Malware Protection for Backup の仕組み - Amazon GuardDuty
概要:スキャンに必要な IAM ロールリソーススキャンのステータスと結果の確認生成された検出結果の確認

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Malware Protection for Backup の仕組み

このセクションでは、Malware Protection for Backup のコンポーネント、その仕組み、マルウェアスキャンのステータスと結果を確認する方法について説明します。

概要:

Malware Protection for Backup は、EBS スナップショット、EC2 イメージ (AMI)、EBS、EC2、EC2S3 リソースタイプに属する復旧ポイントにマルウェアが存在することを検出するのに役立つ機能です。スキャンに必要なアクセス許可と、スキャンカテゴリに応じて 1 つまたは 2 つのリソース ARNs を提供する IAM ロールを渡すことで、GuardDuty コンソールまたは API を介してオンデマンドマルウェアスキャンを開始できます。フルスキャンと増分スキャンの 2 つのスキャンカテゴリがあります。

フルスキャンと増分スキャン

フルスキャンは、API がリソース ARN を受け入れ、そのリソース内のすべてのファイルをスキャンする場所です。一方、増分スキャンでは、同じリソースに属する 2 つのリソース ARNs を取得し、それらの間で変更されたファイルをスキャンします。たとえば、EBS ボリュームのスナップショットを作成するとします。snapshot-1 と呼びます。このスナップショットでフルスキャンが実行された場合、GuardDuty はこのスナップショットに含まれるすべてのファイルをスキャンします。ここで、同じボリュームにいくつかのファイルが追加され、新しいスナップショットが作成されるとします。snapshot-2 と呼びます。snapshot-1snapshot-2 の間で変更されたファイルはわずかであるため、これら 2 つのスナップショットのリソース ARNs を使用して増分スキャンをトリガーできます。この場合、snapshot-2targetリソースと呼ばれ、snapshot-1baseリソースと呼ばれます。この用語は、ドキュメントの残りの部分で使用されます。この増分スキャンは、snapshot-1snapshot-2 の間で変更されたファイルをスキャンします。

増分スキャンでの以前に感染したファイルの再スキャン

増分スキャンの一環として、GuardDuty は以前に感染したファイルをベーススキャンから最大 90 日間再スキャンします。

増分スキャンの要件

GuardDuty が増分スキャンを実行するには、次の要件を満たす必要があります。これらの要件のいずれかが満たされない場合、GuardDuty はスキャンをスキップします。

  • ベースリソースは過去 90 日以内にスキャンする必要があり、スキャン結果は COMPLETEDまたは である必要がありますCOMPLETED_WITH_ISSUES

  • ベースリソースには、ターゲットリソースの作成日より前の作成日が必要です。

  • スナップショットの場合、ベースリソースとターゲットリソースは同じ暗号化タイプである必要があります。

  • ベースリソースとターゲットリソースは同じ系統のものである必要があります。

    • EBS スナップショットと EBS 復旧ポイントの場合、暗号化タイプを変更せずに、同じボリュームから取得されるか、同じボリュームのコピーから取得されます。

    • S3 復旧ポイントの場合、ベースリソース ARN とターゲットリソース ARNs は、同じ基盤となる S3 バケットから作成する必要があります。

    • AMIs の場合、スナップショットのペアはベース AMI とターゲット AMI 間で比較され、増分スキャンのスナップショットを識別します。スナップショットの各ペアは、上記の条件を満たす必要があります。ターゲット AMI 内で、対応する一致するスナップショットがベース AMI にないスナップショットはスキップされます。

以前にスキャンしたバックアップリソースの再スキャン

前回のマルウェアスキャンの開始時刻から 10 分後に、同じリソースで新しいオンデマンドマルウェアスキャンを開始できます。前回のマルウェアスキャンの開始から 10 分以内に新しいマルウェアスキャンが開始された場合、リクエストは次のエラーになり、このリクエストに対してスキャン ID は生成されません。インスタンスを再スキャンするステップは、オンデマンドマルウェアスキャンを初めて開始する場合と同じです。

スキャンに必要な IAM ロール

フルスキャンまたは増分スキャンを開始するには、IAM ロールを渡す必要があります。このロールは、スキャンオペレーションの実行に必要なアクセス許可を提供します。 GuardDuty Malware Protection for Backup: IAM ロールのアクセス許可 は、スキャンの実行に必要な関連する信頼ポリシーとともに、必要なアクセス許可の正確なリストを提供します。

リソーススキャンのステータスと結果の確認

GuardDuty は、スキャン結果イベントを Amazon EventBridge のデフォルトイベントバスに発行します。GuardDuty は at-least-once 配信を使用します。つまり、同じオブジェクトに対して複数のスキャン結果を受け取る可能性があります。アプリケーションは、重複した結果を処理できるように設計することをお勧めします。スキャンされた各オブジェクトには 1 回だけ課金されます。

詳細については、「Malware Protection for Backup でのスキャンステータスと結果のモニタリング」を参照してください。

生成された検出結果の確認

検出結果の確認は、GuardDuty で Malware Protection for Backup を使用しているかどうかによって異なります。次のシナリオを考えてみてください。

GuardDuty サービスが有効になっている場合の Malware Protection for Backup の使用 (ディテクター ID)

マルウェアスキャンがスキャンされた Backup リソース内の潜在的に悪意のあるファイルを検出すると、GuardDuty は関連する検出結果を生成します。検出結果の詳細を確認し、推奨手順に従って検出結果を修復できる可能性があります。Export の検出結果の頻度に基づいて、生成された検出結果は S3 バケットと Amazon EventBridge イベントバスにエクスポートされます。

生成される検出結果タイプについては、「Malware Protection for Backup の検出Malware Protection for Backup の検出結果タイプ結果タイプ」を参照してください。

Malware Protection for Backup を独立した機能として使用する (ディテクター ID なし)

関連付けられたディテクター ID がないため、GuardDuty は検出結果を生成できません。バックアップリソースのスキャンステータスを知るには、GuardDuty が自動的にデフォルトのイベントバスに発行するスキャン結果を表示できます。

スキャンのステータスと結果の詳細については、「」を参照してくださいMalware Protection for Backup でのスキャンステータスと結果のモニタリング

注記

Malware Protection for S3 も使用している場合、S3 ファイルが以前に NO_THREATS_FOUND とタグ付けされていても、オブジェクトが属する Backup Recovery Point の脅威のリストに同じファイルが表示される可能性があります。これは、サービスがマルウェア署名を頻繁に更新するためで、ファイルのステータスが変更された可能性があります。このような場合、GuardDuty は元の S3 バケットの ファイルのタグに戻って更新しないことに注意してください。ファイルに更新されたタグを適用する唯一の方法は、オブジェクトをバケットに再アップロードするか、S3 のオンデマンドスキャン機能を使用することです。