Correzione delle immagini del container compromesse

Correzione dei risultati del Runtime Monitoring

Quando abiliti il Runtime Monitoring per il tuo account, Amazon GuardDuty potrebbe generare dati GuardDuty Tipi di risultati del monitoraggio del runtime che indicano potenziali problemi di sicurezza nel tuo AWS ambiente. I potenziali problemi di sicurezza indicano un'EC2istanza Amazon compromessa, un carico di lavoro del container, un EKS cluster Amazon o un set di credenziali compromesse nel tuo ambiente. AWS Il security agent monitora gli eventi di runtime provenienti da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nei dettagli di ricerca generati nella GuardDuty console. La sezione seguente descrive le procedure di correzione consigliate per ogni tipo di risorsa.

Instance

Se il tipo di risorsa nei dettagli del risultato è Istanza, indica che un'EC2istanza o un EKS nodo sono potenzialmente compromessi.

Per rimediare a un EKS nodo compromesso, consulta. Riparazione dei nodi Kubernetes potenzialmente compromessi
Per rimediare a un'istanza compromessaEC2, consulta. Correzione di un'istanza Amazon potenzialmente compromessa EC2

EKSCluster

Se il tipo di risorsa nei dettagli del risultato è EKSCluster, indica che un pod o un contenitore all'interno di un EKS cluster è potenzialmente compromesso.

Per correggere un pod compromesso, consulta Riparazione dei pod Kubernetes potenzialmente compromessi.
Per correggere l'immagine di un container compromessa, consulta Riparazione delle immagini dei container potenzialmente compromesse.

ECSCluster

Se il tipo di risorsa nei dettagli del risultato è ECSCluster, indica che un'ECSattività o un contenitore all'interno di un'ECSattività è potenzialmente compromessa.

Identifica il cluster interessato ECS

Il risultato del GuardDuty Runtime Monitoring fornisce i dettagli del ECS cluster nel pannello dei dettagli del risultato o nella resource.ecsClusterDetails sezione del risultatoJSON.
Identifica l'ECSattività interessata

Il risultato del GuardDuty Runtime Monitoring fornisce i dettagli dell'ECSattività nel pannello dei dettagli del risultato o nella resource.ecsClusterDetails.taskDetails sezione del risultatoJSON.
Isola l'attività interessata

Isola l'attività interessata bloccando tutto il traffico in entrata e in uscita verso l'attività. Una regola di blocco totale del traffico può contribuire a fermare un attacco già in corso, interrompendo tutte le connessioni all'attività.
Risolvi l'attività compromessa
1. Identifica la vulnerabilità che ha compromesso l'attività.
2. Implementa la correzione di tale vulnerabilità e avvia una nuova attività sostitutiva.
3. Interrompi l'attività vulnerabile.

Container

Se il Tipo di risorsa nei dettagli dell'esito è Container, significa che un container autonomo è potenzialmente compromesso.

Per procedere alla correzione, consulta Riparazione di un contenitore autonomo potenzialmente compromesso.
Se l'esito viene generato su più container utilizzando la stessa immagine del container, consulta Riparazione delle immagini dei container potenzialmente compromesse.
Se il contenitore ha effettuato l'accesso all'EC2host sottostante, è possibile che le credenziali dell'istanza associata siano state compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.
Se un utente potenzialmente malintenzionato ha effettuato l'accesso al EKS nodo o a un'EC2istanza sottostante, consulta la soluzione consigliata nelle schede EKSClustere Istanza.

Correzione delle immagini del container compromesse

Quando un GuardDuty risultato indica una compromissione dell'attività, l'immagine utilizzata per avviare l'attività potrebbe essere dannosa o compromessa. GuardDuty i risultati identificano l'immagine del contenitore all'interno del resource.ecsClusterDetails.taskDetails.containers.image campo. È possibile determinare se l'immagine è dannosa o meno eseguendo una scansione alla ricerca di malware.

Per correggere l'immagine compromessa di un contenitore

Interrompi immediatamente l'utilizzo dell'immagine e rimuovila dal tuo repository di immagini.
Identifica tutte le attività che utilizzano questa immagine.
Interrompi tutte le attività che utilizzano l'immagine compromessa. Aggiorna le definizioni delle attività in modo che smettano di utilizzare l'immagine compromessa.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Correzione dei risultati EKS della protezione

Riparazione di un database potenzialmente compromesso