Runtime Monitoring 検出結果の修正 - Amazon GuardDuty
侵害されたコンテナイメージの修復

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Runtime Monitoring 検出結果の修正

アカウントのランタイムモニタリングを有効にすると、Amazon GuardDuty ランタイムモニタリングの検出結果タイプは AWS 環境内の潜在的なセキュリティ問題を示す を生成する GuardDuty ことがあります。潜在的なセキュリティ問題は、侵害された Amazon EC2インスタンス、コンテナワークロード、Amazon EKSクラスター、または AWS 環境内の一連の侵害された認証情報のいずれかを示しています。セキュリティエージェントは、複数のリソースタイプからのランタイムイベントを監視します。侵害された可能性のあるリソースを特定するには、 GuardDuty コンソールで生成された検出結果の詳細にリソースタイプを表示します。次のセクションでは、リソースのタイプごとに推奨される修復手順について説明します。

Instance

検出結果の詳細のリソースタイプインスタンス の場合、EC2インスタンスまたはEKSノードが侵害されている可能性があります。

EKSCluster

検出結果の詳細のリソースタイプが の場合EKSCluster、ポッドまたはEKSクラスター内のコンテナが侵害されている可能性があります。

ECSCluster

検出結果の詳細のリソースタイプが の場合ECSCluster、ECSタスクまたはECSタスク内のコンテナが侵害されている可能性があります。

  1. 影響を受けるECSクラスターを特定する

    GuardDuty Runtime Monitoring の検出結果は、検出結果の詳細パネルまたは検出結果の resource.ecsClusterDetailsセクションにECSクラスターの詳細を提供しますJSON。

  2. 影響を受けるECSタスクを特定する

    GuardDuty Runtime Monitoring の検出結果は、検出結果の詳細パネルまたは検出結果の resource.ecsClusterDetails.taskDetailsセクションにECSタスクの詳細を提供しますJSON。

  3. 影響を受けるタスクを分離

    タスクへの送受信トラフィックをすべて拒否して、影響を受けたタスクを分離します。すべてのトラフィックを拒否するルールは、タスクへのすべての接続を切断することによって、すでに進行中の攻撃を阻止するのに役立ちます。

  4. 侵害されたタスクを修復

    1. タスクを侵害した脆弱性を特定します。

    2. その脆弱性の修正を実装し、新しい代替タスクを開始します。

    3. 脆弱なタスクを停止します。

Container

検出結果の詳細の [リソースタイプ][コンテナ] の場合は、スタンドアロンコンテナが危険にさらされている可能性があることを示しています。

侵害されたコンテナイメージの修復

GuardDuty 検出結果がタスクの侵害を示す場合、タスクの起動に使用されるイメージは悪意のあるものか、侵害されている可能性があります。 GuardDuty 検出結果は、 resource.ecsClusterDetails.taskDetails.containers.image フィールド内のコンテナイメージを識別します。マルウェアの有無を調べるためにスキャンして、イメージが悪意のあるものであるかどうかを判断できます。

侵害されたコンテナイメージを修復

  1. 直ちにイメージの使用を停止し、イメージリポジトリから削除します。

  2. このイメージを使用しているタスクをすべて特定します。

  3. 侵害されたイメージを使用しているすべてのタスクを停止します。侵害されたイメージの使用を停止するよう、タスクの定義を更新します。