侵害された可能性のある Amazon EC2インスタンスの修復 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

侵害された可能性のある Amazon EC2インスタンスの修復

侵害された可能性のある Amazon EC2リソースを示す検出結果タイプ GuardDuty を生成する場合、リソースインスタンスになります。生成されうる検出結果タイプには EC2 検出結果タイプGuardDuty Runtime Monitoring の検出結果タイプMalware Protection for EC2 の検出結果のタイプ があります。検出結果の原因となった動作が環境の想定内である場合は、抑制ルールの使用を検討してください。

侵害された可能性のある Amazon EC2インスタンスを修正するには、次の手順を実行します。

  1. 侵害された可能性のある Amazon EC2インスタンスを特定する

    マルウェアに侵害された可能性のあるインスタンスを調査し、検出されたマルウェアを削除します。GuardDuty でのオンデマンドマルウェアスキャン を使用して、侵害された可能性のあるEC2インスタンス内のマルウェアを識別したり、マルウェアを識別して削除するのに役立つパートナー製品AWS Marketplaceがあるかどうかを確認したりできます。

  2. 侵害された可能性のある Amazon EC2インスタンスを分離する

    可能であれば、次の手順を使用して侵害された可能性のあるインスタンスを分離します。

    1. 専用の分離セキュリティグループを作成します。分離セキュリティグループでは、特定の IP アドレスからのインバウンドアクセスとアウトバウンドアクセスのみを許可します。0.0.0.0/0 (0-65535) に対するトラフィックを許可するインバウンドルールもアウトバウンドルールも存在しないことを確認してください。

    2. このインスタンスに分離セキュリティグループを関連付けます。

    3. 新規に作成した分離セキュリティグループを除くすべてのセキュリティグループの関連付けを侵害された可能性のあるインスタンスから削除します。

      注記

      セキュリティグループが変更されても、既に追跡済みの接続が終了することはありません。今後発生するトラフィックのみが新しいセキュリティグループによって効果的にブロックされます。

      追跡された接続と追跡されていない接続の詳細については、「Amazon ユーザーガイド」の「Amazon EC2 セキュリティグループ接続の追跡」を参照してください。 EC2

      疑わしい既存の接続からさらにトラフィックをブロックする方法については、「インシデント対応プレイブック」の「ネットワークNACLsに基づいて強制 IoCs し、それ以上のトラフィックを防ぐ」を参照してください。

  3. 疑わしいアクティビティのソースを特定する

    マルウェアが検出された場合は、アカウント内の検出結果タイプに基づいて、EC2インスタンスで不正なアクティビティの可能性を特定して停止します。これには、開いているポートを閉じる、アクセスポリシーを変更する、脆弱性を修正するためにアプリケーションをアップグレードするなどのアクションが必要になる場合があります。

    侵害された可能性のあるEC2インスタンスで不正なアクティビティを特定して停止できない場合は、侵害されたEC2インスタンスを終了し、必要に応じて新しいインスタンスに置き換えることをお勧めします。EC2 インスタンスを保護するための追加リソースは次のとおりです。

  4. 参照 AWS re:Post

    不明な点については、「AWS re:Post」を参照してください。

  5. テクニカルサポートリクエストを送信する

    プレミアムサポートパッケージのサブスクライバーは、テクニカルサポートをリクエストできます。