Surveillance de l'état des scans et des résultats de la protection contre les logiciels malveillants pour Backup - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillance de l'état des scans et des résultats de la protection contre les logiciels malveillants pour Backup

Après le lancement d'une analyse des logiciels malveillants, GuardDuty fournit quelques mécanismes grâce auxquels vous pouvez surveiller l'état et le résultat d'une analyse. Le tableau suivant fournit certaines des valeurs associées aux analyses de programmes malveillants.

Catégorie Valeurs potentielles

État de l'analyse

RUNNING, COMPLETED, COMPLETED_WITH_ISSUES, FAILED ou SKIPPED

Catégorie de numérisation

FULL_SCAN ou INCREMENTAL_SCAN

Type d'analyse

GUARDDUTY_INITIATED, ON_DEMAND ou BACKUP_INITIATED

État des résultats du scan

NO_THREATS_FOUND ou THREATS_FOUND

*Notez que l'état des résultats du scan peut ne pas être présent si le scan n'est pas terminé. L'état des résultats du scan de THREATS_FOUND indique que la présence d'un GuardDuty logiciel malveillant a été détectée.

Les scans peuvent également être ignorés pour diverses raisons. Le tableau ci-dessous explique les raisons pour lesquelles les scans peuvent être ignorés :

Motif du scan ignoré Raison

ACCÈS REFUSÉ

Le rôle du client ne dispose pas des autorisations requises pour que le service effectue l'analyse

RESSOURCE_INTROUVABLE

La ressource qui tente d'être scannée n'existe pas dans le compte ou a été supprimée lors de la numérisation

SNAPSHOT_SIZE_LIMIT_EXCEEDED

La taille de l'instantané est supérieure à celle actuellement prise en charge par GuardDuty

INCRÉMENTAL_AUCUNE DIFFÉRENCE

Les ressources spécifiées dans la demande d'analyse incrémentielle n'ont aucune différence

RESSOURCE_INDISPONIBLE

La ressource n'est pas dans l'état attendu. Si l'analyse est incrémentielle, le point de restauration de base n'est pas à l'état DISPONIBLE ou TERMINÉ

RESSOURCES_INDÉPENDANTES

Pour les analyses incrémentielles, la ressource de base et la ressource actuelle ne proviennent pas de la même lignée

LA RESSOURCE DE BASE N'EST PAS SCANNÉE

Pour les analyses incrémentielles, la ressource de base n'a pas été scannée précédemment ou aucune analyse terminée n'a été trouvée

BASE CRÉÉE APRÈS LA CIBLE

Pour les analyses incrémentielles, la date de création de la ressource de base est supérieure à la date de création de la ressource actuelle

UNSUPPORTED_FOR_INCREMENTAL

Le type de ressource demandé ne prend pas en charge l'analyse incrémentielle

UNSUPPORTED_AMI

Les AMI publiques, les AMI ne disposant que d'un stockage éphémère et les AMI non disponibles ne sont pas éligibles à la numérisation

SNAPSHOT NON PRIS EN CHARGE

Les instantanés stockés à froid ne sont pas éligibles à la numérisation

UNSUPPORTED_COMPOSITE_RP

La numérisation n'est pas prise en charge pour les types de ressources composites

TYPE_CODE_DE PRODUIT NON PRIS EN CHARGE

La ressource demandée contient un code produit Amazon Marketplace qui ne prend pas en charge la numérisation

AMI_SNAPSHOT_LIMIT_EXCEEDED

Les AMI ne prennent pas en charge l'analyse de plus de 40 instantanés

AUCUN VOLUME N'A ÉTÉ TROUVÉ

Aucun mappage de périphérique de bloc Ebs n'a été trouvé pour la ressource demandée

RESSOURCES_INDÉPENDANTES

Pour les analyses incrémentielles, l'arn de la ressource de base est différent de l'arn de la ressource attendue

Les résultats du scan ont une période de conservation de 90 jours. Choisissez votre méthode d'accès préférée pour suivre l'état de votre analyse des logiciels malveillants.

Surveillance des scans à l'aide de la console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le panneau de navigation, choisissez Analyses des logiciels malveillants.

  3. Vous pouvez filtrer les analyses de programmes malveillants à l'aide des propriétés suivantes disponibles dans la barre de recherche du filtre.

    • ID de numérisation – Unique identifier associated with the malware scan.
    • ID de compte – Account where the malware scan initiated.
    • ARN des ressources – Amazon Resource Name (ARN) associated with the Amazon resource associated with the scan.
    • Type de ressource – The type of resource associated with the scan, such as EC2 Instance, EBS Snapshot | EC2 AMI, EBS Recovery Point, EC2 Recovery Point, or S3 Recovery Point.
    • Statut – The scan status of the scan, such as Running, Skipped, Completed, Completed with Issues, or Failed.
    • Type de numérisation – Indicates whether this was an On-demand, GuardDuty-initiated, or Backup-Initiated malware scan.

Surveillance des scans à l'aide de l'API/CLI

  • You can invoke ListMalwareScans to filter malware scans by RESOURCE_ARN, SCAN_ID, ID_COMPTE, SCAN_TYPE GUARDDUTY_FINDING_ID, SCAN_STATUS, TYPE_RESSOURCE, and HEURE DE DÉMARRAGE DU SCAN. You may also invoke GetMalwareScan to retrieve more detailed metadata of a scan by providing a scan-id as input. The GUARDDUTY_FINDING_ID filter criteria is available when the SCAN_TYPE is GuardDuty initiated.
  • You may change the example critères-filtres in the command below, and can filter on the basis of one CriterionKey at a time. The options for CriterionKey are Resource_ARN, SCAN_ID, ID_COMPTE, SCAN_TYPE, GUARDDUTY_FINDING_ID, SCAN_STATUS, TYPE_RESSOURCE, and HEURE DE DÉMARRAGE DU SCAN. You can change the résultats maximaux (up to 50) and the critères de tri. The AttributeName field is mandatory for critères de tri and must be set to scanStartTime. In the following example, the values in red are placeholders. Replace them with the values appropriate for your account. If you use the same CriterionKey as below for ListMalwareScans, ensure to replace the example EqualsValue with the type de ressource you want to filter by. 
    aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
    aws guardduty get-malware-scan --scan-id abc123
  • The response for the above command for ListMalwareScans will return up to 25 scans with some details about the affected resource(s). The response for the above command for GetMalwareScan will return a single scan with detailed metadata about the scan.

Surveillance des scans à l'aide EventBridge

Amazon EventBridge est un service de bus d'événements sans serveur qui permet de connecter facilement vos applications à des données provenant de diverses sources. EventBridge fournit un flux de données en temps réel à partir de vos propres applications, applications Software-as-a-Service (SaaS) et services Amazon et achemine ces données vers des cibles telles que Lambda. Cela vous permet de surveiller les événements qui se produisent dans les services et de créer des architectures basées sur les événements. Pour plus d'informations, consultez le guide de EventBridge l'utilisateur Amazon.

GuardDuty publie EventBridge des notifications sur le bus d'événements par défaut une fois que l'état du scan est déterminé. Vous pouvez configurer des EventBridge règles dans votre compte pour envoyer des événements à d'autres services intégrés à Amazon EventBridge. La EventBridge tarification standard s'appliquera. Pour plus d'informations, consultez les EventBridge tarifs Amazon.

La plupart des valeurs indiquées ci-dessous sont des espaces réservés pour l'exemple et varient en fonction du scan.

Événements liés aux résultats du scan des programmes malveillants

Valeurs de type de détail potentielles pour Backup :

  • “GuardDuty Malware Protection EBS Snapshot Scan Result”
  • “GuardDuty Malware Protection EC2 AMI Scan Result”
  • “GuardDuty Malware Protection S3 Recovery Point Scan Result”
  • “GuardDuty Malware Protection EBS Recovery Point Scan Result”
  • “GuardDuty Malware Protection EC2 Recovery Point Scan Result”

Exemple de modèle d'événement :

{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

Exemple de schéma de notification pour le scan des EC2 AMI sans détection de menaces :

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}
Afficher plusAfficher moins

Exemple de schéma de notification pour le scan des EC2 AMI en cas de détection de menaces :

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}
Afficher plusAfficher moins

Exemple de schéma de notification pour un scan EC2 AMI ignoré :

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}
Afficher plusAfficher moins