As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Correção de uma instância da Amazon potencialmente comprometida EC2
Quando GuardDuty gerar tipos de descoberta que indicam EC2 recursos potencialmente comprometidos da Amazon, seu recurso será Instância. Os possíveis tipos de descoberta podem serTipos de descoberta do EC2,GuardDuty Tipos de descoberta de monitoramento de tempo de execução, ou Tipos de descoberta da Proteção contra malware para EC2. Caso o comportamento que causou a descoberta seja esperado em seu ambiente, considere usar o Regras de supressão.
Execute as seguintes etapas para corrigir a instância potencialmente comprometida da AmazonEC2:
-
Identifique a instância Amazon EC2 potencialmente comprometida
Verifique se há malwares na instância possivelmente comprometida e remova todos aqueles que forem descobertos. Você pode usar Análise de malware sob demanda em GuardDuty para identificar malware na EC2 instância potencialmente comprometida ou verificar AWS Marketplace
se há produtos parceiros úteis para identificar e remover malware. -
Isole a instância potencialmente comprometida da Amazon EC2
Se possível, use as etapas a seguir para isolar a instância possivelmente comprometida:
-
Crie um grupo de segurança de isolamento específico. Um grupo de segurança de isolamento só deve ter acesso para entrada e saída de endereços IP específicos. Certifique-se de que não haja nenhuma regra de entrada ou saída que permita o tráfego para
0.0.0.0/0 (0-65535)
. -
Associe o grupo de segurança Isolamento a essa instância.
-
Remova todas as associações de grupos de segurança, exceto o recém-criado grupo de segurança Isolamento, da instância possivelmente comprometida.
nota
As conexões rastreadas existentes não serão encerradas como resultado da alteração dos grupos de segurança - somente o tráfego futuro será efetivamente bloqueado pelo novo grupo de segurança.
Para obter informações sobre conexões rastreadas e não rastreadas, consulte Rastreamento de conexões de grupos EC2 de segurança da Amazon no Guia do usuário da Amazon EC2.
Para obter informações sobre como bloquear mais tráfego de conexões suspeitas existentes, consulte Aplicar NACLs com base na rede IoCs para evitar mais tráfego no Manual
de resposta a incidentes.
-
-
Identifique a origem da atividade suspeita
Se um malware for detectado, com base no tipo de descoberta em sua conta, identifique e interrompa a atividade potencialmente não autorizada em sua EC2 instância. Isso pode exigir medidas como fechar todas as portas abertas, alterar as políticas de acesso e atualizar aplicações para corrigir as vulnerabilidades.
Se você não conseguir identificar e interromper atividades não autorizadas em sua EC2 instância potencialmente comprometida, recomendamos que você encerre a instância comprometida e a substitua por uma nova EC2 instância conforme necessário. A seguir estão os recursos adicionais para proteger suas EC2 instâncias:
-
Navegar AWS re:Post
Navegue AWS re:Post
para obter mais assistência. -
Envie uma solicitação de suporte técnico
Caso seja assinante do pacote Premium Support, envie uma solicitação de suporte técnico
.