暗号通貨サーバーと通信する AWS EC2 インスタンス
Dash が新機能を発表!インシデントマネジメント、Continuous Profiler など多数の機能が追加されました! Dash イベントで発表された新機能!
<  Back to rules search

暗号通貨サーバーと通信する AWS EC2 インスタンス

guardduty

Classification:

attack

Tactic:

Technique:

Set up the guardduty integration.

概要

目標

EC2 インスタンスが暗号通貨サーバーと通信していることを検出します

戦略

このルールを使用すると、GuardDuty を利用して、EC2 インスタンスが DNS リクエストを行ったこと、または暗号通貨操作に関連付けられている IP と通信していることを検出できます。次の GuardDuty Findings がこのシグナルをトリガーします。

トリアージと対応

  1. シグナルをトリガーしたドメイン名または IP アドレスを特定します。これはサンプルにあります。
  2. ドメインまたは IP アドレスがリクエストされるべきでなかった場合は、セキュリティ調査を開き、ドメイン名または IP アドレスをリクエストしたプロセスを特定します。