Monitoramento de status e resultados de escaneamento no Malware Protection for Backup - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Monitoramento de status e resultados de escaneamento no Malware Protection for Backup

Depois que uma verificação de malware é iniciada, GuardDuty fornece alguns mecanismos por meio dos quais você pode monitorar o status e o resultado de uma verificação. A tabela a seguir fornece alguns dos valores associados aos escaneamentos de malware.

Categoria Valores potenciais

Status da verificação

RUNNING, COMPLETED, COMPLETED_WITH_ISSUES, FAILED ou SKIPPED

Categoria de digitalização

FULL_SCAN ou INCREMENTAL_SCAN

Tipo de verificação

GUARDDUTY_INITIATED, ON_DEMAND ou BACKUP_INITIATED

Status do resultado da verificação

NO_THREATS_FOUND ou THREATS_FOUND

*Observe que o status do resultado do escaneamento pode não estar presente se o escaneamento não tiver sido concluído. O status do resultado da verificação de THREATS_FOUND indica que foi GuardDuty detectada a presença de malware.

As digitalizações também podem ser ignoradas por vários motivos. A tabela abaixo explica os motivos pelos quais os escaneamentos podem ser ignorados:

Motivo do escaneamento ignorado Motivo

ACCESS_DENIED

O Customer Role não tem as permissões necessárias para que o serviço realize a verificação

RESOURCE_NOT_FOUND

O recurso que está tentando ser escaneado não existe na conta ou foi excluído durante a verificação

LIMITE DE TAMANHO DO SNAPSHOT EXCEDIDO

O tamanho do instantâneo é maior do que o atualmente suportado pelo GuardDuty

INCREMENTAL SEM DIFERENÇA

Os recursos especificados na solicitação de verificação incremental não têm diferença

RECURSO_INDISPONÍVEL

O recurso não está no estado esperado. Se a verificação for incremental, o ponto de recuperação básico não estará no estado DISPONÍVEL ou CONCLUÍDO

RECURSOS_NÃO RELACIONADOS

Para varreduras incrementais - os recursos base e atual não são da mesma linhagem

RECURSO BÁSICO NÃO ESCANEADO

Para verificações incrementais - o recurso básico não foi escaneado anteriormente ou nenhuma verificação concluída foi encontrada

BASE_CREATED_AFTER_TARGET

Para varreduras incrementais - a data de criação do recurso base é maior que a data de criação do recurso atual

NÃO SUPORTADO PARA INCREMENTOS

O tipo de recurso solicitado não oferece suporte à varredura incremental

AMI-NÃO SUPORTADO

AMIs públicas, AMIs com apenas armazenamento temporário e AMIs que não estão em um estado disponível não são elegíveis para verificação

INSTANTÂNEO_NÃO SUPORTADO

Os instantâneos de armazenamento a frio não são elegíveis para digitalização

COMPOSITE_RP NÃO SUPORTADO

A digitalização não é suportada para tipos de recursos compostos

TIPO DE CÓDIGO_DE_PRODUTO NÃO SUPORTADO

O recurso solicitado contém um código de produto do Amazon Marketplace que não é compatível com a digitalização

AMI_SNAPSHOT_LIMIT_EXCEDIDO

As AMIs não suportam a digitalização de mais de 40 instantâneos

NENHUM VOLUME DE EBS ENCONTRADO

Nenhum mapeamento de dispositivo de bloco do Ebs foi encontrado para o recurso solicitado

RECURSOS_NÃO RELACIONADOS

Para varreduras incrementais - o arn do recurso básico difere do arn do recurso esperado

Os resultados da verificação têm um período de retenção de 90 dias. Escolha seu método de acesso preferido para rastrear o status da verificação de malware.

Monitorando escaneamentos usando o console

  1. Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.

  2. No painel de navegação, escolha Verificações de malware.

  3. Você pode filtrar as verificações de malware pelas seguintes Propriedades disponíveis na barra de pesquisa de filtro.

    • ID de verificação – Unique identifier associated with the malware scan.
    • ID da conta – Account where the malware scan initiated.
    • Atributo ARN – Amazon Resource Name (ARN) associated with the Amazon resource associated with the scan.
    • Tipo de recurso – The type of resource associated with the scan, such as EC2 Instance, EBS Snapshot | EC2 AMI, EBS Recovery Point, EC2 Recovery Point, or S3 Recovery Point.
    • Status – The scan status of the scan, such as Running, Skipped, Completed, Completed with Issues, or Failed.
    • Tipo de digitalização – Indicates whether this was an On-demand, GuardDuty-initiated, or Backup-Initiated malware scan.

Monitorando escaneamentos usando a API/CLI

  • You can invoke ListMalwareScans to filter malware scans by RESOURCE_ARN, ID DE DIGITALIZAÇÃO, ACCOUNT_ID, TIPO DE DIGITALIZAÇÃO GUARDDUTY_FINDING_ID, STATUS DO ESCANEAMENTO, TIPO_DE_RECURSO, and HORA DE INÍCIO DO ESCANEAMENTO. You may also invoke GetMalwareScan to retrieve more detailed metadata of a scan by providing a scan-id as input. The GUARDDUTY_FINDING_ID filter criteria is available when the TIPO_DE_DIGITALIZAÇÃO is GuardDuty initiated.
  • You may change the example critérios de filtro in the command below, and can filter on the basis of one CriterionKey at a time. The options for CriterionKey are Resource_ARN, ID DE DIGITALIZAÇÃO, ACCOUNT_ID, TIPO_DE_DIGITALIZAÇÃO, GUARDDUTY_FINDING_ID, STATUS DO ESCANEAMENTO, TIPO_DE_RECURSO, and HORA DE INÍCIO DO ESCANEAMENTO. You can change the resultados máximos (up to 50) and the critérios de classificação. The AttributeName field is mandatory for critérios de classificação and must be set to scanStartTime. In the following example, the values in vermelho are placeholders. Replace them with the values appropriate for your account. If you use the same CriterionKey as below for ListMalwareScans, ensure to replace the example EqualsValue with the tipo de recurso you want to filter by. 
    aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
    aws guardduty get-malware-scan --scan-id abc123
  • The response for the above command for ListMalwareScans will return up to 25 scans with some details about the affected resource(s). The response for the above command for GetMalwareScan will return a single scan with detailed metadata about the scan.

Monitorando escaneamentos usando EventBridge

EventBridge A Amazon é um serviço de ônibus de eventos sem servidor que facilita a conexão de seus aplicativos com dados de várias fontes. EventBridge fornece um fluxo de dados em tempo real de seus próprios aplicativos, aplicativos Software-as-a-Service (SaaS) e serviços da Amazon e encaminha esses dados para destinos como o Lambda. Isso permite monitorar eventos que ocorram em serviços e criem arquiteturas orientadas a eventos. Para obter mais informações, consulte o Guia EventBridge do usuário da Amazon.

GuardDuty publica EventBridge notificações no barramento de eventos padrão quando o status do escaneamento é determinado. Você pode configurar EventBridge regras em sua conta para enviar eventos para outros serviços integrados à Amazon EventBridge. O EventBridge preço padrão será aplicado. Para obter mais informações, consulte os EventBridge preços da Amazon.

Muitos dos valores mostrados abaixo são espaços reservados para o exemplo e variam de acordo com o escaneamento.

Eventos de resultados da verificação de malware

Valores potenciais do tipo de detalhe para Backup:

  • “GuardDuty Malware Protection EBS Snapshot Scan Result”
  • “GuardDuty Malware Protection EC2 AMI Scan Result”
  • “GuardDuty Malware Protection S3 Recovery Point Scan Result”
  • “GuardDuty Malware Protection EBS Recovery Point Scan Result”
  • “GuardDuty Malware Protection EC2 Recovery Point Scan Result”

Exemplo de padrão de evento:

{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

Exemplo de esquema de notificação para o EC2 AMI Scan sem ameaças encontradas:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}
Mostrar maisMostrar menos

Exemplo de esquema de notificação para o EC2 AMI Scan com ameaças encontradas:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}
Mostrar maisMostrar menos

Exemplo de esquema de notificação para verificação de EC2 AMI ignorada:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}
Mostrar maisMostrar menos