用于 EC2 查找类型的恶意软件防护 - Amazon GuardDuty
Execution:EC2/MaliciousFileExecution:ECS/MaliciousFileExecution:Kubernetes/MaliciousFileExecution:Container/MaliciousFileExecution:EC2/SuspiciousFileExecution:ECS/SuspiciousFileExecution:Kubernetes/SuspiciousFileExecution:Container/SuspiciousFile
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于 EC2 查找类型的恶意软件防护

GuardDuty 恶意软件防护 EC2 提供单一恶意软件防护,用于 EC2 查找在扫描 EC2 实例或容器工作负载期间检测到的所有威胁。该调查发现包括扫描期间检测到的总数,并根据严重性提供检测到的前 32 个威胁的详细信息。与其他 GuardDuty 发现不同,当再次扫描相同的 EC2实例或容器工作负载时, EC2 发现的恶意软件防护不会更新。

每次检测到恶意软件的扫描都会生成新的恶意软件保护以供查 EC2 找。针对 EC2 发现结果的恶意软件防护包括有关生成该发现的相应扫描以及启动此扫描的 GuardDuty发现的信息。这样更容易将可疑行为与检测到的恶意软件关联起来。

注意

在容器工作负载上 GuardDuty 检测到恶意活动时,恶意软件防护 EC2 不会生成 EC2 级别发现。

以下发现特定于 GuardDuty 恶意软件防护 EC2。

Execution:EC2/MaliciousFile

已在 EC2 实例上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

这一发现表明,用于 EC2 扫描的 GuardDuty 恶意软件防护已在您的 Amazon 环境中列出的 EC2 实例上检测到一个或多个恶意文件。列出的实例可能被盗用。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2

Execution:ECS/MaliciousFile

在 ECS 集群上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

此发现表明,用于 EC2 扫描的 GuardDuty 恶意软件防护已在属于 ECS 集群的容器工作负载上检测到一个或多个恶意文件。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则属于 ECS 集群的容器可能被盗用。有关更多信息,请参阅 修复可能失陷的 ECS 集群

Execution:Kubernetes/MaliciousFile

在 Kubernetes 集群上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

这一发现表明,用于 EC2 扫描的 GuardDuty 恶意软件防护已在属于 Kubernetes 集群的容器工作负载上检测到一个或多个恶意文件。如果这是 EKS 托管集群,则调查发现详细信息将提供有关受影响的 EKS 资源的其他信息。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复 EKS 防护调查发现

Execution:Container/MaliciousFile

在独立容器上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

这一发现表明,用于 EC2 扫描的 GuardDuty 恶意软件防护已在容器工作负载上检测到一个或多个恶意文件,但未发现任何群集信息。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复可能失陷的独立容器

Execution:EC2/SuspiciousFile

已在 EC2 实例上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

此发现表明,用于 EC2 扫描的 GuardDuty 恶意软件防护已在 EC2 实例上检测到一个或多个可疑文件。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,请评估您是否希望在您的 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能遭到入侵的 Amazon 实例 EC2

Execution:ECS/SuspiciousFile

在 ECS 集群上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

这一发现表明,用于 EC2 扫描的 GuardDuty 恶意软件防护已在属于 ECS 群集的容器上检测到一个或多个可疑文件。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,请评估您是否希望在您的 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则属于 ECS 集群的容器可能被盗用。有关更多信息,请参阅 修复可能失陷的 ECS 集群

Execution:Kubernetes/SuspiciousFile

在 Kubernetes 集群上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

这一发现表明,用于 EC2 扫描的 GuardDuty 恶意软件防护已在属于 Kubernetes 集群的容器上检测到一个或多个可疑文件。如果这是 EKS 托管集群,则调查发现详细信息将提供有关受影响的 EKS 的其他信息。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,请评估您是否希望在您的 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复 EKS 防护调查发现

Execution:Container/SuspiciousFile

在独立容器上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

这一发现表明,用于 EC2 扫描的 GuardDuty 恶意软件防护在没有集群信息的容器上检测到一个或多个可疑文件。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,请评估您是否希望在您的 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复可能失陷的独立容器