Überwachen von Scanstatus und Ergebnissen in Malware Protection for Backup

GuardDuty Stellt nach der Initiierung eines Malware-Scans einige Mechanismen zur Verfügung, mit denen Sie den Status und das Ergebnis eines Scans überwachen können. Die folgende Tabelle enthält einige der Werte, die mit Malware-Scans verknüpft sind.

Kategorie	Mögliche Werte
Scan-Status	`RUNNING`, `COMPLETED`, `COMPLETED_WITH_ISSUES`, `FAILED` oder `SKIPPED`
Kategorie scannen	`FULL_SCAN` oder `INCREMENTAL_SCAN`
Scan-Typ	`GUARDDUTY_INITIATED`, `ON_DEMAND` oder `BACKUP_INITIATED`
Status der Scanergebnisse	`NO_THREATS_FOUND` oder `THREATS_FOUND`

*Beachten Sie, dass der Status der Scanergebnisse möglicherweise nicht angezeigt wird, wenn der Scan nicht abgeschlossen wurde. Der Status der Suchergebnisse von THREATS_FOUND gibt an, dass das Vorhandensein von Malware GuardDuty erkannt wurde.

Bei S3-Wiederherstellungspunkten gibt COMPLETED_WITH_ISSUES an, dass einige Dateien entweder übersprungen wurden oder ausgefallen sind. Bei AMIs gibt COMPLETED_WITH_ISSUES an, dass mindestens ein Snapshot nicht gescannt werden konnte. Unten finden Sie eine Liste der ausgelassenen Gründe.

Scans können auch aus verschiedenen Gründen übersprungen werden. In der folgenden Tabelle werden die Gründe erklärt, warum Scans übersprungen werden können:

Grund für übersprungenes Scannen	Grund
ACCESS_DENIED	Customer Role verfügt nicht über die erforderlichen Berechtigungen, die der Service benötigt, um den Scan durchzuführen
RESOURCE_NOT_FOUND	Die Ressource, die gescannt werden soll, ist im Konto nicht vorhanden oder wurde beim Scannen gelöscht
SNAPSHOT_SIZE_LIMIT_EXCEEDED	Die Snapshot-Größe ist größer als derzeit unterstützt von GuardDuty
INCREMENTAL_NO_DIFFERENCE	Die in der Anfrage für den inkrementellen Scan angegebenen Ressourcen haben keinen Unterschied
RESOURCE_UNAVAILABLE	Die Ressource befindet sich nicht im erwarteten Zustand. Wenn der Scan inkrementell ist, befindet sich der Basiswiederherstellungspunkt nicht im Status VERFÜGBAR oder ABGESCHLOSSEN
UNRELATED_RESOURCES	Bei inkrementellen Scans stammen die Basisressource und die aktuelle Ressource nicht aus derselben Herkunft
BASE_RESOURCE_NOT_SCANNED	Bei inkrementellen Scans — die Basisressource wurde zuvor nicht gescannt oder es wurde kein abgeschlossener Scan gefunden
BASE_CREATED_AFTER_TARGET	Bei inkrementellen Scans liegt das Erstellungsdatum der Basisressource über dem Erstellungsdatum der aktuellen Ressource
UNSUPPORTED_FOR_INCREMENTAL	Der angeforderte Ressourcentyp unterstützt kein inkrementelles Scannen
UNSUPPORTED_AMI	Öffentliche AMIs, AMIs mit nur flüchtigem Speicher und AMIs, die sich nicht in einem verfügbaren Zustand befinden, sind nicht für das Scannen geeignet
UNSUPPORTED_SNAPSHOT	Cold Storage-Snapshots können nicht gescannt werden
UNSUPPORTED_COMPOSITE_RP	Das Scannen wird für zusammengesetzte Ressourcentypen nicht unterstützt
UNSUPPORTED_PRODUCT_CODE_TYPE	Die angeforderte Ressource enthält einen Amazon Marketplace-Produktcode, der das Scannen nicht unterstützt
AMI_SNAPSHOT_LIMIT_EXCEEDED	AMIs unterstützen nicht das Scannen von mehr als 40 Snapshots
NO_EBS_VOLUMES_FOUND	Für die angeforderte Ressource wurden keine Ebs-Blockgerätezuordnungen gefunden
UNRELATED_RESOURCES	Bei inkrementellen Scans unterscheidet sich der Arn der Basisressource vom Arn der erwarteten Ressource
ALL_FILES_SKIPPED_OR_FAILED	Alle Dateien im Scan wurden entweder übersprungen oder sind fehlgeschlagen

Die Scanergebnisse haben eine Aufbewahrungsfrist von 90 Tagen. Wählen Sie Ihre bevorzugte Zugriffsmethode, um den Status Ihres Malware-Scans zu verfolgen.

Überwachen von Scans mithilfe der Konsole

Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.
Wählen Sie im Navigationsbereich Malware-Scans.
Sie können die Malware-Scans anhand der folgenden Eigenschaften filtern, die in der Filtersuchleiste verfügbar sind.
- Scan-ID — Eindeutige Kennung, die dem Malware-Scan zugeordnet ist.
- Konto-ID — Konto, über das der Malware-Scan initiiert wurde.
- Ressourcen-ARN — Amazon-Ressourcenname (ARN), der der Amazon-Ressource zugeordnet ist, die mit dem Scan verknüpft ist.
- Ressourcentyp — Der Ressourcentyp, der mit dem Scan verknüpft ist, z. B. EC2-Instance, EBS-Snapshot | EC2-AMI, EBS-Wiederherstellungspunkt, EC2-Wiederherstellungspunkt oder S3-Wiederherstellungspunkt.
- Status — Der Scanstatus des Scans, z. B. Wird ausgeführt, Übersprungen, Abgeschlossen, Mit Problemen abgeschlossen oder Fehlgeschlagen.
- Suchtyp — Gibt an, ob es sich um einen Malware-Scan auf Anforderung, einen GuardDuty initiierten oder ein Backup handelt.

Überwachung von Scans mithilfe der API/CLI

Sie können aufrufen ListMalwareScans , um Malware-Scans nachRESOURCE_ARN,,, SCAN_ID ACCOUNT_ID SCAN_TYPE GUARDDUTY_FINDING_IDSCAN_STATUS, RESOURCE_TYPE und zu filtern. SCAN_START_TIME Sie können auch aufrufen GetMalwareScan , um detailliertere Metadaten eines Scans abzurufen, indem Sie eine Scan-ID als Eingabe angeben. Die GUARDDUTY_FINDING_ID Filterkriterien sind verfügbar, wenn der SCAN_TYPE initiiert wird. GuardDuty
Sie können das Beispiel filter-criteria im folgenden Befehl ändern und CriterionKey nacheinander filtern. Die Optionen für CriterionKey sind Resource_ARNSCAN_ID,ACCOUNT_ID,SCAN_TYPE, GUARDDUTY_FINDING_IDSCAN_STATUS,RESOURCE_TYPE, undSCAN_START_TIME. Sie können die max-results (bis zu 50) und die ändernsort-criteria. Das AttributeName Feld ist ein Pflichtfeld für sort-criteria und muss auf gesetzt seinscanStartTime. Im folgenden Beispiel red sind die Werte in Platzhalter. Ersetzen Sie sie durch die für Ihr Konto geeigneten Werte. Wenn Sie dasselbe CriterionKey wie unten für verwenden, stellen Sie sicher ListMalwareScans, dass Sie das Beispiel durch das EqualsValue ersetzen, nach dem resource-type Sie filtern möchten.
```
aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
```
```
aws guardduty get-malware-scan --scan-id abc123
```
Die Antwort auf den obigen Befehl für ListMalwareScans gibt bis zu 25 Scans mit einigen Details zu den betroffenen Ressourcen zurück. Die Antwort auf den obigen Befehl für GetMalwareScan gibt einen einzelnen Scan mit detaillierten Metadaten über den Scan zurück.

Überwachung von Scans mit EventBridge

Amazon EventBridge ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden. EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen, Software-as-a-Service (SaaS-) Anwendungen und Amazon-Diensten und leitet diese Daten an Ziele wie Lambda weiter. Auf diese Weise können Sie Ereignisse überwachen, die in Services auftreten, und ereignisgesteuerte Architekturen erstellen. Weitere Informationen finden Sie im EventBridge Amazon-Benutzerhandbuch.

GuardDuty veröffentlicht EventBridge Benachrichtigungen im Standard-Event-Bus, sobald ein Scan-Status ermittelt wurde. Sie können in Ihrem Konto EventBridge Regeln einrichten, um Ereignisse an andere in Amazon integrierte Dienste zu senden EventBridge. Es gelten die EventBridge Standardpreise. Weitere Informationen finden Sie unter EventBridge Amazon-Preise.

Viele der unten aufgeführten Werte sind Platzhalter für das Beispiel und variieren je nach Scan.

Ergebnisse und Ereignisse des Malware-Scans

Mögliche Detailtypwerte für Backup:

„Ergebnis des EBS-Snapshot-Scans für GuardDuty Malware-Schutz“
„Ergebnis des EC2-AMI-Scans für GuardDuty Malware-Schutz“
„Ergebnis des S3-Wiederherstellungspunkts für GuardDuty Malware-Schutz“
„Ergebnis des EBS-Wiederherstellungspunktscans für GuardDuty Malware-Schutz“
„Ergebnis des EC2-Wiederherstellungspunktscans für GuardDuty Malware-Schutz“

Beispiel für ein Ereignismuster:


{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

Beispiel für ein Benachrichtigungsschema für den EC2-AMI-Scan ohne gefundene Bedrohungen:


{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}

Weniger anzeigen

Beispiel für ein Benachrichtigungsschema für den EC2-AMI-Scan mit gefundenen Bedrohungen:


{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}

Weniger anzeigen

Beispiel für ein Benachrichtigungsschema für einen übersprungenen EC2-AMI-Scan:


{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}

Weniger anzeigen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Scans auf Anforderung starten

Malware-Schutz für Backup-Kontingente