Cómo GuardDuty analiza los volúmenes de EBS para detectar malware - Amazon GuardDuty

Cómo GuardDuty analiza los volúmenes de EBS para detectar malware

En esta sección, se explica cómo la protección contra malware para EC2, que incluye tanto el análisis de malware iniciado por GuardDuty como el análisis de malware bajo demanda, analiza los volúmenes de Amazon EBS asociados a las instancias y cargas de trabajo de contenedores de Amazon EC2. Antes de continuar, tenga en cuenta las siguientes personalizaciones:

  • Opciones de análisis: la Protección contra malware para EC2 ofrece la posibilidad de especificar etiquetas para incluir o excluir las instancias de Amazon EC2 y los volúmenes de Amazon EBS del proceso de análisis. Solo el análisis de malware iniciado por GuardDuty admite opciones de análisis con etiquetas definidas por el usuario. Tanto el análisis de malware iniciado por GuardDuty como el análisis de malware bajo demanda admiten la etiqueta global GuardDutyExcluded. Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.

  • Retención de instantáneas: la protección contra malware para EC2 ofrece una opción para retener las instantáneas de los volúmenes de Amazon EBS en la cuenta de AWS. Por defecto, esta opción está desactivada. Puede optar por la retención de instantáneas tanto para los análisis de malware iniciados por GuardDuty como para los análisis bajo demanda. Para obtener más información, consulte Retención de instantáneas.

Si GuardDuty genera uno o más Resultados que invocan un análisis de malware iniciado por GuardDuty, será motivo para que GuardDuty inicie un análisis de malware. Si las opciones de análisis no excluyen esta instancia, GuardDuty iniciará el análisis.

Para iniciar un análisis de malware bajo demanda en los volúmenes de Amazon EBS asociados a una instancia de Amazon EC2, proporcione el nombre de recurso de Amazon (ARN) de la instancia de Amazon EC2.

Como respuesta al inicio de un análisis de malware bajo demanda o un análisis automático iniciado por GuardDuty, este servicio crea instantáneas de los volúmenes de EBS relevantes asociados con el recurso potencialmente afectado y las comparte con la Cuentas de servicio de GuardDuty. Cuando GuardDuty crea instantáneas de los volúmenes de EBS, agrega una etiqueta predeterminada llamada GuardDutyScanId. Esta etiqueta ayuda a GuardDuty a acceder a la instantánea. Asegúrese de no quitar esta etiqueta. A partir de estas instantáneas, GuardDuty crea una réplica cifrada del volumen de EBS en la cuenta de servicio.

Una vez finalizado el análisis, GuardDuty elimina las réplicas cifradas y las instantáneas de los volúmenes de EBS. La configuración de retención de instantáneas está desactivada de manera predeterminada. Sin embargo, las instantáneas se conservan si el bloqueo de instantáneas de Amazon EBS está habilitado para ellas, independientemente de los resultados y la configuración del análisis. GuardDuty no puede modificar la configuración de bloqueo de instantáneas de Amazon EBS.

En la siguiente lista se describe el comportamiento de retención de las instantáneas, independientemente del bloqueo de instantáneas de EBS:

La retención de instantáneas está activada:

  • Cuando se encuentra malware, GuardDuty retiene las instantáneas en su Cuenta de AWS.

  • Cuando no se encuentra ningún malware, GuardDuty no conserva las instantáneas a menos que estén bloqueadas.

La retención de instantáneas está desactivada (de manera predeterminada):

  • Tanto si se encuentra malware como si no, las instantáneas no se retienen.

  • GuardDuty no puede eliminar las instantáneas bloqueadas de Amazon EBS.

GuardDuty retendrá cada de réplica de volumen de EBS en la cuenta de servicio durante un máximo de 55 horas. Si se produce una interrupción del servicio o un error con la réplica de un volumen de EBS y su análisis de malware, GuardDuty retendrá dicho volumen de EBS durante un máximo de siete días. El periodo prolongado de retención del volumen sirve para clasificar y solucionar la interrupción o el error. La protección contra malware de GuardDuty para EC2 eliminará las réplicas de los volúmenes de EBS de la cuenta de servicio una vez que se solucione la interrupción o el error, o una vez que haya transcurrido el periodo de retención prolongado.

Para obtener información sobre la metodología de detección de malware de GuardDuty y los motores de análisis que utiliza, consulte Motor de análisis de detección de malware de GuardDuty.