Memantau status pemindaian dan hasil dalam Perlindungan Malware untuk Backup

Setelah pemindaian malware dimulai, GuardDuty berikan beberapa mekanisme di mana Anda dapat memantau status dan hasil pemindaian. Tabel berikut memberikan beberapa nilai yang terkait dengan pemindaian malware.

Kategori	Nilai potensial
Status pemindaian	`RUNNING`,`COMPLETED`,`COMPLETED_WITH_ISSUES`,`FAILED`, atau `SKIPPED`
Kategori Pindai	`FULL_SCAN` atau `INCREMENTAL_SCAN`
Jenis pemindaian	`GUARDDUTY_INITIATED`, `ON_DEMAND` atau `BACKUP_INITIATED`
Status Hasil Pindai	`NO_THREATS_FOUND` atau `THREATS_FOUND`

*Perhatikan bahwa Status Hasil Pemindaian mungkin tidak ada jika pemindaian tidak selesai. Status Hasil Pemindaian THREATS_FOUND menunjukkan bahwa GuardDuty mendeteksi keberadaan malware.

Untuk Poin Pemulihan S3, COMPLETED_WITH_ISSUES menunjukkan bahwa beberapa file dilewati atau gagal. Untuk AMI, COMPLETED_WITH_ISSUES menunjukkan bahwa setidaknya 1 snapshot tidak dapat dipindai. Lihat di bawah untuk daftar alasan yang dilewati.

Pemindaian juga dapat dilewati karena berbagai alasan. Tabel di bawah ini menjelaskan alasan mengapa pemindaian dapat dilewati:

Scan Lewati Alasan	Alasan
ACCESS_DENIED	Peran Pelanggan tidak memiliki izin yang diperlukan untuk layanan untuk melakukan pemindaian
RESOURCE_NOT_FOUND	Sumber daya yang mencoba dipindai tidak ada di akun atau dihapus selama pemindaian
SNAPSHOT_SIZE_LIMIT_EXCEEDED	Ukuran snapshot lebih besar dari yang saat ini didukung oleh GuardDuty
INCREMENTAL_NO_DIFFERENCE	Sumber daya yang ditentukan dalam permintaan pemindaian tambahan tidak memiliki perbedaan
RESOURCE_UNAVAILABLE	Sumber daya tidak dalam keadaan yang diharapkan. Jika pemindaian bersifat inkremental, titik pemulihan dasar tidak dalam keadaan TERSEDIA atau SELESAI
UNRELATED_RESOURCES	Untuk pemindaian tambahan - basis dan sumber daya saat ini bukan dari garis keturunan yang sama
BASE_RESOURCE_NOT_SCANNED	Untuk pemindaian tambahan - sumber daya dasar sebelumnya tidak dipindai atau tidak ada pemindaian lengkap yang ditemukan
BASE_CREATED_AFTER_TARGET	Untuk pemindaian tambahan - tanggal pembuatan sumber daya dasar lebih besar dari tanggal pembuatan sumber daya saat ini
UNSUPPORTED_FOR_INCREMENTAL	Jenis sumber daya yang diminta tidak mendukung pemindaian tambahan
TIDAK DIDUKUNG_AMI	AMI publik, AMI dengan hanya penyimpanan sementara, dan AMI tidak dalam status tersedia tidak memenuhi syarat untuk pemindaian
TIDAK DIDUKUNG_SNAPSHOT	Snapshot penyimpanan dingin tidak memenuhi syarat untuk pemindaian
UNSUPPORTED_COMPOSITE_RP	Pemindaian tidak didukung untuk jenis sumber daya komposit
UNSUPPORTED_PRODUCT_CODE_TYPE	Sumber daya yang diminta berisi kode produk Amazon Marketplace yang tidak mendukung pemindaian
AMI_SNAPSHOT_LIMIT_EXCEEDED	AMI tidak mendukung pemindaian lebih dari 40 snapshot
NO_EBS_VOLUMES_FOUND	Tidak ada pemetaan perangkat blok Ebs yang ditemukan untuk sumber daya yang diminta
UNRELATED_RESOURCES	Untuk pemindaian tambahan - arn sumber daya dasar berbeda dari arn sumber daya yang diharapkan
ALL_FILES_SKIPPED_OR_FAILED	Semua file dalam pemindaian dilewati atau gagal

Hasil pemindaian memiliki periode retensi 90 hari. Pilih metode akses pilihan Anda untuk melacak status pemindaian malware Anda.

Memantau Pemindaian Menggunakan Konsol

Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.
Di panel navigasi, pilih Pemindaian malware.
Anda dapat memfilter pemindaian malware dengan Properti berikut yang tersedia di bilah pencarian filter.
- Scan ID — Pengidentifikasi unik yang terkait dengan pemindaian malware.
- ID Akun — Akun tempat pemindaian malware dimulai.
- Sumber Daya ARN - Nama Sumber Daya Amazon (ARN) yang terkait dengan sumber daya Amazon yang terkait dengan pemindaian.
- Jenis Sumber Daya — Jenis sumber daya yang terkait dengan pemindaian, seperti Instans EC2, Snapshot EBS | EC2 AMI, EBS Recovery Point, EC2 Recovery Point, atau S3 Recovery Point.
- Status — Status pemindaian pemindaian, seperti Berjalan, Dilewati, Selesai, Selesai dengan Masalah, atau Gagal.
- Jenis Pemindaian — Menunjukkan apakah ini adalah pemindaian malware On-Demand, GuardDuty -initiated, atau Backup-Inisiated.

Pemantauan Pemindaian menggunakan API/CLI

Anda dapat meminta ListMalwareScans untuk memfilter pemindaian malware denganRESOURCE_ARN,,SCAN_ID,ACCOUNT_ID,, SCAN_TYPE GUARDDUTY_FINDING_ID SCAN_STATUSRESOURCE_TYPE, dan. SCAN_START_TIME Anda juga dapat meminta GetMalwareScan untuk mengambil metadata yang lebih rinci dari pemindaian dengan memberikan scan-id sebagai input. Kriteria GUARDDUTY_FINDING_ID filter SCAN_TYPE tersedia saat GuardDuty dimulai.
Anda dapat mengubah contoh filter-criteria dalam perintah di bawah ini, dan dapat memfilter berdasarkan satu CriterionKey per satu. Pilihan untuk CriterionKey adalahResource_ARN,SCAN_ID,ACCOUNT_ID,SCAN_TYPE, GUARDDUTY_FINDING_IDSCAN_STATUS,RESOURCE_TYPE, danSCAN_START_TIME. Anda dapat mengubah max-results (hingga 50) dansort-criteria. AttributeNameBidang ini wajib untuk sort-criteria dan harus diatur kescanStartTime. Dalam contoh berikut, nilai-nilai di red adalah placeholder. Ganti dengan nilai yang sesuai untuk akun Anda. Jika Anda menggunakan yang sama CriterionKey seperti di bawah ini untuk ListMalwareScans, pastikan untuk mengganti contoh EqualsValue dengan yang ingin resource-type Anda filter.
```
aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
```
```
aws guardduty get-malware-scan --scan-id abc123
```
Respons untuk perintah di atas untuk ListMalwareScans akan mengembalikan hingga 25 pemindaian dengan beberapa detail tentang sumber daya yang terpengaruh. Respons untuk perintah di atas untuk GetMalwareScan akan mengembalikan pemindaian tunggal dengan metadata rinci tentang pemindaian.

Pemantauan Pemindaian menggunakan EventBridge

Amazon EventBridge adalah layanan bus acara tanpa server yang memudahkan untuk menghubungkan aplikasi Anda dengan data dari berbagai sumber. EventBridge mengirimkan aliran data real-time dari aplikasi Anda sendiri, aplikasi Software-as-a-Service (SaaS), dan layanan Amazon serta merutekan data tersebut ke target seperti Lambda. Hal ini memungkinkan Anda memantau kejadian yang terjadi dalam layanan, dan membangun arsitektur yang didorong kejadian. Untuk informasi selengkapnya, lihat Panduan EventBridge Pengguna Amazon.

GuardDuty menerbitkan EventBridge pemberitahuan ke bus acara default setelah status pemindaian ditentukan. Anda dapat mengatur EventBridge aturan di akun Anda untuk mengirim acara ke layanan lain yang terintegrasi dengan Amazon EventBridge. EventBridge Harga standar akan berlaku. Untuk informasi selengkapnya, lihat EventBridge harga Amazon.

Banyak nilai yang ditunjukkan di bawah ini adalah placeholder untuk contoh dan akan bervariasi tergantung pada pemindaian.

Peristiwa Hasil Pemindaian Malware

Nilai tipe detail potensial untuk Backup:

“Perlindungan GuardDuty Malware Hasil Pemindaian Snapshot EBS”
“Hasil Pemindaian AMI EC2 Perlindungan GuardDuty Malware”
“Hasil Pemindaian Titik Pemulihan S3 Perlindungan GuardDuty Malware”
“Perlindungan GuardDuty Malware Hasil Pemindaian Titik Pemulihan EBS”
“Hasil Pemindaian Titik Pemulihan EC2 Perlindungan GuardDuty Malware”

Contoh Pola Acara:


{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

Contoh Skema Pemberitahuan untuk Pemindaian AMI EC2 tanpa Ancaman Ditemukan:


{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}

Tampilkan lebih banyak

Tampilkan lebih sedikit

Contoh Skema Pemberitahuan untuk Pemindaian AMI EC2 dengan Ancaman Ditemukan:


{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}

Tampilkan lebih banyak

Tampilkan lebih sedikit

Contoh Skema Pemberitahuan untuk Pemindaian AMI EC2 yang Dilewati:


{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}

Tampilkan lebih banyak

Tampilkan lebih sedikit

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memulai pemindaian sesuai permintaan

Perlindungan Malware untuk Kuota Cadangan