Tipos de descoberta da Proteção contra malware para EC2 - Amazon GuardDuty

Tipos de descoberta da Proteção contra malware para EC2

A Proteção contra malware para EC2 do GuardDuty fornece uma única descoberta de Proteção contra malware para EC2 para todas as ameaças detectadas durante a verificação de uma instância do EC2 ou de uma workload de contêiner. A descoberta inclui o número total de detecções feitas durante a verificação e fornece detalhes das 32 principais ameaças detectadas com base na gravidade. Diferentemente de outras descobertas do GuardDuty, as descobertas da Proteção contra malware para EC2 não são atualizadas quando a mesma instância do EC2 ou workload do contêiner é verificada novamente.

Uma nova descoberta da Proteção contra malware para EC2 é gerada para cada verificação que detecta malware. As descobertas da Proteção contra malware para EC2 incluem informações sobre a verificação correspondente que produziu a descoberta, bem como a descoberta do GuardDuty que iniciou essa verificação. Isso facilita correlacionar o comportamento suspeito com o malware detectado.

nota

Quando o GuardDuty detecta atividades mal-intencionadas em um workload de contêiner, a Proteção contra malware para EC2 não gera uma descoberta no nível do EC2.

As descobertas a seguir são específicas da Proteção contra malware para EC2 do GuardDuty.

Execution:EC2/MaliciousFile

Um arquivo mal-intencionado foi detectado em uma instância do EC2.

Gravidade padrão: varia de acordo com a ameaça detectada.

  • Atributo: Proteção contra malware EBS

Essa descoberta indica que a verificação da Proteção contra malware para EC2 do GuardDuty detectou um ou mais arquivos mal-intencionados na instância do EC2 listada em seu ambiente AWS. Essa instância listada pode estar comprometida. Para obter mais informações, consulte a seção Ameaças detectadas nos detalhes das descobertas.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Como corrigir uma instância do Amazon EC2 potencialmente comprometida.

Execution:ECS/MaliciousFile

Um arquivo mal-intencionado foi detectado em um cluster do ECS.

Gravidade padrão: varia de acordo com a ameaça detectada.

  • Atributo: Proteção contra malware EBS

Essa descoberta indica que a verificação da Proteção contra malware para EC2 do GuardDuty detectou um ou mais arquivos mal-intencionados em uma workload de contêiner que pertence a um cluster do ECS. Para obter mais informações, consulte a seção Ameaças detectadas nos detalhes das descobertas.

Recomendações de correção:

Se essa atividade for inesperada, seu contêiner pertencente ao cluster ECS poderá ser comprometido. Para obter mais informações, consulte Como corrigir um cluster do ECS possivelmente comprometido.

Execution:Kubernetes/MaliciousFile

Um arquivo mal-intencionado foi detectado em um cluster do Kubernetes.

Gravidade padrão: varia de acordo com a ameaça detectada.

  • Atributo: Proteção contra malware EBS

Essa descoberta indica que a verificação da Proteção contra malware para EC2 do GuardDuty detectou um ou mais arquivos mal-intencionados em uma workload de contêiner que pertence a um cluster do Kubernetes. Se for um cluster gerenciado pelo EKS, os detalhes das descobertas fornecerão mais informações sobre o recurso do EKS afetado. Para obter mais informações, consulte a seção Ameaças detectadas nos detalhes das descobertas.

Recomendações de correção:

Se essa atividade for inesperada, a workload do contêiner poderá ser comprometida. Para obter mais informações, consulte Como corrigir as descobertas da Proteção do EKS.

Execution:Container/MaliciousFile

Um arquivo mal-intencionado foi detectado em um contêiner independente.

Gravidade padrão: varia de acordo com a ameaça detectada.

  • Atributo: Proteção contra malware EBS

Essa descoberta indica que a verificação da Proteção contra malware para EC2 do GuardDuty detectou um ou mais arquivos mal-intencionados na workload de um contêiner e nenhuma informação do cluster foi identificada. Para obter mais informações, consulte a seção Ameaças detectadas nos detalhes das descobertas.

Recomendações de correção:

Se essa atividade for inesperada, a workload do contêiner poderá ser comprometida. Para obter mais informações, consulte Como corrigir um contêiner autônomo possivelmente comprometido.

Execution:EC2/SuspiciousFile

Um arquivo suspeito foi detectado em uma instância do EC2.

Gravidade padrão: varia de acordo com a ameaça detectada.

  • Atributo: Proteção contra malware EBS

Essa descoberta indica que a verificação da Proteção contra malware para EC2 do GuardDuty detectou um ou mais arquivos suspeitos em uma instância do EC2. Para obter mais informações, consulte a seção Ameaças detectadas nos detalhes das descobertas.

As detecções de tipo SuspiciousFile indicam que programas potencialmente indesejados, como adware, spyware ou ferramentas de uso duplo, estão presentes em um recurso afetado. Esses programas podem ter um impacto negativo em seus recursos ou ser usados por invasores para fins mal-intencionados. Por exemplo, ferramentas de rede podem ser usadas de forma legítima ou mal-intencionada por adversários como ferramentas de hack para tentar comprometer recursos.

Quando um arquivo suspeito for detectado, avalie se você espera ver o arquivo detectado em seu ambiente da AWS. Se o arquivo for inesperado, siga as recomendações de correção fornecidas na próxima seção.

Recomendações de correção:

Se essa atividade for inesperada, sua instância pode estar comprometida. Para obter mais informações, consulte Como corrigir uma instância do Amazon EC2 potencialmente comprometida.

Execution:ECS/SuspiciousFile

Um arquivo suspeito foi detectado em um cluster do ECS.

Gravidade padrão: varia de acordo com a ameaça detectada.

  • Atributo: Proteção contra malware EBS

Essa descoberta indica que a verificação da Proteção contra malware para EC2 do GuardDuty detectou um ou mais arquivos suspeitos em um contêiner que pertence a um cluster ECS. Para obter mais informações, consulte a seção Ameaças detectadas nos detalhes das descobertas.

As detecções de tipo SuspiciousFile indicam que programas potencialmente indesejados, como adware, spyware ou ferramentas de uso duplo, estão presentes em um recurso afetado. Esses programas podem ter um impacto negativo em seus recursos ou ser usados por invasores para fins mal-intencionados. Por exemplo, ferramentas de rede podem ser usadas de forma legítima ou mal-intencionada por adversários como ferramentas de hack para tentar comprometer recursos.

Quando um arquivo suspeito for detectado, avalie se você espera ver o arquivo detectado em seu ambiente da AWS. Se o arquivo for inesperado, siga as recomendações de correção fornecidas na próxima seção.

Recomendações de correção:

Se essa atividade for inesperada, seu contêiner pertencente ao cluster ECS poderá ser comprometido. Para obter mais informações, consulte Como corrigir um cluster do ECS possivelmente comprometido.

Execution:Kubernetes/SuspiciousFile

Um arquivo suspeito foi detectado em um cluster do Kubernetes.

Gravidade padrão: varia de acordo com a ameaça detectada.

  • Atributo: Proteção contra malware EBS

Essa descoberta indica que a verificação da Proteção contra malware para EC2 do GuardDuty detectou um ou mais arquivos suspeitos em um contêiner que pertence a um cluster do Kubernetes. Se for um cluster gerenciado pelo EKS, os detalhes das descobertas fornecerão mais informações sobre o EKS afetado. Para obter mais informações, consulte a seção Ameaças detectadas nos detalhes das descobertas.

As detecções de tipo SuspiciousFile indicam que programas potencialmente indesejados, como adware, spyware ou ferramentas de uso duplo, estão presentes em um recurso afetado. Esses programas podem ter um impacto negativo em seus recursos ou ser usados por invasores para fins mal-intencionados. Por exemplo, ferramentas de rede podem ser usadas de forma legítima ou mal-intencionada por adversários como ferramentas de hack para tentar comprometer recursos.

Quando um arquivo suspeito for detectado, avalie se você espera ver o arquivo detectado em seu ambiente da AWS. Se o arquivo for inesperado, siga as recomendações de correção fornecidas na próxima seção.

Recomendações de correção:

Se essa atividade for inesperada, a workload do contêiner poderá ser comprometida. Para obter mais informações, consulte Como corrigir as descobertas da Proteção do EKS.

Execution:Container/SuspiciousFile

Um arquivo suspeito foi detectado em um contêiner independente.

Gravidade padrão: varia de acordo com a ameaça detectada.

  • Atributo: Proteção contra malware EBS

Essa descoberta indica que a verificação da Proteção contra malware para EC2 do GuardDuty detectou um ou mais arquivos suspeitos em um contêiner sem informações do cluster. Para obter mais informações, consulte a seção Ameaças detectadas nos detalhes das descobertas.

As detecções de tipo SuspiciousFile indicam que programas potencialmente indesejados, como adware, spyware ou ferramentas de uso duplo, estão presentes em um recurso afetado. Esses programas podem ter um impacto negativo em seus recursos ou ser usados por invasores para fins mal-intencionados. Por exemplo, ferramentas de rede podem ser usadas de forma legítima ou mal-intencionada por adversários como ferramentas de hack para tentar comprometer recursos.

Quando um arquivo suspeito for detectado, avalie se você espera ver o arquivo detectado em seu ambiente da AWS. Se o arquivo for inesperado, siga as recomendações de correção fornecidas na próxima seção.

Recomendações de correção:

Se essa atividade for inesperada, a workload do contêiner poderá ser comprometida. Para obter mais informações, consulte Como corrigir um contêiner autônomo possivelmente comprometido.