Corriger une instance Amazon EC2 potentiellement compromise - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Corriger une instance Amazon EC2 potentiellement compromise

Lorsque GuardDuty des types de recherche indiquant des ressources Amazon EC2 potentiellement compromises sont générées, votre ressource sera une instance. Les types de recherche potentiels peuvent être Types de résultat EC2GuardDuty Types de recherche liés à la surveillance du temps, ouProtection contre les programmes malveillants pour les types de détection EC2. Si le comportement à l'origine de la découverte était attendu dans votre environnement, envisagez d'utiliserRègles de suppression.

Procédez comme suit pour corriger l'instance Amazon EC2 potentiellement compromise :

  1. Identifiez l'instance Amazon EC2 potentiellement compromise

    Recherchez dans l'instance potentiellement compromise des programmes malveillants et supprimez ceux qui sont détectés. Vous pouvez utiliser Analyse des malwares à la demande dans GuardDuty pour identifier les logiciels malveillants dans l'instance EC2 potentiellement compromise, ou consulter AWS Marketplace pour vérifier s'il existe des produits partenaires utiles afin d'identifier et de supprimer les logiciels malveillants.

  2. Isolez l'instance Amazon EC2 potentiellement compromise

    Si possible, procédez comme suit pour isoler l'instance potentiellement compromise :

    1. Créez un groupe de sécurité dédié à l'isolation. Un groupe de sécurité d'isolation ne doit avoir un accès entrant et sortant qu'à partir d'adresses IP spécifiques. Assurez-vous qu'aucune règle entrante ou sortante n'autorise le trafic pour. 0.0.0.0/0 (0-65535)

    2. Associez le groupe de sécurité Isolation à cette instance.

    3. Supprimez toutes les associations de groupes de sécurité autres que le nouveau groupe de sécurité Isolation de l'instance potentiellement compromise.

      Note

      Les connexions suivies existantes ne seront pas interrompues suite à un changement de groupe de sécurité. Seul le trafic futur sera effectivement bloqué par le nouveau groupe de sécurité.

      Pour plus d'informations sur le blocage du trafic provenant de connexions existantes suspectes, voir Appliquer NACLs en fonction du réseau IoCs pour empêcher tout trafic supplémentaire dans le manuel de réponse aux incidents.

  3. Identifiez la source de l'activité suspecte.

    Si un logiciel malveillant est détecté, identifiez et arrêtez l'activité potentiellement non autorisée sur votre instance EC2 en fonction du type de résultat dans votre compte. Cela peut nécessiter des actions telles que la fermeture de tous les ports ouverts, la modification des stratégies d'accès et la mise à niveau des applications pour corriger les vulnérabilités.

    Si vous ne parvenez pas à identifier et à arrêter toute activité non autorisée sur votre instance EC2 potentiellement compromise, nous vous recommandons de mettre fin à l'instance EC2 compromise et de la remplacer par une nouvelle instance si nécessaire. Les ressources supplémentaires suivantes vous permettent de sécuriser vos instances EC2 :

  4. Parcourir AWS re:Post

    Naviguez AWS re:Postpour obtenir de l'aide supplémentaire.

  5. Soumission d'une demande de support technique

    Si vous êtes abonné à un package Premium Support, vous pouvez soumettre une demande de support technique.