Cloud Security Incident Response

AWS EC2 生產環境不中斷
威脅處置與 MDR 監控

當 EC2 承載核心業務、不能停機、不能重啟，也不適合安裝臨時掃描 Agent，Cloudmax 協助企業完成威脅定位、事件判讀、處置協調與後續監控。

Cloudmax 結合 AWS 原生資安服務、雲端維運經驗與 MDR 託管式偵測回應，協助企業在維持服務可用性的前提下處理雲端資安事件。

案例摘要

企業核心 AWS EC2 生產環境面臨惡意程式與挖礦勒索威脅，且具備「絕對不可停機」的嚴格營運要求。Cloudmax 匯智團隊導入 Amazon GuardDuty Malware Protection，利用 EBS 磁碟快照與獨立沙箱分析，完美實現「無代理程式掃描 (Agentless Scanning)」。在零效能衝擊、不干擾主機 I/O 運作的前提下，精準定位並清除威脅。掃描後更結合 MDR 託管式偵測與回應服務，提供 24/7 全天候資安監控，為雲端架構建立無中斷的長效安全防護。

OVERVIEW & SERVICES

在不中斷服務的條件下，處理 AWS 資安事件

企業在 AWS 上運行核心系統時，資安事件處理不能只考慮「掃描」。還要同時處理服務可用性、證據保全、營運風險、權限檢查與後續監控。我們將 AWS 工具輸出轉化為以下可執行的處置支柱：

CONSULTING

事件評估與 EBS 快照掃描

釐清告警來源與 AWS 架構。透過 EBS 快照副本進行檢測，不影響生產主機的干擾與運算資源。

LOCALIZATION

威脅路徑定位

協助企業理解 GuardDuty 掃描結果，確認可疑檔案、路徑、受影響 Instance 與 Volume 的關聯告警。

INCIDENT RESPONSE

事件處置協調與證據保全

依營運限制提出隔離、清除、重建、權限調整與憑證輪替建議，降低誤刪或服務中斷風險。

MANAGED SERVICES

MDR 長期監控

事件後銜接 MDR，持續監控異常登入、API 調用、C2 連線與資源異動，延伸持續偵測與回應能力。

CASE STUDY

客戶的 EC2 生產環境被第三台平台通報異常

某企業核心 AWS EC2 生產環境遭第三方檢測中心與原廠資安機制通報，疑似存在 Web Shell、挖礦程式、後門或其他惡意檔案。該系統承載關鍵營運服務，因此客戶明確要求不得停機、不得重啟，也不得安裝可能影響效能的掃描 Agent。

Cloudmax 接手後，先釐清雲端架構與事件範圍，再透過 Amazon GuardDuty Malware Protection for EC2 與 EBS 快照副本進行惡意程式偵測，協助客戶在不中斷服務的前提下取得可處置資訊。

Case Snapshot

核心環境：AWS EC2 生產工作負載
主要限制：不可停機、不可重啟、不可臨時安裝 Agent
潛在威脅：Web Shell、後門、挖礦程式、惡意檔案
導入服務：GuardDuty Malware Protection、Cloudmax MDR、AWS 資安顧問
Cloudmax 角色：架構判讀、威脅定位、處置協調、證據保全、持續監控

CUSTOMER CHALLENGE

系統有風險，但維運條件受限

傳統做法可能需要在主機上安裝掃描工具、進行全盤掃描，或安排維護時段重啟服務。對承載核心營運的 EC2 生產環境而言，這些動作可能帶來額外營運風險。

服務不能中斷

交易、訂單、客戶連線或內部營運流程不能因資安排查而中斷。

不能增加主機負載

臨時掃描 Agent 可能消耗 CPU、記憶體或磁碟 I/O，也可能與既有應用產生相容性問題。

不能只處理單一檔案

惡意檔案可能只是入侵結果，仍需檢查弱點來源、帳號濫用、後門活動與網路連線。

OUR APPOACH & WORKFLOW

從諮詢、建置到託管監控的處理方法

Cloudmax 採用顧問式交付模式：先釐清目標與限制，再設計可執行的技術流程，最後銜接長期監控與持續改善。流程設計以不中斷服務、降低生產環境干擾、保留證據與可追蹤處置為原則。

1. Advise

評估事件範圍、營運風險與可用處置選項。

2. Implement

使用快照掃描取得威脅資訊，提出處置建議。

3. Operate

導入 MDR，持續追蹤異常資源異動。

CLOUDMAX VALUE

把資安告警轉化為
可執行的雲端營運決策

GuardDuty 可以提供偵測結果，但企業仍需要判斷告警嚴重性、服務影響範圍、處置方式與後續監控策略。Cloudmax 的價值在於整合雲端架構、資安事件處理與託管服務交付。

EXPERT GUIDANCE

雲端架構判讀

理解 EC2、EBS、VPC、IAM、CloudTrail 與應用服務之間的關聯。

PRACTICAL RESPONSE

處置建議

協助判斷檔案是否可刪、是否需隔離、是否需重建或輪替憑證。

TRACEABILITY

證據保全

保留快照、掃描結果與處置紀錄，支援稽核與事件報告。

MANAGED OPERATIONS

持續監控

將單次事件處理延伸為 MDR 長期監控與回應流程。

ARCHITECTURE

技術處理流程

01 Source EC2 Production

核心服務運作中，不停止 Instance。

02 Snapshot EBS Snapshot

建立掃描副本，降低生產環境干擾。

03 Detection GuardDuty

對 EBS 快照副本進行惡意程式偵測。

04 Response Cloudmax

判讀結果，規劃處置並保留證據。

05 Operations MDR

持續監控異常，提早發現橫向移動。

OUTCOMES

交付成果

👈 左右滑動查看完整表格 👉

成果面向	Cloudmax 交付內容	企業價值
服務不中斷	不停止 EC2 Instance、不重啟核心服務，以 EBS 快照副本進行檢測。	降低資安處置對營運服務、客戶體驗與交易流程的影響。
不安裝 Agent	採用 EBS 快照式 Agentless 掃描，避免在生產主機執行額外掃描程序。	降低效能負載、套件衝突與維運變更風險。
威脅可定位	協助確認惡意檔案、可疑路徑、受影響 Instance、EBS Volume 與相關告警。	縮短排查時間，讓處置行動有明確依據。
證據可追溯	保留快照、掃描結果、事件紀錄與處置軌跡。	支援內部稽核、資安報告、合規說明與後續鑑識。
監控可延伸	銜接 MDR、CloudTrail、VPC Flow Logs、WAF、EDR 與弱點掃描。	從一次事件處理升級為長期偵測與回應能力。

USE CASES

適用場景

AWS EC2 生產環境異常通知。
被通報存在 Web Shell、惡意檔案、後門或挖礦程式。
客戶要求不中斷服務完成檢測。
無法在主機上安裝額外掃描 Agent。
需要保留資安事件證據或導入 MDR 長期監控。

IMPORTANT NOTES

重要限制

Agentless EBS 快照掃描主要針對 EC2 掛載 EBS Volume 中的潛在惡意檔案。
若威脅僅存在於記憶體、Instance Store、容器暫存層或外部服務，需搭配其他鑑識方式。
若涉及帳號憑證外洩、IAM 權限濫用或 API 異常，需檢查 CloudTrail、IAM 與相關存取紀錄。
若 Web Shell 來自應用程式弱點，仍需搭配 WAF、弱點掃描、程式修補與日誌分析。

您可能會想先了解這些問題

每個企業的需求都不同，歡迎聯繫我們，一起討論最適合的方案。

這個方案會讓 EC2 停機嗎？

不需要停止 EC2 Instance，也不需要重啟服務。掃描針對 EBS 快照副本進行，降低對生產環境的干擾。

需要在主機上安裝 Agent 嗎？

不需要。方案採用 Agentless 方式，不在生產主機上部署掃描 Agent。

GuardDuty 會自動清除惡意檔案嗎？

不會。GuardDuty 的主要角色是偵測與提供結果。實際隔離、刪除、重建或修補，需要依照系統狀態與營運風險判斷。

如果掃到 Web Shell，是否直接刪除即可？

不建議只做單點刪除。Web Shell 可能只是入侵結果之一，背後可能仍有弱點、帳號外洩、後門、排程任務或橫向移動行為。

事件處理完後，還需要 MDR 嗎？

需要。單次掃描只能處理當下可見問題，MDR 可協助企業持續監控後續異常行為，降低攻擊者再次進入或殘留後門未被發現的風險。

更多常見問題

AWS EC2 生產環境不中斷
威脅處置與 MDR 監控

案例摘要