Behebung einer potenziell gefährdeten Amazon-Instance EC2 - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung einer potenziell gefährdeten Amazon-Instance EC2

Wenn GuardDuty Findetypen generiert werden, die auf potenziell gefährdete EC2 Amazon-Ressourcen hinweisen, ist Ihre Ressource Instance. Mögliche Findetypen könntenEC2Typen finden,GuardDuty Laufzeitüberwachung: Typen finden, oder Malware-Schutz zum EC2 Auffinden von Typen sein. Wenn das Verhalten, das den Befund verursacht hat, in Ihrer Umgebung erwartet wurde, sollten Sie die Verwendung vonUnterdrückungsregeln.

Führen Sie die folgenden Schritte aus, um die potenziell gefährdete EC2 Amazon-Instance zu beheben:

  1. Identifizieren Sie die potenziell gefährdete Amazon-Instance EC2

    Untersuchen Sie die potenziell kompromittierte Instance auf Malware und entfernen Sie sämtliche gefundene Malware. Sie können Malware-Scan auf Abruf GuardDuty sie verwenden, um Malware in der potenziell gefährdeten EC2 Instance zu identifizieren oder AWS Marketplacezu überprüfen, ob es hilfreiche Partnerprodukte zur Identifizierung und Entfernung von Malware gibt.

  2. Isolieren Sie die potenziell gefährdete Amazon-Instance EC2

    Gehen Sie nach Möglichkeit wie folgt vor, um die potenziell gefährdete Instance zu isolieren:

    1. Erstellen Sie eine dedizierte Isolations-Sicherheitsgruppe. Eine isolierte Sicherheitsgruppe sollte nur eingehenden und ausgehenden Zugriff von bestimmten IP-Adressen aus haben. Stellen Sie sicher, dass es keine Regel für eingehenden oder ausgehenden Datenverkehr gibt, die Datenverkehr für zulässt. 0.0.0.0/0 (0-65535)

    2. Ordnen Sie die Isolations-Sicherheitsgruppe dieser Instanz zu.

    3. Entfernen Sie alle Sicherheitsgruppenzuordnungen mit Ausnahme der neu erstellten Isolations-Sicherheitsgruppe aus der potenziell gefährdeten Instance.

      Anmerkung

      Die bestehenden verfolgten Verbindungen werden nicht aufgrund wechselnder Sicherheitsgruppen beendet — nur future Datenverkehr wird von der neuen Sicherheitsgruppe effektiv blockiert.

      Informationen zu verfolgten und nicht verfolgten Verbindungen finden Sie unter Amazon EC2 Security Group Connection Tracking im EC2Amazon-Benutzerhandbuch.

      Informationen zum Blockieren weiteren Datenverkehrs von verdächtigen bestehenden Verbindungen finden Sie im Incident Response Playbook unter NACLsNetzwerkbasiert durchsetzen, IoCs um weiteren Datenverkehr zu verhindern.

  3. Identifizieren Sie die Quelle der verdächtigen Aktivität.

    Wenn Malware erkannt wird, können Sie anhand der Art des Fundes in Ihrem Konto die potenziell unautorisierten Aktivitäten auf Ihrer EC2 Instance identifizieren und beenden. Dies kann Aktionen wie das Schließen aller offenen Ports, das Ändern von Zugriffsrichtlinien und das Aktualisieren von Anwendungen zur Behebung von Schwachstellen erfordern.

    Wenn Sie nicht in der Lage sind, unbefugte Aktivitäten auf Ihrer potenziell gefährdeten EC2 Instance zu identifizieren und zu stoppen, empfehlen wir Ihnen, die gefährdete EC2 Instance zu beenden und sie bei Bedarf durch eine neue Instance zu ersetzen. Im Folgenden finden Sie zusätzliche Ressourcen zum Schutz Ihrer EC2 Instances:

  4. Durchsuchen AWS re:Post

    AWS re:PostSuchen Sie nach weiterer Unterstützung.

  5. Reichen Sie eine Anfrage für technischen Support ein

    Wenn Sie ein Premium-Support-Paket abonniert haben, können Sie eine Anfrage für den technischen Support senden.