侵害された可能性のある EBS スナップショットの修復 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

侵害された可能性のある EBS スナップショットの修復

GuardDuty が Execution:EC2/MaliciousFile!Snapshot 検出結果タイプを生成すると、Amazon EBS スナップショットでマルウェアが検出されたことを示します。侵害された可能性のあるスナップショットを修正するには、次の手順を実行します。

  1. 侵害された可能性のあるスナップショットを特定する

    1. Identify the potentially compromised snapshot. A GuardDuty finding for an EBS snapshot will list the affected snapshot ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
    2. Review recovery point details using the following command: 
      aws backup describe-recovery-point —backup-vault-name 021345abcdef6789 —recovery-point-arn "arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"

  2. 侵害されたスナップショットへのアクセスを制限する

    バックアップボールトアクセスポリシーを確認して変更し、復旧ポイントへのアクセスを制限し、このスナップショットを使用する可能性のある自動復元ジョブを停止します。

    1. 現在の共有アクセス許可を確認します。

      aws ec2 describe-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission

    2. 特定のアカウントアクセスを削除します。

      aws ec2 modify-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission --operation-type remove --user-ids 111122223333

    3. その他の CLI オプションについては、modify-snapshot-attribute CLI documentation」を参照してください。

  3. 修復アクションを実行する

    • 削除に進む前に、すべての依存関係を特定し、必要に応じて適切なバックアップがあることを確認してください。