Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Corriger une AMI EC2 potentiellement compromise
Quand GuardDuty génère une exécution : EC2/ ! MaliciousFile Type de recherche d'AMI, il indique qu'un logiciel malveillant a été détecté dans une Amazon Machine Image (AMI). Procédez comme suit pour corriger l'AMI potentiellement compromise :
-
Identifiez l'AMI potentiellement compromise
-
Une GuardDuty recherche pour AMIs indiquera l'ID de l'AMI concerné, son nom de ressource Amazon (ARN) et les détails de l'analyse des programmes malveillants associés dans les détails de la recherche.
-
Vérifiez l'image source de l'AMI :
aws ec2 describe-images --image-idsami-021345abcdef6789
-
-
Restreindre l'accès aux ressources compromises
-
Passez en revue et modifiez les politiques d'accès au coffre de sauvegarde afin de restreindre l'accès au point de restauration et de suspendre toutes les tâches de restauration automatique susceptibles d'utiliser ce point de restauration.
-
Supprimer les autorisations des autorisations de l'AMI source
Consultez d'abord les autorisations existantes :
aws ec2 describe-image-attribute --image-idami-abcdef01234567890--attribute launchPermissionSupprimez ensuite les autorisations individuelles :
aws ec2 modify-image-attribute --image-idami-abcdef01234567890--launch-permission '{"Remove":[{"UserId":"111122223333"}]}'Pour des options CLI supplémentaires, consultez Partager une AMI avec des comptes spécifiques - Amazon Elastic Compute Cloud
-
Si la source est une instance EC2, voir : Corriger une instance Amazon EC2 potentiellement compromise.
-
-
Prendre des mesures correctives
-
Avant de procéder à la suppression, assurez-vous d'avoir identifié toutes les dépendances et de disposer de sauvegardes appropriées si nécessaire.
-
