Monitoramento de status e resultados de verificações na Proteção contra Malware para o EC2

Depois que uma verificação de malware é iniciada em uma instância do Amazon EC2, o GuardDuty fornece automaticamente os campos de status e resultado. Você pode monitorar o status por meio de transições e ver se o malware foi detectado. A tabela a seguir fornece os valores possíveis associados à verificação de malware.

Categoria	Valores potenciais
Status da verificação	`Running`, `Completed`, `Skipped`, ou `Failed`
Resultado da verificação*	`Clean` ou `Infected`
Tipo de verificação	`GuardDuty initiated` ou `On demand`

* O resultado da verificação é preenchido somente quando o status dela se torna Completed. O resultado Infected da verificação significa que o GuardDuty detectou a presença de malware.

Os resultados de verificação de cada verificação de malware têm um período de retenção de 90 dias. Escolha seu método de acesso preferido para rastrear o status da verificação de malware.

Console

Abra o console do GuardDuty em https://console.aws.amazon.com/guardduty.
No painel de navegação, escolha Verificações de malware do EC2.
Você pode filtrar as verificações de malware pelas seguintes Propriedades disponíveis na barra de pesquisa de filtro.
- ID da verificação – identificador exclusivo associado à verificação de malware do EC2.
- ID da conta – ID Conta da AWS em que a verificação de malware foi iniciada.
- ARN da instância do EC2 – nome do recurso da Amazon (ARN) associado à instância do Amazon EC2 associada à verificação.
- Status da verificação – o status da verificação do volume do EBS, como Em execução, Ignorado e Concluído
- Tipo de verificação – indica se foi uma verificação de malware sob demanda ou uma verificação de malware iniciada pelo GuardDuty.

API/CLI

Depois que a verificação de malware tiver um resultado, use DescribeMalwareScans para filtrar as verificações de malware com base em EC2_INSTANCE_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE GUARDDUTY_FINDING_ID, SCAN_STATUS e SCAN_START_TIME.

Os critérios do filtro GUARDDUTY_FINDING_ID estão disponíveis quando o SCAN_TYPE é iniciado pelo GuardDuty.
Você pode alterar o exemplo de filter-criteria no comando abaixo. Atualmente, você pode filtrar com base em uma CriterionKey de cada vez. As opções para CriterionKey são EC2_INSTANCE_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE GUARDDUTY_FINDING_ID, SCAN_STATUS e SCAN_START_TIME.

Você pode alterar max-results (até 50) e sort-criteria. O AttributeName é obrigatório e deve ser scanStartTime.

No exemplo a seguir, os valores em vermelho são espaços reservados. Substitua-os pelos valores apropriados para sua conta. Por exemplo, substitua o exemplo detector-id 60b8777933648562554d637e0e4bb3b2 pelo seu próprio detector-id válido. Se você usar a mesma CriterionKey que a abaixo, certifique-se de substituir o exemplo de EqualsValue por seu próprio scan-id da AWS válido.
```
aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```
A resposta desse comando exibe no máximo um resultado com detalhes sobre o recurso afetado e as descobertas de malware (se Infected).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Verificar novamente a instância do Amazon EC2 verificada anteriormente

Conta de serviço do GuardDuty