恶意软件防护查找类型 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

恶意软件防护查找类型

GuardDuty 恶意软件防护针对在扫描 EC2 实例或容器工作负载期间检测到的所有威胁提供单一的恶意软件防护发现。该发现包括在扫描期间检测到的总数,并根据严重性提供了其检测到的前 32 个威胁的详细信息。与其他 GuardDuty 调查结果不同,再次扫描相同的 EC2 实例或容器工作负载时,恶意软件防护结果不会更新。

每次检测到恶意软件的扫描都会生成新的恶意软件防护结果。恶意软件防护结果包括有关生成该发现的相应扫描的信息,以及启动此扫描的 GuardDuty 调查结果的信息。这样可以更轻松地将可疑行为与检测到的恶意软件关联起来。

注意

当 GuardDuty 检测到容器工作负载上的恶意活动时,恶意软件防护不会生成 EC2 级别的调查结果。

以下发现特定于 GuardDuty 恶意软件防护。

Execution:EC2/MaliciousFile

已在 EC2 实例上检测到恶意文件。

默认严重性:根据检测到的威胁而有所不同。

这一发现表明,GuardDuty 恶意软件保护扫描已在您的环境中列出的 EC2 实例上检测到一个或多个恶意文件。Amazon此 EC2 实例可能遭盗用。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

修复建议:

如果此活动是意外的,则表示您的 EC2 实例可能已受到攻击。有关更多信息,请参阅修复可能遭到入侵的 Amazon EC2 实例

Execution:ECS/MaliciousFile

在 ECS 集群上检测到恶意文件。

默认严重性:根据检测到的威胁而有所不同。

这一发现表明 GuardDuty 恶意软件防护扫描已在属于 ECS 集群的容器工作负载上检测到一个或多个恶意文件。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

修复建议:

如果此活动是意外的,则属于ECS集群的容器可能会遭到破坏。有关更多信息,请参阅修复可能受损的 ECS 群集

Execution:Kubernetes/MaliciousFile

已在 Kubernetes 集群上检测到恶意文件。

默认严重性:根据检测到的威胁而有所不同。

这一发现表明,GuardDuty 恶意软件保护扫描已在属于 Kubernetes 集群的容器工作负载上检测到一个或多个恶意文件。如果这是一个 EKS 托管集群,则调查结果详细信息将提供有关受影响的 EKS 资源的其他信息。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

修复建议:

如果此活动是意外的,则您的容器工作负载可能会受到影响。有关更多信息,请参阅修复 EKS 审计日志监控调查发现

Execution:Container/MaliciousFile

在独立容器上检测到恶意文件。

默认严重性:根据检测到的威胁而有所不同。

这一发现表明,GuardDuty 恶意软件保护扫描已在容器工作负载上检测到一个或多个恶意文件,但未发现任何集群信息。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

修复建议:

如果此活动是意外的,则您的容器工作负载可能会受到影响。有关更多信息,请参阅修复可能受损的独立容器

Execution:EC2/SuspiciousFile

在 EC2 实例上检测到可疑文件。

默认严重性:根据检测到的威胁而有所不同。

这一发现表明 GuardDuty 恶意软件防护扫描已在 EC2 实例上检测到一个或多个可疑文件。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

SuspiciousFile类型检测表明受影响的资源上存在可能有害的程序,例如广告软件、间谍软件或双重用途工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,网络工具可能被对手合法或恶意地用作黑客工具,试图破坏资源。

检测到可疑文件后,请评估您是否希望在您的Amazon环境中看到检测到的文件。如果文件意外,请执行下一节中提供的补救建议。

修复建议:

如果此活动是意外的,则表示您的 EC2 实例可能已受到攻击。有关更多信息,请参阅修复可能遭到入侵的 Amazon EC2 实例

Execution:ECS/SuspiciousFile

在 ECS 集群上检测到可疑文件。

默认严重性:根据检测到的威胁而有所不同。

这一发现表明 GuardDuty 恶意软件防护扫描已在属于 ECS 集群的容器上检测到一个或多个可疑文件。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

SuspiciousFile类型检测表明受影响的资源上存在可能有害的程序,例如广告软件、间谍软件或双重用途工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,网络工具可能被对手合法或恶意地用作黑客工具,试图破坏资源。

检测到可疑文件后,请评估您是否希望在您的Amazon环境中看到检测到的文件。如果文件意外,请执行下一节中提供的补救建议。

修复建议:

如果此活动是意外的,则属于ECS集群的容器可能会遭到破坏。有关更多信息,请参阅修复可能受损的 ECS 群集

Execution:Kubernetes/SuspiciousFile

已在 Kubernetes 集群上检测到可疑文件。

默认严重性:根据检测到的威胁而有所不同。

这一发现表明 GuardDuty 恶意软件防护扫描已在属于 Kubernetes 集群的容器上检测到一个或多个可疑文件。如果这是一个 EKS 托管集群,则调查结果的详细信息将提供有关受影响的 EKS 的更多信息。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

SuspiciousFile类型检测表明受影响的资源上存在可能有害的程序,例如广告软件、间谍软件或双重用途工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,网络工具可能被对手合法或恶意地用作黑客工具,试图破坏资源。

检测到可疑文件后,请评估您是否希望在您的Amazon环境中看到检测到的文件。如果文件意外,请执行下一节中提供的补救建议。

修复建议:

如果此活动是意外的,则您的容器工作负载可能会受到影响。有关更多信息,请参阅修复 EKS 审计日志监控调查发现

Execution:Container/SuspiciousFile

在独立容器上检测到可疑文件。

默认严重性:根据检测到的威胁而有所不同。

这一发现表明 GuardDuty 恶意软件防护扫描在没有集群信息的容器上检测到一个或多个可疑文件。有关更多信息,请参阅调查结果详细信息中的 “检测到的威胁” 部分。

SuspiciousFile类型检测表明受影响的资源上存在可能有害的程序,例如广告软件、间谍软件或双重用途工具。这些程序可能会对您的资源产生负面影响,或者被攻击者用于恶意目的。例如,网络工具可能被对手合法或恶意地用作黑客工具,试图破坏资源。

检测到可疑文件后,请评估您是否希望在您的Amazon环境中看到检测到的文件。如果文件意外,请执行下一节中提供的补救建议。

修复建议:

如果此活动是意外的,则您的容器工作负载可能会受到影响。有关更多信息,请参阅修复可能受损的独立容器