修復可能遭到入侵的 Amazon EC2執行個體 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復可能遭到入侵的 Amazon EC2執行個體

當 GuardDuty 產生指出可能遭入侵的 Amazon EC2 資源 的調查結果類型時,您的資源將是執行個體 。潛在調查結果類型可以是 EC2 調查結果類型GuardDuty 執行期監控調查結果類型EC2 調查結果類型的惡意軟體防護。如果您的環境中預期造成調查結果的行為,請考慮使用 隱藏規則

請執行下列步驟來修復可能遭到入侵的 Amazon EC2執行個體:

  1. 識別可能遭到入侵的 Amazon EC2執行個體

    調查可能遭盜用的執行個體是否受惡意軟體攻擊,並移除任何發現的惡意軟體。您可以使用 中的隨需惡意軟體掃描 GuardDuty 來識別可能遭到入侵的EC2執行個體中的惡意軟體,或檢查AWS Marketplace是否有有用的合作夥伴產品來識別和移除惡意軟體。

  2. 隔離可能遭到入侵的 Amazon EC2執行個體

    如果可能,請使用下列步驟隔離可能遭到入侵的執行個體:

    1. 建立專用的隔離安全群組。隔離安全群組只能擁有來自特定 IP 地址的傳入和傳出存取權。請確定沒有允許 流量的傳入或傳出規則0.0.0.0/0 (0-65535)

    2. 隔離安全群組與此執行個體建立關聯。

    3. 從可能遭到入侵的執行個體中移除新建立的隔離安全群組以外的所有安全群組關聯。

      注意

      現有的追蹤連線不會因變更安全群組而終止,只有未來的流量會被新的安全群組有效封鎖。

      如需有關追蹤和未追蹤連線的資訊,請參閱 Amazon 使用者指南 中的 Amazon EC2安全群組連線追蹤 EC2

      如需封鎖來自可疑現有連線的更多流量的資訊,請參閱事件回應手冊中的NACLs基於網路強制執行 IoCs ,以防止更多流量

  3. 識別可疑活動的來源

    如果偵測到惡意軟體,則根據您帳戶中的調查結果類型,識別並停止EC2執行個體上可能未經授權的活動。這可能需要採取動作,例如關閉任何開啟的連接埠、變更存取政策,以及升級應用程式以修正漏洞。

    如果您無法識別並停止可能遭到入侵的EC2執行個體上未經授權的活動,建議您終止遭入侵的EC2執行個體,並視需要將其取代為新的執行個體。以下是保護EC2執行個體的其他資源:

  4. 瀏覽 AWS re:Post

    瀏覽AWS re:Post以取得進一步協助。

  5. 提交技術支援請求

    如果您是付費支援套件訂閱用戶,則可以提交技術支援請求。