本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當您為帳戶啟用執行階段監控時,Amazon GuardDuty 可能會產生執行階段監視尋找項指出 AWS 環境中潛在的安全問題。潛在的安全問題表示您 AWS 環境中的 Amazon EC2 執行個體遭到入侵、容器工作負載、Amazon EKS 叢集或一組遭到入侵的登入資料。安全代理程式監視來自多個資源類型的執行階段事件 若要識別可能遭到入侵的資源,請在 GuardDuty主控台中產生的尋找項目詳細資料中檢視資源類型。下節說明各種資源類型的建議修復步驟。
- Instance
-
如果調查結果詳細資訊中的資源類型是執行個體,則表示 EC2 執行個體或 EKS 節點可能遭到入侵。
- EKSCluster
-
如果調查結果詳細資訊中的資源類型為 EKSCluster,則表示 EKS 叢集內的 Pod 或容器可能遭到入侵。
- ECSCluster
-
如果發現項目詳細資料中的資源類型是 ECSCluster,則表示 ECS 工作或 ECS 工作內的容器可能遭到危害。
-
識別受影響的 ECS 叢集
「 GuardDuty 執行階段監視」發現項目會在發現項目的詳細資料面板或尋找到的 JSON resource.ecsClusterDetails
區段中提供 ECS 叢集詳細資料。
-
識別受影響的 ECS 任務
「 GuardDuty 執行階段監視」發現項目會在發現項目的詳細資料面板或尋找 JSON 的resource.ecsClusterDetails.taskDetails
區段中提供 ECS 工作詳細資訊。
-
隔離受影響的工作
拒絕任務的所有入口和輸出流量,以隔離受影響的任務。拒絕所有流量規則可透過切斷與任務的所有連線,協助阻止已在進行的攻擊。
-
修復遭到入侵的工作
找出危及工作的弱點。
實作該弱點的修正程式,並開始新的替換工作。
停止易受攻擊的任務。
- Container
-
如果調查結果詳細資訊中的資源類型為容器,則表示獨立容器可能遭到入侵。
當發 GuardDuty 現項目指出工作遭到入侵時,用來啟動工作的映像可能是惡意的或遭到入侵。 GuardDuty 發現項目會識別resource.ecsClusterDetails.taskDetails.containers.image
欄位內的容器映像。您可以掃描影像是否有惡意程式,判斷影像是否為惡意程式碼。
修復遭到入侵的容器映像
立即停止使用該映像,並將其從映像儲存庫中移除。
識別使用此映像檔的所有工作。
停止所有正在使用受感染映像的任務。更新他們的任務定義,以便他們停止使用受感染的圖像。