Monitoramento de status e resultados de escaneamento no Malware Protection for Backup

Depois que uma verificação de malware é iniciada, GuardDuty fornece alguns mecanismos por meio dos quais você pode monitorar o status e o resultado de uma verificação. A tabela a seguir fornece alguns dos valores associados aos escaneamentos de malware.

Categoria	Valores potenciais
Status da verificação	`RUNNING`, `COMPLETED`, `COMPLETED_WITH_ISSUES`, `FAILED` ou `SKIPPED`
Categoria de digitalização	`FULL_SCAN` ou `INCREMENTAL_SCAN`
Tipo de verificação	`GUARDDUTY_INITIATED`, `ON_DEMAND` ou `BACKUP_INITIATED`
Status do resultado da verificação	`NO_THREATS_FOUND` ou `THREATS_FOUND`

*Observe que o status do resultado da verificação pode não estar presente se a verificação não tiver sido concluída. O status do resultado da verificação de THREATS_FOUND indica que foi GuardDuty detectada a presença de malware.

Para pontos de recuperação do S3, COMPLETED_WITH_ISSUES indica que alguns arquivos foram ignorados ou falharam. Para AMIs, COMPLETED_WITH_ISSUES indica que pelo menos 1 snapshot não pôde ser escaneado. Veja abaixo a lista de motivos ignorados.

As digitalizações também podem ser ignoradas por vários motivos. A tabela abaixo explica os motivos pelos quais os escaneamentos podem ser ignorados:

Motivo do escaneamento ignorado	Motivo
ACCESS_DENIED	O Customer Role não tem as permissões necessárias para que o serviço realize a verificação
RESOURCE_NOT_FOUND	O recurso que está tentando ser escaneado não existe na conta ou foi excluído durante a verificação
LIMITE DE TAMANHO DO SNAPSHOT EXCEDIDO	O tamanho do instantâneo é maior do que o atualmente suportado pelo GuardDuty
INCREMENTAL SEM DIFERENÇA	Os recursos especificados na solicitação de verificação incremental não têm diferença
RECURSO_INDISPONÍVEL	O recurso não está no estado esperado. Se a verificação for incremental, o ponto de recuperação básico não estará no estado DISPONÍVEL ou CONCLUÍDO
RECURSOS_NÃO RELACIONADOS	Para varreduras incrementais - os recursos base e atual não são da mesma linhagem
RECURSO BÁSICO NÃO ESCANEADO	Para verificações incrementais - o recurso básico não foi escaneado anteriormente ou nenhuma verificação concluída foi encontrada
BASE_CREATED_AFTER_TARGET	Para varreduras incrementais - a data de criação do recurso base é maior que a data de criação do recurso atual
NÃO SUPORTADO PARA INCREMENTOS	O tipo de recurso solicitado não oferece suporte à varredura incremental
AMI-NÃO SUPORTADO	AMIs públicas, AMIs com apenas armazenamento temporário e AMIs que não estão em um estado disponível não são elegíveis para verificação
INSTANTÂNEO_NÃO SUPORTADO	Os instantâneos de armazenamento a frio não são elegíveis para digitalização
COMPOSITE_RP NÃO SUPORTADO	A digitalização não é suportada para tipos de recursos compostos
TIPO DE CÓDIGO_DE_PRODUTO NÃO SUPORTADO	O recurso solicitado contém um código de produto do Amazon Marketplace que não é compatível com a digitalização
AMI_SNAPSHOT_LIMIT_EXCEDIDO	As AMIs não suportam a digitalização de mais de 40 instantâneos
NENHUM VOLUME DE EBS ENCONTRADO	Nenhum mapeamento de dispositivo de bloco do Ebs foi encontrado para o recurso solicitado
RECURSOS_NÃO RELACIONADOS	Para varreduras incrementais - o arn do recurso básico difere do arn do recurso esperado
TODOS OS ARQUIVOS FORAM IGNORADOS OU FALHARAM	Todos os arquivos na verificação foram ignorados ou falharam

Os resultados da verificação têm um período de retenção de 90 dias. Escolha seu método de acesso preferido para rastrear o status da verificação de malware.

Monitorando escaneamentos usando o console

Abra o GuardDuty console em https://console.aws.amazon.com/guardduty/.
No painel de navegação, escolha Verificações de malware.
Você pode filtrar as verificações de malware pelas seguintes Propriedades disponíveis na barra de pesquisa de filtro.
- ID do escaneamento — Identificador exclusivo associado ao escaneamento de malware.
- ID da conta — Conta em que a verificação de malware foi iniciada.
- ARN do recurso — Nome do recurso da Amazon (ARN) associado ao recurso da Amazon associado ao escaneamento.
- Tipo de recurso — O tipo de recurso associado à verificação, como Instância EC2, EBS Snapshot | EC2 AMI, EBS Recovery Point, EC2 Recovery Point ou S3 Recovery Point.
- Status — O status do escaneamento, como Executando, Ignorado, Concluído, Concluído com Problemas ou Falha.
- Tipo de escaneamento — Indica se foi um escaneamento de GuardDuty malware sob demanda, iniciado ou iniciado por backup.

Monitorando escaneamentos usando a API/CLI

Você pode invocar ListMalwareScans para filtrar escaneamentos de malware por RESOURCE_ARNSCAN_ID,ACCOUNT_ID,SCAN_TYPE GUARDDUTY_FINDING_ID,, SCAN_STATUSRESOURCE_TYPE, e. SCAN_START_TIME Você também pode invocar GetMalwareScan para recuperar metadados mais detalhados de um escaneamento fornecendo um ID de digitalização como entrada. Os critérios do GUARDDUTY_FINDING_ID filtro estão disponíveis quando o SCAN_TYPE é GuardDuty iniciado.
Você pode alterar o exemplo filter-criteria no comando abaixo e filtrar com base CriterionKey em um de cada vez. As opções para CriterionKey são Resource_ARNSCAN_ID,ACCOUNT_ID,SCAN_TYPE, GUARDDUTY_FINDING_IDSCAN_STATUS,RESOURCE_TYPE,, SCAN_START_TIME e. Você pode alterar o max-results (até 50) e sort-criteria o. O AttributeName campo é obrigatório sort-criteria e deve ser definido comoscanStartTime. No exemplo a seguir, os valores em red são espaços reservados. Substitua-os pelos valores apropriados para sua conta. Se você usar o CriterionKey mesmo que abaixo ListMalwareScans, certifique-se de substituir o exemplo EqualsValue pelo qual resource-type você deseja filtrar.
```
aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
```
```
aws guardduty get-malware-scan --scan-id abc123
```
A resposta para o comando acima ListMalwareScans retornará até 25 escaneamentos com alguns detalhes sobre o (s) recurso (s) afetado (s). A resposta para o comando acima para GetMalwareScan retornará um único escaneamento com metadados detalhados sobre o escaneamento.

Monitorando escaneamentos usando EventBridge

EventBridge A Amazon é um serviço de ônibus de eventos sem servidor que facilita a conexão de seus aplicativos com dados de várias fontes. EventBridge fornece um fluxo de dados em tempo real de seus próprios aplicativos, aplicativos Software-as-a-Service (SaaS) e serviços da Amazon e encaminha esses dados para destinos como o Lambda. Isso permite monitorar eventos que ocorram em serviços e criem arquiteturas orientadas a eventos. Para obter mais informações, consulte o Guia EventBridge do usuário da Amazon.

GuardDuty publica EventBridge notificações no barramento de eventos padrão quando o status do escaneamento é determinado. Você pode configurar EventBridge regras em sua conta para enviar eventos para outros serviços integrados à Amazon EventBridge. O EventBridge preço padrão será aplicado. Para obter mais informações, consulte os EventBridge preços da Amazon.

Muitos dos valores mostrados abaixo são espaços reservados para o exemplo e variam de acordo com o escaneamento.

Eventos de resultados da verificação de malware

Valores potenciais do tipo de detalhe para Backup:

“Resultado do EBS Snapshot Scan para proteção contra GuardDuty malware”
“Resultado da verificação do EC2 AMI do GuardDuty Malware Protection”
“Resultado da verificação do ponto de recuperação S3 do GuardDuty Malware Protection”
“Resultado da verificação do EBS Recovery Point para proteção contra GuardDuty malware”
“Resultado da verificação do ponto de recuperação do EC2 com proteção contra GuardDuty malware”

Exemplo de padrão de evento:


{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

Exemplo de esquema de notificação para o EC2 AMI Scan sem ameaças encontradas:


{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para o EC2 AMI Scan com ameaças encontradas:


{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}

Mostrar mais

Mostrar menos

Exemplo de esquema de notificação para verificação ignorada de AMI do EC2:


{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}

Mostrar mais

Mostrar menos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Iniciando varreduras sob demanda

Proteção contra malware para cotas de backup