修復執行期監控調查結果

當您為您的帳戶啟用執行期監控時，Amazon GuardDuty 可能會產生 GuardDuty 執行期監控調查結果類型，指出 AWS 環境中的潛在安全問題。潛在的安全問題表示您 AWS 環境中的 Amazon EC2執行個體、容器工作負載、Amazon EKS叢集或一組遭入侵的憑證。安全代理程式會監控來自多種資源類型的執行期事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台中檢視產生的調查結果詳細資訊中的資源類型。下節說明各種資源類型的建議修復步驟。

Instance

如果調查結果詳細資訊中的資源類型是執行個體 ，則表示EC2執行個體或EKS節點可能遭到入侵。

若要修復遭入侵的EKS節點，請參閱修復可能遭到入侵的 Kubernetes 節點。
若要修復遭入侵的EC2執行個體，請參閱修復可能遭到入侵的 Amazon EC2執行個體。

EKSCluster

如果調查結果詳細資訊中的資源類型為 EKSCluster，則表示 Pod 或EKS叢集內的容器可能遭到入侵。

若要修復遭到入侵的 Pod，請參閱修復可能遭到入侵的 Kubernetes Pod。
若要修復遭到入侵的容器映像，請參閱修復可能遭到入侵的容器映像。

ECSCluster

如果調查結果詳細資訊中的資源類型為 ECSCluster，則表示ECS任務或ECS任務內的容器可能遭到入侵。

識別受影響的ECS叢集

GuardDuty 執行期監控調查結果會在調查結果的詳細資訊面板或調查結果的 resource.ecsClusterDetails區段中提供ECS叢集詳細資訊JSON。
識別受影響的ECS任務

GuardDuty 執行期監控調查結果會在調查結果的詳細資訊面板或調查結果的 resource.ecsClusterDetails.taskDetails區段中提供ECS任務詳細資訊JSON。
隔離受影響的任務

拒絕所有傳入和傳出任務的流量，以隔離受影響的任務。拒絕所有流量規則可透過切斷與任務的所有連線，協助阻止已在進行的攻擊。
修復遭入侵的任務
1. 識別影響任務的漏洞。
2. 實作該漏洞的修正，並啟動新的替換任務。
3. 停止易受攻擊的任務。

Container

如果調查結果詳細資訊中的資源類型為容器，則表示獨立容器可能遭到入侵。

若要修復，請參閱修復可能遭到入侵的獨立容器。
如果使用相同容器映像跨多個容器產生調查結果，請參閱修復可能遭到入侵的容器映像。
如果容器已存取基礎EC2主機，則其相關聯的執行個體憑證可能已遭入侵。如需詳細資訊，請參閱修復可能遭到入侵 AWS 的憑證。
如果潛在惡意行為者已存取基礎EKS節點或EC2執行個體，請參閱 EKSCluster和執行個體索引標籤下的建議修復。

修復遭到入侵的容器映像

當 GuardDuty 調查結果指出任務遭到入侵時，用於啟動任務的映像可能是惡意或遭入侵。 GuardDuty 調查結果會識別resource.ecsClusterDetails.taskDetails.containers.image欄位中的容器映像。您可以掃描映像是否有惡意軟體，以判斷映像是否為惡意。

若要修復遭入侵的容器映像

立即停止使用該映像，並將其從映像儲存庫中移除。
識別使用此映像的所有任務。
停止所有使用遭入侵映像的任務。更新其任務定義，以便停止使用遭入侵的映像。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

修復EKS保護調查結果

修復可能遭到入侵的資料庫