Como corrigir um contêiner autônomo possivelmente comprometido
Quando o GuardDuty gera tipos de descoberta que indicam um contêiner possivelmente comprometido, seu Tipo de recurso será Contêiner. Caso o comportamento que causou a descoberta seja esperado em seu ambiente, considere usar Regras de supressão.
Para corrigir credenciais possivelmente comprometidas em seu AWS ambiente, execute as seguintes etapas:
-
Isole o contêiner possivelmente comprometido
As etapas a seguir vão ajudar a identificar o workload do contêiner possivelmente malicioso:
Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty
. -
Na página Descobertas, escolha a respectiva descoberta para visualizar o painel de descobertas.
-
No painel de descobertas, na seção Recursos afetados, é possível ver o ID e o Nome do contêiner.
Isole esse contêiner de outras workloads do contêiner.
-
Pause o contêiner
Suspenda todos os processos no contêiner.
Para obter informações sobre como congelar seu contêiner, consulte Pausar um contêiner
. Interrompa o contêiner.
Se a etapa acima não funcionar e o contêiner não pausar, interrompa a execução do contêiner. Caso tenha habilitado o atributo Retenção de snapshots, o GuardDuty reterá os snapshots dos volumes do EBS que contêm malware.
Para obter informações sobre como interromper o contêiner, consulte Interromper um contêiner
. -
Avaliar a presença de malware
Verifique se o malware estava na imagem do contêiner.
A descoberta pode ser ignorada se o acesso foi autorizado. O console https://console.aws.amazon.com/guardduty/
