Supervisión de los estados y resultados de los análisis en Malware Protection for EC2 - Amazon GuardDuty

Supervisión de los estados y resultados de los análisis en Malware Protection for EC2

Tras iniciar un análisis de malware en una instancia de Amazon EC2, GuardDuty proporciona los campos de estado y resultado de manera automática. Puede supervisar el estado durante las transiciones y ver si se ha detectado malware. En la siguiente tabla se muestran los valores posibles asociados al análisis de malware.

Categoría Valores potenciales

Estado de análisis

Running, Completed, Skipped, o bien Failed

Resultados de análisis*

Clean or Infected

Tipo de análisis

GuardDuty initiated or On demand

*El resultado del análisis solo se rellena cuando el estado del análisis pasa a ser Completed. El resultado del análisis Infected significa que GuardDuty ha detectado la presencia de malware.

Los resultados de cada análisis de malware tienen un periodo de retención de 90 días. Elija el método de acceso que prefiera para realizar un seguimiento del estado de su análisis de malware.

Console

  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Análisis de malware en EC2.

  3. Puede filtrar los análisis de malware según las siguientes Propiedades disponibles en la barra de criterios de filtro.

    • ID de análisis: identificador único asociado al análisis de malware de EC2.

    • ID de cuenta: ID de la Cuenta de AWS en el que se inició el análisis de malware.

    • ARN de instancia de EC2: nombre de recurso de Amazon (ARN) asociado a la instancia de Amazon EC2 asociada al análisis.

    • Estado del análisis: el estado del análisis del volumen de EBS, como en ejecución, omitido y completado

    • Tipo de análisis: indica si se trata de un análisis de malware bajo demanda o de un análisis de malware iniciado por GuardDuty.

API/CLI

  • Una vez que el análisis de malware tenga un resultado, DescribeMalwareScans puede filtrar los análisis de malware en función de EC2_INSTANCE_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE GUARDDUTY_FINDING_ID, SCAN_STATUS y SCAN_START_TIME.

    Los criterios de filtro de GUARDDUTY_FINDING_ID están disponibles cuando GuardDuty inicia el SCAN_TYPE.

  • Puede cambiar los filter-criteria de ejemplo en el siguiente comando. Actualmente, puede filtrar de una CriterionKey a la vez. Las opciones de CriterionKey son EC2_INSTANCE_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE GUARDDUTY_FINDING_ID, SCAN_STATUS y SCAN_START_TIME.

    Puede cambiar los max-results (hasta 50) y los sort-criteria. El AttributeName es obligatorio y debe ser scanStartTime.

    En el ejemplo siguiente, los valore en rojo son marcadores de posición. Sustitúyalos por los valores adecuados para la cuenta. Por ejemplo, sustituya el ejemplo detector-id 60b8777933648562554d637e0e4bb3b2 por el detector-id propio y válido. Si utiliza la misma CriterionKey que se muestra a continuación, asegúrese de sustituir el EqualsValue de ejemplo por su propio scan-id de AWS válida.

    aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

  • La respuesta de este comando muestra un resultado como máximo con detalles sobre el recurso afectado y los resultados de malware (si está Infected).