Memperbaiki instans Amazon yang berpotensi dikompromikan EC2

Saat GuardDuty menghasilkan jenis pencarian yang menunjukkan EC2 sumber daya Amazon yang berpotensi dikompromikan, Sumber Daya Anda akan menjadi Instance. Jenis temuan potensial bisaEC2menemukan jenis,GuardDuty Jenis penemuan Runtime Monitoring, atauPerlindungan Malware untuk EC2 menemukan jenis. Jika perilaku yang menyebabkan temuan itu diharapkan di lingkungan Anda, maka pertimbangkan untuk menggunakannyaAturan penekanan.

Lakukan langkah-langkah berikut untuk memulihkan instans Amazon EC2 yang berpotensi dikompromikan:

1. Identifikasi instans Amazon EC2 yang berpotensi dikompromikan

   Selidiki instans yang berpotensi disusupi untuk malware dan menghapus malware yang ditemukan. Anda dapat menggunakannya Pemindaian malware sesuai permintaan di GuardDuty untuk mengidentifikasi malware dalam EC2 contoh yang berpotensi dikompromikan, atau AWS Marketplacememeriksa apakah ada produk mitra yang bermanfaat untuk mengidentifikasi dan menghapus malware.

2. Isolasi instans Amazon yang berpotensi dikompromikan EC2

   Jika memungkinkan, gunakan langkah-langkah berikut untuk mengisolasi instance yang berpotensi dikompromikan:

   1. Buat grup keamanan Isolasi khusus. Grup keamanan isolasi seharusnya hanya memiliki akses masuk dan keluar dari alamat IP tertentu. Pastikan bahwa tidak ada aturan inbound atau outbound yang memungkinkan lalu lintas untuk. 0.0.0.0/0 (0-65535)

   2. Kaitkan grup keamanan Isolasi dengan instance ini.

   3. Hapus semua asosiasi grup keamanan selain grup keamanan Isolasi yang baru dibuat dari instance yang berpotensi dikompromikan.

      catatan

      Koneksi yang dilacak yang ada tidak akan dihentikan sebagai akibat dari perubahan kelompok keamanan - hanya lalu lintas masa depan yang akan diblokir secara efektif oleh grup keamanan baru.

      Untuk informasi tentang koneksi yang dilacak dan tidak dilacak, lihat Pelacakan koneksi grup EC2 keamanan Amazon di Panduan Pengguna Amazon EC2.

      Untuk informasi tentang memblokir lalu lintas lebih lanjut dari koneksi mencurigakan yang ada, lihat Menegakkan NACLs berdasarkan jaringan IoCs untuk mencegah lalu lintas lebih lanjut di Playbook Respons Insiden.

3. Identifikasi sumber aktivitas yang mencurigakan

   Jika malware terdeteksi, maka berdasarkan jenis temuan di akun Anda, identifikasi dan hentikan aktivitas yang berpotensi tidak sah pada EC2 instans Anda. Ini mungkin memerlukan tindakan seperti menutup port terbuka, mengubah kebijakan akses, dan meningkatkan aplikasi untuk memperbaiki kerentanan.

   Jika Anda tidak dapat mengidentifikasi dan menghentikan aktivitas yang tidak sah pada EC2 instans yang berpotensi dikompromikan, sebaiknya Anda menghentikan instans yang disusupi dan menggantinya dengan EC2 instance baru sesuai kebutuhan. Berikut ini adalah sumber daya tambahan untuk mengamankan EC2 instans Anda:

   • Bagian Keamanan dan Jaringan dalam Praktik terbaik untuk Amazon EC2

   • Grup EC2 keamanan Amazon untuk instans Linux dan grup EC2 keamanan Amazon untuk instans Windows

   • Keamanan di Amazon EC2

   • Kiat untuk mengamankan EC2 instans Anda (Linux).

   • AWS praktik terbaik keamanan

   • Insiden Domain Infrastruktur pada AWS

4. Jelajahi AWS re:Post

   Jelajahi AWS re:Postuntuk bantuan lebih lanjut.

5. Kirim permintaan dukungan teknis

   Jika Anda adalah pelanggan paket dukungan premium, Anda dapat mengirimkan permintaan dukungan teknis.