Corriger les résultats de la surveillance de l'exécution - Amazon GuardDuty
Correction des images de conteneur compromises

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Corriger les résultats de la surveillance de l'exécution

Lorsque vous activez la surveillance du temps d'exécution pour votre compte, Amazon GuardDuty peut générer des informations GuardDuty Types de recherche liés à la surveillance du temps indiquant des problèmes de sécurité potentiels dans votre AWS environnement. Les problèmes de sécurité potentiels indiquent soit une EC2 instance Amazon compromise, soit une charge de travail de conteneur, soit un EKS cluster Amazon, soit un ensemble d'informations d'identification compromises dans votre AWS environnement. L'agent de sécurité surveille les événements d'exécution provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans les informations de recherche générées dans la GuardDuty console. La section suivante décrit les étapes de correction recommandées pour chaque type de ressource.

Instance

Si le type de ressource indiqué dans les détails de la recherche est Instance, cela indique qu'une EC2 instance ou un EKS nœud est potentiellement compromis.

EKSCluster

Si le type de ressource indiqué dans les détails de la recherche est EKSCluster, cela indique qu'un pod ou un conteneur à l'intérieur d'un EKS cluster est potentiellement compromis.

ECSCluster

Si le type de ressource indiqué dans les détails de la recherche est le suivant ECSCluster, cela indique qu'une ECS tâche ou un conteneur à l'intérieur d'une ECS tâche est potentiellement compromis.

  1. Identifiez le ECS cluster concerné

    Le résultat de la surveillance du temps GuardDuty d'exécution fournit les détails du ECS cluster dans le panneau de détails du résultat ou dans la resource.ecsClusterDetails section du résultatJSON.

  2. Identifiez la ECS tâche affectée

    Le résultat GuardDuty Runtime Monitoring fournit les détails de la ECS tâche dans le panneau de détails du résultat ou dans la resource.ecsClusterDetails.taskDetails section du résultatJSON.

  3. Isolez la tâche affectée

    Isolez la tâche affectée en refusant tout trafic entrant et sortant vers la tâche. Une règle interdisant tout trafic peut aider à stopper une attaque déjà en cours, en coupant toutes les connexions à la tâche.

  4. Corriger la tâche compromise

    1. Identifiez la vulnérabilité qui a compromis la tâche.

    2. Mettez en œuvre le correctif pour cette vulnérabilité et lancez une nouvelle tâche de remplacement.

    3. Arrêtez cette tâche vulnérable.

Container

Si le type de ressource indiqué dans les détails du résultat est Conteneur, cela indique qu'un conteneur autonome est potentiellement compromis.

Correction des images de conteneur compromises

Lorsqu'un GuardDuty résultat indique la compromission d'une tâche, l'image utilisée pour lancer la tâche peut être malveillante ou compromise. GuardDuty les résultats identifient l'image du conteneur resource.ecsClusterDetails.taskDetails.containers.image sur le terrain. Vous pouvez déterminer si l'image est malveillante ou non en la scannant à la recherche de logiciels malveillants.

Pour corriger une image de conteneur compromise

  1. Arrêtez immédiatement d'utiliser l'image et supprimez-la de votre référentiel d'images.

  2. Identifiez toutes les tâches qui utilisent cette image.

  3. Arrêtez toutes les tâches utilisant l'image compromise. Mettez à jour leurs définitions de tâches afin qu'ils cessent d'utiliser l'image compromise.