修復可能遭到入侵的 EC2 復原點 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

修復可能遭到入侵的 EC2 復原點

當 GuardDuty 產生 Execution:EC2/MaliciousFile!RecoveryPoint 調查結果類型時,表示已在 EC2 Recovery Point Backup 資源中偵測到惡意軟體。執行下列步驟來修復可能遭到入侵的復原點:

  1. 識別可能遭到入侵的 EC2 復原點

    1. EC2 復原點的 GuardDuty 調查結果會在調查結果詳細資訊中列出其 Amazon Resource Name (ARN) 和相關聯的惡意軟體掃描詳細資訊:

      aws backup describe-recovery-point --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
    2. Review recovery details to look for source image: 
      aws backup get-recovery-point-restore-metadata --backup-vault-name 021345abcdef6789 --recovery-point-arn "arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

  2. 限制存取遭入侵的資源

    • 檢閱和修改備份保存庫存取政策,以限制復原點存取,並暫停可能使用此復原點的任何自動還原任務。如果您的環境使用資源標記,請適當地標記復原點,以指出正在調查中,並視需要考慮暫停排程備份。

      範例:

      aws 備份標籤-resource -—resource-arn arn:aws:backup:us-east-1:111122223333:recovery-point:a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 -—tags Investigation=Malware,DoNotDelete=True

  3. 採取修復動作

    • 在繼續刪除之前,請確定您已識別所有相依性,並視需要擁有適當的備份。