する詳細は、検出結果の詳細 に記載されています。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Policy:IAMUser/RootCredentialUsage

API は、ルートユーザーのサインイン認証情報を使用して呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail S3 の管理イベントまたは CloudTrail データイベント

この検出結果は、ユーザーの環境のリスト化された AWS アカウント のルートユーザーサインイン認証情報が AWS サービスへのリクエストに使用されていることを知らせるものです。ユーザーは、ルートユーザーのサインイン認証情報を使用して AWS サービスにアクセスしないことをお勧めします。代わりに、 AWS サービスには AWS Security Token Service () から最小特権の一時的な認証情報を使用してアクセスする必要がありますSTS。がサポートされ AWS STS ていない状況では、IAMユーザー認証情報が推奨されます。詳細については、IAM「ベストプラクティス」を参照してください。

注記

アカウントで S3 Protection が有効になっている場合、この検出結果は、 のルートユーザーサインイン認証情報を使用して Amazon S3 リソースで S3 データプレーンオペレーションを実行しようとする試みに応答して生成される場合があります AWS アカウント。 Amazon S3 使用されたAPI呼び出しは、検出結果の詳細に表示されます。S3 Protection が有効になっていない場合、この検出結果はイベントログ によってのみトリガーできますAPIs。S3 Protection の詳細については、「」を参照してくださいS3 保護

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

PrivilegeEscalation:IAMUser/AnomalousBehavior

AWS 環境への高レベルのアクセス許可を取得するためにAPI一般的に使用される は、異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウントで異常なAPIリクエストが観察されたことを知らせるものです。この検出結果には、単一のユーザー ID によって近接して行われた 1 つAPIまたは一連の関連APIリクエストが含まれる場合があります。API 観察される は、攻撃者が環境に対するより高いレベルのアクセス許可を取得しようとしている特権エスカレーション戦術に一般的に関連します。APIs このカテゴリでは、通常、、、 AssociateIamInstanceProfile AddUserToGroupなどのIAMポリシー、ロール、ユーザーを変更するオペレーションが含まれますPutUserPolicy

このAPIリクエストは、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。ML モデルは、アカウント内のすべてのAPIリクエストを評価し、攻撃者が使用する手法に関連する異常なイベントを特定します。ML モデルは、APIリクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の要素など、リクエストのさまざまな要素を追跡APIします。API リクエストを呼び出したユーザー ID では、リクエストのどの要素が異常であるかに関する詳細は、検出結果の詳細 に記載されています。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Recon:IAMUser/MaliciousIPCaller

API は、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、環境内のアカウント内のリソースを一覧表示または記述 AWS できるAPIオペレーションが、脅威リストに含まれる IP アドレスから呼び出されたことを知らせるものです。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Recon:IAMUser/MaliciousIPCaller.Custom

API は、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、環境内のアカウント内のリソースを一覧表示または記述 AWS できるAPIオペレーションが、カスタム脅威リストに含まれる IP アドレスから呼び出されたことを知らせるものです。使用された脅威リストは、検出結果の詳細に表示されます。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Recon:IAMUser/TorIPCaller

Tor 終了ノード IP アドレスから API が呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、環境内のアカウント内のリソースを一覧表示または記述 AWS できるAPIオペレーションが Tor 終了ノード IP アドレスから呼び出されたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。攻撃者は真のアイデンティティを隠すために Tor を使用します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail ログ記録が無効になりました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail 管理イベント

この検出結果は、 AWS 環境内の CloudTrail 証跡が無効になったことを知らせるものです。これにより、悪意ある目的でユーザーの AWS リソースへアクセスしている間、活動の痕跡を消してトラックを隠してログ記録を無効化しようとします。この検出結果は、証跡情報の削除または更新が成功することによってトリガーされる場合があります。この検出結果は、 に関連付けられている証跡からログを保存する S3 バケットが正常に削除されたことでトリガーすることもできます GuardDuty。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Stealth:IAMUser/PasswordPolicyChange

アカウントのパスワードポリシーが弱化されています。

デフォルトの重要度: [Low] (低)*

注記

この検出結果の重要度は、パスワードポリシーに加えられた変更の重要度に応じて、[Low] (低)、[Medium] (中)、[High] (高) になります。

  • データソース: CloudTrail 管理イベント

AWS アカウントパスワードポリシーは、 AWS 環境内のリストされたアカウントで弱まりました。例えば、アカウントの削除、必要な文字数を減らすような更新、記号や数字を不要とする更新、パスワードの有効期限を延長するような更新が行われています。この検出結果は、 AWS アカウントのパスワードポリシーを更新または削除しようとすることでトリガーすることもできます。 AWS アカウントパスワードポリシーは、IAMユーザーに設定できるパスワードの種類を管理するルールを定義します。パスワードポリシーが弱化されると、覚えやすいパスワードや推測しやすいパスワードの作成が可能になり、セキュリティ上のリスクが生じます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

世界中でコンソールに対する複数の正常なログインが確認されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この結果は、同じIAMユーザーの複数の成功したコンソールログインが、さまざまな地理的場所でほぼ同時に観察されたことを知らせるものです。このような異常でリスクの高いアクセス場所パターンは、 AWS リソースへの不正アクセスの可能性を示しています。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

インスタンス起動ロールを介してEC2インスタンス専用に作成された認証情報は、 内の別のアカウントから使用されています AWS。

デフォルトの重要度: [High] (高)*

注記

この検出結果のデフォルトの重要度は [High] (高) です。ただし、 APIが AWS 環境に関連するアカウントによって呼び出された場合、重要度は中になります。

  • データソース: CloudTrail S3 の管理イベントまたは CloudTrail データイベント

この検出結果は、インスタンス認証情報を使用して、関連付けられたEC2インスタンスがEC2実行しているアカウントとは異なる AWS アカウントが所有する IP アドレスAPIsから呼び出すときに通知します。

AWS では、一時的な認証情報を作成したエンティティ ( AWS アプリケーション、、EC2Lambda など) の外部に再配布することはお勧めしません。ただし、許可されたユーザーはEC2、インスタンスから認証情報をエクスポートして正当なAPI呼び出しを行うことができます。remoteAccountDetails.Affiliated フィールドTrueが の場合、 API は AWS 環境に関連付けられたアカウントから呼び出されました。潜在的な攻撃を除外し、アクティビティの正当性を検証するには、これらの認証情報が割り当てられているIAMユーザーにお問い合わせください。

注記

がリモートアカウントからの継続的なアクティビティ GuardDuty を観察すると、その機械学習 (ML) モデルによって、これが予想される動作として識別されます。したがって、 GuardDuty は、そのリモートアカウントからのアクティビティに対するこの検出結果の生成を停止します。 GuardDuty は、他のリモートアカウントからの新しい動作に関する検出結果を生成し続け、動作が時間の経過とともに変化するにつれて、学習したリモートアカウントを再評価します。

修復のレコメンデーション

この検出結果に応じて、次のワークフローを使用して、一連のアクションを決定できます。

  1. service.action.awsApiCallAction.remoteAccountDetails.accountId フィールドから関係するリモートアカウントを特定します。

  2. 次に、そのアカウントが service.action.awsApiCallAction.remoteAccountDetails.affiliatedフィールドから環境 GuardDutyに関連付けられているかどうかを確認します。

  3. アカウントが関連している場合は、リモートアカウント所有者とEC2インスタンス認証情報の所有者に連絡して調査します。

  4. アカウントが関連付けられていない場合、まず、アカウントが組織に関連付けられているがマルチアカウント設定の一部 GuardDutyではないか、アカウントでまだ有効 GuardDuty になっていないかどうかを評価します。それ以外の場合は、EC2認証情報の所有者に連絡して、リモートアカウントがこれらの認証情報を使用するユースケースがあるかどうかを確認します。

  5. 認証情報の所有者がリモートアカウントを認識しない場合は、 AWS内で動作する脅威アクターによって認証情報が侵害された可能性があります。ご利用の環境を保護するために、侵害された可能性のある Amazon EC2インスタンスの修正 で推奨されているステップを実行する必要があります。

    さらに、 AWS Trust and Safety チームに不正使用レポートを送信して、リモートアカウントの調査を開始できます。 AWS Trust and Safety にレポートを送信するときは、結果JSONの詳細を含めます。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

インスタンス起動ロールを介してEC2インスタンス専用に作成された認証情報は、外部 IP アドレスから使用されています。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail S3 の管理イベントまたは CloudTrail データイベント

この検出結果は、 の外部のホスト AWS が AWS 、環境内のEC2インスタンスで作成された一時的な AWS 認証情報を使用して AWS APIオペレーションを実行しようとしたことを通知します。リストされているEC2インスタンスが侵害されている可能性があり、このインスタンスの一時的な認証情報が の外部リモートホストに流出した可能性があります AWS。 AWS は、それらを作成したエンティティ ( AWS アプリケーション、、EC2Lambda など) の外部に一時的な認証情報を再配布することはお勧めしません。ただし、許可されたユーザーはEC2、インスタンスから認証情報をエクスポートして正当なAPI呼び出しを行うことができます。潜在的な攻撃を除外し、アクティビティの正当性を検証するには、検出結果においてリモート IP からのインスタンスの認証情報の使用が想定されるかどうかを検証します。

注記

がリモートアカウントからの継続的なアクティビティ GuardDuty を観察すると、その機械学習 (ML) モデルによって、これが予想される動作として識別されます。したがって、 GuardDuty は、そのリモートアカウントからのアクティビティに対するこの検出結果の生成を停止します。 GuardDuty は、他のリモートアカウントからの新しい動作に関する検出結果を生成し続け、動作が時間の経過とともに変化するにつれて、学習したリモートアカウントを再評価します。

修復のレコメンデーション

この検出結果は、インターネットゲートウェイ () からではなく、オンプレミスゲートウェイから出力されるようにVPCインターネットトラフィックをルーティングするようにネットワークが設定されている場合に生成されますIGW。AWS Outpostsや VPCVPN接続を使用するなどの一般的な設定では、このようにトラフィックがルーティングされる可能性があります。これが予期した動作である場合は、抑制ルールを使用して、2 つのフィルター条件で構成されるルールを作成することをお勧めします。1 つ目の条件では、[finding type] (結果タイプ) に UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS を使用します。2 番目のフィルター条件は、オンプレミスインターネットゲートウェイの IP アドレスまたはCIDR範囲を持つAPI発信者IPv4アドレスです。抑制ルールの作成の詳細については、「の抑制ルール GuardDuty」を参照してください。

注記

が外部ソースからの継続的なアクティビティ GuardDuty を観察すると、その機械学習モデルはこれを予想される動作として識別し、そのソースからのアクティビティに対してこの検出結果の生成を停止します。 GuardDuty は引き続き他のソースからの新しい動作の検出結果を生成し、時間の経過とともに動作が変化するにつれて学習したソースを再評価します。

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害された AWS 可能性のある認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

API は、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、既知の悪意のある IP アドレスからAPIオペレーション (EC2インスタンスの起動、新しいIAMユーザーの作成、権限の変更など) が呼び出されたことを知らせます AWS 。これは、環境内の AWS リソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

API は、カスタム脅威リストの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アップロードした脅威リストに含まれている IP アドレスからAPIオペレーション (EC2インスタンスの起動、新しいIAMユーザーの作成、 AWS 権限の変更など) が呼び出されたことを知らせるものです。 では、脅威リストは悪意のある既知の IP アドレスで構成されます。これは、環境内の AWS リソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/TorIPCaller

Tor 終了ノード IP アドレスから API が呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Tor 終了ノード IP アドレスからAPIオペレーション (EC2インスタンスの起動、新しいIAMユーザーの作成、権限の変更など) が呼び出されたことを知らせます AWS 。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠しているという意図により、 AWS リソースへの未承認のアクセスを示している場合があります。

修正のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。