備份的惡意軟體防護如何運作? - Amazon GuardDuty
概觀掃描所需的 IAM 角色檢閱資源掃描狀態和結果檢閱產生的調查結果

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

備份的惡意軟體防護如何運作?

本節說明惡意軟體保護備份的元件、運作方式,以及如何檢閱惡意軟體掃描狀態和結果。

概觀

惡意軟體保護備份是一項功能,可協助您偵測 EBS 快照、EC2 映像 (AMI) 和屬於 EBS、EC2 和 S3 資源類型的復原點上是否存在惡意軟體。您可以透過 GuardDuty 主控台或 API 啟動隨需惡意軟體掃描,方法是傳入提供掃描所需許可的 IAM 角色,以及一或兩個資源 ARNs,視掃描類別而定。有兩種掃描類別:完整掃描和增量掃描。

完整掃描和增量掃描

完整掃描是 API 接受資源 ARN 的位置,並掃描該資源中的所有檔案。另一方面,增量掃描需要兩個資源 ARNs,這兩個資源都屬於同一個資源,並在它們之間掃描變更的檔案。例如,假設我們拍攝 EBS 磁碟區的快照。讓我們將其稱為 snapshot-1。如果在此快照上完成完整掃描,GuardDuty 會掃描此快照包含的所有檔案。現在,假設已將幾個檔案新增至相同的磁碟區,並拍攝新的快照。讓我們將其稱為 snapshot-2。由於快照-1快照-2 之間只有幾個檔案變更,因此一個檔案可以使用這兩個快照的資源 ARNs 觸發增量掃描。在此情況下,快照-2 稱為target資源,而快照-1 稱為base資源。您會在文件的其餘部分看到此術語。此增量掃描會掃描快照-1快照-2 之間變更的檔案。

在增量掃描中重新掃描先前受感染的檔案

作為增量掃描的一部分,GuardDuty 也會從基礎掃描重新掃描先前受感染的檔案,最多 90 天。

增量掃描的需求

GuardDuty 必須滿足下列要求,才能執行增量掃描。如果不符合任何這些要求,GuardDuty 會略過掃描。

  • 基礎資源必須在過去 90 天內掃描,且掃描結果必須在 COMPLETED或 中COMPLETED_WITH_ISSUES

  • 基本資源的建立日期必須早於目標資源的日期。

  • 基礎和目標資源在快照情況下必須具有相同的加密類型。

  • 基礎和目標資源必須來自相同的歷程。

    • 對於 EBS 快照和 EBS 復原點,這表示它們來自相同的磁碟區或相同磁碟區的複本,加密類型沒有任何變更。

    • 對於 S3 復原點,必須從相同的基礎 S3 儲存貯體建立基礎和目標資源 ARNs。

    • 在 AMIs 的情況下,基本和目標 AMI 之間會比較成對快照,以識別增量掃描的快照。每組快照都必須符合上述條件。目標 AMI 內在基礎 AMI 中沒有對應相符快照的任何快照都會略過。

重新掃描先前掃描的備份資源

從先前的惡意軟體掃描開始時間起算 10 分鐘後,您可以在相同的資源上啟動新的隨需惡意軟體掃描。如果新的惡意軟體掃描在先前的惡意軟體掃描啟動後 10 分鐘內開始,您的請求將導致以下錯誤,並且不會為此請求產生任何掃描 ID。重新掃描執行個體的步驟與第一次啟動隨需惡意軟體掃描相同。

掃描所需的 IAM 角色

您需要傳入 IAM 角色,才能啟動完整或增量掃描。此角色提供執行掃描操作所需的許可。 備份的 GuardDuty 惡意軟體防護:IAM 角色許可提供所需的確切許可清單,以及執行掃描所需的相關信任政策。

檢閱資源掃描狀態和結果

GuardDuty 會將掃描結果事件發佈至 Amazon EventBridge 預設事件匯流排。GuardDuty at-least-once交付,這表示您可能會收到相同物件的多個掃描結果。我們建議您設計應用程式來處理重複的結果。每個掃描的物件只會向您收取一次費用。

如需詳細資訊,請參閱監控掃描狀態並導致備份的惡意軟體防護

檢閱產生的調查結果

檢閱問題清單取決於您是否使用惡意軟體防護搭配 GuardDuty 備份。請考量下列情況:

當您啟用 GuardDuty 服務時,使用惡意軟體防護進行備份 (偵測器 ID)

如果惡意軟體掃描偵測到掃描的 Backup 資源中的潛在惡意檔案,GuardDuty 將產生相關聯的調查結果。您可以檢視問題清單詳細資訊,並使用建議的步驟來修復問題清單。根據您的匯出調查結果頻率,產生的調查結果會匯出至 S3 儲存貯體和 Amazon EventBridge 事件匯流排。

如需有關將產生的問題清單類型的資訊,請參閱適用於 Backup 的惡意軟體防護的問題備份問題清單類型的惡意軟體防護清單類型。

使用惡意軟體保護備份做為獨立功能 (無偵測器 ID)

GuardDuty 將無法產生調查結果,因為沒有相關聯的偵測器 ID。若要了解備份資源的掃描狀態,您可以檢視 GuardDuty 自動發佈至預設事件匯流排的掃描結果。

如需掃描狀態和結果的資訊,請參閱 監控掃描狀態並導致備份的惡意軟體防護

注意

如果您也使用適用於 S3 的惡意軟體防護,您的 S3 檔案可能先前標記為 NO_THREATS_FOUND,但相同的檔案可能會顯示在物件所屬的備份復原點的威脅清單中。由於服務經常更新其惡意軟體簽章,這可能已變更檔案的狀態,因此會發生這種情況。請注意,在這種情況下,GuardDuty 不會返回並更新原始 S3 儲存貯體中 檔案的標籤。取得套用到檔案的更新標籤的唯一方法是將物件重新上傳至儲存貯體,或使用 S3 的隨需掃描功能。