修复可能失陷的独立容器 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

修复可能失陷的独立容器

当 GuardDuty 生成表明可能失陷的容器的调查发现类型时,您的资源类型将为容器。如果导致该调查发现的行为是环境中的预期行为,则可以考虑使用抑制规则

要修复 Amazon 环境中可能泄露的凭证,请执行以下步骤:

  1. 隔离可能失陷的容器

    以下步骤有助您识别可能有恶意的容器工作负载:

    • 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

    • 调查发现页面上,选择相应的调查发现以查看调查发现面板。

    • 在调查发现面板的受影响的资源部分,您可以查看容器的 ID名称

    将此容器与其他容器工作负载隔离。

  2. 暂停容器

    暂停容器中的所有进程。

    有关如何冻结容器的信息,请参阅 Pause a container

    停止容器

    如果上述步骤失败,并且容器没有暂停,请停止容器运行。如果您启用了 快照保留 功能,GuardDuty 将保留包含恶意软件的 EBS 卷的快照。

    有关如何停止容器的信息,请参阅 Stop a container

  3. 评估是否存在恶意软件

    评估恶意软件是否在容器的映像中。

如果访问已获授权,则可以忽略调查发现。https://console.aws.amazon.com/guardduty/ 控制台允许您设置规则,以完全抑制单个调查发现,使其不再出现。GuardDuty 控制台允许您设置规则,以完全抑制单个调查发现,使其不再出现。有关更多信息,请参阅 GuardDuty 中的抑制规则