Malware Protection for Backup でのスキャンステータスと結果のモニタリング - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Malware Protection for Backup でのスキャンステータスと結果のモニタリング

マルウェアスキャンが開始されると、GuardDuty はスキャンのステータスと結果をモニタリングするいくつかのメカニズムを提供します。次の表は、マルウェアスキャンに関連する値の一部を示しています。

Category 考えられる 値

[Scan status] (スキャンステータス)

RUNNINGCOMPLETEDCOMPLETED_WITH_ISSUESFAILED、 または SKIPPED

スキャンカテゴリ

FULL_SCAN、または INCREMENTAL_SCAN

[スキャンタイプ]

GUARDDUTY_INITIATEDON_DEMAND、または BACKUP_INITIATED

スキャン結果のステータス

NO_THREATS_FOUND、または THREATS_FOUND

*スキャンが完了していない場合、スキャン結果ステータスが存在しない可能性があることに注意してください。THREATS_FOUND のスキャン結果ステータスは、GuardDuty がマルウェアの存在を検出したことを示します。

スキャンは、さまざまな理由でスキップされる場合があります。次の表に、スキャンがスキップされる理由を示します。

スキャンがスキップされた理由 Reason

ACCESS_DENIED

顧客ロールには、サービスがスキャンを実行するために必要なアクセス許可がありません

RESOURCE_NOT_FOUND

スキャンしようとしているリソースがアカウントに存在しないか、スキャン中に削除されました

SNAPSHOT_SIZE_LIMIT_EXCEEDED

スナップショットサイズが GuardDuty で現在サポートされているサイズを超えています

INCREMENTAL_NO_DIFFERENCE

増分スキャンリクエストで指定されたリソースに違いはありません

RESOURCE_UNAVAILABLE

リソースが想定どおりの状態ではありません。スキャンが増分の場合、基本復旧ポイントは AVAILABLE または COMPLETED 状態ではありません

UNRELATED_RESOURCES

増分スキャンの場合 - ベースリソースと現在のリソースが同じ系統のものではない

BASE_RESOURCE_NOT_SCANNED

増分スキャンの場合 - ベースリソースが以前にスキャンされていないか、完了したスキャンが見つかりませんでした

BASE_CREATED_AFTER_TARGET

増分スキャンの場合 - ベースリソースの作成日が現在のリソースの作成日より大きい

UNSUPPORTED_FOR_INCREMENTAL

リクエストされたリソースタイプは増分スキャンをサポートしていません

UNSUPPORTED_AMI

パブリック AMI の 、エフェメラルストレージのみを持つ AMI の 、および使用可能な状態でない AMI はスキャンの対象ではありません

UNSUPPORTED_SNAPSHOT

コールドストレージスナップショットはスキャンの対象ではありません

UNSUPPORTED_COMPOSITE_RP

複合リソースタイプではスキャンはサポートされていません

サポートされていない_PRODUCT_CODE_TYPE

リクエストされたリソースには、スキャンをサポートしていない Amazon Marketplace 製品コードが含まれています

AMI_SNAPSHOT_LIMIT_EXCEEDED

AMI の は、40 個を超えるスナップショットのスキャンをサポートしていません

NO_EBS_VOLUMES_FOUND

リクエストされたリソースの Ebs ブロックデバイスマッピングが見つかりませんでした

UNRELATED_RESOURCES

増分スキャンの場合 - ベースリソースの ARN は、予想されるリソースの ARN とは異なります。

スキャン結果の保持期間は 90 日間です。任意のアクセス方法を選択して、マルウェアスキャンのステータスを追跡します。

コンソールを使用したスキャンのモニタリング

  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインで [Malware scans] (マルウェアウェアのスキャン) を選択します。

  3. [フィルター検索バー] で利用可能な次の [プロパティ] によってマルウェアスキャンをフィルターできます。

    • [Scan ID] (スキャン ID) – Unique identifier associated with the malware scan.
    • アカウント ID – Account where the malware scan initiated.
    • リソースARN – Amazon Resource Name (ARN) associated with the Amazon resource associated with the scan.
    • リソースタイプ – The type of resource associated with the scan, such as EC2 Instance, EBS Snapshot | EC2 AMI, EBS Recovery Point, EC2 Recovery Point, or S3 Recovery Point.
    • ステータス – The scan status of the scan, such as Running, Skipped, Completed, Completed with Issues, or Failed.
    • スキャンタイプ – Indicates whether this was an On-demand, GuardDuty-initiated, or Backup-Initiated malware scan.

API/CLI を使用したスキャンのモニタリング

  • You can invoke ListMalwareScans to filter malware scans by RESOURCE_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE GUARDDUTY_FINDING_ID, SCAN_STATUS, RESOURCE_TYPE, and SCAN_START_TIME. You may also invoke GetMalwareScan to retrieve more detailed metadata of a scan by providing a scan-id as input. The GUARDDUTY_FINDING_ID filter criteria is available when the SCAN_TYPE is GuardDuty initiated.
  • You may change the example filter-criteria in the command below, and can filter on the basis of one CriterionKey at a time. The options for CriterionKey are Resource_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE, GUARDDUTY_FINDING_ID, SCAN_STATUS, RESOURCE_TYPE, and SCAN_START_TIME. You can change the 最大結果 (up to 50) and the ソート基準. The AttributeName field is mandatory for ソート基準 and must be set to scanStartTime. In the following example, the values in are placeholders. Replace them with the values appropriate for your account. If you use the same CriterionKey as below for ListMalwareScans, ensure to replace the example EqualsValue with the リソースタイプ you want to filter by. 
    aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
    aws guardduty get-malware-scan --scan-id abc123
  • The response for the above command for ListMalwareScans will return up to 25 scans with some details about the affected resource(s). The response for the above command for GetMalwareScan will return a single scan with detailed metadata about the scan.

EventBridge を使用したスキャンのモニタリング

Amazon EventBridge は、アプリケーションをさまざまなイベントソースのデータに簡単に接続できるようにするサーバーレスイベントバスサービスです。EventBridge は、独自のアプリケーション、Software-as-a-Service (SaaS) アプリケーション、Amazon のサービスからリアルタイムデータのストリームを配信し、そのデータを Lambda などのターゲットにルーティングします。これにより、サービスで発生したイベントをモニタリングし、イベント駆動型アーキテクチャを構築できます。詳細については、「Amazon EventBridge ユーザーガイド」を参照してください。

GuardDuty は、スキャンステータスが決定されると、EventBridge 通知をデフォルトのイベントバスに発行します。アカウントで EventBridge ルールを設定して、Amazon EventBridge と統合された他のサービスにイベントを送信できます。EventBridge の標準料金が適用されます。詳細については、「Amazon EventBridge の料金」を参照してください。

以下に示す値の多くは、この例のプレースホルダーであり、スキャンによって異なります。

Malware スキャン結果イベント

Backup の潜在的な詳細タイプ値:

  • “GuardDuty Malware Protection EBS Snapshot Scan Result”
  • “GuardDuty Malware Protection EC2 AMI Scan Result”
  • “GuardDuty Malware Protection S3 Recovery Point Scan Result”
  • “GuardDuty Malware Protection EBS Recovery Point Scan Result”
  • “GuardDuty Malware Protection EC2 Recovery Point Scan Result”

サンプルイベントパターン:

{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

脅威が見つからなかった EC2 AMI スキャンの通知スキーマの例:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}
表示を増やす表示を減らす

脅威が見つかった EC2 AMI スキャンの通知スキーマの例:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}
表示を増やす表示を減らす

スキップされた EC2 AMI スキャンの通知スキーマの例:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}
表示を増やす表示を減らす