本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當 GuardDuty 產生指出可能遭到入侵的 Amazon EC2 資源的調查結果類型時,您的資源將是執行個體。潛在問題清單類型可以是 EC2 調查結果類型、 GuardDuty 執行期監控問題清單類型或 EC2 調查結果類型的惡意軟體防護。如果在您的環境中預期造成調查結果的行為,請考慮使用 隱藏規則。
執行下列步驟來修復可能遭到入侵的 Amazon EC2 執行個體:
-
識別可能遭到入侵的 Amazon EC2 執行個體
調查可能遭盜用的執行個體是否受惡意軟體攻擊,並移除任何發現的惡意軟體。您可以使用 GuardDuty 中的隨需惡意軟體掃描 來識別可能遭到入侵的 EC2 執行個體中的惡意軟體,或檢查 AWS Marketplace
是否有實用的合作夥伴產品來識別和移除惡意軟體。 -
隔離可能遭到入侵的 Amazon EC2 執行個體
如果可能,請使用下列步驟隔離可能遭到入侵的執行個體:
-
建立專用的隔離安全群組。隔離安全群組應只能擁有來自特定 IP 地址的傳入和傳出存取權。請確定沒有允許 流量的傳入或傳出規則
0.0.0.0/0 (0-65535)。 -
將隔離安全群組與此執行個體建立關聯。
-
從可能遭到入侵的執行個體中移除新建立的隔離安全群組以外的所有安全群組關聯。
注意
現有的追蹤連線不會因為變更安全群組而終止,只有未來流量會被新的安全群組有效封鎖。
如需有關追蹤和未追蹤連線的資訊,請參閱《Amazon EC2 使用者指南》中的 Amazon EC2 安全群組連線追蹤。 Amazon EC2
如需封鎖來自可疑現有連線之進一步流量的資訊,請參閱 事件回應手冊中的根據網路 IoCs 強制執行 NACLs,以防止進一步流量
。
-
-
識別可疑活動的來源
如果偵測到惡意軟體,請根據您帳戶中的調查結果類型,識別並停止 EC2 執行個體上可能未經授權的活動。這可能需要採取動作,例如關閉任何開啟的連接埠、變更存取政策,以及升級應用程式以修正漏洞。
如果您無法識別並停止可能遭到入侵的 EC2 執行個體上未經授權的活動,我們建議您終止遭入侵的 EC2 執行個體,並視需要將其取代為新的執行個體。以下是保護您 EC2 執行個體的其他資源:
-
瀏覽 AWS re:Post
瀏覽AWS re:Post
以取得進一步協助。 -
提交技術支援請求
如果您是付費支援套件訂閱用戶,則可以提交技術支援
請求。
