修复运行时监控调查发现

当您为账户启用运行时监控时，Amazon GuardDuty 可能会生成 GuardDuty 运行时监控调查发现类型，表明您的 Amazon 环境中可能存在安全问题。潜在的安全问题表明您的 Amazon 环境中存在 Amazon EC2 实例、容器工作负载或 Amazon EKS 集群失陷，或一组凭证遭泄露。安全代理会监控来自多种资源类型的运行时事件。要识别可能受攻击的资源，请在 GuardDuty 控制台中查看生成的调查发现详细信息中的资源类型。以下部分介绍了针对每种资源类型的建议修复步骤。

Instance

如果调查发现详细信息中的资源类型为 Instance，则表示 EC2 实例或 EKS 节点可能受到攻击。

要修复受攻击的 EKS 节点，请参阅修复可能失陷的 Kubernetes 节点。
要修复受攻击的 EC2 实例，请参阅修复可能失陷的 Amazon EC2 实例。

EKSCluster

如果调查发现详细信息中的资源类型为 EKSCluster，则表示 EKS 集群中的容器组或容器可能受到攻击。

要修复受攻击的容器组，请参阅修复可能失陷的 Kubernetes 容器组（pod）。
要修复受攻击的容器映像，请参阅修复可能失陷的容器映像。

ECSCluster

如果调查发现详细信息中的资源类型为 ECSCluster，则表明 ECS 任务或 ECS 任务中的容器组可能失陷。

确定受影响的 ECS 集群

GuardDuty 运行时监控调查发现会在调查发现的详细信息面板或调查发现 JSON 的 resource.ecsClusterDetails 部分中提供 ECS 集群详细信息。
确定受影响的 ECS 任务

GuardDuty 运行时监控调查发现会在调查发现的详细信息面板或调查发现 JSON 的 resource.ecsClusterDetails.taskDetails 部分中提供 ECS 任务详细信息。
隔离受影响的任务

通过拒绝该任务的所有入口和出口流量来隔离受影响的任务。拒绝所有流量规则可以切断与任务的所有连接，从而帮助阻止已经开始的攻击。
修复失陷的任务
1. 识别攻击该任务的漏洞。
2. 实施针对该漏洞的修复程序并启动新的替换任务。
3. 停止易受影响的任务。

Container

如果调查发现详细信息中的资源类型为 Container，则表示独立容器可能受到攻击。

要进行修复，请参阅修复可能失陷的独立容器。
如果调查发现是使用同一容器映像跨多个容器生成的，请参阅修复可能失陷的容器映像。
如果容器访问了底层 EC2 主机，则其关联的实例凭证可能已泄露。有关更多信息，请参阅修复可能被泄露的 Amazon 凭证。
如果潜在的恶意行为者访问了底层 EKS 节点或 EC2 实例，请参阅 EKSCluster 和 Instance 选项卡下的修复建议。

修复被盗用的容器映像

GuardDuty 调查发现指示任务失陷时，可能表明用于启动任务的映像有恶意或已经失陷。GuardDuty 调查发现可识别 resource.ecsClusterDetails.taskDetails.containers.image 字段中的容器映像。您可以通过扫描恶意软件来确定映像是否有恶意。

修复失陷的容器映像

立即停止使用该映像，并将其从映像存储库中删除。
确定正在使用此映像的所有任务。
停止使用失陷映像的所有任务。更新其任务定义，以确保停止使用失陷的映像。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

修复 EKS 防护调查发现

修复可能失陷的数据库