修正執行時期監視發現項

當您為帳戶啟用執行階段監控時，Amazon GuardDuty 可能會產生執行階段監視尋找項指出 AWS 環境中潛在的安全問題。潛在的安全問題表示您 AWS 環境中的 Amazon EC2 執行個體遭到入侵、容器工作負載、Amazon EKS 叢集或一組遭到入侵的登入資料。安全代理程式監視來自多個資源類型的執行階段事件若要識別可能遭到入侵的資源，請在 GuardDuty主控台中產生的尋找項目詳細資料中檢視資源類型。下節說明各種資源類型的建議修復步驟。

Instance

如果調查結果詳細資訊中的資源類型是執行個體，則表示 EC2 執行個體或 EKS 節點可能遭到入侵。

若要修復遭到入侵的 EKS 節點，請參閱修復可能遭到入侵的 Kubernetes 節點。
若要修復遭到入侵的 EC2 執行個體，請參閱修復可能遭到入侵的 Amazon EC2 執行個體。

EKSCluster

如果調查結果詳細資訊中的資源類型為 EKSCluster，則表示 EKS 叢集內的 Pod 或容器可能遭到入侵。

若要修復遭到入侵的 Pod，請參閱修復可能遭到入侵的 Kubernetes 網繭。
若要修復遭到入侵的容器映像，請參閱修復可能遭到破壞的容器映像。

ECSCluster

如果發現項目詳細資料中的資源類型是 ECSCluster，則表示 ECS 工作或 ECS 工作內的容器可能遭到危害。

識別受影響的 ECS 叢集

「 GuardDuty 執行階段監視」發現項目會在發現項目的詳細資料面板或尋找到的 JSON resource.ecsClusterDetails 區段中提供 ECS 叢集詳細資料。
識別受影響的 ECS 任務

「 GuardDuty 執行階段監視」發現項目會在發現項目的詳細資料面板或尋找 JSON 的resource.ecsClusterDetails.taskDetails區段中提供 ECS 工作詳細資訊。
隔離受影響的工作

拒絕任務的所有入口和輸出流量，以隔離受影響的任務。拒絕所有流量規則可透過切斷與任務的所有連線，協助阻止已在進行的攻擊。
修復遭到入侵的工作
1. 找出危及工作的弱點。
2. 實作該弱點的修正程式，並開始新的替換工作。
3. 停止易受攻擊的任務。

Container

如果調查結果詳細資訊中的資源類型為容器，則表示獨立容器可能遭到入侵。

若要修復，請參閱修復可能遭到入侵的獨立容器。
如果使用相同容器映像跨多個容器產生調查結果，請參閱修復可能遭到破壞的容器映像。
如果容器已存取基礎 EC2 主機，則其關聯的執行個體憑證可能已遭到入侵。如需詳細資訊，請參閱修復可能遭到破壞 AWS 的認證。
如果潛在惡意執行者存取了基礎 EKS 節點或 EC2 執行個體，請參閱 EKSCluster 和執行個體索引標籤下建議的修復措施。

修復遭到入侵的容器映像

當發 GuardDuty 現項目指出工作遭到入侵時，用來啟動工作的映像可能是惡意的或遭到入侵。 GuardDuty 發現項目會識別resource.ecsClusterDetails.taskDetails.containers.image欄位內的容器映像。您可以掃描影像是否有惡意程式，判斷影像是否為惡意程式碼。

修復遭到入侵的容器映像

立即停止使用該映像，並將其從映像儲存庫中移除。
識別使用此映像檔的所有工作。
停止所有正在使用受感染映像的任務。更新他們的任務定義，以便他們停止使用受感染的圖像。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

修復 EKS 稽核日誌監控調查結果

修復可能遭到入侵的資料庫