Malware Protection for EC2 のスキャンステータスと結果のモニタリング - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Malware Protection for EC2 のスキャンステータスと結果のモニタリング

Amazon EC2 インスタンスでマルウェアスキャンが開始されると、GuardDuty はステータスフィールドと結果フィールドを自動的に提供します。移行を通じてステータスをモニタリングし、マルウェアが検出されたかどうかを確認できます。次の表に、マルウェアスキャンに関連する可能な値を示します。

カテゴリ 考えられる 値

[Scan status] (スキャンステータス)

RunningCompletedSkipped、または Failed

スキャン結果*

Clean、または Infected

[スキャンタイプ]

GuardDuty initiated、または On demand

*スキャン結果は、スキャンステータスが になった場合にのみ入力されますCompleted。スキャン結果は、GuardDuty がマルウェアの存在を検出したInfectedことを意味します。

マルウェアスキャンの各検索結果の保持期間は 90 日です。任意のアクセス方法を選択して、マルウェアスキャンのステータスを追跡します。

Console

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、EC2 マルウェアスキャンを選択します。

  3. マルウェアスキャンは、フィルター検索バーで使用できる次のプロパティでフィルタリングできます。

    • スキャン ID – EC2 マルウェアスキャンに関連付けられた一意の識別子。

    • アカウント ID – マルウェアスキャンが開始された AWS アカウント ID。

    • EC2 インスタンス ARN – スキャンに関連付けられた Amazon EC2 インスタンスに関連付けられた Amazon リソースネーム (ARN)。

    • スキャンステータス – Running、SkippedCompleted などの EBS ボリュームのスキャンステータス

    • スキャンタイプ – これがオンデマンドマルウェアスキャンか GuardDuty 実行型マルウェアスキャンかを示します。

API/CLI

  • マルウェアスキャンにスキャン結果が表示されたら、DescribeMalwareScans を使用して、EC2_INSTANCE_ARN、、SCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUS、および に基づいてマルウェアスキャンをフィルタリングしますSCAN_START_TIME

    GUARDDUTY_FINDING_ID フィルタ条件は、SCAN_TYPE が GuardDuty によって開始されたときに利用できます。

  • filter-criteria の例は、次のコマンドで変更できます。現在、1 つの CriterionKey を基準にフィルタリングできます。CriterionKey のオプションは、EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME です。

    max-results (最大 50) と sort-criteria を変更できます。AttributeName は必須であり、scanStartTime である必要があります。

    次の例では、の値はプレースホルダーです。アカウントに適した値に置き換えます。たとえば、例 detector-id 60b8777933648562554d637e0e4bb3b2 を独自の有効な に置き換えますdetector-id。以下のように同じ CriterionKey を使うなら、必ず EqualsValue の例を、ご自身の有効な AWS scan-id に置き換えてください。

    aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

  • このコマンドの応答には、最大 1 つの結果が表示され、(Infected の場合は) 影響を受けるリソースとマルウェアの検出結果に関する詳細が含まれます。