Prozess zur Abwehr von Schadsoftware - AMS-Benutzerhandbuch für Fortgeschrittene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Prozess zur Abwehr von Schadsoftware

AMS verwendet die Deep Security Platform (Anti-Malware-System) von Trend Micro, um Malware auf Ihren von AMS verwalteten Instances zu erkennen und darauf zu reagieren. Standardmäßig läuft der Trend Micro Detection Agent auf allen EC2 Amazon-Instances, einschließlich denen in den Shared Services und privaten Subnetzen, sowohl für Windows- als auch für Linux-Betriebssysteme. Das Anti-Malware-System ist mit der AMS-Überwachung verbunden, sodass bei jedem Malware-Fund ein Ereignis ausgelöst wird. Wenn es Auswirkungen auf den Kunden gibt, wird das Ereignis an den Incident-Management-Prozess weitergeleitet (weitere Informationen finden Sie unterReaktion auf AMS-Vorfälle). Während AMS die Auswirkungen bewertet, werden Sie benachrichtigt und es wird versucht, die Auswirkungen zu mindern.

Die Definitionen von Trend Micro Anti-Malware werden automatisch aktualisiert, wenn Trend Micro Updates veröffentlicht.

Beim Onboarding der Anwendung geben Sie an, welche Aktion AMS ergreifen soll, wenn auf einer Instanz Malware gefunden wird:

  • Stellen Sie sicher, dass die Datei in Quarantäne auf der Zulassungsliste steht, entfernen Sie sie aus der Quarantäne und geben Sie sie wieder im Dateisystem frei.

  • Löschen Sie die Datei in Quarantäne und entfernen Sie sie aus der Instanz.

  • Unterbrechen Sie die Instanz und ersetzen Sie sie. Die gesperrte Instanz steht Ihnen dann zur Verfügung, um sie für forensische Untersuchungen bereitzustellen.

Nach dem Onboarding der Anwendung:

  • Wenn das Anti-Malware-System Malware auf einer Instance entdeckt, stellt AMS die Malware automatisch unter Quarantäne. Dies löst ein Ereignis und eine Folgeuntersuchung aus.

  • AMS benachrichtigt Sie mit einer Servicebenachricht über das Ereignis und beginnt mit der Ausführung der von Ihnen ausgewählten Standardmaßnahme zur Risikominderung.

  • Wenn Sie keine Standardaktion ausgewählt haben, fragt AMS Sie, welche Maßnahme zu ergreifen ist. Nach Erhalt Ihrer Anweisungen führt AMS die ausgewählte Aktion aus und benachrichtigt Sie. AMS benachrichtigt Sie erneut, nachdem die Aktion abgeschlossen ist, einschließlich der Einzelheiten, die für die forensische Analyse erforderlich sind, falls zutreffend.