Monitorando os status e os resultados do escaneamento na Proteção contra Malware para EC2 - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Monitorando os status e os resultados do escaneamento na Proteção contra Malware para EC2

Depois que uma verificação de malware é iniciada em uma EC2 instância da Amazon, GuardDuty fornece automaticamente os campos de status e resultado. Você pode monitorar o status por meio de transições e ver se o malware foi detectado. A tabela a seguir fornece os valores possíveis associados à verificação de malware.

Categoria Valores potenciais

Status da verificação

Running, Completed, Skipped ou Failed

Resultado da digitalização *

Clean ou Infected

Tipo de verificação

GuardDuty initiated ou On demand

*O resultado do escaneamento é preenchido somente quando o status do escaneamento se torna. Completed O resultado da verificação Infected significa que GuardDuty detectou a presença de malware.

Os resultados de verificação de cada verificação de malware têm um período de retenção de 90 dias. Escolha seu método de acesso preferido para rastrear o status da verificação de malware.

Console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha escaneamentos de EC2 malware.

  3. Você pode filtrar as verificações de malware pelas seguintes propriedades disponíveis na barra de pesquisa do filtro.

    • ID do escaneamento — identificador exclusivo associado ao escaneamento de EC2 malware.

    • ID da conta — Conta da AWS ID em que a verificação de malware foi iniciada.

    • EC2 ARN da instância — Nome de recurso da Amazon (ARN) associado à EC2 instância da Amazon associada à verificação.

    • Status do escaneamento — O status do escaneamento do volume do EBS, como Executando, Ignorado e Concluído

    • Tipo de escaneamento — Indica se foi um escaneamento de malware sob demanda ou um escaneamento GuardDuty de malware iniciado.

API/CLI

  • Depois que a verificação de malware tiver um resultado de verificação, use DescribeMalwareScanspara filtrar as varreduras de malware com base em EC2_INSTANCE_ARNSCAN_ID,ACCOUNT_ID, SCAN_TYPEGUARDDUTY_FINDING_ID,SCAN_STATUS, e. SCAN_START_TIME

    Os critérios do GUARDDUTY_FINDING_ID filtro estão disponíveis quando o SCAN_TYPE é GuardDuty iniciado.

  • Você pode alterar o exemplo filter-criteria no comando abaixo. Atualmente, você pode filtrar com base em uma CriterionKey de cada vez. As opções para CriterionKey são EC2_INSTANCE_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE GUARDDUTY_FINDING_ID, SCAN_STATUS e SCAN_START_TIME.

    Você pode alterar o max-results (até 50) e sort-criteria o. O AttributeName é obrigatório e deve ser scanStartTime.

    No exemplo a seguir, os valores em red são espaços reservados. Substitua-os pelos valores apropriados para sua conta. Por exemplo, substitua o exemplo detector-id 60b8777933648562554d637e0e4bb3b2 pelo seu próprio exemplo válidodetector-id. Se você usar o CriterionKey mesmo exemplo abaixo, certifique-se de substituir o exemplo EqualsValue pelo seu próprio válido AWS scan-id.

    aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

  • A resposta desse comando exibe no máximo um resultado com detalhes sobre o recurso afetado e as descobertas de malware (se Infected).