View a markdown version of this page

Como corrigir uma instância do Amazon EC2 potencialmente comprometida - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como corrigir uma instância do Amazon EC2 potencialmente comprometida

Quando GuardDuty gerar tipos de descoberta que indicam recursos potencialmente comprometidos do Amazon EC2, seu recurso será Instância. Os possíveis tipos de descoberta podem serTipos de descoberta do EC2,GuardDuty Tipos de descoberta de monitoramento de tempo de execução, ou Tipos de descoberta da Proteção contra malware para EC2. Caso o comportamento que causou a descoberta seja esperado em seu ambiente, considere usar o Regras de supressão.

Execute as seguintes etapas para corrigir a instância possivelmente comprometida do Amazon EC2:

  1. Identifique a instância possivelmente comprometida do Amazon EC2

    Verifique se há malwares na instância possivelmente comprometida e remova todos aqueles que forem descobertos. Use a Análise de malware sob demanda em GuardDuty para identificar um malware na instância EC2 possivelmente comprometida ou verifique o AWS Marketplace para conferir se há produtos parceiros úteis para identificar e remover malware.

  2. Isole a instância possivelmente comprometida do Amazon EC2

    Se possível, use as etapas a seguir para isolar a instância possivelmente comprometida:

    1. Crie um grupo de segurança de isolamento específico. Um grupo de segurança de isolamento só deve ter acesso para entrada e saída de endereços IP específicos. Certifique-se de que não haja nenhuma regra de entrada ou saída que permita o tráfego para 0.0.0.0/0 (0-65535).

    2. Associe o grupo de segurança Isolamento a essa instância.

    3. Remova todas as associações de grupos de segurança, exceto o recém-criado grupo de segurança Isolamento, da instância possivelmente comprometida.

      nota

      As conexões rastreadas existentes não serão encerradas como resultado da alteração dos grupos de segurança - somente o tráfego futuro será efetivamente bloqueado pelo novo grupo de segurança.

      Para obter informações sobre como bloquear mais tráfego de conexões suspeitas existentes, consulte Aplicar NACLs com base na rede IoCs para evitar mais tráfego no Manual de Resposta a Incidentes.

  3. Identifique a origem da atividade suspeita

    Se for detectado um malware, com base no tipo de descoberta em sua conta, identifique e interrompa a atividade potencialmente não autorizada em sua instância do EC2. Isso pode exigir medidas como fechar todas as portas abertas, alterar as políticas de acesso e atualizar aplicações para corrigir as vulnerabilidades.

    Caso não consiga identificar e interromper atividades não autorizadas em sua instância do EC2 possivelmente comprometida, recomendamos encerrar a instância do EC2 comprometida e substituí-la por uma nova instância, caso necessário. Veja a seguir os recursos adicionais para proteger suas instâncias do EC2:

  4. Navegar AWS re:Post

    Navegue AWS re:Postpara obter mais assistência.

  5. Envie uma solicitação de suporte técnico

    Caso seja assinante do pacote Premium Support, envie uma solicitação de suporte técnico.