Corregir un clúster de ECS potencialmente comprometido - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Corregir un clúster de ECS potencialmente comprometido

El hallazgo de un clúster de ECS potencialmente comprometido indica que se ha detectado actividad sospechosa o maliciosa en su entorno de Amazon ECS. Esto podría incluir el acceso no autorizado, la ejecución de malware u otro comportamiento malicioso que ponga en riesgo las cargas de trabajo de sus contenedores.

Siga estos pasos para corregir un clúster de Amazon ECS potencialmente comprometido:

  1. Identifique el clúster de ECS potencialmente comprometido y la amenaza detectada (hallazgos)

    Los detalles del clúster de ECS afectado se muestran en el panel de detalles de GuardDuty búsqueda.

  2. Evalúe la fuente de la amenaza o el malware

    Compruebe si hay malware en las imágenes del contenedor. Si se detecta malware, revise la imagen del contenedor que se está utilizando. ListTasksUtilícela para identificar todas las demás tareas en ejecución que utilizan la misma imagen potencialmente comprometida.

  3. Aísle las tareas afectadas

    Detenga la amenaza bloqueando todo el tráfico de red (tanto entrante como saliente) dirigido a las tareas afectadas. Este aislamiento de la red ayuda a prevenir cualquier ataque continuo al cortar todas las conexiones a la tarea comprometida.

Nota: Si determina que este hallazgo se debe a expected/legitimate la actividad de su entorno, puede configurar una regla de supresión para evitar que se produzcan hallazgos similares. Para obtener información adicional, consulta Reglas de supresión en GuardDuty.