Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
当您为账户启用运行时监控时,Amazon GuardDuty 可能会生成运行时监控查找类型指明您的Amazon环境中存在潜在安全问题的信息。潜在的安全问题表明您的Amazon环境中的 Amazon EC2 实例、容器工作负载、Amazon EKS 集群或一组凭证遭到入侵。安全代理监控来自多种资源类型的运行时事件。要识别可能受到威胁的资源,请在 GuardDuty控制台中生成的查找结果详细信息中查看资源类型。以下部分介绍了针对每种资源类型的建议修复步骤。
- Instance
-
如果调查发现详细信息中的资源类型为 Instance,则表示 EC2 实例或 EKS 节点可能受到攻击。
- EKSCluster
-
如果调查发现详细信息中的资源类型为 EKSCluster,则表示 EKS 集群中的容器组或容器可能受到攻击。
- ECSCluster
-
如果调查结果详细信息中的资源类型为 ecsCluster,则表示 ECS 任务或 ECS 任务中的容器可能受到威胁。
-
确定受影响的 ECS 集群
GuardDuty 运行时监控结果在调查结果的详细信息面板或调查结果 JSON 的resource.ecsClusterDetails部分中提供 ECS 集群的详细信息。
-
确定受影响的 ECS 任务
GuardDuty 运行时监控结果在查找结果的详细信息面板或调查结果 JSON 的resource.ecsClusterDetails.taskDetails部分中提供 ECS 任务的详细信息。
-
隔离受影响的任务
通过拒绝任务的所有入口和出口流量来隔离受影响的任务。拒绝所有流量规则可以切断与任务的所有连接,从而帮助阻止已经开始的攻击。
-
修复受损的任务
找出危及任务的漏洞。
实施该漏洞的修复程序,然后开始新的替换任务。
停止有漏洞的任务。
- Container
-
如果调查发现详细信息中的资源类型为 Container,则表示独立容器可能受到攻击。
当 GuardDuty 发现发现任务受损时,用于启动任务的图像可能是恶意的或已被泄露的。 GuardDuty 调查结果可识别resource.ecsClusterDetails.taskDetails.containers.image现场内的容器映像。您可以通过扫描图像中是否存在恶意软件来确定图像是否为恶意图像。
修复受损的容器镜像
立即停止使用该映像,并将其从映像存储库中删除。
确定使用此图像的所有任务。
停止所有正在使用受损图像的任务。更新他们的任务定义,以便他们停止使用受损的图像。