Corriger les résultats de la surveillance de l'exécution

Lorsque vous activez la surveillance du temps d'exécution pour votre compte, Amazon GuardDuty peut générer des informations Types de recherche liés à la surveillance du temps indiquant des problèmes de sécurité potentiels dans votre AWS environnement. Les problèmes de sécurité potentiels indiquent soit une instance Amazon EC2 compromise, soit une charge de travail de conteneur, soit un cluster Amazon EKS, soit un ensemble d'informations d'identification compromises dans votre AWS environnement. L'agent de sécurité surveille les événements d'exécution provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le type de ressource dans les informations de recherche générées dans la GuardDuty console. La section suivante décrit les étapes de correction recommandées pour chaque type de ressource.

Instance

Si le type de ressource indiqué dans les détails du résultat est Instance, cela indique qu'une instance EC2 ou un nœud EKS est potentiellement compromis.

• Pour corriger un nœud EKS compromis, veuillez consulter Corriger les nœuds Kubernetes potentiellement compromis.

• Pour corriger une instance EC2 compromise, veuillez consulter Corriger une instance Amazon EC2 potentiellement compromise.

EKSCluster

Si le type de ressource indiqué dans les détails du résultat est EKSCluster, cela indique qu'un pod ou un conteneur dans un cluster EKS est potentiellement compromis.

• Pour corriger un pod compromis, veuillez consulter Corriger les pods Kubernetes potentiellement compromis.

• Pour corriger une image de conteneur compromise, veuillez consulter Corriger les images de conteneurs potentiellement compromises.

ECSCluster

Si le type de ressource indiqué dans les détails de la recherche est ECSCluster, cela indique qu'une tâche ECS ou un conteneur à l'intérieur d'une tâche ECS est potentiellement compromis.

1. Identifiez le cluster ECS concerné

   La constatation GuardDuty Runtime Monitoring fournit les détails du cluster ECS dans le panneau de détails de la découverte ou dans la resource.ecsClusterDetails section du JSON de recherche.

2. Identifiez la tâche ECS affectée

   La constatation GuardDuty Runtime Monitoring fournit les détails de la tâche ECS dans le panneau de détails de la recherche ou dans la resource.ecsClusterDetails.taskDetails section du JSON de recherche.

3. Isolez la tâche affectée

   Isolez la tâche affectée en refusant tout trafic entrant et sortant vers la tâche. Une règle interdisant tout trafic peut aider à stopper une attaque déjà en cours, en coupant toutes les connexions à la tâche.

4. Corriger la tâche compromise

   1. Identifiez la vulnérabilité qui a compromis la tâche.

   2. Mettez en œuvre le correctif pour cette vulnérabilité et lancez une nouvelle tâche de remplacement.

   3. Arrêtez cette tâche vulnérable.

Container

Si le type de ressource indiqué dans les détails du résultat est Conteneur, cela indique qu'un conteneur autonome est potentiellement compromis.

• Pour remédier à cette situation, veuillez consulter Corriger un conteneur autonome potentiellement compromis.

• Si le résultat est généré sur plusieurs conteneurs à l'aide de la même image de conteneur, veuillez consulter Corriger les images de conteneurs potentiellement compromises.

• Si le conteneur a accédé à l'hôte EC2 sous-jacent, ses informations d'identification d'instance associées ont peut-être été compromises. Pour plus d’informations, consultez Corriger les informations d'identification potentiellement compromises AWS.

• Si un acteur potentiellement malveillant a accédé au nœud EKS ou à une instance EC2 sous-jacent, veuillez consulter la correction recommandée sous les onglets EKSCluster et Instance.

Correction des images de conteneur compromises

Lorsqu'un GuardDuty résultat indique la compromission d'une tâche, l'image utilisée pour lancer la tâche peut être malveillante ou compromise. GuardDuty les résultats identifient l'image du conteneur resource.ecsClusterDetails.taskDetails.containers.image sur le terrain. Vous pouvez déterminer si l'image est malveillante ou non en la scannant à la recherche de logiciels malveillants.

Pour corriger une image de conteneur compromise

1. Arrêtez immédiatement d'utiliser l'image et supprimez-la de votre référentiel d'images.

2. Identifiez toutes les tâches qui utilisent cette image.

3. Arrêtez toutes les tâches utilisant l'image compromise. Mettez à jour leurs définitions de tâches afin qu'ils cessent d'utiliser l'image compromise.