As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# GuardDuty Proteção contra malware para AWS backup
**Topics**
+ [Visão geral do](#malware-protection-backup-overview)
+ [Como funciona a Proteção contra Malware para Backup?](malware-protection-backup-how-it-works.md)
+ [GuardDuty Proteção contra malware para backup: permissões de função do IAM](malware-protection-backup-iam-permissions.md)
+ [**(Opcional) Comece a usar o Malware Protection for Backup Independently (somente console)**](malware-protection-backup-get-started-independent.md)
+ [Iniciando uma varredura sob demanda para proteção contra malware para backup](malware-protection-backup-start-on-demand-scan.md)
+ [Monitoramento de status e resultados de escaneamento no Malware Protection for Backup](monitoring-malware-protection-backup-scans.md)
+ [Cotas de proteção contra malware para backup](malware-protection-backup-quotas.md)
## Visão geral do
O Malware Protection for Backup ajuda você a detectar a possível presença de malware em seus dados de backup examinando recursos AWS protegidos por backup, como snapshots do Amazon EBS, Amazon EC2 AMIs e pontos de recuperação do Amazon S3. Quando o AWS Backup cria ou atualiza um recurso de backup protegido, GuardDuty pode executar uma verificação de malware nesse backup para ajudar a identificar conteúdo potencialmente malicioso antes que ele seja restaurado em seu ambiente.
**Como você pode usar a Proteção contra Malware para Backup**
Você pode usar esse recurso em dois modos, dependendo se GuardDuty está habilitado em sua conta:
1. Usando a Proteção contra Malware para Backup com a GuardDuty opção ativada
Quando GuardDuty ativado em uma região, o AWS Backup integra a Proteção contra Malware ao fluxo de trabalho de GuardDuty descobertas. Os resultados da verificação de malware aparecem nas GuardDuty descobertas, além da Amazon EventBridge e da Amazon CloudWatch.
1. Usando a Proteção contra Malware para Backup sem habilitar GuardDuty
Você pode usar o Malware Protection for Backup de forma independente, sem ativar o GuardDuty serviço completo. Nesse modo, os resultados da verificação permanecem totalmente disponíveis por meio de EventBridge CloudWatch e.
**Considerações sobre o uso independente do Malware Protection for Backup**
Ao usar o recurso sem habilitar GuardDuty:
+ A configuração do plano de backup é gerenciada inteiramente no AWS Backup.
GuardDuty não fornece controles para selecionar planos de backup, cofres ou tipos de recursos. Todas as habilitações, agendamentos e configurações de políticas permanecem no Backup. AWS
+ GuardDuty as descobertas não são geradas.
As descobertas exigem uma ID de detector, que é criada somente quando GuardDuty ativada. Ao usar a Proteção contra Malware de forma independente, os resultados da verificação são exibidos exclusivamente por meio de EventBridge eventos e CloudWatch métricas.
+ Você ainda pode iniciar escaneamentos sob demanda a partir do console. GuardDuty
Mesmo quando não GuardDuty está habilitado, o GuardDuty console fornece um fluxo de trabalho para iniciar uma verificação de malware sob demanda em busca de tipos de recursos de backup compatíveis. Isso permite que os clientes usem uma GuardDuty interface familiar sem precisar do GuardDuty serviço completo.
+ Não GuardDuty clientes podem acessar fluxos de trabalho de iniciação de escaneamento.
Os pontos de entrada do escaneamento sob demanda estão disponíveis para todos os clientes que usam o Malware Protection for Backup, independentemente da existência de um GuardDuty detector na conta.
+ O comportamento e a cobertura do escaneamento permanecem idênticos.
Ativado ou não, o recurso verifica os mesmos tipos de recursos de AWS Backup com o mesmo mecanismo de detecção de malware. GuardDuty A única diferença é onde os resultados são publicados.
Esse modelo permite que os clientes adotem a verificação de malware para backups sem a necessidade GuardDuty de recursos mais amplos de detecção de ameaças, ao mesmo tempo GuardDuty em que fornece um fluxo de trabalho opcional para iniciar e visualizar as operações de verificação.
**Como funciona a Proteção contra Malware para Backup**
O Malware Protection for Backup pode verificar os seguintes AWS recursos protegidos por backup:
+ Snapshots do Amazon EBS
+ Amazon EC2 AMIs
+ Pontos de recuperação do Amazon S3
+ [Cofres bloqueados (imutáveis) (pontos de recuperação EBS/EC2) usando AWS o Backup Vault Lock em regiões suportadas](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-region)
*Digitalização incremental*
AWS O Backup captura alterações incrementais em vários tipos de recursos. GuardDuty tem a capacidade de escanear somente os blocos ou objetos novos ou alterados quando um backup é criado ou atualizado, melhorando o desempenho e reduzindo a sobrecarga de digitalização, ao mesmo tempo em que obtém cobertura total ao longo do tempo.
*Digitalização sob demanda*
Você pode iniciar um escaneamento em qualquer recurso de backup compatível a qualquer momento, diretamente do AWS Backup ou do console. GuardDuty Os casos de uso comuns incluem verificar um backup antes da restauração, verificar novamente dados antigos após a publicação de novas assinaturas de ameaças ou realizar verificações periódicas de conformidade.
**nota**
A Proteção contra Malware para Backup só pode ser ativada para recursos de backup na mesma região.
GuardDuty digitaliza uma cópia somente para leitura do backup; ela não modifica o conteúdo do backup.
A digitalização funciona tanto para cofres padrão quanto para cofres bloqueados (imutáveis).
# Como funciona a Proteção contra Malware para Backup?
Esta seção descreve os componentes do Malware Protection for Backup, como ele funciona e como você pode analisar o status e o resultado da verificação de malware.
## Visão geral do
A Proteção contra Malware para Backup é um recurso que ajuda a detectar a presença de malware em instantâneos do EBS, imagens EC2 (AMI) e pontos de recuperação pertencentes aos tipos de recursos EBS, EC2 e S3. Você pode iniciar uma verificação de malware sob demanda por meio do GuardDuty console ou da API transmitindo uma função do IAM que fornece as permissões necessárias para a verificação, junto com um ou dois recursos, ARNs dependendo da categoria da verificação. Há duas categorias de escaneamento possíveis: escaneamentos completos e escaneamentos incrementais.
### Escaneamento completo e escaneamento incremental
Uma verificação completa é quando a API aceita o ARN de um recurso e verifica todos os arquivos dentro desse recurso. Uma varredura incremental, por outro lado, usa dois recursos ARNs, ambos pertencentes ao mesmo recurso, e verifica os arquivos alterados entre eles. Como exemplo, vamos supor que tiramos um instantâneo de um volume do EBS. Vamos chamá-lo de *snapshot-1*. Se uma verificação completa for feita nesse instantâneo, GuardDuty verificará todos os arquivos contidos nesse instantâneo. Agora, vamos supor que alguns arquivos foram adicionados ao mesmo volume e um novo instantâneo foi tirado. Vamos chamá-lo de *snapshot-2*. Como apenas alguns arquivos foram alterados entre *snapshot-1 e *snapshot-2**, pode-se acionar uma verificação incremental com o recurso desses dois instantâneos. ARNs Nesse caso, *snapshot-2* é chamado de `target` recurso e *snapshot-1* é chamado de recurso. `base` Você verá essa terminologia usada no restante do documento. *Essa verificação incremental examinará os arquivos alterados entre *snapshot-1 e snapshot-2*.*
### Examinando novamente arquivos infectados anteriormente em uma verificação incremental
Como parte de uma verificação incremental, também GuardDuty examinará novamente os arquivos infectados anteriormente a partir da verificação básica por até 365 dias.
### Requisitos para uma verificação incremental
Os requisitos a seguir devem ser atendidos GuardDuty para realizar uma varredura incremental. Se algum desses requisitos não for atendido, GuardDuty pulará a verificação.
+ O recurso básico deve ser escaneado nos últimos 365 dias e o resultado da verificação deve estar em `COMPLETED` ou`COMPLETED_WITH_ISSUES`.
+ O recurso base deve ter uma data de criação anterior à do recurso de destino.
+ Os recursos base e de destino devem ter o mesmo tipo de criptografia no caso de instantâneos.
+ Os recursos base e alvo devem ser da mesma linhagem.
+ Para um snapshot do EBS e um ponto de recuperação do EBS, isso significa que eles vêm do mesmo volume ou são cópias do mesmo volume, sem nenhuma alteração no tipo de criptografia.
+ Para um ponto de recuperação do S3, os recursos base e de destino ARNs devem ser criados a partir do mesmo bucket do S3 subjacente.
+ No caso de AMIs, pares de instantâneos são comparados entre a AMI básica e a de destino para identificar instantâneos para uma verificação incremental. Cada par de instantâneos precisa atender às condições mencionadas acima. Qualquer instantâneo dentro da AMI de destino que não tenha um instantâneo correspondente na AMI base será ignorado.
### Digitalizando novamente os recursos de backup digitalizados anteriormente
Você pode iniciar uma nova verificação de malware sob demanda no mesmo recurso após 10 minutos a partir da hora de início da verificação de malware anterior. Se a nova verificação de malware for iniciada dentro de 10 minutos após o início da verificação de malware anterior, sua solicitação resultará no seguinte erro e nenhuma ID de verificação será gerada para essa solicitação. As etapas para verificar novamente a instância permanecem as mesmas usadas para iniciar uma verificação de malware sob demanda pela primeira vez.
## Função do IAM necessária para digitalização
Você precisa passar uma função do IAM para iniciar uma verificação completa ou incremental. Essa função fornece as permissões necessárias para realizar as operações de varredura. [GuardDuty Proteção contra malware para backup: permissões de função do IAM](malware-protection-backup-iam-permissions.md)fornece a lista exata das permissões necessárias, junto com a política de confiança relevante necessária para realizar a verificação.
## Analisando o status e o resultado do escaneamento de recursos
GuardDuty publica o evento do resultado da digitalização no barramento de eventos EventBridge padrão da Amazon. GuardDuty usa at-least-once entrega, o que significa que você pode receber vários resultados de escaneamento para o mesmo objeto. Recomendamos projetar suas aplicações para lidar com resultados duplicados. Você é cobrado apenas uma vez por cada objeto verificado.
Para obter mais informações, consulte [Monitoramento de status e resultados de escaneamento no Malware Protection for Backup](monitoring-malware-protection-backup-scans.md).
## Revisar descobertas geradas
A análise das descobertas depende de você estar ou não usando o Malware Protection for Backup com GuardDuty. Considere os seguintes cenários:
**Usando a Proteção contra Malware para Backup quando o GuardDuty serviço está ativado (ID do detector)**
Se a verificação de malware detectar um arquivo potencialmente malicioso em um recurso de Backup escaneado, GuardDuty gerará uma descoberta associada. É possível visualizar os detalhes da descoberta e usar as etapas recomendadas para corrigir a descoberta. Com base na [frequência de suas descobertas de exportação](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency), a descoberta gerada é exportada para um bucket do S3 e para um barramento de EventBridge eventos da Amazon.
Para obter informações sobre o tipo de descoberta que seria gerado, consulte [Proteção contra malware para tipos de descoberta de Backup](findings-malware-protection-backup.md) Como encontrar tipos de proteção contra malware para backup.
**Usando a Proteção contra Malware para Backup como um recurso independente (sem ID de detector)**
GuardDuty não será capaz de gerar descobertas porque não há uma ID de detector associada. Para saber o status do escaneamento do seu recurso de backup, você pode ver o resultado do escaneamento que é publicado GuardDuty automaticamente no seu barramento de eventos padrão.
Para obter informações sobre o status e o resultado do escaneamento, consulte[Monitoramento de status e resultados de escaneamento no Malware Protection for Backup](monitoring-malware-protection-backup-scans.md).
**nota**
Se você também estiver usando o Malware Protection for S3, é possível que seu arquivo S3 tenha sido marcado anteriormente como NO\$1THREATS\$1FOUND e, ainda assim, o mesmo arquivo possa aparecer na lista de ameaças do Backup Recovery Point ao qual o objeto pertence. Isso acontece porque o serviço atualiza com frequência suas assinaturas de malware, o que pode ter alterado o status do arquivo. Observe que, nesses casos, GuardDuty não volta e atualiza a tag no arquivo no bucket S3 original. A única maneira de aplicar uma tag atualizada ao arquivo é recarregando o objeto no bucket ou usando o recurso de varredura sob demanda do S3.
# GuardDuty Proteção contra malware para backup: permissões de função do IAM
## Função de cliente fornecida para verificação de malware
GuardDuty A Proteção contra Malware espera que uma função de cliente (função de scanner) seja fornecida quando as verificações são iniciadas nos recursos de Backup, ou seja, instantâneos, AMIs e EBS/EC2/S 3 pontos de recuperação. Essa função fornece as permissões necessárias GuardDuty para realizar a verificação nesses recursos específicos. A política de permissões e a política de confiança para essa função podem ser encontradas em[Política de permissões e confiança para a função](#malware-protection-backup-permissions-trust-policy). A seção abaixo descreve por que cada uma dessas permissões é necessária.
## Detalhes sobre as permissões
+ `ModifySnapshotAttribute`- Permite que instantâneos criptografados com chave não criptografada e gerenciados pelo cliente sejam acessados pela conta de serviço do GuardDuty Malware Protection.
+ `CreateGrant`- Permite que a Proteção contra GuardDuty Malware crie e acesse um volume EBS criptografado com chave gerenciada pelo cliente a partir do instantâneo criptografado da chave gerenciada pelo cliente ao qual a conta de GuardDuty serviço tem acesso.
+ `RetireGrant`- Permite que a Proteção contra GuardDuty Malware retire as concessões que foram criadas na Chave Gerenciada pelo Cliente para leitura de instantâneos criptografados
+ `ReEncryptTo`e `ReEncryptFrom` - Exigido pelo EBS para dar GuardDuty acesso a snapshots criptografados com chaves gerenciadas pelo cliente e criar volumes criptografados a partir delas. Embora os clientes possam considerar ReEncryption um instantâneo durante o compartilhamento como uma transição fundamental, os instantâneos permanecem imutáveis do ponto de vista do cliente depois de criados.
+ `ListSnapshotBlocks`e `GetSnapshotBlock` - O EBS Direct APIs é usado para acessar os blocos de snapshot de um snapshot criptografado com chave AWS gerenciada. Isso é feito porque os instantâneos criptografados com chave AWS gerenciada não podem ser acessados de outra forma entre contas.
+ `Decrypt`- Permite descriptografar instantâneos básicos que são criptografados por chave gerenciada pelo cliente quando são baixados na memória usando o EBS Direct APIs como parte da verificação incremental.
+ `ListChangedBlocks`- API EBS Direct usada na verificação incremental de instantâneos para obter a lista de blocos alterados entre dois instantâneos.
+ `DescribeKey`- Permite que a Proteção contra GuardDuty Malware determine o ID da chave AWS gerenciada na conta do cliente.
+ `DescribeImages`- Permite que uma AMI seja descrita para obter a lista de instantâneos pertencentes à AMI.
+ `DescribeRecoveryPoint`- Permite que o serviço busque os detalhes do ponto de recuperação e verifique o tipo de recurso do ponto de recuperação.
+ `CreateBackupAccessPoint`,`DescribeBackupAccessPoint`, `DeleteBackupAccessPoint` - Permite que o serviço crie, descreva e exclua o ponto de acesso necessário para acessar os pontos de recuperação.
+ `kms:Decrypt`- Permite que o serviço acesse objetos em um ponto de recuperação do S3 durante uma verificação do ponto de recuperação do S3.
## Protegendo a função
A função deve ser configurada com uma política de confiança que confie no diretor do serviço de Proteção contra GuardDuty Malware. Isso garante que nenhum diretor além do GuardDuty serviço possa assumir essa função. Além disso, você é incentivado a reduzir as políticas a recursos específicos, em vez de`*`. Isso inclui IDs de instantâneos e IDs de chave. Isso garantirá que a função forneça acesso somente a esses recursos específicos.
**Importante**
A configuração incorreta pode resultar em falhas de varredura devido a permissões insuficientes.
## Como a Proteção contra GuardDuty Malware usa subsídios no AWS KMS
GuardDuty A Proteção contra Malware exige [subsídios](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) para usar suas chaves KMS.
Quando você inicia uma verificação em um instantâneo criptografado ou em uma AMI do EC2 que consiste em instantâneos criptografados, o GuardDuty Malware Protection cria concessões em seu nome enviando uma [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)solicitação ao KMS. AWS Essas concessões dão GuardDuty acesso a uma chave específica em sua conta.
GuardDuty A Proteção contra Malware exige a concessão para usar sua chave gerenciada pelo cliente para as seguintes operações internas:
+ Envie [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)solicitações AWS para obter detalhes sobre a chave simétrica gerenciada pelo cliente com a qual o recurso enviado para uma verificação de malware está criptografado.
+ Crie um volume do EBS a partir de um snapshot criptografado usando a [CreateVolume](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html)API e criptografe o volume com a mesma chave.
+ Acesse blocos de instantâneos no instantâneo por meio da [GetSnapshotBlock](https://docs.aws.amazon.com/ebs/latest/APIReference/API_GetSnapshotBlock.html)API durante uma verificação incremental.
+ Envie solicitações de [descriptografia](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) ao AWS KMS para descriptografar as chaves de dados criptografadas para que elas possam ser usadas para ler os dados no instantâneo durante a verificação.
Você pode revogar a concessão criada ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, GuardDuty não conseguirá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados.
## GuardDuty Contexto de criptografia de proteção contra malware
Um [contexto de criptografia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) é um conjunto opcional de pares de chave/valor que pode conter informações contextuais adicionais sobre os dados.
Quando você inclui um contexto de criptografia em uma solicitação para criptografar dados, o AWS KMS; vincula o contexto de criptografia aos dados criptografados. Para descriptografar os dados, você inclui o mesmo contexto de criptografia na solicitação.
GuardDuty A Proteção contra Malware usa um dos dois contextos de criptografia.
**Contexto de criptografia 1:** A chave é`aws:guardduty:id`.
```
"encryptionContext": {
"aws:guardduty:id": "snap-11112222333344"
}
```
Esse contexto de criptografia é usado com operações de concessão: CreateGrant, Decrypt,,, GenerateDataKeyWithoutPlaintext, ReEncryptTo. RetireGrant DescribeKey
Uma concessão é criada no recurso atual com esse contexto de criptografia e operações de concessão.
**Contexto de criptografia 2:** A chave é `aws:ebs:id`
```
"encryptionContext": {
"aws:ebs:id": "snap-11112222333344"
}
```
Esse contexto de criptografia é usado com operações de concessão: ReEncryptFrom, Decrypt,,. RetireGrant DescribeKey
Três concessões são criadas com esses contextos de criptografia e operações de concessão. Um no instantâneo de destino com a operação de `ReEncryptFrom` concessão. Um segundo no instantâneo de destino com `Decrypt, RetireGrant, DescribeKey` operações. E uma terceira no instantâneo básico com as mesmas operações de concessão da segunda concessão.
## Política de permissões e confiança para a função
**Política de permissões**
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "CreateGrantPermissions",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"ForAnyValue:StringLike": {
"kms:EncryptionContext:aws:guardduty:id": "snap-*",
"kms:ViaService": [
"guardduty.*.amazonaws.com",
"backup.*.amazonaws.com"
]
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"CreateGrant",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant",
"DescribeKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Sid": "CreateGrantPermissionsForReEncryptAndDirectAPIs",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"ForAnyValue:StringLike": {
"kms:EncryptionContext:aws:ebs:id": "snap-*",
"kms:ViaService": [
"guardduty.*.amazonaws.com",
"backup.*.amazonaws.com"
]
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"ReEncryptTo",
"ReEncryptFrom",
"RetireGrant",
"DescribeKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "ShareSnapshotPermission",
"Effect": "Allow",
"Action": [
"ec2:ModifySnapshotAttribute"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*"
},
{
"Sid": "ShareSnapshotKMSPermission",
"Effect": "Allow",
"Action": [
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "DescribeKeyPermission",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "DescribeRecoveryPointPermission",
"Effect": "Allow",
"Action": [
"backup:DescribeRecoveryPoint"
],
"Resource": "*"
},
{
"Sid": "CreateBackupAccessPointPermissions",
"Effect" : "Allow",
"Action" : [
"backup:CreateBackupAccessPoint"
],
"Resource": "arn:aws:backup:*:*:recovery-point:*"
},
{
"Sid": "ReadAndDeleteBackupAccessPointPermissions",
"Effect" : "Allow",
"Action" : [
"backup:DescribeBackupAccessPoint",
"backup:DeleteBackupAccessPoint"
],
"Resource": "*"
},
{
"Sid": "KMSKeyPermissionsForInstantAccess",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
**Política de confiança**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
# **(Opcional) Comece a usar o Malware Protection for Backup Independently (somente console)**
Use essa etapa opcional quando quiser começar a usar a opção de detecção de ameaças do Malware Protection for Backup, independente do GuardDuty status da sua AWS conta.
Se você também quiser usar outros planos de proteção dedicados GuardDuty, você deve começar a usar o GuardDuty serviço da Amazon. Para obter informações sobre planos de GuardDuty proteção, consulte [Características do GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty).
## **Etapas para começar a usar o Malware Protection for Backup**
1. Faça login no AWS Management Console e abra o [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)
1. Selecione **Descubra os recursos de proteção contra malware** e clique em **Começar**.
1. Ao clicar em **Começar**, você pode escolher entre as opções, incluindo os recursos de AWS Backup e Proteção contra Malware do S3.
![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/malware_protection_backup_new_feature_console.png)
1. Você é direcionado para a página Proteção contra Malware para Backup, onde pode escolher **Iniciar uma verificação sob demanda ou Exibir escaneamentos** **de malware**.
![\[alt text not found\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/images/malware_protection_backup_console.png)
# Iniciando uma varredura sob demanda para proteção contra malware para backup
## Console
1. Faça login no AWS Management Console e abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/).
1. Navegue até **Malware Protection for Backup** e clique em **Iniciar escaneamento sob demanda**.
1. Escolha entre escaneamento completo e escaneamento incremental.
1. Para iniciar uma verificação completa, insira o ARN do recurso a ser verificado.
1. Para uma verificação incremental, insira o ARN do recurso de destino e o ARN do recurso de linha de base.
1. Se o recurso que está sendo escaneado for um Ponto de Recuperação, você também precisará inserir o nome do AWS Backup Vault ao qual ele pertence.
1. Acesso ao serviço - você precisa escolher uma função que tenha as permissões necessárias para acessar o recurso e realizar a verificação. Clique em **Exibir política** para ver as permissões exatas necessárias para a função, juntamente com a política de confiança necessária.
Você pode fazer alterações na política com base em seus requisitos ou reduzir as permissões para o recurso exato. Para obter mais detalhes sobre como você pode criar ou atualizar uma função do IAM, consulte[GuardDuty Proteção contra malware para backup: permissões de função do IAM](malware-protection-backup-iam-permissions.md).
Para problemas com permissões de função do IAM, consulte [Solução de problemas de erro de permissões de função do IAM](https://docs.aws.amazon.com/guardduty/latest/ug/troubleshoot-malware-protection-s3-iam-role-permissions-error.html).
## API/CLI
Invoke [StartMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StartMalwareScan.html)that aceita o `resourceArn` recurso para o qual você deseja iniciar uma verificação de malware sob demanda. Se você quiser iniciar uma varredura incremental, passe a entrada`baselineResourceArn`. `incrementalScanDetails` Como parte da configuração do escaneamento, você também precisa fornecer uma função do IAM que tenha todas as permissões necessárias para iniciar o escaneamento. Depois de iniciar uma verificação com sucesso, `StartMalwareScan` retorna um `scanId`. Invoque a `GetMalwareScan` API para monitorar o progresso da verificação iniciada e obter detalhes da verificação depois de concluída.
# Monitoramento de status e resultados de escaneamento no Malware Protection for Backup
Depois que uma verificação de malware é iniciada, GuardDuty fornece alguns mecanismos por meio dos quais você pode monitorar o status e o resultado de uma verificação. A tabela a seguir fornece alguns dos valores associados aos escaneamentos de malware.
| Categoria | Valores potenciais |
| --- | --- |
| Status da verificação | `RUNNING`, `COMPLETED`, `COMPLETED_WITH_ISSUES`, `FAILED` ou `SKIPPED` |
| Categoria de digitalização | `FULL_SCAN` ou `INCREMENTAL_SCAN` |
| Tipo de verificação | `GUARDDUTY_INITIATED`, `ON_DEMAND` ou `BACKUP_INITIATED` |
| Status do resultado da verificação | `NO_THREATS_FOUND` ou `THREATS_FOUND` |
\$1Observe que o status do resultado da verificação pode não estar presente se a verificação não tiver sido concluída. O status do resultado da verificação de THREATS\$1FOUND indica que foi GuardDuty detectada a presença de malware.
Para pontos de recuperação do S3, COMPLETED\$1WITH\$1ISSUES indica que alguns arquivos foram ignorados ou falharam. Para AMIs, COMPLETED\$1WITH\$1ISSUES indica que pelo menos 1 snapshot não pôde ser escaneado. Veja abaixo a lista de motivos ignorados.
As digitalizações também podem ser ignoradas por vários motivos. A tabela abaixo explica os motivos pelos quais os escaneamentos podem ser ignorados:
| Motivo do escaneamento ignorado | Motivo |
| --- | --- |
| ACCESS\$1DENIED | O Customer Role não tem as permissões necessárias para que o serviço realize a verificação |
| RESOURCE\$1NOT\$1FOUND | O recurso que está tentando ser escaneado não existe na conta ou foi excluído durante a verificação |
| LIMITE DE TAMANHO DO SNAPSHOT EXCEDIDO | O tamanho do instantâneo é maior do que o atualmente suportado pelo GuardDuty |
| INCREMENTAL SEM DIFERENÇA | Os recursos especificados na solicitação de verificação incremental não têm diferença |
| RECURSO\$1INDISPONÍVEL | O recurso não está no estado esperado. Se a verificação for incremental, o ponto de recuperação básico não estará no estado DISPONÍVEL ou CONCLUÍDO |
| RECURSOS\$1NÃO RELACIONADOS | Para varreduras incrementais - os recursos base e atual não são da mesma linhagem |
| RECURSO BÁSICO NÃO ESCANEADO | Para verificações incrementais - o recurso básico não foi escaneado anteriormente ou nenhuma verificação concluída foi encontrada |
| BASE\$1CREATED\$1AFTER\$1TARGET | Para varreduras incrementais - a data de criação do recurso base é maior que a data de criação do recurso atual |
| NÃO SUPORTADO PARA INCREMENTOS | O tipo de recurso solicitado não oferece suporte à varredura incremental |
| AMI-NÃO SUPORTADO | AMIs públicas, AMIs com apenas armazenamento temporário e AMIs que não estão em um estado disponível não são elegíveis para verificação |
| INSTANTÂNEO\$1NÃO SUPORTADO | Os instantâneos de armazenamento a frio não são elegíveis para digitalização |
| COMPOSITE\$1RP NÃO SUPORTADO | A digitalização não é suportada para tipos de recursos compostos |
| TIPO DE CÓDIGO\$1DE\$1PRODUTO NÃO SUPORTADO | O recurso solicitado contém um código de produto do Amazon Marketplace que não é compatível com a digitalização |
| AMI\$1SNAPSHOT\$1LIMIT\$1EXCEDIDO | As AMIs não suportam a digitalização de mais de 40 instantâneos |
| NENHUM VOLUME DE EBS ENCONTRADO | Nenhum mapeamento de dispositivo de bloco do Ebs foi encontrado para o recurso solicitado |
| RECURSOS\$1NÃO RELACIONADOS | Para varreduras incrementais - o arn do recurso básico difere do arn do recurso esperado |
| TODOS OS ARQUIVOS FORAM IGNORADOS OU FALHARAM | Todos os arquivos na verificação foram ignorados ou falharam |
Os resultados da verificação têm um período de retenção de 90 dias. Escolha seu método de acesso preferido para rastrear o status da verificação de malware.
**Monitorando escaneamentos usando o console**
1. Abra o GuardDuty console em [https://console.aws.amazon.com/guardduty/.](https://console.aws.amazon.com/guardduty/)
1. No painel de navegação, escolha **Verificações de malware**.
1. Você pode filtrar as verificações de malware pelas seguintes **Propriedades** disponíveis na *barra de pesquisa de filtro*.
+ **ID do escaneamento** — Identificador exclusivo associado ao escaneamento de malware.
+ **ID da conta** — Conta em que a verificação de malware foi iniciada.
+ **ARN do recurso** — Nome do recurso da Amazon (ARN) associado ao recurso da Amazon associado ao escaneamento.
+ **Tipo de recurso** — O tipo de recurso associado à verificação, como Instância EC2, EBS Snapshot \$1 EC2 AMI, EBS Recovery Point, EC2 Recovery Point ou S3 Recovery Point.
+ **Status** — O status do escaneamento, como Executando, Ignorado, Concluído, Concluído com Problemas ou Falha.
+ **Tipo de escaneamento** — Indica se foi um escaneamento de GuardDuty malware sob demanda, iniciado ou iniciado por backup.
**Monitorando escaneamentos usando a API/CLI**
+ Você pode invocar ListMalwareScans para filtrar escaneamentos de malware por `RESOURCE_ARN``SCAN_ID`,`ACCOUNT_ID`,`SCAN_TYPE GUARDDUTY_FINDING_ID`,, `SCAN_STATUS``RESOURCE_TYPE`, e. `SCAN_START_TIME` Você também pode invocar GetMalwareScan para recuperar metadados mais detalhados de um escaneamento fornecendo um ID de digitalização como entrada. Os critérios do `GUARDDUTY_FINDING_ID` filtro estão disponíveis quando o `SCAN_TYPE` é GuardDuty iniciado.
+ Você pode alterar o exemplo *filter-criteria* no comando abaixo e filtrar com base `CriterionKey` em um de cada vez. As opções para `CriterionKey` são `Resource_ARN``SCAN_ID`,`ACCOUNT_ID`,`SCAN_TYPE`, `GUARDDUTY_FINDING_ID``SCAN_STATUS`,`RESOURCE_TYPE`,, `SCAN_START_TIME` e. Você pode alterar o *max-results* (até 50) e *sort-criteria* o. O `AttributeName` campo é obrigatório `sort-criteria` e deve ser definido como`scanStartTime`. No exemplo a seguir, os valores em *red* são espaços reservados. Substitua-os pelos valores apropriados para sua conta. Se você usar o `CriterionKey` mesmo que abaixo ListMalwareScans, certifique-se de substituir o exemplo `EqualsValue` pelo qual *resource-type* você deseja filtrar.
```
aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
```
```
aws guardduty get-malware-scan --scan-id abc123
```
+ A resposta para o comando acima ListMalwareScans retornará até 25 escaneamentos com alguns detalhes sobre o (s) recurso (s) afetado (s). A resposta para o comando acima para GetMalwareScan retornará um único escaneamento com metadados detalhados sobre o escaneamento.
**Monitorando escaneamentos usando EventBridge**
EventBridge A Amazon é um serviço de ônibus de eventos sem servidor que facilita a conexão de seus aplicativos com dados de várias fontes. EventBridge fornece um fluxo de dados em tempo real de seus próprios aplicativos, aplicativos Software-as-a-Service (SaaS) e serviços da Amazon e encaminha esses dados para destinos como o Lambda. Isso permite monitorar eventos que ocorram em serviços e criem arquiteturas orientadas a eventos. Para obter mais informações, consulte o [Guia EventBridge do usuário da Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
GuardDuty publica EventBridge notificações no barramento de eventos padrão quando o status do escaneamento é determinado. Você pode configurar EventBridge regras em sua conta para enviar eventos para outros serviços integrados à Amazon EventBridge. O EventBridge preço padrão será aplicado. Para obter mais informações, consulte os [ EventBridge preços da Amazon](https://aws.amazon.com/eventbridge/pricing/).
Muitos dos valores mostrados abaixo são espaços reservados para o exemplo e variam de acordo com o escaneamento.
**Eventos de resultados da verificação de malware**
Valores potenciais do tipo de detalhe para Backup:
+ “Resultado do EBS Snapshot Scan para proteção contra GuardDuty malware”
+ “Resultado da verificação do EC2 AMI do GuardDuty Malware Protection”
+ “Resultado da verificação do ponto de recuperação S3 do GuardDuty Malware Protection”
+ “Resultado da verificação do EBS Recovery Point para proteção contra GuardDuty malware”
+ “Resultado da verificação do ponto de recuperação do EC2 com proteção contra GuardDuty malware”
**Exemplo de padrão de evento:**
```
{
"detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
"source": ["aws.guardduty"]
}
```
**Exemplo de esquema de notificação para o EC2 AMI Scan sem ameaças encontradas:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": null,
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"scanResultStatus": "NO_THREATS_FOUND",
"uniqueThreatCount": null
}
}
}
```
**Exemplo de esquema de notificação para o EC2 AMI Scan com ameaças encontradas:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": null,
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"scanResultStatus": "THREATS_FOUND",
"uniqueThreatCount": 1,
"threats": {
"name": "EICAR-Test-File (not a virus)",
"source": "AMAZON",
"count": 2,
"itemDetails": [{
"resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
"hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
"itemPath": "/eicar.txt",
"additionalInfo": {
"versionId": null,
"deviceName": "/dev/sdf"
}
}]
}
}
}
}
```
**Exemplo de esquema de notificação para verificação ignorada de AMI do EC2:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": "UNSUPPORTED_AMI",
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"uniqueThreatCount": null,
"threats": null
}
}
}
```
# Cotas de proteção contra malware para backup
**Proteção contra malware para cotas de backup**
| Nome da cota | AWS valor da cota padrão | É ajustável? | Description |
| --- | --- | --- | --- |
| StartMalwareScan Limite de TPS para todos os tipos de recursos | 10 | Não | |
| Tamanho máximo de instantâneo suportado | 2 TB | Não | |
| Sistemas de arquivos compatíveis para varreduras de instantâneos e AMI | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/guardduty/latest/ug/malware-protection-backup-quotas.html) | Não | |
| Número máximo de instantâneos em uma AMI com suporte para verificação de malware | 40 para digitalização completa. Se houver mais de 40, GuardDuty digitalizará apenas 40 entre todos os instantâneos. Para uma varredura incremental, a varredura é ignorada. | Não | |
| Tamanho máximo de um objeto em um ponto de recuperação S3 | 100 GB | Não | O tamanho máximo do objeto S3 que GuardDuty tentará verificar se há malware. Embora essa cota não seja ajustável, se você precisar digitalizar objetos maiores, entre em contato com o Support para determinar se GuardDuty pode aumentar a cota para seu caso de uso. |
| Bytes de arquivo extraídos | 100 GB | Não | A quantidade máxima de dados que GuardDuty podem ser extraídos e analisados de um arquivo. GuardDuty ignorará a extração de arquivos compactados para mais de 100 GB. |
| Arquivos extraídos | 10.000 | Não | O número máximo de arquivos que GuardDuty podem ser extraídos e analisados em um arquivo. Se o arquivo contiver mais de 10.000 arquivos, GuardDuty será necessário ignorar o arquivo arquivado. Os tipos de arquivos compostos estão potencialmente sujeitos a esses limites. Os tipos de arquivo incluem, mas não estão limitados a, mensagens de e-mail codificadas com Extensões MIME (Multipurpose Internet Mail Extensions), arquivos Python compilados (PYC), arquivos de ajuda em HTML compilado (CHM), todos os instaladores e documentos de formato (ODF). OpenDocument |
| Níveis máximos de profundidade de arquivo | 5 | Não | Os níveis máximos de arquivos aninhados que GuardDuty podem ser extraídos. Se o arquivamento incluir arquivos que estejam aninhados além desse valor, os arquivos aninhados GuardDuty serão ignorados. |