Corregir una instantánea de EBS potencialmente comprometida - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Corregir una instantánea de EBS potencialmente comprometida

Cuando se GuardDuty genera una ejecución:/! EC2 MaliciousFile El tipo de búsqueda de instantáneas indica que se ha detectado malware en una instantánea de Amazon EBS. Realice los siguientes pasos para corregir la instantánea potencialmente comprometida:

  1. Identifique la instantánea potencialmente comprometida

    1. Identify the potentially compromised snapshot. A GuardDuty finding for an EBS snapshot will list the affected snapshot ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
    2. Review recovery point details using the following command: 
      aws backup describe-recovery-point —backup-vault-name 021345abcdef6789 —recovery-point-arn "arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"

  2. Restrinja el acceso a la instantánea comprometida

    Revise y modifique las políticas de acceso a la bóveda de respaldo para restringir el acceso a los puntos de recuperación y suspender cualquier trabajo de restauración automática que pueda utilizar esta instantánea.

    1. Revise los permisos de uso compartido actuales: 

      aws ec2 describe-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission

    2. Eliminar el acceso a una cuenta específica: 

      aws ec2 modify-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission --operation-type remove --user-ids 111122223333

    3. Para ver opciones de CLI adicionales, consulte la documentación de modify-snapshot-attribute CLI.

  3. Tome medidas correctivas

    • Antes de proceder a la eliminación, asegúrese de haber identificado todas las dependencias y de disponer de las copias de seguridad adecuadas, en caso necesario.