Malware Protection for EC2 のスキャンステータスと結果のモニタリング - Amazon GuardDuty

Malware Protection for EC2 のスキャンステータスと結果のモニタリング

Amazon EC2 インスタンスでマルウェアスキャンが開始されると、GuardDuty はステータスと結果のフィールドを自動的に提供します。遷移を通じてステータスをモニタリングし、マルウェアが検出されたかどうかを確認できます。以下の表に、マルウェアスキャンに関連する可能な値を示します。

カテゴリ 考えられる値

スキャンステータス

RunningCompletedSkipped 、または Failed

スキャン結果*

Clean-または-Infected

[スキャンタイプ]

GuardDuty initiated-または-On demand

*スキャン結果は、スキャンステータスが Completed になった場合にのみ入力されます。スキャン結果 Infected は、GuardDuty がマルウェアの存在を検出したことを意味します。

マルウェアスキャンの各検索結果の保持期間は 90 日です。任意のアクセス方法を選択して、マルウェアスキャンのステータスを追跡します。

Console

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで、[EC2 マルウェアスキャン] を選択します。

  3. [フィルター検索バー] で利用可能な次の [プロパティ] によってマルウェアスキャンをフィルターできます。

    • スキャン ID – EC2 マルウェアスキャンに関連付けられた一意の識別子。

    • アカウント ID – マルウェアスキャンが開始された AWS アカウント ID。

    • EC2 インスタンス ARN – スキャンに関連付けられた Amazon EC2 インスタンスに関連付けられた Amazon リソースネーム (ARN)。

    • スキャンステータス実行中スキップ完了 などの EBS ボリュームのスキャンステータス

    • スキャンタイプ – これがオンデマンドマルウェアスキャンか GuardDuty 実行型マルウェアスキャンかを示します。

API/CLI

  • マルウェアスキャンの結果が表示されると、DescribeMalwareScans を使用して、EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUS、および SCAN_START_TIME に基づいてマルウェアスキャンをフィルタリングできます。

    GUARDDUTY_FINDING_ID フィルタ条件は、SCAN_TYPE が GuardDuty によって開始されたときに利用できます。

  • filter-criteria の例は、次のコマンドで変更できます。現在、1 つの CriterionKey を基準にフィルタリングできます。CriterionKey のオプションは、EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME です。

    max-results (最大 50) と sort-criteria を変更できます。AttributeName は必須であり、scanStartTime である必要があります。

    次の例で、赤字の値はプレスホルダーです。アカウントに適した値に置き換えます。例えば、例 detector-id 60b8777933648562554d637e0e4bb3b2 を独自の有効な detector-id に置き換えます。以下のように同じ CriterionKey を使うなら、必ず EqualsValue の例を、ご自身の有効な AWS scan-id に置き換えてください。

    aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

  • このコマンドの応答には、最大 1 つの結果が表示され、(Infected の場合は) 影響を受けるリソースとマルウェアの検出結果に関する詳細が含まれます。