翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Malware Protection のカスタマイズ
このセクションでは、マルウェアスキャンがオンデマンドまたは経由で開始されたときに、Amazon EC2 インスタンスまたはコンテナワークロードのスキャンオプションをカスタマイズする方法について説明します。 GuardDuty
全般設定
スナップショットの保持
GuardDuty EBS ボリュームのスナップショットをアカウント内に保持するオプションが用意されています。 AWS
デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットは、スキャン開始前にこの設定をオンにしている場合にのみ保持されます。
スキャンが開始されると、EBS ボリュームのスナップショットに基づいてレプリカ EBS GuardDuty ボリュームが生成されます。スキャンが完了して、アカウントのスナップショットの保持設定が既にオンになっている場合、マルウェアが見つかって Malware Protection の検出結果のタイプ が生成された場合に限り、EBS ボリュームのスナップショットが保持されます。スナップショット保持設定をオンにしているかどうかに関係なく、マルウェアが検出されない場合、EBS GuardDuty ボリュームのスナップショットは自動的に削除されます。
スナップショットの使用コスト
マルウェアのスキャン中、Amazon EBS GuardDuty ボリュームのスナップショットを作成する場合、このステップには使用コストがかかります。アカウントのスナップショット保持設定を有効にした場合、マルウェアが検出されてスナップショットが保持されたとき、同様な内容で使用コストが発生します。スナップショットおよびその保持にかかるコストについては、「Amazon EBS 料金」を参照してください。
任意のアクセス方法を選択して、スナップショットの保存設定を有効にします。
- Console
-
- API/CLI
-
UpdateMalwareScanSettingsを実行して、スナップショット保持設定の現在の構成を更新します。
-
または、 AWS CLI 次のコマンドを実行して、 GuardDuty Malware Protection が結果を生成したときにスナップショットを自動的に保持することもできます。
必ず detector-id
をご自身の有効な detectorId
に置き換えてください。
-
アカウントと現在の地域に合ったものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2
--ebs-snapshot-preservation "RETENTION_WITH_FINDING
"
-
スナップショットの保持を無効にしたい場合は、RETENTION_WITH_FINDING
を NO_RETENTION
に置き換えます。
ユーザー定義タグ付きのスキャンオプション
GuardDuty-initiated malware scan を使用すると、Amazon EC2 インスタンスと Amazon EBS ボリュームをスキャンおよび脅威検出プロセスに含めたり除外したりするタグを指定することもできます。 GuardDuty包含タグリストまたは除外タグリストのタグを編集することで、各不正プログラム検索をカスタマイズできます。各リストには、最大 50 個のタグを含めることができます。
EC2 リソースにまだユーザー定義タグが関連付けされていない場合、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースのタグ付け」または「Windows インスタンス用 Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースのタグ付け」を参照してください。
EC2 インスタンスをマルウェアウェアスキャンから除外する方法
スキャン処理中に Amazon EC2 インスタンスまたは Amazon EBS ボリュームを除外したい場合は、任意の Amazon EC2 インスタンスまたは Amazon EBS GuardDutyExcluded
true
ボリュームにタグを設定できますが、 GuardDuty スキャンは行われません。GuardDutyExcluded
タグの詳細については、「Malware Protection のためのサービスにリンクされたロールの許可」を参照してください。Amazon EC2 インスタンスタグを除外リストに追加することもできます。複数のタグを除外タグリストに追加する場合、これらのタグを少なくとも 1 つ含む Amazon EC2 インスタンスがマルウェアスキャンのプロセスから除外されます。
任意のアクセス方法を選択して、Amazon EC2 インスタンスに関連付けされたタグを除外リストに追加します。
- Console
-
https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。
-
ナビゲーションペインの [保護プラン] で、[Malware Protection] を選択します。
-
[包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。
[除外タグ] を選択したら [確認] を選択します。
-
除外するタグの Key
および Value
ペアを指定します。Value
を指定するかどうかは任意です。すべてのタグを追加したら、[保存] を選択します。
タグのキーと値は大文字と小文字が区別されます。詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」または「Windows インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」を参照してください。
キーの値が指定されておらず、EC2 インスタンスに指定されたキーがタグ付けされている場合、この EC2 インスタンスは、タグに割り当てられた値に関係なく、 GuardDuty開始された不正プログラムスキャンのスキャンプロセスから除外されます。
- API/CLI
-
-
EC2 インスタンスまたはコンテナワークロードをスキャンプロセスから除外することによって、マルウェアスキャン設定を更新します。
AWS CLI 以下のコマンド例は、除外タグリストに新しいタグを追加します。必ず detector-id
の例を、ご自身の有効な detectorId
に置き換えてください。
MapEquals
は Key
/Value
ペアの一覧です。
アカウントと現在の地域に合ったものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2
--scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue
", "Value": "TestValue
" }, {"Key":"TestKeyWithoutValue
"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING
"
タグのキーと値は大文字と小文字が区別されます。詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」または「Windows インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」を参照してください。
EC2 インスタンスをマルウェアスキャンに含めるには
EC2 インスタンスをスキャンする場合は、そのタグを包含リストに追加します。包含タグのリストにタグを追加すると、追加されたタグを含まない EC2 インスタンスは、マルウェアスキャン時にスキップされます。複数のタグを包含タグのリストに追加した場合、これらのタグを 1 つでも含む EC2 インスタンスには、マルウェアスキャンが実施されます。場合によっては、スキャンプロセス中に EC2 インスタンスがスキップされることがあります。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。
任意のアクセス方法を選択して、EC2 インスタンスに関連付けられているタグを包含リストに追加します。
- Console
-
-
https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。
-
ナビゲーションペインの [保護プラン] で、[Malware Protection] を選択します。
-
[包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。
[包含タグ] を選択したら [確認] を選択します。
-
[Add new inclusion tag] (新しい包含タグを追加) を選択し、除外するタグの Key
と Value
ペアを指定します。Value
を指定するかどうかは任意です。
すべての包含タグを追加したら、[保存] を選択します。
キーの値が指定されずに EC2 インスタンスが指定されたキーでタグ付けされている場合、タグに割り当てられた値とは関係なく、EC2 インスタンスは Malware Protection のスキャンプロセスに含まれます。
- API/CLI
-
-
マルウェアスキャン設定を更新して、スキャンプロセスに EC2 インスタンスまたはコンテナワークロードを含めます。
AWS CLI 以下のコマンド例は、インクルージョンタグリストに新しいタグを追加します。必ず detector-id
の例をお使いの有効な detectorId
に置き換えてください。例の TestKey
and TestValue
を EC2 リソースに関連するタグの Key
and Value
ペアに置き換えます。
MapEquals
は Key
/Value
ペアの一覧です。
お使いのアカウントと現在のリージョンに合ったものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2
--scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue
", "Value": "TestValue
" }, {"Key":"TestKeyWithoutValue
"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING
"
タグのキーと値は大文字と小文字が区別されます。詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」または「Windows インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」を参照してください。
新しいタグが検出されるまでに最大 5 GuardDuty 分かかることがあります。
ユーザーはいつでも [Inclusion tags] (包含タグ) または [Exclusion tags] (除外タグ) のどちらかを選択できますが、両方を選択することはできません。タグを切り替える場合、新しいタグを追加する際にドロップダウンメニューからそのタグを選択し、選択したものを [確認] します。このアクションにより、現在のタグがすべてクリアされます。
グローバル GuardDutyExcluded
タグ
デフォルトでは、EBS ボリュームのスナップショットは GuardDutyScanId
タグ付きで作成されます。このタグは削除しないでください。 GuardDuty削除するとスナップショットにアクセスできなくなります。Malware Protection のスキャンタイプはどちらも、GuardDutyExcluded
タグが true
に設定されている Amazon EC2 インスタンスまたは Amazon EBS ボリュームをスキャンしません。Malware Protection がこのようなリソースをスキャンする場合、スキャン ID が生成されますが、EXCLUDED_BY_SCAN_SETTINGS
の理由でスキャンはスキップされます。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。