修复可能失陷的 ECS 集群 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能失陷的 ECS 集群

发现可能受损的 ECS 集群表明已在您的 Amazon ECS 环境中检测到可疑或恶意活动。这可能包括未经授权的访问、恶意软件执行或其他使您的容器工作负载面临风险的恶意行为。

请按照以下步骤修复可能遭到入侵的 Amazon ECS 集群:

  1. 识别可能受损的 ECS 群集和检测到的威胁(发现)

    受影响的 ECS 集群详细信息列在 GuardDuty 查找结果详细信息面板中。

  2. 评估威胁/恶意软件的来源

    检查容器镜像中是否存在恶意软件。如果检测到恶意软件,请查看正在使用的容器镜像。ListTasks用于识别使用相同可能受损映像的所有其他正在运行的任务。

  3. 隔离受影响的任务

    通过阻止受影响任务的所有网络流量(包括传入和传出)来阻止威胁。这种网络隔离通过切断与受损任务的所有连接来帮助防止任何持续的攻击。

注意:如果您确定此发现是由环境中的 expected/legitimate 活动触发的,则可以设置抑制规则以防止出现类似的发现。有关更多信息,请参阅 中的抑制规则 GuardDuty