Runtime Monitoring 検出結果の修正 - Amazon GuardDuty
侵害されたコンテナイメージの修復

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Runtime Monitoring 検出結果の修正

アカウントの Runtime Monitoring を有効にすると、Amazon GuardDuty によって、AWS 環境内の潜在的なセキュリティ問題を示す GuardDuty Runtime Monitoring の検出結果タイプ が生成される場合があります。潜在的なセキュリティ問題は、侵害された Amazon EC2 インスタンスもしくはコンテナワークロード、Amazon EKS クラスター、またはご利用の AWS 環境での侵害された認証情報セットを示します。セキュリティエージェントは、複数のリソースタイプからのランタイムイベントを監視します。危険にさらされている可能性のあるリソースを特定するには、GuardDuty コンソールで生成された検出結果の詳細で [リソースタイプ] を確認してください。次のセクションでは、リソースのタイプごとに推奨される修復手順について説明します。

Instance

検出結果の [リソースタイプ][インスタンス] の場合は、EC2 インスタンスまたは EKS ノードのいずれかが侵害されている可能性があることを示しています。

EKSCluster

検出結果の詳細の [リソースタイプ][EKSCluster] の場合は、EKS クラスター内のポッドまたはコンテナが危険にさらされている可能性があることを示しています。

ECSCluster

検出結果の詳細の [リソースタイプ][ECSCluster] の場合は、ECS タスク内の ECS タスクまたはコンテナが危険にさらされている可能性があることを示しています。

  1. 影響を受ける ECS クラスターを特定します

    GuardDuty Runtime Monitoring の検出結果では、検出結果の詳細パネルまたは検出結果 JSON の resource.ecsClusterDetails セクションに ECS クラスターの詳細が表示されます。

  2. 影響を受ける ECS タスクを特定

    GuardDuty Runtime Monitoring の検出結果では、検出結果の詳細パネルまたは検出結果 JSON の resource.ecsClusterDetails.taskDetails セクションに ECS タスクの詳細が表示されます。

  3. 影響を受けるタスクを分離

    タスクへの送受信トラフィックをすべて拒否して、影響を受けたタスクを分離します。すべてのトラフィックを拒否するルールは、タスクへのすべての接続を切断することによって、すでに進行中の攻撃を阻止するのに役立ちます。

  4. 侵害されたタスクを修復

    1. タスクを侵害した脆弱性を特定します。

    2. その脆弱性の修復を実装し、新しい代替タスクを起動します。

    3. 脆弱なタスクを停止します。

Container

検出結果の詳細の [リソースタイプ][コンテナ] の場合は、スタンドアロンコンテナが危険にさらされている可能性があることを示しています。

侵害されたコンテナイメージの修復

GuardDuty の検出結果でタスクの侵害が示されている場合、タスクの起動に使用されたイメージが悪意があるものであるか、または侵害されている可能性があります。GuardDuty の検出結果では、resource.ecsClusterDetails.taskDetails.containers.image フィールド内のコンテナイメージが識別されます。マルウェアの有無を調べるためにスキャンして、イメージが悪意のあるものであるかどうかを判断できます。

侵害されたコンテナイメージを修復

  1. 直ちにイメージの使用を停止し、イメージリポジトリから削除します。

  2. このイメージを使用しているタスクをすべて特定します。

  3. 侵害されたイメージを使用しているすべてのタスクを停止します。侵害されたイメージの使用を停止するよう、タスクの定義を更新します。