Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Corriger un instantané EBS potentiellement compromis
Quand GuardDuty génère une exécution EC2 :/ MaliciousFile ! Type de détection d'instantanés, il indique qu'un logiciel malveillant a été détecté dans un instantané Amazon EBS. Procédez comme suit pour corriger le snapshot potentiellement compromis :
-
Identifiez l'instantané potentiellement compromis
- Identify the potentially compromised snapshot. A GuardDuty finding for an EBS snapshot will list the affected snapshot ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
-
Review recovery point details using the following command:
aws backup describe-recovery-point —backup-vault-name021345abcdef6789—recovery-point-arn"arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"
-
Restreindre l'accès à l'instantané compromis
Passez en revue et modifiez les politiques d'accès au coffre de sauvegarde afin de restreindre l'accès aux points de restauration et de suspendre toutes les tâches de restauration automatique susceptibles d'utiliser cet instantané.
-
Vérifiez les autorisations de partage actuelles :
aws ec2 describe-snapshot-attribute --snapshot-idsnap-abcdef01234567890--attribute createVolumePermission -
Supprimer l'accès à un compte spécifique :
aws ec2 modify-snapshot-attribute --snapshot-idsnap-abcdef01234567890--attribute createVolumePermission --operation-type remove --user-ids111122223333 -
Pour des options de CLI supplémentaires, consultez la documentation de la modify-snapshot-attribute CLI.
-
-
Prendre des mesures correctives
-
Avant de procéder à la suppression, assurez-vous d'avoir identifié toutes les dépendances et de disposer de sauvegardes appropriées si nécessaire.
-
