Correzione di uno snapshot EBS potenzialmente compromesso - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Correzione di uno snapshot EBS potenzialmente compromesso

Quando GuardDuty genera un'esecuzione:/! EC2 MaliciousFile Tipo di ricerca di snapshot, indica che è stato rilevato malware in uno snapshot di Amazon EBS. Esegui i seguenti passaggi per correggere lo snapshot potenzialmente compromesso:

  1. Identifica l'istantanea potenzialmente compromessa

    1. Identify the potentially compromised snapshot. A GuardDuty finding for an EBS snapshot will list the affected snapshot ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
    2. Review recovery point details using the following command: 
      aws backup describe-recovery-point —backup-vault-name 021345abcdef6789 —recovery-point-arn "arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"

  2. Limita l'accesso all'istantanea compromessa

    Rivedi e modifica le politiche di accesso al backup vault per limitare l'accesso ai punti di ripristino e sospendere qualsiasi processo di ripristino automatico che potrebbe utilizzare questa istantanea.

    1. Rivedi le attuali autorizzazioni di condivisione: 

      aws ec2 describe-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission

    2. Rimuovi l'accesso specifico all'account: 

      aws ec2 modify-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission --operation-type remove --user-ids 111122223333

    3. Per ulteriori opzioni CLI, consulta la documentazione CLImodify-snapshot-attribute .

  3. Intraprendi azioni correttive

    • Prima di procedere con l'eliminazione, assicurati di aver identificato tutte le dipendenze e di disporre di backup adeguati, se necessario.