Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida - Amazon GuardDuty

Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida

Cuando GuardDuty genera tipos de resultados que indican recursos de Amazon EC2 potencialmente comprometidos, entonces el Recurso será Instancia. Los posibles tipos de resultados podrían ser Tipos de resultados de EC2, Tipos de resultados de la supervisión en tiempo de ejecución de GuardDuty o Tipos de resultados de la protección contra malware para EC2. Si el comportamiento que causó el resultado era el previsto en el entorno, considere la posibilidad de utilizar Reglas de supresión.

Siga los siguientes pasos para corregir la instancia de Amazon EC2 potencialmente comprometida:

  1. Identifique la instancia de Amazon EC2 potencialmente comprometida

    Examine la instancia posiblemente comprometida en busca de malware y elimínelo. Puede utilizar Análisis de malware bajo demanda en GuardDuty para identificar el malware en la instancia de EC2 potencialmente afectada o comprobar AWS Marketplace para ver si hay productos asociados útiles para identificar y eliminar el malware.

  2. Aísle la instancia de Amazon EC2 potencialmente comprometida

    Si es posible, siga los siguientes pasos para aislar la instancia potencialmente comprometida:

    1. Cree un grupo de seguridad de aislamiento dedicado. Un grupo de seguridad de aislamiento solo debe tener acceso entrante y saliente desde direcciones IP específicas. Asegúrese de que no hay ninguna regla de entrada o salida que permita el tráfico para 0.0.0.0/0 (0-65535).

    2. Asocie el grupo de seguridad de aislamiento a esta instancia.

    3. Elimine todas las asociaciones de grupos de seguridad distintas del grupo de seguridad de aislamiento recién creado de la instancia potencialmente comprometida.

      nota

      Las conexiones rastreadas existentes no se terminarán como resultado del cambio de grupo de seguridad. Únicamente el tráfico futuro será bloqueado de forma efectiva por el nuevo grupo de seguridad.

      Para obtener información sobre cómo bloquear más tráfico de conexiones existentes sospechosas, consulte Aplicar NACL basadas en IoC de red para impedir más tráfico en el Manual de respuesta a incidentes.

  3. Identifique el origen de la actividad sospechosa

    Si se detecta malware, con base en el tipo de resultado de su cuenta, identifique y detenga la actividad potencialmente no autorizada en su instancia de EC2. Esto puede requerir acciones como cerrar cualquier puerto abierto, cambiar las políticas de acceso y actualizar las aplicaciones para corregir las vulnerabilidades.

    Si no puede identificar y detener la actividad no autorizada en la instancia de EC2 potencialmente comprometida, recomendamos que termine la instancia de EC2 comprometida y la sustituya por una nueva instancia según sea necesario. A continuación se enumeran recursos adicionales para proteger instancias EC2:

  4. Consultar AWS re:Post

    Vaya a AWS re:Post para obtener más ayuda.

  5. Envíe una solicitud de asistencia técnica

    Si es suscriptor de un paquete Premium Support, puede enviar una solicitud de asistencia técnica.