Configura la conservazione delle istantanee e la copertura delle EC2 scansioni - Amazon GuardDuty
Conservazione degli snapshotOpzioni di scansione con tag definiti dall'utenteTag GuardDutyExcluded globale

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configura la conservazione delle istantanee e la copertura delle EC2 scansioni

Questa sezione spiega come personalizzare le opzioni di scansione antimalware per le tue EC2 istanze Amazon. Queste personalizzazioni si applicano sia alle scansioni antimalware su richiesta sia a quelle avviate da. GuardDuty Puoi eseguire le operazioni indicate di seguito:

  • Abilita la conservazione delle istantanee: se abilitata prima di una scansione, GuardDuty conserverà lo snapshot di Amazon EBS GuardDuty rilevato come dannoso.

  • Scegli quali EC2 istanze Amazon scansionare: utilizza i tag per includere o escludere EC2 istanze Amazon specifiche dalle scansioni di malware.

Conservazione degli snapshot

GuardDuty ti offre la possibilità di conservare le istantanee dei tuoi volumi EBS nel tuo account. AWS Per impostazione predefinita, la conservazione degli snapshot è disattivata. Gli snapshot verranno conservati solo se questa impostazione viene attivata prima dell'avvio della scansione.

All'avvio della scansione, GuardDuty genera i volumi EBS di replica in base alle istantanee dei volumi EBS. Una volta completata la scansione e dopo aver già attivato l'impostazione di conservazione degli snapshot nell'account, gli snapshot dei volumi EBS verranno conservati solo in caso di rilevamento di malware e di generazione di Protezione da malware per la EC2 ricerca di tipi. Quando non viene rilevato alcun malware, indipendentemente dalle impostazioni degli snapshot, elimina GuardDuty automaticamente gli snapshot dei volumi EBS a meno che il blocco degli snapshot di Amazon EBS non sia stato abilitato sugli snapshot creati.

Costo di utilizzo degli snapshot

Durante la scansione antimalware, durante la GuardDuty creazione delle istantanee dei volumi Amazon EBS, a questa fase è associato un costo di utilizzo. Se attivi l'impostazione di conservazione degli snapshot per il tuo account, quando viene rilevato un malware dovrai sostenere i costi di utilizzo per conservare gli snapshot. Per informazioni sul costo degli snapshot e sulla loro conservazione, consulta i prezzi di Amazon EBS.

In qualità di account GuardDuty amministratore delegato, solo tu puoi effettuare questo aggiornamento per conto degli account dei membri dell'organizzazione. Tuttavia, se un account membro è gestito tramite il metodo di invito, può apportare questa modifica autonomamente. Per ulteriori informazioni, consulta Relazioni tra account amministratore e account membro.

Scegli il metodo di accesso che preferisci per attivare l'impostazione di conservazione degli snapshot.

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Nel riquadro di navigazione, in Piani di protezione, scegli Malware Protection for EC2.

  3. Scegli Impostazioni generali nella sezione inferiore della console. Per conservare gli snapshot, attiva la Conservazione degli snapshot.

API/CLI

Esegui UpdateMalwareScanSettingsper aggiornare la configurazione corrente per l'impostazione di conservazione delle istantanee.

In alternativa, è possibile eseguire il AWS CLI comando seguente per conservare automaticamente le istantanee quando GuardDuty Malware Protection for EC2 genera dei risultati.

Assicurati di sostituirla detector-id con una tua validadetectorId.

Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

Se desideri disattivare la conservazione degli snapshot, sostituisci RETENTION_WITH_FINDING con NO_RETENTION.

Opzioni di scansione con tag definiti dall'utente

Utilizzando GuardDuty -initiated malware scan, puoi anche specificare tag per includere o escludere le EC2 istanze Amazon e i volumi Amazon EBS dal processo di scansione e rilevamento delle minacce. Puoi personalizzare ogni scansione antimalware GuardDuty avviata modificando i tag nell'elenco dei tag di inclusione o esclusione. Ogni elenco può includere fino a 50 tag.

Se non disponi già di tag definiti dall'utente associati alle tue EC2 risorse, consulta Tagga le tue EC2 risorse Amazon nella Amazon EC2 User Guide.

Nota

La scansione antimalware on demand non supporta le opzioni di scansione con tag definiti dall'utente. Supporta Tag GuardDutyExcluded globale.

Per escludere le EC2 istanze dalla scansione antimalware

Se desideri escludere EC2 un'istanza Amazon o un volume Amazon EBS durante il processo di scansione, puoi impostare il GuardDutyExcluded tag su qualsiasi EC2 istanza Amazon o volume Amazon EBS e GuardDuty non eseguirne la scansione. true Per ulteriori informazioni sul tag GuardDutyExcluded, consulta Autorizzazioni del ruolo collegato al servizio per la protezione da malware per EC2. Puoi anche aggiungere un tag di EC2 istanza Amazon a un elenco di esclusione. Se aggiungi più tag all'elenco dei tag di esclusione, qualsiasi EC2 istanza Amazon che contiene almeno uno di questi tag verrà esclusa dal processo di scansione malware.

In qualità di account GuardDuty amministratore delegato, solo tu puoi effettuare questo aggiornamento per conto degli account dei membri dell'organizzazione. Tuttavia, se un account membro è gestito tramite il metodo di invito, può apportare questa modifica autonomamente. Per ulteriori informazioni, consulta Relazioni tra account amministratore e account membro.

Scegli il tuo metodo di accesso preferito per aggiungere un tag associato a un' EC2 istanza Amazon a un elenco di esclusione.

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Nel riquadro di navigazione, in Piani di protezione, scegli Malware Protection for EC2.

  3. Espandi la sezione Tag di inclusione/esclusione. Scegli Aggiungi tag.

  4. Scegli Tag di esclusione, quindi Conferma.

  5. Specifica la coppia di Key e Value del tag che desideri escludere. Fornire il Value è facoltativo. Dopo aver aggiunto tutti i tag, scegli Salva.

    Importante

    Per le chiavi e i valori dei tag viene fatta la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta le restrizioni relative ai tag nella Amazon EC2 User Guide.

    Se non viene fornito un valore per una chiave e l' EC2 istanza è etichettata con la chiave specificata, questa EC2 istanza verrà esclusa dal processo di scansione antimalware GuardDuty initiated, indipendentemente dal valore assegnato al tag.

API/CLI

UpdateMalwareScanSettingsEseguita escludendo un' EC2 istanza o un carico di lavoro del contenitore dal processo di scansione.

Il comando di AWS CLI esempio seguente aggiunge un nuovo tag all'elenco dei tag di esclusione. Sostituisci il detector-id di esempio con il tuo detectorId valido.

MapEquals è un elenco di coppie Key/Value.

Per trovare il codice detectorId per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
Importante

Per le chiavi e i valori dei tag viene fatta la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta le restrizioni relative ai tag nella Amazon EC2 User Guide.

Per includere le EC2 istanze nella scansione antimalware

Se desideri scansionare un' EC2 istanza, aggiungi il relativo tag all'elenco di inclusione. Quando aggiungi un tag a un elenco di tag di inclusione, un' EC2 istanza che non contiene nessuno dei tag aggiunti viene ignorata dalla scansione antimalware. Se aggiungi più tag all'elenco dei tag di inclusione, un' EC2istanza che contiene almeno uno di questi tag viene inclusa nella scansione antimalware. A volte, un' EC2 istanza può essere ignorata durante il processo di scansione per altri motivi. Per ulteriori informazioni, consulta Motivi per cui una risorsa viene ignorata durante la scansione malware.

In qualità di account GuardDuty amministratore delegato, solo tu puoi effettuare questo aggiornamento per conto degli account dei membri dell'organizzazione. Tuttavia, se un account membro è gestito tramite il metodo di invito, può apportare questa modifica autonomamente. Per ulteriori informazioni, consulta Relazioni tra account amministratore e account membro.

Scegli il tuo metodo di accesso preferito per aggiungere un tag associato a un' EC2 istanza a un elenco di inclusione.

Console

  1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

  2. Nel riquadro di navigazione, in Piani di protezione, scegli Malware Protection for EC2.

  3. Espandi la sezione Tag di inclusione/esclusione. Scegli Aggiungi tag.

  4. Scegli Tag di inclusione, quindi Conferma.

  5. Scegli Aggiungi nuovo tag di inclusione e specifica la coppia di Key e Value del tag che desideri includere. Fornire il Value è facoltativo.

    Dopo aver aggiunto tutti i tag di inclusione, scegli Salva.

    Se non viene fornito un valore per una chiave, un' EC2 istanza viene contrassegnata con la chiave specificata, l' EC2 istanza verrà inclusa nel processo di EC2 scansione di Malware Protection for Scan, indipendentemente dal valore assegnato al tag.

API/CLI

  • Esegui UpdateMalwareScanSettingsper includere un' EC2 istanza o un carico di lavoro del contenitore nel processo di scansione.

    Il comando di AWS CLI esempio seguente aggiunge un nuovo tag all'elenco dei tag di inclusione. Assicurati di sostituire l'esempio detector-id con il tuo validodetectorId. Sostituisci l'esempio TestKey Key e TestValue con la Value coppia di tag associata alla tua EC2 risorsa.

    MapEquals è un elenco di coppie Key/Value.

    Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    Importante

    Per le chiavi e i valori dei tag viene fatta la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta le restrizioni relative ai tag nella Amazon EC2 User Guide.
Nota

Potrebbero essere necessari fino a 5 minuti GuardDuty per rilevare un nuovo tag.

In qualsiasi momento, puoi scegliere tra i Tag di inclusione o i Tag di esclusione, ma non entrambi. Se desideri passare da un tag all'altro, sceglilo dal menu a discesa quando aggiungi nuovi tag e Conferma la selezione. Questa operazione cancella tutti i tag correnti.

Tag GuardDutyExcluded globale

GuardDuty utilizza una chiave tag globaleGuardDutyExcluded, che puoi aggiungere alle tue EC2 risorse Amazon e su cui impostare il valore del tagtrue. Questa EC2 risorsa Amazon con questa coppia di tag, chiave e valore verrà esclusa dalla scansione del malware. Entrambi i tipi di scansione (scansione antimalware GuardDuty avviata e scansione antimalware su richiesta) supportano il tag globale. Se avvii una scansione antimalware su richiesta su Amazon EC2, verrà generato un ID di scansione. Tuttavia, la scansione verrà ignorata con un EXCLUDED_BY_SCAN_SETTINGS motivo. Per ulteriori informazioni, consulta Motivi per cui una risorsa viene ignorata durante la scansione malware.