Comprendre CloudWatch les journaux et les raisons du manque de ressources lors de l'analyse Malware Protection for EC2 - Amazon GuardDuty
CloudWatch Journaux d'audit dans GuardDuty Malware Protection for EC2GuardDuty Protection contre les logiciels malveillants pour la conservation des journaux EC2Motifs de l'omission des ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre CloudWatch les journaux et les raisons du manque de ressources lors de l'analyse Malware Protection for EC2

GuardDuty Malware Protection for EC2 publie des événements dans votre groupe de CloudWatch journaux Amazon /aws/guardduty/ malware-scan-events. Pour chacun des événements liés à l'analyse des programmes malveillants, vous pouvez surveiller l'état et le résultat de l'analyse de vos ressources concernées. Certaines ressources Amazon EC2 et certains volumes Amazon EBS ont peut-être été ignorés lors de l'analyse Malware Protection for EC2.

CloudWatch Journaux d'audit dans GuardDuty Malware Protection for EC2

Trois types d'événements de scan sont pris en charge dans le groupe de journaux malware-scan-events CloudWatch /aws/guardduty/.

Nom de l'événement de scan de protection contre les programmes malveillants pour EC2 Explication

EC2_SCAN_STARTED

Créé lorsqu'une protection contre les GuardDuty programmes malveillants pour EC2 lance le processus d'analyse des programmes malveillants, par exemple en préparant la prise d'un instantané d'un volume EBS.

EC2_SCAN_COMPLETED

Créé lorsque l'analyse GuardDuty Malware Protection for EC2 est terminée pour au moins un des volumes EBS de la ressource concernée. Cet événement inclut également l'snapshotId qui appartient au volume EBS analysé. Une fois l'analyse terminée, son résultat de l'analyse sera CLEAN, THREATS_FOUND ou NOT_SCANNED.

EC2_SCAN_SKIPPED

Créé lorsque le scan GuardDuty Malware Protection for EC2 ignore tous les volumes EBS de la ressource affectée. Pour identifier le motif de l'omission, sélectionnez l'événement correspondant et consultez les détails. Pour plus d'informations sur les motifs de l'omission, veuillez consulter Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants ci-dessous.

Note

Si vous utilisez un AWS Organizations, CloudWatch les événements enregistrés depuis les comptes des membres dans Organizations sont publiés à la fois dans le compte administrateur et dans le groupe de journaux du compte membre.

Choisissez votre méthode d'accès préférée pour consulter et interroger CloudWatch les événements.

Console

  1. Connectez-vous à la CloudWatch console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, choisissez Journaux, Groupes de journaux. Choisissez le groupe de malware-scan-events journaux /aws/guardduty/ pour afficher les événements d'analyse relatifs à Malware Protection for EC2. GuardDuty

    Pour exécuter une requête, choisissez Log Insights.

    Pour plus d'informations sur l'exécution d'une requête, consultez Analyser les données des CloudWatch journaux avec Logs Insights dans le guide de CloudWatch l'utilisateur Amazon.

  3. Choisissez Analyser l'ID pour surveiller les détails de la ressource concernée et les résultats de logiciels malveillants. Par exemple, vous pouvez exécuter la requête suivante pour filtrer les événements du CloudWatch journal en utilisantscanId. Assurez-vous d'utiliser votre propre valeur scan-id valide.

    fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
API/CLI

  • Pour travailler avec des groupes de journaux, consultez la section Rechercher dans les entrées de journal AWS CLIà l'aide du guide de CloudWatch l'utilisateur Amazon.

    Choisissez le groupe de malware-scan-events journaux /aws/guardduty/ pour afficher les événements d'analyse relatifs à Malware Protection for EC2. GuardDuty

  • Pour afficher et filtrer les événements du journal, consultez GetLogEventset FilterLogEvents, respectivement, dans le Amazon CloudWatch API Reference.

GuardDuty Protection contre les logiciels malveillants pour la conservation des journaux EC2

La période de conservation des journaux par défaut pour le groupe de journaux /aws/guardduty/ est de 90 jours, après quoi les événements du malware-scan-events journal sont automatiquement supprimés. Pour modifier la politique de conservation des journaux de votre groupe de CloudWatch journaux, consultez la section Conservation des données des CloudWatch journaux des modifications dans Logs du guide de CloudWatch l'utilisateur Amazon ou PutRetentionPolicydans le manuel Amazon CloudWatch API Reference.

Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants

Lors des événements liés à l'analyse des programmes malveillants, certaines ressources EC2 et certains volumes EBS peuvent avoir été ignorés pendant le processus d'analyse. Le tableau suivant répertorie les raisons pour lesquelles GuardDuty Malware Protection for EC2 peut ne pas analyser les ressources. Le cas échéant, suivez les étapes proposées pour résoudre ces problèmes et analysez ces ressources la prochaine fois que GuardDuty Malware Protection for EC2 lancera une analyse des programmes malveillants. Les autres problèmes sont utilisés pour vous informer sur le cours des événements et ne sont pas exploitables.

Motifs de l'omission Explication Étapes proposées

RESOURCE_NOT_FOUND

Le resourceArn code fourni pour lancer l'analyse des programmes malveillants à la demande est introuvable dans votre AWS environnement.

Validez l'resourceArn de votre instance ou charge de travail de conteneur Amazon EC2, puis réessayez.

ACCOUNT_INELIGIBLE

L'identifiant du AWS compte à partir duquel vous avez essayé de lancer une analyse des programmes malveillants à la demande n'est pas activé GuardDuty.

Vérifiez que GuardDuty c'est activé pour ce AWS compte.

Lorsque vous GuardDuty en activez une nouvelle Région AWS , la synchronisation peut prendre jusqu'à 20 minutes.

UNSUPPORTED_KEY_ENCRYPTION

GuardDuty Malware Protection for EC2 prend en charge les volumes à la fois non chiffrés et chiffrés avec une clé gérée par le client. Il ne prend pas en charge l'analyse des volumes EBS chiffrés à l'aide du chiffrement Amazon EBS.

À l'heure actuelle, il existe une différence régionale selon laquelle cette raison d'omission ne s'applique pas. Pour plus d'informations à ce sujet Régions AWS, consultezDisponibilité des fonctionnalités propres à la région.

Remplacez votre clé de chiffrement par une clé gérée par le client. Pour plus d'informations sur les types de chiffrement pris GuardDuty en charge, consultezVolumes Amazon EBS pris en charge pour l'analyse des programmes malveillants.

EXCLUDED_BY_SCAN_SETTINGS

L'instance EC2 ou le volume EBS a été exclu lors de l'analyse des programmes malveillants. Il existe deux possibilités : soit la balise a été ajoutée à la liste d'inclusion, mais la ressource n'est pas associée à cette balise, soit la balise a été ajoutée à la liste d'exclusion et la ressource est associée à cette balise, soit la balise GuardDutyExcluded est définie sur true pour cette ressource.

Mettez à jour vos options d'analyse ou les balises associées à votre ressource Amazon EC2. Pour plus d’informations, consultez Options d'analyse avec balises définies par l'utilisateur.

UNSUPPORTED_VOLUME_SIZE

Le volume est supérieur à 2 048 Go.

Non exploitable.

NO_VOLUMES_ATTACHED

GuardDuty Malware Protection for EC2 a détecté l'instance dans votre compte, mais aucun volume EBS n'a été attaché à cette instance pour procéder à l'analyse.

Non exploitable.

UNABLE_TO_SCAN

Il s'agit d'une erreur de service interne.

Non exploitable.

SNAPSHOT_NOT_FOUND

Les instantanés créés à partir des volumes EBS et partagés avec le compte de service sont introuvables, et GuardDuty Malware Protection for EC2 n'a pas pu poursuivre l'analyse.

Vérifiez que CloudTrail les instantanés n'ont pas été supprimés intentionnellement.

SNAPSHOT_QUOTA_REACHED

Vous avez atteint le volume maximum autorisé d'instantanés pour chaque région. Cela empêche non seulement de retenir, mais également de créer d'autres instantanés.

Vous pouvez soit supprimer les anciens instantanés, soit demander une augmentation du quota. Vous pouvez consulter la limite par défaut pour les instantanés par région et la procédure à suivre pour demander une augmentation de quota sous Service Quotas dans le Guide de référence général AWS .

MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED

Plus de 11 volumes EBS ont été attachés à une instance EC2. GuardDuty Malware Protection for EC2 a analysé les 11 premiers volumes EBS, obtenus en les triant par ordre alphabétique. deviceName

Non exploitable.

UNSUPPORTED_PRODUCT_CODE_TYPE

GuardDuty ne prend pas en charge l'analyse des instances avec productCode asmarketplace. Pour plus d'informations, consultez la section AMI payantes dans le guide de l'utilisateur Amazon EC2.

Pour plus d'informations sur productCode, veuillez consulter ProductCode dans la Référence API d'Amazon EC2.

Non exploitable.