Corregir un punto de recuperación potencialmente comprometido EC2 - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Corregir un punto de recuperación potencialmente comprometido EC2

Cuando se GuardDuty genera una ejecución:EC2/! MaliciousFile RecoveryPoint al encontrar el tipo, indica que se ha detectado malware en un recurso de EC2 Recovery Point Backup. Realice los siguientes pasos para corregir el punto de recuperación potencialmente comprometido:

  1. Identifique el punto de EC2 recuperación potencialmente comprometido

    1. Si GuardDuty busca EC2 Recovery Point, aparecerá su nombre de recurso de Amazon (ARN) y los detalles del análisis de malware asociado en los detalles de búsqueda:

      aws backup describe-recovery-point --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
    2. Review recovery details to look for source image: 
      aws backup get-recovery-point-restore-metadata --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

  2. Restrinja el acceso a los recursos comprometidos

    • Revise y modifique las políticas de acceso al almacén de respaldo para restringir el acceso a los puntos de recuperación y suspender cualquier trabajo de restauración automática que pueda utilizar este punto de recuperación. Si su entorno utiliza el etiquetado de recursos, etiquete el punto de recuperación de forma adecuada para indicar que se está investigando y, si es necesario, considere la posibilidad de pausar las copias de seguridad programadas.

      Ejemplo:

      aws backup tag-resource -—resource-arn arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 -—tags Investigation=Malware,DoNotDelete=True

  3. Tome medidas correctivas

    • Antes de proceder a la eliminación, asegúrese de haber identificado todas las dependencias y de disponer de las copias de seguridad adecuadas, en caso necesario.