Como corrigir credenciais possivelmente AWS comprometidas - Amazon GuardDuty

Como corrigir credenciais possivelmente AWS comprometidas

Quando o GuardDuty gera Tipos de descobertas do IAM, isso indica que suas AWS credenciais foram comprometidas. O tipo de recurso possivelmente comprometido é AccessKey.

Para corrigir credenciais possivelmente comprometidas em seu AWS ambiente, execute as seguintes etapas:

  1. Identifique a entidade do IAM possivelmente comprometida e a chamada de API usada.

    A chamada de API usada será listada como API nos detalhes da descoberta. A entidade do IAM (um usuário ou um perfil do IAM) e as respectivas informações de identificação serão listadas na seção Recurso dos detalhes de uma descoberta. O tipo de entidade do IAM envolvida pode ser determinado pelo campo Tipo de usuário, o nome da entidade do IAM estará no campo Nome de usuário. O tipo de entidade do IAM envolvida na descoberta também pode ser determinado pelo ID de chave de acesso usado.

    Para chaves que começam com AKIA:

    Esse tipo de chave é uma credencial de longo prazo gerenciada pelo cliente associada a um usuário do IAM ou Usuário raiz da conta da AWS. Para obter informações sobre como gerenciar chaves de acesso para usuários do IAM, consulte Gerenciamento de chaves de acesso de usuários do IAM.

    Para chaves que começam com ASIA:

    Esse tipo de chave é uma credencial temporária de curto prazo gerada pelo AWS Security Token Service. Essas chaves existem somente por um curto período e não podem ser visualizadas nem gerenciadas no Console de Gerenciamento da AWS. Os perfis do IAM sempre usarão credenciais do AWS STS, mas também podem ser geradas para usuários do IAM. Para obter mais informações sobre o AWS STS, consulte Cenários comuns para credenciais temporárias.

    Se um perfil tiver sido usado, o campo Nome de usuário conterá informações sobre o nome do perfil usado. É possível determinar como a chave foi solicitada com o AWS CloudTrail examinando o elemento sessionIssuer da entrada de log do CloudTrail. Para obter mais informações, consulte Informações do IAM e do AWS STS no CloudTrail.

  2. Revise as permissões para a entidade do IAM.

    Abra o console do IAM. Dependendo do tipo de entidade usada, selecione a guia Usuários ou Funções e localize a entidade afetada digitando o nome identificado no campo de pesquisa. Use as guias Permissão e Consultor de acesso para revisar permissões efetivas para essa entidade.

  3. Determine se as credenciais da entidade do IAM foram usadas legitimamente.

    Entre em contato com o usuário das credenciais para determinar se a atividade foi intencional.

    Por exemplo, descubra se o usuário fez o seguinte:

    • Invocou a operação da API que foi listada na descoberta do GuardDuty

    • Invocou a operação da API no horário indicado na descoberta do GuardDuty

    • Invocou a operação da API do endereço IP que foi listado na descoberta do GuardDuty

Se essa atividade for um uso legítimo das credenciais da AWS, a descoberta do GuardDuty poderá ser ignorada. O console https://console.aws.amazon.com/guardduty/ permite configurar regras para suprimir totalmente as descobertas individuais e impedir sua exibição. Para obter mais informações, consulte Regras de supressão no GuardDuty.

Se não for possível confirmar se essa atividade é um uso legítimo, isso pode indicar um comprometimento da chave de acesso específica, das credenciais de login do usuário do IAM ou, possivelmente, de toda a Conta da AWS. Ao suspeitar que suas credenciais foram comprometidas, revise as informações em Minha Conta da AWS pode estar comprometida para corrigir esse problema.