As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Como corrigir uma instância do Amazon EC2 potencialmente comprometida **Quando GuardDuty gerar [tipos de descoberta que indicam recursos potencialmente comprometidos do Amazon EC2](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html#findings-table), **seu** recurso será Instância.** Os possíveis tipos de descoberta podem ser[Tipos de descoberta do EC2](guardduty_finding-types-ec2.md),[GuardDuty Tipos de descoberta de monitoramento de tempo de execução](findings-runtime-monitoring.md), ou [Tipos de descoberta da Proteção contra malware para EC2](findings-malware-protection.md). Caso o comportamento que causou a descoberta seja esperado em seu ambiente, considere usar o [Regras de supressão](findings_suppression-rule.md). Execute as seguintes etapas para corrigir a instância possivelmente comprometida do Amazon EC2: 1. **Identifique a instância possivelmente comprometida do Amazon EC2** Verifique se há malwares na instância possivelmente comprometida e remova todos aqueles que forem descobertos. Use a [Análise de malware sob demanda em GuardDuty](on-demand-malware-scan.md) para identificar um malware na instância EC2 possivelmente comprometida ou verifique o [AWS Marketplace](https://aws.amazon.com/marketplace) para conferir se há produtos parceiros úteis para identificar e remover malware. 1. **Isole a instância possivelmente comprometida do Amazon EC2** Se possível, use as etapas a seguir para isolar a instância possivelmente comprometida: 1. Crie um grupo de segurança de **isolamento** específico. Um grupo de segurança de isolamento só deve ter acesso para entrada e saída de endereços IP específicos. Certifique-se de que não haja nenhuma regra de entrada ou saída que permita o tráfego para `0.0.0.0/0 (0-65535)`. 1. Associe o grupo de segurança **Isolamento** a essa instância. 1. Remova todas as associações de grupos de segurança, exceto o recém-criado grupo de segurança **Isolamento**, da instância possivelmente comprometida. **nota** As conexões rastreadas existentes não serão encerradas como resultado da alteração dos grupos de segurança - somente o tráfego futuro será efetivamente bloqueado pelo novo grupo de segurança. Para obter informações sobre como bloquear mais tráfego de conexões suspeitas existentes, consulte [Aplicar NACLs com base na rede IoCs para evitar mais tráfego](https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Ransom_Response_EC2_Linux.md#enforce-nacls-based-on-network-iocs-to-prevent-further-traffic) no *Manual de Resposta a Incidentes*. 1. **Identifique a origem da atividade suspeita** Se for detectado um malware, com base no tipo de descoberta em sua conta, identifique e interrompa a atividade potencialmente não autorizada em sua instância do EC2. Isso pode exigir medidas como fechar todas as portas abertas, alterar as políticas de acesso e atualizar aplicações para corrigir as vulnerabilidades. Caso não consiga identificar e interromper atividades não autorizadas em sua instância do EC2 possivelmente comprometida, recomendamos encerrar a instância do EC2 comprometida e substituí-la por uma nova instância, caso necessário. Veja a seguir os recursos adicionais para proteger suas instâncias do EC2: + Seções Segurança e Rede em [Melhores práticas do Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html). + [Grupos de segurança do Amazon EC2 para instâncias do Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html). + [Segurança no Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) + [Dicas para proteger as instâncias do EC2 (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/). + [AWS melhores práticas de segurança](https://aws.amazon.com//architecture/security-identity-compliance/) + [AWS Guia técnico de resposta a incidentes de segurança](https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html). 1. **Navegar AWS re:Post** Navegue [AWS re:Post](https://repost.aws/)para obter mais assistência. 1. **Envie uma solicitação de suporte técnico** Caso seja assinante do pacote Premium Support, envie uma solicitação de [suporte técnico](https://console.aws.amazon.com/support/home#/case/create?issueType=technical).