Cómo corregir los hallazgos de Runtime Monitoring

Cuando habilitas Runtime Monitoring para tu cuenta, Amazon GuardDuty puede generar datos Tipos de búsqueda de Runtime Monitoring que indiquen posibles problemas de seguridad en tu AWS entorno. Los posibles problemas de seguridad indican una instancia de Amazon EC2, una carga de trabajo de contenedor, un clúster de Amazon EKS o un conjunto de credenciales comprometidas en su AWS entorno. El agente de seguridad supervisa los eventos de tiempo de ejecución procedentes de varios tipos de recursos. Para identificar el recurso potencialmente comprometido, consulte el tipo de recurso en los detalles de búsqueda generados en la GuardDuty consola. En la siguiente sección se describen los pasos de corrección recomendados para cada tipo de recurso.

Instance

Si el tipo de recurso en los detalles del resultado es Instancia, indica que una instancia de EC2 o un nodo de EKS están potencialmente en peligro.

• Para corregir un nodo de EKS en peligro, consulte Corregir los nodos de Kubernetes potencialmente comprometidos.

• Para corregir una instancia de EC2 en peligro, consulte Corregir una instancia de Amazon EC2 potencialmente comprometida.

EKSCluster

Si el tipo de recurso en los detalles del resultado es EKSCluster, indica que un pod o un contenedor de un clúster de EKS están potencialmente en peligro.

• Para corregir un pod en peligro, consulte Corregir los pods de Kubernetes potencialmente comprometidos.

• Para corregir una imagen de contenedor en peligro, consulte Corregir las imágenes de contenedores potencialmente comprometidas.

ECSCluster

Si el tipo de recurso en los detalles de la búsqueda es ECSCluster, indica que una tarea de ECS o un contenedor dentro de una tarea de ECS está potencialmente comprometido.

1. Identifique el clúster de ECS afectado

   El hallazgo GuardDuty de Runtime Monitoring proporciona los detalles del clúster de ECS en el panel de detalles del hallazgo o en la resource.ecsClusterDetails sección del JSON de búsqueda.

2. Identifique la tarea de ECS afectada

   El hallazgo GuardDuty de Runtime Monitoring proporciona los detalles de la tarea de ECS en el panel de detalles del hallazgo o en la resource.ecsClusterDetails.taskDetails sección del JSON de búsqueda.

3. Aísle la tarea afectada

   Aísle la tarea afectada negando todo el tráfico de entrada y salida a la tarea. Una regla que prohíba todo el tráfico puede ayudar a detener un ataque que ya está en marcha, ya que interrumpe todas las conexiones con la tarea.

4. Corrija la tarea comprometida

   1. Identifique la vulnerabilidad que puso en peligro la tarea.

   2. Implemente la solución para esa vulnerabilidad y comience una nueva tarea de reemplazo.

   3. Detenga la tarea vulnerable.

Container

Si el tipo de recurso en los detalles del resultado es Contenedor, indica que un contenedor independiente está potencialmente en peligro.

• Para corregirlo, consulte Corregir un contenedor independiente potencialmente comprometido.

• Si el resultado se genera en varios contenedores con la misma imagen de contenedor, consulte Corregir las imágenes de contenedores potencialmente comprometidas.

• Si el contenedor ha accedido al host de EC2 subyacente, es posible que las credenciales de la instancia asociadas se hayan puesto en peligro. Para obtener más información, consulte Corregir las credenciales potencialmente comprometidas AWS.

• Si un agente potencialmente malintencionado ha accedido al nodo de EKS subyacente o a una instancia de EC2, consulte la corrección recomendada en las pestañas EKSCluster e Instancia.

Corrección de imágenes de contenedor en peligro

Cuando un GuardDuty hallazgo indica que una tarea está en peligro, la imagen utilizada para iniciarla podría ser maliciosa o estar comprometida. GuardDuty los resultados identifican la imagen del contenedor en el resource.ecsClusterDetails.taskDetails.containers.image campo. Para determinar si la imagen es maliciosa o no, escaneándola en busca de malware.

Para corregir la imagen de un contenedor comprometida

1. Deje de usar la imagen inmediatamente y elimínela del repositorio de imágenes.

2. Identifique todas las tareas que utilizan esta imagen.

3. Detenga todas las tareas que utilizan la imagen comprometida. Actualice sus definiciones de tareas para que dejen de usar la imagen comprometida.