Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# GuardDuty Malware-Schutz für EC2
Malware Protection for EC2 hilft Ihnen dabei, das potenzielle Vorhandensein von Malware zu erkennen, indem es die [Amazon Elastic Block Store (Amazon EBS) -Volumes scannt, die an Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AmazonEBS.html) Elastic Compute Cloud (Amazon EC2) -Instances und Container-Workloads angehängt sind, die auf Amazon EC2 ausgeführt werden. Malware Protection for EC2 bietet Scanoptionen, mit denen Sie entscheiden können, ob Sie bestimmte Amazon EC2 EC2-Instances beim Scannen ein- oder ausschließen möchten. Es bietet auch die Möglichkeit, die Snapshots der Amazon EBS-Volumes, die an die Amazon EC2 EC2-Instances oder Container-Workloads angehängt sind, in Ihren Konten aufzubewahren. GuardDuty Die Snapshots werden nur aufbewahrt, wenn Malware gefunden wird, und die Ergebnisse von Malware Protection for EC2 werden generiert.
Malware Protection for EC2 ist so konzipiert, dass die Leistung Ihrer Ressourcen nicht beeinträchtigt wird. Informationen zur Funktionsweise von Malware Protection for EC2 finden Sie unter GuardDuty. [Wie GuardDuty scannt man EBS-Volumes auf Malware-Erkennung](guardduty_malware_protection-ebs-volume-data.md) Informationen zur Verfügbarkeit von Malware Protection for EC2 in verschiedenen Versionen finden Sie AWS-Regionen unter. [Regionen und Endpunkte](guardduty_regions.md)
**Hinweise**
Malware Protection for EC2 **unterstützt** Malware-Scans auf verwalteten Instances für Amazon EKS Auto Mode. Weitere Informationen finden Sie unter [Unterstützung für verwaltete Instances in Guardduty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_managed-instances.html).
Malware Protection for EC2 **unterstützt keine** Malware-Scans für AWS Fargate Workloads, die entweder mit Amazon EKS oder Amazon ECS ausgeführt werden.
Informationen zu diesen Amazon EKS-Funktionen finden Sie unter [Was ist Amazon EKS?](https://docs.aws.amazon.com/eks/latest/userguide/what-is-eks.html) im **Amazon EKS-Benutzerhandbuch**.
**Topics**
+ [Vergleich des GuardDuty initiierten Malware-Scans und des On-Demand-Malware-Scans](#compare-guardduty-initiated-on-demand-malware-scans)
+ [Wie GuardDuty scannt man EBS-Volumes auf Malware-Erkennung](guardduty_malware_protection-ebs-volume-data.md)
+ [Unterstützte EBS-Volumes](gdu-malpro-supported-volumes.md)
+ [Richten Sie die Aufbewahrung von Snapshots und die EC2-Scanabdeckung ein](malware-protection-customizations.md)
+ [GuardDuty-initiierter Malware-Scan](gdu-initiated-malware-scan.md)
+ [Malware-Scan auf Abruf](on-demand-malware-scan.md)
+ [Überwachen von Scanstatus und Ergebnissen](malware-protection-scans.md)
+ [GuardDuty Dienstkonto](gdu-service-account-region-list.md)
+ [Kontingente beim Malware-Schutz für EC2](malware-protection-limitations.md)
## Vergleich des GuardDuty initiierten Malware-Scans und des On-Demand-Malware-Scans
Malware Protection for EC2 bietet zwei Arten von Scans zur Erkennung potenziell bösartiger Aktivitäten in Ihren Amazon EC2 EC2-Instances und Container-Workloads: den GuardDuty initiierten Malware-Scan und den On-Demand-Malware-Scan. Die folgende Tabelle zeigt den Vergleich zwischen den beiden Scan-Typen.
| Faktor | GuardDuty-initiierter Malware-Scan | Malware-Scan auf Abruf |
| --- | --- | --- |
| Wie der Scan aufgerufen wird | Sobald Sie den GuardDuty -initiierten Malware-Scan aktiviert haben, GuardDuty wird jedes Mal, wenn ein Ergebnis generiert wird, das auf das potenzielle Vorhandensein von Malware in einer Amazon EC2 EC2-Instance oder einem Container-Workload hinweist, GuardDuty automatisch ein agentenloser Malware-Scan auf den Amazon EBS-Volumes initiiert, die an Ihre potenziell betroffene Ressource angehängt sind. Weitere Informationen finden Sie unter [GuardDuty-initiierter Malware-Scan](gdu-initiated-malware-scan.md). | Sie können einen On-Demand-Malware-Scan initiieren, indem Sie den Amazon-Ressourcennamen (ARN) Ihrer Amazon EC2-Instance angeben. Sie können einen On-Demand-Malware-Scan auch dann initiieren, wenn für Ihre Ressource kein GuardDuty Ergebnis generiert wurde. Weitere Informationen finden Sie unter [Malware-Scan auf Abruf GuardDuty](on-demand-malware-scan.md). |
| Konfiguration erforderlich | Um den GuardDuty -initiierten Malware-Scan verwenden zu können, müssen Sie ihn für Ihr Konto aktivieren. Informationen zur Verwaltung mehrerer Konten mithilfe AWS Organizations oder einer Methode, die auf Einladung basiert, finden Sie unter[Aktivierung des GuardDuty -initiierten Malware-Scans in Umgebungen mit mehreren Konten](configure-malware-protection-guardduty-initiated-multi-account.md). Informationen zur Aktivierung des durch den GuardDuty Benutzer initiierten Malware-Scans in Ihrem eigenen Konto finden Sie unter[Aktivierung des GuardDuty -initiierten Malware-Scans für ein eigenständiges Konto](configure-malware-protection-single-account.md). | Ihr Konto muss GuardDuty aktiviert sein. Um den On-Demand-Malware-Scan verwenden zu können, ist keine Konfiguration auf Funktionsebene erforderlich. |
| Wartezeit zum Initiieren eines neuen Scanvorgangs | Immer wenn ein Malware-Scan GuardDuty generiert wird[Ergebnisse, die einen GuardDuty -initiierten Malware-Scan auslösen](gd-findings-initiate-malware-protection-scan.md), wird nur einmal alle 24 Stunden automatisch ein Malware-Scan gestartet. | Sie können einen On-Demand-Malware-Scan für dieselbe Ressource jederzeit nach dem Start des vorherigen Scans starten. |
| Verfügbarkeit der 30-tägigen kostenlosen Testphase *[1](#malware-protection-ec2-ebs-cost-note)* | Wenn Sie den GuardDuty -initiierten Malware-Scan in Ihrem Konto zum ersten Mal aktivieren, können Sie eine 30-tägige kostenlose Testphase nutzen. Weitere Informationen finden Sie unter [Kostenlose 30-Tage-Testversion bei -initiiertem Malware-Scan GuardDuty](malware-protection-ec2-guardduty-30-day-free-trial.md). | Es gibt keine kostenlose Testphase für den On-Demand-Malware-Scan für neue oder bestehende GuardDuty Konten. |
| Scan-Optionen *[2](#malware-protection-ec2-gdu-excluded-tag-note)* | Nachdem Sie den GuardDuty -initiierten Malware-Scan konfiguriert haben, bietet Malware Protection for EC2 die Option, bestimmte Amazon EC2 EC2-Ressourcen mithilfe von Tags zu scannen oder zu überspringen. Malware Protection for EC2 initiiert keinen automatischen Scan der Ressourcen, die Sie vom Scan ausschließen möchten. Weitere Informationen finden Sie unter [Scan-Optionen mit benutzerdefinierten Tags](malware-protection-customizations.md#mp-scan-options). | Da Sie den Ressourcen-ARN angeben, um einen On-Demand-Malware-Scan manuell zu starten, [Scan-Optionen mit benutzerdefinierten Tags](malware-protection-customizations.md#mp-scan-options) ist die Verwendung nicht möglich. |
1 Für die Erstellung von EBS-Volume-Snapshots und die Aufbewahrung von Snapshots fallen Nutzungskosten an. Weitere Informationen zur Konfiguration Ihres Kontos für die Aufbewahrung von Snapshots finden Sie unter. [Snapshot-Beibehaltung](malware-protection-customizations.md#mp-snapshots-retention)
2 Sowohl der GuardDuty initiierte Malware-Scan als auch der On-Demand-Malware-Scan unterstützen mithilfe eines globalen Tags, um Amazon EC2 EC2-Ressourcen von Malware-Scans auszuschließen. Weitere Informationen finden Sie unter [Globales `GuardDutyExcluded`-Tag](malware-protection-customizations.md#mp-scan-options-gdu-excluded-tag).
# Wie GuardDuty scannt man EBS-Volumes auf Malware-Erkennung
In diesem Abschnitt wird erklärt, wie Malware Protection for EC2, einschließlich sowohl des GuardDuty initiierten Malware-Scans als auch des On-Demand-Malware-Scans, die Amazon EBS-Volumes scannt, die Ihren Amazon EC2 EC2-Instances und Container-Workloads zugeordnet sind. Berücksichtigen Sie die folgenden Anpassungen, bevor Sie fortfahren:
+ Scanoptionen — Malware Protection for EC2 bietet die Möglichkeit, Tags anzugeben, um Amazon EC2-Instances und Amazon EBS-Volumes vom Scanvorgang entweder ein- oder auszuschließen. Nur durch einen GuardDuty -initiierten Malware-Scan werden Scanoptionen mit benutzerdefinierten Tags unterstützt. Sowohl der GuardDuty -initiierte Malware-Scan als auch der On-Demand-Malware-Scan unterstützen das globale Tag. `GuardDutyExcluded` Weitere Informationen finden Sie unter [Scan-Optionen mit benutzerdefinierten Tags](malware-protection-customizations.md#mp-scan-options).
+ Aufbewahrung von Snapshots — Malware Protection for EC2 bietet eine Option, um die Snapshots Ihrer Amazon EBS-Volumes in Ihrem Konto aufzubewahren. AWS Diese Einstellung ist standardmäßig deaktiviert. Sie können sich für die Aufbewahrung von Snapshots sowohl für GuardDuty initiierte als auch für On-Demand-Malware-Scans entscheiden. Weitere Informationen finden Sie unter [Snapshot-Beibehaltung](malware-protection-customizations.md#mp-snapshots-retention).
Wenn ein oder mehrere GuardDuty generiert werden[Ergebnisse, die einen GuardDuty -initiierten Malware-Scan auslösen](gd-findings-initiate-malware-protection-scan.md), ist diese Aktivität ein Grund GuardDuty , einen Malware-Scan einzuleiten. Wenn Ihre Scanoptionen diese Instanz nicht ausschließen, GuardDuty wird der Scan initiiert.
Um einen Malware-Scan auf Abruf auf den Amazon-EBS-Volumes zu initiieren, die mit einer Amazon-EC2-Instance verknüpft sind, geben Sie den Amazon-Ressourcennamen (ARN) der Amazon-EC2-Instance an.
Als Reaktion auf den Start eines On-Demand-Malware-Scans oder eines automatisch GuardDuty initiierten Malware-Scans GuardDuty erstellt es Snapshots der relevanten EBS-Volumes, die an die potenziell betroffene Ressource angehängt sind, und gibt sie an die weiter. [GuardDuty Dienstkonto](gdu-service-account-region-list.md) Wenn GuardDuty ein Snapshot Ihrer EBS-Volumes erstellt wird, wird ein Standard-Tag mit dem Namen hinzugefügt. `GuardDutyScanId` Dieses Tag hilft beim GuardDuty Zugriff auf den Snapshot. Stellen Sie sicher, dass Sie dieses Tag nicht entfernen. GuardDuty Erstellt aus diesen Snapshots ein verschlüsseltes Replikat-EBS-Volume im Dienstkonto.
GuardDuty Löscht nach Abschluss des Scans die verschlüsselten EBS-Replikat-Volumes und die Snapshots Ihrer EBS-Volumes. Standardmäßig ist die Einstellung zur Aufbewahrung von Snapshots deaktiviert. Snapshots werden jedoch unabhängig von den Scanergebnissen und Einstellungen beibehalten, wenn die [Amazon EBS-Snapshot-Sperre](https://docs.aws.amazon.com/ebs/latest/userguide/lock-snapshot.html) für sie aktiviert ist. GuardDuty kann die Amazon EBS-Snapshot-Sperreinstellungen nicht ändern.
In der folgenden Liste wird das Aufbewahrungsverhalten von Snapshots unabhängig von der Sperre von EBS-Snapshots beschrieben:
**Die Aufbewahrung von Snapshots ist aktiviert:**
+ Wenn Malware gefunden wird, GuardDuty werden die Schnappschüsse in Ihrem gespeichert. AWS-Konto
+ Wenn keine Malware gefunden wird, werden die Schnappschüsse GuardDuty **nicht** aufbewahrt, es sei denn, sie sind gesperrt.
**Die Aufbewahrung von Snapshots ist deaktiviert (Standardeinstellung):**
+ Unabhängig davon, ob Malware gefunden wird oder nicht, werden die Snapshots nicht aufbewahrt.
+ GuardDuty kann gesperrte Amazon EBS-Snapshots nicht löschen.
GuardDuty speichert jedes replizierte EBS-Volume im Servicekonto für bis zu 55 Stunden. Im Falle eines Dienstausfalls oder eines Fehlers bei einem EBS-Replikat-Volume und dessen Malware-Scan GuardDuty wird ein solches EBS-Volume nicht länger als sieben Tage aufbewahrt. Die verlängerte Aufbewahrungsfrist für das Volume dient der Suche und Behebung des Ausfalls oder Fehlers. GuardDuty Malware Protection for EC2 löscht die replizierten EBS-Volumes aus dem Dienstkonto, nachdem der Ausfall oder Fehler behoben wurde oder wenn die erweiterte Aufbewahrungsfrist abgelaufen ist.
Informationen zur Methode zur GuardDuty Malware-Erkennung und zu den verwendeten Scan-Engines finden Sie unter. [GuardDuty Scan-Engine zur Malware-Erkennung](guardduty-malware-detection-scan-engine.md)
# Unterstützte Amazon EBS-Volumes für Malware-Scans
In allen Ländern, in AWS-Regionen denen die Funktion Malware Protection for EC2 GuardDuty unterstützt wird, können Sie die unverschlüsselten oder verschlüsselten Amazon EBS-Volumes scannen. Sie können Amazon EBS-Volumes verwenden, die entweder mit einem [Von AWS verwalteter Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)oder mit einem vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) verschlüsselt sind. Derzeit unterstützen einige Regionen, in denen Malware Protection for EC2 verfügbar ist, möglicherweise beide Methoden zur Verschlüsselung Ihrer Amazon EBS-Volumes, während andere nur vom Kunden verwaltete Schlüssel unterstützen. Informationen zu den unterstützten Regionen finden Sie unter und. [GuardDuty Dienstkonten von AWS-Region](gdu-service-account-region-list.md) Informationen zu Regionen, in denen GuardDuty Malware Protection for EC2 zwar verfügbar, aber nicht verfügbar ist, finden Sie unter[Verfügbarkeit regionsspezifischer Feature](guardduty_regions.md#gd-regional-feature-availability).
In der folgenden Liste wird der Schlüssel beschrieben, der GuardDuty verwendet, unabhängig davon, ob Ihre Amazon EBS-Volumes verschlüsselt sind oder nicht:
+ **Amazon EBS-Volumes, die entweder unverschlüsselt oder mit verschlüsselt sind Von AWS verwalteter Schlüssel** — GuardDuty verwendet einen eigenen Schlüssel, um die replizierten Amazon EBS-Volumes zu verschlüsseln.
Wenn Ihre Region das Scannen [von Amazon EBS-Volumes, die standardmäßig mit Amazon EBS-Verschlüsselung verschlüsselt sind, nicht unterstützt, müssen Sie den Standardschlüssel](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html) so ändern, dass er ein vom Kunden verwalteter Schlüssel ist. Dies hilft beim GuardDuty Zugriff auf diese EBS-Volumes. Durch die Änderung des Schlüssels werden auch future EBS-Volumes mit dem aktualisierten Schlüssel erstellt, sodass Malware-Scans unterstützt werden GuardDuty können. Schritte zum Ändern des Standardschlüssels finden Sie [Ändern Sie die AWS KMS Standardschlüssel-ID eines Amazon EBS-Volumes](#regional-parity-supported-volumes-encrypt) im nächsten Abschnitt.
+ **Amazon EBS-Volumes, die mit einem vom Kunden verwalteten Schlüssel verschlüsselt sind** — GuardDuty verwendet denselben Schlüssel, um das replizierte EBS-Volume zu verschlüsseln. Informationen darüber, welche AWS KMS Verschlüsselungsrichtlinien unterstützt werden, finden Sie unter. [Servicebezogene Rollenberechtigungen für Malware Protection for EC2](slr-permissions-malware-protection.md)
## Ändern Sie die AWS KMS Standardschlüssel-ID eines Amazon EBS-Volumes
Wenn Sie „Ein Amazon EBS-Volume mithilfe der [Amazon EBS-Verschlüsselung](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html#encryption-parameters) erstellen“ verwenden und keine AWS KMS Schlüssel-ID angeben, wird Ihr Amazon EBS-Volume mit einem [Standardschlüssel](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html) für die Verschlüsselung verschlüsselt. Wenn Sie die Verschlüsselung standardmäßig aktivieren, verschlüsselt Amazon EBS automatisch neue Volumes und Snapshots mithilfe Ihres Standard-KMS-Schlüssels für die Amazon EBS-Verschlüsselung.
Sie können den Standard-Verschlüsselungsschlüssel ändern und einen vom Kunden verwalteten Schlüssel für die Amazon EBS-Verschlüsselung verwenden. Dies wird den GuardDuty Zugriff auf diese Amazon EBS-Volumes erleichtern. Um die EBS-Standardschlüssel-ID zu ändern, fügen Sie Ihrer IAM-Richtlinie die folgende erforderliche Berechtigung hinzu: `ec2:modifyEbsDefaultKmsKeyId`. Jedes neu erstellte Amazon EBS-Volume, das Sie für die Verschlüsselung auswählen, aber keine zugehörige KMS-Schlüssel-ID angeben, verwendet die Standardschlüssel-ID. Verwenden Sie eine der folgenden Methoden, um die EBS-Standardschlüssel-ID zu aktualisieren:
**So ändern Sie die standardmäßige KMS-Schlüssel-ID eines Amazon-EBS-Volumes**
Führen Sie eine der folgenden Aktionen aus:
+ **Verwenden einer API** — Sie können die [ModifyEbsDefaultKmsKeyId](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyEbsDefaultKmsKeyId.html)API verwenden. Informationen darüber, wie Sie den Verschlüsselungsstatus Ihres Volumes anzeigen können, finden Sie unter [Amazon EBS-Volume erstellen](https://docs.aws.amazon.com/).
+ ** AWS CLI Befehl verwenden** — Im folgenden Beispiel wird die standardmäßige KMS-Schlüssel-ID geändert, mit der Amazon EBS-Volumes verschlüsselt werden, wenn Sie keine KMS-Schlüssel-ID angeben. Achten Sie darauf, die Region durch die Ihrer AWS-Region KM-Schlüssel-ID zu ersetzen.
```
aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE
```
Der obige Befehl wird eine Ausgabe erzeugen, die folgendermaßen aussieht:
```
{
"KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE"
}
```
Weitere Informationen finden Sie unter [modify-ebs-default-kms-key-id](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/modify-ebs-default-kms-key-id.html).
# Richten Sie die Aufbewahrung von Snapshots und die EC2-Scanabdeckung ein
In diesem Abschnitt wird erklärt, wie Sie die Malware-Scanoptionen für Ihre Amazon EC2 EC2-Instances anpassen können. Diese Anpassungen gelten sowohl für On-Demand-Malware-Scans als auch für solche, die von initiiert wurden. GuardDuty Sie haben die folgenden Möglichkeiten:
+ Snapshot-Aufbewahrung aktivieren — Wenn diese Option vor einem Scan aktiviert ist, GuardDuty wird der als bösartig GuardDuty erkannte Amazon EBS-Snapshot beibehalten.
+ Wählen Sie aus, welche Amazon EC2 EC2-Instances gescannt werden sollen — Verwenden Sie Tags, um bestimmte Amazon EC2 EC2-Instances von Malware-Scans ein- oder auszuschließen.
## Snapshot-Beibehaltung
GuardDuty bietet Ihnen die Möglichkeit, die Snapshots Ihrer EBS-Volumes in Ihrem Konto zu speichern. AWS Standardmäßig ist die Aufbewahrungseinstellung für Snapshots deaktiviert. Die Snapshots werden nur beibehalten, wenn Sie diese Einstellung aktiviert haben, bevor der Scan gestartet wird.
Wenn der Scan gestartet wird, werden die Replikat-EBS-Volumes auf der Grundlage der Snapshots Ihrer EBS-Volumes GuardDuty generiert. Nachdem der Scan abgeschlossen ist und die Einstellung zur Aufbewahrung von Snapshots in Ihrem Konto bereits aktiviert wurde, werden die Snapshots Ihrer EBS-Volumes nur beibehalten, wenn Malware gefunden und [Malware-Schutz für EC2-Suchtypen](findings-malware-protection.md) generiert wird. Wenn keine Malware gefunden wird, werden unabhängig von Ihren Snapshot-Einstellungen GuardDuty automatisch die Snapshots Ihrer EBS-Volumes gelöscht, es sei denn, [Amazon EBS-Snapshot-Sperren wurde für die erstellten Snapshots](https://docs.aws.amazon.com/ebs/latest/userguide/lock-snapshot.html) aktiviert.
### Nutzungskosten für Snapshots
Während des Malware-Scans, bei dem die Snapshots Ihrer Amazon EBS-Volumes GuardDuty erstellt werden, fallen mit diesem Schritt Nutzungskosten an. Wenn Sie die Einstellung zur Aufbewahrung von Snapshots für Ihr Konto aktivieren, fallen für Sie Nutzungskosten an, wenn Malware gefunden wird und die Snapshots beibehalten werden. Informationen zu den Kosten von Snapshots und deren Aufbewahrung finden Sie unter [Amazon EBS-Preise.](https://aws.amazon.com//ebs/pricing/)
Als delegiertes GuardDuty Administratorkonto können nur Sie diese Aktualisierung im Namen der Mitgliedskonten der Organisation vornehmen. Wenn ein Mitgliedskonto jedoch [per Einladungsmethode verwaltet](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html) wird, kann es diese Änderung selbst vornehmen. Weitere Informationen finden Sie unter [Beziehungen zwischen Administratorkonto und Mitgliedskonto](administrator_member_relationships.md).
Wählen Sie Ihre bevorzugte Zugriffsmethode, um die Aufbewahrungseinstellung für Snapshots zu aktivieren.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich unter **Schutzpläne** die Option **Malware Protection for EC2** aus.
1. Wählen Sie im unteren Bereich der Konsole **Allgemeine Einstellungen**. Um die Snapshots beizubehalten, aktivieren Sie die Option **Beibehaltung von Snapshots**.
------
#### [ API/CLI ]
Ausführen [UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html), um die aktuelle Konfiguration für die Einstellung zur Aufbewahrung von Snapshots zu aktualisieren.
Alternativ können Sie den folgenden AWS CLI Befehl ausführen, um Snapshots automatisch beizubehalten, wenn GuardDuty Malware Protection for EC2 Ergebnisse generiert.
Stellen Sie sicher, dass Sie das durch Ihr *detector-id* eigenes gültiges ersetzen. `detectorId`
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```
Wenn Sie die Beibehaltung von Snapshots deaktivieren möchten, ersetzen Sie sie `RETENTION_WITH_FINDING` durch `NO_RETENTION`.
------
## Scan-Optionen mit benutzerdefinierten Tags
Mithilfe des GuardDuty -initiierten Malware-Scans können Sie auch Tags angeben, um Amazon EC2-Instances und Amazon EBS-Volumes vom Scan- und Bedrohungserkennungsprozess entweder ein- oder auszuschließen. Sie können jeden GuardDuty -initiierten Malware-Scan individuell anpassen, indem Sie die Tags entweder in der Liste der Inklusions- oder Ausschlusstags bearbeiten. Jede Liste kann bis zu 50 Tags enthalten.
Wenn Ihren EC2-Ressourcen noch keine benutzerdefinierten Tags zugeordnet sind, finden Sie weitere Informationen unter [Taggen Ihrer Amazon EC2-Ressourcen im Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) *EC2-Benutzerhandbuch*.
**Anmerkung**
Der Malware-Scan auf Abruf unterstützt keine Scan-Optionen mit benutzerdefinierten Tags. Er unterstützt [Globales `GuardDutyExcluded`-Tag](#mp-scan-options-gdu-excluded-tag).
### So schließen Sie EC2-Instances vom Malware-Scan aus
Wenn Sie während des Scanvorgangs eine Amazon EC2 EC2-Instance oder ein Amazon EBS-Volume ausschließen möchten, können Sie das `GuardDutyExcluded` Tag `true` für jede Amazon EC2 EC2-Instance oder jedes Amazon EBS-Volume auf setzen und es GuardDuty wird nicht gescannt. Weitere Informationen über das `GuardDutyExcluded`-Tag finden Sie unter [Servicebezogene Rollenberechtigungen für Malware Protection for EC2](slr-permissions-malware-protection.md). Sie können auch ein Amazon-EC2-Instance-Tag zu einer Ausschlussliste hinzufügen. Wenn Sie der Liste der Ausschluss-Tags mehrere Tags hinzufügen, wird jede Amazon-EC2-Instance, die mindestens eines dieser Tags enthält, vom Malware-Scanvorgang ausgeschlossen.
Als delegiertes GuardDuty Administratorkonto können nur Sie diese Aktualisierung im Namen der Mitgliedskonten der Organisation vornehmen. Wenn ein Mitgliedskonto jedoch [per Einladungsmethode verwaltet](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html) wird, kann es diese Änderung selbst vornehmen. Weitere Informationen finden Sie unter [Beziehungen zwischen Administratorkonto und Mitgliedskonto](administrator_member_relationships.md).
Wählen Sie Ihre bevorzugte Zugriffsmethode, um ein mit einer Amazon-EC2-Instance verknüpftes Tag zu einer Ausschlussliste hinzuzufügen.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich unter **Schutzpläne** die Option **Malware Protection for EC2** aus.
1. Erweitern Sie den Abschnitt **Einschluss-/Ausschluss-Tags**. Wählen Sie **Tags hinzufügen** aus.
1. Wählen Sie **Ausschluss-Tags** und anschließend **Bestätigen**.
1. Geben Sie das **Key**- und **Value**-Paar des Tags an, das Sie ausschließen möchten. Die Angabe von **Value** ist optional. Nachdem Sie alle Tags hinzugefügt haben, wählen Sie **Speichern**.
**Wichtig**
Bei Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden. Weitere Informationen finden Sie unter [Tag-Einschränkungen](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions) im *Amazon EC2 EC2-Benutzerhandbuch*.
Wenn kein Wert für einen Schlüssel angegeben wird und die EC2-Instance mit dem angegebenen Schlüssel gekennzeichnet ist, wird diese EC2-Instance unabhängig vom zugewiesenen Wert des Tags vom GuardDuty -initiierten Malware-Scanvorgang ausgeschlossen.
------
#### [ API/CLI ]
Wird ausgeführt, [UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html)indem eine EC2-Instance oder ein Container-Workload vom Scanvorgang ausgeschlossen wird.
Mit dem folgenden AWS CLI Beispielbefehl wird der Liste der Ausschluss-Tags ein neues Tag hinzugefügt. Ersetzen Sie das Beispiel *detector-id* durch Ihre eigene gültige `detectorId`.
`MapEquals` ist eine Liste von `Key`/`Value`-Paaren.
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```
**Wichtig**
Bei Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden. Weitere Informationen finden Sie unter [Tag-Einschränkungen](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions) im *Amazon EC2 EC2-Benutzerhandbuch*.
------
### So schließen Sie EC2-Instances in den Malware-Scan ein
Wenn Sie eine EC2-Instance scannen möchten, fügen Sie ihr Tag zur Einschluss-Liste hinzu. Wenn Sie ein Tag zu einer Liste mit Einschluss-Tags hinzufügen, wird eine EC2-Instance, die keines der hinzugefügten Tags enthält, aus dem Malware-Scan übersprungen. Wenn Sie der Liste der Einschluss-Tags mehrere Tags hinzufügen, wird eine EC2-Instance, die mindestens eines dieser Tags enthält, in den Malware-Scan aufgenommen. Manchmal kann es vorkommen, dass eine EC2-Instance während des Scanvorgangs aus anderen Gründen übersprungen wird. Weitere Informationen finden Sie unter [Gründe für das Überspringen von Ressourcen beim Malware-Scan](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons).
Als delegiertes GuardDuty Administratorkonto können nur Sie diese Aktualisierung im Namen der Mitgliedskonten der Organisation vornehmen. Wenn ein Mitgliedskonto jedoch [per Einladungsmethode verwaltet](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html) wird, kann es diese Änderung selbst vornehmen. Weitere Informationen finden Sie unter [Beziehungen zwischen Administratorkonto und Mitgliedskonto](administrator_member_relationships.md).
Wählen Sie Ihre bevorzugte Zugriffsmethode, um ein mit einer Amazon-EC2-Instance verknüpftes Tag zu einer Einschlussliste hinzuzufügen.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich unter **Schutzpläne** die Option **Malware Protection for EC2** aus.
1. Erweitern Sie den Abschnitt **Einschluss-/Ausschluss-Tags**. Wählen Sie **Tags hinzufügen** aus.
1. Wählen Sie **Einschluss-Tags** und dann **Bestätigen**.
1. Wählen Sie **Neues Einschluss-Tag hinzufügen** und geben Sie das **Key**- und **Value**-Paar des Tags an, das Sie einbeziehen möchten. Die Angabe von **Value** ist optional.
Nachdem Sie alle Einschluss-Tags hinzugefügt haben, wählen Sie **Speichern**.
Wenn kein Wert für einen Schlüssel angegeben wird, ist eine EC2-Instance mit dem angegebenen Schlüssel gekennzeichnet, sodass die EC2-Instance unabhängig vom zugewiesenen Wert des Tags in den Scanvorgang von Malware Protection for EC2 aufgenommen wird.
------
#### [ API/CLI ]
+ Wird ausgeführt [UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html), um eine EC2-Instance oder einen Container-Workload in den Scanvorgang einzubeziehen.
Der folgende AWS CLI Beispielbefehl fügt der Liste der Inklusion-Tags ein neues Tag hinzu. Stellen Sie sicher, dass Sie das Beispiel durch Ihr *detector-id* eigenes gültiges Beispiel ersetzen`detectorId`. Ersetzen Sie das Beispiel *TestKey* und *TestValue* durch das `Value` Paar `Key` und des Tags, das Ihrer EC2-Ressource zugeordnet ist.
`MapEquals` ist eine Liste von `Key`/`Value`-Paaren.
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```
**Wichtig**
Bei Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden. Weitere Informationen finden Sie unter [Tag-Einschränkungen](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions) im *Amazon EC2 EC2-Benutzerhandbuch*.
------
**Anmerkung**
Es kann bis zu 5 Minuten dauern, GuardDuty bis ein neues Tag erkannt wird.
Sie können jederzeit entweder **Einschluss-Tags oder **Ausschluss-Tags**** wählen, aber nicht beides. Wenn Sie zwischen den Tags wechseln möchten, wählen Sie dieses Tag aus dem Drop-down-Menü aus, wenn Sie neue Tags hinzufügen, und **Bestätigen** Sie Ihre Auswahl. Diese Aktion löscht alle Ihre aktuellen Tags.
## Globales `GuardDutyExcluded`-Tag
GuardDuty verwendet einen globalen Tag-Schlüssel,`GuardDutyExcluded`, den Sie zu Ihren Amazon EC2 EC2-Ressourcen hinzufügen und auf den Tag-Wert setzen `true` können. Diese Amazon EC2 EC2-Ressource, die über dieses Tag-Schlüssel-Wert-Paar verfügt, wird vom Malware-Scan ausgeschlossen. Beide Scantypen (GuardDuty-initiierter Malware-Scan und On-Demand-Malware-Scan) unterstützen das globale Tag. Wenn Sie einen On-Demand-Malware-Scan auf einem Amazon EC2 starten, wird eine Scan-ID generiert. Der Scan wird jedoch mit einem `EXCLUDED_BY_SCAN_SETTINGS` bestimmten Grund übersprungen. Weitere Informationen finden Sie unter [Gründe für das Überspringen von Ressourcen beim Malware-Scan](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons).
# GuardDuty-initiierter Malware-Scan
Wenn der GuardDuty -initiierte Malware-Scan aktiviert ist, wird bei jedem GuardDuty [Ergebnisse, die einen GuardDuty -initiierten Malware-Scan auslösen](gd-findings-initiate-malware-protection-scan.md) Generieren ein agentenloser Malware-Scan auf den Amazon Elastic Block Store (Amazon EBS) -Volumes initiiert, die an die potenziell betroffene Amazon EC2 EC2-Ressource angehängt sind. Bevor ein Scan gestartet wird, müssen Sie Ihr Konto auf etwaige Anpassungen vorbereiten. Mit den Scanoptionen können Sie Einschlusstags hinzufügen, die den Ressourcen zugeordnet sind, die Sie scannen möchten, oder Ausschlusstags hinzufügen, die den Ressourcen zugeordnet sind, die Sie aus dem Scanvorgang auslassen möchten. Bei der automatischen Initiierung des Scans werden immer Ihre Scanoptionen berücksichtigt. GuardDuty unterstützt auch ein globales `true` Schlüssel/Wert-Paar`GuardDutyExcluded`: Tag. Wenn Sie dieses globale Tag zu einer Amazon EC2 EC2-Ressource hinzufügen, GuardDuty wird der Scan initiiert und dann übersprungen. Sie können auch die Einstellung zur Aufbewahrung von Snapshots aktivieren, um die Snapshots Ihrer EBS-Volumes beizubehalten, auf denen möglicherweise Malware entdeckt wurde. Weitere Informationen zu den Scanoptionen, dem Tag für den globalen Ausschluss und den Snapshot-Einstellungen finden Sie unter. [Richten Sie die Aufbewahrung von Snapshots und die EC2-Scanabdeckung ein](malware-protection-customizations.md)
Wenn mehrere Ergebnisse für dieselbe Amazon EC2 EC2-Ressource GuardDuty generiert GuardDuty werden, kann ein Scan erst initiiert werden, wenn 24 Stunden seit dem letzten GuardDuty initiierten Malware-Scan vergangen sind. Informationen darüber, wie die Amazon-EBS-Volumes gescannt werden, die Ihrer Amazon-EC2-Instance oder Ihrem Container-Workload zugeordnet sind, finden Sie unter [Wie GuardDuty scannt man EBS-Volumes auf Malware-Erkennung](guardduty_malware_protection-ebs-volume-data.md).
Die folgende Abbildung beschreibt, wie der GuardDuty -initiierte Malware-Scan funktioniert.
![\[Zeigt, wie Malware Protection for EC2 funktioniert und welche Anpassungen in verfügbar sind. GuardDuty\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/images/malwareprotection-diagram.png)
Informationen zur Methode zur GuardDuty Malware-Erkennung und zu den verwendeten Scan-Engines finden Sie unter. [GuardDuty Scan-Engine zur Malware-Erkennung](guardduty-malware-detection-scan-engine.md)
Wenn Malware gefunden wird, wird GuardDuty generiert[Malware-Schutz für EC2-Suchtypen](findings-malware-protection.md). Wenn GuardDuty kein Ergebnis generiert wird, das auf Malware auf derselben Ressource hinweist, wird kein GuardDuty -initiierter Malware-Scan ausgeführt. Sie können auf derselben Ressource auch einen Malware-Scan auf Abruf starten. Weitere Informationen finden Sie unter [Malware-Scan auf Abruf GuardDuty](on-demand-malware-scan.md).
# Kostenlose 30-Tage-Testversion bei -initiiertem Malware-Scan GuardDuty
Sie können jederzeit wählen, ob Sie den von GuardDuty uns initiierten Malware-Scan für ein unterstütztes AWS-Konto AWS-Region Gerät aktivieren oder deaktivieren möchten. Wenn Sie ein Unternehmen haben, hat jedes Mitgliedskonto eine eigene kostenlose 30-Tage-Testversion.
Um zu verstehen, wie die kostenlose 30-Tage-Testversion funktioniert, sollten Sie sich die folgenden Szenarien ansehen:
+ Wenn Sie den Service GuardDuty zum ersten Mal aktivieren (neues GuardDuty Konto), wird auch der von GuardDuty uns initiierte Malware-Scan aktiviert. Er ist in der kostenlosen 30-Tage-Testversion des Dienstes enthalten. GuardDuty
+ Ein vorhandenes GuardDuty Konto kann im Rahmen einer kostenlosen GuardDuty 30-Tage-Testversion zum ersten Mal den -initiierten Malware-Scan aktivieren. Wenn Sie diese Funktion zum ersten Mal in einer anderen Region aktivieren, erhalten Sie in dieser Region eine kostenlose 30-Tage-Testversion.
+ Wenn Sie Malware Protection for EC2 schon einmal verwendet haben, AWS-Region bevor dieser Schutzplan in zwei Scantypen aufgeteilt wurde — GuardDuty initiierter Malware-Scan und On-Demand-Malware-Scan —, können Sie den GuardDuty -initiierten Malware-Scan weiterhin mit demselben Preismodell und demselben Preismodell verwenden. AWS-Region Wenn Sie den GuardDuty -initiierten Malware-Scan zum ersten Mal in einer neuen Region aktivieren, erhalten Sie für Ihr Konto eine kostenlose 30-Tage-Testversion.
**Anmerkung**
Selbst wenn Sie eine 30-tägige kostenlose Testphase abgeschlossen haben, fallen die Standardnutzungskosten für die Erstellung der Amazon EBS-Volume-Snapshots und deren Aufbewahrung an. Weitere Informationen finden Sie unter [Amazon EBS – Preise](https://aws.amazon.com/ebs/pricing/).
# Aktivierung des GuardDuty -initiierten Malware-Scans in Umgebungen mit mehreren Konten
In einer Umgebung mit mehreren Konten kann nur ein GuardDuty Administratorkonto den GuardDuty -initiierten Malware-Scan im Namen seiner Mitgliedskonten aktivieren. Darüber hinaus kann ein Administratorkonto, das die Mitgliedskonten mit AWS Organizations Support verwaltet, festlegen, dass der GuardDuty initiierte Malware-Scan automatisch für alle vorhandenen und neuen Konten in der Organisation aktiviert wird. Weitere Informationen finden Sie unter [GuardDuty Konten verwalten mit AWS Organizations](guardduty_organizations.md).
## Einrichtung eines vertrauenswürdigen Zugriffs zur Aktivierung des GuardDuty -initiierten Malware-Scans
Wenn das GuardDuty delegierte Administratorkonto nicht mit dem Verwaltungskonto in Ihrer Organisation identisch ist, muss das Verwaltungskonto den GuardDuty -initiierten Malware-Scan für die Organisation aktivieren. Auf diese Weise kann das delegierte Administratorkonto die [Servicebezogene Rollenberechtigungen für Malware Protection for EC2](slr-permissions-malware-protection.md) internen Mitgliedskonten erstellen, über die verwaltet werden. AWS Organizations
**Anmerkung**
Bevor Sie ein delegiertes GuardDuty Administratorkonto festlegen, finden Sie weitere Informationen unter. [Überlegungen und Empfehlungen](guardduty_organizations.md#delegated_admin_important)
Wählen Sie Ihre bevorzugte Zugriffsmethode, damit das delegierte GuardDuty Administratorkonto die von Ihnen GuardDuty initiierte Malware-Suche für Mitgliedskonten in der Organisation aktivieren kann.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
Verwenden Sie das Verwaltungskonto Ihrer AWS Organizations Organisation, um sich anzumelden.
1.
1. Wenn Sie kein delegiertes GuardDuty Administratorkonto festgelegt haben, gehen Sie wie folgt vor:
Geben Sie auf der Seite **Einstellungen** unter **Delegiertes GuardDuty Administratorkonto** die 12-stellige Zahl ein, **account ID** die Sie für die Verwaltung der GuardDuty Richtlinie in Ihrer Organisation angeben möchten. Wählen Sie **Delegieren**.
1.
1. Wenn Sie bereits ein delegiertes GuardDuty Administratorkonto festgelegt haben, das sich vom Verwaltungskonto unterscheidet, gehen Sie wie folgt vor:
Aktivieren Sie auf der Seite **Einstellungen** unter **Delegierter Administrator** die Einstellung **Berechtigungen**. Diese Aktion ermöglicht es dem delegierten GuardDuty Administratorkonto, den Mitgliedskonten entsprechende Berechtigungen zuzuweisen und die von ihnen GuardDuty initiierte Malware-Suche in diesen Mitgliedskonten zu aktivieren.
1. Wenn Sie bereits ein delegiertes GuardDuty Administratorkonto eingerichtet haben, das mit dem Verwaltungskonto identisch ist, können Sie den GuardDuty -initiierten Malware-Scan für die Mitgliedskonten direkt aktivieren. Weitere Informationen finden Sie unter [Automatische Aktivierung des GuardDuty initiierten Malware-Scans für alle Mitgliedskonten](#auto-enable-malware-protection-all-organization-member).
**Tipp**
Wenn sich das delegierte GuardDuty Administratorkonto von Ihrem Verwaltungskonto unterscheidet, müssen Sie dem delegierten GuardDuty Administratorkonto Berechtigungen zuweisen, um die Aktivierung des GuardDuty -initiierten Malware-Scans für Mitgliedskonten zu ermöglichen.
1. Wenn Sie dem delegierten GuardDuty Administratorkonto erlauben möchten, den GuardDuty -initiierten Malware-Scan für Mitgliedskonten in anderen Regionen zu aktivieren, ändern Sie Ihr Konto und wiederholen Sie die AWS-Region obigen Schritte.
------
#### [ API/CLI ]
1. Mit den Anmeldeinformationen für Ihr Verwaltungskonto führen Sie den folgenden Befehl aus:
```
aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com
```
1. (Optional) Um den GuardDuty -initiierten Malware-Scan für das Verwaltungskonto zu aktivieren, das kein delegiertes Administratorkonto ist, erstellt das Verwaltungskonto zuerst das [Servicebezogene Rollenberechtigungen für Malware Protection for EC2](slr-permissions-malware-protection.md) explizit in seinem Konto und aktiviert dann den GuardDuty -initiierten Malware-Scan vom delegierten Administratorkonto aus, ähnlich wie bei jedem anderen Mitgliedskonto.
```
aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com
```
1. Sie haben das delegierte GuardDuty Administratorkonto im aktuell ausgewählten Konto angegeben. AWS-Region Wenn Sie in einer Region ein Konto als delegiertes GuardDuty Administratorkonto festgelegt haben, muss dieses Konto Ihr delegiertes GuardDuty Administratorkonto in allen anderen Regionen sein. Wiederholen Sie den obigen Schritt für alle anderen Regionen.
------
## Konfiguration des GuardDuty -initiierten Malware-Scans für das delegierte Administratorkonto GuardDuty
Wählen Sie Ihre bevorzugte Zugriffsmethode, um den GuardDuty -initiierten Malware-Scan für ein GuardDuty delegiertes Administratorkonto zu aktivieren oder zu deaktivieren.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Wählen Sie im Navigationsbereich **Malware Protection for EC2** aus.
1. Wählen Sie auf der Seite **Malware Protection for EC2** neben **GuardDuty-initiierter** Malware-Scan die Option **Bearbeiten** aus.
1. Führen Sie eine der folgenden Aktionen aus:
**Verwendung von **Für alle Konten aktivieren****
+ Wählen Sie **Für alle Konten aktivieren**. Dadurch wird der Schutzplan für alle aktiven GuardDuty Konten in Ihrer AWS Organisation aktiviert, einschließlich der neuen Konten, die der Organisation beitreten.
+ Wählen Sie **Speichern**.
**Verwendung von **Konten manuell konfigurieren****
+ Um den Schutzplan nur für das delegierte GuardDuty Administratorkonto zu aktivieren, wählen Sie **Konten manuell konfigurieren**.
+ Wählen Sie im Abschnitt für das **delegierte GuardDuty Administratorkonto (dieses Konto)** die Option **Aktivieren** aus.
+ Wählen Sie **Speichern**.
------
#### [ API/CLI ]
Führen Sie den [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)API-Vorgang mit Ihrer eigenen regionalen Detektor-ID aus und übergeben Sie das `features` Objekt `name` als `EBS_MALWARE_PROTECTION` und `status` als`ENABLED`.
Sie können den GuardDuty -initiierten Malware-Scan aktivieren, indem Sie den folgenden AWS CLI Befehl ausführen. Stellen Sie sicher, dass Sie ein gültiges delegiertes GuardDuty Administratorkonto verwenden. *detector ID*
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 /
--account-ids 555555555555 /
--features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
```
------
## Automatische Aktivierung des GuardDuty initiierten Malware-Scans für alle Mitgliedskonten
Wählen Sie Ihre bevorzugte Zugriffsmethode, um die GuardDuty -initiierte Malware-Scan-Funktion für alle Mitgliedskonten zu aktivieren. Dazu gehören der delegierte Administrator, bestehende Mitgliedskonten und die neuen Konten, die der Organisation beitreten.
------
#### [ Console ]
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
Stellen Sie sicher, dass Sie die Anmeldeinformationen für das delegierte GuardDuty Administratorkonto verwenden.
1. Führen Sie eine der folgenden Aktionen aus:
**Verwenden Sie die **Seite Malware Protection for EC2****
1. Wählen Sie im Navigationsbereich die Option **Malware Protection for EC2** aus.
1. Wählen Sie auf der Seite **Malware Protection for EC2** im Abschnitt **GuardDuty-initiierter Malware-Scan** die Option **Bearbeiten** aus.
1. Wählen Sie **Für alle Konten aktivieren**. Diese Aktion aktiviert automatisch den GuardDuty -initiierten Malware-Scan sowohl für bestehende als auch für neue Konten in der Organisation.
1. Wählen Sie **Speichern**.
**Anmerkung**
Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.
**Verwenden der Seite **Konten****
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. Wählen Sie auf der Seite **Konten** die Option Einstellungen **automatisch aktivieren** und anschließend **Konten auf Einladung hinzufügen**.
1. Wählen **Sie im Fenster „Einstellungen für automatische Aktivierung verwalten**“ die Option „**Für alle Konten unter **GuardDuty-initiiertem Malware-Scan** aktivieren**“ aus.
1. Wählen Sie auf der Seite **Malware Protection for EC2** im Abschnitt **GuardDuty-initiierter** Malware-Scan die Option **Bearbeiten** aus.
1. Wählen Sie **Für alle Konten aktivieren**. Diese Aktion aktiviert automatisch den GuardDuty -initiierten Malware-Scan sowohl für bestehende als auch für neue Konten in der Organisation.
1. Wählen Sie **Speichern**.
**Anmerkung**
Die Aktualisierung der Konfiguration der Mitgliedskonten kann bis zu 24 Stunden dauern.
**Verwenden der Seite **Konten****
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. Wählen Sie auf der Seite **Konten** die Option Einstellungen **automatisch aktivieren** und anschließend **Konten auf Einladung hinzufügen**.
1. Wählen **Sie im Fenster „Einstellungen für automatische Aktivierung verwalten**“ die Option „**Für alle Konten unter **GuardDuty-initiiertem Malware-Scan** aktivieren**“ aus.
1. Wählen Sie **Speichern**.
Falls Sie die Option **Für alle Konten aktivieren** nicht verwenden können, finden Sie weitere Informationen unter [Aktivieren Sie selektiv den GuardDuty -initiierten Malware-Scan für Mitgliedskonten](#selective-enable-disable-malware-protection-member-accounts).
------
#### [ API/CLI ]
+ Um den GuardDuty -initiierten Malware-Scan selektiv für Ihre Mitgliedskonten zu aktivieren, rufen Sie den [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API-Vorgang mit Ihrem eigenen auf. *detector ID*
+ Das folgende Beispiel zeigt, wie Sie den GuardDuty -initiierten Malware-Scan für ein einzelnes Mitgliedskonto aktivieren können. Um ein Mitgliedskonto zu deaktivieren, ersetzen Sie `ENABLED` durch `DISABLED`.
Den `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
```
Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.
+ Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von `UnprocessedAccounts` zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.
------
## Aktivieren Sie den GuardDuty -initiierten Malware-Scan für alle vorhandenen aktiven Mitgliedskonten
Wählen Sie Ihre bevorzugte Zugriffsmethode, um den GuardDuty -initiierten Malware-Scan für alle vorhandenen aktiven Mitgliedskonten in der Organisation zu aktivieren.
**So konfigurieren Sie den GuardDuty -initiierten Malware-Scan für alle vorhandenen aktiven Mitgliedskonten**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
Melden Sie sich mit den Anmeldeinformationen für das delegierte GuardDuty Administratorkonto an.
1. Wählen Sie im Navigationsbereich **Malware Protection for EC2** aus.
1. Auf dem **Malware Protection for EC2** können Sie den aktuellen Status der **GuardDuty-initiierten Malware-Scan-Konfiguration** einsehen. Wählen Sie im Abschnitt **Aktive Mitgliedskonten** die Option **Aktionen**.
1. Wählen Sie im Dropdownmenü **Aktionen** die Option **Aktivieren für alle vorhandenen aktiven Mitgliedskonten**.
1. Wählen Sie **Speichern**.
## Automatische Aktivierung des GuardDuty -initiierten Malware-Scans für neue Mitgliedskonten
Die neu hinzugefügten Mitgliedskonten müssen **aktiviert** werden, GuardDuty bevor die Konfiguration des GuardDuty -initiierten Malware-Scans ausgewählt werden kann. Die auf Einladung verwalteten Mitgliedskonten können den GuardDuty -initiierten Malware-Scan für ihre Konten manuell konfigurieren. Weitere Informationen finden Sie unter [Step 3 - Accept an invitation](guardduty_become_console.md#guardduty_accept_invite_proc).
Wählen Sie Ihre bevorzugte Zugriffsmethode, um den GuardDuty -initiierten Malware-Scan für neue Konten zu aktivieren, die Ihrer Organisation beitreten.
------
#### [ Console ]
**Das delegierte GuardDuty Administratorkonto kann den GuardDuty -initiierten Malware-Scan für neue Mitgliedskonten in einer Organisation entweder über die Seite **Malware Protection for EC2** oder Konten aktivieren.**
**So aktivieren Sie automatisch den GuardDuty -initiierten Malware-Scan für neue Mitgliedskonten**
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
Stellen Sie sicher, dass Sie die Anmeldeinformationen für das delegierte GuardDuty Administratorkonto verwenden.
1. Führen Sie eine der folgenden Aktionen aus:
+ Verwenden Sie die **Seite Malware Protection for EC2:**
1. Wählen Sie im Navigationsbereich die Option **Malware Protection for EC2** aus.
1. Wählen Sie auf der Seite **Malware Protection for EC2** beim **GuardDuty-initiierten** Malware-Scan die Option **Bearbeiten** aus.
1. Wählen Sie **Konten manuell konfigurieren**.
1. Wählen Sie **Automatisch für neue Mitgliedskonten aktivieren**. Durch diesen Schritt wird sichergestellt, dass jedes Mal, wenn ein neues Konto Ihrer Organisation beitritt, der von einem neuen Konto GuardDuty initiierte Malware-Scan automatisch für das Konto aktiviert wird. Nur das vom Unternehmen delegierte GuardDuty Administratorkonto kann diese Konfiguration ändern.
1. Wählen Sie **Speichern**.
+ Verwenden der Seite **Konten**:
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. Wählen Sie auf der Seite **Konten** die Option Einstellungen **automatisch aktivieren**.
1. Wählen **Sie im Fenster „Einstellungen für automatische Aktivierung verwalten**“ die Option „**Für neue Konten aktivieren**“ unter „**GuardDuty-initiierter Malware-Scan**“ aus.
1. Wählen Sie **Speichern**.
------
#### [ API/CLI ]
+ Um den GuardDuty -initiierten Malware-Scan für neue Mitgliedskonten zu aktivieren oder zu deaktivieren, rufen Sie den [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)API-Vorgang mit Ihrem eigenen auf. *detector ID*
+ Das folgende Beispiel zeigt, wie Sie den GuardDuty -initiierten Malware-Scan für ein einzelnes Mitgliedskonto aktivieren können. Informationen zur Deaktivierung finden Sie unter [Aktivieren Sie selektiv den GuardDuty -initiierten Malware-Scan für Mitgliedskonten](#selective-enable-disable-malware-protection-member-accounts). Wenn Sie es nicht für alle neuen Konten aktivieren möchten, die der Organisation beitreten, legen Sie die Einstellung `AutoEnable` auf `NONE` fest.
Den `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable": NEW}]'
```
Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.
+ Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von `UnprocessedAccounts` zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.
------
## Aktivieren Sie selektiv den GuardDuty -initiierten Malware-Scan für Mitgliedskonten
Wählen Sie Ihre bevorzugte Zugriffsmethode, um den GuardDuty -initiierten Malware-Scan für Mitgliedskonten selektiv zu konfigurieren.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. Prüfen Sie auf der **Kontoseite** in der Spalte „**GuardDuty-initiierter Malware-Scan**“ den Status Ihres Mitgliedskontos.
1. Wählen Sie das Konto aus, für das Sie den GuardDuty -initiierten Malware-Scan konfigurieren möchten. Sie können mehrere Konten gleichzeitig auswählen.
1. Wählen **Sie im Menü Schutzpläne bearbeiten** die entsprechende Option für den **GuardDuty-initiierten Malware-Scan** aus.
------
#### [ API/CLI ]
Um den GuardDuty -initiierten Malware-Scan für Ihre Mitgliedskonten selektiv zu aktivieren oder zu deaktivieren, rufen Sie den [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API-Vorgang mit Ihrem eigenen auf. *detector ID*
Das folgende Beispiel zeigt, wie Sie den GuardDuty -initiierten Malware-Scan für ein einzelnes Mitgliedskonto aktivieren können.
Den `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
```
Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.
Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von `UnprocessedAccounts` zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.
Um selektiv den GuardDuty -initiierten Malware-Scan für Ihre Mitgliedskonten zu aktivieren, führen Sie den [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)API-Vorgang mit Ihrem eigenen aus. *detector ID* Das folgende Beispiel zeigt, wie Sie den GuardDuty -initiierten Malware-Scan für ein einzelnes Mitgliedskonto aktivieren können.
Den `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
```
Sie können auch eine durch ein IDs Leerzeichen getrennte Liste von Konten übergeben.
Wenn der Code erfolgreich ausgeführt wurde, gibt er eine leere Liste von `UnprocessedAccounts` zurück. Wenn beim Ändern der Detektor-Einstellungen für ein Konto Probleme aufgetreten sind, wird diese Konto-ID zusammen mit einer Zusammenfassung des Problems aufgeführt.
------
## Aktivieren Sie den GuardDuty -initiierten Malware-Scan für bestehende Konten in der Organisation, die per Einladung verwaltet werden
Die serviceverknüpfte Rolle (SLR) für den GuardDuty Malware-Schutz für EC2 muss in den Mitgliedskonten erstellt werden. Das Administratorkonto kann die Funktion „ GuardDuty-initiierter Malware-Scan“ nicht in Mitgliedskonten aktivieren, die nicht von verwaltet werden. AWS Organizations
Derzeit können Sie über die GuardDuty Konsole unter die folgenden Schritte ausführen, [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)um den GuardDuty -initiierten Malware-Scan für die vorhandenen Mitgliedskonten zu aktivieren.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
Melden Sie sich mit den Anmeldeinformationen Ihres Administratorkontos an.
1. Wählen Sie im Navigationsbereich **Accounts (Konten)** aus.
1. Wählen Sie das Mitgliedskonto aus, für das Sie den GuardDuty -initiierten Malware-Scan aktivieren möchten. Sie können mehrere Konten gleichzeitig auswählen.
1. Wählen Sie **Aktionen**.
1. Wählen Sie **Mitglied trennen**.
1. Wählen Sie im Mitgliedskonto im Navigationsbereich **Malware Protection** unter **Schutzpläne**.
1. Wählen Sie „** GuardDuty-initiierten Malware-Scan aktivieren**“. GuardDuty erstellt eine Spiegelreflexkamera für das Mitgliedskonto. Weitere Informationen zu SLR finden Sie unter [Servicebezogene Rollenberechtigungen für Malware Protection for EC2](slr-permissions-malware-protection.md).
1. Wählen Sie in Ihrem Administratorkonto im Navigationsbereich **Konten** aus.
1. Wählen Sie das Mitgliedskonto aus, das der Organisation wieder hinzugefügt werden muss.
1. Wählen Sie **Aktionen** und dann **Mitglied hinzufügen**.
------
#### [ API/CLI ]
1. Verwenden Sie das Administratorkonto, um die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)API für die Mitgliedskonten auszuführen, die den GuardDuty -initiierten Malware-Scan aktivieren möchten.
1. Verwenden Sie Ihr Mitgliedskonto, um den GuardDuty -initiierten Malware-Scan aufzurufen und [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)zu aktivieren.
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'
```
1. Verwenden Sie das Administratorkonto, um die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)API auszuführen und das Mitglied wieder zur Organisation hinzuzufügen.
------
# Aktivierung des GuardDuty -initiierten Malware-Scans für ein eigenständiges Konto
Ein eigenständiges Konto entscheidet über die Aktivierung oder Deaktivierung eines Schutzplans AWS-Konto in seinem eigenen Bereich. AWS-Region
Wenn Ihr Konto über oder über AWS Organizations die Einladungsmethode mit einem GuardDuty Administratorkonto verknüpft ist, gilt dieser Abschnitt nicht für Ihr Konto. Weitere Informationen finden Sie unter [Aktivierung des GuardDuty -initiierten Malware-Scans in Umgebungen mit mehreren Konten](configure-malware-protection-guardduty-initiated-multi-account.md).
Nachdem Sie den GuardDuty -initiierten Malware-Scan aktiviert haben, GuardDuty wird ein Malware-Scan des Amazon EBS-Volumes initiiert, das an die Amazon EC2 EC2-Instance angehängt ist, die an einem beteiligt war. GuardDuty Eine Liste der Ergebnisse, die einen Malware-Scan auslösen, finden Sie unter. [Ergebnisse, die einen GuardDuty -initiierten Malware-Scan auslösen](gd-findings-initiate-malware-protection-scan.md)
Wählen Sie Ihre bevorzugte Zugriffsmethode, um den GuardDuty -initiierten Malware-Scan für ein eigenständiges Konto zu konfigurieren.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Wählen Sie im Navigationsbereich unter **Schutzpläne** die Option **Malware Protection for EC2** aus.
1. Im Bereich Malware Protection for EC2 wird der aktuelle Status des GuardDuty -initiierten Malware-Scans für Ihr Konto aufgeführt. Wählen Sie **Aktivieren**, um den GuardDuty -initiierten Malware-Scan in diesem Konto zu aktivieren.
1. Wählen Sie **Speichern**, um Ihre Auswahl zu bestätigen.
------
#### [ API/CLI ]
Führen Sie den [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateDetector.html)API-Vorgang mit Ihrer eigenen regionalen Melder-ID aus und übergeben Sie das `dataSources` Objekt mit der `EbsVolumes` Einstellung auf`true`.
Sie können den GuardDuty -initiierten Malware-Scan auch aktivieren, AWS CLI indem Sie den folgenden AWS CLI Befehl ausführen. Stellen Sie sicher, dass Sie Ihren eigenen gültigen *detector ID* verwenden.
Informationen zu den Einstellungen `detectorId` für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite **„Einstellungen**“ in der [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)Konsole oder führen Sie die [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API aus.
```
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "EBS_MALWARE_PROTECTION", "Status" : "ENABLED"}]'
```
------
# Ergebnisse, die einen GuardDuty -initiierten Malware-Scan auslösen
Wenn verdächtiges Verhalten GuardDuty erkannt wird, das auf Malware auf einer Amazon EC2 EC2-Instance oder einem Container-Workload, der auf einer Amazon EC2 EC2-Instance ausgeführt wird, hindeutet, GuardDuty wird ein Befund generiert. Wenn dieses generierte Ergebnis zu der folgenden Ergebnisliste gehört, GuardDuty wird automatisch ein Malware-Scan auf den Amazon EBS-Volumes initiiert, die an die Amazon EC2 EC2-Instance angehängt sind, die an der Entdeckung beteiligt ist. GuardDuty Wenn nach dem Scan Malware GuardDuty erkannt wird, wird auch eine oder mehrere Schadsoftware generiert. [Malware-Schutz für EC2-Suchtypen](findings-malware-protection.md)
Wenn eines der folgenden GuardDuty Ergebnisse in Ihrem Konto generiert GuardDuty wird, wird automatisch ein Malware-Scan im Amazon EBS-Volume der potenziell gefährdeten Amazon EC2 EC2-Instance eingeleitet.
+ [Backdoor:EC2/C&CActivity.B](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivityb)
+ [Backdoor:EC2/C&CActivity.B\$1DNS](guardduty_finding-types-ec2.md#backdoor-ec2-ccactivitybdns)
+ [Backdoor:EC2/DenialOfService.Dns](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicedns)
+ [Backdoor:EC2/DenialOfService.Tcp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofservicetcp)
+ [Backdoor:EC2/DenialOfService.Udp](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudp)
+ [Backdoor:EC2/DenialOfService.UdpOnTcpPorts](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceudpontcpports)
+ [Backdoor:EC2/DenialOfService.UnusualProtocol](guardduty_finding-types-ec2.md#backdoor-ec2-denialofserviceunusualprotocol)
+ [Backdoor:EC2/Spambot](guardduty_finding-types-ec2.md#backdoor-ec2-spambot)
+ [CryptoCurrency:EC2/BitcoinTool.B](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolb)
+ [CryptoCurrency:EC2/BitcoinTool.B\$1DNS](guardduty_finding-types-ec2.md#cryptocurrency-ec2-bitcointoolbdns)
+ [DefenseEvasion:Runtime/PtraceAntiDebugging](findings-runtime-monitoring.md#defenseevasion-runtime-ptrace-anti-debug)
+ [DefenseEvasion:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#defenseevasion-runtime-suspicious-command)
+ [Execution:Runtime/MaliciousFileExecuted](findings-runtime-monitoring.md#execution-runtime-malicious-file-executed)
+ [Execution:Runtime/SuspiciousCommand](findings-runtime-monitoring.md#execution-runtime-suspiciouscommand)
+ [Execution:Runtime/SuspiciousShellCreated](findings-runtime-monitoring.md#execution-runtime-suspicious-shell-created)
+ [Execution:Runtime/SuspiciousTool](findings-runtime-monitoring.md#execution-runtime-suspicioustool)
+ [Impact:EC2/AbusedDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-abuseddomainrequestreputation)
+ [Impact:EC2/BitcoinDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-bitcoindomainrequestreputation)
+ [Impact:EC2/MaliciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-maliciousdomainrequestreputation)
+ [Impact:EC2/PortSweep](guardduty_finding-types-ec2.md#impact-ec2-portsweep)
+ [Impact:EC2/SuspiciousDomainRequest.Reputation](guardduty_finding-types-ec2.md#impact-ec2-suspiciousdomainrequestreputation)
+ [Impact:EC2/WinRMBruteForce](guardduty_finding-types-ec2.md#impact-ec2-winrmbruteforce) (Nur ausgehend)
+ [PrivilegeEscalation:Runtime/ElevationToRoot](findings-runtime-monitoring.md#privilegeesc-runtime-elevation-to-root)
+ [Recon:EC2/Portscan](guardduty_finding-types-ec2.md#recon-ec2-portscan)
+ [Trojan:EC2/BlackholeTraffic](guardduty_finding-types-ec2.md#trojan-ec2-blackholetraffic)
+ [Trojan:EC2/BlackholeTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-blackholetrafficdns)
+ [Trojan:EC2/DGADomainRequest.B](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestb)
+ [Trojan:EC2/DGADomainRequest.C\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-dgadomainrequestcdns)
+ [Trojan:EC2/DNSDataExfiltration](guardduty_finding-types-ec2.md#trojan-ec2-dnsdataexfiltration)
+ [Trojan:EC2/DriveBySourceTraffic\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-drivebysourcetrafficdns)
+ [Trojan:EC2/DropPoint](guardduty_finding-types-ec2.md#trojan-ec2-droppoint)
+ [Trojan:EC2/DropPoint\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-droppointdns)
+ [Trojan:EC2/PhishingDomainRequest\$1DNS](guardduty_finding-types-ec2.md#trojan-ec2-phishingdomainrequestdns)
+ [UnauthorizedAccess:EC2/RDPBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-rdpbruteforce) (Nur ausgehend)
+ [UnauthorizedAccess:EC2/SSHBruteForce](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-sshbruteforce) (Nur ausgehend)
+ [UnauthorizedAccess:EC2/TorClient](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torclient)
+ [UnauthorizedAccess:EC2/TorRelay](guardduty_finding-types-ec2.md#unauthorizedaccess-ec2-torrelay)
+ [Backdoor:Runtime/C&CActivity.B](findings-runtime-monitoring.md#backdoor-runtime-ccactivityb)
+ [Backdoor:Runtime/C&CActivity.B\$1DNS](findings-runtime-monitoring.md#backdoor-runtime-ccactivitybdns)
+ [CryptoCurrency:Runtime/BitcoinTool.B](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolb)
+ [CryptoCurrency:Runtime/BitcoinTool.B\$1DNS](findings-runtime-monitoring.md#cryptocurrency-runtime-bitcointoolbdns)
+ [Execution:Runtime/NewBinaryExecuted](findings-runtime-monitoring.md#execution-runtime-newbinaryexecuted)
+ [Execution:Runtime/NewLibraryLoaded](findings-runtime-monitoring.md#execution-runtime-newlibraryloaded)
+ [Execution:Runtime/ReverseShell](findings-runtime-monitoring.md#execution-runtime-reverseshell)
+ [Impact:Runtime/AbusedDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-abuseddomainrequestreputation)
+ [Impact:Runtime/BitcoinDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-bitcoindomainrequestreputation)
+ [Impact:Runtime/CryptoMinerExecuted](findings-runtime-monitoring.md#impact-runtime-cryptominerexecuted)
+ [Impact:Runtime/MaliciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-maliciousdomainrequestreputation)
+ [Impact:Runtime/SuspiciousDomainRequest.Reputation](findings-runtime-monitoring.md#impact-runtime-suspiciousdomainrequestreputation)
+ [PrivilegeEscalation:Runtime/CGroupsReleaseAgentModified](findings-runtime-monitoring.md#privilegeesc-runtime-cgroupsreleaseagentmodified)
+ [PrivilegeEscalation:Runtime/ContainerMountsHostDirectory](findings-runtime-monitoring.md#privilegeescalation-runtime-containermountshostdirectory)
+ [PrivilegeEscalation:Runtime/DockerSocketAccessed](findings-runtime-monitoring.md#privilegeesc-runtime-dockersocketaccessed)
+ [PrivilegeEscalation:Runtime/RuncContainerEscape](findings-runtime-monitoring.md#privilegeesc-runtime-runccontainerescape)
+ [PrivilegeEscalation:Runtime/UserfaultfdUsage](findings-runtime-monitoring.md#privilegeescalation-runtime-userfaultfdusage)
+ [Trojan:Runtime/BlackholeTraffic](findings-runtime-monitoring.md#trojan-runtime-blackholetraffic)
+ [Trojan:Runtime/BlackholeTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-blackholetrafficdns)
+ [Trojan:Runtime/DropPoint](findings-runtime-monitoring.md#trojan-runtime-droppoint)
+ [Trojan:Runtime/DropPoint\$1DNS](findings-runtime-monitoring.md#trojan-runtime-droppointdns)
+ [Trojan:Runtime/DGADomainRequest.C\$1DNS](findings-runtime-monitoring.md#trojan-runtime-dgadomainrequestcdns)
+ [Trojan:Runtime/DriveBySourceTraffic\$1DNS](findings-runtime-monitoring.md#trojan-runtime-drivebysourcetrafficdns)
+ [Trojan:Runtime/PhishingDomainRequest\$1DNS](findings-runtime-monitoring.md#trojan-runtime-phishingdomainrequestdns)
+ [UnauthorizedAccess:Runtime/MetadataDNSRebind](findings-runtime-monitoring.md#unauthorizedaccess-runtime-metadatadnsrebind)
# Malware-Scan auf Abruf GuardDuty
Der Malware-Scan auf Abruf hilft Ihnen, das Vorhandensein von Malware auf Amazon Elastic Block Store (Amazon EBS)-Volumes zu erkennen, die an Ihre Amazon-EC2-Instances angefügt sind. Ohne Konfiguration können Sie einen On-Demand-Malware-Scan starten, indem Sie den Amazon-Ressourcennamen (ARN) der Amazon EC2-Instance angeben, die Sie scannen möchten. Sie können einen On-Demand-Malware-Scan entweder über die GuardDuty Konsole oder die API starten. Bevor Sie einen Malware-Scan auf Abruf starten, können Sie Ihre bevorzugte [Snapshot-Beibehaltung](malware-protection-customizations.md#mp-snapshots-retention)-Einstellung festlegen. Anhand der folgenden Szenarien können Sie ermitteln, wann Sie den Malware-Scan auf Abruf verwenden sollten GuardDuty:
+ Sie möchten das Vorhandensein von Malware in Ihren Amazon EC2 EC2-Instances erkennen, ohne den GuardDuty -initiierten Malware-Scan zu aktivieren.
+ Sie haben den GuardDuty -initiierten Malware-Scan aktiviert und ein Scan wurde automatisch gestartet. Wenn Sie die empfohlene Problembehebung für den generierten Findungstyp Malware Protection for EC2 befolgt haben und einen Scan für dieselbe Ressource starten möchten, können Sie einen Malware-Scan auf Anforderung starten, nachdem 1 Stunde nach der Startzeit des vorherigen Scans vergangen ist.
Der Malware-Scan auf Abruf setzt nicht voraus, dass seit dem Start des vorherigen Malware-Scans 24 Stunden vergangen sind. Es sollte eine Stunde vergangen sein, bevor ein Malware-Scan auf Abruf auf derselben Ressource gestartet wird. Informationen dazu, wie Sie vermeiden können, dass ein Malware-Scan auf derselben EC2-Instance dupliziert wird, finden Sie unter [Zuvor gescannte Amazon EC2 EC2-Instance erneut scannen](initiate-on-demand-scan-on-same-resource.md).
**Anmerkung**
Der On-Demand-Malware-Scan ist nicht in der 30-tägigen kostenlosen Testphase von enthalten. GuardDuty Die Nutzungskosten beziehen sich auf das gesamte Amazon-EBS-Volumen, das bei jedem Malware-Scan gescannt wurde. Weitere Informationen finden Sie unter [ GuardDuty Amazon-Preise](https://aws.amazon.com/guardduty/pricing/#Pricing_by_region). Informationen zu den Kosten der Erstellung von Amazon-EBS-Volume-Snapshots und deren Aufbewahrung finden Sie unter [Amazon-EBS-Preise](https://aws.amazon.com/ebs/pricing/).
## So funktioniert der Malware-Scan auf Abruf
Mit dem On-Demand-Malware-Scan können Sie eine Malware-Scan-Anfrage für Ihre Amazon EC2 EC2-Instance starten, auch wenn sie gerade verwendet wird. Nachdem Sie einen On-Demand-Malware-Scan gestartet haben, GuardDuty erstellt Snapshots der Amazon EBS-Volumes, die an die Amazon EC2 EC2-Instance angehängt sind, deren Amazon Resource Name (ARN) für den Scan bereitgestellt wurde. Als Nächstes GuardDuty teilt diese Snapshots mit dem. [GuardDuty Dienstkonto](gdu-service-account-region-list.md) GuardDuty erstellt verschlüsselte EBS-Replikat-Volumes aus diesen Snapshots im Dienstkonto. GuardDuty Weitere Informationen dazu, wie Amazon-EBS-Volumes gescannt werden finden Sie unter [Wie GuardDuty scannt man EBS-Volumes auf Malware-Erkennung](guardduty_malware_protection-ebs-volume-data.md).
**Anmerkung**
GuardDuty erstellt die Snapshots der Daten, die bereits auf die Amazon EBS-Volumes geschrieben wurden, point-in-time wenn Sie einen On-Demand-Malware-Scan starten.
Wenn Malware gefunden wird und Sie die Einstellung zur Aufbewahrung von Snapshots aktiviert haben, werden die Snapshots Ihrer EBS-Volumes nicht gelöscht und werden automatisch in Ihrem AWS-Konto gespeichert. Der Malware-Scan auf Abruf generiert die [Malware-Schutz für EC2-Suchtypen](findings-malware-protection.md). Wenn keine Malware gefunden wird, werden die Snapshots Ihrer EBS-Volumes gelöscht, unabhängig von der Einstellung zur Beibehaltung von Snapshots.
GuardDuty verwendet einen globalen Tag-Schlüssel,`GuardDutyExcluded`, den Sie zu Ihren Amazon EC2 EC2-Ressourcen hinzufügen und auf den Tag-Wert setzen `true` können. Diese Amazon EC2 EC2-Ressource, die über dieses Tag-Schlüssel-Wert-Paar verfügt, wird vom Malware-Scan ausgeschlossen. Beide Scantypen (GuardDuty-initiierter Malware-Scan und On-Demand-Malware-Scan) unterstützen das globale Tag. Wenn Sie einen On-Demand-Malware-Scan auf einem Amazon EC2 starten, wird eine Scan-ID generiert. Der Scan wird jedoch mit einem `EXCLUDED_BY_SCAN_SETTINGS` bestimmten Grund übersprungen. Weitere Informationen finden Sie unter [Gründe für das Überspringen von Ressourcen beim Malware-Scan](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons).
# Der On-Demand-Malware-Scan wird gestartet GuardDuty
In diesem Abschnitt finden Sie eine Liste der Voraussetzungen für die Initiierung eines On-Demand-Malware-Scans sowie Schritte, um den Scan auf einer Ressource zum ersten Mal zu starten.
Als GuardDuty Administratorkonto können Sie einen On-Demand-Malware-Scan für Ihre aktiven Mitgliedskonten starten, für deren Konten die folgenden Voraussetzungen eingerichtet sind. Eigenständige Konten und aktive Mitgliedskonten in GuardDuty können auch einen On-Demand-Malware-Scan für ihre eigenen Amazon EC2 EC2-Instances starten.
## Voraussetzungen
Bevor Sie einen On-Demand-Malware-Scan starten, muss Ihr Konto die folgenden Voraussetzungen erfüllen:
+ GuardDuty muss in dem Bereich aktiviert sein, in AWS-Regionen dem Sie den Malware-Scan auf Anforderung starten möchten.
+ Stellen Sie sicher, dass der [AWS verwaltete Richtlinie: AmazonGuardDutyFullAccess\$1v2 (empfohlen)](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonGuardDutyFullAccess-v2) dem IAM-Benutzer oder der IAM-Rolle angefügt ist. Sie benötigen den Zugriffsschlüssel und den geheimen Schlüssel, die dem IAM-Benutzer oder der IAM-Rolle zugeordnet sind.
+ Als delegiertes GuardDuty Administratorkonto haben Sie die Möglichkeit, im Namen eines aktiven Mitgliedskontos einen On-Demand-Malware-Scan zu starten.
+ Bevor Sie einen Malware-Scan auf Anforderung starten, stellen Sie sicher, dass in den letzten 1 Stunde kein Scan auf derselben Ressource gestartet wurde. Andernfalls wird der Scan dedupliziert. Weitere Informationen finden Sie unter [Zuvor gescannte Amazon EC2 EC2-Instance erneut scannen](initiate-on-demand-scan-on-same-resource.md).
+ Wenn Sie ein Mitgliedskonto sind, das nicht über das verfügt[Servicebezogene Rollenberechtigungen für Malware Protection for EC2](slr-permissions-malware-protection.md), wird bei der Initiierung eines On-Demand-Malware-Scans für eine Amazon EC2 EC2-Instance, die zu Ihrem Konto gehört, automatisch die SLR for Malware Protection for EC2 erstellt.
**Wichtig**
Stellen Sie sicher, dass niemand die [SLR-Berechtigungen für Malware Protection for EC2](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html#delete-slr) löscht, solange der Malware-Scan noch läuft. Dieser Malware-Scan kann entweder von GuardDuty oder bei Bedarf gestartet werden. Wenn Sie die Spiegelreflexkamera löschen, kann der Scan nicht erfolgreich abgeschlossen werden und es wird kein eindeutiges Scanergebnis angezeigt.
## Starten Sie den Malware-Scan auf Abruf
Sie können einen On-Demand-Malware-Scan in Ihrem Konto über die GuardDuty Konsole oder mithilfe von starten AWS CLI. Sie müssen den Amazon EC2 Amazon Resource Name (ARN) angeben, für den Sie den Scan starten möchten. Die detaillierten Schritte finden Sie sowohl in der Konsole als auch in der API/den AWS CLI Anweisungen im folgenden Abschnitt.
Wählen Sie Ihre bevorzugte Zugriffsmethode, um einen Malware-Scan auf Abruf zu starten.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Starten Sie den Scan mit einer der folgenden Optionen:
1. Verwenden der Seite „**Malware-Schutz für EC2**“:
1. Wählen Sie im Navigationsbereich unter **Schutzpläne** die Option **Malware Protection for EC2** aus.
1. Geben Sie auf der Seite **Malware Protection for EC2** die **Amazon EC2 EC2-Instance ARN** 1 an, für die Sie den Scan starten möchten.
1. Verwendung der Seite **Malware-Scans**:
1. Wählen Sie im Navigationsbereich **Malware-Scans**.
1. Wählen Sie **On-Demand-Scan starten** und geben Sie die **Amazon EC2 EC2-Instance ARN** 1 an, für die Sie den Scan starten möchten.
1. Wenn es sich um einen Wiederholungs-Scan handelt, wählen Sie auf der Seite **Malware-Scans** eine **Amazon-EC2**-Instance-ID aus.
Erweitern Sie das Drop-down-Menü **Scan auf Abruf starten** und wählen Sie **Ausgewählte Instance erneut scannen**.
1. Nachdem Sie einen Scan mit einer der beiden Methoden erfolgreich gestartet haben, wird eine Scan-ID generiert. Sie können diese Scan-ID verwenden, um den Scan-Fortschritt zu verfolgen. Weitere Informationen finden Sie unter [Überwachen von Scanstatus und Ergebnissen](malware-protection-scans.md).
------
#### [ API/CLI ]
Rufen Sie auf [StartMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StartMalwareScan.html), `resourceArn` der die Amazon EC2 EC2-Instance 1 akzeptiert, für die Sie einen On-Demand-Malware-Scan starten möchten.
```
aws guardduty start-malware-scan --resource-arn "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"
```
Nachdem Sie einen Scan erfolgreich gestartet haben, wird a `StartMalwareScan` zurückgegeben. `scanId` Invoke [DescribeMalwareScans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeMalwareScans.html)überwacht den Fortschritt des gestarteten Scans.
------
1Informationen zum Format Ihres Amazon-EC2-Instance-ARN finden Sie unter [Amazon-Ressourcenname (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Für Amazon-EC2-Instances können Sie das folgende ARN-Beispielformat verwenden, indem Sie die Werte für die Partition, Region, AWS-Konto -ID und Amazon-EC2-Instance-ID ersetzen. Informationen zur Länge Ihrer Instance-ID finden Sie unter [Ressource IDs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/resource-ids.html).
```
arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f
```
### AWS Organizations Richtlinie zur Dienststeuerung — Zugriff verweigert
Mithilfe der [Service-Kontrollrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) in AWS Organizations kann das delegierte GuardDuty Administratorkonto Berechtigungen einschränken und Aktionen wie das Initiieren eines On-Demand-Malware-Scans für die Amazon EC2 EC2-Instance, die Ihren Konten gehört, verweigern.
Als GuardDuty Mitgliedskonto erhalten Sie möglicherweise eine Fehlermeldung, wenn Sie einen On-Demand-Malware-Scan für Ihre Amazon EC2 EC2-Instances starten. Sie können sich mit dem Verwaltungskonto verbinden, um zu erfahren, warum ein SCP für Ihr Mitgliedskonto eingerichtet wurde. Weitere Informationen zu [SCP-Auswirkungen auf Berechtigungen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).
# Zuvor gescannte Amazon EC2 EC2-Instance erneut scannen
Unabhängig davon, ob ein Scan GuardDuty initiiert oder bei Bedarf gestartet wird, können Sie einen neuen On-Demand-Malware-Scan auf derselben Amazon EC2 EC2-Instance 1 Stunde nach dem Startzeitpunkt des vorherigen Malware-Scans starten. Wenn der neue Malware-Scan innerhalb von 1 Stunde nach der Initiierung des vorherigen Malware-Scans gestartet wird, führt Ihre Anfrage zu dem folgenden Fehler, und es wird keine Scan-ID für diese Anfrage generiert.
`A scan was started on this resource recently. You can request a scan on the same resource one hour after the previous scan start time.`
Die Schritte zum erneuten Scannen der Instanz sind dieselben wie beim ersten Starten eines On-Demand-Malware-Scans. Informationen zu den Schritten finden Sie unter[Starten Sie den Malware-Scan auf Abruf](malware-protection-getting-started-on-demand-scan.md#malware-protection-initiate-on-demand-malware-scan).
Informationen zum Verfolgen des Status der Malware-Scans finden Sie unter [Überwachen des Scanstatus und der Ergebnisse in Malware Protection for EC2](malware-protection-scans.md).
# Überwachen des Scanstatus und der Ergebnisse in Malware Protection for EC2
Nachdem ein Malware-Scan auf einer Amazon EC2 EC2-Instance initiiert wurde, GuardDuty werden die Status- und Ergebnisfelder automatisch bereitgestellt. Sie können den Status anhand von Übergängen überwachen und überprüfen, ob Malware erkannt wurde. Die folgende Tabelle enthält die möglichen Werte für den Malware-Scan.
| Kategorie | Mögliche Werte |
| --- | --- |
| Scan-Status | `Running`, `Completed``Skipped`, oder `Failed` |
| Ergebnis des Scannens [*](#scan-result-malwalre-protection-ec2) | `Clean` oder `Infected` |
| Scan-Typ | `GuardDuty initiated` oder `On demand` |
\$1Das Scanergebnis wird erst eingetragen, wenn der Scanstatus lautet. `Completed` Das Scanergebnis `Infected` bedeutet, dass das Vorhandensein von Malware GuardDuty erkannt wurde.
Die Scan-Ergebnisse für jeden Malware-Scan werden 90 Tage aufbewahrt. Wählen Sie Ihre bevorzugte Zugriffsmethode, um den Status Ihres Malware-Scans zu verfolgen.
------
#### [ Console ]
1. Öffnen Sie die GuardDuty Konsole unter [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Wählen Sie im Navigationsbereich **EC2-Malware-Scans** aus.
1. Sie können die Malware-Scans anhand der folgenden **Eigenschaften** filtern, die in der *Filtersuchleiste* verfügbar sind.
+ **Scan-ID** — Eindeutige Kennung, die dem EC2-Malware-Scan zugeordnet ist.
+ **Konto-ID — AWS-Konto ID**, unter der der Malware-Scan initiiert wurde.
+ **EC2-Instance-ARN** — Amazon-Ressourcenname (ARN), der der Amazon EC2-Instance zugeordnet ist, die dem Scan zugeordnet ist.
+ **Scanstatus** **— Der Scanstatus des EBS-Volumes, z. B. Wird **ausgeführt**, **Übersprungen** und Abgeschlossen**
+ **Suchtyp** — Gibt an, ob es sich um einen Malware-Scan auf Abruf oder um einen GuardDuty -initiierten Malware-Scan handelte.
------
#### [ API/CLI ]
+ Wenn für den Malware-Scan ein Scanergebnis vorliegt, verwenden Sie diese Option, [DescribeMalwareScans](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeMalwareScans.html)um die Malware-Scans auf der Grundlage von`EC2_INSTANCE_ARN`,`SCAN_ID`, `ACCOUNT_ID` `SCAN_TYPE` `GUARDDUTY_FINDING_ID``SCAN_STATUS`, und `SCAN_START_TIME` zu filtern.
Die `GUARDDUTY_FINDING_ID` Filterkriterien sind verfügbar, wenn der GuardDuty initiiert `SCAN_TYPE` wird.
+ Sie können das Beispiel *filter-criteria* im folgenden Befehl ändern. Gegenwärtig können Sie auf der Grundlage von jeweils einem `CriterionKey` filtern. Die Optionen für `CriterionKey` sind `EC2_INSTANCE_ARN`, `SCAN_ID`, `ACCOUNT_ID`, `SCAN_TYPE`, `GUARDDUTY_FINDING_ID`, `SCAN_STATUS` und `SCAN_START_TIME`.
Sie können die *max-results* (bis zu 50) und die ändern*sort-criteria*. Der `AttributeName` ist verpflichtend und muss `scanStartTime` sein.
Im folgenden Beispiel *red* sind die Werte in Platzhalter. Ersetzen Sie sie durch die für Ihr Konto geeigneten Werte. Ersetzen Sie das Beispiel beispielsweise `detector-id` *60b8777933648562554d637e0e4bb3b2* durch Ihr eigenes gültiges`detector-id`. Wenn Sie dasselbe `CriterionKey` wie unten verwenden, stellen Sie sicher, dass Sie das Beispiel `EqualsValue` durch Ihr eigenes gültiges ersetzen AWS *scan-id*.
```
aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
```
+ Die Antwort auf diesen Befehl zeigt maximal eine Erkenntnis mit Details zur betroffenen Ressource und zu den Malware-Erkenntnissen (wenn `Infected`) an.
------
# GuardDuty Dienstkonten von AWS-Region
Wenn ein Snapshot erstellt und mit einem GuardDuty Dienstkonto geteilt wird, wird ein neues Ereignis in Ihren CloudTrail Protokollen erstellt. Dieses Ereignis spezifiziert das entsprechende `snapshotId` AND `userId` (GuardDuty Dienstkonto dafür AWS-Region). Weitere Informationen finden Sie unter [Wie GuardDuty scannt man EBS-Volumes auf Malware-Erkennung](guardduty_malware_protection-ebs-volume-data.md).
Das folgende Beispiel ist ein Ausschnitt aus einem CloudTrail Ereignis, das den Anfragetext für die `ModifySnapshotAttribute` Anfrage anzeigt:
```
"requestParameters": {
"snapshotId": "snap-1234567890abcdef0",
"createVolumePermission": {
"add": {
"items": [
{
"userId": "111122223333"
}
]
}
},
"attributeType": "CREATE_VOLUME_PERMISSION"
}
```
Die folgende Tabelle zeigt die GuardDuty Dienstkonten für jede Region. Das `userId` ist das GuardDuty Dienstkonto und hängt von der ausgewählten Region ab.
| AWS-Region | Regionscode | GuardDuty Dienstkonto-ID (`userId`) |
| --- | --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 | 652050842985 |
| USA Ost (Ohio) | us-east-2 | 178123968615 |
| USA West (Nordkalifornien) | us-west-1 | 669213148797 |
| USA West (Oregon) | us-west-2 | 447226417196 |
| Asien-Pazifik (Mumbai) | ap-south-1 | 913179291432 |
| Asien-Pazifik (Osaka) | ap-northeast-3 | 089661699081 |
| Asien-Pazifik (Seoul) | ap-northeast-2 | 039163547507 |
| Asien-Pazifik (Tokio) | ap-northeast-1 | 874749492622 |
| Asien-Pazifik (Singapur) | ap-southeast-1 | 247460962669 |
| Asien-Pazifik (Sydney) | ap-southeast-2 | 124839743349 |
| Kanada (Zentral) | ca-central-1 | 175877067165 |
| Kanada West (Calgary) | ca-west-1 | 894794104037 |
| Europa (Frankfurt) | eu-central-1 | 002294850712 |
| Europa (Irland) | eu-west-1 | 283769539786 |
| Europa (London) | eu-west-2 | 310125036783 |
| Europa (Paris) | eu-west-3 | 866607715269 |
| Europa (Stockholm) | eu-north-1 | 693780578038 |
| China (Peking) | cn-north-1 | 448721096076 |
| China (Ningxia) | cn-northwest-1 | 480864352451 |
| Südamerika (São Paulo) | sa-east-1 | 546914126324 |
| Asien-Pazifik (Hyderabad) (Opt-in) | ap-south-2 | 682251015962 |
| Asien-Pazifik (Melbourne) (Opt-in) | ap-southeast-4 | 353488359550 |
| Asien-Pazifik (Malaysia) (Opt-In) | ap-southeast-5 | 009160069308 |
| Asien-Pazifik (Thailand) (Opt-In) | ap-southeast-7 | 941377115582 |
| Europa (Spanien) (Opt-In) | eu-south-2 | 936182149045 |
| Europa (Zürich) (Opt-In) | eu-central-2 | 867642063380 |
| Israel (Tel Aviv) (Opt-In) | il-central-1 | 619233833001 |
| Europa (Mailand) (Opt-In) | eu-south-1 | 977238331021 |
| Asien-Pazifik (Hongkong) (Opt-in) | ap-east-1 | 249472122084 |
| Naher Osten (Bahrain) (Opt-In) | me-south-1 | 404001805210 |
| Afrika (Kapstadt) (Opt-in) | af-south-1 | 957664736811 |
| Asien-Pazifik (Jakarta) (Opt-in) | ap-southeast-3 | 452118225523 |
| Naher Osten (VAE) (Opt-In) | me-central-1 | 828603743433 |
| Mexiko (Zentral) (Opt-In) | mx-central-1 | 557690616787 |
| Asien-Pazifik (Taipeh) | ap-east-2 | 863518437308 |
| Asien-Pazifik (Neuseeland) | ap-southeast-6 | 686255982852 |
| AWS GovCloud (US-Ost) | us-gov-east-1 | 226283551151 |
| AWS GovCloud (Vereinigte Staaten von Amerika nach Westen) | us-gov-west-1 | 226300430612 |
# Kontingente beim Malware-Schutz für EC2
Dieser Abschnitt enthält die Kontingente für die Verwendung von Malware Protection for EC2. Informationen zu den zugehörigen Kontingenten finden Sie unter[GuardDuty Kontingente](guardduty_limits.md). GuardDuty
Die folgende Tabelle zeigt die Standardverfügbarkeit verschiedener Ressourcen, wenn Sie Malware Protection for EC2 verwenden.
| Scope | Standard | Kommentare |
| --- | --- | --- |
| Extraktion und Analyse von Daten in komprimierten oder archivierten Dateien | 5 | Die maximale Anzahl von verschachtelten Ebenen, die in einer archivierten Datei zulässig sind. |
| Anzahl der Dateien in einer archivierten Datei | 1000 | Die maximale Anzahl an Dateien, die in einem Archiv gescannt werden können. Diese Anzahl ist die Summe der aus dem Archiv extrahierten Dateien und der Anzahl der aus allen verschachtelten Archiven extrahierten Dateien. |
| Anzahl der Bedrohungen | 32 | Die maximale Anzahl von Bedrohungen, die Sie im Ergebnisfenster anzeigen können. GuardDuty Malware Protection for EC2 hat möglicherweise mehr Bedrohungsnamen erkannt. Wenn die Anzahl der erkannten Bedrohungsnamen höher als der Standardwert ist, können Sie die JSON-Details anzeigen, indem Sie im Detailbereich der GuardDuty Konsole unter dem Namen des Befundes die **Finding-ID** auswählen. |
| Anzahl der Dateien pro erkannter Bedrohung | 5 | Die maximale Anzahl identifizierter Dateien pro erkannter Bedrohung. Wenn beispielsweise 10 Dateien GuardDuty erkannt werden, die mit einer einzigen Bedrohung verknüpft sind, zeigt die Bedrohung maximal 5 Dateien an. |
| EBS-Volumes pro Scan pro Instance | 11 | Die maximale Anzahl von EBS-Volumes, die pro EC2-Instance gescannt werden GuardDuty können. Wenn mehr als 11 EBS-Volumes gescannt werden müssen, sortiert GuardDuty Malware Protection for EC2 die Volumes `deviceName` alphabetisch und wählt die ersten 11 EBS-Volumes aus. |
| EBS-Volume-Größe | 2048 GB | In Verbindung mit einer Amazon EC2 EC2-Instance und einem Container-Workload kann GuardDuty Malware Protection for EC2 jedes Amazon EBS-Volume scannen, das bis zu 2048 GB groß ist. Dieses Kontingent gilt für alle, AWS-Region in denen die Unterstützung für Malware Protection for EC2 verfügbar ist. |
| Unterstützte Dateitypen | GuardDuty Malware Protection for EC2 kann die folgenden Dateisystemtypen scannen: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/guardduty/latest/ug/malware-protection-limitations.html) | NICHT ZUTREFFEND |
| Scan-Optionen-Tags | 50 | Die maximale Anzahl von Ressourcen-Tags, die Sie hinzufügen können, um die Einstellungen Ihrer Malware-Scan-Optionen anzupassen. Weitere Informationen finden Sie unter [Scan-Optionen mit benutzerdefinierten Tags](malware-protection-customizations.md#mp-scan-options). |
| Aufbewahrungszeitraum für Ergebnisse | 90 | Die maximale Anzahl von Tagen, für die ein GuardDuty Ergebnis aufbewahrt wird. Die neuesten Informationen finden Sie unter [GuardDuty Amazon-Kontingente](guardduty_limits.md). |
| Beibehaltungszeitraum für Malware-Scans | 90 | Die maximale Anzahl von Tagen, an denen GuardDuty Malware Protection for EC2 den Verlauf eines Scans aufbewahrt. Weitere Informationen zum Anzeigen der letzten Malware-Scans finden Sie unter [Überwachen des Scanstatus und der Ergebnisse in Malware Protection for EC2](malware-protection-scans.md). |
| Transaktionen pro Sekunde (TPS) für Malware-Scan auf Abruf | 1 | Die Anzahl der Anforderungen für Malware-Scan auf Abruf, die pro Sekunde in jeder Region initiiert werden können. |
| Burst-Limit für Malware-Scan auf Abruf | 1 | Die Anzahl der Anforderungen für Malware-Scan auf Abruf, die pro Sekunde in jeder Region initiiert werden können. |