Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagaimana cara kerja Perlindungan Malware untuk Backup?
Bagian ini menjelaskan komponen Perlindungan Malware untuk Pencadangan, cara kerjanya, dan bagaimana Anda dapat meninjau status dan hasil pemindaian malware.
Gambaran umum
Perlindungan Malware untuk Cadangan adalah fitur yang membantu Anda mendeteksi keberadaan malware pada snapshot EBS, EC2 gambar (AMI), dan Poin Pemulihan milik EBS, EC2, dan jenis sumber daya S3. Anda dapat memulai pemindaian malware sesuai permintaan baik melalui GuardDuty konsol atau API dengan meneruskan peran IAM yang menyediakan izin yang diperlukan untuk pemindaian, bersama dengan satu atau dua sumber daya ARNs tergantung pada kategori pemindaian. Ada dua kategori pemindaian yang mungkin - pemindaian penuh dan pemindaian tambahan.
Pemindaian penuh dan pemindaian Incremental
Pemindaian penuh adalah tempat API akan menerima ARN sumber daya dan memindai semua file dalam sumber daya itu. Pemindaian tambahan di sisi lain membutuhkan dua sumber daya ARNs, keduanya milik sumber daya yang sama, dan memindai file yang diubah di antara mereka. Sebagai contoh, mari kita asumsikan kita mengambil snapshot dari volume EBS. Sebut saja snapshot-1. Jika pemindaian penuh dilakukan pada snapshot ini, GuardDuty memindai semua file yang terkandung dengan snapshot ini. Sekarang mari kita asumsikan bahwa beberapa file ditambahkan ke volume yang sama, dan snapshot baru diambil. Sebut saja snapshot-2. Karena hanya beberapa file yang berubah antara snapshot-1 dan snapshot-2, seseorang dapat memicu pemindaian tambahan dengan sumber daya kedua snapshot ini. ARNs Dalam hal ini snapshot-2 disebut sebagai target sumber daya, dan snapshot-1 disebut sebagai sumber daya. base Anda akan melihat terminologi ini digunakan di sisa dokumen. Pemindaian inkremental ini akan memindai file yang diubah antara snapshot-1 dan snapshot-2.
Memindai Ulang File yang Terinfeksi Sebelumnya dalam Pemindaian Inkremental
Sebagai bagian dari pemindaian tambahan, juga GuardDuty akan memindai ulang file yang sebelumnya terinfeksi dari pemindaian dasar hingga 90 hari.
Persyaratan untuk Pemindaian Inkremental
Persyaratan berikut harus dipenuhi GuardDuty untuk melakukan pemindaian tambahan. Jika salah satu persyaratan ini tidak terpenuhi, GuardDuty akan melewatkan pemindaian.
-
Sumber daya dasar harus dipindai dalam 90 hari terakhir dan hasil pemindaian harus dalam
COMPLETEDatauCOMPLETED_WITH_ISSUES. -
Sumber daya dasar harus memiliki tanggal pembuatan yang lebih awal dari sumber daya target.
-
Sumber daya dasar dan target harus memiliki jenis enkripsi yang sama jika terjadi snapshot.
-
Sumber daya dasar dan target harus dari garis keturunan yang sama.
-
Untuk snapshot EBS dan titik pemulihan EBS, ini berarti bahwa mereka berasal dari volume yang sama, atau salinan dari volume yang sama, tanpa perubahan dalam jenis enkripsi.
-
Untuk S3 Recovery Point, sumber daya dasar dan target ARNs harus dibuat dari bucket S3 dasar yang sama.
-
Dalam hal ini AMIs, pasangan snapshot dibandingkan antara AMI dasar dan target untuk mengidentifikasi snapshot untuk pemindaian tambahan. Setiap pasang snapshot harus memenuhi kondisi yang disebutkan di atas. Setiap snapshot dalam AMI target yang tidak memiliki snapshot yang cocok di AMI dasar akan dilewati.
-
Memindai ulang Sumber Daya cadangan yang sebelumnya dipindai
Anda dapat memulai pemindaian malware sesuai permintaan baru pada sumber daya yang sama setelah 10 menit dari waktu mulai pemindaian malware sebelumnya. Jika pemindaian malware baru dimulai dalam waktu 10 menit setelah inisiasi pemindaian malware sebelumnya, permintaan Anda akan menghasilkan kesalahan berikut, dan tidak ada ID pemindaian yang akan dihasilkan untuk permintaan ini. Langkah-langkah untuk memindai ulang instance tetap sama dengan memulai pemindaian malware sesuai permintaan untuk pertama kalinya.
Peran IAM Diperlukan untuk Pemindaian
Anda harus meneruskan peran IAM untuk memulai pemindaian penuh atau tambahan. Peran ini memberikan izin yang diperlukan untuk melakukan operasi pemindaian. GuardDuty Perlindungan Malware untuk Cadangan: Izin Peran IAMmenyediakan daftar persis izin yang diperlukan, bersama dengan kebijakan kepercayaan yang relevan yang diperlukan untuk melakukan pemindaian.
Meninjau status dan hasil pemindaian Sumber Daya
GuardDuty menerbitkan peristiwa hasil pemindaian ke bus acara EventBridge default Amazon. GuardDuty menggunakan at-least-once pengiriman, yang berarti Anda mungkin menerima beberapa hasil pemindaian untuk objek yang sama. Kami merekomendasikan merancang aplikasi Anda untuk menangani hasil duplikat. Anda hanya ditagih sekali untuk setiap objek yang dipindai.
Untuk informasi selengkapnya, lihat Memantau status pemindaian dan hasil dalam Perlindungan Malware untuk Backup.
Meninjau temuan yang dihasilkan
Meninjau temuan tergantung pada apakah Anda menggunakan Perlindungan Malware untuk Pencadangan dengan GuardDuty atau tidak. Pertimbangkan skenario berikut:
Menggunakan Perlindungan Malware untuk Pencadangan saat Anda mengaktifkan GuardDuty layanan (ID detektor)
Jika pemindaian malware mendeteksi file yang berpotensi berbahaya dalam sumber Backup yang dipindai, GuardDuty akan menghasilkan temuan terkait. Anda dapat melihat detail temuan dan menggunakan langkah-langkah yang disarankan untuk berpotensi memulihkan temuan tersebut. Berdasarkan frekuensi temuan Ekspor Anda, temuan yang dihasilkan akan diekspor ke bucket S3 dan bus EventBridge acara Amazon.
Untuk informasi tentang jenis temuan yang akan dihasilkan, lihat Perlindungan Malware untuk jenis pencarian Backup menemukan jenis untuk Perlindungan Malware untuk Cadangan.
Menggunakan Perlindungan Malware untuk Backup sebagai fitur independen (tidak ada ID detektor)
GuardDuty tidak akan dapat menghasilkan temuan karena tidak ada ID detektor terkait. Untuk mengetahui status pemindaian sumber daya cadangan, Anda dapat melihat hasil pemindaian yang GuardDuty secara otomatis dipublikasikan ke bus acara default Anda.
Untuk informasi tentang status dan hasil pemindaian, lihatMemantau status pemindaian dan hasil dalam Perlindungan Malware untuk Backup.
catatan
Jika Anda juga menggunakan Perlindungan Malware untuk S3, ada kemungkinan bahwa file S3 Anda sebelumnya ditandai sebagai NO_THREATS_FOUND namun file yang sama dapat muncul dalam daftar ancaman untuk Titik Pemulihan Cadangan yang dimiliki objek tersebut. Ini terjadi karena layanan sering memperbarui tanda tangan malware, yang mungkin telah mengubah status file. Harap dicatat bahwa dalam kasus seperti itu GuardDuty tidak kembali dan memperbarui tag pada file di ember S3 asli. Satu-satunya cara untuk mendapatkan tag yang diperbarui diterapkan pada file adalah dengan mengunggah ulang objek ke bucket atau menggunakan fitur pemindaian sesuai permintaan untuk S3.
