修复可能受损的 EC2 恢复点 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能受损的 EC2 恢复点

GuardDuty 生成执行时:EC2/MaliciousFile! RecoveryPoint 查找类型,表示已在 EC2 Recovery Point Backup 资源中检测到恶意软件。执行以下步骤来修复可能受损的恢复点:

  1. 识别可能受损的 EC2 恢复点

    1. EC2 Recovery Point 的调查结果将在 GuardDuty 发现详情中列出其 Amazon 资源名称 (ARN) 以及相关的恶意软件扫描详情:

      aws backup describe-recovery-point --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
    2. Review recovery details to look for source image: 
      aws backup get-recovery-point-restore-metadata --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

  2. 限制对受感染资源的访问

    • 查看和修改备份库访问策略以限制恢复点访问权限并暂停任何可能使用此恢复点的自动还原作业。如果您的环境使用资源标记,请适当标记恢复点以表明其正在调查中,并在必要时考虑暂停定时备份。

      示例:

      aws backup tag-resource -—resource-arn arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 -—tags Investigation=Malware,DoNotDelete=True

  3. 采取补救措施

    • 在继续删除之前,请确保已确定所有依赖关系,并在需要时进行适当的备份。