Processo de mitigação de malware

O AMS usa o Deep Security Platform (sistema antimalware) da Trend Micro para detectar e responder ao malware em suas instâncias gerenciadas pelo AMS. Por padrão, o agente de detecção da Trend Micro é executado em todas as EC2 instâncias da Amazon, incluindo aquelas nos serviços compartilhados e sub-redes privadas, para sistemas operacionais Windows e Linux. O sistema antimalware é conectado ao monitoramento do AMS para que um evento seja gerado sempre que um malware for detectado. Se houver impacto no cliente, o evento será encaminhado para o processo de gerenciamento de incidentes (para obter detalhes, consulteResposta ao incidente do AMS). Enquanto o AMS avalia o impacto, você é notificado e são feitas tentativas para mitigar o impacto.

As definições de antimalware da Trend Micro são atualizadas automaticamente quando a Trend Micro publica atualizações.

Durante a integração do aplicativo, você indica a ação que deseja que o AMS execute quando um malware é encontrado em uma instância:

• Verifique se o arquivo em quarentena está na lista de permissões, removendo-o da quarentena e liberando-o de volta para o sistema de arquivos.

• Exclua o arquivo em quarentena, removendo-o da instância.

• Suspenda a instância e substitua-a. A instância suspensa fica então disponível para você montar para pesquisa forense.

Após a integração do aplicativo:

• Quando o sistema antimalware descobre um malware em uma instância, o AMS coloca o malware automaticamente em quarentena. Isso desencadeia um evento e uma investigação de acompanhamento.

• O AMS notifica você sobre o evento por meio de uma notificação de serviço e começa a seguir a ação de mitigação padrão que você selecionou.

• Se você não tiver escolhido uma ação padrão, o AMS perguntará qual ação tomar. Depois de receber suas instruções, o AMS executa a ação selecionada e notifica você. O AMS notifica você novamente após a conclusão da ação, incluindo os detalhes necessários para a análise forense, se aplicável.