修复可能受损的集群 ECS

当 GuardDuty 生成指示 Amazon ECS 资源可能受损的查找类型时，您的资源将是ECSCluster。潜在的调查发现类型可能是 GuardDuty 运行时监控查找类型 或 EC2 恶意软件防护调查发现类型。如果导致该调查发现的行为是环境中的预期行为，则可以考虑使用抑制规则。

请按照以下建议步骤修复 AWS 环境中可能遭到入侵的 Amazon ECS 集群：

1. 确定可能受到威胁的ECS集群。

   用于EC2查找的 GuardDuty 恶意软件防护在查找结果的详细信息面板中ECS提供了ECS集群的详细信息。

2. 评估恶意软件源

   评估检测到的恶意软件是否在容器的映像中。如果映像中包含有恶意软件，请识别使用该映像运行的所有其他任务。有关正在运行的任务的信息，请参见 ListTasks.

3. 隔离可能影响的任务

   通过拒绝任务的所有入口和出口流量来隔离受影响的任务。拒绝所有流量规则可以切断与任务的所有连接，从而有助于阻止已经开始的攻击。

如果访问已获授权，则可以忽略调查发现。https://console.aws.amazon.com/guardduty/控制台允许您设置规则来完全禁止单个发现，这样它们就不会再出现。有关更多信息，请参阅 中的抑制规则 GuardDuty。