Corregir una instancia de Amazon EC2 potencialmente comprometida - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Corregir una instancia de Amazon EC2 potencialmente comprometida

Cuando GuardDuty genere tipos de búsqueda que indiquen EC2 recursos de Amazon potencialmente comprometidos, su recurso será Instance. Los posibles tipos de búsqueda podrían ser EC2buscar tiposGuardDuty Tipos de búsqueda de Runtime Monitoring, oProtección contra malware para EC2 encontrar tipos. Si el comportamiento que provocó el hallazgo era el esperado en su entorno, considere la posibilidad de utilizarloReglas de supresión.

Realice los siguientes pasos para corregir la EC2 instancia de Amazon potencialmente comprometida:

  1. Identifica la EC2 instancia de Amazon potencialmente comprometida

    Examine la instancia posiblemente comprometida en busca de malware y elimínelo. Puedes utilizarla Escanea malware bajo demanda en GuardDuty para identificar el malware en la EC2 instancia potencialmente comprometida o AWS Marketplacecomprobar si hay productos asociados útiles para identificar y eliminar el malware.

  2. Aísle la EC2 instancia de Amazon potencialmente comprometida

    Si es posible, sigue los siguientes pasos para aislar la instancia potencialmente comprometida:

    1. Cree un grupo de seguridad de aislamiento dedicado. Un grupo de seguridad de aislamiento solo debe tener acceso entrante y saliente desde direcciones IP específicas. Asegúrese de que no haya ninguna regla de entrada o salida que permita el tráfico. 0.0.0.0/0 (0-65535)

    2. Asocie el grupo de seguridad Isolation a esta instancia.

    3. Elimine todas las asociaciones de grupos de seguridad que no sean el grupo de seguridad Isolation recién creado de la instancia potencialmente comprometida.

      nota

      Las conexiones rastreadas existentes no se cancelarán como resultado de un cambio en los grupos de seguridad; el nuevo grupo de seguridad solo bloqueará eficazmente el tráfico futuro.

      Para obtener información sobre las conexiones rastreadas y no rastreadas, consulte el seguimiento de conexiones de los grupos de EC2 seguridad de Amazon en la Guía del EC2 usuario de Amazon.

      Para obtener información sobre cómo bloquear más tráfico procedente de conexiones existentes sospechosas, consulte Hacer cumplir las normas en NACLs función de la red IoCs para evitar más tráfico en el manual de respuesta a incidentes.

  3. Identifique el origen de la actividad sospechosa

    Si se detecta malware, identifique y detenga la actividad potencialmente no autorizada en su EC2 instancia en función del tipo de hallazgo en su cuenta. Esto puede requerir acciones como cerrar cualquier puerto abierto, cambiar las políticas de acceso y actualizar las aplicaciones para corregir las vulnerabilidades.

    Si no puedes identificar ni detener la actividad no autorizada en tu EC2 instancia potencialmente comprometida, te recomendamos que la canceles y la sustituyas EC2 por una nueva, según sea necesario. Los siguientes son recursos adicionales para proteger EC2 las instancias:

  4. Examinar AWS re:Post

    AWS re:PostBusque más ayuda.

  5. Envíe una solicitud de asistencia técnica

    Si es suscriptor de un paquete Premium Support, puede enviar una solicitud de asistencia técnica.