Corrección de imágenes de contenedor en peligro

Corregir los resultados de la Supervisión en tiempo de ejecución

Al habilitar la Supervisión en tiempo de ejecución para la cuenta, Amazon GuardDuty puede generar Tipos de resultados de la supervisión en tiempo de ejecución de GuardDuty que indiquen posibles problemas de seguridad en el entorno de AWS. Los posibles problemas de seguridad indican que en el entorno de AWS hay una instancia de Amazon EC2, una carga de trabajo de contenedor, un clúster de Amazon EKS o un conjunto de credenciales comprometidos. El agente de seguridad supervisa los eventos en tiempo de ejecución de varios tipos de recursos. Para identificar el recurso potencialmente en peligro, consulte Tipo de recurso en los detalles del resultado generado en la consola de GuardDuty. En la siguiente sección se describen los pasos de corrección recomendados para cada tipo de recurso.

Instance

Si el tipo de recurso en los detalles del resultado es Instancia, indica que una instancia de EC2 o un nodo de EKS están potencialmente en peligro.

Para corregir un nodo de EKS en peligro, consulte Corregir nodos de Kubernetes potencialmente comprometidos.
Para corregir una instancia de EC2 en peligro, consulte Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida.

EKSCluster

Si el tipo de recurso en los detalles del resultado es EKSCluster, indica que un pod o un contenedor de un clúster de EKS están potencialmente en peligro.

Para corregir un pod en peligro, consulte Corregir pods de Kubernetes potencialmente comprometidos.
Para corregir una imagen de contenedor en peligro, consulte Corregir imágenes de contenedores potencialmente comprometidas.

ECSCluster

Si el tipo de recurso en los detalles del resultado es ECSCluster, significa que una tarea de ECS o un contenedor dentro de una tarea de ECS está potencialmente comprometido.

Identifique el clúster de ECS afectado

El resultado de la Supervisión en tiempo de ejecución de GuardDuty proporciona los detalles del clúster de ECS en el panel de detalles del resultado o en la sección resource.ecsClusterDetails del JSON del resultado.
Identifique la tarea de ECS afectada

El resultado de la Supervisión en tiempo de ejecución de GuardDuty proporciona los detalles de la tarea de ECS en el panel de detalles del resultado o en la sección resource.ecsClusterDetails.taskDetails del JSON del resultado.
Aísle la tarea afectada

Para aislar la tarea impactada, deniegue todo el tráfico de entrada y salida a la tarea. Una regla que prohíba todo el tráfico puede ayudar a detener un ataque que ya está en marcha, ya que interrumpe todas las conexiones con la tarea.
Corrija la tarea comprometida
1. Identifique la vulnerabilidad que comprometió la tarea.
2. Implemente la corrección de esa vulnerabilidad e inicie una nueva tarea de sustitución.
3. Detenga la tarea vulnerable.

Container

Si el tipo de recurso en los detalles del resultado es Contenedor, indica que un contenedor independiente está potencialmente en peligro.

Para corregirlo, consulte Corregir un contenedor independiente potencialmente comprometido.
Si el resultado se genera en varios contenedores con la misma imagen de contenedor, consulte Corregir imágenes de contenedores potencialmente comprometidas.
Si el contenedor ha accedido al host de EC2 subyacente, es posible que las credenciales de la instancia asociadas se hayan puesto en peligro. Para obtener más información, consulte Corregir credenciales de AWS potencialmente comprometidas.
Si un agente potencialmente malintencionado ha accedido al nodo de EKS subyacente o a una instancia de EC2, consulte la corrección recomendada en las pestañas EKSCluster e Instancia.

Corrección de imágenes de contenedor en peligro

Cuando un resultado de GuardDuty indica que una tarea está comprometida, es posible que la imagen utilizada para lanzar la tarea sea maliciosa o esté comprometida. Los resultados de GuardDuty identifican la imagen de contenedor en el campo resource.ecsClusterDetails.taskDetails.containers.image. Para determinar si la imagen es maliciosa o no, puede analizarla en busca de malware.

Para corregir una imagen de contenedor comprometida

Deje de usar la imagen inmediatamente y elimínela del repositorio de imágenes.
Identifique todas las tareas que utilizan esta imagen.
Detenga todas las tareas que utilizan la imagen comprometida. Actualice las definiciones de las tareas de modo que dejen de utilizar la imagen comprometida.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Corregir los resultados de EKS Protection

Corregir una base de datos potencialmente comprometida