Como corrigir uma instância do Amazon EC2 potencialmente comprometida

Quando o GuardDuty gera tipos de descoberta que indicam recursos do Amazon EC2 potencialmente comprometidos, o seu Recurso será a Instância. Os possíveis tipos de descoberta podem serTipos de descoberta do EC2,Tipos de descoberta do Monitoramento de runtime do GuardDuty, ou Tipos de descoberta da Proteção contra malware para EC2. Caso o comportamento que causou a descoberta seja esperado em seu ambiente, considere usar o Regras de supressão.

Execute as seguintes etapas para corrigir a instância possivelmente comprometida do Amazon EC2:

1. Identifique a instância possivelmente comprometida do Amazon EC2

   Verifique se há malwares na instância possivelmente comprometida e remova todos aqueles que forem descobertos. Use a Verificação de malware sob demanda no GuardDuty para identificar um malware na instância EC2 possivelmente comprometida ou verifique o AWS Marketplace para conferir se há produtos parceiros úteis para identificar e remover malware.

2. Isole a instância possivelmente comprometida do Amazon EC2

   Se possível, use as etapas a seguir para isolar a instância possivelmente comprometida:

   1. Crie um grupo de segurança de isolamento específico. Um grupo de segurança de isolamento só deve ter acesso para entrada e saída de endereços IP específicos. Certifique-se de que não haja nenhuma regra de entrada ou saída que permita o tráfego para 0.0.0.0/0 (0-65535).

   2. Associe o grupo de segurança Isolamento a essa instância.

   3. Remova todas as associações de grupos de segurança, exceto o recém-criado grupo de segurança Isolamento, da instância possivelmente comprometida.

      nota

      As conexões rastreadas existentes não serão encerradas como resultado da alteração dos grupos de segurança - somente o tráfego futuro será efetivamente bloqueado pelo novo grupo de segurança.

      Para obter informações sobre conexões rastreadas e não rastreadas, consulte Rastreamento de conexões do grupo de segurança do Amazon EC2 no Guia do Usuário do Amazon EC2..

      Para obter informações sobre como bloquear o tráfego adicional de conexões suspeitas existentes, consulte Aplicar NACLs com base em IoCs de rede para impedir o tráfego adicional no Manual de Resposta a Incidentes.

3. Identifique a origem da atividade suspeita

   Se for detectado um malware, com base no tipo de descoberta em sua conta, identifique e interrompa a atividade potencialmente não autorizada em sua instância do EC2. Isso pode exigir medidas como fechar todas as portas abertas, alterar as políticas de acesso e atualizar aplicações para corrigir as vulnerabilidades.

   Caso não consiga identificar e interromper atividades não autorizadas em sua instância do EC2 possivelmente comprometida, recomendamos encerrar a instância do EC2 comprometida e substituí-la por uma nova instância, caso necessário. Veja a seguir os recursos adicionais para proteger suas instâncias do EC2:

   • Seções Segurança e Rede em Melhores práticas do Amazon EC2.

   • Grupos de segurança do Amazon EC2 para instâncias do Linux e Grupos de segurança do Amazon EC2 para instâncias do Windows

   • Segurança no Amazon EC2

   • Dicas para proteger as instâncias do EC2 (Linux).

   • Práticas recomendadas de segurança da AWS

   • Incidentes no domínio de infraestrutura na AWS

4. Navegue no AWS re:Post

   Navegue AWS re:Postpara obter mais assistência.

5. Envie uma solicitação de suporte técnico

   Caso seja assinante do pacote Premium Support, envie uma solicitação de suporte técnico.