Behebung eines potenziell gefährdeten Standalone-Containers - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung eines potenziell gefährdeten Standalone-Containers

Wenn Suchtypen GuardDuty generiert werden, die auf einen potenziell kompromittierten Container hinweisen, lautet Ihr Ressourcentyp Container. Wenn das Verhalten, das den Befund verursacht hat, in Ihrer Umgebung erwartet wurde, sollten Sie die Verwendung vonUnterdrückungsregeln.

Gehen Sie wie folgt vor, um potenziell gefährdete Anmeldeinformationen in Ihrer AWS Umgebung zu korrigieren:

  1. Isolieren Sie den potenziell gefährdeten Container

    Mithilfe der folgenden Schritte können Sie den potenziell schädlichen Container-Workload identifizieren:

    • Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

    • Wählen Sie auf der Ergebnisseite das entsprechende Ergebnis aus, um das Ergebnisfenster aufzurufen.

    • Im Erkenntnisfenster können Sie im Abschnitt Betroffene Ressource die ID und den Namen des Containers einsehen.

    Isolieren Sie diesen Container von anderen Container-Workloads.

  2. Halten Sie den Container an

    Unterbrechen Sie alle Prozesse in Ihrem Container.

    Informationen zum Einfrieren Ihres Containers finden Sie unter Einen Container pausieren.

    Stoppen Sie den Container

    Wenn der obige Schritt fehlschlägt und der Container nicht angehalten wird, beenden Sie die Ausführung des Containers. Wenn Sie die Snapshot-Beibehaltung Funktion aktiviert haben, GuardDuty werden die Snapshots Ihrer EBS Volumes, die Malware enthalten, beibehalten.

    Informationen zum Stoppen des Containers finden Sie unter Stoppen eines Containers.

  3. Prüfen Sie das Vorhandensein von Malware

    Prüfen Sie, ob sich die entdeckte Malware im Image des Containers befand.

Wenn der Zugriff autorisiert wurde, können Sie die Erkenntnis ignorieren. In der https://console.aws.amazon.com/guardduty/Konsole können Sie Regeln einrichten, um einzelne Ergebnisse vollständig zu unterdrücken, sodass sie nicht mehr angezeigt werden. In der GuardDuty Konsole können Sie Regeln einrichten, um einzelne Ergebnisse vollständig zu unterdrücken, sodass sie nicht mehr angezeigt werden. Weitere Informationen finden Sie unter Unterdrückungsregeln in GuardDuty.