Verificação de malware sob demanda no GuardDuty
O verificação de malware sob demanda ajuda você a detectar a presença de malware em volumes do Amazon Elastic Block Store (Amazon EBS) anexados a instâncias do Amazon EC2. Sem necessidade de configuração, é possível iniciar uma verificação de malware sob demanda fornecendo o nome do recurso da Amazon (ARN) da instância do Amazon EC2 que deseja verificar. Pode ser iniciada uma verificação de malware sob demanda por meio do console do GuardDuty ou da API. Antes de iniciar uma verificação de malware sob demanda, defina sua configuração de Retenção de snapshots preferencial. Os cenários a seguir podem ajudar você a identificar quando usar o tipo de verificação de malware sob demanda com o GuardDuty:
-
Você deseja detectar a presença de malware em suas instâncias do Amazon EC2 sem habilitar a verificação de malware iniciada pelo GuardDuty.
-
Você habilitou a verificação de malware iniciada pelo GuardDuty e uma verificação foi invocada automaticamente. Depois de seguir a correção recomendada para o tipo de descoberta gerada pela Proteção contra Malware para o EC2, caso queira iniciar uma verificação no mesmo recurso, inicie uma verificação de malware sob demanda após 1 hora do horário de início da verificação anterior.
A varredura de malware sob demanda não exige um período de 24 horas a partir do momento em que a verificação de malware anterior foi iniciada. Deveria ter passado uma hora antes de iniciar uma verificação de malware sob demanda no mesmo recurso. Para evitar a duplicação de uma verificação de malware na mesma instância do EC2, consulte Verificar novamente a instância do Amazon EC2 verificada anteriormente.
nota
A verificação de malware sob demanda não está incluída no período de teste gratuito de 30 dias do GuardDuty. O custo de uso se aplica ao volume total do Amazon EBS verificado para cada verificação de malware. Para obter mais informações, consulte Definição de preço do Amazon GuardDuty
Como funciona a verificação de malware sob demanda
Com a verificação de malware sob demanda, é possível iniciar uma solicitação de verificação de malware para sua instância do Amazon EC2 mesmo quando ela estiver em uso. Após iniciar uma verificação de malware sob demanda, o GuardDuty cria snapshots dos volumes do Amazon EBS anexados à instância do Amazon EC2 cujo nome do recurso da Amazon (ARN) foi fornecido para a verificação. Em seguida, o GuardDuty compartilha esses snapshots com a Conta de serviço do GuardDuty. O GuardDuty cria volumes do EBS de réplica criptografados a partir desses snapshots na conta de serviço do GuardDuty. Para obter mais informações sobre como os volumes do Amazon EBS são verificados, consulte Como o GuardDuty verifica volumes do EBS para detecção de malware.
nota
O GuardDuty cria os snapshots dos dados que já foram gravados nos volumes do Amazon EBS no momento em que se inicia uma verificação de malware sob demanda.
Se um malware for encontrado e você tiver habilitado a configuração de retenção de snapshots, os snapshots do seu volume do EBS serão automaticamente retidos na sua Conta da AWS. A verificação de malware sob demanda gera os Tipos de descoberta da Proteção contra malware para EC2. Se o malware não for encontrado, independentemente da configuração de retenção de snapshots, os snapshots dos seus volumes do EBS serão excluídos.
O GuardDuty usa uma chave de tag global,GuardDutyExcluded, que pode ser adicionada aos seus recursos do Amazon EC2 e definir o valor da tag como true. Esse recurso do Amazon EC2 que possui esse par de chave e valor de tag será excluído da verificação de malware. Os dois tipos de verificação (verificação de malware iniciada pelo GuardDuty e verificação de malware sob demanda) são compatíveis com a tag global. Caso seja iniciada uma verificação de malware sob demanda em um Amazon EC2, será gerada uma ID de verificação. No entanto, a verificação será ignorada por uma EXCLUDED_BY_SCAN_SETTINGS razão. Para obter mais informações, consulte Razões para ignorar o recurso durante a verificação de malware.
