侵害された可能性のあるスタンドアロンコンテナの修復 - Amazon GuardDuty

侵害された可能性のあるスタンドアロンコンテナの修復

コンテナの侵害を示唆する検出結果タイプが生成された場合、[リソース] のタイプが [コンテナ] になります。検出結果の原因となった動作が環境の想定内である場合は、抑制ルールの使用を検討してください。

AWS 環境で侵害された可能性のある認証情報を修復するには、次の手順を実行します。

  1. 侵害された可能性があるコンテナを分離する

    次の手順に従うと、悪意のある可能性があるコンテナワークロードを識別できます。

    • https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

    • [検出結果] ページで、対応する検出結果を選択して検出結果パネルを表示します。

    • 検出結果パネルの [Resource affected] (影響を受けるリソース) セクションで、コンテナの [ID][Name] (名前) を表示できます。

    このコンテナを他のコンテナワークロードから分離します。

  2. コンテナを一時停止する

    コンテナ内のすべてのプロセスを一時停止します。

    コンテナをフリーズする方法については、「Pause a container」を参照してください。

    コンテナを停止する

    上記のステップが失敗し、コンテナが一時停止しない場合は、コンテナの実行を停止します。スナップショットの保持 機能を有効にした場合、GuardDuty はマルウェアを含む EBS ボリュームのスナップショットを保持します。

    コンテナを停止する方法については、「Stop a container」を参照してください。

  3. マルウェアの有無の評価

    マルウェアがコンテナのイメージに存在したかどうかを評価します。

アクセスが許可されている場合は、検出結果を無視できます。https://console.aws.amazon.com/guardduty/ コンソールでは、個々の結果を表示しないように完全に抑制するルールを設定できます。GuardDuty コンソールでは、個々の結果が表示されないように完全に抑制するルールを設定できます。詳細については、「GuardDuty の抑制ルール」を参照してください。