Come posso recuperare le risorse AWS interessate dall'agente CrowdStrike Falcon?
Non riesco a connettermi alle risorse AWS su cui è installato l'agente CrowdStrike Falcon.
Breve descrizione
Il 19 luglio 2024 alle 04:09 UTC, un aggiornamento dell'agente CrowdStrike Falcon (csagent.sys) ha causato errori di arresto non pianificati o la comparsa di schermate blu nei dispositivi basati su Windows. I dispositivi interessati includono le istanze Amazon Elastic Compute Cloud (Amazon EC2) e i desktop virtuali personali Amazon WorkSpaces. Questo problema riguarda solo le istanze Amazon EC2 di Windows e i WorkSpace personali su cui è installato CrowdStrike.
Per ulteriori informazioni, consulta Remediation and Guidance Hub: Falcon Content Update for Windows Hosts sul sito Web CrowdStrike.
In genere, per aggiornare correttamente l’agente CrowdStrike Falcon è sufficiente un riavvio dell'istanza o del WorkSpace.
Nota: se l’istanza utilizza volumi di archivio dell’istanza, i dati archiviati su tali volumi non persistono quando l'istanza viene interrotta, ibernata o terminata. Quando l'istanza viene interrotta, ibernata o terminata, il volume dell'archivio dell’istanza viene cancellato crittograficamente. Per ulteriori informazioni, consulta Amazon EC2 instance store temporary block storage for Amazon EC2 instances.
Risoluzione
Se un riavvio non ripristina l’integrità dell'istanza, utilizza il runbook Automazione AWS Systems Manager per ripristinare le istanze. In alternativa, è possibile ripristinare manualmente le istanze.
Se scegli di utilizzare il runbook, esegui prima le seguenti azioni:
- Se il volume root di Amazon Elastic Block Store (Amazon EBS) è crittografato, assicurati che la chiave di crittografia sia presente nell’account. Inoltre, è necessario disporre dell'autorizzazione per utilizzarla.
- Il runbook AWSSupport-StartEC2RescueWorkflow interrompe l’istanza. Se l’istanza utilizza i volumi dell'archivio dell’istanza, utilizza il metodo di ripristino manuale per evitare perdite di dati.
- Prima di avviare il runbook AWSSupport-StartEC2RescueWorkflow, assicurati che il tuo utente o ruolo AWS Identify and Access Management (IAM) disponga delle autorizzazioni richieste. Per ulteriori informazioni, consulta la sezione Required IAM permissions di AWSSupport-StartEC2RescueWorkflow. È inoltre necessario aggiungere l'autorizzazione kms:CreateGrant al ruolo IAM.
Identificazione delle istanze compromesse
Nota: se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta la sezione Troubleshoot AWS CLI errors. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Per identificare le istanze compromesse, esegui il comando describe-instance-status di AWS CLI:
aws ec2 describe-instance-status --filters Name=instance-status.status,Values=impaired --query "InstanceStatuses[*].InstanceId" --region your-region
Nota: sostituisci your-region con la tua regione AWS.
Usa il runbook di Automazione AWS Systems Manager per ripristinare una singola istanza EC2
Per automatizzare il ripristino tramite AWSSupport-StartEC2RescueWorkflow, apri il runbook sulla console di Systems Manager e seleziona la regione AWS e l’istanza da ripristinare. Se il volume root EBS è crittografato, imposta AllowEncryptedVolume su True.
Il flusso di lavoro del runbook avvia un'istanza EC2 temporanea (istanza helper) in un cloud privato virtuale (VPC). L'istanza helper viene automaticamente associata al gruppo di sicurezza predefinito del VPC. L'istanza deve consentire la comunicazione HTTPS (porta TCP 443) in uscita con gli endpoint Amazon Simple Storage Service (Amazon S3) e Systems Manager.
È necessario avviare l'istanza in una delle seguenti sottoreti in modo che l'istanza raggiunga i servizi AWS richiesti per completare le attività del flusso di lavoro:
- Sottorete pubblica con il parametro AssociatePublicIpAddress impostato su True.
- Sottorete privata con accesso a Internet tramite NAT.
L'istanza helper monta il volume root delle istanze selezionate ed esegue il comando seguente per eliminare il file interessato:
get-childitem -path "$env:EC2RESCUE_OFFLINE_DRIVE\Windows\System32\drivers\CrowdStrike\" -Include C-00000291*.sys -Recurse | foreach { $_.Delete()}
Per verificare il contenuto del payload OfflineScript di Base64 dal comando precedente, esegui il seguente comando:
PS C:\Windows\system32> [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("REPLACE_WITH_BASE64_HERE"))
Usa il runbook di Automazione AWS Systems Manager per ripristinare più istanze EC2
Per utilizzare il runbook su più istanze EC2, utilizza gli ID di istanza, i tag o i gruppi di risorse.
Nota:
- il runbook avvia un'istanza helper per ogni istanza selezionata.
- Assicurati di avere un numero sufficiente di indirizzi IP nella sottorete selezionata per le istanze.
- Assicurati di avere un numero sufficiente di quote di istanze e quote di volume EBS.
- Il tempo impiegato dal runbook di automazione per il completamento dipende dalla quantità di simultaneità selezionata.
Usa gli ID di istanza
Completa i seguenti passaggi:
- Apri il runbook AWSSupport-StartEC2RescueWorkflow sulla console di Systems Manager.
- In Esegui runbook di automazione, scegli Controllo velocità.
- Nella sezione Destinazioni, scegli InstanceId per Parametro, quindi scegli Valori dei parametri per Destinazioni.
- In Parametri di input, seleziona le istanze da ripristinare.
- In Controllo velocità, scegli l'opzione di simultaneità per il numero di risorse autorizzate a eseguire contemporaneamente l'automazione. Per ulteriori informazioni, consulta Control automations at scale.
- Scegli Esegui.
Usa i tag
Completa i seguenti passaggi:
- Crea un nuovo tag univoco da utilizzare solo per le istanze da ripristinare. Tutte le istanze con questo tag sono destinate al ripristino e possono causare una perdita accidentale di dati o influire sulla disponibilità delle istanze. Per ulteriori informazioni, consulta Tag your Amazon EC2 resources e Using Tag Editor.
- Per verificare che solo le istanze interessate condividano il nuovo tag, utilizza l’Esploratore di risorse AWS o Tag Editor.
- Apri il runbook AWSSupport-StartEC2RescueWorkflow sulla console di Systems Manager.
- In Esegui runbook di automazione, scegli Controllo velocità.
- Nella sezione Destinazioni, scegli InstanceId per Parametro, quindi scegli Valori dei parametri per Destinazioni.
- Per Tag, scegli Modifica, inserisci la chiave e il valore del tag, quindi scegli Salva.
- In Parametri di input, seleziona le istanze da ripristinare.
- In Controllo velocità, scegli l'opzione di simultaneità per il numero di risorse autorizzate a eseguire contemporaneamente l'automazione. Per ulteriori informazioni, consulta Control automations at scale.
- Scegli Esegui.
Usa i gruppi di risorse
Completa i seguenti passaggi:
- Crea un nuovo gruppo di risorse da utilizzare solo per le istanze da ripristinare. Tutte le istanze di questo gruppo di risorse sono destinate al ripristino e possono causare perdite accidentali di dati o influire sulla disponibilità delle istanze. Per ulteriori informazioni, consulta Creating query-based groups in AWS Resource Groups.
- Per verificare che solo le istanze interessate appartengano al nuovo gruppo di risorse, utilizza la console Gruppi di risorse AWS.
- Apri il runbook AWSSupport-StartEC2RescueWorkflow sulla console di Systems Manager.
- In Esegui runbook di automazione, scegli Controllo velocità.
- Nella sezione Destinazioni, scegli InstanceId per Parametro, quindi scegli Valori dei parametri per Destinazioni.
- In Gruppi di risorse, seleziona il nuovo gruppo di risorse.
- In Parametri di input, seleziona le istanze da ripristinare.
- In Controllo velocità, scegli l'opzione di simultaneità per il numero di risorse autorizzate a eseguire contemporaneamente l'automazione. Per ulteriori informazioni, consulta Control automations at scale.
- Scegli Esegui.
Ripristina manualmente le istanze
Completa i seguenti passaggi:
- Crea un'istantanea del volume root EBS dell'istanza.
- Crea un nuovo volume EBS dall'istantanea nella stessa zona di disponibilità.
- Avvia una nuova istanza Windows nella stessa zona di disponibilità.
- Collega il nuovo volume EBS alla nuova istanza come volume di dati.
- Scarica lo strumento EC2Rescue per Windows Server nell'istanza helper.
- Fai clic con il pulsante destro del mouse su EC2Rescue.exe, quindi scegli Esegui come amministratore.
Seleziona Accetto nel contratto di licenza.
Nella schermata di benvenuto, scegli Avanti.
Nella schermata Seleziona modalità, scegli Istanza offline.
Seleziona il disco offline, quindi scegli Avanti. Quando richiesto, seleziona Sì e quindi OK.
Mantieni EC2 Rescue in esecuzione.
Nota: se l'istanza originale utilizza BitLocker per crittografare il volume root EBS, segui le istruzioni visualizzate per fornire la password o la chiave di ripristino BitLocker. Oppure usa manage-bde unlock dalla riga di comando. Per ulteriori informazioni, consulta manage-bde unlock sul sito Web Microsoft. Dopo avere sbloccato l'unità, ripeti il passaggio 6. - Accedi alla cartella X:\Windows\System32\drivers\CrowdStrike\ nel volume allegato, quindi elimina C-00000291*.sys.
Nota: in questo esempio, X: è la lettera dell’unità assegnata al volume EBS secondario dall'istanza interessata. Potrebbe essere una lettera diversa, a seconda dell’ambiente. - Torna a EC2 Rescue.
Scegli Diagnosi e soccorso, quindi scegli Avanti.
Mantieni tutte le opzioni predefinite.
Scegli Avanti, quindi scegli di nuovo Avanti.
Quando richiesto, scegli Soccorso, scegli OK, quindi Avanti.
Scegli Fine.
Nella finestra a comparsa, seleziona Correggi firma disco, quindi scegli OK.
Se Correggi firma disco è disattivato, scegli OK. - Scollega il volume EBS dalla nuova istanza.
- Crea un'istantanea del volume EBS scollegato.
- Seleziona lo stesso tipo di volume (ad esempio, gp2 o gp3) dell'istanza interessata, quindi crea un'Amazon Machine Image (AMI) dall'istantanea.
- Sostituisci il volume root sull'istanza EC2 originale e specifica l'AMI.
Amazon WorkSpaces
Se più riavvii non ripristinano l’integrità del WorkSpace, è possibile ripristinare il WorkSpace in base a un'istantanea precedente. Se il ripristino del WorkSpace non riporta il WorkSpace a uno stato integro, ricostruisci il WorkSpace.
Risoluzione dei problemi
Se i passaggi precedenti non ripristinano la connettività all’istanza EC2, segui questi passaggi per risolvere i problemi dell’opzione di ripristino.
Usa il runbook Automazione Systems Manager
Problema: l'istanza helper non può connettersi agli endpoint di servizio AWS. Questo problema può causare un errore nella fase del flusso di lavoro di automazione waitForEc2RescueInstanceToBeManaged.
Soluzione: verifica che il gruppo di sicurezza predefinito consenta al traffico in uscita (porta TCP 443) di raggiungere Systems Manager e gli endpoint S3. Inoltre, assicurati che la sottorete selezionata possa connettersi a questi endpoint. Per utilizzare un gruppo di sicurezza personalizzato, aggiorna il valore del parametro HelperInstanceSecurityGroupId con l'ID del tuo gruppo di sicurezza. Se hai scelto una sottorete pubblica, imposta il parametro AssociatePublicIpAddress su True. In alternativa, imposta il parametro SubnetId come CreateNewVPC affinché l'automa crei un nuovo VPC con la connettività richiesta.
Problema: l'istanza interessata non si arresta perché la protezione da arresto è attivata.
Soluzione: disattiva la protezione da arresto per l'istanza interessata ed esegui nuovamente l'automazione.
Nota: se l’istanza utilizza volumi di archivio dell’istanza, i dati archiviati su tali volumi non persistono quando l'istanza viene interrotta.
Problema: l’istanza helper non si avvia.
Soluzione: il tipo di istanza selezionato per l'istanza EC2Rescue potrebbe non essere disponibile nella zona di disponibilità della sottorete dell'istanza helper. Utilizza un tipo di istanza supportato nella stessa zona di disponibilità dell'istanza helper.
Problema: quando l'automazione verifica che la creazione dello stack AWS CloudFormation è completata, si verifica l'errore "Stack AWSSupport-EC2Rescue-{UUID} entered unexpected state: DELETE_IN_PROGRESS".
Soluzione: per determinare cosa ha causato l’errore dello stack, ottieni l'ID UUID e usa la console CloudFormation. Questo errore può verificarsi se non si dispone delle autorizzazioni per creare le risorse dello stack. Per ulteriori informazioni, consulta la sezione Required IAM permissions di AWSSupport-StartEC2RescueWorkflow e Come posso risolvere gli errori di accesso negato o di operazione non autorizzata con una policy IAM?
Problema: il runbook ha esito negativo nella fase assertInstanceRootVolumeIsNotEncrypted del flusso di lavoro di automazione a causa di un volume EBS crittografato.
Soluzione: se il volume utilizza la crittografia EBS, imposta il parametro AllowEncryptedVolume su True.
Problema: il VPC predefinito è stato eliminato.
Soluzione: Imposta il parametroSubnetId su CreateNewVPC per creare un nuovo VPC che consenta il ripristino corretto dell'istanza.
Problema: la fase del flusso di lavoro di automazione detachInstanceRootVolume ha esito negativo e viene visualizzato il messaggio di errore "error occurred (IncorrectState) when calling the DetachVolume operation: Unable to detach root volume".
Soluzione: quando esegui l'automazione, mantieni l'istanza nello stato Arrestato.
**Ripristino manuale dell'istanza **
Problema: l'istanza non si avvia con l'errore: "The application or operating system couldn't be loaded because a registered file is missing or contains errors".
Soluzione: se non hai selezionato Correggi firma disco, potrebbe verificarsi una collisione tra le firme del disco.
Per risolvere questo problema, segui il passaggio 8 nella procedura di ripristino manuale. Se hai ripristinato l'istanza senza EC2 Rescue, consulta Troubleshoot issues with Amazon EC2 Windows instances.
Nota: se le soluzioni precedenti non risolvono il problema di connettività all’istanza EC2, contatta il Supporto AWS. Assicurati di acquisire un’istantanea dell'istanza irraggiungibile.
Informazioni correlate
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata 7 mesi fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa