¿Cómo funciona Malware Protection for Backup? - Amazon GuardDuty
Descripción general de Se requiere el rol de IAM para el escaneoRevisión del estado y el resultado del análisis de los recursosRevisar los resultados generados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Cómo funciona Malware Protection for Backup?

En esta sección se describen los componentes de Malware Protection for Backup, cómo funciona y cómo puede revisar el estado y el resultado del análisis de malware.

Descripción general de

Malware Protection for Backup es una función que le ayuda a detectar la presencia de malware en las instantáneas, EC2 imágenes (AMI) y puntos de recuperación de EBS que pertenecen a los tipos de recursos de EBS y S3. EC2 Puede iniciar un análisis de software malicioso bajo demanda a través de la GuardDuty consola o la API. Para ello, asigne una función de IAM que proporcione los permisos necesarios para el análisis, además de uno o dos recursos, ARNs según la categoría del análisis. Existen dos categorías de análisis posibles: escaneos completos y escaneos incrementales.

Escaneo completo y escaneo incremental

En un análisis completo, la API aceptará el ARN de un recurso y analizará todos los archivos de ese recurso. Por otro lado, un escaneo incremental toma dos recursos ARNs, ambos pertenecientes al mismo recurso, y escanea los archivos modificados entre ellos. Como ejemplo, supongamos que tomamos una instantánea de un volumen de EBS. Llamémoslo snapshot-1. Si se realiza un escaneo completo de esta instantánea, GuardDuty escanea todos los archivos que contiene esta instantánea. Supongamos ahora que se han añadido algunos archivos al mismo volumen y que se ha tomado una nueva instantánea. Vamos a llamarla snapshot-2. Como solo unos pocos archivos han cambiado entre la snapshot-1 y la snapshot-2, se puede activar un escaneo incremental con el recurso de estas dos instantáneas. ARNs En este caso, se hace referencia a la snapshot-2 como el recurso y a la snapshot-1 como el recurso. target base Verá que esta terminología se utiliza en el resto del documento. Este escaneo incremental escaneará los archivos modificados entre la snapshot-1 y la snapshot-2.

Volver a escanear los archivos previamente infectados en un análisis incremental

Como parte de un análisis incremental, también GuardDuty volverá a analizar los archivos previamente infectados desde el análisis base durante un máximo de 90 días.

Requisitos para un análisis incremental

Se deben cumplir los siguientes requisitos GuardDuty para realizar un escaneo incremental. Si no se cumple alguno de estos requisitos, GuardDuty omitirá el escaneo.

  • El recurso base debe escanearse en los últimos 90 días y el resultado del escaneo debe estar en COMPLETED oCOMPLETED_WITH_ISSUES.

  • El recurso base debe tener una fecha de creación anterior a la del recurso de destino.

  • Los recursos base y de destino deben tener el mismo tipo de cifrado en el caso de las instantáneas.

  • Los recursos base y de destino deben ser del mismo linaje.

    • En el caso de una instantánea de EBS y un punto de recuperación de EBS, esto significa que proceden del mismo volumen o de copias del mismo volumen, sin ningún cambio en el tipo de cifrado.

    • En el caso de un punto de recuperación de S3, el recurso base y el de destino ARNs deben crearse a partir del mismo depósito de S3 subyacente.

    • En caso afirmativo AMIs, se comparan pares de instantáneas entre la AMI base y la de destino para identificar las instantáneas para un escaneo incremental. Cada par de instantáneas debe cumplir las condiciones mencionadas anteriormente. Se omitirá cualquier instantánea de la AMI de destino que no tenga una instantánea coincidente correspondiente en la AMI base.

Volver a escanear los recursos de respaldo escaneados anteriormente

Puede iniciar un nuevo análisis de malware bajo demanda en el mismo recurso transcurridos 10 minutos desde la hora de inicio del análisis de malware anterior. Si el nuevo análisis de malware se inicia dentro de los 10 minutos siguientes al inicio del anterior, tu solicitud generará el siguiente error y no se generará ningún identificador de análisis para esta solicitud. Los pasos para volver a analizar la instancia son los mismos que para iniciar un análisis de malware bajo demanda por primera vez.

Se requiere el rol de IAM para el escaneo

Debe asignar una función de IAM para iniciar un escaneo completo o incremental. Esta función proporciona los permisos necesarios para realizar las operaciones de escaneo. GuardDuty Protección contra malware para Backup: permisos de rol de IAMproporciona la lista exacta de los permisos necesarios, junto con la política de confianza pertinente que se necesita para realizar el análisis.

Revisión del estado y el resultado del análisis de los recursos

GuardDuty publica el evento resultante del escaneo en el bus de eventos EventBridge predeterminado de Amazon. GuardDuty utiliza la at-least-once entrega, lo que significa que puede recibir varios resultados de escaneo para el mismo objeto. Le recomendamos que diseñe sus aplicaciones para gestionar los resultados duplicados. Solo se le facturará una vez por cada objeto analizado.

Para obtener más información, consulte Supervisión de los estados de los escaneos y de los resultados en Malware Protection for Backup.

Revisar los resultados generados

La revisión de los resultados depende de si utiliza o no Malware Protection for Backup with GuardDuty. Considere los siguientes escenarios:

Uso de Malware Protection for Backup cuando el GuardDuty servicio está activado (ID del detector)

Si el análisis de malware detecta un archivo potencialmente malicioso en un recurso de Backup escaneado, GuardDuty generará un hallazgo asociado. Puede ver los detalles del resultado y seguir los pasos recomendados para remediarlo potencialmente. Según la frecuencia de tus hallazgos de exportación, el hallazgo generado se exporta a un bucket de S3 y a un bus de EventBridge eventos de Amazon.

Para obtener información sobre el tipo de hallazgo que se generaría, consulte Tipos de búsqueda de Malware Protection for Backup Búsqueda de tipos de Malware Protection for Backup.

Uso de Malware Protection for Backup como función independiente (sin ID de detector)

GuardDuty no podrá generar resultados porque no hay un ID de detector asociado. Para conocer el estado del escaneo de su recurso de respaldo, puede ver el resultado del escaneo que GuardDuty se publica automáticamente en su bus de eventos predeterminado.

Para obtener información sobre el estado y el resultado del escaneo, consulteSupervisión de los estados de los escaneos y de los resultados en Malware Protection for Backup.

nota

Si también utiliza Malware Protection para S3, existe la posibilidad de que su archivo S3 se haya etiquetado anteriormente como NO_THREATS_FOUND y, sin embargo, el mismo archivo aparezca en la lista de amenazas del Punto de Recuperación de Backup al que pertenece ese objeto. Esto ocurre porque el servicio actualiza con frecuencia sus firmas de malware, lo que puede haber cambiado el estado del archivo. Tenga en cuenta que, en esos casos, GuardDuty no actualiza la etiqueta del archivo en el depósito de S3 original. La única forma de aplicar una etiqueta actualizada al archivo es volver a cargar el objeto en el depósito o utilizar la función de escaneo bajo demanda de S3.