Überwachen Sie den Status und die Ergebnisse von Scans in GuardDuty Malware Protection für EC2 - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachen Sie den Status und die Ergebnisse von Scans in GuardDuty Malware Protection für EC2

Sie können den Scanstatus jedes zu EC2 scannenden GuardDuty Malware-Schutzes überwachen. Die möglichen Werte für den Scan-Status sind Completed, Running, Skipped und Failed.

Nach Abschluss des Scans wird das Scanergebnis für Scans mit dem Status Completed aufgefüllt. Mögliche Werte für das Scanergebnis sind Clean und Infected. Anhand des Scan-Typs können Sie feststellen, ob es sich bei dem Malware-Scan um GuardDuty initiated oder On demand handelte.

Die Scan-Ergebnisse für jeden Malware-Scan werden 90 Tage aufbewahrt. Wählen Sie Ihre bevorzugte Zugriffsmethode, um den Status Ihres Malware-Scans zu verfolgen.

Console

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Malware-Scans.

  3. Sie können die Malware-Scans anhand der folgenden Eigenschaften filtern, die in den Filterkriterien verfügbar sind.

    • Scan-ID

    • Konto-ID

    • EC2Instanz ARN

    • Scan-Typ

    • Scan-Status

    Informationen zu Eigenschaften, die für Filterkriterien verwendet werden, finden Sie unter Erkenntnisdetails.

API/CLI

  • Wenn für den Malware-Scan ein Scanergebnis vorliegt, können Sie die Malware-Scans auf der Grundlage von EC2_INSTANCE_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE, GUARDDUTY_FINDING_ID, SCAN_STATUS und SCAN_START_TIME filtern.

    Die GUARDDUTY_FINDING_ID Filterkriterien sind verfügbar, wenn der GuardDuty initiiert SCAN_TYPE wird. Informationen zu allen Filterkriterien finden Sie unter Erkenntnisdetails.

  • Sie können das Beispiel ändern filter-criteria im folgenden Befehl. Gegenwärtig können Sie auf der Grundlage von jeweils einem CriterionKey filtern. Die Optionen für CriterionKey sind EC2_INSTANCE_ARN, SCAN_ID, ACCOUNT_ID, SCAN_TYPE, GUARDDUTY_FINDING_ID, SCAN_STATUS und SCAN_START_TIME.

    Wenn Sie dasselbe CriterionKey wie unten verwenden, stellen Sie sicher, dass Sie das Beispiel EqualsValue durch Ihr eigenes gültiges ersetzen AWS scan-id.

    Ersetzen Sie das Beispiel detector-id durch Ihre eigene gültige detector-id. Sie können das ändern max-results (bis zu 50) und die sort-criteria. Das AttributeName ist verpflichtend und muss es seinscanStartTime. 

    aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

  • Die Antwort auf diesen Befehl zeigt maximal eine Erkenntnis mit Details zur betroffenen Ressource und zu den Malware-Erkenntnissen (wenn Infected) an.