Monitoraggio degli stati e dei risultati delle scansioni in Malware Protection for Backup - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitoraggio degli stati e dei risultati delle scansioni in Malware Protection for Backup

Dopo l'avvio di una scansione antimalware, GuardDuty fornisce alcuni meccanismi attraverso i quali è possibile monitorare lo stato e il risultato di una scansione. La tabella seguente fornisce alcuni dei valori associati alle scansioni antimalware.

Categoria Valori potenziali

Stato della scansione

RUNNING, COMPLETED, COMPLETED_WITH_ISSUES, FAILED oppure SKIPPED

Categoria di scansione

FULL_SCAN o INCREMENTAL_SCAN

Tipo di scansione

GUARDDUTY_INITIATED, ON_DEMAND o BACKUP_INITIATED

Stato dei risultati della scansione

NO_THREATS_FOUND o THREATS_FOUND

*Si noti che lo stato del risultato della scansione potrebbe non essere presente se la scansione non è stata completata. Lo stato del risultato della scansione di THREATS_FOUND indica che è stata GuardDuty rilevata la presenza di malware.

Le scansioni possono anche essere ignorate per vari motivi. La tabella seguente spiega i motivi per cui le scansioni possono essere ignorate:

Motivo della scansione ignorata Motivo

ACCESS_NEGATO

Customer Role non dispone delle autorizzazioni necessarie per consentire al servizio di eseguire la scansione

RISORSA NON TROVATA

La risorsa che sta tentando di scansionare non esiste nell'account o è stata eliminata durante la scansione

SNAPSHOT_SIZE_LIMIT_EXCEEDED

La dimensione dell'istantanea è maggiore di quella attualmente supportata da GuardDuty

INCREMENTAL_NESSUNA_DIFFERENZA

Le risorse specificate nella richiesta di scansione incrementale non hanno differenze

RESOURCE_AVAILABLE

Risorsa non nello stato previsto. Se la scansione è incrementale, il punto di ripristino di base non è nello stato DISPONIBILE o COMPLETATO

RISORSE_NON CORRELATE

Per le scansioni incrementali: la risorsa di base e quella corrente non provengono dalla stessa discendenza

BASE_RESOURCE_NOT_SCANNED

Per le scansioni incrementali: la risorsa di base non è stata analizzata in precedenza o non è stata trovata alcuna scansione completata

BASE_CREATED_AFTER_TARGET

Per le scansioni incrementali, la data di creazione della risorsa di base è maggiore della data di creazione della risorsa corrente

UNSUPPORTED_FOR_INCREMENTAL

Il tipo di risorsa richiesto non supporta la scansione incrementale

UNSUPPORTED_AMI

Le AMI pubbliche, le AMI con solo storage temporaneo e le AMI non in uno stato disponibile non sono idonee alla scansione

UNSUPPORTED_SNAPSHOT

Le istantanee di conservazione a freddo non sono idonee per la scansione

UNSUPPORTED_COMPOSITE_RP

La scansione non è supportata per i tipi di risorse composite

UNSUPPORTED_PRODUCT_CODE_TYPE

La risorsa richiesta contiene un codice prodotto Amazon Marketplace che non supporta la scansione

AMI_SNAPSHOT_LIMIT_EXCEEDED

Le AMI non supportano la scansione di più di 40 istantanee

NO_EBS_VOLUMES_FOUND

Nessuna mappatura dei dispositivi a blocchi Ebs trovata per la risorsa richiesta

RISORSE_NON CORRELATE

Per le scansioni incrementali, l'arn della risorsa di base è diverso dall'arn della risorsa prevista

I risultati della scansione hanno un periodo di conservazione di 90 giorni. Scegli il metodo di accesso che preferisci per monitorare lo stato della scansione malware.

Monitoraggio delle scansioni tramite la console

  1. Apri la GuardDuty console all'indirizzohttps://console.aws.amazon.com/guardduty/.

  2. Nel riquadro di navigazione, scegli Scansioni malware.

  3. Puoi filtrare le scansioni antimalware in base alle seguenti proprietà disponibili nella barra di ricerca dei filtri.

    • ID scansione – Unique identifier associated with the malware scan.
    • ID account – Account where the malware scan initiated.
    • ARN risorsa – Amazon Resource Name (ARN) associated with the Amazon resource associated with the scan.
    • Tipo di risorsa – The type of resource associated with the scan, such as EC2 Instance, EBS Snapshot | EC2 AMI, EBS Recovery Point, EC2 Recovery Point, or S3 Recovery Point.
    • Status – The scan status of the scan, such as Running, Skipped, Completed, Completed with Issues, or Failed.
    • Tipo di scansione – Indicates whether this was an On-demand, GuardDuty-initiated, or Backup-Initiated malware scan.

Monitoraggio delle scansioni tramite l'API/CLI

  • You can invoke ListMalwareScans to filter malware scans by RESOURCE_ARN, IDENTIFICATORE_SCANSIONE, ACCOUNT_ID, TIPO_SCANSIONE GUARDDUTY_FINDING_ID, STATO_SCANSIONE, TIPO_RISORSA, and SCAN_START_TIME. You may also invoke GetMalwareScan to retrieve more detailed metadata of a scan by providing a scan-id as input. The GUARDDUTY_FINDING_ID filter criteria is available when the TIPO_SCANSIONE is GuardDuty initiated.
  • You may change the example criteri di filtro in the command below, and can filter on the basis of one CriterionKey at a time. The options for CriterionKey are Resource_ARN, IDENTIFICATORE_SCANSIONE, ACCOUNT_ID, TIPO_SCANSIONE, GUARDDUTY_FINDING_ID, STATO_SCANSIONE, TIPO_RISORSA, and SCAN_START_TIME. You can change the risultati massimi (up to 50) and the criteri di ordinamento. The AttributeName field is mandatory for criteri di ordinamento and must be set to scanStartTime. In the following example, the values in rosso are placeholders. Replace them with the values appropriate for your account. If you use the same CriterionKey as below for ListMalwareScans, ensure to replace the example EqualsValue with the tipo di risorsa you want to filter by. 
    aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
    aws guardduty get-malware-scan --scan-id abc123
  • The response for the above command for ListMalwareScans will return up to 25 scans with some details about the affected resource(s). The response for the above command for GetMalwareScan will return a single scan with detailed metadata about the scan.

Monitoraggio delle scansioni utilizzando EventBridge

Amazon EventBridge è un servizio di bus eventi senza server che semplifica la connessione delle applicazioni con dati provenienti da una varietà di fonti. EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni, applicazioni Software-as-a-Service (SaaS) e servizi Amazon e indirizza tali dati verso destinazioni come Lambda. In questo modo puoi monitorare gli eventi che si verificano nei servizi e creare architetture basate su eventi. Per ulteriori informazioni, consulta la Amazon EventBridge User Guide.

GuardDuty pubblica EventBridge le notifiche sul bus degli eventi predefinito una volta determinato lo stato della scansione. Puoi configurare EventBridge regole nel tuo account per inviare eventi ad altri servizi integrati con Amazon EventBridge. Verranno applicati EventBridge i prezzi standard. Per ulteriori informazioni, consulta i EventBridge prezzi di Amazon.

Molti dei valori mostrati di seguito sono segnaposto per l'esempio e variano a seconda della scansione.

Eventi relativi ai risultati della scansione di malware

Potenziali valori del tipo di dettaglio per Backup:

  • “GuardDuty Malware Protection EBS Snapshot Scan Result”
  • “GuardDuty Malware Protection EC2 AMI Scan Result”
  • “GuardDuty Malware Protection S3 Recovery Point Scan Result”
  • “GuardDuty Malware Protection EBS Recovery Point Scan Result”
  • “GuardDuty Malware Protection EC2 Recovery Point Scan Result”

Esempio di modello di evento:

{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

Schema di notifica di esempio per la scansione EC2 AMI senza minacce rilevate:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}
Mostra piùMostra meno

Schema di notifica di esempio per la scansione EC2 AMI con minacce rilevate:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}
Mostra piùMostra meno

Schema di notifica di esempio per la scansione EC2 AMI ignorata:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}
Mostra piùMostra meno