Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Memulihkan instans Amazon EC2 yang berpotensi dikompromikan **Saat GuardDuty menghasilkan [jenis pencarian yang menunjukkan sumber daya Amazon EC2 yang berpotensi dikompromikan](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html#findings-table), Sumber Daya **Anda** akan menjadi Instans.** Jenis temuan potensial bisa[Tipe temuan EC2](guardduty_finding-types-ec2.md),[GuardDuty Jenis penemuan Runtime Monitoring](findings-runtime-monitoring.md), atau[Perlindungan Malware untuk jenis pencarian EC2](findings-malware-protection.md). Jika perilaku yang menyebabkan temuan itu diharapkan di lingkungan Anda, maka pertimbangkan untuk menggunakannya[Aturan penekanan](findings_suppression-rule.md). Lakukan langkah-langkah berikut untuk memulihkan instans Amazon EC2 yang berpotensi disusupi: 1. **Identifikasi instans Amazon EC2 yang berpotensi dikompromikan** Selidiki instans yang berpotensi disusupi untuk malware dan menghapus malware yang ditemukan. Anda dapat menggunakannya [Pemindaian malware sesuai permintaan di GuardDuty](on-demand-malware-scan.md) untuk mengidentifikasi malware dalam instans EC2 yang berpotensi dikompromikan, atau periksa [AWS Marketplace](https://aws.amazon.com/marketplace)untuk melihat apakah ada produk mitra yang bermanfaat untuk mengidentifikasi dan menghapus malware. 1. **Isolasi instans Amazon EC2 yang berpotensi dikompromikan** Jika memungkinkan, gunakan langkah-langkah berikut untuk mengisolasi instance yang berpotensi dikompromikan: 1. Buat grup keamanan **Isolasi** khusus. Grup keamanan isolasi seharusnya hanya memiliki akses masuk dan keluar dari alamat IP tertentu. Pastikan bahwa tidak ada aturan inbound atau outbound yang memungkinkan lalu lintas untuk. `0.0.0.0/0 (0-65535)` 1. Kaitkan grup keamanan **Isolasi** dengan instance ini. 1. Hapus semua asosiasi grup keamanan selain grup keamanan **Isolasi** yang baru dibuat dari instance yang berpotensi dikompromikan. **catatan** Koneksi yang dilacak yang ada tidak akan dihentikan sebagai akibat dari perubahan kelompok keamanan - hanya lalu lintas masa depan yang akan diblokir secara efektif oleh grup keamanan baru. Untuk informasi tentang memblokir lalu lintas lebih lanjut dari koneksi mencurigakan yang ada, lihat [Menegakkan NACLs berdasarkan jaringan IoCs untuk mencegah lalu lintas lebih lanjut](https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Ransom_Response_EC2_Linux.md#enforce-nacls-based-on-network-iocs-to-prevent-further-traffic) di Playbook *Respons Insiden*. 1. **Identifikasi sumber aktivitas yang mencurigakan** Jika malware terdeteksi, maka berdasarkan jenis temuan di akun Anda, identifikasi dan hentikan aktivitas yang berpotensi tidak sah pada instans EC2 Anda. Ini mungkin memerlukan tindakan seperti menutup port terbuka, mengubah kebijakan akses, dan meningkatkan aplikasi untuk memperbaiki kerentanan. Jika Anda tidak dapat mengidentifikasi dan menghentikan aktivitas yang tidak sah pada instans EC2 yang berpotensi dikompromikan, sebaiknya Anda menghentikan instans EC2 yang disusupi dan menggantinya dengan instans baru sesuai kebutuhan. Berikut adalah sumber daya tambahan untuk mengamankan instans EC2 Anda: + Bagian Keamanan dan Jaringan dalam [Praktik terbaik untuk Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html) + [Grup keamanan Amazon EC2 untuk instans Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html). + [Keamanan di Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) + [Tips untuk mengamankan instans EC2 Anda (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/). + [AWS praktik terbaik keamanan](https://aws.amazon.com//architecture/security-identity-compliance/) + [AWS Panduan Teknis Respons Insiden Keamanan](https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html). 1. **Jelajahi AWS re:Post** Jelajahi [AWS re:Post](https://repost.aws/)untuk bantuan lebih lanjut. 1. **Kirim permintaan dukungan teknis** Jika Anda adalah pelanggan paket dukungan premium, Anda dapat mengirimkan permintaan [dukungan teknis](https://console.aws.amazon.com/support/home#/case/create?issueType=technical).