Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
当您为账户启用运行时监控时,Amazon GuardDuty 可能会生成GuardDuty 运行时监控查找类型指明您的 Amazon 环境中存在潜在安全问题的信息。潜在的安全问题表明 Amazon EC2 实例、容器工作负载、Amazon EKS 集群或您的 Amazon 环境中存在一组凭证遭到入侵。安全代理会监控来自多种资源类型的运行时事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台中生成的查找结果详细信息中查看资源类型。以下部分介绍了针对每种资源类型的建议修复步骤。
- Instance
-
如果查找结果详细信息中的资源类型为实例,则表示 EC2 实例或 EKS 节点可能遭到入侵。
- EKSCluster
-
如果调查结果详细信息中的资源类型为 EKSCluster,则表示 EKS 集群内的 Pod 或容器可能遭到入侵。
- ECSCluster
-
如果调查结果详细信息中的资源类型为 ECSCluster,则表示 ECS 任务或 ECS 任务中的容器可能遭到入侵。
-
确定受影响的 ECS 集群
GuardDuty 运行时监控结果在调查结果的详细信息面板或调查结果 JSON 的resource.ecsClusterDetails部分中提供 ECS 集群的详细信息。
-
确定受影响的 ECS 任务
GuardDuty 运行时监控结果在查找结果的详细信息面板或调查结果 JSON 的resource.ecsClusterDetails.taskDetails部分中提供 ECS 任务的详细信息。
-
隔离受影响的任务
通过拒绝该任务的所有入口和出口流量来隔离受影响的任务。拒绝所有流量规则可以切断与任务的所有连接,从而帮助阻止已经开始的攻击。
-
修复失陷的任务
-
识别攻击该任务的漏洞。
-
实施针对该漏洞的修复程序并启动新的替换任务。
-
停止易受影响的任务。
- Container
-
如果调查发现详细信息中的资源类型为 Container,则表示独立容器可能受到攻击。
当 GuardDuty 发现发现任务受损时,用于启动任务的图像可能是恶意的或已被泄露的。 GuardDuty 调查结果可识别resource.ecsClusterDetails.taskDetails.containers.image现场内的容器映像。您可以通过扫描恶意软件来确定映像是否有恶意。
修复失陷的容器映像
-
立即停止使用该映像,并将其从映像存储库中删除。
-
确定正在使用此映像的所有任务。
-
停止使用失陷映像的所有任务。更新其任务定义,以确保停止使用失陷的映像。