EC2 恶意软件防护调查发现类型 - Amazon GuardDuty
Execution:EC2/MaliciousFileExecution:ECS/MaliciousFileExecution:Kubernetes/MaliciousFileExecution:Container/MaliciousFileExecution:EC2/SuspiciousFileExecution:ECS/SuspiciousFileExecution:Kubernetes/SuspiciousFileExecution:Container/SuspiciousFile
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

EC2 恶意软件防护调查发现类型

对于在 EC2 实例或容器工作负载扫描期间检测到的所有威胁,GuardDuty EC2 恶意软件防护会提供单个 EC2 恶意软件防护调查发现。该调查发现包括扫描期间检测到的总数,并根据严重性提供检测到的前 32 个威胁的详细信息。与其他 GuardDuty 调查发现不同,再次扫描同一 EC2 实例或容器工作负载时,EC2 恶意软件防护调查发现不会更新。

每次检测到恶意软件的扫描都会生成新的 EC2 恶意软件防护调查发现。EC2 恶意软件防护调查发现包括有关生成该调查发现的相应扫描,以及启动该次扫描的 GuardDuty 调查发现等信息。这样更容易将可疑行为与检测到的恶意软件关联起来。

注意

当 GuardDuty 检测到容器工作负载上有恶意活动时,EC2 恶意软件防护不会生成 EC2 级别的调查发现。

以下调查发现特定于 GuardDuty EC2 恶意软件防护。

Execution:EC2/MaliciousFile

在 EC2 实例上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

此调查发现表明,GuardDuty EC2 恶意软件防护扫描在 Amazon 环境中的所列 EC2 实例上检测到一个或多个恶意文件。列出的实例可能被盗用。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Execution:ECS/MaliciousFile

在 ECS 集群上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

该调查发现表明,GuardDuty EC2 恶意软件防护扫描在属于某个 ECS 集群的某个容器工作负载上检测到一个或多个恶意文件。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则属于 ECS 集群的容器可能被盗用。有关更多信息,请参阅 修复可能失陷的 ECS 集群

Execution:Kubernetes/MaliciousFile

在 Kubernetes 集群上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

该调查发现表明,GuardDuty EC2 恶意软件防护扫描在属于某个 Kubernetes 集群的某个容器工作负载上检测到一个或多个恶意文件。如果这是 EKS 托管集群,则调查发现详细信息将提供有关受影响的 EKS 资源的其他信息。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复 EKS 防护调查发现

Execution:Container/MaliciousFile

在独立容器上检测到恶意文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

该调查发现表明,GuardDuty EC2 恶意软件防护扫描在某个容器工作负载上检测到一个或多个恶意文件,但未识别集群信息。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复可能失陷的独立容器

Execution:EC2/SuspiciousFile

在 EC2 实例上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

该调查发现表明,GuardDuty EC2 恶意软件防护扫描在某个 EC2 实例上检测到一个或多个可疑文件。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,评估您是否希望在 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则您的实例可能被盗用。有关更多信息,请参阅 修复可能失陷的 Amazon EC2 实例

Execution:ECS/SuspiciousFile

在 ECS 集群上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

该调查发现表明,GuardDuty EC2 恶意软件防护扫描在属于某个 ECS 集群的某个容器上检测到一个或多个可疑文件。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,评估您是否希望在 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则属于 ECS 集群的容器可能被盗用。有关更多信息,请参阅 修复可能失陷的 ECS 集群

Execution:Kubernetes/SuspiciousFile

在 Kubernetes 集群上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

该调查发现表明,GuardDuty EC2 恶意软件防护扫描在属于某个 Kubernetes 集群的某个容器上检测到一个或多个可疑文件。如果这是 EKS 托管集群,则调查发现详细信息将提供有关受影响的 EKS 的其他信息。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,评估您是否希望在 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复 EKS 防护调查发现

Execution:Container/SuspiciousFile

在独立容器上检测到可疑文件。

默认严重级别:因检测到的威胁而异。

  • 功能:EBS 恶意软件防护

该调查发现表明,GuardDuty EC2 恶意软件防护扫描在某个容器上检测到一个或多个可疑文件,但没有集群信息。有关更多信息,请参阅调查发现详细信息中的检测到的威胁部分。

SuspiciousFile 类型检测表明受影响的资源上存在可能不需要的程序,例如广告软件、间谍软件或两用工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,攻击者可以将网络工具合法或恶意用作黑客工具,企图破坏资源。

检测到可疑文件后,评估您是否希望在 Amazon 环境中看到检测到的文件。如果文件是意外文件,请按照下一部分提供的修复建议进行修复。

修复建议:

如果此活动是意外活动,则您的容器工作负载可能被盗用。有关更多信息,请参阅 修复可能失陷的独立容器