Supervisión de los estados de los escaneos y de los resultados en Malware Protection for Backup - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Supervisión de los estados de los escaneos y de los resultados en Malware Protection for Backup

Tras iniciar un análisis de malware, GuardDuty proporciona algunos mecanismos mediante los que puede supervisar el estado y el resultado del análisis. En la siguiente tabla se muestran algunos de los valores asociados a los escaneos de malware.

Categoría Valores potenciales de

Estado del análisis

RUNNING COMPLETED COMPLETED_WITH_ISSUES, FAILED o SKIPPED

Categoría de escaneo

FULL_SCAN o INCREMENTAL_SCAN

Tipo de análisis

GUARDDUTY_INITIATED, ON_DEMAND o BACKUP_INITIATED

Estado del resultado del escaneo

NO_THREATS_FOUND o THREATS_FOUND

*Tenga en cuenta que es posible que el estado del resultado del escaneo no esté presente si el escaneo no se completó. El estado del resultado del análisis de THREATS_FOUND indica que se ha GuardDuty detectado la presencia de malware.

Los escaneos también se pueden omitir por varios motivos. En la siguiente tabla se explican los motivos por los que se pueden omitir los escaneos:

Motivo de omisión del escaneo Motivo

ACCESS_DENIED

Customer Role no tiene los permisos necesarios para que el servicio realice el escaneo

RESOURCE_NOT_FOUND

El recurso que se intenta escanear no existe en la cuenta o se eliminó durante el escaneo

SNAPSHOT_SIZE_LIMIT_EXCEEDED

El tamaño de la instantánea es superior al que admite actualmente GuardDuty

INCREMENTAL_NO_DIFFERENCE

Los recursos especificados en la solicitud de escaneo incremental no tienen ninguna diferencia

RESOURCE_UNAVAILABLE

El recurso no está en el estado esperado. Si el escaneo es incremental, el punto de recuperación base no está en el estado DISPONIBLE o COMPLETADO

RECURSOS NO RELACIONADOS

En el caso de los escaneos incrementales, el recurso base y el actual no son del mismo linaje

BASE_RESOURCE_NOT_SCAN

En el caso de los escaneos incrementales, el recurso base no se escaneó previamente o no se encontró ningún escaneo completo

BASE_CREATED_AFTER_TARGET

En el caso de los escaneos incrementales, la fecha de creación del recurso base es superior a la fecha de creación del recurso actual

UNSUPPORTED_FOR_INCREMENTAL

El tipo de recurso solicitado no admite el análisis incremental

UNSUPPORTED_AMI

Las AMI públicas, las AMI con solo almacenamiento efímero y las AMI que no estén en un estado disponible no son aptas para el escaneo

UNSUPPORTED_SNAPSHOT

Las instantáneas almacenadas en frío no son aptas para el escaneo

UNSUPPORTED_COMPOSITE_RP

El escaneo no es compatible con los tipos de recursos compuestos

UNSUPPORTED_PRODUCT_CODE_TYPE

El recurso solicitado contiene un código de producto de Amazon Marketplace que no admite el escaneo

AMI_SNAPSHOT_LIMIT_EXCEEDED

Las AMI no admiten el escaneo de más de 40 instantáneas

NO_EBS_VOLUMES_FOUND

No se encontraron mapeos de dispositivos de bloques de Ebs para el recurso solicitado

UNRELATED_RESOURCES

Para los escaneos incrementales, el arn del recurso base es diferente del arn del recurso esperado

Los resultados del escaneo tienen un período de retención de 90 días. Elija el método de acceso que prefiera para realizar un seguimiento del estado de su análisis de malware.

Supervisión de los escaneos mediante la consola

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Análisis de malware.

  3. Puede filtrar los análisis de malware según las siguientes Propiedades disponibles en la barra de criterios de filtro.

    • ID de análisis – Unique identifier associated with the malware scan.
    • ID de cuenta – Account where the malware scan initiated.
    • ARN de recurso – Amazon Resource Name (ARN) associated with the Amazon resource associated with the scan.
    • Tipo de recurso – The type of resource associated with the scan, such as EC2 Instance, EBS Snapshot | EC2 AMI, EBS Recovery Point, EC2 Recovery Point, or S3 Recovery Point.
    • Status – The scan status of the scan, such as Running, Skipped, Completed, Completed with Issues, or Failed.
    • Tipo de escaneo – Indicates whether this was an On-demand, GuardDuty-initiated, or Backup-Initiated malware scan.

Supervisión de escaneos mediante la API/CLI

  • You can invoke ListMalwareScans to filter malware scans by RESOURCE_ARN, SCAN_ID, ACCOUNT-ID, SCAN_TYPE GUARDDUTY_FINDING_ID, SCAN_STATUS, TIPO_RECURSO, and SCAN_START_TIME. You may also invoke GetMalwareScan to retrieve more detailed metadata of a scan by providing a scan-id as input. The GUARDDUTY_FINDING_ID filter criteria is available when the TIPO_ESCANEO is GuardDuty initiated.
  • You may change the example criterios de filtro in the command below, and can filter on the basis of one CriterionKey at a time. The options for CriterionKey are Resource_ARN, SCAN_ID, ACCOUNT-ID, SCAN_TYPE, GUARDDUTY_FINDING_ID, SCAN_STATUS, TIPO_RECURSO, and SCAN_START_TIME. You can change the resultados máximos (up to 50) and the criterios de clasificación. The AttributeName field is mandatory for criterios de clasificación and must be set to scanStartTime. In the following example, the values in red are placeholders. Replace them with the values appropriate for your account. If you use the same CriterionKey as below for ListMalwareScans, ensure to replace the example EqualsValue with the tipo de recurso you want to filter by. 
    aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
    aws guardduty get-malware-scan --scan-id abc123
  • The response for the above command for ListMalwareScans will return up to 25 scans with some details about the affected resource(s). The response for the above command for GetMalwareScan will return a single scan with detailed metadata about the scan.

Monitorear escaneos mediante EventBridge

Amazon EventBridge es un servicio de bus de eventos sin servidor que facilita la conexión de sus aplicaciones con datos de diversas fuentes. EventBridge ofrece un flujo de datos en tiempo real desde sus propias aplicaciones, aplicaciones Software-as-a-Service (SaaS) y servicios de Amazon, y dirige esos datos a destinos como Lambda. Esto le permite monitorear los eventos que ocurren en los servicios y crear arquitecturas basadas en eventos. Para obtener más información, consulta la Guía del EventBridge usuario de Amazon.

GuardDuty publica EventBridge las notificaciones en el bus de eventos predeterminado una vez que se determina el estado del escaneo. Puedes configurar EventBridge reglas en tu cuenta para enviar eventos a otros servicios integrados con Amazon EventBridge. Se aplicará el EventBridge precio estándar. Para obtener más información, consulta los EventBridge precios de Amazon.

Muchos de los valores que se muestran a continuación son marcadores de posición para el ejemplo y variarán en función del escaneo.

Eventos de resultados del análisis de malware

Posibles valores de tipo de detalle para Backup:

  • “GuardDuty Malware Protection EBS Snapshot Scan Result”
  • “GuardDuty Malware Protection EC2 AMI Scan Result”
  • “GuardDuty Malware Protection S3 Recovery Point Scan Result”
  • “GuardDuty Malware Protection EBS Recovery Point Scan Result”
  • “GuardDuty Malware Protection EC2 Recovery Point Scan Result”

Ejemplo de patrón de eventos:

{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

Ejemplo de esquema de notificación para el análisis de EC2 AMI sin encontrar amenazas:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}
Mostrar másMostrar menos

Ejemplo de esquema de notificación para el análisis de EC2 AMI con amenazas encontradas:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}
Mostrar másMostrar menos

Ejemplo de esquema de notificación para el escaneo de EC2 AMI omitido:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}
Mostrar másMostrar menos