マルウェアの軽減プロセス

AMS は、Trend Micro の Deep Security Platform (マルウェア対策システム) を使用して、AMS マネージドインスタンスのマルウェアを検出して対応します。デフォルトでは、Trend Micro 検出エージェントは、Windows オペレーティングシステムと Linux オペレーティングシステムの両方で、共有サービスおよびプライベートサブネット内のインスタンスを含むすべての Amazon EC2 インスタンスで実行されます。マルウェア対策システムは AMS モニタリングに接続されているため、マルウェアが検出されるたびにイベントが生成されます。顧客への影響がある場合、イベントはインシデント管理プロセスにエスカレーションされます (詳細については、「」を参照してくださいAMS インシデント対応）。AMS が影響を評価する間、通知を受け取り、影響を軽減しようとします。

Trend Micro が更新を発行すると、Trend Micro のマルウェア対策定義が自動的に更新されます。

アプリケーションのオンボーディング中に、インスタンスでマルウェアが見つかったときに AMS が実行するアクションを指定します。

• 隔離されたファイルが許可リストに含まれていることを確認し、隔離から削除してファイルシステムにリリースします。

• 隔離されたファイルを削除し、インスタンスから削除します。

• インスタンスを停止して置き換えます。その後、中断されたインスタンスは、フォレンジック調査のためにマウントできます。

アプリケーションのオンボーディング後：

• マルウェア対策システムがインスタンスでマルウェアを検出すると、AMS は自動的にマルウェアを隔離します。これにより、イベントとフォローアップ調査がトリガーされます。

• AMS は、サービス通知を通じてイベントを通知し、選択したデフォルトの緩和アクションに従って開始します。

• デフォルトのアクションを選択していない場合、AMS は実行するアクションを尋ねます。指示を受け取ると、AMS は選択したアクションを実行し、通知します。AMS は、該当する場合、フォレンジック分析に必要な詳細など、アクションの完了後に再度通知します。