Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Corriger une AMI potentiellement compromise EC2
Quand GuardDuty génère une exécution EC2 :/ MaliciousFile ! Type de recherche d'AMI, il indique qu'un logiciel malveillant a été détecté dans une Amazon Machine Image (AMI). Procédez comme suit pour corriger l'AMI potentiellement compromise :
-
Identifiez l'AMI potentiellement compromise
- A GuardDuty finding for AMIs will list the affected AMI ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
-
Review AMI source image:
aws ec2 describe-images --image-idsami-021345abcdef6789
-
Restreindre l'accès aux ressources compromises
-
Passez en revue et modifiez les politiques d'accès au coffre de sauvegarde afin de restreindre l'accès au point de restauration et de suspendre toutes les tâches de restauration automatique susceptibles d'utiliser ce point de restauration.
-
Supprimer les autorisations des autorisations de l'AMI source
Consultez d'abord les autorisations existantes :
aws ec2 describe-image-attribute --image-idami-abcdef01234567890--attribute launchPermissionSupprimez ensuite les autorisations individuelles :
aws ec2 modify-image-attribute --image-idami-abcdef01234567890--launch-permission '{"Remove":[{"UserId":"111122223333"}]}'Pour des options CLI supplémentaires, consultez Partager une AMI avec des comptes spécifiques - Amazon Elastic Compute Cloud
-
Si la source est une EC2 instance, voir : Corriger une EC2 instance Amazon potentiellement compromise.
-
-
Prendre des mesures correctives
-
Avant de procéder à la suppression, assurez-vous d'avoir identifié toutes les dépendances et de disposer de sauvegardes appropriées si nécessaire.
-
