Corregir una instancia de Amazon EC2 potencialmente comprometida - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Corregir una instancia de Amazon EC2 potencialmente comprometida

Cuando GuardDuty genere tipos de búsqueda que indiquen EC2 recursos de Amazon potencialmente comprometidos, su recurso será Instance. Los posibles tipos de resultados podrían ser Tipos de resultados de EC2, GuardDuty Tipos de búsqueda de Runtime Monitoring o Tipos de resultados de la protección contra malware para EC2. Si el comportamiento que causó el resultado era el previsto en el entorno, considere la posibilidad de utilizar Reglas de supresión.

Realice los siguientes pasos para corregir la EC2 instancia de Amazon potencialmente comprometida:

  1. Identifica la EC2 instancia de Amazon potencialmente comprometida

    Examine la instancia posiblemente comprometida en busca de malware y elimínelo. Puedes utilizarla Escanea malware bajo demanda en GuardDuty para identificar el malware en la EC2 instancia potencialmente comprometida o AWS Marketplacecomprobar si hay productos asociados útiles para identificar y eliminar el malware.

  2. Aísle la EC2 instancia de Amazon potencialmente comprometida

    Si es posible, siga los siguientes pasos para aislar la instancia potencialmente comprometida:

    1. Cree un grupo de seguridad de aislamiento dedicado. Un grupo de seguridad de aislamiento solo debe tener acceso entrante y saliente desde direcciones IP específicas. Asegúrese de que no hay ninguna regla de entrada o salida que permita el tráfico para 0.0.0.0/0 (0-65535).

    2. Asocie el grupo de seguridad de aislamiento a esta instancia.

    3. Elimine todas las asociaciones de grupos de seguridad distintas del grupo de seguridad de aislamiento recién creado de la instancia potencialmente comprometida.

      nota

      Las conexiones rastreadas existentes no se terminarán como resultado del cambio de grupo de seguridad. Únicamente el tráfico futuro será bloqueado de forma efectiva por el nuevo grupo de seguridad.

      Para obtener información sobre las conexiones rastreadas y no rastreadas, consulte el seguimiento de conexiones de los grupos de EC2 seguridad de Amazon en la Guía del EC2 usuario de Amazon.

      Para obtener información sobre cómo bloquear más tráfico procedente de conexiones existentes sospechosas, consulte Hacer cumplir las normas en NACLs función de la red IoCs para evitar más tráfico en el manual de respuesta a incidentes.

  3. Identifique el origen de la actividad sospechosa

    Si se detecta malware, identifique y detenga la actividad potencialmente no autorizada en su EC2 instancia en función del tipo de hallazgo en su cuenta. Esto puede requerir acciones como cerrar cualquier puerto abierto, cambiar las políticas de acceso y actualizar las aplicaciones para corregir las vulnerabilidades.

    Si no puedes identificar ni detener la actividad no autorizada en tu EC2 instancia potencialmente comprometida, te recomendamos que la canceles y la sustituyas EC2 por una nueva, según sea necesario. Los siguientes son recursos adicionales para proteger EC2 las instancias:

  4. Examinar AWS re:Post

    Vaya a AWS re:Post para obtener más ayuda.

  5. Envíe una solicitud de asistencia técnica

    Si es suscriptor de un paquete Premium Support, puede enviar una solicitud de asistencia técnica.