ルール をクリックします。GuardDuty-Event-IAMUser-MaliciousIPCaller をクリックします。GuardDuty は EventBridge と統合されているため、完全または部分的な自動修復ワークフローを柔軟に導入できます。これらは、自身で構築したカスタム Lambda 関数、またはパートナーソリューションである可能性があります。他のAWSリソースをターゲットに設定することもできます。System Mangerのランコマンドや Step Function のステートマシンなどを設定できます。一部の検出結果タイプは、通知のワークフローのみを設定して、修復は手動にする場合があります。ワークフローを設計するときは、実行中のワークロードに対して設定予定の修復がどのような影響を与える可能性があるかを確認することが重要です。
この検出結果の自動修復を設定しなかったため、手動で修復する必要があります。セキュリティチームがこのユーザーの以前のアクティビティを分析して侵害の範囲を特定している間に、不正なアクションを防ぐために、ユーザーに関連付けられたアクセスキーを無効にする必要があります。
ユーザーをクリックします。GuardDuty-Example-Compromised-Simulated をクリックします。認証情報タブをクリックします。無効化をクリックしてから、ポップアップの 無効化ボタンをクリックします。以上で、侵害の受けた IAM ユーザーを特定して、アクセスキーを手動で無効にする対応が完了です。