Kustomisasi dalam Perlindungan Malware untuk EC2

Bagian ini menjelaskan bagaimana Anda dapat menyesuaikan opsi pemindaian untuk EC2 instans Amazon atau beban kerja kontainer saat pemindaian malware dipanggil, baik dimulai sesuai permintaan atau melalui. GuardDuty

Pengaturan umum

Retensi snapshot

GuardDuty memberi Anda opsi untuk menyimpan snapshot EBS volume Anda di AWS akun Anda. Secara default, pengaturan retensi snapshot dimatikan. Snapshot hanya akan dipertahankan jika pengaturan ini diaktifkan sebelum pemindaian dimulai.

Saat pemindaian dimulai, GuardDuty hasilkan EBS volume replika berdasarkan snapshot volume Anda. EBS Setelah pemindaian selesai dan pengaturan retensi snapshot di akun Anda sudah diaktifkan, snapshot EBS volume Anda akan dipertahankan hanya ketika malware ditemukan dan dihasilkan. Perlindungan Malware untuk jenis pencarian EC2 Apakah Anda telah mengaktifkan pengaturan retensi snapshot atau tidak, ketika tidak ada malware yang terdeteksi, GuardDuty secara otomatis menghapus snapshot volume Anda. EBS

Biaya penggunaan snapshot

Selama pemindaian malware, seperti GuardDuty membuat snapshot EBS volume Amazon Anda, ada biaya penggunaan yang terkait dengan langkah ini. Jika Anda mengaktifkan pengaturan penyimpanan snapshot untuk akun Anda, ketika malware ditemukan dan snapshot dipertahankan, Anda akan dikenakan biaya penggunaan untuk hal yang sama. Untuk informasi tentang biaya snapshot dan retensinya, lihat EBSharga Amazon.

Pilih metode akses pilihan Anda untuk mengaktifkan pengaturan retensi snapshot.

Console

1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

2. Di panel navigasi, di bawah Paket perlindungan, pilih Perlindungan Malware untuk EC2.

3. Pilih Pengaturan umum di bagian bawah konsol. Untuk mempertahankan snapshot, aktifkan retensi Snapshots.

API/CLI

1. Jalankan UpdateMalwareScanSettingsuntuk memperbarui konfigurasi saat ini untuk pengaturan retensi snapshot.

2. Atau, Anda dapat menjalankan AWS CLI perintah berikut untuk menyimpan snapshot secara otomatis saat Perlindungan GuardDuty Malware untuk EC2 menghasilkan temuan.

   Pastikan untuk mengganti detector-id dengan valid Anda sendiridetectorId.

3. Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

   aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

4. Jika Anda ingin mematikan retensi snapshot, ganti RETENTION_WITH_FINDING denganNO_RETENTION.

Opsi pindai dengan tag yang ditentukan pengguna

Dengan menggunakan GuardDuty pemindaian malware yang dimulai, Anda juga dapat menentukan tag untuk menyertakan atau mengecualikan EC2 instans Amazon dan EBS volume Amazon dari proses pemindaian dan deteksi ancaman. Anda dapat menyesuaikan setiap GuardDuty pemindaian malware yang dimulai dengan mengedit tag di daftar tag penyertaan atau pengecualian. Setiap daftar dapat mencakup hingga 50 tag.

Jika Anda belum memiliki tag yang ditentukan pengguna yang terkait dengan EC2 sumber daya Anda, lihat Menandai sumber EC2 daya Amazon Anda di Panduan EC2 Pengguna Amazon atau Menandai EC2 sumber daya Amazon Anda di Panduan EC2Pengguna Amazon.

catatan

Pemindaian malware sesuai permintaan tidak mendukung opsi pemindaian dengan tag yang ditentukan pengguna. Ini mendukungGuardDutyExcludedTag global.

Untuk mengecualikan EC2 instance dari pemindaian malware

Jika Anda ingin mengecualikan EC2 instans Amazon atau EBS volume Amazon selama proses pemindaian, Anda dapat mengatur GuardDutyExcluded tag true untuk EC2 instans Amazon atau EBS volume Amazon apa pun, dan GuardDuty tidak akan memindainya. Untuk informasi selengkapnya tentang GuardDutyExcluded tag, lihatIzin peran terkait layanan untuk Perlindungan Malware untuk EC2. Anda juga dapat menambahkan tag EC2 instans Amazon ke daftar pengecualian. Jika Anda menambahkan beberapa tag ke daftar tag pengecualian, EC2 instans Amazon apa pun yang berisi setidaknya satu dari tag ini akan dikecualikan dari proses pemindaian malware.

Pilih metode akses pilihan Anda untuk menambahkan tag yang terkait dengan EC2 instans Amazon, ke daftar pengecualian.

Console

1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

2. Di panel navigasi, di bawah Paket perlindungan, pilih Perlindungan Malware untuk EC2.

3. Perluas bagian tag Inklussi/Pengecualian. Pilih Tambahkan tag.

4. Pilih tag Pengecualian dan kemudian pilih untuk Konfirmasi.

5. Tentukan tag Key dan Value pasangkan yang ingin Anda kecualikan. Ini opsional untuk menyediakanValue. Setelah Anda menambahkan semua tag, pilih Simpan.

   penting

   Kunci dan nilai tag peka huruf besar dan kecil. Untuk informasi selengkapnya, lihat Pembatasan tag di Panduan EC2 Pengguna Amazon atau Pembatasan Tag di Panduan EC2 Pengguna Amazon.

   Jika nilai untuk kunci tidak disediakan dan EC2 instance ditandai dengan kunci yang ditentukan, EC2 instance ini akan dikecualikan dari proses pemindaian pemindaian malware GuardDuty yang dimulai, terlepas dari nilai yang ditetapkan tag.

API/CLI

• Perbarui pengaturan pemindaian malware dengan mengecualikan EC2 instance atau beban kerja kontainer dari proses pemindaian.

  Perintah AWS CLI contoh berikut menambahkan tag baru ke daftar tag pengecualian. Pastikan untuk mengganti contoh detector-id dengan valid Anda sendiridetectorId.

  MapEqualsadalah daftar Key Value /pasangan.

  Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  penting

  Kunci dan nilai tag peka huruf besar dan kecil. Untuk informasi selengkapnya, lihat Pembatasan tag di Panduan EC2 Pengguna Amazon atau Pembatasan Tag di Panduan EC2 Pengguna Amazon.

Untuk memasukkan EC2 instance dalam pemindaian malware

Jika Anda ingin memindai EC2 instance, tambahkan tagnya ke daftar inklusi. Saat Anda menambahkan tag ke daftar tag inklusi, EC2 instance yang tidak berisi tag yang ditambahkan akan dilewati dari pemindaian malware. Jika Anda menambahkan beberapa tag ke daftar tag inklusi, EC2 instance yang berisi setidaknya satu dari tag tersebut disertakan dalam pemindaian malware. Terkadang, sebuah EC2 instance dapat dilewati selama proses pemindaian. Untuk informasi selengkapnya, lihat Alasan melewatkan sumber daya selama pemindaian malware.

Pilih metode akses pilihan Anda untuk menambahkan tag yang terkait dengan EC2 instance, ke daftar inklusi.

Console

1. Buka GuardDuty konsol di https://console.aws.amazon.com/guardduty/.

2. Di panel navigasi, di bawah Paket perlindungan, pilih Perlindungan Malware untuk EC2.

3. Perluas bagian tag Inklussi/Pengecualian. Pilih Tambahkan tag.

4. Pilih tag Inklusi dan kemudian pilih Konfirmasi.

5. Pilih Tambahkan tag inklusi baru dan tentukan tag Key dan Value pasangan yang ingin Anda sertakan. Ini opsional untuk menyediakanValue.

   Setelah Anda menambahkan semua tag inklusi, pilih Simpan.

   Jika nilai untuk kunci tidak diberikan, EC2 instance ditandai dengan kunci yang ditentukan, EC2 instance akan disertakan dalam proses Perlindungan Malware untuk EC2 pemindaian, terlepas dari nilai yang ditetapkan tag.

API/CLI

• Perbarui pengaturan pemindaian malware untuk menyertakan EC2 instance atau beban kerja kontainer dalam proses pemindaian.

  AWS CLI Contoh perintah berikut menambahkan tag baru ke daftar tag inklusi. Pastikan Anda mengganti contoh detector-id dengan valid Anda sendiridetectorId. Ganti contoh TestKey and TestValue dengan Key dan Value pasangan tag yang terkait dengan EC2 sumber daya Anda.

  MapEqualsadalah daftar Key Value /pasangan.

  Untuk menemukan akun Anda dan Wilayah saat ini, lihat halaman Pengaturan di https://console.aws.amazon.com/guardduty/konsol, atau jalankan ListDetectorsAPI. detectorId

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  penting

  Kunci dan nilai tag peka huruf besar dan kecil. Untuk informasi selengkapnya, lihat Pembatasan tag di Panduan EC2 Pengguna Amazon atau Pembatasan Tag di Panduan EC2 Pengguna Amazon.

catatan

Mungkin diperlukan waktu hingga 5 menit GuardDuty untuk mendeteksi tag baru.

Kapan saja, Anda dapat memilih tag Inklusi atau tag Pengecualian tetapi tidak keduanya. Jika Anda ingin beralih di antara tag, pilih tag itu dari menu tarik-turun saat Anda menambahkan tag baru, dan Konfirmasikan pilihan Anda. Tindakan ini menghapus semua tag Anda saat ini.

GuardDutyExcludedTag global

Secara default, snapshot EBS volume Anda dibuat dengan GuardDutyScanId tag. Jangan hapus tag ini karena hal itu akan GuardDuty mencegah mengakses snapshot. Kedua jenis pemindaian dalam Perlindungan Malware untuk EC2 tidak memindai EC2 instans Amazon atau EBS volume Amazon yang memiliki GuardDutyExcluded tag yang disetel ketrue. Jika Perlindungan Malware untuk EC2 pemindaian pada sumber daya tersebut, ID pemindaian akan dihasilkan tetapi pemindaian akan dilewati dengan EXCLUDED_BY_SCAN_SETTINGS alasan. Untuk informasi selengkapnya, lihat Alasan melewatkan sumber daya selama pemindaian malware.