修复可能受损的 EBS 快照 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修复可能受损的 EBS 快照

GuardDuty 生成执行时:EC2/MaliciousFile! 快照查找类型,它表示已在 Amazon EBS 快照中检测到恶意软件。执行以下步骤来修复可能受损的快照:

  1. 识别可能受损的快照

    1. Identify the potentially compromised snapshot. A GuardDuty finding for an EBS snapshot will list the affected snapshot ID, its Amazon Resource Name (ARN), and associated malware scan details in the finding details.
    2. Review recovery point details using the following command: 
      aws backup describe-recovery-point —backup-vault-name 021345abcdef6789 —recovery-point-arn "arn:aws:ec2:us-east-1::snapshot/snap-abcdef01234567890"

  2. 限制访问受感染的快照

    查看和修改备份库访问策略以限制恢复点访问权限并暂停任何可能使用此快照的自动还原作业。

    1. 查看当前的共享权限:

      aws ec2 describe-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission

    2. 删除特定的账户访问权限:

      aws ec2 modify-snapshot-attribute --snapshot-id snap-abcdef01234567890 --attribute createVolumePermission --operation-type remove --user-ids 111122223333

    3. 有关其他 CLI 选项,请参阅 modify-snapshot-attribute CLI 文档

  3. 采取补救措施

    • 在继续删除之前,请确保已确定所有依赖关系,并在需要时进行适当的备份。