Processo di mitigazione del malware

AMS utilizza la Deep Security Platform (sistema antimalware) di Trend Micro per rilevare e rispondere al malware sulle istanze gestite da AMS. Per impostazione predefinita, l'agente di rilevamento Trend Micro viene eseguito su tutte le EC2 istanze Amazon, incluse quelle nei servizi condivisi e nelle sottoreti private, per i sistemi operativi Windows e Linux. Il sistema antimalware è collegato al monitoraggio AMS in modo che venga generato un evento ogni volta che viene rilevato un malware. Se c'è un impatto sui clienti, l'evento viene inoltrato al processo di gestione degli incidenti (per i dettagli, vedere). Risposta agli incidenti AMS Mentre AMS valuta l'impatto, l'utente riceve una notifica e si tenta di mitigare l'impatto.

Le definizioni antimalware di Trend Micro vengono aggiornate automaticamente quando Trend Micro pubblica gli aggiornamenti.

Durante l'onboarding delle applicazioni, si indica l'azione che si desidera che AMS intraprenda quando viene rilevato un malware su un'istanza:

• Assicurati che il file in quarantena sia nell'elenco dei file consentiti, rimuovilo dalla quarantena e rilascialo nuovamente nel file system.

• Elimina il file in quarantena, rimuovendolo dall'istanza.

• Sospendi l'istanza e sostituiscila. L'istanza sospesa è quindi disponibile per essere montata per la ricerca forense.

Dopo l'onboarding dell'applicazione:

• Quando il sistema antimalware rileva un malware su un'istanza, AMS lo mette automaticamente in quarantena. Ciò innesca un evento e un'indagine di follow-up.

• AMS notifica l'evento tramite una notifica di servizio e inizia a seguire l'azione di mitigazione predefinita selezionata.

• Se non hai scelto un'azione predefinita, AMS ti chiede quale azione intraprendere. Dopo aver ricevuto le istruzioni, AMS esegue l'azione selezionata e ti avvisa. AMS ti avvisa nuovamente una volta completata l'azione, inclusi i dettagli necessari per l'analisi forense, se applicabile.