Correzione di uno snapshot EBS potenzialmente compromesso - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Correzione di uno snapshot EBS potenzialmente compromesso

Quando genera GuardDuty un'esecuzione:EC2/! MaliciousFile Tipo di ricerca di snapshot, indica che è stato rilevato malware in uno snapshot di Amazon EBS. Esegui i seguenti passaggi per correggere lo snapshot potenzialmente compromesso:

  1. Identifica l'istantanea potenzialmente compromessa

    1. Identifica l'istantanea potenzialmente compromessa. Un GuardDuty risultato per uno snapshot EBS elencherà l'ID dello snapshot interessato, il relativo Amazon Resource Name (ARN) e i dettagli della scansione del malware associata nei dettagli del risultato.

    2. Controlla i dettagli del punto di ripristino utilizzando il seguente comando:

      aws backup describe-recovery-point —backup-vault-name 021345abcdef6789 —recovery-point-arn "arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"

  2. Limita l'accesso all'istantanea compromessa

    Rivedi e modifica le politiche di accesso al backup vault per limitare l'accesso ai punti di ripristino e sospendere qualsiasi processo di ripristino automatico che potrebbe utilizzare questa istantanea.

    1. Rivedi le attuali autorizzazioni di condivisione: 

      aws ec2 describe-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission

    2. Rimuovi l'accesso specifico all'account: 

      aws ec2 modify-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission --operation-type remove --user-ids 111122223333

    3. Per ulteriori opzioni CLI, consulta la documentazione CLImodify-snapshot-attribute .

  3. Intraprendi azioni correttive

    • Prima di procedere con l'eliminazione, assicurati di aver identificato tutte le dipendenze e di disporre di backup adeguati, se necessario.