Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configure la retención de instantáneas y la cobertura de análisis de EC2
<a name="malware-protection-customizations"></a>

En esta sección, se explica cómo personalizar las opciones de análisis de malware para las instancias de Amazon EC2. Estas personalizaciones se aplican tanto a los escaneos de malware bajo demanda como a los iniciados por. GuardDuty Se puede hacer lo siguiente:
+ Habilitar la retención de instantáneas: si se habilita antes de un escaneo, GuardDuty retendrá la instantánea de Amazon EBS que GuardDuty se detectó como maliciosa.
+ Elija qué instancias de Amazon EC2 desea analizar: utilice etiquetas para incluir o excluir instancias de Amazon EC2 específicas de los análisis de malware.

## Retención de instantáneas
<a name="mp-snapshots-retention"></a>

GuardDuty le ofrece la opción de conservar las instantáneas de sus volúmenes de EBS en su cuenta. AWS La configuración de retención de instantáneas está desactivada de manera predeterminada. Las instantáneas solo se retendrán si ha activado esta configuración antes de que se inicie el análisis.

Cuando se inicia el escaneo, GuardDuty genera las réplicas de los volúmenes de EBS en función de las instantáneas de los volúmenes de EBS. Cuando se complete el análisis y se haya activado la configuración de conservación de instantáneas en su cuenta, las instantáneas de sus volúmenes de EBS solo se retendrán cuando se detecte malware y se genere [Tipos de resultados de la protección contra malware para EC2](findings-malware-protection.md). Si no se encuentra ningún malware, borra GuardDuty automáticamente las instantáneas de los volúmenes de EBS, independientemente de la configuración de las instantáneas, a menos que se haya activado el [bloqueo de instantáneas de Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/lock-snapshot.html) en las instantáneas creadas.

### Costo de uso de instantáneas
<a name="mp-snapshots-usage-cost"></a>

Durante el análisis de malware, a medida que se GuardDuty crean las instantáneas de los volúmenes de Amazon EBS, hay un coste de uso asociado a este paso. Si activa la configuración de retención de instantáneas en su cuenta, cuando se detecte malware y se conserven las instantáneas, incurrirá en costos de uso por el mismo. Para obtener información sobre el costo de las instantáneas y su retención, consulte [Precios de Amazon EBS](https://aws.amazon.com//ebs/pricing/). 

Como cuenta de GuardDuty administrador delegado, solo usted puede realizar esta actualización en nombre de las cuentas de los miembros de la organización. Sin embargo, si una cuenta de miembro se [administra mediante el método de invitación](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html), esta podrá realizar este cambio por su cuenta. Para obtener más información, consulte [Relaciones entre la cuenta de administrador y la cuenta de miembro](administrator_member_relationships.md).

Elija su método de acceso preferido para activar la configuración de retención de instantáneas.

------
#### [ Console ]

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. En el panel de navegación, en **Planes de protección**, elija **Protección contra malware para EC2**.

1. Elija **Configuración general** en la sección inferior de la consola. Para retener las instantáneas, active **Retención de instantáneas**.

------
#### [ API/CLI ]

Ejecute [UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html)para actualizar la configuración actual de retención de instantáneas. 

Como alternativa, puede ejecutar el siguiente AWS CLI comando para conservar automáticamente las instantáneas cuando GuardDuty Malware Protection for EC2 genere hallazgos.

Asegúrese de sustituirlo por *detector-id* el suyo válido. `detectorId`

Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```

Si desea desactivar la retención de instantáneas, sustituya `RETENTION_WITH_FINDING` por `NO_RETENTION`. 

------

## Opciones de análisis con etiquetas definidas por el usuario
<a name="mp-scan-options"></a>

Al utilizar el análisis GuardDuty de malware iniciado, también puede especificar etiquetas para incluir o excluir las instancias de Amazon EC2 y los volúmenes de Amazon EBS del proceso de análisis y detección de amenazas. Puede personalizar cada análisis GuardDuty de malware iniciado editando las etiquetas de la lista de etiquetas de inclusión o exclusión. Cada lista puede incluir hasta 50 etiquetas.

Si aún no tiene etiquetas definidas por el usuario asociadas a los recursos de EC2, consulte [Etiquetar los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*. 

**nota**  
El análisis de malware bajo demanda no admite opciones de análisis con etiquetas definidas por el usuario. Es compatible con [Etiqueta `GuardDutyExcluded` global](#mp-scan-options-gdu-excluded-tag).

### Exclusión de las instancias de EC2 del análisis de malware
<a name="exclude-ec2-instances-malware-protection"></a>

Si desea excluir cualquier instancia de Amazon EC2 o volumen de Amazon EBS durante el proceso de digitalización, puede configurar la `GuardDutyExcluded` etiqueta `true` para cualquier instancia de Amazon EC2 o volumen de Amazon EBS y no la escaneará. GuardDuty Para obtener más información acerca de las etiquetas de `GuardDutyExcluded`, consulte [Permisos de rol vinculado al servicio para Malware Protection for EC2](slr-permissions-malware-protection.md). También puede agregar una etiqueta de instancia de Amazon EC2 a una lista de exclusión. Si agrega varias etiquetas a la lista de exclusión de etiquetas, cualquier instancia de Amazon EC2 que contenga al menos una de estas etiquetas se excluirá del proceso de análisis de malware.

Como cuenta de GuardDuty administrador delegado, solo usted puede realizar esta actualización en nombre de las cuentas de los miembros de la organización. Sin embargo, si una cuenta de miembro se [administra mediante el método de invitación](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html), esta podrá realizar este cambio por su cuenta. Para obtener más información, consulte [Relaciones entre la cuenta de administrador y la cuenta de miembro](administrator_member_relationships.md).

Elija el método de acceso que prefiera para agregar una etiqueta asociada a una instancia de Amazon EC2 a una lista de exclusión.

------
#### [ Console ]

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. En el panel de navegación, en **Planes de protección**, elija **Malware Protection for EC2**.

1. Amplíe la sección **Etiquetas de inclusión/exclusión**. Elija **Add tags** (Añadir etiquetas).

1. Elija **Etiquetas de exclusión** y, a continuación, elija **Confirmar**.

1. Especifique el par **Key**-**Value** de la etiqueta que desee excluir. Es opcional proporcionar el **Value**. Después de agregar todas las etiquetas, elija **Guardar**.
**importante**  
Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Restricciones de etiquetado](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions) en la *Guía del usuario de Amazon EC2*.

   Si no se proporciona un valor para una clave y la instancia de EC2 está etiquetada con la clave especificada, esta instancia de EC2 se excluirá del proceso de análisis GuardDuty de software malicioso iniciado, independientemente del valor asignado a la etiqueta.

------
#### [ API/CLI ]

Se ejecuta [UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html)excluyendo una instancia EC2 o una carga de trabajo de contenedor del proceso de digitalización. 

El siguiente comando de AWS CLI ejemplo agrega una nueva etiqueta a la lista de etiquetas de exclusión. Sustituya el *detector-id* de ejemplo por su propio `detectorId` válido.

`MapEquals` es una lista de pares `Key`-`Value`.

Para encontrar la `detectorId` correspondiente a tu cuenta y región actual, consulta la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecuta la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```

**importante**  
Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Restricciones de etiquetado](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions) en la *Guía del usuario de Amazon EC2*.

------

### Inclusión de las instancias de EC2 en el análisis de malware
<a name="include-ec2-instances-malware-protection"></a>

Si desea analizar una instancia de EC2, agregue su etiqueta a la lista de inclusión. Al agregar una etiqueta a una lista de inclusión de etiquetas, las instancias de EC2 que no contengan ninguna de las etiquetas agregadas se omiten del análisis de malware. Si agrega varias etiquetas a la lista de inclusión de etiquetas, se incluirá en el análisis de malware una instancia de EC2 que contenga al menos una de esas etiquetas. A veces, es posible que se omita una instancia de EC2 durante el proceso de análisis por otros motivos. Para obtener más información, consulte [Motivos para omitir un recurso durante el análisis de malware](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons). 

Como cuenta de GuardDuty administrador delegado, solo usted puede realizar esta actualización en nombre de las cuentas de los miembros de la organización. Sin embargo, si una cuenta de miembro se [administra mediante el método de invitación](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html), esta podrá realizar este cambio por su cuenta. Para obtener más información, consulte [Relaciones entre la cuenta de administrador y la cuenta de miembro](administrator_member_relationships.md).

Elija el método de acceso que prefiera para agregar una etiqueta asociada a una instancia de EC2 a una lista de inclusión.

------
#### [ Console ]

1. Abra la GuardDuty consola en. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)

1. En el panel de navegación, en **Planes de protección**, elija **Malware Protection for EC2**.

1. Amplíe la sección **Etiquetas de inclusión/exclusión**. Elija **Add tags** (Añadir etiquetas).

1. Elija **Etiquetas de inclusión** y, a continuación, elija **Confirmar**. 

1. Elija **Agregar nueva etiqueta de inclusión** y especifique el par de **Key** y **Value** de la etiqueta que desee incluir. Es opcional proporcionar el **Value**.

   Una vez que haya agregado todas las etiquetas de inclusión, elija **Guardar**.

   Si no se proporciona un valor para una clave y se etiqueta una instancia de EC2 con la clave especificada, la instancia de EC2 se incluirá en el proceso de análisis de protección contra malware para EC2, independientemente del valor asignado a la etiqueta.

------
#### [ API/CLI ]
+ Ejecútelo [UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html)para incluir una instancia EC2 o una carga de trabajo de contenedor en el proceso de digitalización.

  El siguiente comando de AWS CLI ejemplo agrega una nueva etiqueta a la lista de etiquetas de inclusión. Asegúrese de sustituir el ejemplo *detector-id* por el suyo válido`detectorId`. Sustituya el ejemplo *TestKey* y *TestValue* por el `Value` par `Key` y de la etiqueta asociada a su recurso de EC2.

  `MapEquals` es una lista de pares `Key`-`Value`.

  Para encontrar la `detectorId` correspondiente a su cuenta y región actual, consulte la página de **configuración** de la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)consola o ejecute la [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html)API.

  ```
  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
  ```
**importante**  
Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Restricciones de etiquetado](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions) en la *Guía del usuario de Amazon EC2*.

------

**nota**  
La detección de una nueva etiqueta puede tardar GuardDuty hasta 5 minutos.

En cualquier momento, puede elegir entre **etiquetas de inclusión** o **etiquetas de exclusión**, pero no ambas. Si quiere cambiar de una etiqueta a otra, selecciónela en el menú desplegable cuando agregue nuevas etiquetas y **confirme** su selección. Esta acción borra todas las etiquetas actuales.

## Etiqueta `GuardDutyExcluded` global
<a name="mp-scan-options-gdu-excluded-tag"></a>

GuardDuty utiliza una clave de etiqueta global`GuardDutyExcluded`, que puede añadir a sus recursos de Amazon EC2 y establecer el valor de la etiqueta. `true` Este recurso de Amazon EC2 que tiene este par de clave y valor de etiqueta se excluirá del análisis de malware. Ambos tipos de análisis (análisis GuardDuty de malware iniciado y análisis de malware a pedido) admiten la etiqueta global. Si inicia un análisis de malware bajo demanda en Amazon EC2, se generará un ID de análisis. Sin embargo, se omitirá el análisis con un motivo `EXCLUDED_BY_SCAN_SETTINGS`. Para obtener más información, consulte [Motivos para omitir un recurso durante el análisis de malware](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons).