5.2. 脅威シナリオの説明
- リモートホストは侵害されたインスタンスにアクセスし、インスタンスメタデータサービスを介して IAM ロールのクレデンシャルを盗み出します。
- リモートホストは、クレデンシャルが属する AWS アカウントに API 呼び出しを行うように CLI ユーザーを設定します。
- GuardDuty は検出結果を生成し、これを GuardDuty コンソールと EventBridge に送信します。
- EventBridge ルールは、SNS トピックと Lambda 関数をトリガーします。
- SNS は、検出結果を記載した通知メールを送信します。
- Lambda 関数は、すべてのアクティブなセッションを取り消すロールにポリシーをアタッチします。