侵害された可能性のある Amazon EC2 インスタンスの修復 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

侵害された可能性のある Amazon EC2 インスタンスの修復

ご利用の AWS 環境で侵害された可能性のある EC2 インスタンスを修復するには、以下の推奨ステップに従います。

  1. 侵害された可能性のある Amazon EC2 インスタンスを特定する

    マルウェアに侵害された可能性のあるインスタンスを調査し、検出されたマルウェアを削除します。オンデマンドのマルウェアスキャン を使用して、侵害された可能性のある EC2 インスタンス内のマルウェアを特定したり、AWS Marketplace でマルウェアを特定して削除するのに役立つパートナー製品があるかどうかを確認したりできます。

  2. 侵害された可能性のある Amazon EC2 インスタンスを分離する

    可能であれば、次の手順を使用して、侵害された可能性のあるインスタンスを分離します。

    1. 専用の分離セキュリティグループを作成します。

    2. アウトバウンドルールのすべてのトラフィック0.0.0.0/0 (0-65535)に対して の 1 つのルールを作成します。

      このルールが適用されると、既存の (および新しい) アウトバウンドトラフィックがすべて追跡対象外に変換され、確立されたアウトバウンドセッションがブロックされます。詳細については、「未追跡の接続」を参照してください。

    3. 侵害された可能性のあるインスタンスから現在のセキュリティグループの関連付けをすべて削除します。

    4. 分離セキュリティグループをこのインスタンスに関連付けます。

      関連付け後、分離セキュリティグループのアウトバウンドルールから0.0.0.0/0 (0-65535)すべてのトラフィックのルールを削除します。

  3. 疑わしいアクティビティのソースを特定する

    マルウェアが検出された場合は、アカウント内の検出結果のタイプに基づいて、EC2 インスタンスでの不正なアクティビティの可能性を特定して停止します。これには、開いているポートを閉じる、アクセスポリシーを変更する、脆弱性を修正するためにアプリケーションをアップグレードするなどのアクションが必要になる場合があります。

    侵害された可能性のある EC2 インスタンスで不正なアクティビティを特定して停止できない場合は、侵害された EC2 インスタンスを終了し、必要に応じて新しいインスタンスに置き換えることをお勧めします。EC2 インスタンスを保護するための追加リソースを次に示します。

  4. 参照 AWS re:Post

    詳細については、https://forums.aws.amazon.com/index.jspa AWS re:Post を参照してください。

  5. テクニカルサポートリクエストを送信する

    プレミアムサポートパッケージのサブスクライバーは、テクニカルサポートをリクエストできます。