Como corrigir imagens de contêiner comprometidas

Correção das descobertas do Runtime Monitoring

Quando você ativa o Runtime Monitoring para sua conta, a Amazon GuardDuty pode gerar informações Tipos de descoberta de monitoramento de tempo de execução que indicam possíveis problemas de segurança em seu AWS ambiente. Os possíveis problemas de segurança indicam uma instância do Amazon EC2 comprometida, carga de trabalho de contêiner, um cluster do Amazon EKS ou um conjunto de credenciais comprometidas em seu ambiente. AWS O agente de segurança monitora eventos de tempo de execução de vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o tipo de recurso nos detalhes da descoberta gerados no GuardDuty console. A seção a seguir descreve as etapas de correção recomendadas para qualquer tipo de recurso.

Instance

Se o Tipo de recurso nos detalhes da descoberta for Instância, isso indica que uma instância do EC2 ou um nó do EKS está potencialmente comprometida.

Para corrigir um nó EKS comprometido, consulte Correção de nós Kubernetes potencialmente comprometidos.
Para corrigir uma instância do EC2 comprometida, consulte Correção de uma instância potencialmente comprometida do Amazon EC2.

EKSCluster

Se o Tipo de recurso nos detalhes da descoberta for EKSCluster, isso indica que um pod ou um contêiner dentro de um cluster do EKS está potencialmente comprometido.

Para corrigir um pod comprometido, consulte Corrigindo pods do Kubernetes potencialmente comprometidos.
Para corrigir uma imagem de contêiner comprometida, consulte Correção de imagens de contêineres potencialmente comprometidas.

ECSCluster

Se o tipo de recurso nos detalhes da descoberta for ECSCluster, isso indica que uma tarefa do ECS ou um contêiner dentro de uma tarefa do ECS está potencialmente comprometido.

Identifique o cluster ECS afetado

A descoberta do GuardDuty Runtime Monitoring fornece os detalhes do cluster ECS no painel de detalhes da descoberta ou na resource.ecsClusterDetails seção do JSON de descoberta.
Identifique a tarefa afetada do ECS

A descoberta do GuardDuty Runtime Monitoring fornece os detalhes da tarefa do ECS no painel de detalhes da descoberta ou na resource.ecsClusterDetails.taskDetails seção do JSON de descoberta.
Isole a tarefa afetada

Isole a tarefa afetada negando todo o tráfego de entrada e saída da tarefa. Uma regra para negar todo o tráfego pode ajudar a interromper um ataque em andamento, cortando todas as conexões com a tarefa.
Corrija a tarefa comprometida
1. Identifique a vulnerabilidade que comprometeu a tarefa.
2. Implemente a correção para essa vulnerabilidade e inicie uma nova tarefa de substituição.
3. Pare a tarefa vulnerável.

Container

Se o Tipo de recurso nos detalhes da descoberta for Contêiner, isso indica que um contêiner autônomo está potencialmente comprometido.

Para corrigir, consulte Correção de um contêiner autônomo potencialmente comprometido.
Se a descoberta for gerada em vários contêineres usando a mesma imagem de contêiner, consulte Correção de imagens de contêineres potencialmente comprometidas.
Se o contêiner acessou o host EC2 subjacente, suas credenciais de instância associadas podem ter sido comprometidas. Para ter mais informações, consulte Correção de credenciais potencialmente comprometidas AWS.
Se um agente potencialmente mal-intencionado acessou o nó EKS subjacente ou uma instância do EC2, consulte a correção recomendada nas guias EKSCluster e Instance.

Como corrigir imagens de contêiner comprometidas

Quando uma GuardDuty descoberta indica um comprometimento da tarefa, a imagem usada para iniciar a tarefa pode ser maliciosa ou estar comprometida. GuardDuty as descobertas identificam a imagem do contêiner dentro do resource.ecsClusterDetails.taskDetails.containers.image campo. Você pode determinar se a imagem é maliciosa examinando-a em busca de malware.

Para corrigir uma imagem de contêiner comprometida

Pare de usar a imagem imediatamente e remova-a do seu repositório de imagens.
Identifique todas as tarefas que estão usando essa imagem.
Pare todas as tarefas que estão usando a imagem comprometida. Atualize suas definições de tarefas para que parem de usar a imagem comprometida.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como corrigir os resultados do Monitoramento de logs de auditoria do EKS

Corrigindo um banco de dados potencialmente comprometido