Behebung der Ergebnisse von Runtime Monitoring - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung der Ergebnisse von Runtime Monitoring

Wenn Sie Runtime Monitoring für Ihr Konto aktivieren, generiert Amazon GuardDuty möglicherweise InformationenGuardDuty Laufzeitüberwachung: Typen finden, die auf potenzielle Sicherheitsprobleme in Ihrer AWS Umgebung hinweisen. Die potenziellen Sicherheitsprobleme deuten entweder auf eine kompromittierte EC2 Amazon-Instance, einen Container-Workload, einen EKS Amazon-Cluster oder auf eine Reihe kompromittierter Anmeldeinformationen in Ihrer AWS Umgebung hin. Der Security Agent überwacht Runtime-Ereignisse von mehreren Ressourcentypen aus. Um die potenziell gefährdete Ressource zu identifizieren, sehen Sie sich den Ressourcentyp in den generierten Suchdetails in der GuardDuty Konsole an. Im folgenden Abschnitt werden die empfohlenen Behebungsschritte für alle Szenarien beschrieben.

Instance

Wenn der Ressourcentyp in den Ergebnisdetails Instanz lautet, bedeutet dies, dass entweder eine EC2 Instanz oder ein EKS Knoten potenziell gefährdet ist.

EKSCluster

Wenn der Ressourcentyp in den Ergebnisdetails lautet EKSCluster, deutet dies darauf hin, dass entweder ein Pod oder ein Container innerhalb eines EKS Clusters potenziell gefährdet ist.

ECSCluster

Wenn der Ressourcentyp in den Ergebnisdetails lautet ECSCluster, bedeutet dies, dass entweder eine ECS Aufgabe oder ein Container innerhalb einer ECS Aufgabe potenziell gefährdet ist.

  1. Identifizieren Sie den betroffenen Cluster ECS

    Das Ergebnis von GuardDuty Runtime Monitoring enthält die ECS Clusterdetails im Detailbereich des Ergebnisses oder im resource.ecsClusterDetails Abschnitt des ErgebnissesJSON.

  2. Identifizieren Sie die betroffene ECS Aufgabe

    Das Ergebnis von GuardDuty Runtime Monitoring enthält die ECS Aufgabendetails im Detailbereich des Ergebnisses oder im resource.ecsClusterDetails.taskDetails Abschnitt des ErgebnissesJSON.

  3. Isolieren Sie die betroffene Aufgabe

    Isolieren Sie die betroffene Aufgabe, indem Sie den gesamten ein- und ausgehenden Datenverkehr für die Aufgabe verweigern. Eine Regel zum Verweigern des gesamten Datenverkehrs kann dazu beitragen, einen Angriff zu stoppen, der bereits im Gange ist, indem alle Verbindungen zu der Aufgabe unterbrochen werden.

  4. Korrigieren Sie die gefährdete Aufgabe

    1. Identifizieren Sie die Sicherheitsanfälligkeit, die die Aufgabe gefährdet hat.

    2. Implementieren Sie das Update für diese Sicherheitsanfälligkeit und starten Sie eine neue Ersatzaufgabe.

    3. Beenden Sie die anfällige Aufgabe.

Container

Wenn der Ressourcentyp in den Erkenntnisdetails Container lautet, deutet dies darauf hin, dass ein alleinstehender Container potenziell kompromittiert ist.

Behebung kompromittierter Container-Images

Wenn ein GuardDuty Ergebnis darauf hindeutet, dass eine Aufgabe kompromittiert wurde, könnte das zum Starten der Aufgabe verwendete Image bösartig oder kompromittiert sein. GuardDuty Die Ergebnisse identifizieren das Container-Image innerhalb des resource.ecsClusterDetails.taskDetails.containers.image Felds. Sie können feststellen, ob das Bild bösartig ist, indem Sie es auf Malware scannen.

Um ein kompromittiertes Container-Image zu korrigieren
  1. Beenden Sie sofort die Verwendung des Images und entfernen Sie es aus Ihrem Image-Repository.

  2. Identifizieren Sie alle Aufgaben, die dieses Image verwenden.

  3. Beenden Sie alle Aufgaben, die das kompromittierte Image verwenden. Aktualisieren Sie ihre Aufgabendefinitionen, sodass sie das kompromittierte Image nicht mehr verwenden.