Malware Protection の機能

Elastic Block Storage (EBS) ボリューム

このセクションでは、Malware Protection ( GuardDuty起動型マルウェアスキャンとオンデマンドマルウェアスキャンの両方を含む) が、Amazon EC2 インスタンスとコンテナワークロードに関連付けられた Amazon EBS ボリュームをスキャンする方法について説明します。先に進む前に、次のカスタマイズを検討してください。

• スキャンオプション - Malware Protection では、Amazon EC2 インスタンスおよび Amazon EBS ボリュームをスキャンプロセスに含めるまたは除外するタグを指定できます。 GuardDutyユーザー定義タグによるスキャンオプションをサポートするのは-initiated 不正プログラムスキャンのみです。 GuardDuty-initiated 不正プログラム検索とオンデマンド不正プログラム検索はどちらもグローバルタグをサポートします。GuardDutyExcluded詳細については、「ユーザー定義タグ付きのスキャンオプション」を参照してください。

• スナップショットの保持 — マルウェア対策には、アカウント内の Amazon EBS ボリュームのスナップショットを保持するオプションが用意されています。 AWS デフォルトでは、このオプションは無効になっています。 GuardDuty 開始されたマルウェアスキャンとオンデマンドマルウェアスキャンの両方のスナップショット保持を選択できます。詳細については、「スナップショットの保持」を参照してください。

Amazon EC2 GuardDuty インスタンスまたはコンテナワークロードにマルウェアが存在する可能性があることを示す結果が生成されたときに、Malware Protection GuardDuty で開始されたスキャンタイプを有効にすると、 GuardDutyスキャンオプションに基づいて開始されたマルウェアスキャンが呼び出されることがあります。

Amazon EC2 インスタンスに関連付けされた Amazon EBS ボリュームにオンデマンドのマルウェアスキャンを開始するには、Amazon EC2 インスタンスの Amazon リソースネーム (ARN) を指定します。

オンデマンドマルウェアスキャン、または自動的に起動されたマルウェアスキャンへの応答として、 GuardDuty影響を受ける可能性のあるリソースにアタッチされた関連する EBS GuardDuty ボリュームのスナップショットを作成し、と共有します。GuardDuty サービスアカウントこれらのスナップショットから、サービスアカウントに暗号化されたレプリカ GuardDuty EBS ボリュームを作成します。

スキャンが完了すると、暗号化されたレプリカ EBS ボリュームと EBS GuardDuty ボリュームのスナップショットが削除されます。マルウェアが見つかり、スナップショットの保持設定を有効にした場合、EBS ボリュームのスナップショットは削除されず、アカウントに自動的に保持されます。 AWS マルウェアが見つからないとき、スナップショットの保持設定とは関係なく、EBS ボリュームのスナップショットは保持されません。デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットとその保持にかかるコストについては、「Amazon EBS の料金」を参照してください。

GuardDuty サービスアカウント内の各レプリカ EBS ボリュームは最大 55 時間保持されます。サービスが停止した場合、またはレプリカ EBS ボリュームとそのマルウェアスキャンに障害が発生した場合、その EBS ボリュームは 7 GuardDuty 日以内に保持されます。ボリュームの保持期間を延長すると、停止や障害を優先順位付けして対処できます。 GuardDuty Malware Protection は、停止または障害に対処した後、または延長された保持期間が経過した後に、サービスアカウントからレプリカ EBS ボリュームを削除します。