Come funziona Malware Protection for Backup? - Amazon GuardDuty
Panoramica di Ruolo IAM richiesto per la scansioneRevisione dello stato e dei risultati della scansione delle risorseRevisione dei risultati generati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona Malware Protection for Backup?

Questa sezione descrive i componenti di Malware Protection for Backup, come funziona e come esaminare lo stato e i risultati della scansione del malware.

Panoramica di

Malware Protection for Backup è una funzionalità che consente di rilevare la presenza di malware su istantanee, EC2 immagini (AMI) e punti di ripristino EBS appartenenti ai tipi di risorse EBS e S3. EC2 Puoi avviare una scansione antimalware su richiesta tramite la GuardDuty console o l'API trasferendo un ruolo IAM che fornisce le autorizzazioni necessarie per la scansione, insieme a una o due risorse ARNs a seconda della categoria di scansione. Sono possibili due categorie di scansione: scansioni complete e scansioni incrementali.

Scansione completa e scansione incrementale

Una scansione completa consente all'API di accettare una risorsa ARN e di scansionare tutti i file all'interno di tale risorsa. Una scansione incrementale invece prende due risorse ARNs, entrambe appartenenti alla stessa risorsa, e analizza i file modificati tra di loro. Ad esempio, supponiamo di scattare un'istantanea di un volume EBS. Chiamiamolo snapshot-1. Se viene eseguita una scansione completa su questa istantanea, GuardDuty analizza tutti i file contenuti in questa istantanea. Supponiamo ora che alcuni file siano stati aggiunti allo stesso volume e che venga scattata una nuova istantanea. Chiamiamolo snapshot-2. Poiché sono stati modificati solo pochi file tra snapshot-1 e snapshot-2, è possibile attivare una scansione incrementale con la risorsa di queste due istantanee. ARNs In questo caso snapshot-2 viene definita risorsa e snapshot-1 viene definita risorsa. target base Vedrete questa terminologia usata nel resto del documento. Questa scansione incrementale analizzerà i file modificati tra snapshot-1 e snapshot-2.

Nuova scansione di file precedentemente infetti in una scansione incrementale

Come parte di una scansione incrementale, GuardDuty eseguirà anche una nuova scansione dei file precedentemente infetti dalla scansione di base per un massimo di 90 giorni.

Requisiti per una scansione incrementale

È necessario soddisfare i seguenti requisiti per GuardDuty eseguire una scansione incrementale. Se uno di questi requisiti non viene soddisfatto, GuardDuty salterà la scansione.

  • La risorsa di base deve essere scansionata negli ultimi 90 giorni e il risultato della scansione deve essere in COMPLETED o. COMPLETED_WITH_ISSUES

  • La risorsa di base deve avere una data di creazione precedente a quella della risorsa di destinazione.

  • Le risorse di base e di destinazione devono avere lo stesso tipo di crittografia in caso di istantanee.

  • Le risorse di base e di destinazione devono appartenere allo stesso lignaggio.

    • Per uno snapshot EBS e un punto di ripristino EBS, ciò significa che provengono dallo stesso volume o da copie dello stesso volume, senza alcuna modifica del tipo di crittografia.

    • Per un punto di ripristino S3, la risorsa di base e quella di destinazione ARNs devono essere create dallo stesso bucket S3 sottostante.

    • In caso di AMIs, vengono confrontate coppie di istantanee tra l'AMI di base e quella di destinazione per identificare le istantanee per una scansione incrementale. Ogni coppia di istantanee deve soddisfare le condizioni sopra menzionate. Qualsiasi istantanea all'interno dell'AMI di destinazione che non ha un'istantanea corrispondente nell'AMI di base verrà ignorata.

Nuova scansione delle risorse di backup precedentemente scansionate

È possibile avviare una nuova scansione antimalware su richiesta sulla stessa risorsa dopo 10 minuti dall'ora di inizio della scansione antimalware precedente. Se la nuova scansione antimalware viene avviata entro 10 minuti dall'avvio della scansione antimalware precedente, la richiesta genererà il seguente errore e non verrà generato alcun ID di scansione per questa richiesta. I passaggi per ripetere la scansione dell'istanza rimangono gli stessi dell'avvio di una scansione antimalware su richiesta per la prima volta.

Ruolo IAM richiesto per la scansione

È necessario assegnare un ruolo IAM per avviare una scansione completa o incrementale. Questo ruolo fornisce le autorizzazioni necessarie per eseguire le operazioni di scansione. GuardDuty Protezione da malware per il backup: autorizzazioni IAM Rolefornisce l'elenco esatto delle autorizzazioni richieste, insieme alla politica di attendibilità pertinente necessaria per eseguire la scansione.

Revisione dello stato e dei risultati della scansione delle risorse

GuardDuty pubblica l'evento del risultato della scansione sul bus eventi EventBridge predefinito di Amazon. GuardDuty utilizza at-least-once la consegna, il che significa che potresti ricevere più risultati di scansione per lo stesso oggetto. Consigliamo di progettare le applicazioni in modo da gestire risultati duplicati. Ti viene addebitata una sola volta per ogni oggetto scansionato.

Per ulteriori informazioni, consulta Monitoraggio degli stati e dei risultati delle scansioni in Malware Protection for Backup.

Revisione dei risultati generati

La revisione dei risultati dipende dal fatto che si stia utilizzando o meno Malware Protection for Backup con GuardDuty. Considerare i seguenti scenari:

Utilizzo di Malware Protection for Backup quando il GuardDuty servizio è abilitato (ID del rilevatore)

Se la scansione antimalware rileva un file potenzialmente dannoso in una risorsa di Backup scansionata, GuardDuty genererà un risultato associato. È possibile visualizzare i dettagli del risultato e utilizzare i passaggi consigliati per correggere potenzialmente il risultato. In base alla frequenza dei risultati delle esportazioni, i risultati generati vengono esportati in un bucket S3 e in un bus di eventi Amazon EventBridge .

Per informazioni sul tipo di risultato che verrebbe generato, vedere Tipi di ricerca di Malware Protection for Backup Ricerca dei tipi per Malware Protection for Backup.

Utilizzo di Malware Protection for Backup come funzionalità indipendente (nessun ID del rilevatore)

GuardDuty non sarà in grado di generare risultati perché non esiste un ID del rilevatore associato. Per conoscere lo stato della scansione della risorsa di backup, è possibile visualizzare il risultato della scansione che GuardDuty viene pubblicato automaticamente sul bus degli eventi predefinito.

Per informazioni sullo stato e sui risultati della scansione, vedereMonitoraggio degli stati e dei risultati delle scansioni in Malware Protection for Backup.

Nota

Se utilizzi anche Malware Protection for S3, esiste la possibilità che il tuo file S3 sia stato precedentemente etichettato come NO_THREATS_FOUND e tuttavia lo stesso file possa apparire nell'elenco delle minacce per il Backup Recovery Point a cui appartiene l'oggetto. Ciò accade poiché il servizio aggiorna frequentemente le firme relative ai malware, il che potrebbe aver modificato lo stato del file. Tieni presente che in questi casi GuardDuty non torna indietro e aggiorna il tag sul file nel bucket S3 originale. L'unico modo per applicare un tag aggiornato al file è ricaricare l'oggetto nel bucket o utilizzare la funzione di scansione su richiesta per S3.