Remediasi temuan Runtime Monitoring

Saat Anda mengaktifkan Runtime Monitoring untuk akun Anda, Amazon GuardDuty dapat menghasilkan Jenis penemuan Runtime Monitoring yang menunjukkan potensi masalah keamanan di AWS lingkungan Anda. Masalah keamanan potensial menunjukkan instans Amazon EC2 yang dikompromikan, beban kerja kontainer, kluster Amazon EKS, atau sekumpulan kredensil yang disusupi di lingkungan Anda. AWS Agen keamanan memantau peristiwa runtime dari berbagai jenis sumber daya. Untuk mengidentifikasi sumber daya yang berpotensi dikompromikan, lihat Jenis sumber daya dalam detail temuan yang dihasilkan di GuardDuty konsol. Bagian berikut menjelaskan langkah-langkah remediasi yang direkomendasikan untuk setiap jenis sumber daya.

Instance

Jika tipe Resource dalam rincian temuan adalah Instance, ini menunjukkan bahwa baik instans EC2 atau node EKS berpotensi dikompromikan.

• Untuk memulihkan simpul EKS yang dikompromikan, lihat. Remediasi node Kubernetes yang berpotensi dikompromikan

• Untuk memulihkan instans EC2 yang dikompromikan, lihat. Memperbaiki instans Amazon EC2 yang berpotensi dikompromikan

EKSCluster

Jika tipe Resource dalam detail temuan adalah Ekscluster, ini menunjukkan bahwa pod atau wadah di dalam cluster EKS berpotensi dikompromikan.

• Untuk memulihkan pod yang dikompromikan, lihat. Remediasi pod Kubernetes yang berpotensi dikompromikan

• Untuk memulihkan gambar kontainer yang dikompromikan, lihat. Memulihkan gambar kontainer yang berpotensi dikompromikan

ECSCluster

Jika jenis Sumber Daya dalam rincian temuan adalah ECSCluster, ini menunjukkan bahwa tugas ECS atau wadah di dalam tugas ECS berpotensi dikompromikan.

1. Identifikasi cluster ECS yang terpengaruh

   Temuan GuardDuty Runtime Monitoring memberikan detail cluster ECS di panel detail temuan atau di resource.ecsClusterDetails bagian di JSON temuan.

2. Identifikasi tugas ECS yang terpengaruh

   Temuan GuardDuty Runtime Monitoring memberikan detail tugas ECS di panel detail temuan atau di resource.ecsClusterDetails.taskDetails bagian di JSON temuan.

3. Mengisolasi tugas yang terpengaruh

   Mengisolasi tugas yang terkena dampak dengan menolak semua lalu lintas masuk dan keluar ke tugas. Menyangkal semua aturan lalu lintas dapat membantu menghentikan serangan yang sudah berlangsung, dengan memutuskan semua koneksi ke tugas.

4. Memulihkan tugas yang dikompromikan

   1. Identifikasi kerentanan yang mengganggu tugas.

   2. Terapkan perbaikan untuk kerentanan itu dan mulai tugas pengganti baru.

   3. Hentikan tugas yang rentan.

Container

Jika tipe Resource dalam rincian temuan adalah Container, ini menunjukkan bahwa kontainer mandiri berpotensi dikompromikan.

• Untuk memulihkan, lihatMemulihkan wadah mandiri yang berpotensi dikompromikan.

• Jika temuan dihasilkan di beberapa kontainer menggunakan gambar kontainer yang sama, lihatMemulihkan gambar kontainer yang berpotensi dikompromikan.

• Jika penampung telah mengakses host EC2 yang mendasarinya, kredenal instans terkaitnya mungkin telah disusupi. Untuk informasi selengkapnya, lihat Memulihkan kredensi yang berpotensi dikompromikan AWS.

• Jika aktor yang berpotensi berbahaya telah mengakses node EKS yang mendasarinya atau instans EC2, lihat remediasi yang disarankan di bawah tab EKSCluster dan Instance.

Memulihkan gambar kontainer yang dikompromikan

Ketika sebuah GuardDuty temuan menunjukkan kompromi tugas, gambar yang digunakan untuk meluncurkan tugas bisa berbahaya atau dikompromikan. GuardDuty temuan mengidentifikasi gambar kontainer di dalam resource.ecsClusterDetails.taskDetails.containers.image lapangan. Anda dapat menentukan apakah gambar itu berbahaya atau tidak dengan memindainya untuk malware.

Untuk memulihkan gambar kontainer yang dikompromikan

1. Berhenti menggunakan gambar segera dan hapus dari repositori gambar Anda.

2. Identifikasi semua tugas yang menggunakan gambar ini.

3. Hentikan semua tugas yang menggunakan gambar yang disusupi. Perbarui definisi tugas mereka sehingga mereka berhenti menggunakan gambar yang disusupi.