修复可能失陷的 ECS 集群 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

修复可能失陷的 ECS 集群

当 GuardDuty 生成表明可能失陷的 Amazon ECS 资源的调查发现类型时,您的资源将为 ECSCluster。潜在的调查发现类型可能是 GuardDuty 运行时监控调查发现类型EC2 恶意软件防护调查发现类型。如果导致该调查发现的行为是环境中的预期行为,则可以考虑使用抑制规则

按照以下建议的步骤修复 Amazon 环境中可能失陷的 Amazon ECS 集群:

  1. 识别可能失陷的 ECS 集群。

    ECS 的 GuardDuty EC2 恶意软件防护调查发现会在调查发现的详细信息面板中提供 ECS 集群详细信息

  2. 评估恶意软件源

    评估检测到的恶意软件是否在容器的映像中。如果映像中包含有恶意软件,请识别使用该映像运行的所有其他任务。有关正在运行的任务的信息,请参阅 ListTasks

  3. 隔离可能影响的任务

    通过拒绝任务的所有入口和出口流量来隔离受影响的任务。拒绝所有流量规则可以切断与任务的所有连接,从而有助于阻止已经开始的攻击。

如果访问已获授权,则可以忽略调查发现。https://console.aws.amazon.com/guardduty/ 控制台允许您设置规则,以完全抑制单个调查发现,使其不再出现。有关更多信息,请参阅 GuardDuty 中的抑制规则