翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Malware Protection for EC2 のカスタマイズ
このセクションでは、マルウェアスキャンがオンデマンドで開始されたとき、または を介して呼び出されたときに、Amazon EC2 インスタンスまたはコンテナワークロードのスキャンオプションをカスタマイズする方法について説明します GuardDuty。
全般設定
スナップショットの保持
GuardDuty には、EBS ボリュームのスナップショットをアカウント AWS 内に保持するオプションが用意されています。デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットは、スキャン開始前にこの設定をオンにしている場合にのみ保持されます。
スキャンが開始されると、 は EBS ボリュームのスナップショットに基づいてレプリカ EBS ボリューム GuardDuty を生成します。スキャンが完了して、アカウントのスナップショットの保持設定が既にオンになっている場合、マルウェアが見つかって EC2 検出結果タイプの Malware Protection が生成された場合に限り、EBS ボリュームのスナップショットが保持されます。スナップショットの保持設定をオンにしているかどうかにかかわらず、マルウェアが検出されない場合、 は EBS ボリュームのスナップショット GuardDuty を自動的に削除します。
スナップショットの使用コスト
マルウェアスキャン中、 は Amazon EBS ボリュームのスナップショット GuardDuty を作成するため、このステップには使用コストがかかります。アカウントのスナップショット保持設定を有効にした場合、マルウェアが検出されてスナップショットが保持されたとき、同様な内容で使用コストが発生します。スナップショットおよびその保持にかかるコストについては、「Amazon EBS 料金」を参照してください。
任意のアクセス方法を選択して、スナップショットの保存設定を有効にします。
- Console
-
https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
-
ナビゲーションペインの保護プラン で、EC2 の Malware Protection EC2を選択します。
-
コンソールの下部のセクションで [General settings] (一般設定) を選択します。スナップショットを保持するには、[Snapshots retention] (スナップショットの保持) をオンにします。
- API/CLI
-
UpdateMalwareScanSettings を実行して、スナップショット保持設定の現在の設定を更新します。
-
または、次の AWS CLI コマンドを実行して、 GuardDuty Malware Protection for EC2 が検出結果を生成するときにスナップショットを自動的に保持することもできます。
必ず detector-id をご自身の有効な detectorId に置き換えてください。
-
アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
-
スナップショットの保持を無効にしたい場合は、RETENTION_WITH_FINDING を NO_RETENTION に置き換えます。
ユーザー定義タグ付きのスキャンオプション
GuardDuty実行型マルウェアスキャンを使用すると、Amazon EC2 インスタンスと Amazon EBS ボリュームをスキャンおよび脅威検出プロセスに含めたり除外したりするためのタグを指定することもできます。が GuardDuty開始するマルウェアスキャンは、包含タグリストまたは除外タグリストのいずれかでタグを編集することでカスタマイズできます。各リストには、最大 50 個のタグを含めることができます。
EC2 リソースに関連付けられたユーザー定義タグがまだない場合は、「Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースにタグを付ける」または「Amazon EC2Amazon EC2 ユーザーガイド」のAmazon EC2 リソースにタグを付ける」を参照してください。 Amazon EC2
EC2 インスタンスをマルウェアウェアスキャンから除外する方法
スキャンプロセス中に Amazon EC2 インスタンスまたは Amazon EBS ボリュームを除外する場合は、任意の Amazon EC2 インスタンスまたは Amazon EBS ボリュームtrueの GuardDutyExcluded タグを に設定でき、 GuardDuty はそれをスキャンしません。GuardDutyExcluded タグの詳細については、「Malware Protection for EC2 のサービスにリンクされたロールのアクセス許可」を参照してください。Amazon EC2 インスタンスタグを除外リストに追加することもできます。複数のタグを除外タグリストに追加する場合、これらのタグを少なくとも 1 つ含む Amazon EC2 インスタンスがマルウェアスキャンのプロセスから除外されます。
任意のアクセス方法を選択して、Amazon EC2 インスタンスに関連付けされたタグを除外リストに追加します。
- Console
-
https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
-
ナビゲーションペインの保護プラン で、EC2 の Malware Protection EC2を選択します。
-
[包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。
[除外タグ] を選択したら [確認] を選択します。
-
除外するタグの Key および Value ペアを指定します。Value を指定するかどうかは任意です。すべてのタグを追加したら、[保存] を選択します。
タグのキーと値は大文字と小文字が区別されます。詳細については、Amazon EC2 ユーザーガイド」の「タグの制限」または「Amazon EC2 ユーザーガイド」の「タグの制限」を参照してください。 Amazon EC2
キーの値が指定されておらず、EC2 インスタンスに指定されたキーがタグ付けされている場合、この EC2 インスタンスは、タグに割り当てられた値に関係なく、 GuardDuty実行型マルウェアスキャンプロセスから除外されます。
- API/CLI
-
-
EC2 インスタンスまたはコンテナワークロードをスキャンプロセスから除外することによって、マルウェアスキャン設定を更新します。
次のコマンド AWS CLI 例では、除外タグリストに新しいタグを追加します。必ず detector-id の例を、ご自身の有効な detectorId に置き換えてください。
MapEquals は Key/Value ペアの一覧です。
アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
タグのキーと値は大文字と小文字が区別されます。詳細については、Amazon EC2 ユーザーガイド」の「タグ制限」または「Amazon EC2 ユーザーガイド」の「タグ制限」を参照してください。 Amazon EC2
EC2 インスタンスをマルウェアスキャンに含めるには
EC2 インスタンスをスキャンする場合は、そのタグを包含リストに追加します。包含タグのリストにタグを追加すると、追加されたタグを含まない EC2 インスタンスは、マルウェアスキャン時にスキップされます。複数のタグを包含タグのリストに追加した場合、これらのタグを 1 つでも含む EC2 インスタンスには、マルウェアスキャンが実施されます。場合によっては、スキャンプロセス中に EC2 インスタンスがスキップされることがあります。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。
任意のアクセス方法を選択して、EC2 インスタンスに関連付けられているタグを包含リストに追加します。
- Console
-
-
https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
-
ナビゲーションペインの保護プラン で、EC2 の Malware Protection EC2を選択します。
-
[包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。
[包含タグ] を選択したら [確認] を選択します。
-
[Add new inclusion tag] (新しい包含タグを追加) を選択し、除外するタグの Key と Value ペアを指定します。Value を指定するかどうかは任意です。
すべての包含タグを追加したら、[保存] を選択します。
キーの値が指定されていない場合、EC2 インスタンスに指定されたキーがタグ付けされ、タグに割り当てられた値に関係なく、EC2 インスタンスは Malware Protection for EC2 スキャンプロセスに含まれます。
- API/CLI
-
-
マルウェアスキャン設定を更新して、スキャンプロセスに EC2 インスタンスまたはコンテナワークロードを含めます。
次のコマンド AWS CLI 例では、包含タグリストに新しいタグを追加します。必ず detector-id の例をお使いの有効な detectorId に置き換えてください。例 TestKeyと を、EC2 リソースに関連付けられたタグの Keyと のValueペアTestValueに置き換えます。
MapEquals は Key/Value ペアの一覧です。
アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
タグのキーと値は大文字と小文字が区別されます。詳細については、Amazon EC2 ユーザーガイド」の「タグ制限」または「Amazon EC2 ユーザーガイド」の「タグ制限」を参照してください。 Amazon EC2
が新しいタグを検出する GuardDuty までに最大 5 分かかる場合があります。
ユーザーはいつでも [Inclusion tags] (包含タグ) または [Exclusion tags] (除外タグ) のどちらかを選択できますが、両方を選択することはできません。タグを切り替える場合、新しいタグを追加する際にドロップダウンメニューからそのタグを選択し、選択したものを [確認] します。このアクションにより、現在のタグがすべてクリアされます。
グローバル GuardDutyExcluded タグ
デフォルトでは、EBS ボリュームのスナップショットは GuardDutyScanId タグ付きで作成されます。このタグを削除しないでください。削除すると、 がスナップショットにアクセスできなくなります GuardDuty。Malware Protection for EC2 のどちらのスキャンタイプも、 GuardDutyExcluded タグが に設定されている Amazon EC2 インスタンスまたは Amazon EBS ボリュームをスキャンしませんtrue。このようなリソースで Malware Protection for EC2 スキャンを実行すると、スキャン ID が生成されますが、そのスキャンはEXCLUDED_BY_SCAN_SETTINGS理由とともにスキップされます。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。
