Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance

Wenn GuardDuty Suchtypen generiert werden, die auf potenziell gefährdete Amazon EC2 EC2-Ressourcen hinweisen, ist Ihre Ressource Instance. Mögliche Findetypen könntenEC2-Erkenntnistypen,GuardDuty Runtime Monitoring: Typen finden, oder sein. Malware-Schutz für EC2-Suchtypen Wenn das Verhalten, das den Befund verursacht hat, in Ihrer Umgebung erwartet wurde, sollten Sie die Verwendung vonUnterdrückungsregeln.

Führen Sie die folgenden Schritte aus, um die potenziell gefährdete Amazon EC2 EC2-Instance zu beheben:

  1. Identifizieren Sie die potenziell gefährdete Amazon EC2 EC2-Instance

    Untersuchen Sie die potenziell kompromittierte Instance auf Malware und entfernen Sie sämtliche gefundene Malware. Sie können Malware-Scan auf Abruf GuardDuty verwenden, um Malware in der potenziell gefährdeten EC2-Instance zu identifizieren oder AWS Marketplace überprüfen, ob es hilfreiche Partnerprodukte zur Identifizierung und Entfernung von Malware gibt.

  2. Isolieren Sie die potenziell gefährdete Amazon EC2 EC2-Instance

    Gehen Sie nach Möglichkeit wie folgt vor, um die potenziell gefährdete Instance zu isolieren:

    1. Erstellen Sie eine dedizierte Isolations-Sicherheitsgruppe. Eine isolierte Sicherheitsgruppe sollte nur eingehenden und ausgehenden Zugriff von bestimmten IP-Adressen aus haben. Stellen Sie sicher, dass es keine Regel für eingehenden oder ausgehenden Datenverkehr gibt, die Datenverkehr für zulässt. 0.0.0.0/0 (0-65535)

    2. Ordnen Sie die Isolations-Sicherheitsgruppe dieser Instanz zu.

    3. Entfernen Sie alle Sicherheitsgruppenzuordnungen mit Ausnahme der neu erstellten Isolations-Sicherheitsgruppe aus der potenziell gefährdeten Instanz.

      Anmerkung

      Die bestehenden verfolgten Verbindungen werden nicht aufgrund wechselnder Sicherheitsgruppen beendet — nur future Datenverkehr wird von der neuen Sicherheitsgruppe effektiv blockiert.

      Informationen zum Blockieren weiteren Datenverkehrs von verdächtigen bestehenden Verbindungen finden Sie im Incident Response Playbook unter NACLs Netzwerkbasiert durchsetzen, IoCs um weiteren Datenverkehr zu verhindern.

  3. Identifizieren Sie die Quelle der verdächtigen Aktivität.

    Wenn Malware erkannt wird, identifizieren und beenden Sie anhand des Erkennungstyps in Ihrem Konto die potenziell nicht autorisierte Aktivität auf Ihrer EC2-Instance. Dies kann Aktionen wie das Schließen aller offenen Ports, das Ändern von Zugriffsrichtlinien und das Aktualisieren von Anwendungen zur Behebung von Schwachstellen erfordern.

    Wenn Sie nicht in der Lage sind, unbefugte Aktivitäten auf Ihrer potenziell gefährdeten EC2-Instance zu identifizieren und zu stoppen, empfehlen wir Ihnen, die gefährdete EC2-Instance zu beenden und sie bei Bedarf durch eine neue Instance zu ersetzen. Nachfolgend finden Sie weitere Ressourcen zum Schützen Ihrer EC2-Instances:

  4. Durchsuchen AWS re:Post

    AWS re:PostSuchen Sie nach weiterer Unterstützung.

  5. Reichen Sie eine Anfrage für technischen Support ein

    Wenn Sie ein Premium-Support-Paket abonniert haben, können Sie eine Anfrage für den technischen Support senden.