Supervisar los estados de los escaneos y los resultados de la protección contra malware para EC2

Tras iniciar un análisis de malware en una EC2 instancia de Amazon, GuardDuty proporciona los campos de estado y resultado automáticamente. Puede supervisar el estado durante las transiciones y ver si se ha detectado malware. En la siguiente tabla se muestran los valores posibles asociados al análisis de malware.

Categoría	Valores potenciales de
Estado del análisis	`Running`, `Completed`, `Skipped` o `Failed`
Resultado del escaneo *	`Clean` o `Infected`
Tipo de análisis	`GuardDuty initiated` o `On demand`

*El resultado del escaneo se rellena solo cuando el estado del escaneo pasa Completed a ser. El resultado del análisis Infected significa que GuardDuty se detectó la presencia de malware.

Los resultados de cada análisis de malware tienen un periodo de retención de 90 días. Elija el método de acceso que prefiera para realizar un seguimiento del estado de su análisis de malware.

Console

Abre la GuardDuty consola en https://console.aws.amazon.com/guardduty/.
En el panel de navegación, selecciona los escaneos de EC2 malware.
Puede filtrar los escaneos de malware por las siguientes propiedades disponibles en la barra de búsqueda de filtros.
- ID de escaneo: identificador único asociado al escaneo de EC2 malware.
- ID de cuenta: Cuenta de AWS ID en el que se inició el análisis de malware.
- EC2 ARN de instancia: nombre de recurso de Amazon (ARN) asociado a la EC2 instancia de Amazon asociada al escaneo.
- Estado del escaneo: el estado del escaneo del volumen de EBS, como en ejecución, omitido y completado
- Tipo de análisis: indica si se trata de un análisis de malware bajo demanda o de un análisis de malware GuardDuty iniciado por el usuario.

API/CLI

Una vez que el análisis de malware obtenga un resultado, DescribeMalwareScansutilícelo para filtrar los escaneos de malware en función de EC2_INSTANCE_ARNSCAN_ID,ACCOUNT_ID, SCAN_TYPE GUARDDUTY_FINDING_IDSCAN_STATUS, ySCAN_START_TIME.

Los criterios de GUARDDUTY_FINDING_ID filtrado están disponibles cuando SCAN_TYPE se GuardDuty inicia el.
Puede cambiar el ejemplo filter-criteria en el siguiente comando. Actualmente, puede filtrar de una CriterionKey a la vez. Las opciones de CriterionKey son EC2_INSTANCE_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE GUARDDUTY_FINDING_ID, SCAN_STATUS y SCAN_START_TIME.

Puede cambiar el max-results (hasta 50) y elsort-criteria. El AttributeName es obligatorio y debe ser scanStartTime.

En el siguiente ejemplo, los valores de red son marcadores de posición. Sustitúyalos por los valores adecuados para su cuenta. Por ejemplo, sustituya el ejemplo por detector-id 60b8777933648562554d637e0e4bb3b2 el suyo válidodetector-id. Si usa el mismo que CriterionKey se muestra a continuación, asegúrese de reemplazar el ejemplo por EqualsValue el suyo válido AWS scan-id.
```
aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```
La respuesta de este comando muestra un resultado como máximo con detalles sobre el recurso afectado y los resultados de malware (si está Infected).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Volver a escanear una instancia de Amazon EC2 previamente escaneada

GuardDuty cuenta de servicio