翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon EC2 リソースの侵害を示唆する検出結果タイプが生成された場合、[リソース] が [インスタンス] になります。生成されうる検出結果タイプには EC2 の検出結果タイプ、GuardDuty Runtime Monitoring の検出結果タイプ、Malware Protection for EC2 の検出結果のタイプ があります。検出結果の原因となった動作が環境の想定内である場合は、抑制ルールの使用を検討してください。
侵害された可能性のある Amazon EC2 インスタンスを修復するには、次の手順を実行します。
-
侵害された可能性がある Amazon EC2 インスタンスを識別する
マルウェアに侵害された可能性のあるインスタンスを調査し、検出されたマルウェアを削除します。GuardDuty でのオンデマンドマルウェアスキャン を使用して、侵害された可能性のある EC2 インスタンス内のマルウェアを特定したり、AWS Marketplace
でマルウェアを特定して削除するのに役立つパートナー製品があるかどうかを確認したりできます。 -
侵害された可能性がある Amazon EC2 インスタンスを分離する
可能であれば、次の手順を使用して侵害された可能性のあるインスタンスを分離します。
-
専用の分離セキュリティグループを作成します。分離セキュリティグループでは、特定の IP アドレスからのインバウンドアクセスとアウトバウンドアクセスのみを許可します。
0.0.0.0/0 (0-65535)に対するトラフィックを許可するインバウンドルールもアウトバウンドルールも存在しないことを確認してください。 -
このインスタンスに分離セキュリティグループを関連付けます。
-
新規に作成した分離セキュリティグループを除くすべてのセキュリティグループの関連付けを侵害された可能性のあるインスタンスから削除します。
注記
セキュリティグループが変更されても、既に追跡済みの接続が終了することはありません。今後発生するトラフィックのみが新しいセキュリティグループによって効果的にブロックされます。
追跡された接続と追跡されていない接続については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 セキュリティグループの接続の追跡」を参照してください。
疑わしい既存の接続からのトラフィックを今後ブロックする方法については、「インシデント対応プレイブック」の「Enforce NACLs based on network IoCs to prevent further traffic
」を参照してください。
-
-
疑わしいアクティビティのソースを特定する
マルウェアが検出された場合は、アカウント内の検出結果のタイプに基づいて、EC2 インスタンスでの不正なアクティビティの可能性を特定して停止します。これには、開いているポートを閉じる、アクセスポリシーを変更する、脆弱性を修正するためにアプリケーションをアップグレードするなどのアクションが必要になる場合があります。
侵害された可能性のある EC2 インスタンスでの不正なアクティビティを識別して停止できない場合は、侵害された EC2 インスタンスを削除し、必要に応じて新しいインスタンスを作成することをお勧めします。EC2 インスタンスを保護するための追加リソースを次に示します。
-
参照 AWS re:Post
不明な点については、「AWS re:Post
」を参照してください。 -
テクニカルサポートリクエストを送信する
プレミアムサポートパッケージのサブスクライバーは、テクニカルサポート
をリクエストできます。
