Corriger un point de EC2 restauration potentiellement compromis - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Corriger un point de EC2 restauration potentiellement compromis

Quand GuardDuty génère une exécution EC2 :/ MaliciousFile ! RecoveryPoint type de recherche, cela indique qu'un logiciel malveillant a été détecté dans une ressource EC2 Recovery Point Backup. Procédez comme suit pour corriger le point de restauration potentiellement compromis :

  1. Identifiez le point de EC2 restauration potentiellement compromis

    1. Une GuardDuty recherche pour EC2 Recovery Point indiquera son nom de ressource Amazon (ARN) et les détails de l'analyse des programmes malveillants associés dans les détails de la recherche :

      aws backup describe-recovery-point --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
    2. Review recovery details to look for source image: 
      aws backup get-recovery-point-restore-metadata --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

  2. Restreindre l'accès aux ressources compromises

    • Passez en revue et modifiez les politiques d'accès au coffre de sauvegarde afin de restreindre l'accès au point de restauration et de suspendre toutes les tâches de restauration automatique susceptibles d'utiliser ce point de restauration. Si votre environnement utilise le balisage des ressources, balisez le point de restauration de manière appropriée pour indiquer qu'il est en cours d'investigation et envisagez de suspendre les sauvegardes planifiées si nécessaire.

      Exemple :

      aws backup tag-resource -—resource-arn arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 -—tags Investigation=Malware,DoNotDelete=True

  3. Prendre des mesures correctives

    • Avant de procéder à la suppression, assurez-vous d'avoir identifié toutes les dépendances et de disposer de sauvegardes appropriées si nécessaire.