

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Correction des résultats de la surveillance d’exécution
<a name="guardduty-remediate-runtime-monitoring"></a>

Lorsque vous activez la surveillance du temps d'exécution pour votre compte, Amazon GuardDuty peut générer des informations [GuardDuty Types de recherche liés à la surveillance du temps](findings-runtime-monitoring.md) indiquant des problèmes de sécurité potentiels dans votre AWS environnement. Les problèmes de sécurité potentiels indiquent soit une instance Amazon EC2 compromise, soit une charge de travail de conteneur, soit un cluster Amazon EKS, soit un ensemble d'informations d'identification compromises dans votre AWS environnement. L'agent de sécurité surveille les événements d'exécution provenant de plusieurs types de ressources. Pour identifier la ressource potentiellement compromise, consultez le **type de ressource** dans les informations de recherche générées dans la GuardDuty console. La section suivante décrit les étapes de correction recommandées pour chaque type de ressource. 

------
#### [ Instance ]

Si le **type de ressource** indiqué dans les détails du résultat est **Instance**, cela indique qu'une instance EC2 ou un nœud EKS est potentiellement compromis.
+ Pour corriger un nœud EKS compromis, veuillez consulter [Corriger les nœuds Kubernetes potentiellement compromis](guardduty-remediate-kubernetes.md#compromised-kubernetes-node).
+ Pour corriger une instance EC2 compromise, veuillez consulter [Corriger une instance Amazon EC2 potentiellement compromise](compromised-ec2.md).

------
#### [ EKSCluster ]

Si le **type de ressource** indiqué dans les détails de la recherche est **EKSCluster**, cela indique qu'un pod ou un conteneur au sein d'un cluster EKS est potentiellement compromis.
+ Pour corriger un pod compromis, veuillez consulter [Corriger les pods Kubernetes potentiellement compromis](guardduty-remediate-kubernetes.md#compromised-kubernetes-pod).
+ Pour corriger une image de conteneur compromise, veuillez consulter [Corriger les images de conteneurs potentiellement compromises](guardduty-remediate-kubernetes.md#compromised-kubernetes-image).

------
#### [ ECSCluster ]

Si le **type de ressource** indiqué dans les détails de la recherche est **ECSCluster**, cela indique qu'une tâche ECS ou un conteneur à l'intérieur d'une tâche ECS est potentiellement compromis.

1. **Identifiez le cluster ECS concerné**

   La constatation GuardDuty Runtime Monitoring fournit les détails du cluster ECS dans le panneau de détails de la découverte ou dans la `resource.ecsClusterDetails` section du JSON de recherche.

1. **Identifiez la tâche ECS affectée**

   La constatation GuardDuty Runtime Monitoring fournit les détails de la tâche ECS dans le panneau de détails de la recherche ou dans la `resource.ecsClusterDetails.taskDetails` section du JSON de recherche.

1. **Isolez la tâche affectée**

   Isolez la tâche affectée en refusant tout trafic entrant et sortant vers la tâche. Une règle interdisant tout trafic peut aider à stopper une attaque déjà en cours, en coupant toutes les connexions à la tâche. 

1. **Corriger la tâche compromise**

   1. Identifiez la vulnérabilité qui a compromis la tâche.

   1. Mettez en œuvre le correctif pour cette vulnérabilité et lancez une nouvelle tâche de remplacement.

   1. Arrêtez cette tâche vulnérable.

------
#### [ Container ]

Si le **type de ressource** indiqué dans les détails du résultat est **Conteneur**, cela indique qu'un conteneur autonome est potentiellement compromis.
+ Pour remédier à cette situation, veuillez consulter [Corriger un conteneur autonome potentiellement compromis](remediate-compromised-standalone-container.md).
+ Si le résultat est généré sur plusieurs conteneurs à l'aide de la même image de conteneur, veuillez consulter [Corriger les images de conteneurs potentiellement compromises](guardduty-remediate-kubernetes.md#compromised-kubernetes-image).
+ Si le conteneur a accédé à l'hôte EC2 sous-jacent, ses informations d'identification d'instance associées ont peut-être été compromises. Pour de plus amples informations, veuillez consulter [Corriger les informations d'identification potentiellement compromises AWS](compromised-creds.md).
+ Si un acteur potentiellement malveillant a accédé au nœud EKS sous-jacent ou à une instance EC2, consultez les mesures correctives recommandées sous les onglets *EKSCluster*et *Instance*.

------

## Correction des images de conteneur compromises
<a name="gdu-remediate-compromised-container-images"></a>

Lorsqu'un GuardDuty résultat indique la compromission d'une tâche, l'image utilisée pour lancer la tâche peut être malveillante ou compromise. GuardDuty les résultats identifient l'image du conteneur `resource.ecsClusterDetails.taskDetails.containers.image` sur le terrain. Vous pouvez déterminer si l'image est malveillante ou non en la scannant à la recherche de logiciels malveillants.

**Pour corriger une image de conteneur compromise**

1. Arrêtez immédiatement d'utiliser l'image et supprimez-la de votre référentiel d'images.

1. Identifiez toutes les tâches qui utilisent cette image.

1. Arrêtez toutes les tâches utilisant l'image compromise. Mettez à jour leurs définitions de tâches afin qu'ils cessent d'utiliser l'image compromise.