Wie funktioniert Malware Protection for Backup? - Amazon GuardDuty
-ÜbersichtFür das Scannen ist eine IAM-Rolle erforderlichStatus und Ergebnis des Ressourcenscans werden überprüftÜberprüfung der generierten Ergebnisse

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie funktioniert Malware Protection for Backup?

In diesem Abschnitt werden die Komponenten von Malware Protection for Backup beschrieben, wie es funktioniert und wie Sie den Status und das Ergebnis des Malware-Scans überprüfen können.

-Übersicht

Malware Protection for Backup ist eine Funktion, mit der Sie das Vorhandensein von Malware auf EBS-Snapshots, EC2 Images (AMI) und Wiederherstellungspunkten der Ressourcentypen EBS und S3 erkennen können. EC2 Sie können einen On-Demand-Malware-Scan entweder über die GuardDuty Konsole oder die API starten, indem Sie eine IAM-Rolle übergeben, die die für den Scan erforderlichen Berechtigungen bereitstellt, zusammen mit einer oder zwei Ressourcen, ARNs je nach Scan-Kategorie. Es sind zwei Scan-Kategorien möglich: vollständige Scans und inkrementelle Scans.

Vollständiger Scan und Inkrementeller Scan

Bei einem vollständigen Scan akzeptiert die API einen Ressourcen-ARN und scannt alle Dateien innerhalb dieser Ressource. Ein inkrementeller Scan benötigt dagegen zwei Ressourcen ARNs, die beide zu derselben Ressource gehören, und scannt die geänderten Dateien zwischen ihnen. Nehmen wir als Beispiel an, wir erstellen einen Snapshot eines EBS-Volumes. Nennen wir es Snapshot-1. Wenn für diesen Snapshot ein vollständiger Scan durchgeführt wird, werden alle in diesem Snapshot enthaltenen Dateien GuardDuty gescannt. Gehen wir nun davon aus, dass einige Dateien demselben Volume hinzugefügt wurden und ein neuer Snapshot erstellt wird. Nennen wir es Snapshot-2. Da sich nur wenige Dateien zwischen Snapshot-1 und Snapshot-2 geändert haben, kann man mit der Ressource dieser beiden Snapshots einen inkrementellen Scan auslösen. ARNs In diesem Fall wird Snapshot-2 als Ressource und Snapshot-1 als Ressource bezeichnet. target base Sie werden sehen, dass diese Terminologie im Rest des Dokuments verwendet wird. Bei diesem inkrementellen Scan werden die geänderten Dateien zwischen Snapshot-1 und Snapshot-2 gescannt.

Zuvor infizierte Dateien werden bei einem inkrementellen Scan erneut gescannt

Im Rahmen eines inkrementellen Scans GuardDuty werden auch die zuvor infizierten Dateien aus dem Basis-Scan für bis zu 90 Tage erneut gescannt.

Voraussetzungen für einen inkrementellen Scan

Die folgenden Voraussetzungen müssen erfüllt sein, GuardDuty um einen inkrementellen Scan durchführen zu können. Wenn eine dieser Anforderungen nicht erfüllt ist, GuardDuty wird der Scan übersprungen.

  • Die Basisressource muss innerhalb der letzten 90 Tage gescannt werden und das Scanergebnis muss den Wert COMPLETED oder habenCOMPLETED_WITH_ISSUES.

  • Das Erstellungsdatum der Basisressource muss vor dem der Zielressource liegen.

  • Bei Snapshots müssen die Basis- und Zielressourcen denselben Verschlüsselungstyp haben.

  • Die Basis- und Zielressourcen müssen aus derselben Herkunft stammen.

    • Für einen EBS-Snapshot und einen EBS-Wiederherstellungspunkt bedeutet dies, dass sie entweder von demselben Volume oder von Kopien desselben Volumes stammen, ohne dass sich der Verschlüsselungstyp ändert.

    • Für einen S3-Wiederherstellungspunkt ARNs müssen die Basis- und Zielressource aus demselben zugrunde liegenden S3-Bucket erstellt werden.

    • Im Fall von AMIs werden Snapshot-Paare zwischen dem Basis- und dem Ziel-AMI verglichen, um Snapshots für einen inkrementellen Scan zu identifizieren. Jedes Snapshot-Paar muss die oben genannten Bedingungen erfüllen. Jeder Snapshot innerhalb des Ziel-AMI, für den kein entsprechender Snapshot im Basis-AMI vorhanden ist, wird übersprungen.

Zuvor gescannte Backup-Ressourcen erneut scannen

Sie können einen neuen On-Demand-Malware-Scan für dieselbe Ressource starten, wenn der vorherige Malware-Scan 10 Minuten nach dem Start des vorherigen Malware-Scans beginnt. Wenn der neue Malware-Scan innerhalb von 10 Minuten nach dem Start des vorherigen Malware-Scans gestartet wird, führt Ihre Anfrage zu dem folgenden Fehler, und es wird keine Scan-ID für diese Anfrage generiert. Die Schritte zum erneuten Scannen der Instanz sind dieselben wie beim ersten Starten eines On-Demand-Malware-Scans.

Für das Scannen ist eine IAM-Rolle erforderlich

Sie müssen eine IAM-Rolle übergeben, um einen vollständigen oder inkrementellen Scan zu starten. Diese Rolle stellt die Berechtigungen bereit, die für die Ausführung der Scanvorgänge erforderlich sind. GuardDuty Malware-Schutz für Backup: IAM-Rollenberechtigungenstellt die genaue Liste der erforderlichen Berechtigungen zusammen mit der entsprechenden Vertrauensrichtlinie bereit, die für die Durchführung des Scans erforderlich ist.

Status und Ergebnis des Ressourcenscans werden überprüft

GuardDuty veröffentlicht das Scanergebnis-Ereignis im EventBridge Amazon-Standardereignisbus. GuardDuty verwendet die at-least-once Zustellung, was bedeutet, dass Sie möglicherweise mehrere Scanergebnisse für dasselbe Objekt erhalten. Wir empfehlen, Ihre Anwendungen so zu gestalten, dass doppelte Ergebnisse verarbeitet werden. Für jedes gescannte Objekt wird Ihnen nur einmal eine Rechnung gestellt.

Weitere Informationen finden Sie unter Überwachen von Scanstatus und Ergebnissen in Malware Protection for Backup.

Überprüfung der generierten Ergebnisse

Die Überprüfung der Ergebnisse hängt davon ab, ob Sie Malware Protection for Backup mit verwenden oder nicht GuardDuty. Betrachten Sie folgende Szenarien:

Verwenden von Malware Protection for Backup, wenn Sie den GuardDuty Dienst aktiviert haben (Detector-ID)

Wenn der Malware-Scan eine potenziell schädliche Datei in einer gescannten Backup-Ressource entdeckt, GuardDuty wird ein entsprechender Befund generiert. Sie können sich die Details des Befundes ansehen und die empfohlenen Schritte anwenden, um das Ergebnis möglicherweise zu beheben. Basierend auf der Häufigkeit Ihrer Exportergebnisse wird das generierte Ergebnis in einen S3-Bucket und einen EventBridge Amazon-Event-Bus exportiert.

Informationen zu dem Findetyp, der generiert werden würde, Malware-Schutz für Backup-Suchtypen finden Sie unter Suchtypen für Malware Protection for Backup.

Verwendung von Malware Protection for Backup als eigenständige Funktion (keine Detektor-ID)

GuardDuty kann keine Ergebnisse generieren, da keine zugehörige Detektor-ID vorhanden ist. Um den Scanstatus für Ihre Backup-Ressource zu ermitteln, können Sie sich das Scanergebnis ansehen, das GuardDuty automatisch in Ihrem Standard-Event-Bus veröffentlicht wird.

Informationen zum Scanstatus und zum Ergebnis finden Sie unterÜberwachen von Scanstatus und Ergebnissen in Malware Protection for Backup.

Anmerkung

Wenn Sie auch Malware Protection for S3 verwenden, besteht die Möglichkeit, dass Ihre S3-Datei zuvor als NO_THREATS_FOUND markiert wurde und dennoch dieselbe Datei in der Bedrohungsliste für den Backup Recovery Point auftaucht, zu dem das Objekt gehört. Dies liegt daran, dass der Dienst seine Malware-Signaturen häufig aktualisiert, wodurch sich möglicherweise der Status der Datei geändert hat. Bitte beachten Sie, dass in solchen Fällen GuardDuty das Tag auf der Datei im ursprünglichen S3-Bucket nicht aktualisiert wird. Die einzige Möglichkeit, ein aktualisiertes Tag auf die Datei anzuwenden, besteht darin, das Objekt erneut in den Bucket hochzuladen oder die On-Demand-Scanfunktion für S3 zu verwenden.