本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 修复运行时监控调查发现
当您为账户启用运行时监控时,Amazon GuardDuty 可能会生成[GuardDuty 运行时监控查找类型](findings-runtime-monitoring.md)指明您的 AWS 环境中存在潜在安全问题的信息。潜在的安全问题表明您的 AWS 环境中的 Amazon EC2 实例、容器工作负载、Amazon EKS 集群或一组凭证遭到入侵。安全代理会监控来自多种资源类型的运行时事件。要识别可能受到威胁的资源,请在 GuardDuty 控制台中生成的查找结果详细信息中查看**资源类型**。以下部分介绍了针对每种资源类型的建议修复步骤。
------
#### [ Instance ]
如果调查发现详细信息中的**资源类型**为 **Instance**,则表示 EC2 实例或 EKS 节点可能受到攻击。
+ 要修复受攻击的 EKS 节点,请参阅 [修复可能失陷的 Kubernetes 节点](guardduty-remediate-kubernetes.md#compromised-kubernetes-node)。
+ 要修复受攻击的 EC2 实例,请参阅 [修复可能失陷的 Amazon EC2 实例](compromised-ec2.md)。
------
#### [ EKSCluster ]
如果调查结果详细信息中的**资源类型**为 **EKSCluster**,则表示 EKS 集群内的 Pod 或容器可能遭到入侵。
+ 要修复受攻击的容器组,请参阅 [修复可能失陷的 Kubernetes 容器组(pod)](guardduty-remediate-kubernetes.md#compromised-kubernetes-pod)。
+ 要修复受攻击的容器映像,请参阅 [修复可能失陷的容器映像](guardduty-remediate-kubernetes.md#compromised-kubernetes-image)。
------
#### [ ECSCluster ]
如果调查结果详细信息中的**资源类型**为 **ECSCluster**,则表示 ECS 任务或 ECS 任务中的容器可能受到威胁。
1. **确定受影响的 ECS 集群**
GuardDuty 运行时监控结果在调查结果的详细信息面板或调查结果 JSON 的`resource.ecsClusterDetails`部分中提供 ECS 集群的详细信息。
1. **确定受影响的 ECS 任务**
GuardDuty 运行时监控结果在查找结果的详细信息面板或调查结果 JSON 的`resource.ecsClusterDetails.taskDetails`部分中提供 ECS 任务的详细信息。
1. **隔离受影响的任务**
通过拒绝该任务的所有入口和出口流量来隔离受影响的任务。拒绝所有流量规则可以切断与任务的所有连接,从而帮助阻止已经开始的攻击。
1. **修复失陷的任务**
1. 识别攻击该任务的漏洞。
1. 实施针对该漏洞的修复程序并启动新的替换任务。
1. 停止易受影响的任务。
------
#### [ Container ]
如果调查发现详细信息中的**资源类型**为 **Container**,则表示独立容器可能受到攻击。
+ 要进行修复,请参阅 [修复可能失陷的独立容器](remediate-compromised-standalone-container.md)。
+ 如果调查发现是使用同一容器映像跨多个容器生成的,请参阅 [修复可能失陷的容器映像](guardduty-remediate-kubernetes.md#compromised-kubernetes-image)。
+ 如果容器访问了底层 EC2 主机,则其关联的实例凭证可能已泄露。有关更多信息,请参阅 [修复可能被泄露的凭证 AWS](compromised-creds.md)。
+ 如果潜在的恶意行为者访问了底层 EKS 节点或 EC2 实例,请参阅*EKSCluster*和*实例*选项卡下的建议补救措施。
------
## 修复被盗用的容器映像
当 GuardDuty 发现发现任务受损时,用于启动任务的图像可能是恶意的或已被泄露的。 GuardDuty 调查结果可识别`resource.ecsClusterDetails.taskDetails.containers.image`现场内的容器映像。您可以通过扫描恶意软件来确定映像是否有恶意。
**修复失陷的容器映像**
1. 立即停止使用该映像,并将其从映像存储库中删除。
1. 确定正在使用此映像的所有任务。
1. 停止使用失陷映像的所有任务。更新其任务定义,以确保停止使用失陷的映像。