Como corrigir um cluster do ECS possivelmente comprometido - Amazon GuardDuty

Como corrigir um cluster do ECS possivelmente comprometido

Quando o GuardDuty gera tipos de descoberta que indicam recursos do Amazon ECS possivelmente comprometidos, o seu Recurso será o ECSCluster. Os possíveis tipos de descoberta podem ser Tipos de descoberta do Monitoramento de runtime do GuardDuty ouTipos de descoberta da Proteção contra malware para EC2. Caso o comportamento que causou a descoberta seja esperado em seu ambiente, considere usar Regras de supressão.

Siga as etapas recomendadas a seguir para corrigir um cluster do Amazon ECS possivelmente comprometido em seu ambiente AWS:

  1. Identifique o cluster ECS possivelmente comprometido.

    A descoberta da Proteção contra malware para o EC2 do GuardDuty para o ECS fornece os detalhes do cluster do ECS no painel de detalhes da descoberta.

  2. Avalie a origem do malware

    Verifique se o malware detectado estava na imagem do contêiner. Se a imagem contém o malware, identifique todas as outras tarefas em execução com o uso dessa imagem. Para obter informações sobre a execução de tarefas, consulte ListTasks.

  3. Isole as tarefas possivelmente afetadas

    Isole as tarefas afetadas, impedindo todo o tráfego de entrada e saída para a tarefa. Uma regra para impedir todo o tráfego pode ajudar a interromper um ataque que já esteja em andamento, cortando todas as conexões com a tarefa.

A descoberta pode ser ignorada se o acesso foi autorizado. O console https://console.aws.amazon.com/guardduty/ permite configurar regras para suprimir totalmente as descobertas individuais e impedir sua exibição. Para obter mais informações, consulte Regras de supressão no GuardDuty.