Comment fonctionne Malware Protection for Backup ? - Amazon GuardDuty
Présentation de Rôle IAM requis pour la numérisationExamen de l'état et du résultat de l'analyse des ressourcesRévision des résultats générés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment fonctionne Malware Protection for Backup ?

Cette section décrit les composants de Malware Protection for Backup, son fonctionnement et la manière dont vous pouvez consulter l'état et les résultats de l'analyse des programmes malveillants.

Présentation de

Malware Protection for Backup est une fonctionnalité qui vous aide à détecter la présence de logiciels malveillants sur les instantanés, les EC2 images (AMI) et les points de restauration EBS appartenant aux types de ressources EBS et S3. EC2 Vous pouvez lancer une analyse des programmes malveillants à la demande via la GuardDuty console ou l'API en transmettant un rôle IAM fournissant les autorisations requises pour l'analyse, ainsi qu'une ou deux ressources ARNs en fonction de la catégorie d'analyse. Deux catégories de numérisation sont possibles : les analyses complètes et les analyses incrémentielles.

Scan complet et scan incrémentiel

Lors d'une analyse complète, l'API accepte un ARN de ressource et analyse tous les fichiers contenus dans cette ressource. En revanche, une analyse incrémentielle prend deux ressources ARNs, appartenant toutes deux à la même ressource, et analyse les fichiers modifiés entre elles. Par exemple, supposons que nous prenions un instantané d'un volume EBS. Appelons-le snapshot-1. Si une analyse complète est effectuée sur cet instantané, GuardDuty analyse tous les fichiers qu'il contient. Supposons maintenant que quelques fichiers aient été ajoutés au même volume et qu'un nouvel instantané soit pris. Appelons-le snapshot-2. Étant donné que seuls quelques fichiers ont changé entre le snapshot-1 et le snapshot-2, il est possible de déclencher une analyse incrémentielle avec la ressource de ces deux instantanés. ARNs Dans ce cas, snapshot-2 est appelé target ressource, et snapshot-1 est appelé ressource. base Vous verrez cette terminologie utilisée dans le reste du document. Cette analyse incrémentielle analysera les fichiers modifiés entre snapshot-1 et snapshot-2.

Nouvelle analyse des fichiers précédemment infectés dans le cadre d'une analyse incrémentielle

Dans le cadre d'une analyse incrémentielle, il GuardDuty réanalysera également les fichiers précédemment infectés à partir de l'analyse de base pendant une période maximale de 90 jours.

Exigences relatives à une analyse incrémentielle

Les conditions suivantes doivent être remplies pour GuardDuty effectuer une analyse incrémentielle. Si l'une de ces exigences n'est pas remplie, l'analyse GuardDuty sera ignorée.

  • La ressource de base doit être scannée au cours des 90 derniers jours et le résultat de l'analyse doit être dans COMPLETED ouCOMPLETED_WITH_ISSUES.

  • La date de création de la ressource de base doit être antérieure à celle de la ressource cible.

  • Les ressources de base et cible doivent avoir le même type de cryptage en cas de snapshots.

  • Les ressources de base et cibles doivent être issues de la même lignée.

    • Pour un instantané EBS et un point de restauration EBS, cela signifie qu'ils proviennent du même volume ou qu'ils proviennent de copies du même volume, sans aucune modification du type de chiffrement.

    • Pour un point de restauration S3, les ressources de base et cible ARNs doivent être créées à partir du même compartiment S3 sous-jacent.

    • Dans ce cas AMIs, des paires d'instantanés sont comparées entre l'AMI de base et l'AMI cible afin d'identifier les instantanés à analyser de manière incrémentielle. Chaque paire d'instantanés doit répondre aux conditions mentionnées ci-dessus. Tout instantané de l'AMI cible auquel aucun instantané correspondant ne correspond dans l'AMI de base sera ignoré.

Nouvelle analyse des ressources de sauvegarde précédemment numérisées

Vous pouvez lancer une nouvelle analyse de programmes malveillants à la demande sur la même ressource 10 minutes après le début de la précédente analyse de programmes malveillants. Si la nouvelle analyse des programmes malveillants est lancée dans les 10 minutes suivant le lancement de la précédente, votre demande entraînera l'erreur suivante et aucun identifiant de scan ne sera généré pour cette demande. Les étapes pour réanalyser l'instance restent les mêmes que pour lancer une analyse des programmes malveillants à la demande pour la première fois.

Rôle IAM requis pour la numérisation

Vous devez transmettre un rôle IAM pour démarrer une analyse complète ou incrémentielle. Ce rôle fournit les autorisations requises pour effectuer les opérations d'analyse. GuardDuty Protection contre les logiciels malveillants pour les sauvegardes : autorisations relatives aux rôles IAMfournit la liste exacte des autorisations requises, ainsi que la politique de confiance pertinente nécessaire pour effectuer l'analyse.

Examen de l'état et du résultat de l'analyse des ressources

GuardDuty publie l'événement du résultat du scan dans le bus d'événements EventBridge par défaut d'Amazon. GuardDuty utilise at-least-once la livraison, ce qui signifie que vous pouvez recevoir plusieurs résultats de numérisation pour le même objet. Nous vous recommandons de concevoir vos applications de manière à gérer les résultats dupliqués. Vous n'êtes facturé qu'une seule fois pour chaque objet numérisé.

Pour de plus amples informations, veuillez consulter Surveillance de l'état des scans et des résultats de la protection contre les logiciels malveillants pour Backup.

Révision des résultats générés

L'examen des résultats dépend de l'utilisation ou non de Malware Protection for Backup with GuardDuty. Réfléchissez aux scénarios suivants :

Utilisation de Malware Protection for Backup lorsque le GuardDuty service est activé (identifiant du détecteur)

Si l'analyse des programmes malveillants détecte un fichier potentiellement malveillant dans une ressource de sauvegarde scannée, elle GuardDuty générera un résultat associé. Vous pouvez consulter les détails de la recherche et suivre les étapes recommandées pour éventuellement y remédier. En fonction de la fréquence de vos résultats d'exportation, les résultats générés sont exportés vers un compartiment S3 et un bus EventBridge d'événements Amazon.

Pour plus d'informations sur le type de recherche qui serait généré, consultez la section Protection contre les programmes malveillants pour les types de recherche de Backup Recherche de types pour Malware Protection for Backup.

Utilisation de Malware Protection for Backup en tant que fonctionnalité indépendante (aucun identifiant de détecteur)

GuardDuty ne sera pas en mesure de générer des résultats car aucun identifiant de détecteur n'est associé. Pour connaître l'état du scan de votre ressource de sauvegarde, vous pouvez consulter le résultat du scan qui est GuardDuty automatiquement publié sur votre bus d'événements par défaut.

Pour plus d'informations sur l'état et le résultat de l'analyse, consultezSurveillance de l'état des scans et des résultats de la protection contre les logiciels malveillants pour Backup.

Note

Si vous utilisez également Malware Protection pour S3, il est possible que votre fichier S3 ait été précédemment étiqueté comme NO_THREATS_FOUND et que le même fichier apparaisse dans la liste des menaces pour le Backup Recovery Point auquel appartient cet objet. Cela se produit car le service met fréquemment à jour ses signatures de logiciels malveillants, ce qui peut avoir modifié l'état du fichier. Notez que dans de tels cas, il GuardDuty ne sera pas possible de revenir en arrière et de mettre à jour la balise du fichier dans le compartiment S3 d'origine. Le seul moyen d'appliquer une balise mise à jour au fichier est de télécharger à nouveau l'objet dans le compartiment ou d'utiliser la fonction d'analyse à la demande pour S3.