Correzione di un AMI EC2 potenzialmente compromesso - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Correzione di un AMI EC2 potenzialmente compromesso

Quando GuardDuty genera un'esecuzione:EC2/! MaliciousFile Tipo di rilevamento AMI, indica che è stato rilevato del malware in un'Amazon Machine Image (AMI). Esegui i seguenti passaggi per correggere l'AMI potenzialmente compromessa:

  1. Identifica l'AMI potenzialmente compromessa

    1. Un GuardDuty risultato per AMIs elencherà l'ID AMI interessato, il relativo Amazon Resource Name (ARN) e i dettagli della scansione del malware associata nei dettagli del risultato.

    2. Rivedi l'immagine sorgente AMI:

      aws ec2 describe-images --image-ids ami-021345abcdef6789

  2. Limita l'accesso alle risorse compromesse

    1. Rivedi e modifica le politiche di accesso al backup vault per limitare l'accesso ai punti di ripristino e sospendere qualsiasi processo di ripristino automatico che potrebbe utilizzare questo punto di ripristino.

    2. Rimuovi le autorizzazioni dalle autorizzazioni AMI di origine

      Prima visualizza le autorizzazioni esistenti: 

      aws ec2 describe-image-attribute --image-id ami-abcdef01234567890 --attribute launchPermission

      Quindi rimuovi le autorizzazioni individuali: 

      aws ec2 modify-image-attribute --image-id ami-abcdef01234567890 --launch-permission '{"Remove":[{"UserId":"111122223333"}]}'

      Per ulteriori opzioni CLI, consulta Condivisione di un'AMI con account specifici - Amazon Elastic Compute Cloud

    3. Se l'origine è un'istanza EC2, consulta: Riparazione di un'istanza Amazon EC2 potenzialmente compromessa.

  3. Intraprendi azioni correttive

    • Prima di procedere con l'eliminazione, assicurati di aver identificato tutte le dipendenze e di disporre di backup adeguati, se necessario.