Correção de uma instância da Amazon potencialmente comprometida EC2 - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Correção de uma instância da Amazon potencialmente comprometida EC2

Quando GuardDuty gerar tipos de descoberta que indicam EC2 recursos potencialmente comprometidos da Amazon, seu recurso será Instância. Os possíveis tipos de descoberta podem serTipos de descoberta do EC2,GuardDuty Tipos de descoberta de monitoramento de tempo de execução, ou Tipos de descoberta da Proteção contra malware para EC2. Caso o comportamento que causou a descoberta seja esperado em seu ambiente, considere usar o Regras de supressão.

Execute as seguintes etapas para corrigir a instância potencialmente comprometida da AmazonEC2:

  1. Identifique a instância Amazon EC2 potencialmente comprometida

    Verifique se há malwares na instância possivelmente comprometida e remova todos aqueles que forem descobertos. Você pode usar Análise de malware sob demanda em GuardDuty para identificar malware na EC2 instância potencialmente comprometida ou verificar AWS Marketplacese há produtos parceiros úteis para identificar e remover malware.

  2. Isole a instância potencialmente comprometida da Amazon EC2

    Se possível, use as etapas a seguir para isolar a instância possivelmente comprometida:

    1. Crie um grupo de segurança de isolamento específico. Um grupo de segurança de isolamento só deve ter acesso para entrada e saída de endereços IP específicos. Certifique-se de que não haja nenhuma regra de entrada ou saída que permita o tráfego para 0.0.0.0/0 (0-65535).

    2. Associe o grupo de segurança Isolamento a essa instância.

    3. Remova todas as associações de grupos de segurança, exceto o recém-criado grupo de segurança Isolamento, da instância possivelmente comprometida.

      nota

      As conexões rastreadas existentes não serão encerradas como resultado da alteração dos grupos de segurança - somente o tráfego futuro será efetivamente bloqueado pelo novo grupo de segurança.

      Para obter informações sobre conexões rastreadas e não rastreadas, consulte Rastreamento de conexões de grupos EC2 de segurança da Amazon no Guia do usuário da Amazon EC2.

      Para obter informações sobre como bloquear mais tráfego de conexões suspeitas existentes, consulte Aplicar NACLs com base na rede IoCs para evitar mais tráfego no Manual de resposta a incidentes.

  3. Identifique a origem da atividade suspeita

    Se um malware for detectado, com base no tipo de descoberta em sua conta, identifique e interrompa a atividade potencialmente não autorizada em sua EC2 instância. Isso pode exigir medidas como fechar todas as portas abertas, alterar as políticas de acesso e atualizar aplicações para corrigir as vulnerabilidades.

    Se você não conseguir identificar e interromper atividades não autorizadas em sua EC2 instância potencialmente comprometida, recomendamos que você encerre a instância comprometida e a substitua por uma nova EC2 instância conforme necessário. A seguir estão os recursos adicionais para proteger suas EC2 instâncias:

  4. Navegar AWS re:Post

    Navegue AWS re:Postpara obter mais assistência.

  5. Envie uma solicitação de suporte técnico

    Caso seja assinante do pacote Premium Support, envie uma solicitação de suporte técnico.