Correzione di un'istanza Amazon EC2 potenzialmente compromessa

Quando vengono GuardDuty generati tipi di ricerca che indicano risorse Amazon EC2 potenzialmente compromesse, la risorsa sarà l'istanza. I potenziali tipi di ricerca potrebbero essere Tipi di esiti EC2 GuardDuty Tipi di risultati del monitoraggio del runtime, o. Protezione da malware per tipi di ricerca EC2 Se il comportamento che ha causato il risultato era previsto nel tuo ambiente, valuta la possibilità di utilizzarloRegole di eliminazione.

Esegui i seguenti passaggi per correggere l'istanza Amazon EC2 potenzialmente compromessa:

Identifica l'istanza Amazon EC2 potenzialmente compromessa

Ricerca malware nell'istanza potenzialmente compromessa e rimuovi quello rilevato. Puoi utilizzare la Scansione antimalware su richiesta GuardDuty per identificare un eventuale malware nell'istanza EC2 potenzialmente compromessa o verificare Marketplace AWS per capire se esistono prodotti di partner utili per identificare e rimuovere il malware.
Isolare l'istanza Amazon EC2 potenzialmente compromessa

Se possibile, utilizza i seguenti passaggi per isolare l'istanza potenzialmente compromessa:
1. Crea un gruppo di sicurezza Isolation dedicato. Un gruppo di sicurezza di isolamento deve avere accesso in entrata e in uscita solo da indirizzi IP specifici. Assicurati che non esista alcuna regola in entrata o in uscita che consenta il traffico di. 0.0.0.0/0 (0-65535)
2. Associate il gruppo di sicurezza Isolation a questa istanza.
3. Rimuovi tutte le associazioni dei gruppi di sicurezza diverse dal gruppo di sicurezza Isolation appena creato dall'istanza potenzialmente compromessa.
  
  Nota
  Le connessioni tracciate esistenti non verranno interrotte a seguito della modifica dei gruppi di sicurezza: solo il traffico futuro verrà effettivamente bloccato dal nuovo gruppo di sicurezza.
  Per informazioni su come bloccare ulteriore traffico proveniente da connessioni sospette esistenti, consulta Implementare in NACLs base IoCs alla rete per prevenire ulteriore traffico nell'Incident Response Playbook.
Identifica l'origine dell'attività sospetta

Se viene rilevato un malware, in base al tipo di esito nel tuo account, identifica e interrompi l'attività potenzialmente non autorizzata sull'istanza EC2. Ciò potrebbe richiedere operazioni come la chiusura di tutte le porte aperte, la modifica delle policy di accesso e l'aggiornamento delle applicazioni per correggere le vulnerabilità.

Se non sei in grado di identificare e interrompere attività non autorizzate sulla tua istanza EC2 potenzialmente compromessa, ti consigliamo di terminare l'istanza EC2 compromessa e sostituirla con una nuova istanza, se necessario. Le risorse supplementari seguenti ti consentono di proteggere ulteriormente le istanze EC2:
- Sezioni sulla sicurezza e sulle reti in Best practice per Amazon EC2
- Gruppi di sicurezza Amazon EC2 per istanze Linux.
- Sicurezza in Amazon EC2
- Suggerimenti per la protezione dell'istanza EC2 (Linux)
- AWS migliori pratiche di sicurezza
- AWS Guida tecnica sulla risposta agli incidenti di sicurezza.
Sfoglia AWS re:Post

Naviga AWS re:Postper ulteriore assistenza.
Invia una richiesta di supporto tecnico

Se sei abbonato a un pacchetto Premium Support, puoi inviare una richiesta di supporto tecnico.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Correzioni degli esiti

Riparazione di un bucket S3 potenzialmente compromesso

Correzione di un'istanza Amazon EC2 potenzialmente compromessa

Nota