修复运行时监控调查发现

当您为账户启用运行时监控时，Amazon GuardDuty 可能会生成GuardDuty 运行时监控查找类型指明您的 AWS 环境中存在潜在安全问题的信息。潜在的安全问题表明 Amazon EC2 实例、容器工作负载、Amazon EKS 集群或您的 AWS 环境中存在一组凭证遭到入侵。安全代理会监控来自多种资源类型的运行时事件。要识别可能受到威胁的资源，请在 GuardDuty 控制台中生成的查找结果详细信息中查看资源类型。以下部分介绍了针对每种资源类型的建议修复步骤。

Instance

如果查找结果详细信息中的资源类型为实例，则表示 EC2 实例或 EKS 节点可能遭到入侵。

要修复受攻击的 EKS 节点，请参阅修复可能失陷的 Kubernetes 节点。
要修复受损的 EC2 实例，请参阅修复可能遭到入侵的 Amazon 实例 EC2。

EKSCluster

如果调查结果详细信息中的资源类型为 EKSCluster，则表示 EKS 集群内的 Pod 或容器可能遭到入侵。

要修复受攻击的容器组，请参阅修复可能失陷的 Kubernetes 容器组（pod）。
要修复受攻击的容器映像，请参阅修复可能失陷的容器映像。

ECSCluster

如果调查结果详细信息中的资源类型为 ECSCluster，则表示 ECS 任务或 ECS 任务中的容器可能遭到入侵。

确定受影响的 ECS 集群

GuardDuty 运行时监控结果在调查结果的详细信息面板或调查结果 JSON 的resource.ecsClusterDetails部分中提供 ECS 集群的详细信息。
确定受影响的 ECS 任务

GuardDuty 运行时监控结果在查找结果的详细信息面板或调查结果 JSON 的resource.ecsClusterDetails.taskDetails部分中提供 ECS 任务的详细信息。
隔离受影响的任务

通过拒绝该任务的所有入口和出口流量来隔离受影响的任务。拒绝所有流量规则可以切断与任务的所有连接，从而帮助阻止已经开始的攻击。
修复失陷的任务
1. 识别攻击该任务的漏洞。
2. 实施针对该漏洞的修复程序并启动新的替换任务。
3. 停止易受影响的任务。

Container

如果调查发现详细信息中的资源类型为 Container，则表示独立容器可能受到攻击。

要进行修复，请参阅修复可能失陷的独立容器。
如果调查发现是使用同一容器映像跨多个容器生成的，请参阅修复可能失陷的容器映像。
如果容器访问了底层 EC2 主机，则其关联的实例凭证可能已被泄露。有关更多信息，请参阅修复可能被泄露的 AWS 凭证。
如果潜在的恶意行为者访问了底层 EKS 节点或 EC2实例，请参阅EKSCluster和实例选项卡下的建议补救措施。

修复被盗用的容器映像

当 GuardDuty 发现发现任务受损时，用于启动任务的图像可能是恶意的或已被泄露的。 GuardDuty 调查结果可识别resource.ecsClusterDetails.taskDetails.containers.image现场内的容器映像。您可以通过扫描恶意软件来确定映像是否有恶意。

修复失陷的容器映像

立即停止使用该映像，并将其从映像存储库中删除。
确定正在使用此映像的所有任务。
停止使用失陷映像的所有任务。更新其任务定义，以确保停止使用失陷的映像。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

修复 EKS 防护调查发现

修复可能失陷的数据库