Personalizzazioni in Malware Protection for EC2

Questa sezione descrive come personalizzare le opzioni di scansione per le istanze Amazon EC2 o i carichi di lavoro dei container quando viene richiamata una scansione antimalware, avviata su richiesta o tramite. GuardDuty

Impostazioni generali

Conservazione degli snapshot

GuardDuty ti offre la possibilità di conservare le istantanee dei tuoi volumi EBS nel tuo account. AWS Per impostazione predefinita, la conservazione degli snapshot è disattivata. Gli snapshot verranno conservati solo se questa impostazione viene attivata prima dell'avvio della scansione.

All'avvio della scansione, GuardDuty genera i volumi EBS di replica in base alle istantanee dei volumi EBS. Una volta completata la scansione e dopo aver già attivato l'impostazione di conservazione degli snapshot nell'account, gli snapshot dei volumi EBS verranno conservati solo in caso di rilevamento di malware e di generazione di Protezione da malware per tipi di ricerca EC2. Indipendentemente dal fatto che tu abbia attivato o meno l'impostazione di conservazione delle istantanee, quando non viene rilevato alcun malware, elimina GuardDuty automaticamente le istantanee dei tuoi volumi EBS.

Costo di utilizzo degli snapshot

Durante la scansione antimalware, durante la GuardDuty creazione delle istantanee dei volumi Amazon EBS, a questa fase è associato un costo di utilizzo. Se attivi l'impostazione di conservazione degli snapshot per il tuo account, quando viene rilevato un malware dovrai sostenere i costi di utilizzo per conservare gli snapshot. Per informazioni relative ai costi degli snapshot e alla loro conservazione, consulta Prezzi di Amazon EBS.

Scegli il metodo di accesso che preferisci per attivare l'impostazione di conservazione degli snapshot.

Console

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nel pannello di navigazione, sotto Piani di protezione, scegli Malware Protection for EC2.

3. Scegli Impostazioni generali nella sezione inferiore della console. Per conservare gli snapshot, attiva la Conservazione degli snapshot.

API/CLI

1. Esegui UpdateMalwareScanSettingsper aggiornare la configurazione corrente per l'impostazione di conservazione delle istantanee.

2. In alternativa, puoi eseguire il seguente AWS CLI comando per conservare automaticamente le istantanee quando GuardDuty Malware Protection for EC2 genera dei risultati.

   Assicurati di sostituire il detector-id con il tuo detectorId valido.

3. Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

   aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

4. Se desideri disattivare la conservazione degli snapshot, sostituisci RETENTION_WITH_FINDING con NO_RETENTION.

Opzioni di scansione con tag definiti dall'utente

Utilizzando GuardDuty -initiated malware scan, puoi anche specificare tag per includere o escludere le istanze Amazon EC2 e i volumi Amazon EBS dal processo di scansione e rilevamento delle minacce. Puoi personalizzare ogni scansione antimalware GuardDuty avviata modificando i tag nell'elenco dei tag di inclusione o di esclusione. Ogni elenco può includere fino a 50 tag.

Se non disponi già di tag definiti dall'utente associati alle tue risorse EC2, consulta Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide o Tagga le tue risorse Amazon EC2 nella Amazon EC2 User Guide.

Nota

La scansione antimalware on demand non supporta le opzioni di scansione con tag definiti dall'utente. Supporta Tag GuardDutyExcluded globale.

Per escludere istanze EC2 dalla scansione malware

Se desideri escludere un'istanza Amazon EC2 o un volume Amazon EBS durante il processo di scansione, puoi impostare il GuardDutyExcluded tag su qualsiasi istanza Amazon EC2 o volume Amazon EBS e non eseguirai la scansione. true GuardDuty Per ulteriori informazioni sul tag GuardDutyExcluded, consulta Autorizzazioni di ruolo collegate ai servizi per Malware Protection for EC2. Puoi anche aggiungere un tag di istanza Amazon EC2 a un elenco di esclusione. Se aggiungi più tag all'elenco dei tag di esclusione, qualsiasi istanza Amazon EC2 che contiene almeno uno di questi tag verrà esclusa dal processo di scansione del malware.

Scegli il metodo di accesso che preferisci per aggiungere un tag associato a un'istanza Amazon EC2 a un elenco di esclusione.

Console

1. Apri la console all'indirizzo https://console.aws.amazon.com/guardduty/ GuardDuty .

2. Nel pannello di navigazione, sotto Piani di protezione, scegli Malware Protection for EC2.

3. Espandi la sezione Tag di inclusione/esclusione. Scegli Aggiungi tag.

4. Scegli Tag di esclusione, quindi Conferma.

5. Specifica la coppia di Key e Value del tag che desideri escludere. Fornire il Value è facoltativo. Dopo aver aggiunto tutti i tag, scegli Salva.

   Importante

   Per le chiavi e i valori dei tag viene fatta la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta Restrizioni relative ai tag nella Guida per l'utente di Amazon EC2 o Restrizioni relative ai tag nella Guida per l'utente di Amazon EC2.

   Se non viene fornito un valore per una chiave e l'istanza EC2 è etichettata con la chiave specificata, questa istanza EC2 verrà esclusa dal processo di scansione antimalware GuardDuty avviato, indipendentemente dal valore assegnato al tag.

API/CLI

• Aggiorna le impostazioni di scansione di malware escludendo un'istanza EC2 o un carico di lavoro di un container dal processo di scansione.

  Il comando di AWS CLI esempio seguente aggiunge un nuovo tag all'elenco dei tag di esclusione. Assicurati di sostituire il detector-id di esempio con il tuo detectorId valido.

  MapEquals è un elenco di coppie Key/Value.

  Per trovare il codice detectorId per il tuo account e la regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  Importante

  Per le chiavi e i valori dei tag viene fatta la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta Restrizioni relative ai tag nella Guida per l'utente di Amazon EC2 o Restrizioni relative ai tag nella Guida per l'utente di Amazon EC2.

Per includere istanze EC2 nella scansione malware

Se desideri scansionare un'istanza EC2, aggiungi il relativo tag all'elenco di inclusione. Quando aggiungi un tag a un elenco di tag di inclusione, un'istanza EC2 che non contiene nessuno dei tag aggiunti viene ignorata durante la scansione malware. Se aggiungi più tag all'elenco dei tag di inclusione, un'istanza EC2 che contiene almeno uno di questi tag viene inclusa nella scansione malware. A volte, un'istanza EC2 potrebbe essere ignorata durante il processo di scansione. Per ulteriori informazioni, consulta Motivi per cui una risorsa viene ignorata durante la scansione malware.

Scegli il metodo di accesso che preferisci per aggiungere un tag associato a un'istanza EC2 a un elenco di inclusione.

Console

1. Apri la GuardDuty console all'indirizzo https://console.aws.amazon.com/guardduty/.

2. Nel pannello di navigazione, sotto Piani di protezione, scegli Malware Protection for EC2.

3. Espandi la sezione Tag di inclusione/esclusione. Scegli Aggiungi tag.

4. Scegli Tag di inclusione, quindi Conferma.

5. Scegli Aggiungi nuovo tag di inclusione e specifica la coppia di Key e Value del tag che desideri includere. Fornire il Value è facoltativo.

   Dopo aver aggiunto tutti i tag di inclusione, scegli Salva.

   Se non viene fornito un valore per una chiave, un'istanza EC2 viene etichettata con la chiave specificata, l'istanza EC2 verrà inclusa nel processo di scansione di Malware Protection for EC2, indipendentemente dal valore assegnato al tag.

API/CLI

• Aggiorna le impostazioni di scansione di malware per includere un'istanza EC2 o un carico di lavoro di un container nel processo di scansione.

  Il comando di AWS CLI esempio seguente aggiunge un nuovo tag all'elenco dei tag di inclusione. Assicurati di sostituire il detector-id di esempio con il tuo detectorId valido. Sostituisci l'esempio TestKeye TestValuecon la Value coppia Key e del tag associata alla tua risorsa EC2.

  MapEquals è un elenco di coppie Key/Value.

  Per trovare le detectorId informazioni relative al tuo account e alla regione corrente, consulta la pagina Impostazioni nella console https://console.aws.amazon.com/guardduty/ oppure esegui l'API ListDetectors

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  Importante

  Per le chiavi e i valori dei tag viene fatta la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta Restrizioni relative ai tag nella Guida per l'utente di Amazon EC2 o Restrizioni relative ai tag nella Guida per l'utente di Amazon EC2.

Nota

Potrebbero essere necessari fino a 5 minuti per GuardDuty rilevare un nuovo tag.

In qualsiasi momento, puoi scegliere tra i Tag di inclusione o i Tag di esclusione, ma non entrambi. Se desideri passare da un tag all'altro, sceglilo dal menu a discesa quando aggiungi nuovi tag e Conferma la selezione. Questa operazione cancella tutti i tag correnti.

Tag GuardDutyExcluded globale

Per impostazione predefinita, gli snapshot dei volumi EBS vengono creati con un tag GuardDutyScanId. Non rimuovere questo tag perché così facendo si GuardDuty impedirà l'accesso alle istantanee. Entrambi i tipi di scansione in Malware Protection for EC2 non eseguono la scansione delle istanze Amazon EC2 o dei volumi Amazon EBS con il tag impostato GuardDutyExcluded su. true Se viene eseguita una scansione di Malware Protection for EC2 su tale risorsa, verrà generato un ID di scansione, ma la scansione verrà ignorata indicando un motivo. EXCLUDED_BY_SCAN_SETTINGS Per ulteriori informazioni, consulta Motivi per cui una risorsa viene ignorata durante la scansione malware.