ルール をクリックします。GuardDuty-Event-S3-Stealth-Policy をクリックします。GuardDutyは、その検出結果を Security Hub(有効になっている場合)に送信することもできます。Security Hub はさまざまな AWS サービスおよびパートナーサービスからの検出結果を集約するのに役立ちます。その後、Security Hub を使用してカスタムアクションを実行できます。カスタムアクションは、EventBridge ルールを使用して、チケット起票、チャット、セキュリティ情報およびイベント管理システム(SIEM)、セキュリティオーケストレーション自動化および応答(SOAR)、インシデント管理ツール、またはカスタム修復プレイブック等に検出結果を送信できます。
バケットの所有者からバケット設定が意図せず変更されたことを確認できたため、変更を元に戻します。
guardduty-example-finance をクリックします。編集をクリック、有効にするにチェックを入れますS3 の参照ボタンをクリックし、guardduty-example-log を選択して、パスを選択 をクリックします。変更の保存 ボタンをクリックすると、サーバーアクセスログが有効になります。アクセス許可タブをクリックし、[ブロックパブリックアクセス (バケット設定)] の編集をクリックします。パブリックアクセスをすべて ブロックのチェックボックスをオンにしてから、[変更の保存]をクリックし、表示されるダイアログボックスに「確認」と入力します。これで、バケットが再び非公開になりました。ユーザーが意図しないバケット公開から保護するためのもう1つのオプションは、サービスコントロールポリシー (SCP) を追加することです。SCP は、アカウントの管理者が IAM ユーザーおよびアカウント内のロールに委任できるアクションにガードレールを定義するか、制限を設定します。
セキュリティチームがこのユーザーの以前のアクティビティを分析して侵害の範囲をよりよく理解している間、[IAM クレデンシャルの侵害] シナリオで行ったように、不正なアクションを防ぐために、ユーザーに関連付けられたアクセスキーを無効にします。
ユーザーをクリックします。GuardDuty-Example-Compromised2-Simulated をクリックします。認証情報タブをクリックします。無効化をクリックしてから、ポップアップの 無効化ボタンをクリックします。以上で、侵害の受けた S3 バケットと IAM ユーザーの修復が完了です。