Descripción de CloudWatch los registros y los motivos por los que se omiten recursos durante el escaneo de EC2 con Malware Protection

GuardDuty Malware Protection for EC2 publica los eventos en su grupo de CloudWatch registros de Amazon /aws/guardduty/ malware-scan-events. Para cada uno de los eventos relacionados con el análisis de malware, puede supervisar el estado y el resultado del análisis de los recursos afectados. Es posible que se hayan omitido algunos recursos de Amazon EC2 y volúmenes de Amazon EBS durante el análisis de Malware Protection for EC2.

CloudWatch Los registros de auditoría en GuardDuty Malware Protection for EC2

El grupo de registros malware-scan-events CloudWatch /aws/guardduty/admite tres tipos de eventos de análisis.

Protección contra malware para el nombre del evento de escaneo de EC2	Explicación
EC2_SCAN_STARTED	Se crea cuando una protección contra GuardDuty malware para EC2 inicia el proceso de análisis de malware, por ejemplo, cuando se prepara para tomar una instantánea de un volumen de EBS.
EC2_SCAN_COMPLETED	Se crea cuando GuardDuty Malware Protection for EC2 escanea al menos uno de los volúmenes de EBS del recurso afectado. Este evento también incluye el valor de snapshotId que pertenece al volumen de EBS analizado. Una vez finalizado el análisis, el resultado será CLEAN, THREATS_FOUND o NOT_SCANNED.
EC2_SCAN_SKIPPED	Se crea cuando el escaneo de GuardDuty Malware Protection for EC2 omite todos los volúmenes de EBS del recurso afectado. Para identificar el motivo de la omisión, seleccione el evento correspondiente y consulte los detalles. Para obtener más información sobre los motivos de la omisión, consulte Motivos para omitir un recurso durante el análisis de malware a continuación.

nota

Si utilizas una AWS Organizations, los eventos de CloudWatch registro de las cuentas de los miembros de Organizations se publican tanto en la cuenta del administrador como en el grupo de registro de la cuenta de miembro.

Elige el método de acceso que prefieras para ver y consultar CloudWatch los eventos.

Console

1. Inicie sesión en la CloudWatch consola AWS Management Console y ábrala en https://console.aws.amazon.com/cloudwatch/.

2. En el panel de navegación, en Registros, seleccione Grupos de registros. Elija el grupo de malware-scan-events registros /aws/guardduty/ para ver los eventos de análisis de Malware Protection for EC2. GuardDuty

   Para ejecutar una consulta, elija Información de registros.

   Para obtener información sobre cómo ejecutar una consulta, consulte Análisis de datos de registro con CloudWatch Logs Insights en la Guía del CloudWatch usuario de Amazon.

3. Elija ID de análisis para supervisar los detalles del recurso afectado y los resultados de malware. Por ejemplo, puede ejecutar la siguiente consulta para filtrar los eventos del CloudWatch registro mediantescanId. Asegúrese de utilizar su propio valor de scan-id válido.

   fields @timestamp, @message, scanRequestDetails.scanId as scanId
   | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
   | sort @timestamp asc

API/CLI

• Para trabajar con grupos de registros, consulte Buscar entradas de registro mediante AWS CLI la Guía del CloudWatch usuario de Amazon.

  Elija el grupo de malware-scan-events registros /aws/guardduty/ para ver los eventos de escaneo de Malware Protection for EC2. GuardDuty

• Para ver y filtrar los eventos de registro, consulte GetLogEventsy FilterLogEvents, respectivamente, en la referencia de la CloudWatch API de Amazon.

GuardDuty Protección contra malware para la retención de registros de EC2

El período de retención de registros predeterminado para el grupo de registros /aws/guardduty/ es de 90 días, tras los cuales los eventos del malware-scan-events registro se eliminan automáticamente. Para cambiar la política de retención de registros de tu grupo de CloudWatch registros, consulta Cambiar la retención de datos de registro en CloudWatch los registros en la Guía del CloudWatch usuario de Amazon o PutRetentionPolicyen la Referencia de la CloudWatch API de Amazon.

Motivos para omitir un recurso durante el análisis de malware

En los eventos relacionados con el análisis de malware, es posible que se hayan omitido algunos recursos de EC2 y volúmenes de EBS durante el proceso de análisis. En la siguiente tabla se enumeran los motivos por los que GuardDuty Malware Protection for EC2 puede no analizar los recursos. Si procede, siga los pasos propuestos para resolver estos problemas y analice estos recursos la próxima vez que GuardDuty Malware Protection for EC2 inicie un análisis de malware. Los demás problemas se utilizan para informarle sobre el curso de los eventos y no son procesables.

Razones de omisión	Explicación	Pasos propuestos
RESOURCE_NOT_FOUND	La resourceArn información proporcionada para iniciar el análisis de malware bajo demanda no se encontró en su AWS entorno.	Valide el valor de resourceArn de la carga de trabajo de su instancia o contenedor de Amazon EC2 e inténtelo de nuevo.
ACCOUNT_INELIGIBLE	El ID de AWS cuenta desde el que intentó iniciar un análisis de malware bajo demanda no está activado GuardDuty.	Comprueba que GuardDuty esté activado para esta AWS cuenta. Cuando GuardDuty habilitas una nueva Región de AWS , la sincronización puede tardar hasta 20 minutos.
UNSUPPORTED_KEY_ENCRYPTION	GuardDuty Malware Protection for EC2 admite volúmenes cifrados y no cifrados con una clave gestionada por el cliente. No admite el análisis de volúmenes de EBS cifrados con el cifrado de Amazon EBS. En la actualidad, existe una diferencia regional en la que este motivo de omisión no es aplicable. Para obtener más información al respecto Regiones de AWS, consulteDisponibilidad de características específicas por región.	Sustituya la clave de cifrado por una clave administrada por el cliente. Para obtener más información sobre los tipos de cifrado GuardDuty compatibles, consulteEBSVolúmenes de Amazon compatibles para el escaneo de malware.
EXCLUDED_BY_SCAN_SETTINGS	La instancia de EC2 o el volumen de EBS se excluyó durante el análisis de malware. Hay dos posibilidades: la etiqueta se agregó a la lista de inclusión, pero el recurso no está asociado a esta etiqueta, la etiqueta se agregó a la lista de exclusión y el recurso está asociado a esta etiqueta o la etiqueta GuardDutyExcluded está establecida en true para este recurso.	Actualice las opciones de análisis o las etiquetas asociadas a su recurso de Amazon EC2. Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.
UNSUPPORTED_VOLUME_SIZE	El volumen es superior a 2048 GB.	No se puede procesar.
NO_VOLUMES_ATTACHED	GuardDuty Malware Protection for EC2 encontró la instancia en su cuenta, pero no se adjuntó ningún volumen de EBS a esta instancia para continuar con el escaneo.	No se puede procesar.
UNABLE_TO_SCAN	Se trata de un error de servicio interno.	No se puede procesar.
SNAPSHOT_NOT_FOUND	No se encontraron las instantáneas creadas a partir de los volúmenes de EBS y compartidas con la cuenta de servicio, y GuardDuty Malware Protection for EC2 no pudo continuar con el escaneo.	Asegúrese de que CloudTrail las instantáneas no se hayan eliminado de forma intencionada.
SNAPSHOT_QUOTA_REACHED	Ha alcanzado el volumen máximo permitido de instantáneas para cada región. Esto impide no solo retener, sino también crear nuevas instantáneas.	Puede eliminar las instantáneas antiguas o solicitar un aumento de cuota. Puede ver el límite predeterminado de instantáneas por región y consultar cómo solicitar un aumento de cuota en el apartado Service quotas en la Guía de referencia general de AWS .
MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED	Se adjuntaron más de 11 volúmenes de EBS a una instancia EC2. GuardDuty Malware Protection for EC2 escaneó los primeros 11 volúmenes de EBS y los obtuvo ordenándolos alfabéticamente. deviceName	No se puede procesar.
UNSUPPORTED_PRODUCT_CODE_TYPE	GuardDuty no admite el escaneo de instancias con como. productCode marketplace Para obtener más información, consulte las AMI de pago en la Guía del usuario de Amazon EC2. Para obtener más información sobre productCode, consulte ProductCode en la Referencia de la API de Amazon EC2.	No se puede procesar.