Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Corriger une instance Amazon EC2 potentiellement compromise **Lorsque GuardDuty des [types de recherche indiquant des ressources Amazon EC2 potentiellement compromises sont générées](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html#findings-table), votre **ressource sera une** instance.** Les types de recherche potentiels peuvent être [Types de résultat EC2](guardduty_finding-types-ec2.md)[GuardDuty Types de recherche liés à la surveillance du temps](findings-runtime-monitoring.md), ou[Protection contre les programmes malveillants pour les types de détection EC2](findings-malware-protection.md). Si le comportement à l'origine de la découverte était attendu dans votre environnement, envisagez d'utiliser[Règles de suppression](findings_suppression-rule.md). Procédez comme suit pour corriger l'instance Amazon EC2 potentiellement compromise : 1. **Identifiez l'instance Amazon EC2 potentiellement compromise** Recherchez dans l'instance potentiellement compromise des programmes malveillants et supprimez ceux qui sont détectés. Vous pouvez utiliser [Analyse des malwares à la demande dans GuardDuty](on-demand-malware-scan.md) pour identifier les logiciels malveillants dans l'instance EC2 potentiellement compromise, ou consulter [AWS Marketplace](https://aws.amazon.com/marketplace) pour vérifier s'il existe des produits partenaires utiles afin d'identifier et de supprimer les logiciels malveillants. 1. **Isolez l'instance Amazon EC2 potentiellement compromise** Si possible, procédez comme suit pour isoler l'instance potentiellement compromise : 1. Créez un groupe de sécurité dédié à **l'isolation**. Un groupe de sécurité d'isolation ne doit avoir un accès entrant et sortant qu'à partir d'adresses IP spécifiques. Assurez-vous qu'aucune règle entrante ou sortante n'autorise le trafic pour. `0.0.0.0/0 (0-65535)` 1. Associez le groupe de sécurité **Isolation** à cette instance. 1. Supprimez toutes les associations de groupes de sécurité autres que le nouveau groupe de sécurité **Isolation** de l'instance potentiellement compromise. **Note** Les connexions suivies existantes ne seront pas interrompues suite à un changement de groupe de sécurité. Seul le trafic futur sera effectivement bloqué par le nouveau groupe de sécurité. Pour plus d'informations sur le blocage du trafic provenant de connexions existantes suspectes, voir [Appliquer NACLs en fonction du réseau IoCs pour empêcher tout trafic supplémentaire](https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Ransom_Response_EC2_Linux.md#enforce-nacls-based-on-network-iocs-to-prevent-further-traffic) dans le *manuel de réponse aux incidents*. 1. **Identifiez la source de l'activité suspecte**. Si un logiciel malveillant est détecté, identifiez et arrêtez l'activité potentiellement non autorisée sur votre instance EC2 en fonction du type de résultat dans votre compte. Cela peut nécessiter des actions telles que la fermeture de tous les ports ouverts, la modification des stratégies d'accès et la mise à niveau des applications pour corriger les vulnérabilités. Si vous ne parvenez pas à identifier et à arrêter toute activité non autorisée sur votre instance EC2 potentiellement compromise, nous vous recommandons de mettre fin à l'instance EC2 compromise et de la remplacer par une nouvelle instance si nécessaire. Les ressources supplémentaires suivantes vous permettent de sécuriser vos instances EC2 : + Section Sécurité et réseau de [Bonnes pratiques pour Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html). + [Groupes de sécurité Amazon EC2 pour les instances Linux.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html) + [Sécurité dans Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) + [Conseils pour sécuriser vos instances EC2 (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/). + [AWS meilleures pratiques en matière de sécurité](https://aws.amazon.com//architecture/security-identity-compliance/) + [AWS Guide technique de réponse aux incidents de sécurité](https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html). 1. **Parcourir AWS re:Post** Naviguez [AWS re:Post](https://repost.aws/)pour obtenir de l'aide supplémentaire. 1. **Soumission d'une demande de support technique** Si vous êtes abonné à un package Premium Support, vous pouvez soumettre une demande de [support technique](https://console.aws.amazon.com/support/home#/case/create?issueType=technical).