Memperbaiki Snapshot EBS yang berpotensi dikompromikan - Amazon GuardDuty

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbaiki Snapshot EBS yang berpotensi dikompromikan

Saat GuardDuty menghasilkan Eksekusi:EC2/MaliciousFile! Jenis pencarian snapshot, ini menunjukkan bahwa malware telah terdeteksi dalam snapshot Amazon EBS. Lakukan langkah-langkah berikut untuk memulihkan snapshot yang berpotensi dikompromikan:

  1. Identifikasi snapshot yang berpotensi dikompromikan

    1. Identify the potentially compromised snapshot. A GuardDuty finding for an EBS snapshot will list the affected snapshot ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
    2. Review recovery point details using the following command: 
      aws backup describe-recovery-point —backup-vault-name 021345abcdef6789 —recovery-point-arn "arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"

  2. Batasi akses snapshot yang disusupi

    Tinjau dan ubah kebijakan akses vault cadangan untuk membatasi akses titik pemulihan dan menangguhkan pekerjaan pemulihan otomatis apa pun yang mungkin menggunakan snapshot ini.

    1. Tinjau izin berbagi saat ini: 

      aws ec2 describe-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission

    2. Hapus akses akun tertentu: 

      aws ec2 modify-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission --operation-type remove --user-ids 111122223333

    3. Untuk opsi CLI tambahan, lihat dokumentasi CLImodify-snapshot-attribute .

  3. Ambil tindakan remediasi

    • Sebelum melanjutkan dengan penghapusan, pastikan Anda telah mengidentifikasi semua dependensi dan memiliki cadangan yang tepat jika diperlukan.