

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Korrigieren von Erkenntnissen der Laufzeitüberwachung
<a name="guardduty-remediate-runtime-monitoring"></a>

Wenn Sie Runtime Monitoring für Ihr Konto aktivieren, generiert Amazon GuardDuty möglicherweise Informationen[GuardDuty Runtime Monitoring: Typen finden](findings-runtime-monitoring.md), die auf potenzielle Sicherheitsprobleme in Ihrer AWS Umgebung hinweisen. Die potenziellen Sicherheitsprobleme deuten entweder auf eine kompromittierte Amazon EC2 EC2-Instance, einen Container-Workload, einen Amazon EKS-Cluster oder eine Reihe kompromittierter Anmeldeinformationen in Ihrer Umgebung hin. AWS Der Security Agent überwacht Runtime-Ereignisse von mehreren Ressourcentypen aus. Um die potenziell gefährdete Ressource zu identifizieren, sehen Sie sich den **Ressourcentyp** in den generierten Suchdetails in der GuardDuty Konsole an. Im folgenden Abschnitt werden die empfohlenen Behebungsschritte für alle Szenarien beschrieben. 

------
#### [ Instance ]

Wenn der **Ressourcentyp** in den Erkenntnisdetails **Instance** lautet, deutet dies darauf hin, dass entweder eine EC2-Instance oder ein EKS-Knoten potenziell kompromittiert ist.
+ Informationen zur Behebung eines kompromittierten EKS-Knotens finden Sie unter [Behebung potenziell gefährdeter Kubernetes-Knoten](guardduty-remediate-kubernetes.md#compromised-kubernetes-node).
+ Informationen zur Behebung einer kompromittierten EC2-Instance finden Sie unter [Behebung einer potenziell gefährdeten Amazon EC2 EC2-Instance](compromised-ec2.md).

------
#### [ EKSCluster ]

Wenn der **Ressourcentyp** in den Funddetails lautet **EKSCluster**, bedeutet dies, dass entweder ein Pod oder ein Container innerhalb eines EKS-Clusters potenziell gefährdet ist.
+ Informationen zur Behebung eines kompromittierten Pods finden Sie unter [Behebung potenziell gefährdeter Kubernetes-Pods](guardduty-remediate-kubernetes.md#compromised-kubernetes-pod).
+ Informationen zur Behebung eines kompromittierten Container-Images finden Sie unter [Behebung potenziell gefährdeter Container-Images](guardduty-remediate-kubernetes.md#compromised-kubernetes-image).

------
#### [ ECSCluster ]

Wenn der **Ressourcentyp** in den Ergebnisdetails lautet **ECSCluster**, bedeutet dies, dass entweder eine ECS-Task oder ein Container innerhalb einer ECS-Task potenziell gefährdet ist.

1. **Identifizieren Sie den betroffenen ECS-Cluster**

   Das GuardDuty Runtime Monitoring-Ergebnis enthält die ECS-Cluster-Details im Detailbereich des Ergebnisses oder im `resource.ecsClusterDetails` Abschnitt in der Ergebnis-JSON.

1. **Identifizieren Sie die betroffene ECS-Aufgabe**

   Das GuardDuty Runtime Monitoring-Ergebnis enthält die ECS-Aufgabendetails im Detailbereich des Ergebnisses oder im `resource.ecsClusterDetails.taskDetails` Abschnitt in der Ergebnis-JSON.

1. **Isolieren Sie die betroffene Aufgabe**

   Isolieren Sie die betroffene Aufgabe, indem Sie den gesamten eingehenden und ausgehenden Datenverkehr für die Aufgabe verweigern. Eine Regel zum Verweigern des gesamten Datenverkehrs kann dazu beitragen, einen Angriff zu stoppen, der bereits im Gange ist, indem alle Verbindungen zu der Aufgabe unterbrochen werden. 

1. **Korrigieren Sie die gefährdete Aufgabe**

   1. Identifizieren Sie die Sicherheitsanfälligkeit, die die Aufgabe gefährdet hat.

   1. Implementieren Sie das Update für diese Sicherheitsanfälligkeit und starten Sie eine neue Ersatzaufgabe.

   1. Beenden Sie die anfällige Aufgabe.

------
#### [ Container ]

Wenn der **Ressourcentyp** in den Erkenntnisdetails **Container** lautet, deutet dies darauf hin, dass ein alleinstehender Container potenziell kompromittiert ist.
+ Informationen zur Problembehebung finden Sie unter [Behebung eines potenziell gefährdeten Standalone-Containers](remediate-compromised-standalone-container.md).
+ Falls die Erkenntnis für mehrere Container mit demselben Container-Image generiert wird, finden Sie weitere Informationen unter [Behebung potenziell gefährdeter Container-Images](guardduty-remediate-kubernetes.md#compromised-kubernetes-image).
+ Wenn der Container auf den zugrunde liegenden EC2-Host zugegriffen hat, wurden die zugehörigen Instance-Anmeldeinformationen möglicherweise kompromittiert. Weitere Informationen finden Sie unter [Behebung potenziell gefährdeter Anmeldeinformationen AWS](compromised-creds.md).
+ Wenn ein potenziell böswilliger Akteur auf den zugrunde liegenden EKS-Knoten oder eine EC2-Instance zugegriffen hat, finden Sie unter den Registerkarten *EKSCluster*und *Instanz* die empfohlenen Abhilfemaßnahmen.

------

## Behebung kompromittierter Container-Images
<a name="gdu-remediate-compromised-container-images"></a>

Wenn ein GuardDuty Ergebnis darauf hindeutet, dass eine Aufgabe kompromittiert wurde, könnte das zum Starten der Aufgabe verwendete Image bösartig oder kompromittiert sein. GuardDuty Die Ergebnisse identifizieren das Container-Image innerhalb des `resource.ecsClusterDetails.taskDetails.containers.image` Felds. Sie können feststellen, ob das Bild bösartig ist, indem Sie es auf Malware scannen.

**Um ein kompromittiertes Container-Image zu korrigieren**

1. Beenden Sie sofort die Verwendung des Images und entfernen Sie es aus Ihrem Image-Repository.

1. Identifizieren Sie alle Aufgaben, die dieses Image verwenden.

1. Beenden Sie alle Aufgaben, die das kompromittierte Image verwenden. Aktualisieren Sie ihre Aufgabendefinitionen, sodass sie das kompromittierte Image nicht mehr verwenden.