Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# GuardDuty Protección contra malware para AWS Backup
**Topics**
+ [Descripción general de](#malware-protection-backup-overview)
+ [¿Cómo funciona Malware Protection for Backup?](malware-protection-backup-how-it-works.md)
+ [GuardDuty Protección contra malware para Backup: permisos de rol de IAM](malware-protection-backup-iam-permissions.md)
+ [**(Opcional) Comience a utilizar Malware Protection for Backup Indepenently (solo en consola)**](malware-protection-backup-get-started-independent.md)
+ [Inicio de un análisis bajo demanda en busca de Malware Protection for Backup](malware-protection-backup-start-on-demand-scan.md)
+ [Supervisión de los estados de los escaneos y de los resultados en Malware Protection for Backup](monitoring-malware-protection-backup-scans.md)
+ [Cuotas de protección contra malware para Backup](malware-protection-backup-quotas.md)
## Descripción general de
Malware Protection for Backup le ayuda a detectar la posible presencia de malware en los datos de backup escaneando los recursos AWS protegidos por Backup, como las instantáneas de Amazon EBS, Amazon EC2 y los puntos de recuperación de Amazon AMIs S3. Cuando AWS Backup crea o actualiza un recurso de copia de seguridad protegido, GuardDuty puede realizar un análisis de malware en esa copia de seguridad para ayudar a identificar el contenido potencialmente malicioso antes de restaurarlo en su entorno.
**Cómo utilizar Malware Protection for Backup**
Puede utilizar esta función de dos modos, en función de si GuardDuty está habilitada en su cuenta:
1. Uso de Malware Protection for Backup con GuardDuty activado
Cuando GuardDuty está activado en una región, AWS Backup integra Malware Protection con el flujo de GuardDuty trabajo de búsqueda. Los resultados del análisis de malware aparecen en GuardDuty los resultados, además de en Amazon EventBridge y Amazon CloudWatch.
1. Uso de Malware Protection for Backup sin activar GuardDuty
Puede utilizar Malware Protection for Backup de forma independiente, sin activar el GuardDuty servicio completo. En este modo, los resultados del escaneo permanecen completamente disponibles a través de EventBridge y CloudWatch.
**Consideraciones para usar Malware Protection for Backup de forma independiente**
Al utilizar la función sin habilitarla GuardDuty:
+ La configuración del plan de backup se gestiona íntegramente en AWS Backup.
GuardDuty no proporciona controles para seleccionar los planes de respaldo, los almacenes o los tipos de recursos. Toda la activación, la programación y la configuración de políticas permanecen en Backup AWS .
+ GuardDuty los resultados no se generan.
Los hallazgos requieren un identificador de detector, que se crea solo cuando GuardDuty está activado. Cuando se utiliza Malware Protection de forma independiente, los resultados del análisis se obtienen exclusivamente a través de EventBridge eventos y CloudWatch métricas.
+ Aún puede iniciar escaneos bajo demanda desde la GuardDuty consola.
Incluso cuando no GuardDuty está habilitada, la GuardDuty consola proporciona un flujo de trabajo para iniciar un análisis de malware bajo demanda en busca de los tipos de recursos de respaldo compatibles. Esto permite a los clientes utilizar una GuardDuty interfaz familiar sin necesidad de un GuardDuty servicio completo.
+ Las personas que no GuardDuty sean clientes pueden acceder a los flujos de trabajo de inicio del escaneo.
Los puntos de entrada al escaneo bajo demanda están disponibles para todos los clientes que utilizan Malware Protection for Backup, independientemente de si existe un GuardDuty detector en la cuenta.
+ El comportamiento y la cobertura del escaneo siguen siendo idénticos.
Ya sea GuardDuty que esté habilitada o no, la función escanea los mismos tipos AWS de recursos de Backup con el mismo motor de detección de malware. La única diferencia es dónde se publican los resultados.
Este modelo permite a los clientes adoptar el escaneo de malware para realizar copias de seguridad sin necesidad GuardDuty de funciones más amplias de detección de amenazas y, al mismo tiempo, proporciona un flujo de trabajo opcional GuardDuty para iniciar y ver las operaciones de escaneo.
**Cómo funciona Malware Protection for Backup**
Malware Protection for Backup puede analizar los siguientes recursos AWS protegidos por backup:
+ Instantáneas de Amazon EBS
+ Amazon EC2 AMIs
+ Puntos de recuperación de Amazon S3
+ [Bóvedas bloqueadas (inmutables) (puntos de recuperación EBS/EC2) que utilizan AWS Backup Vault Lock en las regiones compatibles](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-region)
*Escaneo incremental*
AWS Backup captura los cambios incrementales para muchos tipos de recursos. GuardDuty tiene la capacidad de escanear solo los bloques u objetos nuevos o modificados cuando se crea o actualiza una copia de seguridad, lo que mejora el rendimiento y reduce la sobrecarga de digitalización, al tiempo que logra una cobertura total con el tiempo.
*Escaneo bajo demanda*
Puede iniciar un análisis de cualquier recurso de backup compatible en cualquier momento, directamente desde AWS Backup o desde la GuardDuty consola. Los casos de uso más comunes incluyen verificar una copia de seguridad antes de restaurarla, volver a comprobar los datos más antiguos después de que se publiquen nuevas firmas de amenazas o realizar análisis periódicos de conformidad.
**nota**
Malware Protection for Backup solo se puede activar para los recursos de respaldo de la misma región.
GuardDuty escanea una copia de solo lectura de la copia de seguridad; no modifica el contenido de la copia de seguridad.
El escaneo funciona tanto para bóvedas estándar como para bóvedas bloqueadas (inmutables).
# ¿Cómo funciona Malware Protection for Backup?
En esta sección se describen los componentes de Malware Protection for Backup, cómo funciona y cómo puede revisar el estado y el resultado del análisis de malware.
## Descripción general de
Malware Protection for Backup es una función que le ayuda a detectar la presencia de malware en las instantáneas de EBS, las imágenes de EC2 (AMI) y los puntos de recuperación que pertenecen a los tipos de recursos de EBS, EC2 y S3. Puede iniciar un análisis de software malicioso bajo demanda a través de la GuardDuty consola o la API. Para ello, asigne una función de IAM que proporcione los permisos necesarios para el análisis, además de uno o dos recursos ARNs , según la categoría del análisis. Hay dos categorías de análisis posibles: escaneos completos y escaneos incrementales.
### Escaneo completo y escaneo incremental
En un análisis completo, la API aceptará el ARN de un recurso y analizará todos los archivos de ese recurso. Por otro lado, un escaneo incremental toma dos recursos ARNs, ambos pertenecientes al mismo recurso, y escanea los archivos modificados entre ellos. Como ejemplo, supongamos que tomamos una instantánea de un volumen de EBS. Llamémoslo *snapshot-1*. Si se realiza un escaneo completo de esta instantánea, GuardDuty escanea todos los archivos que contiene esta instantánea. Supongamos ahora que se han añadido algunos archivos al mismo volumen y se ha tomado una nueva instantánea. Vamos a llamarla *snapshot-2*. Como solo unos pocos archivos han cambiado entre la *snapshot-1 y la *snapshot-2**, se puede activar un escaneo incremental con el recurso de estas dos instantáneas. ARNs *En este caso, se hace referencia a la *snapshot-2* como el recurso y a la snapshot-1 como el recurso. `target`* `base` Verá que esta terminología se utiliza en el resto del documento. *Este escaneo incremental escaneará los archivos modificados entre la *snapshot-1 y la snapshot-2*.*
### Volver a escanear los archivos previamente infectados en un análisis incremental
Como parte de un análisis incremental, también GuardDuty volverá a analizar los archivos previamente infectados desde el análisis base durante un máximo de 365 días.
### Requisitos para un escaneo incremental
Se deben cumplir los siguientes requisitos GuardDuty para realizar un escaneo incremental. Si no se cumple alguno de estos requisitos, GuardDuty omitirá el escaneo.
+ El recurso base debe escanearse en los últimos 365 días y el resultado del escaneo debe estar en `COMPLETED` o`COMPLETED_WITH_ISSUES`.
+ El recurso base debe tener una fecha de creación anterior a la del recurso de destino.
+ Los recursos base y de destino deben tener el mismo tipo de cifrado en el caso de las instantáneas.
+ Los recursos base y de destino deben ser del mismo linaje.
+ En el caso de una instantánea de EBS y un punto de recuperación de EBS, esto significa que proceden del mismo volumen o de copias del mismo volumen, sin ningún cambio en el tipo de cifrado.
+ En el caso de un punto de recuperación de S3, el recurso base y el de destino ARNs deben crearse a partir del mismo depósito de S3 subyacente.
+ En caso afirmativo AMIs, se comparan pares de instantáneas entre la AMI base y la de destino para identificar las instantáneas para un escaneo incremental. Cada par de instantáneas debe cumplir las condiciones mencionadas anteriormente. Se omitirá cualquier instantánea de la AMI de destino que no tenga una instantánea coincidente correspondiente en la AMI base.
### Volver a escanear los recursos de respaldo escaneados anteriormente
Puede iniciar un nuevo análisis de malware bajo demanda en el mismo recurso transcurridos 10 minutos desde la hora de inicio del análisis de malware anterior. Si el nuevo análisis de malware se inicia dentro de los 10 minutos siguientes al inicio del anterior, tu solicitud generará el siguiente error y no se generará ningún identificador de análisis para esta solicitud. Los pasos para volver a analizar la instancia son los mismos que para iniciar un análisis de malware bajo demanda por primera vez.
## Se requiere el rol de IAM para el escaneo
Debe asignar una función de IAM para iniciar un escaneo completo o incremental. Esta función proporciona los permisos necesarios para realizar las operaciones de escaneo. [GuardDuty Protección contra malware para Backup: permisos de rol de IAM](malware-protection-backup-iam-permissions.md)proporciona la lista exacta de los permisos necesarios, junto con la política de confianza pertinente que se necesita para realizar el análisis.
## Revisión del estado y el resultado del análisis de los recursos
GuardDuty publica el evento resultante del escaneo en el bus de eventos EventBridge predeterminado de Amazon. GuardDuty utiliza la at-least-once entrega, lo que significa que puede recibir varios resultados de escaneo para el mismo objeto. Le recomendamos que diseñe sus aplicaciones para gestionar los resultados duplicados. Solo se le facturará una vez por cada objeto analizado.
Para obtener más información, consulte [Supervisión de los estados de los escaneos y de los resultados en Malware Protection for Backup](monitoring-malware-protection-backup-scans.md).
## Revisar los resultados generados
La revisión de los resultados depende de si utiliza o no Malware Protection for Backup with GuardDuty. Considere los siguientes escenarios:
**Uso de Malware Protection for Backup cuando el GuardDuty servicio está activado (ID del detector)**
Si el análisis de malware detecta un archivo potencialmente malicioso en un recurso de Backup escaneado, GuardDuty generará un hallazgo asociado. Puede ver los detalles del resultado y seguir los pasos recomendados para remediarlo potencialmente. Según la [frecuencia de tus hallazgos de exportación](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency), el hallazgo generado se exporta a un bucket de S3 y a un bus de EventBridge eventos de Amazon.
Para obtener información sobre el tipo de hallazgo que se generaría, consulte [Tipos de búsqueda de Malware Protection for Backup](findings-malware-protection-backup.md) Búsqueda de tipos de Malware Protection for Backup.
**Uso de Malware Protection for Backup como función independiente (sin ID de detector)**
GuardDuty no podrá generar resultados porque no hay un ID de detector asociado. Para conocer el estado del escaneo de su recurso de respaldo, puede ver el resultado del escaneo que GuardDuty se publica automáticamente en su bus de eventos predeterminado.
Para obtener información sobre el estado y el resultado del escaneo, consulte[Supervisión de los estados de los escaneos y de los resultados en Malware Protection for Backup](monitoring-malware-protection-backup-scans.md).
**nota**
Si también utiliza Malware Protection para S3, existe la posibilidad de que su archivo S3 se haya etiquetado anteriormente como NO\$1THREATS\$1FOUND y, sin embargo, el mismo archivo aparezca en la lista de amenazas del Punto de Recuperación de Backup al que pertenece ese objeto. Esto ocurre porque el servicio actualiza con frecuencia sus firmas de malware, lo que puede haber cambiado el estado del archivo. Tenga en cuenta que, en esos casos, GuardDuty no actualiza la etiqueta del archivo en el depósito de S3 original. La única forma de aplicar una etiqueta actualizada al archivo es volver a cargar el objeto en el depósito o utilizar la función de escaneo bajo demanda de S3.
# GuardDuty Protección contra malware para Backup: permisos de rol de IAM
## Se proporcionó un rol de cliente para el análisis de malware
GuardDuty Malware Protection espera que se asigne una función de cliente (función de escáner) al iniciar los escaneos en los recursos de Backup, es decir, instantáneas, AMI y EBS/EC2/S 3 puntos de recuperación. Esta función proporciona los permisos necesarios GuardDuty para realizar el escaneo en esos recursos específicos. La política de permisos y la política de confianza para este rol se encuentran en[Política de permisos y confianza para el rol](#malware-protection-backup-permissions-trust-policy). En la siguiente sección se describe por qué se requiere cada uno de estos permisos.
## Detalles sobre los permisos
+ `ModifySnapshotAttribute`- Permite acceder a las instantáneas no cifradas y cifradas con clave gestionada por el cliente mediante la cuenta del servicio de protección contra GuardDuty malware.
+ `CreateGrant`- Permite a GuardDuty Malware Protection crear y acceder a un volumen de EBS cifrado con clave gestionada por el cliente a partir de la instantánea cifrada con clave gestionada por el cliente a la que tiene acceso la cuenta de GuardDuty servicio.
+ `RetireGrant`- Permite que GuardDuty Malware Protection retire las concesiones que se crearon en la clave gestionada por el cliente para leer instantáneas cifradas
+ `ReEncryptTo`y `ReEncryptFrom` - Lo exige EBS para dar GuardDuty acceso a las instantáneas cifradas con claves administradas por el cliente y crear volúmenes cifrados a partir de ellas. Si bien los clientes pueden considerar ReEncryption la posibilidad de compartir una instantánea como una transición clave, las instantáneas permanecen inmutables desde el punto de vista del cliente una vez creadas.
+ `ListSnapshotBlocks`y `GetSnapshotBlock` - EBS Direct APIs se utilizan para acceder a los bloques de instantáneas de una instantánea cifrada con clave AWS gestionada. Esto se debe a que, de lo contrario, no se puede acceder a las instantáneas cifradas con clave AWS administrada desde varias cuentas.
+ `Decrypt`- Permite descifrar las instantáneas básicas cifradas con clave gestionada por el cliente cuando se descargan en la memoria mediante EBS Direct APIs como parte del escaneo incremental.
+ `ListChangedBlocks`- La API EBS Direct se utiliza en el escaneo incremental de instantáneas para obtener la lista de bloques modificados entre dos instantáneas.
+ `DescribeKey`- Permite que GuardDuty Malware Protection determine el ID clave de la clave AWS gestionada en la cuenta del cliente.
+ `DescribeImages`- Permite describir una AMI para obtener la lista de instantáneas que pertenecen a la AMI.
+ `DescribeRecoveryPoint`- Permite al servicio obtener los detalles del punto de recuperación y verificar el tipo de recurso del punto de recuperación.
+ `CreateBackupAccessPoint`,`DescribeBackupAccessPoint`, `DeleteBackupAccessPoint` - Permite que el servicio cree, describa y elimine el punto de acceso necesario para acceder a los puntos de recuperación.
+ `kms:Decrypt`- Permite que el servicio acceda a los objetos de un punto de recuperación S3 durante un escaneo del punto de recuperación S3.
## Asegurar el rol
El rol debe configurarse con una política de confianza que confíe en el director del servicio de protección contra GuardDuty malware. Esto garantiza que ningún otro responsable que no sea el GuardDuty servicio pueda asumir esta función. Además, le recomendamos que limite las políticas a recursos específicos en lugar de hacerlo`*`. Esto incluye los identificadores de instantáneas y los identificadores clave. De este modo, se asegurará de que el rol solo proporcione acceso a esos recursos específicos.
**importante**
Una configuración incorrecta podría provocar errores en el escaneo debido a la falta de permisos.
## Cómo utiliza GuardDuty Malware Protection las concesiones en AWS KMS
GuardDuty La protección contra el malware requiere [concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para usar las claves de KMS.
Al iniciar un análisis de una instantánea cifrada o de una AMI de EC2 compuesta por instantáneas cifradas, GuardDuty Malware Protection crea concesiones en su nombre mediante el envío de una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitud a AWS KMS. Estas concesiones dan GuardDuty acceso a una clave específica de su cuenta.
GuardDuty La protección contra malware requiere la autorización para utilizar la clave gestionada por el cliente en las siguientes operaciones internas:
+ Envíe [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)solicitudes AWS a para obtener detalles sobre la clave simétrica administrada por el cliente con la que se cifra el recurso enviado para el análisis de software malicioso.
+ Cree un volumen de EBS a partir de una instantánea cifrada mediante la [CreateVolume](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html)API y cifre el volumen con la misma clave.
+ Acceda a los bloques de instantáneas de la instantánea a través de la [GetSnapshotBlock](https://docs.aws.amazon.com/ebs/latest/APIReference/API_GetSnapshotBlock.html)API durante un escaneo incremental.
+ Envíe solicitudes de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a AWS KMS para descifrar las claves de datos cifrados, de modo que puedan usarse para leer los datos de la instantánea durante el escaneo.
Puede revocar la concesión creada o eliminar el acceso del servicio a la clave gestionada por el cliente en cualquier momento. Si lo haces, GuardDuty no podrás acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos.
## GuardDuty Contexto de cifrado y protección contra malware
Un [contexto de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos.
Al incluir un contexto de cifrado en una solicitud de cifrado de datos, AWS KMS; vincula el contexto de cifrado a los datos cifrados. Para descifrar los datos, debe incluir el mismo contexto de cifrado en la solicitud.
GuardDuty La protección contra malware utiliza uno de los dos contextos de cifrado.
**Contexto de cifrado 1:** La clave es`aws:guardduty:id`.
```
"encryptionContext": {
"aws:guardduty:id": "snap-11112222333344"
}
```
Este contexto de cifrado se utiliza con las operaciones de concesión: CreateGrant, Decrypt, GenerateDataKeyWithoutPlaintext, ReEncryptTo, RetireGrant, DescribeKey.
Se crea una concesión en el recurso actual con este contexto de cifrado y estas operaciones de concesión.
**Contexto de cifrado 2:** La clave es `aws:ebs:id`
```
"encryptionContext": {
"aws:ebs:id": "snap-11112222333344"
}
```
Este contexto de cifrado se utiliza con las operaciones de concesión: ReEncryptFrom, Decrypt, RetireGrant, DescribeKey.
Se crean tres subvenciones con estos contextos de cifrado y operaciones de concesión. Una en la instantánea de destino con la operación de `ReEncryptFrom` concesión. Una segunda en la instantánea de destino con `Decrypt, RetireGrant, DescribeKey` las operaciones. Y una tercera en la instantánea base con las mismas operaciones de subvención que la segunda subvención.
## Política de permisos y confianza para el rol
**Política de permisos**
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "CreateGrantPermissions",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"ForAnyValue:StringLike": {
"kms:EncryptionContext:aws:guardduty:id": "snap-*",
"kms:ViaService": [
"guardduty.*.amazonaws.com",
"backup.*.amazonaws.com"
]
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"CreateGrant",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant",
"DescribeKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Sid": "CreateGrantPermissionsForReEncryptAndDirectAPIs",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"ForAnyValue:StringLike": {
"kms:EncryptionContext:aws:ebs:id": "snap-*",
"kms:ViaService": [
"guardduty.*.amazonaws.com",
"backup.*.amazonaws.com"
]
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"ReEncryptTo",
"ReEncryptFrom",
"RetireGrant",
"DescribeKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "ShareSnapshotPermission",
"Effect": "Allow",
"Action": [
"ec2:ModifySnapshotAttribute"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*"
},
{
"Sid": "ShareSnapshotKMSPermission",
"Effect": "Allow",
"Action": [
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "DescribeKeyPermission",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "DescribeRecoveryPointPermission",
"Effect": "Allow",
"Action": [
"backup:DescribeRecoveryPoint"
],
"Resource": "*"
},
{
"Sid": "CreateBackupAccessPointPermissions",
"Effect" : "Allow",
"Action" : [
"backup:CreateBackupAccessPoint"
],
"Resource": "arn:aws:backup:*:*:recovery-point:*"
},
{
"Sid": "ReadAndDeleteBackupAccessPointPermissions",
"Effect" : "Allow",
"Action" : [
"backup:DescribeBackupAccessPoint",
"backup:DeleteBackupAccessPoint"
],
"Resource": "*"
},
{
"Sid": "KMSKeyPermissionsForInstantAccess",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
**Política de confianza**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
# **(Opcional) Comience a utilizar Malware Protection for Backup Indepenently (solo en consola)**
Utilice este paso opcional cuando desee empezar a utilizar la opción de detección de amenazas de Malware Protection for Backup, independientemente del GuardDuty estado de su AWS cuenta.
Si también quieres utilizar otros planes de protección dedicados GuardDuty, debes empezar con el GuardDuty servicio de Amazon. Para obtener información sobre los planes de GuardDuty protección, consulte [Características de GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty).
## **Pasos para empezar a usar Malware Protection for Backup**
1. Inicie sesión en la consola AWS de administración y abra la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Seleccione **Descubra las funciones de protección contra el malware** y haga clic en **Comenzar**.
1. Al hacer clic en **Comenzar**, puede elegir entre opciones, incluidas las funciones AWS de Backup y S3 Malware Protection.
![\[alt text not found\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/malware_protection_backup_new_feature_console.png)
1. Accederá a la página Malware Protection for Backup, donde podrá elegir entre **Iniciar un análisis bajo demanda** o **Ver análisis de malware**.
![\[alt text not found\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/images/malware_protection_backup_console.png)
# Inicio de un análisis bajo demanda en busca de Malware Protection for Backup
## Consola
1. Inicie sesión en la consola AWS de administración y abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Vaya a **Malware Protection for Backup** y haga clic en **Iniciar análisis bajo demanda**.
1. Elija entre el análisis completo y el análisis incremental.
1. Para iniciar un análisis completo, introduzca el ARN del recurso que se va a escanear.
1. Para un análisis incremental, introduzca el ARN del recurso de destino y el ARN del recurso de referencia.
1. Si el recurso que se está escaneando es un punto de recuperación, también debe introducir el nombre del AWS Backup Vault al que pertenece.
1. Acceso al servicio: debe elegir un rol que tenga los permisos necesarios para acceder al recurso y realizar el escaneo. Haga clic en **Ver política** para ver los permisos exactos necesarios para el rol, junto con la política de confianza requerida.
Puedes realizar cambios en la política en función de tus requisitos o limitar los permisos para el recurso exacto. Para obtener más información sobre cómo crear o actualizar un rol de IAM, consulte[GuardDuty Protección contra malware para Backup: permisos de rol de IAM](malware-protection-backup-iam-permissions.md).
Si tiene problemas con los permisos de los roles de IAM, consulte [Solución de problemas con los permisos de los roles de IAM](https://docs.aws.amazon.com/guardduty/latest/ug/troubleshoot-malware-protection-s3-iam-role-permissions-error.html).
## API/CLI
[StartMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StartMalwareScan.html)Invoque que acepte el `resourceArn` recurso para el que desea iniciar un análisis de malware bajo demanda. Si quieres iniciar un análisis incremental, pásalo. `baselineResourceArn` `incrementalScanDetails` Como parte de la configuración del escaneo, también debe proporcionar una función de IAM que tenga todos los permisos necesarios para iniciar el escaneo. Tras iniciar correctamente un análisis, `StartMalwareScan` devuelve un `scanId`. Invoque la `GetMalwareScan` API para supervisar el progreso del análisis iniciado y obtener los detalles del análisis una vez finalizado.
# Supervisión de los estados de los escaneos y de los resultados en Malware Protection for Backup
Tras iniciar un análisis de malware, GuardDuty proporciona algunos mecanismos mediante los que puede supervisar el estado y el resultado del análisis. En la siguiente tabla se muestran algunos de los valores asociados a los escaneos de malware.
| Categoría | Valores potenciales de |
| --- | --- |
| Estado del análisis | `RUNNING` `COMPLETED` `COMPLETED_WITH_ISSUES`, `FAILED` o `SKIPPED` |
| Categoría de escaneo | `FULL_SCAN` o `INCREMENTAL_SCAN` |
| Tipo de análisis | `GUARDDUTY_INITIATED`, `ON_DEMAND` o `BACKUP_INITIATED` |
| Estado del resultado del escaneo | `NO_THREATS_FOUND` o `THREATS_FOUND` |
\$1Tenga en cuenta que es posible que el estado del resultado del escaneo no esté presente si el escaneo no se completó. El estado del resultado del análisis de THREATS\$1FOUND indica que se ha GuardDuty detectado la presencia de malware.
En el caso de los puntos de recuperación de S3, COMPLETED\$1WITH\$1ISSUES indica que algunos archivos se omitieron o fallaron. En el caso de las AMI, COMPLETED\$1WITH\$1ISSUES indica que no se ha podido escanear al menos una instantánea. Consulte a continuación la lista de motivos omitidos.
Los escaneos también se pueden omitir por varios motivos. En la siguiente tabla se explican los motivos por los que se pueden omitir los escaneos:
| Motivo de omisión del escaneo | Motivo |
| --- | --- |
| ACCESS\$1DENIED | El rol del cliente no tiene los permisos necesarios para que el servicio realice el escaneo |
| RESOURCE\$1NOT\$1FOUND | El recurso que se intenta escanear no existe en la cuenta o se eliminó durante el escaneo |
| SNAPSHOT\$1SIZE\$1LIMIT\$1EXCEEDED | El tamaño de la instantánea es superior al que admite actualmente GuardDuty |
| INCREMENTAL\$1NO\$1DIFFERENCE | Los recursos especificados en la solicitud de escaneo incremental no tienen ninguna diferencia |
| RESOURCE\$1UNAVAILABLE | El recurso no está en el estado esperado. Si el escaneo es incremental, el punto de recuperación base no está en el estado DISPONIBLE o COMPLETADO |
| RECURSOS NO RELACIONADOS | En el caso de los escaneos incrementales, el recurso base y el actual no son del mismo linaje |
| BASE\$1RESOURCE\$1NOT\$1SCAN | En el caso de los escaneos incrementales, el recurso base no se escaneó previamente o no se encontró ningún escaneo completo |
| BASE\$1CREATED\$1AFTER\$1TARGET | En el caso de los escaneos incrementales, la fecha de creación del recurso base es superior a la fecha de creación del recurso actual |
| UNSUPPORTED\$1FOR\$1INCREMENTAL | El tipo de recurso solicitado no admite el análisis incremental |
| UNSUPPORTED\$1AMI | Las AMI públicas, las AMI con solo almacenamiento efímero y las AMI que no estén en un estado disponible no son aptas para el escaneo |
| UNSUPPORTED\$1SNAPSHOT | Las instantáneas almacenadas en frío no se pueden escanear |
| UNSUPPORTED\$1COMPOSITE\$1RP | El escaneo no es compatible con los tipos de recursos compuestos |
| UNSUPPORTED\$1PRODUCT\$1CODE\$1TYPE | El recurso solicitado contiene un código de producto de Amazon Marketplace que no admite el escaneo |
| AMI\$1SNAPSHOT\$1LIMIT\$1EXCEEDED | Las AMI no admiten el escaneo de más de 40 instantáneas |
| NO\$1EBS\$1VOLUMES\$1FOUND | No se encontraron mapeos de dispositivos de bloques de Ebs para el recurso solicitado |
| UNRELATED\$1RESOURCES | En el caso de los escaneos incrementales, el arn del recurso base es diferente del arn del recurso esperado |
| TODOS LOS ARCHIVOS OMITIDOS O FALLIDOS | Todos los archivos del escaneo se omitieron o fallaron |
Los resultados del escaneo tienen un período de retención de 90 días. Elija el método de acceso que prefiera para realizar un seguimiento del estado de su análisis de malware.
**Supervisión de los escaneos mediante la consola**
1. Abra la GuardDuty consola en [https://console.aws.amazon.com/guardduty/.](https://console.aws.amazon.com/guardduty/)
1. En el panel de navegación, elija **Análisis de malware**.
1. Puede filtrar los análisis de malware según las siguientes **Propiedades** disponibles en la *barra de criterios de filtro*.
+ **ID de escaneo**: identificador único asociado al escaneo de malware.
+ **ID de cuenta**: cuenta en la que se inició el análisis de malware.
+ **ARN de recurso**: nombre de recurso de Amazon (ARN) asociado al recurso de Amazon asociado al escaneo.
+ **Tipo de recurso**: el tipo de recurso asociado al escaneo, como la instancia EC2, la instantánea de EBS \$1 AMI de EC2, el punto de recuperación de EBS, el punto de recuperación de EC2 o el punto de recuperación de S3.
+ **Estado**: el estado del escaneo, por ejemplo, en ejecución, omitido, completado, completado con problemas o fallido.
+ **Tipo de análisis**: indica si se trata de un análisis de malware bajo demanda, GuardDuty iniciado o iniciado por una copia de seguridad.
**Supervisión de escaneos mediante la API/CLI**
+ Puede invocarlo ListMalwareScans para filtrar los escaneos de malware por`RESOURCE_ARN`,`SCAN_ID`,`ACCOUNT_ID`, `SCAN_TYPE GUARDDUTY_FINDING_ID``SCAN_STATUS`, `RESOURCE_TYPE` y. `SCAN_START_TIME` También puede invocarlo GetMalwareScan para recuperar metadatos más detallados de un escaneo proporcionando un identificador de escaneo como entrada. Los criterios `GUARDDUTY_FINDING_ID` de filtrado están disponibles cuando se inicia el`SCAN_TYPE`. GuardDuty
+ Puede cambiar *filter-criteria* el ejemplo del comando siguiente y filtrar de uno `CriterionKey` en uno. Las opciones para `CriterionKey` son `Resource_ARN``SCAN_ID`,`ACCOUNT_ID`,`SCAN_TYPE`, `GUARDDUTY_FINDING_ID``SCAN_STATUS`,`RESOURCE_TYPE`, y`SCAN_START_TIME`. Puede cambiar el *max-results* (hasta 50) y el*sort-criteria*. El `AttributeName` campo es obligatorio `sort-criteria` y debe estar configurado en`scanStartTime`. En el ejemplo siguiente, los valores de *red* son marcadores de posición. Sustitúyalos por los valores adecuados para la cuenta. Si usa los `CriterionKey` mismos que se muestran a continuación ListMalwareScans, asegúrese de reemplazar el ejemplo `EqualsValue` por el *resource-type* que desee filtrar.
```
aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
```
```
aws guardduty get-malware-scan --scan-id abc123
```
+ La respuesta al comando anterior ListMalwareScans devolverá hasta 25 escaneos con algunos detalles sobre los recursos afectados. La respuesta al comando for anterior GetMalwareScan devolverá un solo escaneo con metadatos detallados sobre el escaneo.
**Supervisar escaneos mediante EventBridge**
Amazon EventBridge es un servicio de bus de eventos sin servidor que facilita la conexión de sus aplicaciones con datos de diversas fuentes. EventBridge ofrece un flujo de datos en tiempo real desde sus propias aplicaciones, aplicaciones Software-as-a-Service (SaaS) y servicios de Amazon, y dirige esos datos a destinos como Lambda. Esto le permite monitorear los eventos que ocurren en los servicios y crear arquitecturas basadas en eventos. Para obtener más información, consulta la [Guía del EventBridge usuario de Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
GuardDuty publica EventBridge las notificaciones en el bus de eventos predeterminado una vez que se determina el estado del escaneo. Puedes configurar EventBridge reglas en tu cuenta para enviar eventos a otros servicios integrados con Amazon EventBridge. Se aplicará el EventBridge precio estándar. Para obtener más información, consulta los [ EventBridge precios de Amazon](https://aws.amazon.com/eventbridge/pricing/).
Muchos de los valores que se muestran a continuación son marcadores de posición para el ejemplo y variarán en función del escaneo.
**Eventos de resultados del análisis de malware**
Posibles valores de tipo de detalle para Backup:
+ «Resultado del escaneo instantáneo de EBS para protección contra GuardDuty malware»
+ «Resultado del escaneo de la AMI EC2 de GuardDuty Malware Protection»
+ «Resultado del escaneo del punto de recuperación S3 de GuardDuty Malware Protection»
+ «Resultado del escaneo del punto de recuperación de EBS con protección contra GuardDuty malware»
+ «Resultado del escaneo del punto de recuperación EC2 de GuardDuty Malware Protection»
**Ejemplo de patrón de eventos:**
```
{
"detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
"source": ["aws.guardduty"]
}
```
**Ejemplo de esquema de notificación para el escaneo de AMI de EC2 sin encontrar amenazas:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": null,
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"scanResultStatus": "NO_THREATS_FOUND",
"uniqueThreatCount": null
}
}
}
```
**Ejemplo de esquema de notificación para el escaneo de AMI de EC2 con amenazas encontradas:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": null,
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"scanResultStatus": "THREATS_FOUND",
"uniqueThreatCount": 1,
"threats": {
"name": "EICAR-Test-File (not a virus)",
"source": "AMAZON",
"count": 2,
"itemDetails": [{
"resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
"hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
"itemPath": "/eicar.txt",
"additionalInfo": {
"versionId": null,
"deviceName": "/dev/sdf"
}
}]
}
}
}
}
```
**Ejemplo de esquema de notificación para el escaneo de AMI de EC2 omitido:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": "UNSUPPORTED_AMI",
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"uniqueThreatCount": null,
"threats": null
}
}
}
```
# Cuotas de protección contra malware para Backup
**Protección contra malware para cuotas de Backup**
| Nombre de la cuota | AWS valor de cuota predeterminado | ¿Se puede ajustar? | Description (Descripción) |
| --- | --- | --- | --- |
| StartMalwareScan límite de TPS para todos los tipos de recursos | 10 | No | |
| Tamaño máximo de instantánea admitido | 2 TB | No | |
| Sistemas de archivos compatibles para escaneos de instantáneas y AMI | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/guardduty/latest/ug/malware-protection-backup-quotas.html) | No | |
| Número máximo de instantáneas en una AMI compatibles con el análisis de malware | 40 para un análisis completo. Si hay más de 40, solo GuardDuty escaneará 40 de todas las instantáneas. En el caso de un escaneo incremental, se omite el escaneo. | No | |
| Tamaño máximo de un objeto dentro de un punto de recuperación S3 | 100 GB | No | El tamaño máximo de un objeto S3 que GuardDuty se intentará escanear en busca de malware. Aunque esta cuota no se puede ajustar, si necesita escanear objetos más grandes, póngase en contacto con Support para determinar si GuardDuty puede aumentar la cuota para su caso de uso. |
| Bytes de archivo extraídos | 100 GB | No | La cantidad máxima de datos que GuardDuty se pueden extraer y analizar de un archivo comprimido. GuardDuty omitirá los archivos archivados que se extraigan a más de 100 GB. |
| Archivos extraídos | 10 000 | No | El número máximo de archivos que GuardDuty se pueden extraer y analizar en un archivo comprimido. Si el archivo contiene más de 10 000 archivos, GuardDuty tendrá que omitir el archivo archivado. Estos límites pueden aplicarse a los tipos de archivos compuestos, Los tipos de archivo incluyen, entre otros, mensajes de correo electrónico codificados con extensiones multipropósito de correo de Internet (MIME), archivos Python compilados (PYC), archivos de ayuda HTML compilados (CHM), todos los instaladores y documentos de OpenDocument formato (ODF). |
| Niveles máximos de profundidad de archivo | 5 | No | Los niveles máximos de archivos anidados que se pueden extraer. GuardDuty Si el archivo incluye archivos anidados por encima de este valor, GuardDuty omitirá esos archivos anidados. |