翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Runtime Monitoring 検出結果の修正
<a name="guardduty-remediate-runtime-monitoring"></a>

アカウントの Runtime Monitoring を有効にすると、Amazon GuardDuty [GuardDuty Runtime Monitoring の検出結果タイプ](findings-runtime-monitoring.md)が AWS 環境内の潜在的なセキュリティ問題を示す を生成することがあります。潜在的なセキュリティ上の問題は、侵害された Amazon EC2 インスタンス、コンテナワークロード、Amazon EKS クラスター、または AWS 環境内の侵害された認証情報のセットのいずれかを示しています。セキュリティエージェントは、複数のリソースタイプからのランタイムイベントを監視します。危険にさらされている可能性のあるリソースを特定するには、GuardDuty コンソールで生成された検出結果の詳細で **[リソースタイプ]** を確認してください。次のセクションでは、リソースのタイプごとに推奨される修復手順について説明します。

------
#### [ Instance ]

検出結果の **[リソースタイプ]** が **[インスタンス]** の場合は、EC2 インスタンスまたは EKS ノードのいずれかが侵害されている可能性があることを示しています。
+ 侵害された EKS ノードを修復するには、「[侵害された可能性のある Kubernetes ノードの修復](guardduty-remediate-kubernetes.md#compromised-kubernetes-node)」を参照してください。
+ 侵害された EC2 インスタンスを修正するには、「[侵害された可能性のある Amazon EC2 インスタンスの修復](compromised-ec2.md)」を参照してください。

------
#### [ EKSCluster ]

検出結果の詳細の **[リソースタイプ]** が **[EKSCluster]** の場合は、EKS クラスター内のポッドまたはコンテナが危険にさらされている可能性があることを示しています。
+ 侵害されたポッドを修復するには、「[侵害された可能性のある Kubernetes ポッドの修復](guardduty-remediate-kubernetes.md#compromised-kubernetes-pod)」を参照ください。
+ 侵害されたコンテナイメージを修復するには、「[侵害された可能性のあるコンテナイメージの修復](guardduty-remediate-kubernetes.md#compromised-kubernetes-image)」を参照してください。

------
#### [ ECSCluster ]

検出結果の詳細の **[リソースタイプ]** が **[ECSCluster]** の場合は、ECS タスク内の ECS タスクまたはコンテナが危険にさらされている可能性があることを示しています。

1. **影響を受ける ECS クラスターを特定します**

   GuardDuty Runtime Monitoring の検出結果では、検出結果の詳細パネルまたは検出結果 JSON の `resource.ecsClusterDetails` セクションに ECS クラスターの詳細が表示されます。

1. **影響を受ける ECS タスクを特定**

   GuardDuty Runtime Monitoring の検出結果では、検出結果の詳細パネルまたは検出結果 JSON の `resource.ecsClusterDetails.taskDetails` セクションに ECS タスクの詳細が表示されます。

1. **影響を受けるタスクを分離**

   タスクへの送受信トラフィックをすべて拒否して、影響を受けたタスクを分離します。すべてのトラフィックを拒否するルールは、タスクへのすべての接続を切断することによって、すでに進行中の攻撃を阻止するのに役立ちます。

1. **侵害されたタスクを修復**

   1. タスクを侵害した脆弱性を特定します。

   1. その脆弱性の修復を実装し、新しい代替タスクを起動します。

   1. 脆弱なタスクを停止します。

------
#### [ Container ]

検出結果の詳細の **[リソースタイプ]** が **[コンテナ]** の場合は、スタンドアロンコンテナが危険にさらされている可能性があることを示しています。
+ 修正するには、「[侵害された可能性のあるスタンドアロンコンテナの修復](remediate-compromised-standalone-container.md)」を参照してください。
+ 同じコンテナイメージを使用して複数のコンテナにわたって検出結果が生成される場合は、「[侵害された可能性のあるコンテナイメージの修復](guardduty-remediate-kubernetes.md#compromised-kubernetes-image)」を参照してください。
+ コンテナが基盤となる EC2 ホストにアクセスした場合、関連するインスタンスの認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
+ 潜在的に悪意のある攻撃者が基盤となる EKS ノードまたは EC2 インスタンスにアクセスした場合は、*[EKSCluster]* タブと *[インスタンス]* タブで推奨される修復方法を参照してください。

------

## 侵害されたコンテナイメージの修復
<a name="gdu-remediate-compromised-container-images"></a>

GuardDuty の検出結果でタスクの侵害が示されている場合、タスクの起動に使用されたイメージが悪意があるものであるか、または侵害されている可能性があります。GuardDuty の検出結果では、`resource.ecsClusterDetails.taskDetails.containers.image` フィールド内のコンテナイメージが識別されます。マルウェアの有無を調べるためにスキャンして、イメージが悪意のあるものであるかどうかを判断できます。

**侵害されたコンテナイメージを修復**

1. 直ちにイメージの使用を停止し、イメージリポジトリから削除します。

1. このイメージを使用しているタスクをすべて特定します。

1. 侵害されたイメージを使用しているすべてのタスクを停止します。侵害されたイメージの使用を停止するよう、タスクの定義を更新します。