翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Malware Protection のカスタマイズ EC2
このセクションでは、マルウェアスキャンがオンデマンドで開始されたとき、または を介して呼び出されたときに、Amazon EC2インスタンスまたはコンテナワークロードのスキャンオプションをカスタマイズする方法について説明します GuardDuty。
全般設定
スナップショットの保持
GuardDuty では、EBSボリュームのスナップショットをアカウント内に保持するオプションが提供されます AWS 。デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットは、スキャン開始前にこの設定をオンにしている場合にのみ保持されます。
スキャンが開始されると、 はEBSボリュームのスナップショットに基づいてレプリカEBSボリューム GuardDuty を生成します。スキャンが完了し、アカウントのスナップショット保持設定がすでにオンになっている場合、マルウェアが見つかったときにのみEBSボリュームのスナップショットが保持されますEC2 検出結果タイプの Malware Protection。スナップショットの保持設定を有効にしているかどうかにかかわらず、マルウェアが検出されない場合、 はEBSボリュームのスナップショット GuardDuty を自動的に削除します。
スナップショットの使用コスト
マルウェアスキャン中、 は Amazon EBSボリュームのスナップショット GuardDuty を作成するため、このステップには使用コストがかかります。アカウントのスナップショット保持設定を有効にした場合、マルウェアが検出されてスナップショットが保持されたとき、同様な内容で使用コストが発生します。スナップショットのコストとその保持については、「Amazon のEBS料金」を参照してください。
任意のアクセス方法を選択して、スナップショットの保存設定を有効にします。
- Console
-
で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。
-
ナビゲーションペインの「保護プラン」で、「 のマルウェア保護EC2」を選択します。
-
コンソールの下部のセクションで [General settings] (一般設定) を選択します。スナップショットを保持するには、[Snapshots retention] (スナップショットの保持) をオンにします。
- API/CLI
-
UpdateMalwareScanSettings を実行して、スナップショット保持設定の現在の設定を更新します。
-
または、次の AWS CLI コマンドを実行して、 GuardDuty Malware Protection for が検出結果EC2を生成するときにスナップショットを自動的に保持することもできます。
必ず detector-id
独自の有効な を使用しますdetectorId
。
-
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2
--ebs-snapshot-preservation "RETENTION_WITH_FINDING
"
-
スナップショットの保持を無効にしたい場合は、RETENTION_WITH_FINDING
を NO_RETENTION
に置き換えます。
ユーザー定義タグ付きのスキャンオプション
GuardDuty実行型マルウェアスキャンを使用すると、スキャンおよび脅威検出プロセスに Amazon EC2インスタンスと Amazon EBSボリュームを含めるか除外するかのタグを指定することもできます。が GuardDuty開始するマルウェアスキャンは、包含タグリストまたは除外タグリストのタグを編集することでカスタマイズできます。各リストには、最大 50 個のタグを含めることができます。
EC2 リソースに関連付けられたユーザー定義タグがまだない場合は、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」または「Amazon EC2 ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2
マルウェアスキャンからEC2インスタンスを除外するには
スキャンプロセス中に Amazon EC2インスタンスまたは Amazon EBSボリュームを除外する場合は、Amazon EC2インスタンスまたは Amazon EBSボリュームtrue
のGuardDutyExcluded
タグを に設定でき、 GuardDuty はスキャンしません。GuardDutyExcluded
タグの詳細については、「Malware Protection for のサービスにリンクされたロールのアクセス許可 EC2」を参照してください。Amazon EC2インスタンスタグを除外リストに追加することもできます。除外タグリストに複数のタグを追加すると、これらのタグの少なくとも 1 つを含む Amazon EC2インスタンスはマルウェアスキャンプロセスから除外されます。
任意のアクセス方法を選択して、Amazon EC2インスタンスに関連付けられたタグを除外リストに追加します。
- Console
-
で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。
-
ナビゲーションペインの保護プラン で、 の Malware Protection EC2を選択します。
-
[包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。
[除外タグ] を選択したら [確認] を選択します。
-
除外するタグの Key
および Value
ペアを指定します。Value
を指定するかどうかは任意です。すべてのタグを追加したら、[保存] を選択します。
タグのキーと値は大文字と小文字が区別されます。詳細については、「Amazon EC2ユーザーガイド」の「タグの制限」または「Amazon ユーザーガイド」の「タグの制限」を参照してください。 EC2
キーの値が指定されておらず、EC2インスタンスに指定されたキーがタグ付けされている場合、このEC2インスタンスは、タグに割り当てられた値に関係なく、 GuardDuty実行型マルウェアスキャンプロセスから除外されます。
- API/CLI
-
-
スキャンプロセスからEC2インスタンスまたはコンテナワークロードを除外して、マルウェアスキャン設定を更新します。
次のコマンド AWS CLI 例では、除外タグリストに新しいタグを追加します。必ず例を置き換えてください。detector-id
独自の有効な を使用しますdetectorId
。
MapEquals
は Key
/Value
ペアの一覧です。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2
--scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue
", "Value": "TestValue
" }, {"Key":"TestKeyWithoutValue
"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING
"
タグのキーと値は大文字と小文字が区別されます。詳細については、「Amazon EC2ユーザーガイド」の「タグの制限」または「Amazon ユーザーガイド」の「タグの制限」を参照してください。 EC2
マルウェアスキャンにEC2インスタンスを含めるには
EC2 インスタンスをスキャンする場合は、そのタグを包含リストに追加します。包含タグリストにタグを追加すると、追加されたタグを含まないEC2インスタンスはマルウェアスキャンからスキップされます。包含タグリストに複数のタグを追加すると、それらのタグの少なくとも 1 つを含むEC2インスタンスがマルウェアスキャンに含まれます。場合によっては、スキャンプロセス中にEC2インスタンスがスキップされることがあります。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。
任意のアクセス方法を選択して、EC2インスタンスに関連付けられたタグを包含リストに追加します。
- Console
-
-
で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。
-
ナビゲーションペインの「保護プラン」で、「 のマルウェア保護EC2」を選択します。
-
[包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。
[包含タグ] を選択したら [確認] を選択します。
-
[Add new inclusion tag] (新しい包含タグを追加) を選択し、除外するタグの Key
と Value
ペアを指定します。Value
を指定するかどうかは任意です。
すべての包含タグを追加したら、[保存] を選択します。
キーの値が指定されていない場合、EC2インスタンスに指定されたキーがタグ付けされ、タグに割り当てられた値に関係なく、EC2インスタンスは Malware Protection for EC2 scan プロセスに含まれます。
- API/CLI
-
-
マルウェアスキャン設定を更新して、スキャンプロセスにEC2インスタンスまたはコンテナワークロードを含めます。
次のコマンド AWS CLI 例では、包含タグリストに新しいタグを追加します。この例を必ず置き換えてください。detector-id
独自の有効な を使用しますdetectorId
。例を置き換える TestKey
また、TestValue
EC2 リソースに関連付けられたタグの Key
と のValue
ペアを使用します。
MapEquals
は Key
/Value
ペアの一覧です。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors を実行しますAPI。
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2
--scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue
", "Value": "TestValue
" }, {"Key":"TestKeyWithoutValue
"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING
"
タグのキーと値は大文字と小文字が区別されます。詳細については、「Amazon EC2ユーザーガイド」の「タグの制限」または「Amazon ユーザーガイド」の「タグの制限」を参照してください。 EC2
が新しいタグを検出する GuardDuty までに最大 5 分かかる場合があります。
ユーザーはいつでも [Inclusion tags] (包含タグ) または [Exclusion tags] (除外タグ) のどちらかを選択できますが、両方を選択することはできません。タグを切り替える場合、新しいタグを追加する際にドロップダウンメニューからそのタグを選択し、選択したものを [確認] します。このアクションにより、現在のタグがすべてクリアされます。
グローバル GuardDutyExcluded
タグ
デフォルトでは、EBSボリュームのスナップショットは GuardDutyScanId
タグで作成されます。このタグを削除しないでください。削除すると、 がスナップショットにアクセスできなくなります GuardDuty。Malware Protection for のどちらのスキャンタイプEC2も、 GuardDutyExcluded
タグが に設定されている Amazon EC2インスタンスまたは Amazon EBSボリュームをスキャンしませんtrue
。このようなリソースで Malware Protection for EC2 scan を実行すると、スキャン ID が生成されますが、スキャンはEXCLUDED_BY_SCAN_SETTINGS
理由付きでスキップされます。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。