Como funciona a Proteção contra Malware para Backup? - Amazon GuardDuty
Visão geral do Função do IAM necessária para digitalizaçãoAnalisando o status e o resultado do escaneamento de recursosRevisar descobertas geradas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como funciona a Proteção contra Malware para Backup?

Esta seção descreve os componentes do Malware Protection for Backup, como ele funciona e como você pode analisar o status e o resultado da verificação de malware.

Visão geral do

A Proteção contra Malware para Backup é um recurso que ajuda a detectar a presença de malware em instantâneos, EC2 imagens (AMI) e pontos de recuperação do EBS pertencentes aos tipos de recursos EBS e S3. EC2 Você pode iniciar uma verificação de malware sob demanda por meio do GuardDuty console ou da API transmitindo uma função do IAM que fornece as permissões necessárias para a verificação, junto com um ou dois recursos, ARNs dependendo da categoria da verificação. Há duas categorias de escaneamento possíveis: escaneamentos completos e escaneamentos incrementais.

Escaneamento completo e escaneamento incremental

Uma verificação completa é quando a API aceita o ARN de um recurso e verifica todos os arquivos desse recurso. Uma varredura incremental, por outro lado, usa dois recursos ARNs, ambos pertencentes ao mesmo recurso, e verifica os arquivos alterados entre eles. Como exemplo, vamos supor que tiramos um instantâneo de um volume do EBS. Vamos chamá-lo de snapshot-1. Se uma verificação completa for feita nesse instantâneo, GuardDuty verificará todos os arquivos contidos nesse instantâneo. Agora, vamos supor que alguns arquivos foram adicionados ao mesmo volume e um novo instantâneo foi tirado. Vamos chamá-lo de snapshot-2. Como apenas alguns arquivos foram alterados entre snapshot-1 e snapshot-2, pode-se acionar uma verificação incremental com o recurso desses dois instantâneos. ARNs Nesse caso, snapshot-2 é chamado de target recurso e snapshot-1 é chamado de recurso. base Você verá essa terminologia usada no restante do documento. Essa verificação incremental examinará os arquivos alterados entre snapshot-1 e snapshot-2.

Examinando novamente arquivos infectados anteriormente em uma verificação incremental

Como parte de uma verificação incremental, também GuardDuty examinará novamente os arquivos infectados anteriormente a partir da verificação básica por até 90 dias.

Requisitos para uma verificação incremental

Os requisitos a seguir devem ser atendidos GuardDuty para realizar uma varredura incremental. Se algum desses requisitos não for atendido, GuardDuty pulará a verificação.

  • O recurso básico deve ser escaneado nos últimos 90 dias e o resultado da verificação deve estar em COMPLETED ouCOMPLETED_WITH_ISSUES.

  • O recurso base deve ter uma data de criação anterior à do recurso de destino.

  • Os recursos base e de destino devem ter o mesmo tipo de criptografia no caso de instantâneos.

  • Os recursos base e alvo devem ser da mesma linhagem.

    • Para um snapshot do EBS e um ponto de recuperação do EBS, isso significa que eles vêm do mesmo volume ou são cópias do mesmo volume, sem nenhuma alteração no tipo de criptografia.

    • Para um ponto de recuperação do S3, os recursos base e de destino ARNs devem ser criados a partir do mesmo bucket do S3 subjacente.

    • No caso de AMIs, pares de instantâneos são comparados entre a AMI básica e a de destino para identificar instantâneos para uma verificação incremental. Cada par de instantâneos precisa atender às condições mencionadas acima. Qualquer instantâneo dentro da AMI de destino que não tenha um instantâneo correspondente na AMI base será ignorado.

Digitalizando novamente os recursos de backup digitalizados anteriormente

Você pode iniciar uma nova verificação de malware sob demanda no mesmo recurso após 10 minutos a partir da hora de início da verificação de malware anterior. Se a nova verificação de malware for iniciada dentro de 10 minutos após o início da verificação de malware anterior, sua solicitação resultará no seguinte erro e nenhuma ID de verificação será gerada para essa solicitação. As etapas para verificar novamente a instância permanecem as mesmas usadas para iniciar uma verificação de malware sob demanda pela primeira vez.

Função do IAM necessária para digitalização

Você precisa passar uma função do IAM para iniciar uma verificação completa ou incremental. Essa função fornece as permissões necessárias para realizar as operações de varredura. GuardDuty Proteção contra malware para backup: permissões de função do IAMfornece a lista exata das permissões necessárias, junto com a política de confiança relevante necessária para realizar a verificação.

Analisando o status e o resultado do escaneamento de recursos

GuardDuty publica o evento do resultado da digitalização no barramento de eventos EventBridge padrão da Amazon. GuardDuty usa at-least-once entrega, o que significa que você pode receber vários resultados de escaneamento para o mesmo objeto. Recomendamos projetar suas aplicações para lidar com resultados duplicados. Você é cobrado apenas uma vez por cada objeto verificado.

Para obter mais informações, consulte Monitoramento de status e resultados de escaneamento no Malware Protection for Backup.

Revisar descobertas geradas

A análise das descobertas depende de você estar ou não usando o Malware Protection for Backup com GuardDuty. Considere os seguintes cenários:

Usando a Proteção contra Malware para Backup quando o GuardDuty serviço está ativado (ID do detector)

Se a verificação de malware detectar um arquivo potencialmente malicioso em um recurso de Backup escaneado, GuardDuty gerará uma descoberta associada. É possível visualizar os detalhes da descoberta e usar as etapas recomendadas para corrigir a descoberta. Com base na frequência de suas descobertas de exportação, a descoberta gerada é exportada para um bucket S3 e um barramento de EventBridge eventos da Amazon.

Para obter informações sobre o tipo de descoberta que seria gerado, consulte Proteção contra malware para tipos de descoberta de Backup Como encontrar tipos de proteção contra malware para backup.

Usando a Proteção contra Malware para Backup como um recurso independente (sem ID de detector)

GuardDuty não será capaz de gerar descobertas porque não há uma ID de detector associada. Para saber o status do escaneamento do seu recurso de backup, você pode ver o resultado do escaneamento que é publicado GuardDuty automaticamente no seu barramento de eventos padrão.

Para obter informações sobre o status e o resultado da verificação, consulteMonitoramento de status e resultados de escaneamento no Malware Protection for Backup.

nota

Se você também estiver usando o Malware Protection for S3, é possível que seu arquivo S3 tenha sido marcado anteriormente como NO_THREATS_FOUND e, ainda assim, o mesmo arquivo possa aparecer na lista de ameaças do Backup Recovery Point ao qual o objeto pertence. Isso acontece porque o serviço atualiza com frequência suas assinaturas de malware, o que pode ter alterado o status do arquivo. Observe que, nesses casos, GuardDuty não volta e atualiza a tag no arquivo no bucket S3 original. A única maneira de aplicar uma tag atualizada ao arquivo é recarregando o objeto no bucket ou usando o recurso de varredura sob demanda do S3.