翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# スナップショット保持と EC2 スキャンカバレッジを設定する
<a name="malware-protection-customizations"></a>

このセクションでは、Amazon EC2 インスタンスのマルウェアスキャンオプションをカスタマイズする方法について説明します。これらのカスタマイズは、オンデマンドマルウェアスキャンと GuardDuty によって開始されたマルウェアスキャンの両方に適用されます。以下を行うことができます。
+ スナップショット保持を有効にする – スキャン前に有効にすると、GuardDuty は悪意があると検出した Amazon EBS スナップショットを保持します。
+ スキャン対象の Amazon EC2 インスタンスを選択する – タグを使用して、マルウェアスキャンから特定の Amazon EC2 インスタンスを含めるか除外します。

## スナップショットの保持
<a name="mp-snapshots-retention"></a>

GuardDuty は、 AWS アカウントで EBS ボリュームのスナップショットを保持するオプションを提供します。デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットは、スキャン開始前にこの設定をオンにしている場合にのみ保持されます。

スキャンが開始されると、GuardDuty は EBS ボリュームのスナップショットに基づいて EBS ボリュームのレプリカを生成します。スキャンが完了して、アカウントのスナップショットの保持設定が既にオンになっている場合、マルウェアが見つかって [Malware Protection for EC2 の検出結果のタイプ](findings-malware-protection.md) が生成された場合に限り、EBS ボリュームのスナップショットが保持されます。マルウェアが見つからない場合、スナップショットの設定に関係なく、GuardDuty は作成されたスナップショットで [Amazon EBS スナップショットのロック](https://docs.aws.amazon.com/ebs/latest/userguide/lock-snapshot.html)が有効になっていない限り、EBS ボリュームのスナップショットを自動的に削除します。

### スナップショットの使用コスト
<a name="mp-snapshots-usage-cost"></a>

マルウェアスキャン中に GuardDuty が Amazon EBS ボリュームのスナップショットを作成するため、このステップに関連した使用コストが発生します。アカウントのスナップショット保持設定を有効にした場合、マルウェアが検出されてスナップショットが保持されたとき、同様な内容で使用コストが発生します。スナップショットおよびその保持にかかるコストについては、「[Amazon EBS 料金](https://aws.amazon.com//ebs/pricing/)」を参照してください。

組織メンバーアカウントに代わってこの更新を行うことができるのは、委任 GuardDuty 管理者アカウントのみです。ただし、メンバーアカウントが[招待方法によって管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html)されている場合、メンバーアカウントは自分でこの変更を行うことができます。詳細については、「[管理者アカウントとメンバーアカウントの関係](administrator_member_relationships.md)」を参照してください。

任意のアクセス方法を選択して、スナップショットの保存設定を有効にします。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

1. ナビゲーションペインの **[保護プラン]** で、**[Malware Protection for EC2]** を選択します。

1. コンソールの下部のセクションで **[General settings]** (一般設定) を選択します。スナップショットを保持するには、**[Snapshots retention]** (スナップショットの保持) をオンにします。

------
#### [ API/CLI ]

[UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html) を実行して、スナップショット保持設定の現在の設定を更新します。

または、次の AWS CLI コマンドを実行して、GuardDuty Malware Protection for EC2 が検出結果を生成するときにスナップショットを自動的に保持することもできます。

必ず *detector-id* をご自身の有効な `detectorId` に置き換えてください。

アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```

スナップショットの保持を無効にしたい場合は、`RETENTION_WITH_FINDING` を `NO_RETENTION` に置き換えます。

------

## ユーザー定義タグ付きのスキャンオプション
<a name="mp-scan-options"></a>

GuardDuty 実行型マルウェアスキャンを使用することで、スキャンおよび脅威検出プロセスから Amazon EC2 インスタンスおよび Amazon EBS ボリュームを含めるまたは除外するタグも指定できます。包含タグリストまたは除外タグリストのタグを編集することで、GuardDuty 実行型マルウェアスキャンをそれぞれカスタマイズできます。各リストには、最大 50 個のタグを含めることができます。

EC2 リソースにまだユーザー定義タグが関連付けされていない場合、「*Amazon EC2 ユーザーガイド*」の「[Amazon EC2 リソースのタグ付け](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html)」を参照してください。

**注記**  
オンデマンドのマルウェアスキャンは、ユーザー定義タグ付けされたスキャンオプションをサポートしません。[グローバル `GuardDutyExcluded` タグ](#mp-scan-options-gdu-excluded-tag) をサポートします。

### EC2 インスタンスをマルウェアウェアスキャンから除外する方法
<a name="exclude-ec2-instances-malware-protection"></a>

スキャンプロセス中に Amazon EC2 インスタンスまたは Amazon EBS ボリュームを除外する場合、任意の Amazon EC2 インスタンスまたは Amazon EBS ボリュームに `GuardDutyExcluded` タグを `true` に設定すると、GuardDuty はスキャンを実行しません。`GuardDutyExcluded` タグの詳細については、「[Malware Protection for EC2 のためのサービスにリンクされたロールの許可](slr-permissions-malware-protection.md)」を参照してください。Amazon EC2 インスタンスタグを除外リストに追加することもできます。複数のタグを除外タグリストに追加する場合、これらのタグを少なくとも 1 つ含む Amazon EC2 インスタンスがマルウェアスキャンのプロセスから除外されます。

組織メンバーアカウントに代わってこの更新を行うことができるのは、委任 GuardDuty 管理者アカウントのみです。ただし、メンバーアカウントが[招待方法によって管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html)されている場合、メンバーアカウントは自分でこの変更を行うことができます。詳細については、「[管理者アカウントとメンバーアカウントの関係](administrator_member_relationships.md)」を参照してください。

任意のアクセス方法を選択して、Amazon EC2 インスタンスに関連付けされたタグを除外リストに追加します。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

1. ナビゲーションペインの **[保護プラン]** で、**[Malware Protection for EC2]** を選択します。

1. **[包含/除外タグ]** セクションを展開します。[**Add tags (タグの追加)**] を選択します。

1. **[除外タグ]** を選択したら **[確認]** を選択します。

1. 除外するタグの **Key** および **Value** ペアを指定します。**Value** を指定するかどうかは任意です。すべてのタグを追加したら、**[保存]** を選択します。
**重要**  
タグキーと値は大文字と小文字が区別されます。詳細については、「*Amazon EC2 ユーザーガイド*」の「[タグ付けの制限](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)」を参照してください。

   キーの値が指定されずに EC2 インスタンスが指定されたキーでタグ付けされている場合、タグに割り当てられた値とは関係なく、この EC2 インスタンスは GuardDuty 実行型マルウェアスキャンのスキャンプロセスから除外されます。

------
#### [ API/CLI ]

EC2 インスタンスまたはコンテナワークロードをスキャンプロセスから除外することによって、[UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html) を実行します。

次のコマンド AWS CLI 例では、除外タグリストに新しいタグを追加します。*detector-id* の例を、自分の有効な `detectorId` に置き換えてください。

`MapEquals` は `Key`/`Value` ペアの一覧です。

アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```

**重要**  
タグキーと値は大文字と小文字が区別されます。詳細については、「*Amazon EC2 ユーザーガイド*」の「[タグ付けの制限](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)」を参照してください。

------

### EC2 インスタンスをマルウェアスキャンに含めるには
<a name="include-ec2-instances-malware-protection"></a>

EC2 インスタンスをスキャンする場合は、そのタグを包含リストに追加します。包含タグのリストにタグを追加すると、追加されたタグを含まない EC2 インスタンスは、マルウェアスキャン時にスキップされます。複数のタグを包含タグのリストに追加した場合、これらのタグを 1 つでも含む EC2 インスタンスには、マルウェアスキャンが実施されます。場合によっては、他の理由により、スキャンプロセス中に EC2 インスタンスがスキップされることがあります。詳細については、「[マルウェアスキャン中にリソースをスキップする理由](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons)」を参照してください。

組織メンバーアカウントに代わってこの更新を行うことができるのは、委任 GuardDuty 管理者アカウントのみです。ただし、メンバーアカウントが[招待方法によって管理](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_invitations.html)されている場合、メンバーアカウントは自分でこの変更を行うことができます。詳細については、「[管理者アカウントとメンバーアカウントの関係](administrator_member_relationships.md)」を参照してください。

任意のアクセス方法を選択して、EC2 インスタンスに関連付けられているタグを包含リストに追加します。

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) で GuardDuty コンソールを開きます。

1. ナビゲーションペインの **[保護プラン]** で、**[Malware Protection for EC2]** を選択します。

1. **[包含/除外タグ]** セクションを展開します。[**Add tags (タグの追加)**] を選択します。

1. **[包含タグ]** を選択したら **[確認]** を選択します。

1. **[Add new inclusion tag]** (新しい包含タグを追加) を選択し、除外するタグの **Key** と **Value** ペアを指定します。**Value** を指定するかどうかは任意です。

   すべての包含タグを追加したら、**[保存]** を選択します。

   キーの値が指定されずに EC2 インスタンスが指定されたキーでタグ付けされている場合、タグに割り当てられた値とは関係なく、EC2 インスタンスは Malware Protection for EC2 のスキャンプロセスに含まれます。

------
#### [ API/CLI ]
+ [UpdateMalwareScanSettings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMalwareScanSettings.html) を実行して、スキャンプロセスに EC2 インスタンスまたはコンテナワークロードを含めます。

  次のコマンド AWS CLI 例では、包含タグリストに新しいタグを追加します。必ず *detector-id* の例をお使いの有効な `detectorId` に置き換えてください。*TestKey* および *TestValue* の例を EC2 リソースに関連付けされたタグの `Key` と `Value` ペアに置き換えます。

  `MapEquals` は `Key`/`Value` ペアの一覧です。

  アカウントと現在のリージョンの `detectorId` を検索するには、[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) コンソールの **[設定]** ページを参照するか、[https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API を実行します。

  ```
  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
  ```
**重要**  
タグキーと値は大文字と小文字が区別されます。詳細については、「*Amazon EC2 ユーザーガイド*」の「[タグ付けの制限](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions)」を参照してください。

------

**注記**  
GuardDuty が新しいタグを検出するまでに、最長で 5 分かかることがあります。

ユーザーはいつでも **[Inclusion tags]** (包含タグ) または **[Exclusion tags]** (除外タグ) のどちらかを選択できますが、両方を選択することはできません。タグを切り替える場合、新しいタグを追加する際にドロップダウンメニューからそのタグを選択し、選択したものを **[確認]** します。このアクションにより、現在のタグがすべてクリアされます。

## グローバル `GuardDutyExcluded` タグ
<a name="mp-scan-options-gdu-excluded-tag"></a>

GuardDuty は、Amazon EC2 リソースに追加し、タグ値を `true` に設定できるグローバルタグキー `GuardDutyExcluded` を使用します。このタグキーと値のペアを持つこの Amazon EC2 リソースは、マルウェアスキャンから除外されます。どちらのスキャンタイプ (GuardDuty 実行型マルウェアスキャンおよびオンデマンドマルウェアスキャン) もグローバルタグをサポートしています。Amazon EC2 でオンデマンドマルウェアスキャンを開始すると、スキャン ID が生成されます。ただし、スキャンは `EXCLUDED_BY_SCAN_SETTINGS` によりスキップされます。詳細については、「[マルウェアスキャン中にリソースをスキップする理由](malware-protection-auditing-scan-logs.md#mp-scan-skip-reasons)」を参照してください。