Correzione dei risultati del Runtime Monitoring

Quando abiliti il Runtime Monitoring per il tuo account, Amazon GuardDuty potrebbe generare dati Tipi di risultati del monitoraggio del runtime che indicano potenziali problemi di sicurezza nel tuo AWS ambiente. I potenziali problemi di sicurezza indicano un'istanza Amazon EC2 compromessa, un carico di lavoro del container, un cluster Amazon EKS o un set di credenziali compromesse nel tuo ambiente. AWS L'agente di sicurezza monitora gli eventi di runtime da più tipi di risorse. Per identificare la risorsa potenzialmente compromessa, visualizza il tipo di risorsa nei dettagli di ricerca generati nella GuardDuty console. La sezione seguente descrive le procedure di correzione consigliate per ogni tipo di risorsa.

Instance

Se il Tipo di risorsa nei dettagli dell'esito è Istanza, significa che un'istanza EC2 o un nodo EKS sono potenzialmente compromessi.

• Per correggere un nodo EKS compromesso, consulta Riparazione dei nodi Kubernetes potenzialmente compromessi.

• Per correggere un'istanza EC2 compromessa, consulta Correzione di un'istanza Amazon EC2 potenzialmente compromessa.

EKSCluster

Se il Tipo di risorsa nei dettagli dell'esito è EKSCluster, significa che un pod o un container in un cluster EKS sono potenzialmente compromessi.

• Per correggere un pod compromesso, consulta Riparazione dei pod Kubernetes potenzialmente compromessi.

• Per correggere l'immagine di un container compromessa, consulta Riparazione delle immagini dei container potenzialmente compromesse.

ECSCluster

Se il tipo di risorsa nei dettagli del risultato è ECSCluster, indica che un'attività ECS o un contenitore all'interno di un'attività ECS è potenzialmente compromessa.

1. Identifica il cluster ECS interessato

   Il risultato del GuardDuty Runtime Monitoring fornisce i dettagli del cluster ECS nel pannello dei dettagli del risultato o nella resource.ecsClusterDetails sezione del JSON di ricerca.

2. Identifica l'attività ECS interessata

   Il risultato GuardDuty di Runtime Monitoring fornisce i dettagli dell'attività ECS nel pannello dei dettagli del risultato o nella resource.ecsClusterDetails.taskDetails sezione del file JSON di ricerca.

3. Isola l'attività interessata

   Isola l'attività interessata bloccando tutto il traffico in entrata e in uscita verso l'attività. Una regola di blocco totale del traffico può contribuire a fermare un attacco già in corso, interrompendo tutte le connessioni all'attività.

4. Risolvi l'attività compromessa

   1. Identifica la vulnerabilità che ha compromesso l'attività.

   2. Implementa la correzione di tale vulnerabilità e avvia una nuova attività sostitutiva.

   3. Interrompi l'attività vulnerabile.

Container

Se il Tipo di risorsa nei dettagli dell'esito è Container, significa che un container autonomo è potenzialmente compromesso.

• Per procedere alla correzione, consulta Riparazione di un contenitore autonomo potenzialmente compromesso.

• Se l'esito viene generato su più container utilizzando la stessa immagine del container, consulta Riparazione delle immagini dei container potenzialmente compromesse.

• Se il container ha avuto accesso all'host EC2 sottostante, le credenziali dell'istanza associata potrebbero essere state compromesse. Per ulteriori informazioni, consulta Riparazione delle credenziali potenzialmente compromesse AWS.

• Se un utente potenzialmente malintenzionato ha avuto accesso al nodo EKS sottostante o a un'istanza EC2, consulta la correzione consigliata nelle schede EKSCluster e Istanza.

Correzione delle immagini del container compromesse

Quando un GuardDuty risultato indica una compromissione dell'attività, l'immagine utilizzata per avviare l'attività potrebbe essere dannosa o compromessa. GuardDuty i risultati identificano l'immagine del contenitore all'interno del resource.ecsClusterDetails.taskDetails.containers.image campo. È possibile determinare se l'immagine è dannosa o meno eseguendo una scansione alla ricerca di malware.

Per correggere l'immagine compromessa di un contenitore

1. Interrompi immediatamente l'utilizzo dell'immagine e rimuovila dal tuo repository di immagini.

2. Identifica tutte le attività che utilizzano questa immagine.

3. Interrompi tutte le attività che utilizzano l'immagine compromessa. Aggiorna le definizioni delle attività in modo che smettano di utilizzare l'immagine compromessa.