本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 修復執行時期監控調查結果
<a name="guardduty-remediate-runtime-monitoring"></a>

當您為帳戶啟用執行期監控時，Amazon GuardDuty 可能會產生 [GuardDuty 執行期監控調查結果類型](findings-runtime-monitoring.md)，指出 AWS 環境中的潛在安全問題。潛在的安全問題表示您 AWS 環境中的 Amazon EC2 執行個體、容器工作負載、Amazon EKS 叢集或一組遭入侵的登入資料。安全代理程式會監控來自多種資源類型的執行時間事件。若要識別可能遭到入侵的資源，請在 GuardDuty 主控台中檢視產生的調查結果詳細資訊中的**資源類型**。下節說明各種資源類型的建議修復步驟。

------
#### [ Instance ]

如果調查結果詳細資訊中的**資源類型**是**執行個體**，則表示 EC2 執行個體或 EKS 節點可能遭到入侵。
+ 若要修復遭到入侵的 EKS 節點，請參閱[修復可能遭到入侵的 Kubernetes 節點](guardduty-remediate-kubernetes.md#compromised-kubernetes-node)。
+ 若要修復遭到入侵的 EC2 執行個體，請參閱[修復可能遭到入侵的 Amazon EC2 執行個體](compromised-ec2.md)。

------
#### [ EKSCluster ]

如果調查結果詳細資訊中的**資源類型**為 **EKSCluster**，則表示 EKS 叢集內的 Pod 或容器可能遭到入侵。
+ 若要修復遭到入侵的 Pod，請參閱[修復可能遭到入侵的 Kubernetes Pod](guardduty-remediate-kubernetes.md#compromised-kubernetes-pod)。
+ 若要修復遭到入侵的容器映像，請參閱[修復可能遭到入侵的容器映像](guardduty-remediate-kubernetes.md#compromised-kubernetes-image)。

------
#### [ ECSCluster ]

如果調查結果詳細資訊中的**資源類型**是 **ECSCluster**，則表示 ECS 任務或 ECS 任務內的容器可能遭到入侵。

1. **識別受影響的 ECS 叢集**

   GuardDuty 執行期監控調查結果會在調查結果的詳細資訊面板或調查結果 JSON 的 `resource.ecsClusterDetails`區段中提供 ECS 叢集詳細資訊。

1. **識別受影響的 ECS 任務**

   GuardDuty 執行期監控調查結果會在調查結果的詳細資訊面板或調查結果 JSON 的 `resource.ecsClusterDetails.taskDetails`區段中提供 ECS 任務詳細資訊。

1. **隔離受影響的任務**

   拒絕所有傳入和傳出至任務的流量，以隔離受影響的任務。拒絕所有流量規則可透過切斷與任務的所有連線，協助阻止已在進行的攻擊。

1. **修復遭入侵的任務**

   1. 識別洩露任務的漏洞。

   1. 實作該漏洞的修正，並啟動新的替換任務。

   1. 停止易受攻擊的任務。

------
#### [ Container ]

如果調查結果詳細資訊中的**資源類型**為**容器**，則表示獨立容器可能遭到入侵。
+ 若要修復，請參閱[修復可能遭到入侵的獨立容器](remediate-compromised-standalone-container.md)。
+ 如果使用相同容器映像跨多個容器產生調查結果，請參閱[修復可能遭到入侵的容器映像](guardduty-remediate-kubernetes.md#compromised-kubernetes-image)。
+ 如果容器已存取基礎 EC2 主機，則其關聯的執行個體憑證可能已遭到入侵。如需詳細資訊，請參閱[修復可能遭到入侵的 AWS 登入資料](compromised-creds.md)。
+ 如果潛在惡意執行者存取了基礎 EKS 節點或 EC2 執行個體，請參閱 *EKSCluster* 和*執行個體*索引標籤下建議的修復措施。

------

## 修復遭到入侵的容器映像
<a name="gdu-remediate-compromised-container-images"></a>

當 GuardDuty 調查結果指出任務遭到入侵時，用來啟動任務的映像可能是惡意或遭到入侵。GuardDuty 調查結果可識別 `resource.ecsClusterDetails.taskDetails.containers.image` 欄位內的容器映像。您可以掃描映像是否有惡意軟體，以判斷映像是否為惡意。

**修復遭入侵的容器映像**

1. 立即停止使用該映像，並將其從映像儲存庫中移除。

1. 識別使用此映像的所有任務。

1. 停止所有使用遭入侵映像的任務。更新其任務定義，使其停止使用遭到入侵的映像。