の Malware Protection のカスタマイズ EC2

このセクションでは、マルウェアスキャンがオンデマンドで開始されたとき、または を介して呼び出されたときに、Amazon EC2インスタンスまたはコンテナワークロードのスキャンオプションをカスタマイズする方法について説明します GuardDuty。

全般設定

スナップショットの保持

GuardDuty では、EBSボリュームのスナップショットを に保持するオプションが提供されます。 AWS アカウント。デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットは、スキャン開始前にこの設定をオンにしている場合にのみ保持されます。

スキャンが開始されると、 はEBSボリュームのスナップショットに基づいてレプリカEBSボリューム GuardDuty を生成します。スキャンが完了し、アカウントのスナップショット保持設定がすでにオンになっている場合、マルウェアが見つかったときにのみEBSボリュームのスナップショットが保持されますEC2 検出結果タイプの Malware Protection。スナップショットの保持設定を有効にしているかどうかにかかわらず、マルウェアが検出されない場合、 はEBSボリュームのスナップショット GuardDuty を自動的に削除します。

スナップショットの使用コスト

マルウェアスキャン中、 は Amazon EBSボリュームのスナップショット GuardDuty を作成するため、このステップには使用コストがかかります。アカウントのスナップショット保持設定を有効にした場合、マルウェアが検出されてスナップショットが保持されたとき、同様な内容で使用コストが発生します。スナップショットのコストとその保持については、「Amazon のEBS料金」を参照してください。

任意のアクセス方法を選択して、スナップショットの保存設定を有効にします。

Console

1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

2. ナビゲーションペインの保護プラン で、 の Malware Protection EC2を選択します。

3. コンソールの下部のセクションで [General settings] (一般設定) を選択します。スナップショットを保持するには、[Snapshots retention] (スナップショットの保持) をオンにします。

API/CLI

1. UpdateMalwareScanSettings を実行して、スナップショット保持設定の現在の設定を更新します。

2. または、以下を実行できます。 AWS CLI GuardDuty Malware Protection for が検出結果EC2を生成するときにスナップショットを自動的に保持する コマンド。

   必ず detector-id 独自の有効な を使用しますdetectorId。

3. アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 を実行します。 ListDetectors API.

   aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

4. スナップショットの保持を無効にしたい場合は、RETENTION_WITH_FINDING を NO_RETENTION に置き換えます。

ユーザー定義タグ付きのスキャンオプション

GuardDuty実行型マルウェアスキャンを使用すると、スキャンおよび脅威検出プロセスに Amazon EC2インスタンスと Amazon EBSボリュームを含めるか除外するかのタグを指定することもできます。が GuardDuty開始するマルウェアスキャンは、包含タグリストまたは除外タグリストのタグを編集することでカスタマイズできます。各リストには、最大 50 個のタグを含めることができます。

EC2 リソースに関連付けられたユーザー定義タグがまだない場合は、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」または「Amazon EC2 ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

注記

オンデマンドのマルウェアスキャンは、ユーザー定義タグ付けされたスキャンオプションをサポートしません。グローバル GuardDutyExcluded タグ をサポートします。

マルウェアスキャンからEC2インスタンスを除外するには

スキャンプロセス中に Amazon EC2インスタンスまたは Amazon EBSボリュームを除外する場合は、Amazon EC2インスタンスまたは Amazon EBSボリュームtrueのGuardDutyExcludedタグを に設定でき、 GuardDuty はスキャンしません。GuardDutyExcluded タグの詳細については、「Malware Protection for のサービスにリンクされたロールのアクセス許可 EC2」を参照してください。Amazon EC2インスタンスタグを除外リストに追加することもできます。除外タグリストに複数のタグを追加すると、これらのタグの少なくとも 1 つを含む Amazon EC2インスタンスはマルウェアスキャンプロセスから除外されます。

任意のアクセス方法を選択して、Amazon EC2インスタンスに関連付けられたタグを除外リストに追加します。

Console

1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

2. ナビゲーションペインの保護プラン で、 の Malware Protection EC2を選択します。

3. [包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。

4. [除外タグ] を選択したら [確認] を選択します。

5. 除外するタグの Key および Value ペアを指定します。Value を指定するかどうかは任意です。すべてのタグを追加したら、[保存] を選択します。

   重要

   タグのキーと値は大文字と小文字が区別されます。詳細については、「Amazon EC2ユーザーガイド」の「タグの制限」または「Amazon ユーザーガイド」の「タグの制限」を参照してください。 EC2

   キーの値が指定されておらず、EC2インスタンスに指定されたキーがタグ付けされている場合、このEC2インスタンスは、タグに割り当てられた値に関係なく、 GuardDuty実行型マルウェアスキャンプロセスから除外されます。

API/CLI

• スキャンプロセスからEC2インスタンスまたはコンテナワークロードを除外して、マルウェアスキャン設定を更新します。

  以下のようになります AWS CLI サンプルコマンドは、除外タグリストに新しいタグを追加します。必ず例を置き換えてください。detector-id 独自の有効な を使用しますdetectorId。

  MapEquals は Key/Value ペアの一覧です。

  アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 を実行します。 ListDetectors API.

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  重要

  タグのキーと値は大文字と小文字が区別されます。詳細については、「Amazon EC2ユーザーガイド」の「タグの制限」または「Amazon ユーザーガイド」の「タグの制限」を参照してください。 EC2

マルウェアスキャンにEC2インスタンスを含めるには

EC2 インスタンスをスキャンする場合は、そのタグを包含リストに追加します。包含タグリストにタグを追加すると、追加されたタグを含まないEC2インスタンスはマルウェアスキャンからスキップされます。包含タグリストに複数のタグを追加すると、それらのタグの少なくとも 1 つを含むEC2インスタンスがマルウェアスキャンに含まれます。場合によっては、スキャンプロセス中にEC2インスタンスがスキップされることがあります。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。

任意のアクセス方法を選択して、EC2インスタンスに関連付けられたタグを包含リストに追加します。

Console

1. で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。

2. ナビゲーションペインの「保護プラン」で、「 のマルウェア保護EC2」を選択します。

3. [包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。

4. [包含タグ] を選択したら [確認] を選択します。

5. [Add new inclusion tag] (新しい包含タグを追加) を選択し、除外するタグの Key と Value ペアを指定します。Value を指定するかどうかは任意です。

   すべての包含タグを追加したら、[保存] を選択します。

   キーの値が指定されていない場合、指定されたキーでEC2インスタンスにタグが付けられ、タグに割り当てられた値に関係なく、そのEC2インスタンスは Malware Protection for EC2 scanning プロセスに含まれます。

API/CLI

• マルウェアスキャン設定を更新して、スキャンプロセスにEC2インスタンスまたはコンテナワークロードを含めます。

  以下のようになります AWS CLI サンプルコマンドは、包含タグリストに新しいタグを追加します。この例を必ず置き換えてください。detector-id 独自の有効な を使用しますdetectorId。例を置き換える TestKey また、TestValue EC2 リソースに関連付けられたタグの Keyと のValueペアを使用します。

  MapEquals は Key/Value ペアの一覧です。

  アカウントと現在のリージョンdetectorIdの を検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 を実行します。 ListDetectors API.

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  重要

  タグのキーと値は大文字と小文字が区別されます。詳細については、「Amazon EC2ユーザーガイド」の「タグの制限」または「Amazon ユーザーガイド」の「タグの制限」を参照してください。 EC2

注記

が新しいタグを検出する GuardDuty までに最大 5 分かかる場合があります。

ユーザーはいつでも [Inclusion tags] (包含タグ) または [Exclusion tags] (除外タグ) のどちらかを選択できますが、両方を選択することはできません。タグを切り替える場合、新しいタグを追加する際にドロップダウンメニューからそのタグを選択し、選択したものを [確認] します。このアクションにより、現在のタグがすべてクリアされます。

グローバル GuardDutyExcluded タグ

デフォルトでは、EBSボリュームのスナップショットは GuardDutyScanId タグで作成されます。このタグを削除しないでください。削除すると、 がスナップショットにアクセスできなくなります GuardDuty。Malware Protection for のどちらのスキャンタイプEC2も、 GuardDutyExcluded タグが に設定されている Amazon EC2インスタンスまたは Amazon EBSボリュームをスキャンしませんtrue。このようなリソースのEC2スキャンに対する Malware Protection の場合、スキャン ID が生成されますが、スキャンはEXCLUDED_BY_SCAN_SETTINGS理由付きでスキップされます。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。