Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Corrección de problemas en una instancia de Amazon EC2 potencialmente comprometida **Cuando GuardDuty genere [tipos de búsqueda que indiquen recursos de Amazon EC2 potencialmente comprometidos](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html#findings-table), su **recurso será Instance**.** Los posibles tipos de resultados podrían ser [Tipos de resultados de EC2](guardduty_finding-types-ec2.md), [GuardDuty Tipos de búsqueda de Runtime Monitoring](findings-runtime-monitoring.md) o [Tipos de resultados de la protección contra malware para EC2](findings-malware-protection.md). Si el comportamiento que causó el resultado era el previsto en el entorno, considere la posibilidad de utilizar [Reglas de supresión](findings_suppression-rule.md). Siga los siguientes pasos para corregir la instancia de Amazon EC2 potencialmente comprometida: 1. **Identifique la instancia de Amazon EC2 potencialmente comprometida** Examine la instancia posiblemente comprometida en busca de malware y elimínelo. Puede utilizar [Escanea malware bajo demanda en GuardDuty](on-demand-malware-scan.md) para identificar el malware en la instancia de EC2 potencialmente afectada o comprobar [AWS Marketplace](https://aws.amazon.com/marketplace) para ver si hay productos asociados útiles para identificar y eliminar el malware. 1. **Aísle la instancia de Amazon EC2 potencialmente comprometida** Si es posible, siga los siguientes pasos para aislar la instancia potencialmente comprometida: 1. Cree un grupo de seguridad de **aislamiento** dedicado. Un grupo de seguridad de aislamiento solo debe tener acceso entrante y saliente desde direcciones IP específicas. Asegúrese de que no hay ninguna regla de entrada o salida que permita el tráfico para `0.0.0.0/0 (0-65535)`. 1. Asocie el grupo de seguridad de **aislamiento** a esta instancia. 1. Elimine todas las asociaciones de grupos de seguridad distintas del grupo de seguridad de **aislamiento** recién creado de la instancia potencialmente comprometida. **nota** Las conexiones rastreadas existentes no se terminarán como resultado del cambio de grupo de seguridad. Únicamente el tráfico futuro será bloqueado de forma efectiva por el nuevo grupo de seguridad. Para obtener información sobre cómo bloquear más tráfico procedente de conexiones existentes sospechosas, consulte [Hacer cumplir NACLs según la red IoCs para evitar más tráfico](https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Ransom_Response_EC2_Linux.md#enforce-nacls-based-on-network-iocs-to-prevent-further-traffic) en el *manual de respuesta a incidentes*. 1. **Identifique el origen de la actividad sospechosa** Si se detecta malware, con base en el tipo de resultado de su cuenta, identifique y detenga la actividad potencialmente no autorizada en su instancia de EC2. Esto puede requerir acciones como cerrar cualquier puerto abierto, cambiar las políticas de acceso y actualizar las aplicaciones para corregir las vulnerabilidades. Si no puede identificar y detener la actividad no autorizada en la instancia de EC2 potencialmente comprometida, recomendamos que termine la instancia de EC2 comprometida y la sustituya por una nueva instancia según sea necesario. A continuación se enumeran recursos adicionales para proteger instancias EC2: + Secciones “Seguridad” y “Redes” en [Prácticas recomendadas de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html) + [Grupos de seguridad de Amazon EC2 para instancias de Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) + [Seguridad en Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) + [Sugerencias para proteger la instancia EC2 (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/). + [AWS prácticas recomendadas de seguridad](https://aws.amazon.com//architecture/security-identity-compliance/) + [AWS Guía técnica de respuesta a incidentes de seguridad](https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html). 1. **Examinar AWS re:Post** Vaya a [AWS re:Post](https://repost.aws/) para obtener más ayuda. 1. **Envíe una solicitud de asistencia técnica** Si es suscriptor de un paquete Premium Support, puede enviar una solicitud de [asistencia técnica](https://console.aws.amazon.com/support/home#/case/create?issueType=technical).