当您为账户启用运行时监控时,Amazon GuardDuty 可能会生成 GuardDuty 运行时监控调查发现类型,表明您的 AWS 环境中可能存在安全问题。潜在的安全问题表明您的 AWS 环境中存在 Amazon EC2 实例、容器工作负载或 Amazon EKS 集群失陷,或一组凭证遭泄露。安全代理会监控来自多种资源类型的运行时事件。要识别可能受攻击的资源,请在 GuardDuty 控制台中查看生成的调查发现详细信息中的资源类型。以下部分介绍了针对每种资源类型的建议修复步骤。
- Instance
-
如果调查发现详细信息中的资源类型为 Instance,则表示 EC2 实例或 EKS 节点可能受到攻击。
- EKSCluster
-
如果调查发现详细信息中的资源类型为 EKSCluster,则表示 EKS 集群中的容器组或容器可能受到攻击。
- ECSCluster
-
如果调查发现详细信息中的资源类型为 ECSCluster,则表明 ECS 任务或 ECS 任务中的容器组可能失陷。
-
确定受影响的 ECS 集群
GuardDuty 运行时监控调查发现会在调查发现的详细信息面板或调查发现 JSON 的 resource.ecsClusterDetails 部分中提供 ECS 集群详细信息。
-
确定受影响的 ECS 任务
GuardDuty 运行时监控调查发现会在调查发现的详细信息面板或调查发现 JSON 的 resource.ecsClusterDetails.taskDetails 部分中提供 ECS 任务详细信息。
-
隔离受影响的任务
通过拒绝该任务的所有入口和出口流量来隔离受影响的任务。拒绝所有流量规则可以切断与任务的所有连接,从而帮助阻止已经开始的攻击。
-
修复失陷的任务
-
识别攻击该任务的漏洞。
-
实施针对该漏洞的修复程序并启动新的替换任务。
-
停止易受影响的任务。
- Container
-
如果调查发现详细信息中的资源类型为 Container,则表示独立容器可能受到攻击。
-
要进行修复,请参阅 修复可能失陷的独立容器。
-
如果调查发现是使用同一容器映像跨多个容器生成的,请参阅 修复可能失陷的容器映像。
-
如果容器访问了底层 EC2 主机,则其关联的实例凭证可能已泄露。有关更多信息,请参阅 修复可能被泄露的 AWS 凭证。
-
如果潜在的恶意行为者访问了底层 EKS 节点或 EC2 实例,请参阅 EKSCluster 和 Instance 选项卡下的修复建议。
GuardDuty 调查发现指示任务失陷时,可能表明用于启动任务的映像有恶意或已经失陷。GuardDuty 调查发现可识别 resource.ecsClusterDetails.taskDetails.containers.image 字段中的容器映像。您可以通过扫描恶意软件来确定映像是否有恶意。
修复失陷的容器映像
-
立即停止使用该映像,并将其从映像存储库中删除。
-
确定正在使用此映像的所有任务。
-
停止使用失陷映像的所有任务。更新其任务定义,以确保停止使用失陷的映像。
