Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Correzione di un'istanza Amazon EC2 potenzialmente compromessa **Quando vengono GuardDuty generati [tipi di ricerca che indicano risorse Amazon EC2 potenzialmente compromesse](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html#findings-table), **la** risorsa sarà l'istanza.** I potenziali tipi di ricerca potrebbero essere [Tipi di esiti EC2](guardduty_finding-types-ec2.md)[GuardDuty Tipi di risultati del monitoraggio del runtime](findings-runtime-monitoring.md), o. [Protezione da malware per tipi di ricerca EC2](findings-malware-protection.md) Se il comportamento che ha causato il risultato era previsto nel tuo ambiente, valuta la possibilità di utilizzarlo[Regole di eliminazione](findings_suppression-rule.md). Esegui i seguenti passaggi per correggere l'istanza Amazon EC2 potenzialmente compromessa: 1. **Identifica l'istanza Amazon EC2 potenzialmente compromessa** Ricerca malware nell'istanza potenzialmente compromessa e rimuovi quello rilevato. Puoi utilizzare la [On-demand scansione del malware GuardDuty](on-demand-malware-scan.md) per identificare un eventuale malware nell'istanza EC2 potenzialmente compromessa o verificare [Marketplace AWS](https://aws.amazon.com/marketplace) per capire se esistono prodotti di partner utili per identificare e rimuovere il malware. 1. **Isolare l'istanza Amazon EC2 potenzialmente compromessa** Se possibile, utilizza i seguenti passaggi per isolare l'istanza potenzialmente compromessa: 1. Crea un gruppo di sicurezza **Isolation** dedicato. Un gruppo di sicurezza di isolamento deve avere accesso in entrata e in uscita solo da indirizzi IP specifici. Assicurati che non esista alcuna regola in entrata o in uscita che consenta il traffico di. `0.0.0.0/0 (0-65535)` 1. Associate il gruppo di sicurezza **Isolation** a questa istanza. 1. Rimuovi tutte le associazioni dei gruppi di sicurezza diverse dal gruppo di sicurezza **Isolation** appena creato dall'istanza potenzialmente compromessa. **Nota** Le connessioni tracciate esistenti non verranno interrotte a seguito della modifica dei gruppi di sicurezza: solo il traffico futuro verrà effettivamente bloccato dal nuovo gruppo di sicurezza. *Per informazioni su come bloccare ulteriore traffico proveniente da connessioni sospette esistenti, consulta [Applicare i NACL basati sulla rete IoCs per prevenire ulteriore traffico nell'Incident](https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Ransom_Response_EC2_Linux.md#enforce-nacls-based-on-network-iocs-to-prevent-further-traffic) Response Playbook.* 1. **Identifica l'origine dell'attività sospetta** Se viene rilevato un malware, in base al tipo di esito nel tuo account, identifica e interrompi l'attività potenzialmente non autorizzata sull'istanza EC2. Ciò potrebbe richiedere operazioni come la chiusura di tutte le porte aperte, la modifica delle policy di accesso e l'aggiornamento delle applicazioni per correggere le vulnerabilità. Se non sei in grado di identificare e interrompere attività non autorizzate sulla tua istanza EC2 potenzialmente compromessa, ti consigliamo di terminare l'istanza EC2 compromessa e sostituirla con una nuova istanza, se necessario. Le risorse supplementari seguenti ti consentono di proteggere ulteriormente le istanze EC2: + Sezioni sulla sicurezza e sulle reti in [Best practice per Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html) + [Gruppi di sicurezza Amazon EC2 per istanze Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html). + [Sicurezza in Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) + [Suggerimenti per la protezione dell'istanza EC2 (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/) + [AWS migliori pratiche di sicurezza](https://aws.amazon.com//architecture/security-identity-compliance/) + [AWS Guida tecnica sulla risposta agli incidenti di sicurezza](https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html). 1. **Sfoglia AWS re:Post** [AWS re:Post](https://repost.aws/)Cerca ulteriore assistenza. 1. **Invia una richiesta di supporto tecnico** Se sei abbonato a un pacchetto Premium Support, puoi inviare una richiesta di [supporto tecnico](https://console.aws.amazon.com/support/home#/case/create?issueType=technical).