Corrigindo um snapshot do EBS potencialmente comprometido - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Corrigindo um snapshot do EBS potencialmente comprometido

Quando GuardDuty gera uma execução:EC2/MaliciousFile! Tipo de descoberta de snapshot, indica que um malware foi detectado em um snapshot do Amazon EBS. Execute as etapas a seguir para corrigir o snapshot potencialmente comprometido:

  1. Identifique o snapshot potencialmente comprometido

    1. Identify the potentially compromised snapshot. A GuardDuty finding for an EBS snapshot will list the affected snapshot ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
    2. Review recovery point details using the following command: 
      aws backup describe-recovery-point —backup-vault-name 021345abcdef6789 —recovery-point-arn "arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"

  2. Restrinja o acesso ao snapshot comprometido

    Revise e modifique as políticas de acesso ao cofre de backup para restringir o acesso ao ponto de recuperação e suspender quaisquer trabalhos de restauração automatizados que possam usar esse instantâneo.

    1. Revise as permissões de compartilhamento atuais: 

      aws ec2 describe-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission

    2. Remova o acesso específico à conta: 

      aws ec2 modify-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission --operation-type remove --user-ids 111122223333

    3. Para obter mais opções de CLI, consulte a documentação da CLImodify-snapshot-attribute .

  3. Tome medidas de remediação

    • Antes de prosseguir com a exclusão, certifique-se de ter identificado todas as dependências e de ter backups adequados, se necessário.