Behebung der Ergebnisse von Runtime Monitoring

Wenn Sie Runtime Monitoring für Ihr Konto aktivieren, generiert Amazon GuardDuty möglicherweise InformationenRuntime Monitoring: Typen finden, die auf potenzielle Sicherheitsprobleme in Ihrer AWS Umgebung hinweisen. Die potenziellen Sicherheitsprobleme deuten entweder auf eine kompromittierte Amazon EC2 EC2-Instance, einen Container-Workload, einen Amazon EKS-Cluster oder eine Reihe kompromittierter Anmeldeinformationen in Ihrer Umgebung hin. AWS Der Security Agent überwacht Runtime-Ereignisse von mehreren Ressourcentypen aus. Um die potenziell gefährdete Ressource zu identifizieren, sehen Sie sich den Ressourcentyp in den generierten Suchdetails in der GuardDuty Konsole an. Im folgenden Abschnitt werden die empfohlenen Behebungsschritte für alle Szenarien beschrieben.

Instance

Wenn der Ressourcentyp in den Erkenntnisdetails Instance lautet, deutet dies darauf hin, dass entweder eine EC2-Instance oder ein EKS-Knoten potenziell kompromittiert ist.

• Informationen zur Behebung eines kompromittierten EKS-Knotens finden Sie unter Behebung potenziell kompromittierter Kubernetes-Knoten.

• Informationen zur Behebung einer kompromittierten EC2-Instance finden Sie unter Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance.

EKSCluster

Wenn der Ressourcentyp in den Erkenntnisdetails EKSCluster lautet, deutet dies darauf hin, dass entweder ein Pod oder ein Container in einem EKS-Cluster potenziell kompromittiert ist.

• Informationen zur Behebung eines kompromittierten Pods finden Sie unter Behebung potenziell kompromittierter Kubernetes-Pods.

• Informationen zur Behebung eines kompromittierten Container-Images finden Sie unter Behebung potenziell kompromittierter Container-Images.

ECSCluster

Wenn der Ressourcentyp in den Ergebnisdetails ecsCluster lautet, bedeutet dies, dass entweder eine ECS-Task oder ein Container innerhalb einer ECS-Task potenziell gefährdet ist.

1. Identifizieren Sie den betroffenen ECS-Cluster

   Das GuardDuty Runtime Monitoring-Ergebnis enthält die ECS-Cluster-Details im Detailbereich des Ergebnisses oder im resource.ecsClusterDetails Abschnitt in der Ergebnis-JSON.

2. Identifizieren Sie die betroffene ECS-Aufgabe

   Das GuardDuty Runtime Monitoring-Ergebnis enthält die ECS-Aufgabendetails im Detailbereich des Ergebnisses oder im resource.ecsClusterDetails.taskDetails Abschnitt in der Ergebnis-JSON.

3. Isolieren Sie die betroffene Aufgabe

   Isolieren Sie die betroffene Aufgabe, indem Sie den gesamten eingehenden und ausgehenden Datenverkehr für die Aufgabe verweigern. Eine Regel zum Verweigern des gesamten Datenverkehrs kann dazu beitragen, einen Angriff zu stoppen, der bereits im Gange ist, indem alle Verbindungen zu der Aufgabe unterbrochen werden.

4. Korrigieren Sie die gefährdete Aufgabe

   1. Identifizieren Sie die Sicherheitsanfälligkeit, die die Aufgabe gefährdet hat.

   2. Implementieren Sie das Update für diese Sicherheitsanfälligkeit und starten Sie eine neue Ersatzaufgabe.

   3. Beenden Sie die anfällige Aufgabe.

Container

Wenn der Ressourcentyp in den Erkenntnisdetails Container lautet, deutet dies darauf hin, dass ein alleinstehender Container potenziell kompromittiert ist.

• Informationen zur Problembehebung finden Sie unter Behebung eines potenziell gefährdeten Standalone-Containers.

• Falls die Erkenntnis für mehrere Container mit demselben Container-Image generiert wird, finden Sie weitere Informationen unter Behebung potenziell kompromittierter Container-Images.

• Wenn der Container auf den zugrunde liegenden EC2-Host zugegriffen hat, wurden die zugehörigen Instance-Anmeldeinformationen möglicherweise kompromittiert. Weitere Informationen finden Sie unter Behebung potenziell gefährdeter Anmeldeinformationen AWS.

• Wenn ein potenziell böswilliger Akteur auf den zugrunde liegenden EKS-Knoten oder eine EC2-Instance zugegriffen hat, finden Sie unter den Registerkarten EKSCluster und Instance die empfohlenen Abhilfemaßnahmen.

Behebung kompromittierter Container-Images

Wenn ein GuardDuty Ergebnis darauf hindeutet, dass die Aufgabe kompromittiert wurde, könnte das zum Starten der Aufgabe verwendete Image bösartig oder beschädigt sein. GuardDuty Die Ergebnisse identifizieren das Container-Image innerhalb des resource.ecsClusterDetails.taskDetails.containers.image Felds. Sie können feststellen, ob das Bild bösartig ist, indem Sie es auf Malware scannen.

Um ein kompromittiertes Container-Image zu korrigieren

1. Beenden Sie sofort die Verwendung des Images und entfernen Sie es aus Ihrem Image-Repository.

2. Identifizieren Sie alle Aufgaben, die dieses Image verwenden.

3. Beenden Sie alle Aufgaben, die das kompromittierte Image verwenden. Aktualisieren Sie ihre Aufgabendefinitionen, sodass sie das kompromittierte Image nicht mehr verwenden.