Anpassungen im Malware-Schutz für EC2 - Amazon GuardDuty
Allgemeine EinstellungenScan-Optionen mit benutzerdefinierten TagsGlobales GuardDutyExcluded-Tag

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anpassungen im Malware-Schutz für EC2

In diesem Abschnitt wird beschrieben, wie Sie die Scanoptionen für Ihre Amazon EC2 EC2-Instances oder Container-Workloads anpassen können, wenn ein Malware-Scan aufgerufen wird, entweder bei Bedarf oder über. GuardDuty

Allgemeine Einstellungen

Snapshot-Beibehaltung

GuardDuty bietet Ihnen die Möglichkeit, die Snapshots Ihrer EBS-Volumes in Ihrem Konto zu speichern. AWS Standardmäßig ist die Aufbewahrungseinstellung für Snapshots deaktiviert. Die Snapshots werden nur beibehalten, wenn Sie diese Einstellung aktiviert haben, bevor der Scan gestartet wird.

Wenn der Scan gestartet wird, werden die Replikat-EBS-Volumes auf der Grundlage der Snapshots Ihrer EBS-Volumes GuardDuty generiert. Nachdem der Scan abgeschlossen ist und die Einstellung zur Aufbewahrung von Snapshots in Ihrem Konto bereits aktiviert wurde, werden die Snapshots Ihrer EBS-Volumes nur beibehalten, wenn Malware gefunden und Malware-Schutz für EC2-Suchtypen generiert wird. Unabhängig davon, ob Sie die Einstellung zur Aufbewahrung von Snapshots aktiviert haben oder nicht, werden die Snapshots Ihrer EBS-Volumes GuardDuty automatisch gelöscht, wenn keine Malware erkannt wird.

Nutzungskosten für Snapshots

Während des Malware-Scans, bei dem die Snapshots Ihrer Amazon EBS-Volumes GuardDuty erstellt werden, fallen mit diesem Schritt Nutzungskosten an. Wenn Sie die Einstellung zur Aufbewahrung von Snapshots für Ihr Konto aktivieren, fallen für Sie Nutzungskosten an, wenn Malware gefunden wird und die Snapshots beibehalten werden. Informationen zu den Kosten von Snapshots und deren Beibehaltung finden Sie unter Amazon-EBS-Preise.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um die Aufbewahrungseinstellung für Snapshots zu aktivieren.

Console

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich unter Schutzpläne die Option Malware Protection for EC2 aus.

  3. Wählen Sie im unteren Bereich der Konsole Allgemeine Einstellungen. Um die Snapshots beizubehalten, aktivieren Sie die Option Beibehaltung von Snapshots.

API/CLI

  1. Ausführen UpdateMalwareScanSettings, um die aktuelle Konfiguration für die Einstellung zur Aufbewahrung von Snapshots zu aktualisieren.

  2. Alternativ können Sie den folgenden AWS CLI Befehl ausführen, um Snapshots automatisch beizubehalten, wenn GuardDuty Malware Protection for EC2 Ergebnisse generiert.

    Stellen Sie sicher, dass Sie die Detektor-ID durch Ihre eigene gültige detectorId ersetzen.

  3. Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die API aus ListDetectors

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  4. Wenn Sie die Beibehaltung von Snapshots deaktivieren möchten, ersetzen Sie sie RETENTION_WITH_FINDING durch NO_RETENTION.

Scan-Optionen mit benutzerdefinierten Tags

Mithilfe des GuardDuty -initiierten Malware-Scans können Sie auch Tags angeben, um Amazon EC2-Instances und Amazon EBS-Volumes vom Scan- und Bedrohungserkennungsprozess entweder ein- oder auszuschließen. Sie können jeden GuardDuty -initiierten Malware-Scan individuell anpassen, indem Sie die Tags entweder in der Liste der Inklusions- oder Ausschlusstags bearbeiten. Jede Liste kann bis zu 50 Tags enthalten.

Wenn Ihren EC2-Ressourcen noch keine benutzerdefinierten Tags zugeordnet sind, finden Sie weitere Informationen unter Taggen Ihrer Amazon EC2 EC2-Ressourcen im Amazon EC2 EC2-Benutzerhandbuch oder Markieren Sie Ihre Amazon EC2 EC2-Ressourcen im Amazon EC2 EC2-Benutzerhandbuch.

Anmerkung

Der Malware-Scan auf Abruf unterstützt keine Scan-Optionen mit benutzerdefinierten Tags. Er unterstützt Globales GuardDutyExcluded-Tag.

So schließen Sie EC2-Instances vom Malware-Scan aus

Wenn Sie während des Scanvorgangs eine Amazon EC2 EC2-Instance oder ein Amazon EBS-Volume ausschließen möchten, können Sie das GuardDutyExcluded Tag true für jede Amazon EC2 EC2-Instance oder jedes Amazon EBS-Volume auf setzen und es GuardDuty wird nicht gescannt. Weitere Informationen über das GuardDutyExcluded-Tag finden Sie unter Servicebezogene Rollenberechtigungen für Malware Protection for EC2. Sie können auch ein Amazon-EC2-Instance-Tag zu einer Ausschlussliste hinzufügen. Wenn Sie der Liste der Ausschluss-Tags mehrere Tags hinzufügen, wird jede Amazon-EC2-Instance, die mindestens eines dieser Tags enthält, vom Malware-Scanvorgang ausgeschlossen.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um ein mit einer Amazon-EC2-Instance verknüpftes Tag zu einer Ausschlussliste hinzuzufügen.

Console

  1. Öffnen Sie die Konsole unter https://console.aws.amazon.com/guardduty/ GuardDuty .

  2. Wählen Sie im Navigationsbereich unter Schutzpläne die Option Malware Protection for EC2 aus.

  3. Erweitern Sie den Abschnitt Einschluss-/Ausschluss-Tags. Wählen Sie Tags hinzufügen aus.

  4. Wählen Sie Ausschluss-Tags und anschließend Bestätigen.

  5. Geben Sie das Key- und Value-Paar des Tags an, das Sie ausschließen möchten. Die Angabe von Value ist optional. Nachdem Sie alle Tags hinzugefügt haben, wählen Sie Speichern.

    Wichtig

    Bei Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden. Weitere Informationen finden Sie unter Tag-Einschränkungen im Amazon EC2 EC2-Benutzerhandbuch oder Tag-Einschränkungen im Amazon EC2 EC2-Benutzerhandbuch.

    Wenn kein Wert für einen Schlüssel angegeben wird und die EC2-Instance mit dem angegebenen Schlüssel gekennzeichnet ist, wird diese EC2-Instance unabhängig vom zugewiesenen Wert des Tags vom GuardDuty -initiierten Malware-Scanvorgang ausgeschlossen.

API/CLI

  • Aktualisieren Sie die Einstellungen für den Malware-Scan, indem Sie eine EC2-Instance oder einen Container-Workload vom Scanvorgang ausschließen.

    Der folgende AWS CLI Beispielbefehl fügt der Liste der Ausschluss-Tags ein neues Tag hinzu. Stellen Sie sicher, dass Sie die Detektor-ID durch Ihre eigene gültige detectorId ersetzen.

    MapEquals ist eine Liste von Key/Value-Paaren.

    Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die ListDetectorsAPI aus

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    Wichtig

    Bei Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden. Weitere Informationen finden Sie unter Tag-Einschränkungen im Amazon EC2 EC2-Benutzerhandbuch oder Tag-Einschränkungen im Amazon EC2 EC2-Benutzerhandbuch.

So schließen Sie EC2-Instances in den Malware-Scan ein

Wenn Sie eine EC2-Instance scannen möchten, fügen Sie ihr Tag zur Einschluss-Liste hinzu. Wenn Sie ein Tag zu einer Liste mit Einschluss-Tags hinzufügen, wird eine EC2-Instance, die keines der hinzugefügten Tags enthält, aus dem Malware-Scan übersprungen. Wenn Sie der Liste der Einschluss-Tags mehrere Tags hinzufügen, wird eine EC2-Instance, die mindestens eines dieser Tags enthält, in den Malware-Scan aufgenommen. Manchmal kann es vorkommen, dass eine EC2-Instance während des Scanvorgangs übersprungen wird. Weitere Informationen finden Sie unter Gründe für das Überspringen von Ressourcen beim Malware-Scan.

Wählen Sie Ihre bevorzugte Zugriffsmethode, um ein mit einer Amazon-EC2-Instance verknüpftes Tag zu einer Einschlussliste hinzuzufügen.

Console

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich unter Schutzpläne die Option Malware Protection for EC2 aus.

  3. Erweitern Sie den Abschnitt Einschluss-/Ausschluss-Tags. Wählen Sie Tags hinzufügen aus.

  4. Wählen Sie Einschluss-Tags und dann Bestätigen.

  5. Wählen Sie Neues Einschluss-Tag hinzufügen und geben Sie das Key- und Value-Paar des Tags an, das Sie einbeziehen möchten. Die Angabe von Value ist optional.

    Nachdem Sie alle Einschluss-Tags hinzugefügt haben, wählen Sie Speichern.

    Wenn kein Wert für einen Schlüssel angegeben wird, ist eine EC2-Instance mit dem angegebenen Schlüssel gekennzeichnet, sodass die EC2-Instance unabhängig vom zugewiesenen Wert des Tags in den Scanvorgang von Malware Protection for EC2 aufgenommen wird.

API/CLI

  • Aktualisieren Sie die Einstellungen für den Malware-Scan, um eine EC2-Instance oder einen Container-Workload in den Scanvorgangs einzuschliessen.

    Der folgende AWS CLI Beispielbefehl fügt der Liste der Inclusion-Tags ein neues Tag hinzu. Stellen Sie sicher, dass Sie die Detektor-ID durch Ihre eigene gültige detectorId ersetzen. Ersetzen Sie das Beispiel TestKeyund TestValuedurch das Value Paar Key und des Tags, das Ihrer EC2-Ressource zugeordnet ist.

    MapEquals ist eine Liste von Key/Value-Paaren.

    Informationen zu den Einstellungen detectorId für Ihr Konto und Ihre aktuelle Region finden Sie auf der Seite „Einstellungen“ in der https://console.aws.amazon.com/guardduty/ -Konsole oder führen Sie die ListDetectorsAPI aus

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    Wichtig

    Bei Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden. Weitere Informationen finden Sie unter Tag-Einschränkungen im Amazon EC2 EC2-Benutzerhandbuch oder Tag-Einschränkungen im Amazon EC2 EC2-Benutzerhandbuch.
Anmerkung

Es kann bis zu 5 Minuten dauern, GuardDuty bis ein neues Tag erkannt wird.

Sie können jederzeit entweder Einschluss-Tags oder Ausschluss-Tags wählen, aber nicht beides. Wenn Sie zwischen den Tags wechseln möchten, wählen Sie dieses Tag aus dem Drop-down-Menü aus, wenn Sie neue Tags hinzufügen, und Bestätigen Sie Ihre Auswahl. Diese Aktion löscht alle Ihre aktuellen Tags.

Globales GuardDutyExcluded-Tag

Standardmäßig werden die Snapshots Ihrer EBS-Volumes mit einem GuardDutyScanId-Tag erstellt. Entfernen Sie dieses Tag nicht, da dadurch der Zugriff auf die Snapshots GuardDuty verhindert wird. Beide Scantypen in Malware Protection for EC2 scannen nicht die Amazon EC2 EC2-Instances oder Amazon EBS-Volumes, auf die das GuardDutyExcluded Tag gesetzt ist. true Wenn ein Malware Protection for EC2 eine solche Ressource scannt, wird zwar eine Scan-ID generiert, der Scan wird jedoch mit Angabe eines Grundes übersprungen. EXCLUDED_BY_SCAN_SETTINGS Weitere Informationen finden Sie unter Gründe für das Überspringen von Ressourcen beim Malware-Scan.