Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Corriger un instantané EBS potentiellement compromis
Quand GuardDuty génère une exécution EC2 :/ MaliciousFile ! Type de détection d'instantanés, il indique qu'un logiciel malveillant a été détecté dans un instantané Amazon EBS. Procédez comme suit pour corriger le snapshot potentiellement compromis :
-
Identifiez l'instantané potentiellement compromis
-
Identifiez l'instantané potentiellement compromis. Une GuardDuty recherche concernant un instantané EBS indiquera l'ID de l'instantané concerné, son Amazon Resource Name (ARN) et les détails de l'analyse des programmes malveillants associés dans les détails de la recherche.
-
Vérifiez les détails du point de récupération à l'aide de la commande suivante :
aws backup describe-recovery-point —backup-vault-name021345abcdef6789—recovery-point-arn"arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"
-
-
Restreindre l'accès à l'instantané compromis
Passez en revue et modifiez les politiques d'accès au coffre de sauvegarde afin de restreindre l'accès aux points de restauration et de suspendre toutes les tâches de restauration automatique susceptibles d'utiliser cet instantané.
-
Vérifiez les autorisations de partage actuelles :
aws ec2 describe-snapshot-attribute --snapshot-idsnap-abcdef01234567890--attribute createVolumePermission -
Supprimer l'accès à un compte spécifique :
aws ec2 modify-snapshot-attribute --snapshot-idsnap-abcdef01234567890--attribute createVolumePermission --operation-type remove --user-ids111122223333 -
Pour des options de CLI supplémentaires, consultez la documentation de la modify-snapshot-attribute CLI.
-
-
Prendre des mesures correctives
-
Avant de procéder à la suppression, assurez-vous d'avoir identifié toutes les dépendances et de disposer de sauvegardes appropriées si nécessaire.
-
