

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como corrigir as descobertas do Monitoramento de runtime
<a name="guardduty-remediate-runtime-monitoring"></a>

Quando você ativa o Runtime Monitoring para sua conta, a Amazon GuardDuty pode gerar informações [GuardDuty Tipos de descoberta de monitoramento de tempo de execução](findings-runtime-monitoring.md) que indicam possíveis problemas de segurança em seu AWS ambiente. Os possíveis problemas de segurança indicam uma instância do Amazon EC2 comprometida, carga de trabalho de contêiner, um cluster do Amazon EKS ou um conjunto de credenciais comprometidas em seu ambiente. AWS O atendente de segurança monitora eventos de runtime para vários tipos de recursos. Para identificar o recurso potencialmente comprometido, visualize o **tipo de recurso** nos detalhes da descoberta gerados no GuardDuty console. A seção a seguir descreve as etapas de correção recomendadas para qualquer tipo de recurso. 

------
#### [ Instance ]

Se o **Tipo de recurso** nos detalhes da descoberta for **Instância**, isso indica que uma instância do EC2 ou um nó do EKS está potencialmente comprometida.
+ Para corrigir um nó EKS comprometido, consulte [Como corrigir pods do Kubernetes potencialmente comprometidos](guardduty-remediate-kubernetes.md#compromised-kubernetes-node).
+ Para corrigir uma instância do EC2 comprometida, consulte [Como corrigir uma instância do Amazon EC2 potencialmente comprometida](compromised-ec2.md).

------
#### [ EKSCluster ]

Se o **tipo de recurso** nos detalhes da descoberta for **EKSCluster**, isso indica que um pod ou um contêiner dentro de um cluster EKS está potencialmente comprometido.
+ Para corrigir um pod comprometido, consulte [Como corrigir pods do Kubernetes possivelmente comprometidos](guardduty-remediate-kubernetes.md#compromised-kubernetes-pod).
+ Para corrigir uma imagem de contêiner comprometida, consulte [Como corrigir imagens de contêiner possivelmente comprometidas](guardduty-remediate-kubernetes.md#compromised-kubernetes-image).

------
#### [ ECSCluster ]

Se o **tipo de recurso** nos detalhes da descoberta for **ECSCluster**, isso indica que uma tarefa do ECS ou um contêiner dentro de uma tarefa do ECS está potencialmente comprometido.

1. **Identifique o cluster do ECS afetado.**

   A descoberta do GuardDuty Runtime Monitoring fornece os detalhes do cluster ECS no painel de detalhes da descoberta ou na `resource.ecsClusterDetails` seção do JSON de descoberta.

1. **Identificar a tarefa do ECS afetada**

   A descoberta do GuardDuty Runtime Monitoring fornece os detalhes da tarefa do ECS no painel de detalhes da descoberta ou na `resource.ecsClusterDetails.taskDetails` seção do JSON de descoberta.

1. **Isolar a tarefa afetada**

   Isole a tarefa afetada negando todo o tráfego de entrada e saída dessa tarefa. Uma regra para negar todo o tráfego pode ajudar a interromper um ataque em andamento, cortando todas as conexões com a tarefa. 

1. **Corrigir a tarefa comprometida**

   1. Identifique a vulnerabilidade que comprometeu a tarefa.

   1. Implemente a correção dessa vulnerabilidade e inicie nova tarefa de substituição.

   1. Parar a tarefa vulnerável.

------
#### [ Container ]

Se o **Tipo de recurso** nos detalhes da descoberta for **Contêiner**, isso indica que um contêiner autônomo está potencialmente comprometido.
+ Para corrigir, consulte [Como corrigir um contêiner autônomo possivelmente comprometido](remediate-compromised-standalone-container.md).
+ Se a descoberta for gerada em vários contêineres usando a mesma imagem de contêiner, consulte [Como corrigir imagens de contêiner possivelmente comprometidas](guardduty-remediate-kubernetes.md#compromised-kubernetes-image).
+ Se o contêiner acessou o host EC2 subjacente, suas credenciais de instância associadas podem ter sido comprometidas. Para obter mais informações, consulte [Corrigindo credenciais potencialmente comprometidas AWS](compromised-creds.md).
+ Se um ator potencialmente mal-intencionado acessou o nó EKS subjacente ou uma instância do EC2, consulte a correção recomendada nas guias *EKSCluster*e *Instância*.

------

## Como corrigir imagens de contêiner comprometidas
<a name="gdu-remediate-compromised-container-images"></a>

Quando uma GuardDuty descoberta indica um comprometimento da tarefa, a imagem usada para iniciar a tarefa pode ser maliciosa ou estar comprometida. GuardDuty as descobertas identificam a imagem do contêiner dentro do `resource.ecsClusterDetails.taskDetails.containers.image` campo. Você pode determinar se a imagem é mal-intencionada examinando-a em busca de malware.

**Para corrigir uma imagem de contêiner comprometida**

1. Pare de usar a imagem imediatamente e remova-a do seu repositório de imagens.

1. Identificar todas as tarefas que estão usando essa imagem.

1. Interromper todas as tarefas que estão usando a imagem comprometida. Atualizar suas configurações de tarefas para que parem de usar a imagem comprometida.