本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# GuardDuty AWS 備份惡意軟體防護
**Topics**
+ [概觀](#malware-protection-backup-overview)
+ [備份的惡意軟體防護如何運作?](malware-protection-backup-how-it-works.md)
+ [備份的 GuardDuty 惡意軟體保護:IAM 角色許可](malware-protection-backup-iam-permissions.md)
+ [**(選用) 開始獨立備份的惡意軟體防護 (僅限主控台)**](malware-protection-backup-get-started-independent.md)
+ [啟動隨需掃描以進行備份的惡意軟體防護](malware-protection-backup-start-on-demand-scan.md)
+ [監控掃描狀態並導致備份的惡意軟體防護](monitoring-malware-protection-backup-scans.md)
+ [備份惡意軟體防護配額](malware-protection-backup-quotas.md)
## 概觀
惡意軟體保護備份可協助您掃描受 AWS 備份保護的資源,例如 Amazon EBS 快照、Amazon EC2 AMIs 和 Amazon S3 復原點,以偵測備份資料中是否存在惡意軟體。當 AWS Backup 建立或更新受保護的備份資源時,GuardDuty 可以對該備份執行惡意軟體掃描,以協助識別潛在的惡意內容,然後再還原到您的環境。
**如何使用惡意軟體防護進行備份**
您可以兩種模式使用此功能,取決於您的帳戶是否啟用 GuardDuty:
1. 在啟用 GuardDuty 的情況下使用惡意軟體保護進行備份
在區域中啟用 GuardDuty 時, AWS Backup 會將惡意軟體防護與 GuardDuty 調查結果工作流程整合。除了 Amazon EventBridge 和 Amazon CloudWatch 之外,惡意軟體掃描結果會出現在 GuardDuty 調查結果中。
1. 使用惡意軟體防護進行備份,而不啟用 GuardDuty
您可以獨立使用惡意軟體保護備份,而無需啟用完整的 GuardDuty 服務。在此模式中,掃描結果仍可透過 EventBridge 和 CloudWatch 完整取得。
**獨立使用惡意軟體保護備份的考量事項**
在不啟用 GuardDuty 的情況下使用此功能時:
+ 備份計畫組態完全在 AWS Backup 中管理。
GuardDuty 不提供選取備份計畫、保存庫或資源類型的控制項。所有啟用、排程和政策組態都會保留在 AWS Backup 中。
+ 不會產生 GuardDuty 調查結果。
問題清單需要偵測器 ID,只有在啟用 GuardDuty 時才會建立。獨立使用惡意軟體防護時,掃描結果只會透過 EventBridge 事件和 CloudWatch 指標顯示。
+ 您仍然可以從 GuardDuty 主控台啟動隨需掃描。
即使未啟用 GuardDuty,GuardDuty 主控台也會提供工作流程,以啟動支援備份資源類型的隨需惡意軟體掃描。這可讓客戶使用熟悉的 GuardDuty 界面,而不需要完整的 GuardDuty 服務。
+ 非 GuardDuty 客戶可以存取掃描啟動工作流程。
無論帳戶中是否存在 GuardDuty 偵測器,使用惡意軟體保護備份的所有客戶都可以使用隨需掃描進入點。
+ 掃描行為和涵蓋範圍保持不變。
無論是否啟用 GuardDuty,此功能都會使用相同的惡意軟體偵測引擎掃描相同的 AWS Backup 資源類型。唯一的差別是結果的發佈位置。
此模型可讓客戶針對備份採用惡意軟體掃描,而不需要 GuardDuty 更廣泛的威脅偵測功能,同時仍提供選用的 GuardDuty 型工作流程,以啟動和檢視掃描操作。
**Backup 的惡意軟體防護如何運作**
Backup 的惡意軟體防護可以掃描下列受 AWS 備份保護的資源:
+ Amazon EBS 快照
+ Amazon EC2 AMIs
+ Amazon S3 復原點
+ 在[支援區域中](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-region)使用 AWS Backup Vault Lock 鎖定的鎖定 (不可變) 保存庫 (EBS/EC2 復原點)
*增量掃描*
AWS 備份會擷取許多資源類型的增量變更。建立或更新備份時,GuardDuty 只能掃描新的或變更的區塊或物件,改善效能並減少掃描額外負荷,同時隨著時間達到完整涵蓋。
*隨需掃描*
您可以隨時從 AWS Backup 或 GuardDuty 主控台啟動任何支援的備份資源掃描。常見的使用案例包括在還原之前驗證備份、在發佈新的威脅簽章後重新檢查較舊的資料,或執行定期合規掃描。
**注意**
備份的惡意軟體防護只能針對相同區域中的備份資源啟用。
GuardDuty 會掃描備份的唯讀副本;不會修改備份內容。
掃描適用於標準保存庫和鎖定 (不可變) 保存庫。
# 備份的惡意軟體防護如何運作?
本節說明惡意軟體備份防護的元件、運作方式,以及如何檢閱惡意軟體掃描狀態和結果。
## 概觀
惡意軟體保護備份是一項功能,可協助您偵測 EBS 快照、EC2 映像 (AMI) 和屬於 EBS、EC2 和 S3 資源類型的復原點上是否存在惡意軟體。您可以透過 GuardDuty 主控台或 API 啟動隨需惡意軟體掃描,方法是傳入提供掃描所需許可的 IAM 角色,以及一或兩個資源 ARNs,視掃描類別而定。有兩種掃描類別:完整掃描和增量掃描。
### 完整掃描和增量掃描
完整掃描是 API 將接受資源 ARN 的位置,並掃描該資源中的所有檔案。另一方面,增量掃描需要兩個資源 ARNs,兩者都屬於同一個資源,並掃描它們之間變更的檔案。例如,假設我們拍攝 EBS 磁碟區的快照。讓我們將其稱為 *snapshot-1*。如果在此快照上完成完整掃描,GuardDuty 會掃描此快照包含的所有檔案。現在,假設已將幾個檔案新增至相同的磁碟區,並拍攝新的快照。讓我們將其稱為 *snapshot-2*。由於*快照-1* 和*快照-2* 之間只有幾個檔案變更,因此一個檔案可以使用這兩個快照的資源 ARNs 觸發增量掃描。在此情況下,*快照-2* 稱為`target`資源,而*快照-1* 稱為`base`資源。您會在文件的其餘部分看到此術語。此增量掃描會掃描*快照 1* 和*快照 2 *之間變更的檔案。
### 在增量掃描中重新掃描先前受感染的檔案
作為增量掃描的一部分,GuardDuty 也會從基礎掃描重新掃描先前受感染的檔案,最多 365 天。
### 增量掃描的需求
GuardDuty 必須滿足下列要求,才能執行增量掃描。如果不符合任何這些要求,GuardDuty 會略過掃描。
+ 基礎資源必須在過去 365 天內掃描,且掃描結果必須在 `COMPLETED`或 中`COMPLETED_WITH_ISSUES`。
+ 基本資源的建立日期必須早於目標資源的日期。
+ 基礎和目標資源在快照情況下必須具有相同的加密類型。
+ 基礎和目標資源必須來自相同的歷程。
+ 對於 EBS 快照和 EBS 復原點,這表示它們來自相同的磁碟區或相同磁碟區的複本,加密類型沒有任何變更。
+ 對於 S3 復原點,必須從相同的基礎 S3 儲存貯體建立基本和目標資源 ARNs。
+ 在 AMIs 的情況下,基本和目標 AMI 之間會比較成對快照,以識別增量掃描的快照。每組快照都必須符合上述條件。目標 AMI 內在基礎 AMI 中沒有對應相符快照的任何快照都會略過。
### 重新掃描先前掃描的備份資源
從先前的惡意軟體掃描開始時間起算 10 分鐘後,您可以在相同的資源上啟動新的隨需惡意軟體掃描。如果新的惡意軟體掃描在先前的惡意軟體掃描啟動後 10 分鐘內開始,您的請求將導致以下錯誤,並且不會為此請求產生任何掃描 ID。重新掃描執行個體的步驟與第一次啟動隨需惡意軟體掃描保持不變。
## 掃描所需的 IAM 角色
您需要傳入 IAM 角色,才能啟動完整或增量掃描。此角色提供執行掃描操作所需的許可。 [備份的 GuardDuty 惡意軟體保護:IAM 角色許可](malware-protection-backup-iam-permissions.md)提供所需的確切許可清單,以及執行掃描所需的相關信任政策。
## 檢閱資源掃描狀態和結果
GuardDuty 會將掃描結果事件發佈至 Amazon EventBridge 預設事件匯流排。GuardDuty at-least-once交付,這表示您可能會收到相同物件的多個掃描結果。我們建議您設計應用程式來處理重複的結果。每個掃描的物件只會向您收取一次費用。
如需詳細資訊,請參閱[監控掃描狀態並導致備份的惡意軟體防護](monitoring-malware-protection-backup-scans.md)。
## 檢閱產生的調查結果
檢閱問題清單取決於您是否使用惡意軟體防護搭配 GuardDuty 備份。請考量下列情況:
**當您啟用 GuardDuty 服務時,使用惡意軟體保護進行備份 (偵測器 ID)**
如果惡意軟體掃描偵測到掃描的 Backup 資源中的潛在惡意檔案,GuardDuty 將產生相關聯的調查結果。您可以檢視問題清單詳細資訊,並使用建議的步驟來修復問題清單。根據您的[匯出調查結果頻率](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_exportfindings.html#guardduty_exportfindings-frequency),產生的調查結果會匯出至 S3 儲存貯體和 Amazon EventBridge 事件匯流排。
如需有關將產生的問題清單類型的資訊,請參閱惡意軟體保護備份的問題[備份問題清單類型的惡意軟體防護](findings-malware-protection-backup.md)清單類型。
**使用惡意軟體保護備份做為獨立功能 (無偵測器 ID)**
GuardDuty 將無法產生調查結果,因為沒有相關聯的偵測器 ID。若要了解備份資源的掃描狀態,您可以檢視 GuardDuty 自動發佈至預設事件匯流排的掃描結果。
如需掃描狀態和結果的資訊,請參閱 [監控掃描狀態並導致備份的惡意軟體防護](monitoring-malware-protection-backup-scans.md)。
**注意**
如果您也使用適用於 S3 的惡意軟體防護,您的 S3 檔案可能先前標記為 NO\$1THREATS\$1FOUND,但相同的檔案可能會顯示在物件所屬備份復原點的威脅清單中。發生這種情況是因為服務經常更新其惡意軟體簽章,這可能已變更檔案的狀態。請注意,在這種情況下,GuardDuty 不會返回並更新原始 S3 儲存貯體中 檔案的標籤。取得套用到檔案的更新標籤的唯一方法是將物件重新上傳至儲存貯體,或使用 S3 的隨需掃描功能。
# 備份的 GuardDuty 惡意軟體保護:IAM 角色許可
## 提供惡意軟體掃描的客戶角色
GuardDuty 惡意軟體防護預期在備份資源上啟動掃描時,會提供客戶角色 (掃描程式角色),即快照、AMIs 和 EBS/EC2/S3 復原點。此角色提供 GuardDuty 對這些特定資源執行掃描所需的許可。您可以在 中找到此角色的許可政策和信任政策[角色的許可和信任政策](#malware-protection-backup-permissions-trust-policy)。以下章節說明需要這些許可的原因。
## 許可的詳細資訊
+ `ModifySnapshotAttribute` - 允許 GuardDuty 惡意軟體防護服務帳戶存取未加密和客戶受管金鑰加密快照。
+ `CreateGrant` - 允許 GuardDuty 惡意軟體防護從 GuardDuty 服務帳戶可存取的客戶受管金鑰加密快照建立和存取客戶受管金鑰加密的 EBS 磁碟區。
+ `RetireGrant` - 允許 GuardDuty 惡意軟體防護淘汰在客戶受管金鑰上建立的授予,以讀取加密快照
+ `ReEncryptTo` 和 `ReEncryptFrom` - EBS 需要讓 GuardDuty 存取使用客戶受管金鑰加密的快照,並從中建立加密磁碟區。雖然客戶在共用期間可能會將快照的 ReEncryption 視為金鑰轉換,但快照在建立後仍無法改變客戶觀點。
+ `ListSnapshotBlocks` 和 `GetSnapshotBlock` - EBS Direct APIs用於存取 AWS 受管金鑰加密快照的快照區塊。這樣做是因為無法以其他方式跨帳戶存取 AWS 受管金鑰加密快照。
+ `Decrypt` - 允許解密使用 EBS Direct APIs 作為增量掃描的一部分下載到記憶體時加密的客戶受管金鑰基本快照。
+ `ListChangedBlocks` - 用於增量快照掃描的 EBS Direct API,以取得兩個快照之間變更的區塊清單。
+ `DescribeKey` - 允許 GuardDuty 惡意軟體防護判斷客戶帳戶中 AWS 受管金鑰的 keyId。
+ `DescribeImages` - 允許描述 AMI,以取得屬於 AMI 的快照清單。
+ `DescribeRecoveryPoint` - 允許服務擷取復原點詳細資訊,並驗證復原點的資源類型。
+ `CreateBackupAccessPoint`、`DescribeBackupAccessPoint`、 `DeleteBackupAccessPoint` - 允許服務建立、描述和刪除存取復原點所需的存取點。
+ `kms:Decrypt` - 允許服務在 S3 復原點掃描期間存取 S3 復原點中的物件。
## 保護角色
角色必須使用信任 GuardDuty 惡意軟體防護服務主體的信任政策來設定。這可確保 GuardDuty 服務以外的主體無法擔任此角色。此外,建議您將政策範圍縮小到特定資源,而不是 `*`。這包括快照 ID 和金鑰 ID。這樣做將確保角色僅提供這些特定資源的存取權。
**重要**
不正確的組態可能會導致掃描失敗,因為許可不足。
## GuardDuty 惡意軟體防護如何在 AWS KMS 中使用授予
GuardDuty 惡意軟體防護需要[授予](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)才能使用 KMS 金鑰。
當您在加密快照或由加密快照組成的 EC2 AMI 上啟動掃描時,GuardDuty 惡意軟體防護會透過傳送 [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) 請求至 AWS KMS 來代表您建立授權。這些授權可讓 GuardDuty 存取您帳戶中的特定金鑰。
GuardDuty 惡意軟體防護需要授予 ,才能將客戶受管金鑰用於下列內部操作:
+ 傳送 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 請求至 AWS ,以擷取提交用於惡意軟體掃描之資源加密的對稱客戶受管金鑰的詳細資訊。
+ 使用 [CreateVolume](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVolume.html) API 從加密快照建立 EBS 磁碟區,並使用相同的金鑰加密磁碟區。
+ 在增量掃描期間,透過 [GetSnapshotBlock](https://docs.aws.amazon.com/ebs/latest/APIReference/API_GetSnapshotBlock.html) API 存取快照上的快照區塊。
+ 將[解密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)請求傳送至 AWS KMS 以解密加密的資料金鑰,以便在掃描期間用來讀取快照上的資料。
您可以隨時撤銷已建立的授予,或移除服務對客戶受管金鑰的存取權。如果您這麼做,GuardDuty 將無法存取客戶受管金鑰加密的任何資料,這會影響相依於該資料的操作。
## GuardDuty 惡意軟體防護加密內容
[加密內容](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context)是一組選用的金鑰值對,包含資料的其他相關內容資訊。
當您在加密資料的請求中包含加密內容時, AWS KMS; 會將加密內容繫結至加密的資料。若要解密資料,您必須在請求中包含相同的加密內容。
GuardDuty 惡意軟體防護使用兩種加密內容之一。
**加密內容 1:**金鑰為 `aws:guardduty:id`。
```
"encryptionContext": {
"aws:guardduty:id": "snap-11112222333344"
}
```
此加密內容會與授予操作搭配使用:CreateGrant、Decrypt、GenerateDataKeyWithoutPlaintext、ReEncryptTo、RetireGrant、DescribeKey。
在具有此加密內容和授予操作的目前資源上建立一個授予。
**加密內容 2:**金鑰為 `aws:ebs:id`
```
"encryptionContext": {
"aws:ebs:id": "snap-11112222333344"
}
```
此加密內容會與授予操作搭配使用:ReEncryptFrom、Decrypt、RetireGrant、DescribeKey。
系統會使用這些加密內容和授予操作建立三個授予。目標快照上一個具有`ReEncryptFrom`授予操作的快照。目標快照上具有 `Decrypt, RetireGrant, DescribeKey`操作的第二個快照。基礎快照上的第三個快照具有與第二個授予相同的授予操作。
## 角色的許可和信任政策
**許可政策**
```
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ebs:ListSnapshotBlocks",
"ebs:ListChangedBlocks",
"ebs:GetSnapshotBlock"
],
"Resource": "arn:aws:ec2:*::snapshot/*"
},
{
"Sid": "CreateGrantPermissions",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"ForAnyValue:StringLike": {
"kms:EncryptionContext:aws:guardduty:id": "snap-*",
"kms:ViaService": [
"guardduty.*.amazonaws.com",
"backup.*.amazonaws.com"
]
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"CreateGrant",
"GenerateDataKeyWithoutPlaintext",
"ReEncryptFrom",
"ReEncryptTo",
"RetireGrant",
"DescribeKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Sid": "CreateGrantPermissionsForReEncryptAndDirectAPIs",
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"ForAnyValue:StringLike": {
"kms:EncryptionContext:aws:ebs:id": "snap-*",
"kms:ViaService": [
"guardduty.*.amazonaws.com",
"backup.*.amazonaws.com"
]
},
"ForAllValues:StringEquals": {
"kms:GrantOperations": [
"Decrypt",
"ReEncryptTo",
"ReEncryptFrom",
"RetireGrant",
"DescribeKey"
]
},
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeImages",
"ec2:DescribeSnapshots"
],
"Resource": "*"
},
{
"Sid": "ShareSnapshotPermission",
"Effect": "Allow",
"Action": [
"ec2:ModifySnapshotAttribute"
],
"Resource": "arn:aws:ec2:*:*:snapshot/*"
},
{
"Sid": "ShareSnapshotKMSPermission",
"Effect": "Allow",
"Action": [
"kms:ReEncryptTo",
"kms:ReEncryptFrom"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": "ec2.*.amazonaws.com"
}
}
},
{
"Sid": "DescribeKeyPermission",
"Effect": "Allow",
"Action": "kms:DescribeKey",
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Sid": "DescribeRecoveryPointPermission",
"Effect": "Allow",
"Action": [
"backup:DescribeRecoveryPoint"
],
"Resource": "*"
},
{
"Sid": "CreateBackupAccessPointPermissions",
"Effect" : "Allow",
"Action" : [
"backup:CreateBackupAccessPoint"
],
"Resource": "arn:aws:backup:*:*:recovery-point:*"
},
{
"Sid": "ReadAndDeleteBackupAccessPointPermissions",
"Effect" : "Allow",
"Action" : [
"backup:DescribeBackupAccessPoint",
"backup:DeleteBackupAccessPoint"
],
"Resource": "*"
},
{
"Sid": "KMSKeyPermissionsForInstantAccess",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:*:*:key/*",
"Condition": {
"StringLike": {
"kms:ViaService": "backup.*.amazonaws.com"
}
}
}
]
}
```
**信任政策**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
# **(選用) 開始獨立備份的惡意軟體防護 (僅限主控台)**
如果您想要開始使用惡意軟體保護備份威脅偵測選項,而不考慮 AWS 帳戶中的 GuardDuty 狀態,請使用此選用步驟。
如果您也想要在 GuardDuty 中使用其他專用保護計畫,您必須開始使用 Amazon GuardDuty 服務。如需 GuardDuty 保護計畫的相關資訊,請參閱 [GuardDuty 的功能](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html#features-of-guardduty)。
## **適用於 Backup 的惡意軟體防護入門步驟**
1. 登入 AWS 管理主控台,並在 https://[https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 主控台
1. 選取**探索惡意軟體防護功能**,然後按一下**開始使用**。
1. 按一下**入門**,您可以選擇 AWS 備份和 S3 惡意軟體防護功能等選項。
![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/malware_protection_backup_new_feature_console.png)
1. 系統會將您導向惡意軟體備份防護頁面,您可以選擇**開始隨需掃描**或**檢視惡意軟體掃描**。
![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/images/malware_protection_backup_console.png)
# 啟動隨需掃描以進行備份的惡意軟體防護
## 主控台
1. 登入 AWS 管理主控台,並在 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/):// 開啟 GuardDuty 主控台。
1. 導覽至**惡意軟體保護備份**,然後按一下**啟動隨需掃描**。
1. 選擇完整掃描和增量掃描。
1. 若要開始完整掃描,請輸入要掃描之資源的資源 ARN。
1. 針對增量掃描,輸入目標資源 ARN 和基準資源 ARN。
1. 如果掃描的資源是復原點,您也需要輸入其所屬的 AWS Backup Vault 名稱。
1. 服務存取 - 您需要選擇具有存取資源和執行掃描所需許可的角色。按一下**檢視政策**以檢視角色所需的確切許可,以及所需的信任政策。
您可以根據您的需求變更政策,或將許可範圍縮小至確切資源。如需如何建立或更新 IAM 角色的詳細資訊,請參閱 [備份的 GuardDuty 惡意軟體保護:IAM 角色許可](malware-protection-backup-iam-permissions.md)。
如需 IAM 角色許可的問題,請參閱[疑難排解 IAM 角色許可錯誤](https://docs.aws.amazon.com/guardduty/latest/ug/troubleshoot-malware-protection-s3-iam-role-permissions-error.html)。
## API/CLI
調用 [StartMalwareScan](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StartMalwareScan.html),其接受您要啟動隨需惡意軟體掃描之資源`resourceArn`的 。如果您想要開始增量掃描,`baselineResourceArn`請在 中傳入 `incrementalScanDetails`。作為掃描組態的一部分,您也需要提供具有啟動掃描所需所有許可的 IAM 角色。成功啟動掃描後, `StartMalwareScan`會傳回 `scanId`。叫用 `GetMalwareScan` API 來監控已啟動掃描的進度,並在掃描完成後取得掃描的詳細資訊。
# 監控掃描狀態並導致備份的惡意軟體防護
啟動惡意軟體掃描後,GuardDuty 會提供幾個機制,您可以透過這些機制來監控掃描的狀態和結果。下表提供與惡意軟體掃描相關聯的一些值。
| Category | 可能的值 |
| --- | --- |
| 掃描狀態 | `RUNNING`、`COMPLETED`、`COMPLETED_WITH_ISSUES`、`FAILED` 或 `SKIPPED` |
| 掃描類別 | `FULL_SCAN` 或 `INCREMENTAL_SCAN` |
| 掃描類型 | `GUARDDUTY_INITIATED`、`ON_DEMAND` 或 `BACKUP_INITIATED` |
| 掃描結果狀態 | `NO_THREATS_FOUND` 或 `THREATS_FOUND` |
\$1請注意,如果掃描未完成,則掃描結果狀態可能不存在。THREATS\$1FOUND 的掃描結果狀態表示 GuardDuty 偵測到惡意軟體。
對於 S3 復原點,COMPLETED\$1WITH\$1ISSUES 表示部分檔案已略過或失敗。對於 AMI,COMPLETED\$1WITH\$1ISSUES 表示至少 1 個快照無法掃描。如需略過原因的清單,請參閱下方。
掃描也可能因為各種原因而略過。下表說明可能會略過掃描的原因:
| 掃描略過原因 | Reason |
| --- | --- |
| ACCESS\$1DENIED | 客戶角色沒有執行掃描所需的必要許可 |
| RESOURCE\$1NOT\$1FOUND | 嘗試掃描的資源不存在於帳戶中,或在掃描期間遭到刪除 |
| SNAPSHOT\$1SIZE\$1LIMIT\$1EXCEEDED | 快照大小大於 GuardDuty 目前支援的大小 |
| INCREMENTAL\$1NO\$1DIFFERENCE | 增量掃描請求中指定的資源沒有差異 |
| RESOURCE\$1UNAVAILABLE | 資源未處於預期狀態。如果掃描是增量的,則基本復原點不會處於可用或已完成狀態 |
| UNRELATED\$1RESOURCES | 對於增量掃描 - 基礎和目前資源不是來自相同的歷程 |
| BASE\$1RESOURCE\$1NOT\$1SCANNED | 對於增量掃描 - 基本資源先前未掃描或找不到已完成的掃描 |
| BASE\$1CREATED\$1AFTER\$1TARGET | 對於增量掃描 - 基礎資源的建立日期大於目前資源的建立日期 |
| UNSUPPORTED\$1FOR\$1INCREMENTAL | 請求的資源類型不支援增量掃描 |
| UNSUPPORTED\$1AMI | 公有 AMI、僅具有暫時性儲存的 AMI,以及未處於可用狀態的 AMI 不符合掃描資格 |
| UNSUPPORTED\$1SNAPSHOT | 冷儲存快照不符合掃描資格 |
| UNSUPPORTED\$1COMPOSITE\$1RP | 複合資源類型不支援掃描 |
| UNSUPPORTED\$1PRODUCT\$1CODE\$1TYPE | 請求的資源包含不支援掃描的 Amazon Marketplace 產品程式碼 |
| AMI\$1SNAPSHOT\$1LIMIT\$1EXCEEDED | AMI 不支援掃描超過 40 個快照 |
| NO\$1EBS\$1VOLUMES\$1FOUND | 找不到所請求資源的 Ebs 區塊型設備映射 |
| UNRELATED\$1RESOURCES | 對於增量掃描 - 基礎資源的 arn 與預期資源的 arn 不同 |
| ALL\$1FILES\$1SKIPPED\$1OR\$1FAILED | 掃描中的所有檔案都已略過或失敗 |
掃描結果的保留期間為 90 天。選擇您偏好的存取方式,以便追蹤惡意軟體掃描狀態。
**使用主控台監控掃描**
1. 開啟 GuardDuty 主控台,網址為 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)。
1. 在導覽窗格中,選擇**惡意軟體掃描**。
1. 您可以依篩選條件*搜尋列*中可用的下列**屬性**來篩選惡意軟體掃描。
+ **掃描 ID** – 與惡意軟體掃描相關聯的唯一識別符。
+ **帳戶 ID** – 惡意軟體掃描啟動的帳戶。
+ **資源 ARN** – 與掃描相關聯的 Amazon 資源相關聯的 Amazon Resource Name (ARN)。
+ **資源類型** – 與掃描相關聯的資源類型,例如 EC2 執行個體、EBS 快照 \$1 EC2 AMI、EBS 復原點、EC2 復原點或 S3 復原點。
+ **狀態** – 掃描的掃描狀態,例如執行中、略過、完成、完成時發生問題或失敗。
+ **掃描類型** – 指出這是隨需、GuardDuty 起始或 Backup 起始的惡意軟體掃描。
**使用 API/CLI 監控掃描**
+ 您可以叫用 ListMalwareScans,依 `RESOURCE_ARN`、`SCAN_ID`、`ACCOUNT_ID`、`SCAN_TYPE GUARDDUTY_FINDING_ID`、 `SCAN_STATUS` `RESOURCE_TYPE`和 篩選惡意軟體掃描`SCAN_START_TIME`。您也可以提供 scan-id 做為輸入,叫用 GetMalwareScan 來擷取更詳細的掃描中繼資料。當 `SCAN_TYPE` GuardDuty 啟動時,就可以使用 `GUARDDUTY_FINDING_ID` 篩選條件。
+ 您可以在以下命令中變更 *filter-criteria* 範例,並且可以`CriterionKey`一次篩選一個。的選項`CriterionKey`為 `Resource_ARN`、`SCAN_ID`、`ACCOUNT_ID`、`SCAN_TYPE`、`GUARDDUTY_FINDING_ID`、`SCAN_STATUS`、 `RESOURCE_TYPE`和 `SCAN_START_TIME`。您可以更改*最大結果* (最多 50 個) 和*排序條件*。`AttributeName` 欄位對於 為必要`sort-criteria`,且必須設定為 `scanStartTime`。在下列範例中,*紅色*的值是預留位置。將它們取代為您的 帳戶適用的值。如果您針對 ListMalwareScans 使用`CriterionKey`與下列相同的 ,請務必將範例取代`EqualsValue`為您要篩選*的資源類型*。
```
aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
```
```
aws guardduty get-malware-scan --scan-id abc123
```
+ 上述 ListMalwareScans 命令的回應最多會傳回 25 次掃描 (包含受影響資源的一些詳細資訊)。上述 GetMalwareScan 命令的回應將傳回單一掃描,其中包含有關掃描的詳細中繼資料。
**使用 EventBridge 監控掃描**
Amazon EventBridge 為無伺服器事件匯流排服務,可讓您輕鬆將應用程式與來自各種來源的資料互相連線。EventBridge 會從您自己的應用程式、Software-as-a-Service (SaaS) 應用程式和 Amazon 服務提供即時資料串流,並將該資料路由至 Lambda 等目標。這可讓您監控在服務中發生的事件,並建置事件導向的架構。如需詳細資訊,請參閱 [Amazon EventBridge 使用者指南](https://docs.aws.amazon.com/eventbridge/latest/userguide/)。
確定掃描狀態後,GuardDuty 會將 EventBridge 通知發佈至預設事件匯流排。您可以在帳戶中設定 EventBridge 規則,將事件傳送至與 Amazon EventBridge 整合的其他服務。標準 EventBridge 定價將適用。如需詳細資訊,請參閱 [Amazon EventBridge 定價](https://aws.amazon.com/eventbridge/pricing/)。
以下顯示的許多值都是範例的預留位置,並且會根據掃描而有所不同。
**惡意軟體掃描結果事件**
備份的潛在詳細資訊類型值:
+ 「GuardDuty 惡意軟體防護 EBS 快照掃描結果」
+ 「GuardDuty 惡意軟體防護 EC2 AMI 掃描結果」
+ 「GuardDuty 惡意軟體防護 S3 復原點掃描結果」
+ 「GuardDuty 惡意軟體防護 EBS 復原點掃描結果」
+ 「GuardDuty 惡意軟體防護 EC2 復原點掃描結果」
**範例事件模式:**
```
{
"detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
"source": ["aws.guardduty"]
}
```
**未找到威脅的 EC2 AMI 掃描通知結構描述範例:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": null,
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"scanResultStatus": "NO_THREATS_FOUND",
"uniqueThreatCount": null
}
}
}
```
**找到威脅的 EC2 AMI 掃描通知結構描述範例:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "COMPLETED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": null,
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"scanResultStatus": "THREATS_FOUND",
"uniqueThreatCount": 1,
"threats": {
"name": "EICAR-Test-File (not a virus)",
"source": "AMAZON",
"count": 2,
"itemDetails": [{
"resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
"hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
"itemPath": "/eicar.txt",
"additionalInfo": {
"versionId": null,
"deviceName": "/dev/sdf"
}
}]
}
}
}
}
```
**略過 EC2 AMI 掃描的通知結構描述範例:**
```
{
"version": "0",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
"detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
"source": "aws.guardduty",
"account": "1111222233334444",
"time": "2025-11-01T00:00:00Z",
"region": "us-east-1",
"resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
"detail": {
"schemaVersion": "1.0",
"scanStatus": "SKIPPED",
"resourceType": "EC2_AMI",
"scanId": "d41d8cd98f00b204e9800998ecf8427e",
"scanStatusReason": "UNSUPPORTED_AMI",
"scanType": "ON_DEMAND",
"triggerType": "GUARDDUTY",
"scanCategory": "FULL_SCAN",
"scanStartTime": 1234567890123,
"scanCompleteTime": 2345678901234,
"scanResultDetails": {
"uniqueThreatCount": null,
"threats": null
}
}
}
```
# 備份惡意軟體防護配額
**備份配額的惡意軟體防護**
| 配額名稱 | AWS 預設配額值 | 是否可以調整? | Description |
| --- | --- | --- | --- |
| 所有資源類型的 StartMalwareScan TPS 限制 | 10 | 否 | |
| 支援的快照大小上限 | 2 TB | 否 | |
| 快照和 AMI 掃描支援的檔案系統 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/guardduty/latest/ug/malware-protection-backup-quotas.html) | 否 | |
| AMI 中支援惡意軟體掃描的快照數量上限 | 40 表示完整掃描。如果超過 40,GuardDuty 只會在所有快照中掃描 40。對於增量掃描,會略過掃描。 | 否 | |
| S3 復原點內物件的大小上限 | 100 GB | 否 | GuardDuty 將嘗試掃描惡意軟體的最大 S3 物件大小。 雖然此配額無法調整,但如果您需要掃描較大的物件,請聯絡 Support 以確定 GuardDuty 是否可以增加使用案例的配額。 |
| 擷取的封存位元組 | 100 GB | 否 | GuardDuty 可以從封存檔案擷取和分析的最大資料量。 GuardDuty 會略過擷取超過 100 GB 的封存檔案。 |
| 解壓縮的封存檔案 | 10,000 | 否 | GuardDuty 可以在封存檔案中擷取和分析的檔案數目上限。如果封存包含超過 10,000 個檔案,GuardDuty 必須略過封存的檔案。 複合檔案類型可能受到這些限制。檔案類型包括但不限於多用途網際網路郵件延伸 (MIME) 編碼電子郵件訊息、編譯的 Python (PYC) 檔案、編譯的 HTML 說明 (CHM) 檔案、所有安裝程式和 OpenDocument 格式 (ODF) 文件。 |
| 封存深度層級上限 | 5 | 否 | GuardDuty 可擷取的巢狀封存的最大層級。如果封存包含巢狀超過此值的檔案,GuardDuty 會略過這些巢狀檔案。 |