Corrección de imágenes de contenedor en peligro

Cómo corregir los hallazgos de Runtime Monitoring

Cuando habilitas Runtime Monitoring para tu cuenta, Amazon GuardDuty puede generar datos GuardDuty Tipos de búsqueda de Runtime Monitoring que indiquen posibles problemas de seguridad en tu AWS entorno. Los posibles problemas de seguridad indican una EC2 instancia de Amazon, una carga de trabajo de contenedor, un EKS clúster de Amazon o un conjunto de credenciales comprometidas en su AWS entorno. El agente de seguridad monitorea los eventos de tiempo de ejecución de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte el tipo de recurso en los detalles de búsqueda generados en la GuardDuty consola. En la siguiente sección se describen los pasos de corrección recomendados para cada tipo de recurso.

Instance

Si el tipo de recurso en los detalles de la búsqueda es Instancia, indica que una EC2 instancia o un EKS nodo están potencialmente comprometidos.

Para corregir un EKS nodo comprometido, consulteCorregir los nodos de Kubernetes potencialmente comprometidos.
Para corregir una EC2 instancia comprometida, consulte. Corregir una instancia de Amazon EC2 potencialmente comprometida

EKSCluster

Si el tipo de recurso que aparece en los detalles de la búsqueda es el tipo de recurso EKSCluster, esto indica que un pod o un contenedor dentro de un EKS clúster están potencialmente comprometidos.

Para corregir un pod en peligro, consulte Corregir los pods de Kubernetes potencialmente comprometidos.
Para corregir una imagen de contenedor en peligro, consulte Corregir las imágenes de contenedores potencialmente comprometidas.

ECSCluster

Si el tipo de recurso que aparece en los detalles de la búsqueda es el mismo ECSCluster, esto indica que una ECS tarea o un contenedor dentro de una ECS tarea están potencialmente comprometidos.

Identifique el ECS clúster afectado

El hallazgo GuardDuty de Runtime Monitoring proporciona los detalles del ECS clúster en el panel de detalles del hallazgo o en la resource.ecsClusterDetails sección del hallazgoJSON.
Identifique la ECS tarea afectada

El hallazgo GuardDuty de Runtime Monitoring proporciona los detalles de la ECS tarea en el panel de detalles del hallazgo o en la resource.ecsClusterDetails.taskDetails sección del hallazgoJSON.
Aísle la tarea afectada

Aísle la tarea afectada negando todo el tráfico de entrada y salida a la tarea. Una regla que prohíba todo el tráfico puede ayudar a detener un ataque que ya está en marcha, ya que interrumpe todas las conexiones con la tarea.
Corrija la tarea comprometida
1. Identifique la vulnerabilidad que puso en peligro la tarea.
2. Implemente la solución para esa vulnerabilidad y comience una nueva tarea de reemplazo.
3. Detenga la tarea vulnerable.

Container

Si el tipo de recurso en los detalles del resultado es Contenedor, indica que un contenedor independiente está potencialmente en peligro.

Para corregirlo, consulte Corregir un contenedor independiente potencialmente comprometido.
Si el resultado se genera en varios contenedores con la misma imagen de contenedor, consulte Corregir las imágenes de contenedores potencialmente comprometidas.
Si el contenedor ha accedido al EC2 host subyacente, es posible que las credenciales de la instancia asociadas se hayan visto comprometidas. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.
Si un agente potencialmente malintencionado ha accedido al EKS nodo subyacente o a una EC2 instancia, consulta las soluciones recomendadas en las pestañas EKSClustere Instancia.

Corrección de imágenes de contenedor en peligro

Cuando un GuardDuty hallazgo indica que una tarea está en peligro, la imagen utilizada para lanzarla podría ser maliciosa o estar comprometida. GuardDuty los hallazgos identifican la imagen del contenedor en el resource.ecsClusterDetails.taskDetails.containers.image campo. Para determinar si la imagen es maliciosa o no, escaneándola en busca de malware.

Para corregir la imagen de un contenedor comprometida

Deje de usar la imagen inmediatamente y elimínela del repositorio de imágenes.
Identifique todas las tareas que utilizan esta imagen.
Detenga todas las tareas que utilizan la imagen comprometida. Actualice sus definiciones de tareas para que dejen de usar la imagen comprometida.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Resolver los hallazgos EKS de protección

Corregir una base de datos potencialmente comprometida