使用 Log4j SSM 文件來探索 Accelerate 中的事件 - AMS Accelerate 使用者指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Log4j SSM 文件來探索 Accelerate 中的事件

Log4j AWS Systems Manager 文件 (SSM 文件) 可協助您在擷取的工作負載中搜尋 Apache Log4j2 程式庫。自動化文件提供 Log4j2 程式庫作用中之 Java 應用程式 (Java) 的程序 ID 報告。

此報告包含 Java Archives (JAR 檔案) 的相關資訊,可在包含 JndiLookup 類別的指定環境中找到。最佳實務是將探索到的程式庫升級至最新的可用版本。此升級可減少透過 CVE-2021-44228 識別的遠端程式碼執行 (RCE)。從 Apache 下載最新版的 Log4j 程式庫。如需詳細資訊,請參閱下載 Apache Log4j 2

文件會與加入 Accelerate 的所有區域共用。若要存取文件,請完成下列步驟:

  1. 在 https://https://console.aws.amazon.com/systems-manager/ 開啟 AWS Systems Manager 主控台。

  2. 在導覽窗格中,選擇 Documents (文件)

  3. 選擇與我共用

  4. 在搜尋方塊中,輸入 AWSManagedServices-GatherLog4jInformation

  5. 使用速率控制大規模執行文件。

AWSManagedServices-GatherLog4jInformation 文件會收集下列參數:

  • InstanceId:(必要) EC2 執行個體的 ID。

  • S3Bucket體:(選用) 上傳結果的 S3 預先簽章 URL 或 S3 URI (s3://BUCKET_NAME)。

  • AutomationAssumeRole:(必要) 允許自動轉換代表您執行動作之角色的 ARN。

最佳實務是使用速率控制執行本文件。您可以將速率控制參數設定為 InstanceId,並為其指派執行個體清單,或套用標籤索引鍵組合以鎖定具有特定標籤的所有 EC2 執行個體。AWS Managed Services 也建議您提供 Amazon Simple Storage Service (Amazon S3) 儲存貯體來上傳結果,以便從存放在 S3 中的資料建置報告。如需如何在 S3 中彙總結果的範例,請參閱 EC2 執行個體堆疊 | 收集 Log4j 資訊

如果您無法升級套件,請遵循使用 AWS 安全服務保護、偵測和回應 Log4j 漏洞中 AWS 安全性概述的指導方針。若要透過移除 JndiLookup 類別功能來緩解漏洞,請使用 Java 應用程式 (內嵌) 執行 Log4j 熱修補程式。如需熱修補程式的詳細資訊,請參閱 Apache Log4j 的熱修補程式

有關自動化輸出或如何繼續其他緩解措施的問題,請提交服務請求。