本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
監控掃描狀態並導致備份的惡意軟體防護
啟動惡意軟體掃描後,GuardDuty 會提供幾個機制,您可以透過這些機制來監控掃描的狀態和結果。下表提供與惡意軟體掃描相關聯的一些值。
| Category | 可能的值 |
|---|---|
|
掃描狀態 |
|
|
掃描類別 |
|
|
掃描類型 |
|
|
掃描結果狀態 |
|
*請注意,如果掃描未完成,則掃描結果狀態可能不存在。THREATS_FOUND 的掃描結果狀態表示 GuardDuty 偵測到惡意軟體。
對於 S3 復原點,COMPLETED_WITH_ISSUES 表示部分檔案已略過或失敗。對於 AMI,COMPLETED_WITH_ISSUES 表示至少 1 個快照無法掃描。如需略過原因的清單,請參閱下方。
掃描也可能因為各種原因而略過。下表說明可能會略過掃描的原因:
| 掃描略過原因 | Reason |
|---|---|
|
ACCESS_DENIED |
客戶角色沒有執行掃描所需的必要許可 |
|
RESOURCE_NOT_FOUND |
嘗試掃描的資源不存在於帳戶中,或在掃描期間遭到刪除 |
|
SNAPSHOT_SIZE_LIMIT_EXCEEDED |
快照大小大於 GuardDuty 目前支援的大小 |
|
INCREMENTAL_NO_DIFFERENCE |
增量掃描請求中指定的資源沒有差異 |
|
RESOURCE_UNAVAILABLE |
資源未處於預期狀態。如果掃描是增量的,則基本復原點不會處於可用或已完成狀態 |
|
UNRELATED_RESOURCES |
對於增量掃描 - 基礎和目前資源不是來自相同的歷程 |
|
BASE_RESOURCE_NOT_SCANNED |
對於增量掃描 - 基本資源先前未掃描或找不到已完成的掃描 |
|
BASE_CREATED_AFTER_TARGET |
對於增量掃描 - 基礎資源的建立日期大於目前資源的建立日期 |
|
UNSUPPORTED_FOR_INCREMENTAL |
請求的資源類型不支援增量掃描 |
|
UNSUPPORTED_AMI |
公有 AMI、僅具有暫時性儲存的 AMI,以及未處於可用狀態的 AMI 不符合掃描資格 |
|
UNSUPPORTED_SNAPSHOT |
冷儲存快照不符合掃描資格 |
|
UNSUPPORTED_COMPOSITE_RP |
複合資源類型不支援掃描 |
|
UNSUPPORTED_PRODUCT_CODE_TYPE |
請求的資源包含不支援掃描的 Amazon Marketplace 產品程式碼 |
|
AMI_SNAPSHOT_LIMIT_EXCEEDED |
AMI 不支援掃描超過 40 個快照 |
|
NO_EBS_VOLUMES_FOUND |
找不到所請求資源的 Ebs 區塊型設備映射 |
|
UNRELATED_RESOURCES |
對於增量掃描 - 基礎資源的 arn 與預期資源的 arn 不同 |
|
ALL_FILES_SKIPPED_OR_FAILED |
掃描中的所有檔案都已略過或失敗 |
掃描結果的保留期間為 90 天。選擇您偏好的存取方式,以便追蹤惡意軟體掃描狀態。
使用主控台監控掃描
開啟 GuardDuty 主控台,網址為 https://console.aws.amazon.com/guardduty/
。 在導覽窗格中,選擇惡意軟體掃描。
您可以依篩選條件搜尋列中可用的下列屬性來篩選惡意軟體掃描。
掃描 ID – 與惡意軟體掃描相關聯的唯一識別符。
帳戶 ID – 惡意軟體掃描啟動的帳戶。
資源 ARN – 與掃描相關聯的 Amazon 資源相關聯的 Amazon Resource Name (ARN)。
資源類型 – 與掃描相關聯的資源類型,例如 EC2 執行個體、EBS 快照 | EC2 AMI、EBS 復原點、EC2 復原點或 S3 復原點。
狀態 – 掃描的掃描狀態,例如執行中、略過、完成、完成時發生問題或失敗。
掃描類型 – 指出這是隨需、GuardDuty 起始或 Backup 起始的惡意軟體掃描。
使用 API/CLI 監控掃描
您可以叫用 ListMalwareScans,依
RESOURCE_ARN、SCAN_ID、ACCOUNT_ID、SCAN_TYPE GUARDDUTY_FINDING_ID、SCAN_STATUSRESOURCE_TYPE和 篩選惡意軟體掃描SCAN_START_TIME。您也可以提供 scan-id 做為輸入,叫用 GetMalwareScan 來擷取更詳細的掃描中繼資料。當SCAN_TYPEGuardDuty 啟動時,就可以使用GUARDDUTY_FINDING_ID篩選條件。您可以在以下命令中變更
filter-criteria範例,並且可以CriterionKey一次篩選一個。的選項CriterionKey為Resource_ARN、SCAN_ID、ACCOUNT_ID、SCAN_TYPE、GUARDDUTY_FINDING_ID、SCAN_STATUS、RESOURCE_TYPE和SCAN_START_TIME。您可以更改最大結果(最多 50 個) 和排序條件。AttributeName欄位對於 為必要sort-criteria,且必須設定為scanStartTime。在下列範例中,紅色的值是預留位置。將它們取代為您的 帳戶適用的值。如果您針對 ListMalwareScans 使用CriterionKey與下列相同的 ,請務必將範例取代EqualsValue為您要篩選的資源類型。aws guardduty list-malware-scans --max-results25--sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'aws guardduty get-malware-scan --scan-idabc123上述 ListMalwareScans 命令的回應最多會傳回 25 次掃描 (包含受影響資源的一些詳細資訊)。上述 GetMalwareScan 命令的回應將傳回單一掃描,其中包含有關掃描的詳細中繼資料。
使用 EventBridge 監控掃描
Amazon EventBridge 為無伺服器事件匯流排服務,可讓您輕鬆將應用程式與來自各種來源的資料互相連線。EventBridge 會從您自己的應用程式、Software-as-a-Service (SaaS) 應用程式和 Amazon 服務提供即時資料串流,並將該資料路由至 Lambda 等目標。這可讓您監控在服務中發生的事件,並建置事件導向的架構。如需詳細資訊,請參閱 Amazon EventBridge 使用者指南。
確定掃描狀態後,GuardDuty 會將 EventBridge 通知發佈至預設事件匯流排。您可以在帳戶中設定 EventBridge 規則,將事件傳送至與 Amazon EventBridge 整合的其他服務。標準 EventBridge 定價將適用。如需詳細資訊,請參閱 Amazon EventBridge 定價
以下顯示的許多值都是範例的預留位置,並且會根據掃描而有所不同。
惡意軟體掃描結果事件
備份的潛在詳細資訊類型值:
「GuardDuty 惡意軟體防護 EBS 快照掃描結果」
「GuardDuty 惡意軟體防護 EC2 AMI 掃描結果」
「GuardDuty 惡意軟體防護 S3 復原點掃描結果」
「GuardDuty 惡意軟體防護 EBS 復原點掃描結果」
「GuardDuty 惡意軟體防護 EC2 復原點掃描結果」
範例事件模式:
{ "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"], "source": ["aws.guardduty"] }
未找到威脅的 EC2 AMI 掃描通知結構描述範例:
{ "version": "0", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result", "source": "aws.guardduty", "account": "1111222233334444", "time": "2025-11-01T00:00:00Z", "region": "us-east-1", "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"], "detail": { "schemaVersion": "1.0", "scanStatus": "COMPLETED", "resourceType": "EC2_AMI", "scanId": "d41d8cd98f00b204e9800998ecf8427e", "scanStatusReason": null, "scanType": "ON_DEMAND", "triggerType": "GUARDDUTY", "scanCategory": "FULL_SCAN", "scanStartTime": 1234567890123, "scanCompleteTime": 2345678901234, "scanResultDetails": { "scanResultStatus": "NO_THREATS_FOUND", "uniqueThreatCount": null } } }
找到威脅的 EC2 AMI 掃描通知結構描述範例:
{ "version": "0", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result", "source": "aws.guardduty", "account": "1111222233334444", "time": "2025-11-01T00:00:00Z", "region": "us-east-1", "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"], "detail": { "schemaVersion": "1.0", "scanStatus": "COMPLETED", "resourceType": "EC2_AMI", "scanId": "d41d8cd98f00b204e9800998ecf8427e", "scanStatusReason": null, "scanType": "ON_DEMAND", "triggerType": "GUARDDUTY", "scanCategory": "FULL_SCAN", "scanStartTime": 1234567890123, "scanCompleteTime": 2345678901234, "scanResultDetails": { "scanResultStatus": "THREATS_FOUND", "uniqueThreatCount": 1, "threats": { "name": "EICAR-Test-File (not a virus)", "source": "AMAZON", "count": 2, "itemDetails": [{ "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890", "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855", "itemPath": "/eicar.txt", "additionalInfo": { "versionId": null, "deviceName": "/dev/sdf" } }] } } } }
略過 EC2 AMI 掃描的通知結構描述範例:
{ "version": "0", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333", "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result", "source": "aws.guardduty", "account": "1111222233334444", "time": "2025-11-01T00:00:00Z", "region": "us-east-1", "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"], "detail": { "schemaVersion": "1.0", "scanStatus": "SKIPPED", "resourceType": "EC2_AMI", "scanId": "d41d8cd98f00b204e9800998ecf8427e", "scanStatusReason": "UNSUPPORTED_AMI", "scanType": "ON_DEMAND", "triggerType": "GUARDDUTY", "scanCategory": "FULL_SCAN", "scanStartTime": 1234567890123, "scanCompleteTime": 2345678901234, "scanResultDetails": { "uniqueThreatCount": null, "threats": null } } }
