Corriger un cluster ECS potentiellement compromis - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Corriger un cluster ECS potentiellement compromis

La découverte d'un cluster ECS potentiellement compromis indique qu'une activité suspecte ou malveillante a été détectée dans votre environnement Amazon ECS. Cela peut inclure un accès non autorisé, l'exécution de logiciels malveillants ou tout autre comportement malveillant mettant en danger les charges de travail de vos conteneurs.

Suivez ces étapes pour corriger un cluster Amazon ECS potentiellement compromis :

  1. Identifier le cluster ECS potentiellement compromis et la menace détectée (résultats)

    Les détails du cluster ECS concerné sont répertoriés dans le panneau GuardDuty des détails de recherche.

  2. Évaluez la source de la menace/du programme malveillant

    Vérifiez la présence de logiciels malveillants dans les images des conteneurs. Si un logiciel malveillant est détecté, passez en revue l'image du conteneur utilisée. ListTasksÀ utiliser pour identifier toutes les autres tâches en cours qui utilisent la même image potentiellement compromise.

  3. Isolez les tâches concernées

    Mettez fin à la menace en bloquant tout le trafic réseau (entrant et sortant) destiné aux tâches concernées. Cette isolation du réseau permet de prévenir toute attaque en cours en coupant toutes les connexions à la tâche compromise.

Remarque : Si vous déterminez que ce résultat a été déclenché par une expected/legitimate activité dans votre environnement, vous pouvez configurer une règle de suppression pour empêcher l'apparition de résultats similaires. Pour plus d’informations, consultez Règles de suppression dans GuardDuty.