Correção de uma instância da Amazon potencialmente comprometida EC2 - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Correção de uma instância da Amazon potencialmente comprometida EC2

Quando GuardDuty gerar tipos de descoberta que indicam EC2 recursos potencialmente comprometidos da Amazon, seu recurso será Instância. Os possíveis tipos de descoberta podem serEC2tipos de descoberta,GuardDuty Tipos de descoberta de monitoramento de tempo de execução, ouProteção contra malware para EC2 encontrar tipos. Se o comportamento que causou a descoberta era esperado em seu ambiente, considere usarRegras de supressão.

Execute as seguintes etapas para corrigir a instância potencialmente comprometida da AmazonEC2:

  1. Identifique a instância Amazon EC2 potencialmente comprometida

    Verifique se há malwares na instância possivelmente comprometida e remova todos aqueles que forem descobertos. Você pode usar Análise de malware sob demanda em GuardDuty para identificar malware na EC2 instância potencialmente comprometida ou verificar AWS Marketplacese há produtos parceiros úteis para identificar e remover malware.

  2. Isole a instância potencialmente comprometida da Amazon EC2

    Se possível, use as etapas a seguir para isolar a instância potencialmente comprometida:

    1. Crie um grupo de segurança de isolamento dedicado. Um grupo de segurança de isolamento só deve ter acesso de entrada e saída de endereços IP específicos. Certifique-se de que não haja uma regra de entrada ou saída que permita a entrada de tráfego. 0.0.0.0/0 (0-65535)

    2. Associe o grupo de segurança Isolation a essa instância.

    3. Remova todas as associações de grupos de segurança, exceto o recém-criado grupo de segurança Isolation, da instância potencialmente comprometida.

      nota

      As conexões rastreadas existentes não serão encerradas como resultado da alteração dos grupos de segurança. Somente o tráfego futuro será efetivamente bloqueado pelo novo grupo de segurança.

      Para obter informações sobre conexões rastreadas e não rastreadas, consulte Rastreamento de conexões de grupos EC2 de segurança da Amazon no Guia do usuário da Amazon EC2.

      Para obter informações sobre como bloquear mais tráfego de conexões suspeitas existentes, consulte Aplicar NACLs com base na rede IoCs para evitar mais tráfego no Manual de Resposta a Incidentes.

  3. Identifique a origem da atividade suspeita

    Se um malware for detectado, com base no tipo de descoberta em sua conta, identifique e interrompa a atividade potencialmente não autorizada em sua EC2 instância. Isso pode exigir medidas como fechar todas as portas abertas, alterar as políticas de acesso e atualizar aplicações para corrigir as vulnerabilidades.

    Se você não conseguir identificar e interromper atividades não autorizadas em sua EC2 instância potencialmente comprometida, recomendamos que você encerre a instância comprometida e a substitua por uma nova EC2 instância, conforme necessário. A seguir estão os recursos adicionais para proteger suas EC2 instâncias:

  4. Navegar AWS re:Post

    Navegue AWS re:Postpara obter mais assistência.

  5. Envie uma solicitação de suporte técnico

    Se você for assinante do pacote Premium Support, poderá enviar uma solicitação de suporte técnico.