本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 對惡意軟體事件的回應
<a name="sir-malware"></a>

Amazon EC2 執行個體用於託管各種工作負載，包括第三方軟體和由組織內應用程式團隊部署的自訂開發軟體。AMS 提供並鼓勵您在 AMS 持續修補和維護的映像上部署工作負載。

在執行個體操作期間，AMS 會透過各種安全偵測控制來監控行為或活動的異常，包括 Amazon GuardDuty、Network Traffic 和 Amazon internal Threat Intelligence 饋送。

AMS 也會監控 GuardDuty 惡意軟體調查結果。如果啟用，這些都可以在 AMS Advanced 和 AMS Accelerate 上使用。如需詳細資訊，請參閱 [Amazon GuardDuty 中的惡意軟體防護](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)。

**注意**  
如果您選擇[使用自有 EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html)，則事件回應的程序會與此頁面上概述的程序不同。如需詳細資訊，請參閱參考的文件。

偵測到惡意軟體時，會建立事件並通知您該事件。此通知後面接著發生的任何修復活動。AMS Operations 會調查、執行資料收集、分類和分析，然後依照您的指示執行遏制活動，接著執行事件後分析。

## 階段 A：偵測
<a name="sir-malware-detect"></a>

AMS 會使用 GuardDuty 監控執行個體上的事件。AMS 會決定適當的擴充和分類活動，以協助您根據調查結果或提醒類型做出遏制或風險接受決策。

資料收集是根據調查結果類型執行。資料收集涉及查詢受影響帳戶內部和外部的多個資料來源，以建立觀察到的活動或關注組態的影像。

AMS 會執行調查結果與任何受影響帳戶或 AMS 威脅情報平台之任何其他警示和警示或遙測的相互關聯。

## 階段 B：分析
<a name="sir-malware-analyze"></a>

收集資料後，會對其進行分析，以識別任何活動或關注指標。在調查的這個階段，AMS 會與您合作，整合執行個體和工作負載的商業和網域知識，以協助了解預期內容和異常情況。

調查期間為支援內部檢查而提供的資訊範例包括：
+ 帳戶資訊：在哪個帳戶上觀察到惡意軟體活動？
+ 執行個體詳細資訊：哪些 （些） 執行個體與惡意軟體事件有關？
+ 事件時間戳記：警示何時觸發？
+ 工作負載資訊：執行個體上執行什麼項目？ 
+ 惡意軟體詳細資訊，如果相關：惡意軟體系列和有關惡意軟體的開放原始碼資訊。
+ 使用者或角色詳細資訊：哪些使用者或角色受到活動的影響和參與活動？
+ 活動記錄：執行個體上會記錄哪些活動？ 這些是 CloudWatch 事件的形式，以及來自執行個體的系統事件。了解如何讀取這些日誌將協助您進行調查
+ 網路活動：哪些端點正在連接到執行個體、執行個體正在連接到什麼，以及流量分析是什麼？

最佳實務是準備接收調查資訊，並規劃如何聯絡組織內帳戶、執行個體和工作負載的適當聯絡窗口。了解您的網路拓撲和預期的連線有助於加速影響分析。了解環境中規劃的滲透測試，以及應用程式擁有者執行的最新部署，也可以加速調查。

如果您確定活動已規劃並授權，則會更新事件並結束調查。如果已確認入侵，您和 AMS 會決定適當的遏制計畫。

## Phace C：包含和消除
<a name="sir-malware-eradicate"></a>

AMS 會與您合作，根據收集的資料和已知資訊來判斷適當的遏制活動。遏制選項包括但不限於：
+ 透過快照保留資料
+ 修改網路規則以限制傳入或傳出執行個體的流量
+ 修改 SCP、IAM 使用者和角色政策以限制存取
+ 終止、暫停或關閉執行個體
+ 終止任何持久性連線
+ 輪換適當的登入資料/金鑰

如果您選擇對執行個體執行根除活動，則 AMS 會支援您達成此目標。選項包括但不限於：
+ 移除任何不需要的軟體
+ 從乾淨的完全修補映像重建執行個體，並重新部署應用程式和組態
+ 從先前的備份還原執行個體
+ 將應用程式和服務部署到您帳戶中可能適合託管工作負載的另一個執行個體。

在還原服務之前，請務必判斷惡意軟體在執行個體上交付和執行的方式，以確保套用任何其他控制，以防止執行個體上的惡意軟體再次發生。AMS 會視需要為您的鑑識合作夥伴或團隊提供額外的洞見或資訊，以支援鑑識。

此時，您會使用 AMS Operations 進行復原活動。AMS 與您緊密合作，將對工作負載的干擾降至最低，並保護執行個體。

## 事件後報告
<a name="sir-malware-post-event"></a>

AMS 會視需要啟動調查審查程序，以識別學到的經驗教訓。在完成 COE 的過程中，AMS 會與您溝通相關調查結果，以協助您改善事件回應程序。

AMS 會記錄調查的最終詳細資訊、收集適當的指標，並向需要資訊的 AMS 內部團隊報告事件，包括您指派的 CSDM 和 CA。