Como o GuardDuty verifica volumes do EBS para detecção de malware - Amazon GuardDuty

Como o GuardDuty verifica volumes do EBS para detecção de malware

Esta seção explica como a Proteção contra malware para o EC2, incluindo a verificação de malware iniciada pelo GuardD-uty e a verificação de malware sob demanda, verifica os volumes do Amazon EBS associados às suas instâncias e workloads de contêiner do Amazon EC2. Antes de continuar, considere as seguintes personalizações:

  • Opções de verificação: a Proteção contra malware para o EC2 oferece a capacidade de especificar tags para incluir ou excluir instâncias do Amazon EC2 e volumes do Amazon EBS do processo de verificação. Somente a verificação de malware iniciada pelo GuardDuty oferece suporte a opções de verificação com tags definidas pelo usuário. Tanto a verificação de malware iniciada pelo GuardDuty quanto a verificação de malware sob demanda oferecem suporte à tag global GuardDutyExcluded. Para obter mais informações, consulte Opções de verificação com tags definidas pelo usuário.

  • Retenção de snapshots: a Proteção contra malware para o EC2 oferece uma opção para reter os snapshots dos volumes do Amazon EBS em sua conta da AWS. Essa configuração está desativada por padrão. Você pode optar pela retenção de snapshots para verificações de malware iniciadas pelo GuardDuty e sob demanda. Para obter mais informações, consulte Retenção de snapshots.

Quando o GuardDuty gera um ou mais Descobertas que invocam a verificação de malware iniciada pelo GuardDuty, essa atividade constituirá uma razão para o GuardDuty iniciar uma verificação de malware. Caso suas opções de verificação não excluam essa instância, o GuardDuty iniciará a verificação.

Para iniciar uma verificação de malware sob demanda nos volumes do Amazon EBS associados a uma instância do Amazon EC2, forneça o nome do recurso da Amazon (ARN) da instância do Amazon EC2.

Como resposta ao início de uma verificação de malware sob demanda ou de uma verificação automática de malware iniciada pelo GuardDuty, o GuardDuty cria snapshots dos volumes relevantes do EBS anexados ao recurso potencialmente afetado e os compartilha com a Conta de serviço do GuardDuty. Quando o GuardDuty cria um snapshot dos seus volumes do EBS, ele adiciona uma tag padrão chamada GuardDutyScanId. Essa tag ajuda o GuardDuty a acessar o snapshot. Não remova essa tag. A partir desses snapshots, o GuardDuty cria uma réplica criptografada do volume do EBS na conta de serviço.

Após a conclusão da verificação, o GuardDuty exclui os volumes de réplica criptografados do EBS e os snapshots dos seus volumes do EBS. Como padrão, a configuração de retenção de snapshots permanece desabilitada. No entanto, os snapshots são retidos se o bloqueio de snapshots do Amazon EBS estiver habilitado para eles, independentemente dos resultados e das configurações da verificação. O GuardDuty não pode modificar as configurações de bloqueio de snapshots do Amazon EBS.

A lista a seguir descreve o comportamento de retenção de snapshots, independentemente do bloqueio de snapshots do EBS:

A retenção de snapshots está ativada:

  • Quando um malware é encontrado, o GuardDuty retém os snapshots na sua Conta da AWS.

  • Quando nenhum malware é encontrado, o GuardDuty não retém os snapshots, a menos que estejam bloqueados.

A retenção de snapshots permanece desabilitada (configuração padrão):

  • Independentemente de o malware ser encontrado ou não, os snapshots não são retidos.

  • O GuardDuty não pode excluir snapshots bloqueados do Amazon EBS.

O GuardDuty reterá cada volume de réplica do EBS na conta de serviço por até 55 horas. Se houver uma interrupção ou falha no serviço com uma réplica do volume do EBS e sua verificação de malware, o GuardDuty reterá esse volume do EBS por no máximo sete dias. O período estendido de retenção de volume serve para fazer a triagem e resolver a interrupção ou falha. O GuardDuty Proteção contra malware para o EC2 excluirá os volumes de réplica do EBS da conta de serviço depois que a interrupção ou falha for resolvida, ou quando o período de retenção estendido expirar.

Para obter informações sobre a metodologia de detecção de malware do GuardDuty e os mecanismos de verificação usados, consulte Mecanismo de verificação de detecção de malware GuardDuty.