恶意软件防护查找类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

恶意软件防护查找类型

GuardDuty 恶意软件保护为扫描 EC2 实例或容器工作负载期间检测到的所有威胁提供单一的恶意软件保护调查结果。该发现包括扫描期间检测到的总次数,并根据严重性提供其检测到的前 32 个威胁的详细信息。与其他 GuardDuty 发现不同,当再次扫描相同的 EC2 实例或容器工作负载时,恶意软件保护调查结果不会更新。

每次检测到恶意软件的扫描都会生成新的恶意软件防护结果。恶意软件保护发现包括有关产生该发现的相应扫描以及启动该扫描的 GuardDuty发现的信息。这样可以更轻松地将可疑行为与检测到的恶意软件关联起来。

注意

当 GuardDuty 检测到容器工作负载上的恶意活动时,恶意软件保护不会生成 EC2 级别的调查结果。

以下发现特定于 GuardDuty 恶意软件防护。

Execution:EC2/MaliciousFile

已在 EC2 实例上检测到恶意文件。

默认严重程度:因检测到的威胁而异。

此发现表明, GuardDuty 恶意软件保护扫描已在您的Amazon环境中列出的 EC2 实例上检测到一个或多个恶意文件。此列出的实例可能已被入侵。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅 修复受感染的 Amazon EC2 实例

Execution:ECS/MaliciousFile

已在 ECS 群集上检测到恶意文件。

默认严重程度:因检测到的威胁而异。

此发现表明, GuardDuty 恶意软件保护扫描在属于 ECS 群集的容器工作负载中检测到一个或多个恶意文件。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

补救建议:

如果此活动出乎意料,则您属于 ECS 集群的容器可能会遭到入侵。有关更多信息,请参阅 修复受感染的 ECS 集群

Execution:Kubernetes/MaliciousFile

已在 Kubernetes 集群上检测到恶意文件。

默认严重程度:因检测到的威胁而异。

此发现表明, GuardDuty 恶意软件保护扫描在属于 Kubernetes 集群的容器工作负载中检测到一个或多个恶意文件。如果这是 EKS 管理的集群,则调查结果详细信息将提供有关受影响的 EKS 资源的更多信息。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

补救建议:

如果此活动出乎意料,则您的容器工作负载可能会受到影响。有关更多信息,请参阅 修复由发现的 EKS 审核日志监控结果 GuardDuty

Execution:Container/MaliciousFile

已在独立容器上检测到恶意文件。

默认严重程度:因检测到的威胁而异。

此发现表明, GuardDuty 恶意软件保护扫描已在容器工作负载中检测到一个或多个恶意文件,并且未发现任何群集信息。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

补救建议:

如果此活动出乎意料,则您的容器工作负载可能会受到影响。有关更多信息,请参阅 修复受感染的独立容器

Execution:EC2/SuspiciousFile

已在 EC2 实例上检测到可疑文件。

默认严重程度:因检测到的威胁而异。

此发现表明, GuardDuty 恶意软件保护扫描已在 EC2 实例上检测到一个或多个可疑文件。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

SuspiciousFile类型检测表明受影响的资源上存在可能有害的程序,例如广告软件、间谍软件或双重用途工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,网络工具可以被对手合法或恶意地用作黑客工具,试图破坏资源。

检测到可疑文件后,评估您是否希望在Amazon环境中看到检测到的文件。如果文件出乎意料,请执行下一节中提供的补救建议。

补救建议:

如果此活动出乎意料,则您的实例可能会遭到入侵。有关更多信息,请参阅 修复受感染的 Amazon EC2 实例

Execution:ECS/SuspiciousFile

已在 ECS 群集上检测到可疑文件。

默认严重程度:因检测到的威胁而异。

此发现表明, GuardDuty 恶意软件保护扫描已在属于 ECS 群集的容器上检测到一个或多个可疑文件。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

SuspiciousFile类型检测表明受影响的资源上存在可能有害的程序,例如广告软件、间谍软件或双重用途工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,网络工具可以被对手合法或恶意地用作黑客工具,试图破坏资源。

检测到可疑文件后,评估您是否希望在Amazon环境中看到检测到的文件。如果文件出乎意料,请执行下一节中提供的补救建议。

补救建议:

如果此活动出乎意料,则您属于 ECS 集群的容器可能会遭到入侵。有关更多信息,请参阅 修复受感染的 ECS 集群

Execution:Kubernetes/SuspiciousFile

已在 Kubernetes 集群上检测到可疑文件。

默认严重程度:因检测到的威胁而异。

此发现表明, GuardDuty 恶意软件保护扫描已在属于 Kubernetes 集群的容器上检测到一个或多个可疑文件。如果这是 EKS 托管集群,则调查结果的详细信息将提供有关受影响的 EKS 的更多信息。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

SuspiciousFile类型检测表明受影响的资源上存在可能有害的程序,例如广告软件、间谍软件或双重用途工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,网络工具可以被对手合法或恶意地用作黑客工具,试图破坏资源。

检测到可疑文件后,评估您是否希望在Amazon环境中看到检测到的文件。如果文件出乎意料,请执行下一节中提供的补救建议。

补救建议:

如果此活动出乎意料,则您的容器工作负载可能会受到影响。有关更多信息,请参阅 修复由发现的 EKS 审核日志监控结果 GuardDuty

Execution:Container/SuspiciousFile

已在独立容器上检测到可疑文件。

默认严重程度:因检测到的威胁而异。

此发现表明, GuardDuty 恶意软件保护扫描在没有群集信息的容器上检测到一个或多个可疑文件。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

SuspiciousFile类型检测表明受影响的资源上存在可能有害的程序,例如广告软件、间谍软件或双重用途工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,网络工具可以被对手合法或恶意地用作黑客工具,试图破坏资源。

检测到可疑文件后,评估您是否希望在Amazon环境中看到检测到的文件。如果文件出乎意料,请执行下一节中提供的补救建议。

补救建议:

如果此活动出乎意料,则您的容器工作负载可能会受到影响。有关更多信息,请参阅修复受感染的独立容器