Como GuardDuty escaneia volumes do EBS em busca de detecção de malware - Amazon GuardDuty

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como GuardDuty escaneia volumes do EBS em busca de detecção de malware

Esta seção explica como a Proteção contra Malware para EC2, incluindo a verificação de GuardDuty malware iniciada e a verificação de malware sob demanda, verifica os volumes do Amazon EBS associados às suas instâncias e cargas de trabalho de contêineres do Amazon EC2. Antes de continuar, considere as seguintes personalizações:

  • Opções de verificação: a Proteção contra malware para o EC2 oferece a capacidade de especificar tags para incluir ou excluir instâncias do Amazon EC2 e volumes do Amazon EBS do processo de verificação. Somente a verificação GuardDuty de malware iniciada oferece suporte às opções de verificação com tags definidas pelo usuário. Tanto a verificação GuardDuty de malware iniciada quanto a verificação de malware sob demanda oferecem suporte à tag globalGuardDutyExcluded. Para obter mais informações, consulte Opções de verificação com tags definidas pelo usuário.

  • Retenção de snapshots — A proteção contra malware para EC2 oferece uma opção para reter os snapshots dos volumes do Amazon EBS em sua conta. AWS Essa configuração está desativada por padrão. Você pode optar pela retenção de instantâneos para escaneamentos de malware GuardDuty iniciados e sob demanda. Para obter mais informações, consulte Retenção de snapshots.

Quando GuardDuty gera uma ou maisDescobertas que invocam uma verificação GuardDuty de malware iniciada, essa atividade será um motivo GuardDuty para iniciar uma verificação de malware. Se suas opções de escaneamento não excluírem essa instância, então GuardDuty iniciará o escaneamento.

Para iniciar uma verificação de malware sob demanda nos volumes do Amazon EBS associados a uma instância do Amazon EC2, forneça o nome do recurso da Amazon (ARN) da instância do Amazon EC2.

Como resposta ao início de uma verificação de malware sob demanda ou de uma verificação automática GuardDuty de malware, GuardDuty cria instantâneos dos volumes relevantes do EBS anexados ao recurso potencialmente afetado e os compartilha com o. GuardDuty conta de serviço Ao GuardDuty criar um snapshot dos seus volumes do EBS, ele adiciona uma tag padrão chamada. GuardDutyScanId Essa tag ajuda GuardDuty a acessar o instantâneo. Não remova essa tag. A partir desses instantâneos, GuardDuty cria uma réplica criptografada do volume do EBS na conta de serviço.

Após a conclusão da verificação, GuardDuty exclui os volumes de réplica criptografados do EBS e os instantâneos dos seus volumes do EBS. Como padrão, a configuração de retenção de snapshots permanece desabilitada. No entanto, os snapshots são retidos se o bloqueio de snapshots do Amazon EBS estiver habilitado para eles, independentemente dos resultados e das configurações da verificação. GuardDuty não é possível modificar as configurações de bloqueio do snapshot do Amazon EBS.

A lista a seguir descreve o comportamento de retenção de snapshots, independentemente do bloqueio de snapshots do EBS:

A retenção de snapshots está ativada:

  • Quando o malware é encontrado, GuardDuty retém os instantâneos em seu. Conta da AWS

  • Quando nenhum malware é encontrado, GuardDuty não retém os instantâneos, a menos que estejam bloqueados.

A retenção de snapshots permanece desabilitada (configuração padrão):

  • Independentemente de o malware ser encontrado ou não, os snapshots não são retidos.

  • GuardDuty não é possível excluir snapshots bloqueados do Amazon EBS.

GuardDuty reterá cada volume de réplica do EBS na conta de serviço por até 55 horas. Se houver uma interrupção ou falha no serviço com uma réplica do volume do EBS e sua verificação de malware, esse volume do EBS GuardDuty será retido por no máximo sete dias. O período estendido de retenção de volume serve para fazer a triagem e resolver a interrupção ou falha. GuardDuty O Malware Protection for EC2 excluirá os volumes de réplica do EBS da conta de serviço após a interrupção ou falha ser resolvida, ou quando o período de retenção estendido expirar.

Para obter informações sobre a metodologia de detecção de GuardDuty malware e os mecanismos de verificação que ela usa, consulteGuardDuty mecanismo de verificação de detecção de malware.