Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# GuardDuty Protezione da malware per il AWS backup
**Topics**
+ [Panoramica di](#malware-protection-backup-overview)
+ [Come funziona Malware Protection for Backup?](malware-protection-backup-how-it-works.md)
+ [GuardDuty Protezione da malware per il backup: autorizzazioni IAM Role](malware-protection-backup-iam-permissions.md)
+ [**(Facoltativo) Inizia a usare Malware Protection for Backup Independently (solo console)**](malware-protection-backup-get-started-independent.md)
+ [Avvio di una scansione su richiesta per la protezione da malware per il backup](malware-protection-backup-start-on-demand-scan.md)
+ [Monitoraggio degli stati e dei risultati delle scansioni in Malware Protection for Backup](monitoring-malware-protection-backup-scans.md)
+ [Quote per la protezione da malware per il backup](malware-protection-backup-quotas.md)
## Panoramica di
Malware Protection for Backup ti aiuta a rilevare la potenziale presenza di malware nei dati di backup mediante la scansione di risorse AWS protette da backup come istantanee di Amazon EBS, Amazon EC2 AMIs e punti di ripristino Amazon S3. Quando AWS Backup crea o aggiorna una risorsa di backup protetta, GuardDuty può eseguire una scansione antimalware su tale backup per identificare contenuti potenzialmente dannosi prima che vengano ripristinati nell'ambiente.
**Come utilizzare Malware Protection for Backup**
Puoi utilizzare questa funzionalità in due modalità, a seconda che GuardDuty sia abilitata nel tuo account:
1. Utilizzo di Malware Protection for Backup con GuardDuty abilitato
Quando GuardDuty è abilitato in una regione, AWS Backup integra la protezione da malware con il flusso di lavoro dei GuardDuty risultati. I risultati delle scansioni antimalware vengono visualizzati nei GuardDuty risultati oltre che in Amazon EventBridge e Amazon CloudWatch.
1. Utilizzo di Malware Protection for Backup senza abilitare GuardDuty
È possibile utilizzare Malware Protection for Backup in modo indipendente, senza abilitare il GuardDuty servizio completo. In questa modalità, i risultati della scansione rimangono completamente disponibili tramite EventBridge e CloudWatch.
**Considerazioni sull'utilizzo indipendente di Malware Protection for Backup**
Quando si utilizza la funzionalità senza abilitare GuardDuty:
+ La configurazione del piano di backup è gestita interamente in AWS Backup.
GuardDuty non fornisce controlli per la selezione dei piani di backup, degli archivi o dei tipi di risorse. Tutta l'abilitazione, la pianificazione e la configurazione delle policy rimangono in Backup. AWS
+ GuardDuty i risultati non vengono generati.
I risultati richiedono un ID del rilevatore, che viene creato solo quando GuardDuty è abilitato. Quando si utilizza Malware Protection in modo indipendente, i risultati della scansione vengono visualizzati esclusivamente attraverso EventBridge eventi e CloudWatch metriche.
+ È comunque possibile avviare scansioni su richiesta dalla console. GuardDuty
Anche quando non GuardDuty è abilitata, la GuardDuty console fornisce un flusso di lavoro per avviare una scansione antimalware su richiesta per i tipi di risorse di backup supportati. Ciò consente ai clienti di utilizzare un' GuardDuty interfaccia familiare senza richiedere il GuardDuty servizio completo.
+ I non GuardDuty clienti possono accedere ai flussi di lavoro di avvio della scansione.
I punti di accesso alla scansione su richiesta sono disponibili per tutti i clienti che utilizzano Malware Protection for Backup, indipendentemente dal fatto che nell'account sia presente un GuardDuty rilevatore.
+ Il comportamento e la copertura della scansione rimangono identici.
Indipendentemente dal fatto che GuardDuty sia abilitata o meno, la funzionalità analizza gli stessi tipi di risorse di AWS Backup con lo stesso motore di rilevamento malware. L'unica differenza è dove vengono pubblicati i risultati.
Questo modello consente ai clienti di adottare la scansione antimalware per i backup senza richiedere le più ampie funzionalità GuardDuty di rilevamento delle minacce, pur fornendo un flusso di lavoro opzionale per l'avvio e la GuardDuty visualizzazione delle operazioni di scansione.
**Come funziona la protezione da malware per il backup**
Malware Protection for Backup è in grado di eseguire la scansione delle seguenti risorse protette da AWS backup:
+ Amazon EBS snapshots
+ Amazon EC2 AMIs
+ Punti di ripristino Amazon S3
+ [Vault bloccati (immutabili) (punti di ripristino EBS/EC2) che utilizzano Backup AWS Vault Lock nelle regioni supportate](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-region)
*Scansione incrementale*
AWS Backup acquisisce le modifiche incrementali per molti tipi di risorse. GuardDuty è in grado di scansionare solo i blocchi o gli oggetti nuovi o modificati al momento della creazione o dell'aggiornamento di un backup, migliorando le prestazioni e riducendo il sovraccarico di scansione e garantendo al contempo una copertura completa nel tempo.
*Scansione su richiesta*
È possibile avviare una scansione su qualsiasi risorsa di backup supportata in qualsiasi momento, direttamente da AWS Backup o dalla console. GuardDuty I casi d'uso più comuni includono la verifica di un backup prima del ripristino, il ricontrollo dei dati più vecchi dopo la pubblicazione di nuove firme di minaccia o l'esecuzione di scansioni periodiche di conformità.
**Nota**
La protezione da malware per il backup può essere abilitata solo per le risorse di backup nella stessa regione.
GuardDuty esegue la scansione di una copia di sola lettura del backup; non modifica il contenuto del backup.
La scansione funziona sia per gli archivi standard che per gli archivi bloccati (immutabili).
# Come funziona Malware Protection for Backup?
Questa sezione descrive i componenti di Malware Protection for Backup, come funziona e come esaminare lo stato e i risultati della scansione del malware.
## Panoramica di
Malware Protection for Backup è una funzionalità che consente di rilevare la presenza di malware su istantanee EBS, immagini EC2 (AMI) e punti di ripristino appartenenti ai tipi di risorse EBS, EC2 e S3. Puoi avviare una scansione antimalware su richiesta tramite la GuardDuty console o l'API trasferendo un ruolo IAM che fornisce le autorizzazioni necessarie per la scansione, insieme a una o due risorse a seconda della categoria di scansione. ARNs Sono possibili due categorie di scansione: scansioni complete e scansioni incrementali.
### Scansione completa e scansione incrementale
Una scansione completa consente all'API di accettare una risorsa ARN e di scansionare tutti i file all'interno di tale risorsa. Una scansione incrementale invece prende due risorse ARNs, entrambe appartenenti alla stessa risorsa, e analizza i file modificati tra di loro. Ad esempio, supponiamo di scattare un'istantanea di un volume EBS. *Chiamiamolo snapshot-1.* Se viene eseguita una scansione completa su questa istantanea, GuardDuty analizza tutti i file contenuti in questa istantanea. Supponiamo ora che alcuni file siano stati aggiunti allo stesso volume e che venga scattata una nuova istantanea. Chiamiamolo *snapshot-2*. Poiché sono stati modificati solo pochi file tra *snapshot-1 e *snapshot-2**, è possibile attivare una scansione incrementale con la risorsa di queste due istantanee. ARNs *In questo caso *snapshot-2 viene definita risorsa e snapshot-1* viene definita risorsa. `target`* `base` Vedrete questa terminologia usata nel resto del documento. *Questa scansione incrementale analizzerà i file modificati tra *snapshot-1 e snapshot-2*.*
### Nuova scansione di file precedentemente infetti in una scansione incrementale
Come parte di una scansione incrementale, GuardDuty eseguirà anche una nuova scansione dei file precedentemente infetti dalla scansione di base per un massimo di 365 giorni.
### Requisiti per una scansione incrementale
È necessario soddisfare i seguenti requisiti per GuardDuty eseguire una scansione incrementale. Se uno di questi requisiti non viene soddisfatto, GuardDuty salterà la scansione.
+ La risorsa di base deve essere analizzata negli ultimi 365 giorni e il risultato della scansione deve essere in `COMPLETED` o. `COMPLETED_WITH_ISSUES`
+ La risorsa di base deve avere una data di creazione precedente a quella della risorsa di destinazione.
+ Le risorse di base e di destinazione devono avere lo stesso tipo di crittografia in caso di istantanee.
+ Le risorse di base e di destinazione devono appartenere allo stesso lignaggio.
+ Per uno snapshot EBS e un punto di ripristino EBS, ciò significa che provengono dallo stesso volume o da copie dello stesso volume, senza alcuna modifica del tipo di crittografia.
+ Per un punto di ripristino S3, la risorsa di base e quella di destinazione ARNs devono essere create dallo stesso bucket S3 sottostante.
+ In caso di AMIs, vengono confrontate coppie di istantanee tra l'AMI di base e quella di destinazione per identificare le istantanee per una scansione incrementale. Ogni coppia di istantanee deve soddisfare le condizioni sopra menzionate. Qualsiasi istantanea all'interno dell'AMI di destinazione che non ha un'istantanea corrispondente nell'AMI di base verrà ignorata.
### Nuova scansione delle risorse di backup precedentemente scansionate
È possibile avviare una nuova scansione antimalware su richiesta sulla stessa risorsa dopo 10 minuti dall'ora di inizio della scansione antimalware precedente. Se la nuova scansione antimalware viene avviata entro 10 minuti dall'avvio della scansione antimalware precedente, la richiesta genererà il seguente errore e non verrà generato alcun ID di scansione per questa richiesta. I passaggi per ripetere la scansione dell'istanza rimangono gli stessi dell'avvio di una scansione antimalware su richiesta per la prima volta.
## Ruolo IAM richiesto per la scansione
È necessario assegnare un ruolo IAM per avviare una scansione completa o incrementale. Questo ruolo fornisce le autorizzazioni necessarie per eseguire le operazioni di scansione. [GuardDuty Protezione da malware per il backup: autorizzazioni IAM Role](malware-protection-backup-iam-permissions.md)fornisce l'elenco esatto delle autorizzazioni richieste, insieme alla politica di attendibilità pertinente necessaria per eseguire la scansione.
## Revisione dello stato e dei risultati della scansione delle risorse
GuardDuty pubblica l'evento del risultato della scansione sul bus eventi EventBridge predefinito di Amazon. GuardDuty utilizza at-least-once la consegna, il che significa che potresti ricevere più risultati di scansione per lo stesso oggetto. Consigliamo di progettare le applicazioni in modo da gestire risultati duplicati. Ti viene addebitata una sola volta per ogni oggetto scansionato.
Per ulteriori informazioni, consulta [Monitoraggio degli stati e dei risultati delle scansioni in Malware Protection for Backup](monitoring-malware-protection-backup-scans.md).
## Revisione dei risultati generati
La revisione dei risultati dipende dal fatto che si stia utilizzando o meno Malware Protection for Backup con GuardDuty. Considerare i seguenti scenari:
**Utilizzo di Malware Protection for Backup quando il GuardDuty servizio è abilitato (ID del rilevatore)**
Se la scansione antimalware rileva un file potenzialmente dannoso in una risorsa di Backup scansionata, GuardDuty genererà un risultato associato. È possibile visualizzare i dettagli del risultato e utilizzare i passaggi consigliati per correggere potenzialmente il risultato. In base alla [frequenza dei risultati delle esportazioni](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency), i risultati generati vengono esportati in un bucket S3 e in un bus di eventi Amazon EventBridge .
Per informazioni sul tipo di risultato che verrebbe generato, vedere [Tipi di ricerca di Malware Protection for Backup](findings-malware-protection-backup.md) Ricerca dei tipi per Malware Protection for Backup.
**Utilizzo di Malware Protection for Backup come funzionalità indipendente (nessun ID del rilevatore)**
GuardDuty non sarà in grado di generare risultati perché non esiste un ID del rilevatore associato. Per conoscere lo stato della scansione della risorsa di backup, è possibile visualizzare il risultato della scansione che GuardDuty viene pubblicato automaticamente sul bus degli eventi predefinito.
Per informazioni sullo stato e sui risultati della scansione, vedere[Monitoraggio degli stati e dei risultati delle scansioni in Malware Protection for Backup](monitoring-malware-protection-backup-scans.md).
**Nota**
Se utilizzi anche Malware Protection for S3, esiste la possibilità che il tuo file S3 sia stato precedentemente etichettato come NO\$1THREATS\$1FOUND e tuttavia lo stesso file possa apparire nell'elenco delle minacce per il Backup Recovery Point a cui appartiene l'oggetto. Ciò accade poiché il servizio aggiorna frequentemente le firme relative ai malware, il che potrebbe aver modificato lo stato del file. Tieni presente che in questi casi GuardDuty non torna indietro e aggiorna il tag sul file nel bucket S3 originale. L'unico modo per applicare un tag aggiornato al file è ricaricare l'oggetto nel bucket o utilizzare la funzione di scansione su richiesta per S3.
# GuardDuty Protezione da malware per il backup: autorizzazioni IAM Role
## Ruolo del cliente fornito per la scansione del malware
GuardDuty Malware Protection prevede che venga fornito un ruolo al cliente (ruolo scanner) quando vengono avviate le scansioni sulle risorse di Backup, vale a dire istantanee, AMI e 3 punti di ripristino. EBS/EC2/S Questo ruolo fornisce le autorizzazioni necessarie GuardDuty per eseguire la scansione su quelle risorse specifiche. La politica delle autorizzazioni e la politica di fiducia per questo ruolo sono disponibili in. [Autorizzazioni e politica di fiducia per il ruolo](#malware-protection-backup-permissions-trust-policy) La sezione seguente descrive il motivo per cui ciascuna di queste autorizzazioni è richiesta.
## Dettagli sulle autorizzazioni
+ `ModifySnapshotAttribute`- Consente l'accesso alle istantanee crittografate non crittografate e gestite dal cliente all'account del servizio GuardDuty Malware Protection.
+ `CreateGrant`- Consente a GuardDuty Malware Protection di creare e accedere a un volume EBS crittografato con chiave gestita dal cliente a partire dall'istantanea crittografata con chiave gestita dal cliente a cui l'account di GuardDuty servizio ha accesso.
+ `RetireGrant`- Consente a GuardDuty Malware Protection di ritirare le sovvenzioni create sulla Customer Managed Key per la lettura di istantanee crittografate
+ `ReEncryptTo`e `ReEncryptFrom` - Richiesto da EBS per GuardDuty consentire l'accesso alle istantanee crittografate con chiavi gestite dal cliente e per creare volumi crittografati a partire da esse. Sebbene i clienti possano considerare ReEncryption un'istantanea durante la condivisione come una transizione fondamentale, le istantanee rimangono immutabili dal punto di vista del cliente una volta create.
+ `ListSnapshotBlocks`e `GetSnapshotBlock` - EBS Direct APIs vengono utilizzati per accedere ai blocchi di snapshot per un'istantanea crittografata con Managed Key. AWS Ciò avviene perché altrimenti non è possibile accedere alle istantanee crittografate con AWS Managed Key su più account.
+ `Decrypt`- Consente di decrittografare le istantanee di base crittografate con chiave gestita dal cliente quando vengono scaricate in memoria utilizzando EBS Direct APIs come parte della scansione incrementale.
+ `ListChangedBlocks`- L'API EBS Direct utilizzata nella scansione incrementale delle istantanee per ottenere l'elenco dei blocchi modificati tra due istantanee.
+ `DescribeKey`- Consente a GuardDuty Malware Protection di determinare il KeyID della chiave AWS gestita nell'account del cliente.
+ `DescribeImages`- Consente di descrivere un AMI per ottenere l'elenco delle istantanee appartenenti all'AMI.
+ `DescribeRecoveryPoint`- Consente al servizio di recuperare i dettagli del punto di ripristino e di verificare il tipo di risorsa per il punto di ripristino.
+ `CreateBackupAccessPoint`,`DescribeBackupAccessPoint`, `DeleteBackupAccessPoint` - Consente al servizio di creare, descrivere ed eliminare l'Access Point necessario per accedere ai punti di ripristino.
+ `kms:Decrypt`- Consente al servizio di accedere agli oggetti in un punto di ripristino S3 durante una scansione del punto di ripristino S3.
## Garantire il ruolo
Il ruolo deve essere configurato con una politica di fiducia che consideri attendibile il responsabile del servizio GuardDuty Malware Protection. Ciò garantisce che nessun responsabile diverso dal GuardDuty servizio possa assumere questo ruolo. Inoltre, ti consigliamo di limitare le politiche a risorse specifiche anziché`*`. Ciò include gli ID delle istantanee e gli ID delle chiavi. In questo modo si assicurerà che il ruolo fornisca l'accesso solo a quelle risorse specifiche.
**Importante**
Una configurazione errata potrebbe causare errori di scansione a causa di autorizzazioni insufficienti.
## In che modo GuardDuty Malware Protection utilizza le sovvenzioni in KMS AWS
GuardDuty Malware Protection richiede [concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per utilizzare le chiavi KMS.
Quando avvii una scansione su un'istantanea crittografata o su un'AMI EC2 composta da istantanee crittografate, GuardDuty Malware Protection crea concessioni per tuo conto inviando una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta a KMS. AWS Queste concessioni danno GuardDuty accesso a una chiave specifica del tuo account.
GuardDuty Malware Protection richiede la concessione dell'utilizzo della chiave gestita dal cliente per le seguenti operazioni interne:
+ Invia [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)richieste AWS a per recuperare i dettagli sulla chiave simmetrica gestita dal cliente con cui è crittografata la risorsa inviata per una scansione antimalware.
+ Crea un volume EBS da un'istantanea crittografata utilizzando l'[CreateVolume](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html)API e crittografa il volume con la stessa chiave.
+ Accedi ai blocchi di snapshot sull'istantanea tramite l'[GetSnapshotBlock](https://docs.aws.amazon.com/ebs/latest/APIReference/API_GetSnapshotBlock.html)API durante una scansione incrementale.
+ Invia le richieste [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) a AWS KMS per decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per leggere i dati sull'istantanea durante la scansione.
Puoi revocare la concessione creata o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. Se lo fai, non GuardDuty sarai in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati.
## GuardDuty Contesto di crittografia della protezione da malware
Un [contesto di crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) è un set facoltativo di coppie chiave-valore che contengono ulteriori informazioni contestuali sui dati.
Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, AWS KMS; associa il contesto di crittografia ai dati crittografati. Per decrittografare i dati, nella richiesta deve essere incluso lo stesso contesto di crittografia.
GuardDuty Malware Protection utilizza uno dei due contesti di crittografia.
**Contesto di crittografia 1:** La chiave è`aws:guardduty:id`.
```
"encryptionContext": {
"aws:guardduty:id": "snap-11112222333344"
}
```
Questo contesto di crittografia viene utilizzato con le operazioni di concessione: CreateGrant, Decrypt,,, GenerateDataKeyWithoutPlaintext ReEncryptTo, RetireGrant. DescribeKey
Viene creata una concessione sulla risorsa corrente con questo contesto di crittografia e queste operazioni di concessione.
**Contesto di crittografia 2:** la chiave è `aws:ebs:id`
```
"encryptionContext": {
"aws:ebs:id": "snap-11112222333344"
}
```
Questo contesto di crittografia viene utilizzato con le operazioni di concessione: ReEncryptFrom, Decrypt,, RetireGrant. DescribeKey
Con questi contesti di crittografia e operazioni di concessione vengono create tre concessioni. Uno sull'istantanea di destinazione con l'operazione di concessione. `ReEncryptFrom` Una seconda sull'istantanea di destinazione con `Decrypt, RetireGrant, DescribeKey` operazioni. E una terza sull'istantanea di base con le stesse operazioni di concessione della seconda concessione.
## Autorizzazioni e politica di fiducia per il ruolo
**Politica sulle autorizzazioni**
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "CreateGrantPermissions",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"ForAnyValue:StringLike": {
"kms:EncryptionContext:aws:guardduty:id": "snap-*",
"kms:ViaService": [
"guardduty.*.amazonaws.com",
"backup.*.amazonaws.com"
]
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"CreateGrant",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant",
"DescribeKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Sid": "CreateGrantPermissionsForReEncryptAndDirectAPIs",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"ForAnyValue:StringLike": {
"kms:EncryptionContext:aws:ebs:id": "snap-*",
"kms:ViaService": [
"guardduty.*.amazonaws.com",
"backup.*.amazonaws.com"
]
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"ReEncryptTo",
"ReEncryptFrom",
"RetireGrant",
"DescribeKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "ShareSnapshotPermission",
"Effect": "Allow",
"Action": [
"ec2:ModifySnapshotAttribute"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*"
},
{
"Sid": "ShareSnapshotKMSPermission",
"Effect": "Allow",
"Action": [
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "DescribeKeyPermission",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "DescribeRecoveryPointPermission",
"Effect": "Allow",
"Action": [
"backup:DescribeRecoveryPoint"
],
"Resource": "*"
},
{
"Sid": "CreateBackupAccessPointPermissions",
"Effect" : "Allow",
"Action" : [
"backup:CreateBackupAccessPoint"
],
"Resource": "arn:aws:backup:*:*:recovery-point:*"
},
{
"Sid": "ReadAndDeleteBackupAccessPointPermissions",
"Effect" : "Allow",
"Action" : [
"backup:DescribeBackupAccessPoint",
"backup:DeleteBackupAccessPoint"
],
"Resource": "*"
},
{
"Sid": "KMSKeyPermissionsForInstantAccess",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
**Politica di fiducia**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
# **(Facoltativo) Inizia a usare Malware Protection for Backup Independently (solo console)**
Utilizza questo passaggio facoltativo per iniziare a utilizzare l'opzione di rilevamento delle minacce di Malware Protection for Backup indipendentemente dallo GuardDuty stato del tuo AWS account.
Se desideri utilizzare anche altri piani di protezione dedicati GuardDuty, devi iniziare con il GuardDuty servizio Amazon. Per informazioni sui piani di GuardDuty protezione, consulta [Caratteristiche di GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty).
## **Passaggi per iniziare a usare Malware Protection for Backup**
1. Accedi alla console di AWS gestione e apri la [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console all'indirizzo [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Seleziona **Discover Malware Protection Features** e fai clic su **Inizia**.
1. Facendo clic su **Inizia**, puoi scegliere tra opzioni tra cui le funzionalità di AWS Backup e S3 Malware Protection.
![\[alt text not found\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/images/malware_protection_backup_new_feature_console.png)
1. Verrai indirizzato alla pagina Malware Protection for Backup, dove puoi scegliere di **Avviare una scansione su richiesta** o **Visualizza le scansioni malware**.
![\[alt text not found\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/images/malware_protection_backup_console.png)
# Avvio di una scansione su richiesta per la protezione da malware per il backup
## Console
1. Accedi alla console di AWS gestione e apri la GuardDuty console all'indirizzo. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Vai a **Malware Protection for Backup** e fai clic su **Avvia scansione su richiesta**.
1. Scegli tra Scansione completa e Scansione incrementale.
1. Per avviare una scansione completa, inserire l'ARN della risorsa da scansionare.
1. Per una scansione incrementale, immettere Target Resource ARN e Baseline Resource ARN.
1. Se la risorsa da scansionare è un punto di ripristino, è necessario inserire anche il nome del AWS Backup Vault a cui appartiene.
1. Accesso al servizio: è necessario scegliere un ruolo con le autorizzazioni necessarie per accedere alla risorsa ed eseguire la scansione. Fai clic su **Visualizza politica** per visualizzare le autorizzazioni esatte necessarie per il ruolo, insieme alla politica di fiducia richiesta.
Puoi apportare modifiche alla politica in base ai tuoi requisiti o limitare le autorizzazioni alla risorsa esatta. Per maggiori dettagli su come creare o aggiornare un ruolo IAM, consulta[GuardDuty Protezione da malware per il backup: autorizzazioni IAM Role](malware-protection-backup-iam-permissions.md).
Per problemi con le autorizzazioni dei ruoli IAM, consulta [Risoluzione dell'errore relativo alle autorizzazioni dei ruoli IAM](https://docs.aws.amazon.com/guardduty/latest/ug/troubleshoot-malware-protection-s3-iam-role-permissions-error.html).
## API/CLI
Invoke [StartMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StartMalwareScan.html)che accetta la `resourceArn` risorsa per la quale si desidera avviare una scansione antimalware su richiesta. Se vuoi avviare una scansione incrementale, esegui l'operazione. `baselineResourceArn` `incrementalScanDetails` Come parte della configurazione della scansione, devi anche fornire un ruolo IAM con tutte le autorizzazioni necessarie per avviare la scansione. Dopo aver avviato correttamente una scansione, `StartMalwareScan` restituisce un`scanId`. Richiama l'`GetMalwareScan`API per monitorare lo stato di avanzamento della scansione avviata e per ottenere i dettagli della scansione una volta completata.
# Monitoraggio degli stati e dei risultati delle scansioni in Malware Protection for Backup
Dopo l'avvio di una scansione antimalware, GuardDuty fornisce alcuni meccanismi attraverso i quali è possibile monitorare lo stato e il risultato di una scansione. La tabella seguente fornisce alcuni dei valori associati alle scansioni antimalware.
| Categoria | Valori potenziali |
| --- | --- |
| Stato della scansione | `RUNNING`, `COMPLETED`, `COMPLETED_WITH_ISSUES`, `FAILED` oppure `SKIPPED` |
| Categoria di scansione | `FULL_SCAN` o `INCREMENTAL_SCAN` |
| Tipo di scansione | `GUARDDUTY_INITIATED`, `ON_DEMAND` o `BACKUP_INITIATED` |
| Stato dei risultati della scansione | `NO_THREATS_FOUND` o `THREATS_FOUND` |
\$1Si noti che lo stato del risultato della scansione potrebbe non essere presente se la scansione non è stata completata. Lo stato del risultato della scansione di THREATS\$1FOUND indica che è stata GuardDuty rilevata la presenza di malware.
Per i punti di ripristino S3, COMPLETED\$1WITH\$1ISSUES indica che alcuni file sono stati ignorati o non sono riusciti. Per gli AMI, COMPLETED\$1WITH\$1ISSUES indica che non è stato possibile scansionare almeno 1 istantanea. Di seguito è riportato l'elenco dei motivi ignorati.
Le scansioni possono anche essere ignorate per vari motivi. La tabella seguente spiega i motivi per cui le scansioni possono essere ignorate:
| Motivo della scansione ignorata | Motivo |
| --- | --- |
| ACCESS\$1NEGATO | Customer Role non dispone delle autorizzazioni necessarie per consentire al servizio di eseguire la scansione |
| RESOURCE\$1NOT\$1FOUND | La risorsa che sta tentando di scansionare non esiste nell'account o è stata eliminata durante la scansione |
| SNAPSHOT\$1SIZE\$1LIMIT\$1EXCEEDED | La dimensione dell'istantanea è maggiore di quella attualmente supportata da GuardDuty |
| INCREMENTAL\$1NESSUNA\$1DIFFERENZA | Le risorse specificate nella richiesta di scansione incrementale non hanno differenze |
| RESOURCE\$1AVAILABLE | Risorsa non nello stato previsto. Se la scansione è incrementale, il punto di ripristino di base non è nello stato DISPONIBILE o COMPLETATO |
| RISORSE\$1NON CORRELATE | Per le scansioni incrementali: la risorsa di base e quella corrente non provengono dalla stessa discendenza |
| BASE\$1RESOURCE\$1NOT\$1SCANNED | Per le scansioni incrementali: la risorsa di base non è stata analizzata in precedenza o non è stata trovata alcuna scansione completata |
| BASE\$1CREATED\$1AFTER\$1TARGET | Per le scansioni incrementali, la data di creazione della risorsa di base è maggiore della data di creazione della risorsa corrente |
| UNSUPPORTED\$1FOR\$1INCREMENTAL | Il tipo di risorsa richiesto non supporta la scansione incrementale |
| UNSUPPORTED\$1AMI | Le AMI pubbliche, le AMI con solo storage temporaneo e le AMI che non sono in uno stato disponibile non sono idonee alla scansione |
| UNSUPPORTED\$1SNAPSHOT | Le istantanee di conservazione a freddo non sono idonee per la scansione |
| UNSUPPORTED\$1COMPOSITE\$1RP | La scansione non è supportata per i tipi di risorse composite |
| UNSUPPORTED\$1PRODUCT\$1CODE\$1TYPE | La risorsa richiesta contiene un codice prodotto Amazon Marketplace che non supporta la scansione |
| AMI\$1SNAPSHOT\$1LIMIT\$1EXCEEDED | Le AMI non supportano la scansione di più di 40 istantanee |
| NO\$1EBS\$1VOLUMES\$1FOUND | Nessuna mappatura dei dispositivi a blocchi Ebs trovata per la risorsa richiesta |
| RISORSE\$1NON CORRELATE | Per le scansioni incrementali, l'arn della risorsa di base è diverso dall'arn della risorsa prevista |
| ALL\$1FILES\$1SKIPPED\$1OR\$1FAILED | Tutti i file della scansione sono stati ignorati o non sono riusciti |
I risultati della scansione hanno un periodo di conservazione di 90 giorni. Scegli il metodo di accesso che preferisci per monitorare lo stato della scansione malware.
**Monitoraggio delle scansioni tramite la console**
1. [Apri la GuardDuty console all'indirizzohttps://console.aws.amazon.com/guardduty/.](https://console.aws.amazon.com/guardduty/)
1. Nel riquadro di navigazione, scegli **Scansioni malware**.
1. Puoi filtrare le scansioni antimalware in base alle seguenti **proprietà** disponibili nella *barra di ricerca dei filtri*.
+ **Scan ID**: identificatore univoco associato alla scansione antimalware.
+ **ID account**: account in cui è stata avviata la scansione antimalware.
+ **ARN della risorsa**: Amazon Resource Name (ARN) associato alla risorsa Amazon associata alla scansione.
+ **Tipo di risorsa**: il tipo di risorsa associata alla scansione, ad esempio EC2 Instance, EBS Snapshot \$1 EC2 AMI, EBS Recovery Point, EC2 Recovery Point o S3 Recovery Point.
+ **Stato: lo stato** della scansione, ad esempio Esecuzione, Ignorata, Completata, Completata con problemi o Non riuscita.
+ **Tipo di scansione**: indica se si tratta di una scansione GuardDuty antimalware su richiesta, avviata o avviata da backup.
**Monitoraggio delle scansioni tramite l'API/CLI**
+ È possibile richiamare ListMalwareScans per filtrare le scansioni antimalware con`RESOURCE_ARN`,,,,`SCAN_ID`, `ACCOUNT_ID` e. `SCAN_TYPE GUARDDUTY_FINDING_ID` `SCAN_STATUS` `RESOURCE_TYPE` `SCAN_START_TIME` Puoi anche richiamare GetMalwareScan per recuperare metadati più dettagliati di una scansione fornendo uno scan-id come input. I criteri di `GUARDDUTY_FINDING_ID` filtro sono disponibili quando viene avviato il. `SCAN_TYPE` GuardDuty
+ È possibile modificare l'esempio *filter-criteria* nel comando seguente e filtrare in base `CriterionKey` a uno alla volta. Le opzioni per `CriterionKey` sono `Resource_ARN``SCAN_ID`,`ACCOUNT_ID`,`SCAN_TYPE`, `GUARDDUTY_FINDING_ID``SCAN_STATUS`,`RESOURCE_TYPE`, e`SCAN_START_TIME`. È possibile modificare *max-results* (fino a 50) e*sort-criteria*. Il `AttributeName` campo è obbligatorio per `sort-criteria` e deve essere impostato su`scanStartTime`. Nell'esempio seguente, i valori in *red* sono segnaposto. Sostituiscili con i valori appropriati per il tuo account. Se usi lo stesso di `CriterionKey` seguito per ListMalwareScans, assicurati di sostituire l'esempio `EqualsValue` con quello in base al quale *resource-type* desideri filtrare.
```
aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
```
```
aws guardduty get-malware-scan --scan-id abc123
```
+ La risposta al comando precedente ListMalwareScans restituirà fino a 25 scansioni con alcuni dettagli sulle risorse interessate. La risposta al comando precedente GetMalwareScan restituirà una singola scansione con metadati dettagliati sulla scansione.
**Monitoraggio delle scansioni utilizzando EventBridge**
Amazon EventBridge è un servizio di bus eventi senza server che semplifica la connessione delle applicazioni con dati provenienti da una varietà di fonti. EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni, applicazioni Software-as-a-Service (SaaS) e servizi Amazon e indirizza tali dati verso destinazioni come Lambda. In questo modo puoi monitorare gli eventi che si verificano nei servizi e creare architetture basate su eventi. Per ulteriori informazioni, consulta la [Amazon EventBridge User Guide](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
GuardDuty pubblica EventBridge le notifiche sul bus degli eventi predefinito una volta determinato lo stato della scansione. Puoi configurare EventBridge regole nel tuo account per inviare eventi ad altri servizi integrati con Amazon EventBridge. Verranno applicati EventBridge i prezzi standard. Per ulteriori informazioni, consulta i [ EventBridge prezzi di Amazon](https://aws.amazon.com/eventbridge/pricing/).
Molti dei valori mostrati di seguito sono segnaposto per l'esempio e variano a seconda della scansione.
**Eventi relativi ai risultati della scansione di malware**
Potenziali valori del tipo di dettaglio per Backup:
+ «Risultato della scansione istantanea EBS di protezione da GuardDuty malware»
+ «Risultato della scansione dell'AMI EC2 per la protezione da GuardDuty malware»
+ «Risultato della scansione del punto di ripristino di GuardDuty Malware Protection S3"
+ «Risultato della scansione del punto di ripristino EBS GuardDuty Malware Protection»
+ «Risultato della scansione del punto di ripristino EC2 di protezione da GuardDuty malware»
**Esempio di modello di evento:**
```
{
"detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
"source": ["aws.guardduty"]
}
```
**Schema di notifica di esempio per la scansione dell'AMI EC2 senza minacce rilevate:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": null,
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"scanResultStatus": "NO_THREATS_FOUND",
"uniqueThreatCount": null
}
}
}
```
**Schema di notifica di esempio per la scansione dell'AMI EC2 con minacce rilevate:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": null,
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"scanResultStatus": "THREATS_FOUND",
"uniqueThreatCount": 1,
"threats": {
"name": "EICAR-Test-File (not a virus)",
"source": "AMAZON",
"count": 2,
"itemDetails": [{
"resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
"hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
"itemPath": "/eicar.txt",
"additionalInfo": {
"versionId": null,
"deviceName": "/dev/sdf"
}
}]
}
}
}
}
```
**Schema di notifica di esempio per la scansione AMI EC2 ignorata:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": "UNSUPPORTED_AMI",
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"uniqueThreatCount": null,
"threats": null
}
}
}
```
# Quote per la protezione da malware per il backup
**Protezione da malware per quote di Backup**
| Nome quota | AWS valore di quota predefinito | È regolabile? | Description |
| --- | --- | --- | --- |
| StartMalwareScan Limite TPS per tutti i tipi di risorse | 10 | No | |
| Dimensione massima delle istantanee supportata | 2 TB | No | |
| File system supportati per istantanee e scansioni AMI | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/guardduty/latest/ug/malware-protection-backup-quotas.html) | No | |
| Numero massimo di istantanee all'interno di un'AMI supportato per la scansione di malware | 40 per la scansione completa. Se ce ne sono più di 40, GuardDuty scansionerà solo 40 tra tutte le istantanee. Per una scansione incrementale, la scansione viene ignorata. | No | |
| Dimensione massima di un oggetto all'interno di un punto di ripristino S3 | 100 GB | No | La dimensione massima dell'oggetto S3 che GuardDuty tenterà di eseguire la scansione alla ricerca di malware. Sebbene questa quota non sia regolabile, se devi scansionare oggetti più grandi, contatta l'assistenza per determinare se è GuardDuty possibile aumentare la quota per il tuo caso d'uso. |
| Byte di archivio estratti | 100 GB | No | La quantità massima di dati che è GuardDuty possibile estrarre e analizzare da un file di archivio. GuardDuty salterà l'estrazione dei file di archivio per una dimensione superiore a 100 GB. |
| Byte di archivio estratti | 10.000 | No | Il numero massimo di file che è GuardDuty possibile estrarre e analizzare in un file di archivio. Se l'archivio contiene più di 10.000 file, GuardDuty sarà necessario saltare il file archiviato. I tipi di file composti sono potenzialmente soggetti a questi limiti. I tipi di file includono, a titolo esemplificativo, messaggi di posta elettronica codificati MIME (Multipurpose Internet Mail Extensions), file Compiled Python (PYC), file CHM (Compiled HTML Help), tutti i programmi di installazione e documenti Format (ODF). OpenDocument |
| Livelli massimi di profondità di archiviazione | 5 | No | I livelli massimi di archivi annidati che è GuardDuty possibile estrarre. Se l'archivio include file nidificati oltre questo valore, GuardDuty ignorerà tali file nidificati. |