GuardDuty IAM 検出結果タイプ
次の検出結果は、IAM エンティティとアクセスキーに特有であり、常に AccessKey の [Resource Type] (リソースタイプ) です。検出結果の重要度と詳細は、検出結果タイプによって異なります。
ここにリストされている検出結果には、検出結果タイプの生成に使用されるデータソースとモデルが含まれます。詳細については、「GuardDuty 基本データソース」を参照してください。
すべての IAM 関連の検出結果について、問題のエンティティを検証し、その許可が最小特権のベストプラクティスに従っていることを確認することをお勧めします。このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。検出結果の修正についての詳細は、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
トピック
CredentialAccess:IAMUser/AnomalousBehavior
AWS 環境へアクセスを取得するために使用された API が異常な方法で呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース: CloudTrail 管理イベント
この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、攻撃者がユーザーの環境のパスワード、ユーザー名、およびアクセスキーを収集しようすると、攻撃の認証情報アクセスステージに一般的に関連しています。このカテゴリの API は、GetPasswordData、GetSecretValue、BatchGetSecretValue、および GenerateDbAuthToken です。
この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
DefenseEvasion:IAMUser/AnomalousBehavior
防御対策を回避するために使用された API が異常な方法で呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース: CloudTrail 管理イベント
この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察された API は、攻撃者が自分のトラックをカバーし、検出を回避しようとしている防御回避戦術に一般的に関連しています。このカテゴリの API は通常、削除、無効化、停止オペレーションです (DeleteFlowLogs、DisableAlarmActions、StopLogging など)。
この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Discovery:IAMUser/AnomalousBehavior
リソースの検出に一般的に使用される API が、異常な方法で呼び出されました。
デフォルトの重要度: [Low] (低
-
データソース: CloudTrail 管理イベント
この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、ユーザーの AWS 環境がより広範な攻撃を受けやすくなる場合、攻撃者が情報を収集して、攻撃の検出段階に一般的に関連しています。このカテゴリの API は、get、describe、または list オペレーションです (DescribeInstances、GetRolePolicy、または ListAccessKeys など)。
この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Exfiltration:IAMUser/AnomalousBehavior
AWS 環境からデータを収集するために一般的に使用される API は、異常な方法で呼び出されました。
デフォルトの重要度: [High] (高
-
データソース: CloudTrail 管理イベント
この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観測された API は、侵入戦術に一般的に関連していて、そこでは攻撃者がネットワークからデータを収集しようとしています。この検出結果タイプの API は管理 (コントロールプレーン)オペレーションのみであり、通常は、S3、スナップショット、およびデータベースに関連しています (PutBucketReplication、CreateSnapshot、RestoreDBInstanceFromDBSnapshot など)。
この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Impact:IAMUser/AnomalousBehavior
ある AWS 環境でデータやプロセスを改ざんするために、一般的に使用される API が、異常な方法で呼び出されました。
デフォルトの重要度: [High] (高
-
データソース: CloudTrail 管理イベント
この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、攻撃者がオペレーションを中断し、ユーザーのアカウント内のデータを操作、中断、または破壊しようとするインパクト戦術に一般的に関連しています。この検出結果タイプの API は、通常、delete、update、または put オペレーションです (DeleteSecurityGroup、UpdateUser、PutBucketPolicy など)。
この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
InitialAccess:IAMUser/AnomalousBehavior
ある AWS 環境への不正アクセスを取得するために一般的に使用される API が、異常な方法で呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース: CloudTrail 管理イベント
この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。攻撃者がユーザーの環境へのアクセスを確立しようとすると、観察される API は、攻撃の初期アクセス段階に一般的に関連しています。このカテゴリの API は、通常 get トークン、またはセッションオペレーションです (StartSession または GetAuthorizationToken)。
この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
PenTest:IAMUser/KaliLinux
API が Kali Linux マシンから呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース: CloudTrail 管理イベント
この検出結果は、Kali Linux が実行されているマシンはユーザーの環境の AWS アカウントの認証情報一覧を使用して API コールが行われていることを知らせるものです。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
PenTest:IAMUser/ParrotLinux
API が Parrot Security Linux マシンから呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース: CloudTrail 管理イベント
この検出結果は、Parrot Security Linux が実行されているマシンはユーザーの環境の AWS アカウントの認証情報を使用して API コールが行われていることを知らせるものです。Parrot Security Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
PenTest:IAMUser/PentooLinux
API が Pentoo Linux マシンから呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース: CloudTrail 管理イベント
この検出結果は、Pentoo Linux が実行されているマシンはユーザーの環境の AWS アカウントの認証情報一覧を使用して API コールが行われていることを知らせるものです。Pentoo Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Persistence:IAMUser/AnomalousBehavior
ある AWS 環境への不正アクセスを維持するために一般的に使用される API が、異常な方法で呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース: CloudTrail 管理イベント
この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、攻撃者がユーザーの環境へのアクセスを獲得し、そのアクセスを維持しようとするパーシスタンス戦術に一般的に関連しています。このカテゴリの API は、通常、create、インimport、または modify オペレーションです (CreateAccessKey、ImportKeyPair、ModifyInstanceAttribute など)。
この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Policy:IAMUser/RootCredentialUsage
API がルートユーザーサインイン認証情報を使用して呼び出されました。
デフォルトの重要度: [Low] (低
-
データソース: CloudTrail 管理イベントまたは S3 CloudTrail データイベント
この検出結果は、ユーザーの環境のリスト化された AWS アカウント のルートユーザーサインイン認証情報が AWS サービスへのリクエストに使用されていることを知らせるものです。ユーザーは AWS サービスへのアクセスにルートユーザーサインイン認証情報を使用しないことをお勧めします。代わりに、AWS のサービスは AWS Security Token Service (STS) からの最小特権の一時認証情報を使用してアクセスします。AWS STS がサポートされていない状況では、IAM ユーザー認証情報をお勧めします。詳細については、「IAM ベストプラクティス」を参照してください。
注記
アカウントで S3 Protection が有効になっている場合、この検出結果は、AWS アカウントのルートユーザーサインイン認証情報を使用して Amazon S3 リソースで S3 データプレーンオペレーションを実行しようとした場合に応答して生成される可能性があります。使用された API コールは、検出結果の詳細でリスト化されます。S3 Protection が有効になっていない場合、この検出結果はイベントログ API によってのみトリガーされます。S3 Protection の詳細については、「S3 Protection」を参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Policy:IAMUser/ShortTermRootCredentialUsage
制限付きのルートユーザー認証情報を使用して API が呼び出されました。
デフォルトの重要度: [Low] (低
-
データソース: AWS CloudTrail 管理イベントまたは S3 の AWS CloudTrail データイベント
この検出結果は、環境内のリストされている AWS アカウント に対して作成された制限付きユーザー認証情報が AWS のサービス へのリクエストに使用されていることを知らせるものです。ルートユーザー認証情報を必要とするタスクにのみ、ルートユーザー認証情報を使用することをお勧めします。
可能であれば、 AWS Security Token Service (AWS STS) の一時的な認証情報で最小特権の IAM ロールを使用して AWS のサービス にアクセスします。AWS STS がサポートされていないシナリオでは、IAM ユーザー認証情報を使用することが最善の方法です。詳細については、「IAM ユーザーガイド」の「IAM でのセキュリティのベストプラクティス」と「AWS アカウント でのルートユーザーベストプラクティス」を参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
PrivilegeEscalation:IAMUser/AnomalousBehavior
通常ある AWS 環境への高レベルの許可を取得するために使用される API が異常な方法で呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース CloudTrail 管理イベント
この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、攻撃者が環境へのより高いレベルの許可を取得しようとする特権エスカレーション戦術に一般的に関連しています。このカテゴリの API は、通常、IAM ポリシー、ロール、ユーザーを変更するオペレーションを含みます (AssociateIamInstanceProfile、AddUserToGroup、PutUserPolicy など)。
この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Recon:IAMUser/MaliciousIPCaller
API が悪意のある既知の IP アドレスから呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース CloudTrail 管理イベント
この検出結果は、ユーザーの環境内のアカウントの AWS リソースをリスト化または記述できる API オペレーションが、脅威リストの IP アドレスから呼び出されたことを知らせるものです。攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、入手した認証情報の機能を特定するために、ユーザーの AWS リソースの偵察を行うことがあります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Recon:IAMUser/MaliciousIPCaller.Custom
API が悪意のある既知の IP アドレスから呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース CloudTrail 管理イベント
この検出結果は、ユーザーの環境のアカウントの AWS リソースをリスト化または説明できる API オペレーションがカスタム脅威リストの IP アドレスから呼び出されたことを知らせるものです。使用された脅威リストは、検出結果の詳細に表示されます。攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、入手した認証情報の機能を特定するために、ユーザーの AWS リソースの偵察を行うことがあります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Recon:IAMUser/TorIPCaller
API が Tor 出口ノードの IP アドレスから呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース CloudTrail 管理イベント
この検出結果は、ユーザーの環境のアカウントの AWS リソースをリスト化または説明できる API オペレーションが Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。攻撃者は真のアイデンティティを隠すために Tor を使用します。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Stealth:IAMUser/CloudTrailLoggingDisabled
AWS CloudTrail ログ記録は無効です。
デフォルトの重要度: [Low] (低
-
データソース CloudTrail 管理イベント
この検出結果は、ユーザーの AWS 環境の CloudTrail の追跡が無効化されたことを知らせるものです。これにより、悪意ある目的でユーザーの AWS リソースへアクセスしている間、活動の痕跡を消してトラックを隠してログ記録を無効化しようとします。この検出結果は、証跡情報の削除または更新が成功することによってトリガーされる場合があります。また、この検出結果は、GuardDuty に関連付けられている証跡のログを保存する S3 バケットが削除された場合にもトリガーされます。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Stealth:IAMUser/PasswordPolicyChange
アカウントのパスワードポリシーが弱化されています。
デフォルトの重要度: [Low] (低)*
注記
この検出結果の重要度は、パスワードポリシーに加えられた変更の重要度に応じて、[Low] (低)、[Medium] (中)、[High] (高) になります。
-
データソース CloudTrail 管理イベント
AWS アカウントパスワードポリシーが、ユーザーの AWS 環境のリスト化されたアカウントでが無力にされました。例えば、アカウントの削除、必要な文字数を減らすような更新、記号や数字を不要とする更新、パスワードの有効期限を延長するような更新が行われています。この検出結果により、ユーザーの AWS アカウントのパスワードポリシーを更新または削除を試みることでトリガーされます。AWS アカウントのパスワードポリシーでは、IAM ユーザーに設定できるパスワードの種類を規定するルールを定義します。パスワードポリシーが弱化されると、覚えやすいパスワードや推測しやすいパスワードの作成が可能になり、セキュリティ上のリスクが生じます。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
世界中でコンソールに対する複数の正常なログインが確認されました。
デフォルトの重要度: [Medium] (中
-
データソース CloudTrail 管理イベント
この検出結果は、世界各地から同時に同じ IAM ユーザーによるコンソールへの複数の正常なログインが確認されたことを知らせるものです。このような悪意やリスクの高いアクセスロケーションパターンは、AWS リソースへの不正アクセスの可能性を示しています。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS
インスタンス起動ロールを通じて EC2 インスタンス専用に作成された認証情報は、 内の別のアカウントから使用されています。AWS
デフォルトの重要度: [High] (高)*
注記
この検出結果のデフォルトの重要度は [High] (高) です。ただし、API がご使用の AWS 環境に関連付けられているアカウントによって呼び出された場合、重要度は [Medium] (中) です。
-
データソース: CloudTrail 管理イベントまたは S3 CloudTrail データイベント
この検出結果は、Amazon EC2 インスタンスの認証情報を使用して、関連付けられた Amazon EC2 インスタンスが実行されているアカウントとは異なる AWS アカウントが所有する IP アドレスまたは Amazon VPC エンドポイントから API を呼び出す場合に知らせるものです。VPC エンドポイント検出は、VPC エンドポイントのネットワークアクティビティイベントをサポートするサービスでのみ使用できます。VPC エンドポイントのネットワークアクティビティイベントをサポートするサービスの詳細については、「AWS CloudTrail ユーザーガイド」の「ネットワークアクティビティイベントのログ記録」を参照してください。
AWS は、一時的な認証情報を作成したエンティティ (AWS アプリケーション、Amazon EC2、AWS Lambda など) 外にその認証情報を再配布することはお勧めしません。ただし、承認されたユーザーは Amazon EC2 インスタンスから認証情報をエクスポートして正当な API コールを行うことができます。remoteAccountDetails.Affiliated フィールドが True の場合、API は同じ管理者アカウントに関連付けられたアカウントから呼び出されました。攻撃の可能性を排除してアクティビティが正当であることを確認するには、これらの認証情報を割り当てる先の AWS アカウント 所有者または IAM プリンシパルに問い合わせてみます。
注記
GuardDuty がリモートアカウントからの継続的なアクティビティを観察した場合、その機械学習 (ML) モデルはこれを予期される動作として識別します。したがって、GuardDuty は、そのリモートアカウントからのアクティビティに関するこの検出結果の生成を停止します。GuardDuty は、他のリモートアカウントからの新しい動作に関する検出結果を生成し続け、時間の経過とともに動作が変化するにつれて、学習したリモートアカウントを再評価します。
修復のレコメンデーション
この検出結果は、Amazon EC2 インスタンスのセッション認証情報を使用して、AWS アカウントの外部の Amazon EC2 インスタンスを介して AWS API リクエストが AWS 内部で行われたときに生成されます。ハブアンドスポーク構成の Transit Gateway アーキテクチャなどでは、AWS サービスエンドポイントを持つ単一のハブエグレス VPC を介してトラフィックをルーティングするのが慣例であることがあります。この動作が予想される場合、GuardDuty では、抑制ルールを使用し、2 つのフィルター条件を使用するルールを作成することをお勧めします。1 つ目の条件は検出結果タイプで、この場合は UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS です。2 つ目のフィルター条件は、リモートアカウントの詳細のリモートアカウント ID です。
この検出結果に応じて、次のワークフローを使用して、一連のアクションを決定できます。
-
service.action.awsApiCallAction.remoteAccountDetails.accountIdフィールドから関係するリモートアカウントを特定します。 -
そのアカウントが
service.action.awsApiCallAction.remoteAccountDetails.affiliatedフィールドから GuardDuty 環境に関連付けられているかどうかを確認します。 -
アカウントが連携している場合は、リモートアカウントの所有者と Amazon EC2 インスタンスの認証情報の所有者に問い合わせて、調査してください。
アカウントが提携していない場合、最初の手順として、そのアカウントが組織に関連付けられているが、GuardDuty マルチアカウント環境の設定の一部となっていないかどうか、または GuardDuty がこのアカウント内でまだ有効化されていないかどうかを評価します。次に、Amazon EC2 インスタンス認証情報の所有者に問い合わせて、リモートアカウントがこれらの認証情報を使用するユースケースがあるかどうかを判断します。
-
認証情報の所有者がリモートアカウントを認識しない場合は、AWS 内で動作する脅威アクターによって認証情報が侵害された可能性があります。ご利用の環境を保護するために、「侵害された可能性のある Amazon EC2 インスタンスの修復」で推奨されているステップを実行する必要があります。
さらに、AWS Trust and Safety チームに不正使用レポートを送信
して、リモートアカウントの調査を開始できます。AWS Trust and Safety にレポートを送信するときは、検出結果の完全な JSON 詳細を含めてください。
UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS
インスタンス作成ロールで EC2 インスタンス専用に作成された認証情報が外部 IP アドレスから使用されています。
デフォルトの重要度: [High] (高
-
データソース: CloudTrail 管理イベントまたは S3 CloudTrail データイベント
この検出結果は、AWS の外のホストはユーザーの AWS 環境の EC2 インスタンスで作成した一時的な AWS 認証情報を使用して、AWS API オペレーションを実行しようとしていることを知らせるものです。EC2 インスタンス一覧に不正アクセスされ、このインスタンスの一時的な認証情報が AWS の外のリモートホストに漏洩している可能性があります。AWS は、作成したエンティティの外で一時的な認証情報を再配布することは推奨しません (AWS アプリケーション、EC2、Lambda など)。ただし、承認されたユーザーは EC2 インスタンスから認証情報をエクスポートして正当な API コールを行うことができます。潜在的な攻撃を除外し、アクティビティの正当性を検証するには、検出結果においてリモート IP からのインスタンスの認証情報の使用が想定されるかどうかを検証します。
注記
GuardDuty がリモートアカウントからの継続的なアクティビティを観察した場合、その機械学習 (ML) モデルはこれを予期される動作として識別します。したがって、GuardDuty は、そのリモートアカウントからのアクティビティに関するこの検出結果の生成を停止します。GuardDuty は、他のリモートアカウントからの新しい動作に関する検出結果を生成し続け、時間の経過とともに動作が変化するにつれて、学習したリモートアカウントを再評価します。
修復のレコメンデーション
この検出結果が生成されるのは、VPC インターネットゲートウェイ (IGW) からではなく、オンプレミスのゲートウェイから排出され、インターネットトラフィックがルーティングされるように、ネットワークが構成されている場合です。AWS Outposts や VPC VPN 接続などの一般的な構成では、このようにトラフィックがルーティングされる可能性があります これが予期した動作である場合は、抑制ルールを使用して、2 つのフィルター条件で構成されるルールを作成することをお勧めします。1 つ目の条件では、[finding type] (結果タイプ) に UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS を使用します。2 番目のフィルター条件は、オンプレミスインターネットゲートウェイの IP アドレスまたは CIDR 範囲を持つ [API caller IPv4 Address] (API 発信者の IPv4 アドレス) です。抑制ルールの作成の詳細については、「GuardDuty の抑制ルール」を参照してください。
注記
GuardDuty が外部ソースからの継続的なアクティビティを観察した場合、その機械学習モデルは、想定されるアクティビティとしてこれを識別し、そのソースからのアクティビティの検出結果の生成を停止します。GuardDuty は、他のソースからの新しい動作に関する検出結果を引き続き生成し、学習したソースを時間の経過とともに変化する動作として再評価します。
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
UnauthorizedAccess:IAMUser/MaliciousIPCaller
API が悪意のある既知の IP アドレスから呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース CloudTrail 管理イベント
この検出結果は、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、また、AWS 権限の変更などの試行など) が悪意のある既知の IP アドレスから呼び出されたことを知らせるものです。これは、ユーザーの環境の AWS リソースへの不正アクセスであることを示している場合があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
API がカスタム脅威リストにある IP アドレスから呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース CloudTrail 管理イベント
この検出結果は、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、また、AWS 権限の変更などの試行など) が、アップロードした脅威リストに含まれる IP アドレスから呼び出されたことを知らせるものです。GuardDuty の場合、脅威リストは悪意のある既知の IP アドレスで構成されます。これは、ユーザーの環境の AWS リソースへの不正アクセスであることを示している場合があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
UnauthorizedAccess:IAMUser/TorIPCaller
API が Tor 出口ノードの IP アドレスから呼び出されました。
デフォルトの重要度: [Medium] (中
-
データソース CloudTrail 管理イベント
この検出結果は、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行など) が Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠しているという意図により、AWS リソースへの未承認のアクセスを示している場合があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
