Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Lorsque GuardDuty des types de recherche indiquant des EC2 ressources Amazon potentiellement compromises sont générées, votre ressource sera une instance. Les types de recherche potentiels peuvent être EC2 types de rechercheGuardDuty Types de recherche liés à la surveillance du temps, ouProtection contre les logiciels malveillants pour EC2 détecter les types. Si le comportement à l'origine de la découverte était attendu dans votre environnement, envisagez d'utiliserRègles de suppression.
Effectuez les étapes suivantes pour remédier à l' EC2instance Amazon potentiellement compromise :
-
Identifiez l' EC2instance Amazon potentiellement compromise
Recherchez dans l'instance potentiellement compromise des programmes malveillants et supprimez ceux qui sont détectés. Vous pouvez l'utiliser Analyse des malwares à la demande dans GuardDuty pour identifier les logiciels malveillants dans l' EC2 instance potentiellement compromise, ou AWS Marketplace
pour vérifier s'il existe des produits partenaires utiles pour identifier et supprimer les logiciels malveillants. -
Isolez l' EC2instance Amazon potentiellement compromise
Si possible, procédez comme suit pour isoler l'instance potentiellement compromise :
-
Créez un groupe de sécurité dédié à l'isolation. Un groupe de sécurité d'isolation ne doit avoir un accès entrant et sortant qu'à partir d'adresses IP spécifiques. Assurez-vous qu'aucune règle entrante ou sortante n'autorise le trafic pour.
0.0.0.0/0 (0-65535) -
Associez le groupe de sécurité Isolation à cette instance.
-
Supprimez toutes les associations de groupes de sécurité autres que le nouveau groupe de sécurité Isolation de l'instance potentiellement compromise.
Note
Les connexions suivies existantes ne seront pas interrompues à la suite d'un changement de groupe de sécurité. Seul le trafic futur sera effectivement bloqué par le nouveau groupe de sécurité.
Pour plus d'informations sur les connexions suivies et non suivies, consultez la section Suivi des connexions des groupes de EC2 sécurité Amazon dans le guide de EC2 l'utilisateur Amazon.
Pour plus d'informations sur le blocage du trafic provenant de connexions existantes suspectes, voir Appliquer NACLs en fonction du réseau IoCs pour empêcher tout trafic supplémentaire
dans le manuel de réponse aux incidents.
-
-
Identifiez la source de l'activité suspecte.
Si un logiciel malveillant est détecté, identifiez et arrêtez les activités potentiellement non autorisées sur votre EC2 instance en fonction du type de détection détecté dans votre compte. Cela peut nécessiter des actions telles que la fermeture de tous les ports ouverts, la modification des stratégies d'accès et la mise à niveau des applications pour corriger les vulnérabilités.
Si vous ne parvenez pas à identifier et à arrêter toute activité non autorisée sur votre EC2 instance potentiellement compromise, nous vous recommandons de mettre fin à l' EC2 instance compromise et de la remplacer par une nouvelle instance si nécessaire. Vous trouverez ci-dessous des ressources supplémentaires pour sécuriser vos EC2 instances :
-
Sections relatives à la sécurité et à la mise en réseau dans Meilleures pratiques pour Amazon EC2
-
-
Parcourir AWS re:Post
Naviguez AWS re:Post
pour obtenir de l'aide supplémentaire. -
Soumission d'une demande de support technique
Si vous êtes abonné à un package Premium Support, vous pouvez soumettre une demande de support technique
.
