恶意软件防护调查发现类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

恶意软件防护调查发现类型

GuardDuty 恶意软件防护为扫描 EC2 实例或容器工作负载期间检测到的所有威胁提供单一的恶意软件防护发现。该调查发现包括扫描期间检测到的总数,并根据严重性提供检测到的前 32 个威胁的详细信息。与其他 GuardDuty 发现不同,再次扫描相同的 EC2 实例或容器工作负载时,恶意软件保护结果不会更新。

每次检测到恶意软件的扫描都会生成新的恶意软件防护调查发现。恶意软件防护的发现包括有关生成该发现的相应扫描以及启动此扫描的 GuardDuty发现的信息。这样更容易将可疑行为与检测到的恶意软件关联起来。

注意

当 GuardDuty 检测到容器工作负载上的恶意活动时,恶意软件防护不会生成 EC2 级别的发现结果。

以下发现特定于 GuardDuty 恶意软件防护。

Execution:EC2/MaliciousFile

在 EC2 实例上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

这一发现表明, GuardDuty 恶意软件保护扫描已在您的 Amazon 环境中列出的 EC2 实例上检测到一个或多个恶意文件。列出的实例可能被盗用。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon EC2 实例

Execution:ECS/MaliciousFile

在 ECS 集群上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

此发现表明, GuardDuty 恶意软件防护扫描已在属于 ECS 群集的容器工作负载上检测到一个或多个恶意文件。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则属于 ECS 集群的容器可能被盗用。有关更多信息,请参阅 修复可能受损的 ECS 群集

Execution:Kubernetes/MaliciousFile

在 Kubernetes 集群上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

这一发现表明, GuardDuty 恶意软件防护扫描已在属于 Kubernetes 集群的容器工作负载上检测到一个或多个恶意文件。如果这是 EKS 托管集群,则调查发现详细信息将提供有关受影响的 EKS 资源的其他信息。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Execution:Container/MaliciousFile

在独立容器上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

此发现表明, GuardDuty 恶意软件保护扫描已在容器工作负载上检测到一个或多个恶意文件,但未发现任何群集信息。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复可能受损的独立容器

Execution:EC2/SuspiciousFile

在 EC2 实例上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

此发现表明, GuardDuty 恶意软件防护扫描已在 EC2 实例上检测到一个或多个可疑文件。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,请评估是否希望在您的 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon EC2 实例

Execution:ECS/SuspiciousFile

在 ECS 集群上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

此发现表明, GuardDuty 恶意软件防护扫描已在属于 ECS 群集的容器上检测到一个或多个可疑文件。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,请评估是否希望在您的 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则属于 ECS 集群的容器可能被盗用。有关更多信息,请参阅 修复可能受损的 ECS 群集

Execution:Kubernetes/SuspiciousFile

在 Kubernetes 集群上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

这一发现表明, GuardDuty 恶意软件防护扫描已在属于 Kubernetes 集群的容器上检测到一个或多个可疑文件。如果这是 EKS 托管集群,则调查发现详细信息将提供有关受影响的 EKS 的其他信息。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,请评估是否希望在您的 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复 EKS 审计日志监控调查发现

Execution:Container/SuspiciousFile

在独立容器上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

这一发现表明, GuardDuty 恶意软件防护扫描在没有集群信息的容器上检测到一个或多个可疑文件。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,请评估是否希望在您的 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复可能受损的独立容器