Conservazione delle istantanee Opzioni di scansione con tag definiti dall'utente Tag GuardDutyExcluded globale

Configura la conservazione delle istantanee e la copertura delle scansioni EC2

Questa sezione spiega come personalizzare le opzioni di scansione antimalware per le istanze Amazon EC2. Queste personalizzazioni si applicano sia alle scansioni antimalware su richiesta sia a quelle avviate da. GuardDuty È possibile effettuare le seguenti operazioni:

Abilita la conservazione delle istantanee: se abilitata prima di una scansione, GuardDuty conserverà lo snapshot di Amazon EBS GuardDuty rilevato come dannoso.
Scegli quali istanze Amazon EC2 scansionare: utilizza i tag per includere o escludere istanze Amazon EC2 specifiche dalle scansioni di malware.

Conservazione delle istantanee

GuardDuty ti offre la possibilità di conservare le istantanee dei tuoi volumi EBS nel tuo account. AWS Per impostazione predefinita, la conservazione degli snapshot è disattivata. Gli snapshot verranno conservati solo se questa impostazione viene attivata prima dell'avvio della scansione.

All'avvio della scansione, GuardDuty genera i volumi EBS di replica in base alle istantanee dei volumi EBS. Una volta completata la scansione e dopo aver già attivato l'impostazione di conservazione degli snapshot nell'account, gli snapshot dei volumi EBS verranno conservati solo in caso di rilevamento di malware e di generazione di Protezione da malware per tipi di ricerca EC2. Quando non viene rilevato alcun malware, indipendentemente dalle impostazioni degli snapshot, elimina GuardDuty automaticamente gli snapshot dei volumi EBS a meno che il blocco degli snapshot di Amazon EBS non sia stato abilitato sugli snapshot creati.

Costo di utilizzo degli snapshot

Durante la scansione antimalware, durante la GuardDuty creazione delle istantanee dei volumi Amazon EBS, a questa fase è associato un costo di utilizzo. Se attivi l'impostazione di conservazione degli snapshot per il tuo account, quando viene rilevato un malware dovrai sostenere i costi di utilizzo per conservare gli snapshot. Per informazioni sul costo degli snapshot e sulla loro conservazione, consulta i prezzi di Amazon EBS.

In qualità di account GuardDuty amministratore delegato, solo tu puoi effettuare questo aggiornamento per conto degli account dei membri dell'organizzazione. Tuttavia, se un account membro è gestito tramite il metodo di invito, può apportare questa modifica autonomamente. Per ulteriori informazioni, consulta Relazioni tra account amministratore e account membro.

Scegli il metodo di accesso che preferisci per attivare l'impostazione di conservazione degli snapshot.

Opzioni di scansione con tag definiti dall'utente

Utilizzando GuardDuty -initiated malware scan, puoi anche specificare tag per includere o escludere le istanze Amazon EC2 e i volumi Amazon EBS dal processo di scansione e rilevamento delle minacce. Puoi personalizzare ogni scansione antimalware GuardDuty avviata modificando i tag nell'elenco dei tag di inclusione o di esclusione. Ogni elenco può includere fino a 50 tag.

Se non disponi già di tag definiti dall'utente associati alle tue risorse EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

Nota

La scansione antimalware on demand non supporta le opzioni di scansione con tag definiti dall'utente. Supporta Tag GuardDutyExcluded globale.

Per escludere istanze EC2 dalla scansione malware

Se desideri escludere un'istanza Amazon EC2 o un volume Amazon EBS durante il processo di scansione, puoi impostare il GuardDutyExcluded tag su qualsiasi istanza Amazon EC2 o volume Amazon EBS e non eseguirai la scansione. true GuardDuty Per ulteriori informazioni sul tag GuardDutyExcluded, consulta Autorizzazioni di ruolo collegate ai servizi per Malware Protection for EC2. Puoi anche aggiungere un tag di istanza Amazon EC2 a un elenco di esclusione. Se aggiungi più tag all'elenco dei tag di esclusione, qualsiasi istanza Amazon EC2 che contiene almeno uno di questi tag verrà esclusa dal processo di scansione del malware.

Scegli il metodo di accesso che preferisci per aggiungere un tag associato a un'istanza Amazon EC2 a un elenco di esclusione.

Console

Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.
Nel pannello di navigazione, sotto Piani di protezione, scegli Malware Protection for EC2.
Espandi la sezione Tag di inclusione/esclusione. Scegli Aggiungi tag.
Scegli Tag di esclusione, quindi Conferma.
Specifica la coppia di Key e Value del tag che desideri escludere. Fornire il Value è facoltativo. Dopo aver aggiunto tutti i tag, scegli Salva.

Importante
Per le chiavi e i valori dei tag viene fatta la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta Restrizioni relative ai tag nella Guida per l'utente di Amazon EC2.

Se non viene fornito un valore per una chiave e l'istanza EC2 è etichettata con la chiave specificata, questa istanza EC2 verrà esclusa dal processo di scansione antimalware GuardDuty avviato, indipendentemente dal valore assegnato al tag.

API/CLI

Eseguita UpdateMalwareScanSettingsescludendo un'istanza EC2 o un carico di lavoro del contenitore dal processo di scansione.

Il seguente comando di AWS CLI esempio aggiunge un nuovo tag all'elenco dei tag di esclusione. Sostituisci il detector-id di esempio con il tuo detectorId valido.

MapEquals è un elenco di coppie Key/Value.

Per trovare il codice detectorId per il tuo account e la regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.


aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

Importante

Per le chiavi e i valori dei tag viene fatta la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta Restrizioni relative ai tag nella Guida per l'utente di Amazon EC2.

Per includere istanze EC2 nella scansione malware

Se desideri scansionare un'istanza EC2, aggiungi il relativo tag all'elenco di inclusione. Quando aggiungi un tag a un elenco di tag di inclusione, un'istanza EC2 che non contiene nessuno dei tag aggiunti viene ignorata durante la scansione malware. Se aggiungi più tag all'elenco dei tag di inclusione, un'istanza EC2 che contiene almeno uno di questi tag viene inclusa nella scansione malware. A volte, un'istanza EC2 può essere ignorata durante il processo di scansione per altri motivi. Per ulteriori informazioni, consulta Motivi per cui una risorsa viene ignorata durante la scansione malware.

Scegli il metodo di accesso che preferisci per aggiungere un tag associato a un'istanza EC2 a un elenco di inclusione.

Console

Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.
Nel pannello di navigazione, sotto Piani di protezione, scegli Malware Protection for EC2.
Espandi la sezione Tag di inclusione/esclusione. Scegli Aggiungi tag.
Scegli Tag di inclusione, quindi Conferma.
Scegli Aggiungi nuovo tag di inclusione e specifica la coppia di Key e Value del tag che desideri includere. Fornire il Value è facoltativo.

Dopo aver aggiunto tutti i tag di inclusione, scegli Salva.

Se non viene fornito un valore per una chiave, un'istanza EC2 viene etichettata con la chiave specificata, l'istanza EC2 verrà inclusa nel processo di scansione di Malware Protection for EC2, indipendentemente dal valore assegnato al tag.

API/CLI

Esegui UpdateMalwareScanSettingsper includere un'istanza EC2 o un carico di lavoro del contenitore nel processo di scansione.

Il seguente comando di AWS CLI esempio aggiunge un nuovo tag all'elenco dei tag di inclusione. Assicurati di sostituire l'esempio detector-id con il tuo validodetectorId. Sostituisci l'esempio TestKey e TestValue con la Value coppia Key e del tag associata alla tua risorsa EC2.

MapEquals è un elenco di coppie Key/Value.

Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella https://console.aws.amazon.com/guardduty/console o esegui l'ListDetectorsAPI.
```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```
Importante
Per le chiavi e i valori dei tag viene fatta la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta Restrizioni relative ai tag nella Guida per l'utente di Amazon EC2.

Nota

Potrebbero essere necessari fino a 5 minuti per GuardDuty rilevare un nuovo tag.

In qualsiasi momento, puoi scegliere tra i Tag di inclusione o i Tag di esclusione, ma non entrambi. Se desideri passare da un tag all'altro, sceglilo dal menu a discesa quando aggiungi nuovi tag e Conferma la selezione. Questa operazione cancella tutti i tag correnti.

Tag `GuardDutyExcluded` globale

GuardDuty utilizza una chiave di tag globaleGuardDutyExcluded, che puoi aggiungere alle tue risorse Amazon EC2 e su cui impostare il valore del tag. true Questa risorsa Amazon EC2 con questa coppia di tag, chiave e valore verrà esclusa dalla scansione del malware. Entrambi i tipi di scansione (scansione antimalware GuardDuty avviata e scansione antimalware su richiesta) supportano il tag globale. Se avvii una scansione antimalware su richiesta su Amazon EC2, verrà generato un ID di scansione. Tuttavia, la scansione verrà ignorata con un motivo. EXCLUDED_BY_SCAN_SETTINGS Per ulteriori informazioni, consulta Motivi per cui una risorsa viene ignorata durante la scansione malware.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Volumi EBS supportati

GuardDuty-scansione antimalware avviata