Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Behebung einer potenziell gefährdeten Amazon-Instance EC2

PDF
RSS
Fokusmodus
Behebung einer potenziell gefährdeten Amazon-Instance EC2 - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn GuardDuty Findetypen generiert werden, die auf potenziell gefährdete EC2 Amazon-Ressourcen hinweisen, ist Ihre Ressource Instance. Mögliche Findetypen könntenEC2 Typen finden,GuardDuty Runtime Monitoring: Typen finden, oder Malware-Schutz zum EC2 Auffinden von Typen sein. Wenn das Verhalten, das den Befund verursacht hat, in Ihrer Umgebung erwartet wurde, sollten Sie die Verwendung vonUnterdrückungsregeln.

Führen Sie die folgenden Schritte aus, um die potenziell gefährdete EC2 Amazon-Instance zu beheben:

  1. Identifizieren Sie die potenziell gefährdete Amazon-Instance EC2

    Untersuchen Sie die potenziell kompromittierte Instance auf Malware und entfernen Sie sämtliche gefundene Malware. Sie können Malware-Scan auf Abruf GuardDuty sie verwenden, um Malware in der potenziell gefährdeten EC2 Instance zu identifizieren oder AWS Marketplacezu überprüfen, ob es hilfreiche Partnerprodukte zur Identifizierung und Entfernung von Malware gibt.

  2. Isolieren Sie die potenziell gefährdete Amazon-Instance EC2

    Gehen Sie nach Möglichkeit wie folgt vor, um die potenziell gefährdete Instance zu isolieren:

    1. Erstellen Sie eine dedizierte Isolations-Sicherheitsgruppe. Eine isolierte Sicherheitsgruppe sollte nur eingehenden und ausgehenden Zugriff von bestimmten IP-Adressen aus haben. Stellen Sie sicher, dass es keine Regel für eingehenden oder ausgehenden Datenverkehr gibt, die Datenverkehr für zulässt. 0.0.0.0/0 (0-65535)

    2. Ordnen Sie die Isolations-Sicherheitsgruppe dieser Instanz zu.

    3. Entfernen Sie alle Sicherheitsgruppenzuordnungen mit Ausnahme der neu erstellten Isolations-Sicherheitsgruppe aus der potenziell gefährdeten Instanz.

      Anmerkung

      Die bestehenden verfolgten Verbindungen werden nicht aufgrund wechselnder Sicherheitsgruppen beendet — nur future Datenverkehr wird von der neuen Sicherheitsgruppe effektiv blockiert.

      Informationen zu verfolgten und nicht verfolgten Verbindungen finden Sie unter Amazon EC2 Security Group Connection Tracking im EC2 Amazon-Benutzerhandbuch.

      Informationen zum Blockieren weiteren Datenverkehrs von verdächtigen bestehenden Verbindungen finden Sie im Incident Response Playbook unter NACLs Netzwerkbasiert durchsetzen, IoCs um weiteren Datenverkehr zu verhindern.

  3. Identifizieren Sie die Quelle der verdächtigen Aktivität.

    Wenn Malware erkannt wird, können Sie anhand der Art des Fundes in Ihrem Konto die potenziell unautorisierten Aktivitäten auf Ihrer EC2 Instance identifizieren und beenden. Dies kann Aktionen wie das Schließen aller offenen Ports, das Ändern von Zugriffsrichtlinien und das Aktualisieren von Anwendungen zur Behebung von Schwachstellen erfordern.

    Wenn Sie nicht in der Lage sind, unbefugte Aktivitäten auf Ihrer potenziell gefährdeten EC2 Instance zu identifizieren und zu stoppen, empfehlen wir Ihnen, die gefährdete EC2 Instance zu beenden und sie bei Bedarf durch eine neue Instance zu ersetzen. Im Folgenden finden Sie zusätzliche Ressourcen zum Schutz Ihrer EC2 Instances:

  4. Durchsuchen AWS re:Post

    AWS re:PostSuchen Sie nach weiterer Unterstützung.

  5. Reichen Sie eine Anfrage für technischen Support ein

    Wenn Sie ein Premium-Support-Paket abonniert haben, können Sie eine Anfrage für den technischen Support senden.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.