修复卫安发现的 GuardDuty 全问题 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复卫安发现的 GuardDuty 全问题

Amazon GuardDuty 生成结果表示存在潜在安全问题。在此 GuardDuty 版本中,潜在安全问题表示您的 GuardDuty 实例被盗用或一组凭证被盗用。Amazon环境。以下部分介绍了这些场景中推荐的修复步骤。如果存在替代修正方案,则将在该特定查找结果类型的条目中描述这些方案。您可以访问有关查找结果类型的完整信息,方法是从活动查找结果类型表.

修复受损 EC2 实例

通过以下推荐的步骤,修复您的Amazon:Envronments

修复遭盗用的 S3 存储桶

通过以下推荐的步骤,修复您的步骤中遭盗用的 S3 存储桶Amazon:Envronments

  1. 确定受影响的 S3 资源。

    S3 的 GuardDuty 查找结果将在查找详细信息中列出 S3 存储桶、存储桶的 Amazon 资源编号 (ARN) 和存储桶拥有者。

  2. 确定可疑活动的来源和使用的 API 调用。

    使用的 API 调用将在调查结果详细信息中作为 API 列出。源将是 IAM 委托人(IAM 用户、角色或账户),识别详细信息将在查找结果中列出。根据源类型,远程 IP 或源域信息将可用,并可帮助您评估源是否已授权。如果查找结果涉及 EC2 实例的证书,则还将包括该资源的详细信息。

  3. 确定呼叫源是否有权访问标识的资源。

    例如,请考虑以下事项:

    • 如果涉及 IAM 用户,他们的证书是否可能已被盗用? 请参阅下一节有关修复遭盗用的部分Amazon凭证。

    • 如果 API 是从没有调用此类 API 的先前历史的委托人调用的,则此源是否需要访问权限才能执行此操作? 存储桶权限是否可以进一步限制?

    • 如果访问是从用户名 ANONYMOUS_PRINCIPAL替换为用户类型AWSAccount这表示存储桶是公共存储桶并已被访问。这个存储桶应该是公开的吗? 如果没有,请查看以下安全建议,以获取共享 S3 资源的备选解决方案。

    • 如果访问是成功的PreflightRequest调用从用户名ANONYMOUS_PRINCIPAL替换为用户类型AWSAccount表示存储桶具有跨源资源共享 (CORS) 策略集。此存储桶是否应具有 CORS 策略? 如果没有,请确保存储桶不会被无意中公开,并查看以下安全建议,以获取共享 S3 资源的替代解决方案。有关 CORS 的更多信息,请参阅使用跨源资源共享 (CORS)在 S3 用户指南中。

如果访问被授权,则可以忽略此结果。如果您确定 S3 数据已被未经授权的方公开或访问,请查看以下 S3 安全建议以加强权限并限制访问。适当的补救解决方案将取决于您的特定环境的需求。

以下是基于特定 S3 访问需求的一些建议:

  • 对于限制对 S3 数据的公共访问的集中方式,请使用 S3 块公共访问。可以为访问点、存储桶和启用阻止公有访问设置Amazon帐户通过四种不同的设置来控制访问的粒度。有关更多信息,请参阅S3 阻止公有访问设置.

  • Amazon访问策略可用于控制 IAM 用户如何访问您的资源或如何访问您的存储桶。有关更多信息,请参阅使用存储桶策略和用户策略。.

    此外,您还可以将 Virtual Private Cloud (VPC) 终端节点与 S3 存储桶策略结果一起使用,限制对特定 VPC 终端节点的访问。有关更多信息,请参阅Amazon S3 的 VPC 终端节点的示例存储桶策略

  • 要临时允许您账户外的受信任实体访问 S3 对象,您可以通过 S3 创建预签名 URL。此访问权限是使用您的账户凭据创建的,具体取决于使用的凭据可持续 6 小时至 7 天。有关更多信息,请参阅使用 S3 生成预签名 URL.

  • 对于需要在不同源之间共享 S3 对象的用例,您可以使用 S3 接入点创建权限集,这些权限集仅限于您专用网络中的访问权限集。有关更多信息,请参阅使用 Amazon S3 访问点管理数据访问.

  • 若要将 S3 资源的访问权限安全地授予其他Amazon您可以使用访问控制列表 (ACL) 的帐户,有关更多信息,请参阅使用 ACL 管理 S3 访问.

有关 S3 安全选项的完整概述,请参阅S3 安全最佳实践.

修正遭盗用的损用Amazon凭证

通过以下推荐的步骤,修复您的Amazon:Envronments

  1. 确定受影响的 IAM 实体和使用的 API 调用。

    使用的 API 调用将在调查结果详细信息中作为 API 列出。IAM 实体(IAM 用户或角色)及其识别信息将在调查结果详细信息的 Resource (资源) 部分中列出。所涉及的 IAM 实体的类型可由 User Type (用户类型) 字段确定,IAM 实体的名称将位于 User name (用户名) 字段中。调查结果中涉及的 IAM 实体的类型也可以由使用的 Access key ID (访问密钥 ID) 确定。

    对于以 AKIA 开头的密钥:

    此类型的密钥是与 IAM 用户或与 IAM 用户关联的长期客户托管凭证Amazon账户根用户。有关管理 IAM 用户访问密钥的信息,请参阅管理 IAM 用户的访问密钥.

    对于以 ASIA 开头的密钥:

    此类型的密钥是由 Amazon Security Token Service 生成的短期临时凭证。这些密钥仅存在很短的时间,无法在Amazon管理控制台。IAM 角色将始终使用Amazon STS凭证,但也可以为 IAM 用户生成这些凭证,以获取有关Amazon STS请参阅IAM:临时安全凭证.

    如果使用了角色,用户名字段将指示所使用角色的名称。您可以确定如何使用Amazon CloudTrail通过检查sessionIssuer元素,CloudTrail 细信息,请参阅IAM 和Amazon STSCloudTrail 中的信息.

  2. 查看 IAM 实体的权限。

    打开 IAM 控制台,根据使用的实体类型选择 Users (用户)Roles (角色) 选项卡,然后通过在搜索字段中键入已识别的名称来查找受影响的实体。使用 Permission (权限)Access Advisor (访问顾问) 选项卡可查看该实体的有效权限。

  3. 确定是否合法使用了 IAM 实体凭证。

    请与凭证用户联系以确定活动是否是有意进行的。

    例如,确定此用户是否执行了以下操作:

    • 调用了 GuardDuty 结果中列出的 API 操作

    • 在 GuardDuty 结果中列出的时间调用了 API 操作

    • 从 GuardDuty 结果中列出的 IP 地址调用了 API 操作

如果您确认活动合法使用了Amazon凭据时,您可以忽略 GuardDuty 查找结果。如果不是,则此活动可能是该特定访问密钥、IAM 用户的用户 ID 和密码或者可能是整个Amazonaccount. 如果您怀疑您的凭证被盗用,请检查我的 MyAmazon帐户可能被盗用文章来修复此问题。