Malware Protection のカスタマイズ

このセクションでは、マルウェアスキャンがオンデマンドまたは経由で開始されたときに、Amazon EC2 インスタンスまたはコンテナワークロードのスキャンオプションをカスタマイズする方法について説明します。 GuardDuty

全般設定

スナップショットの保持

GuardDuty EBS ボリュームのスナップショットをアカウント内に保持するオプションが用意されています。 AWS デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットは、スキャン開始前にこの設定をオンにしている場合にのみ保持されます。

スキャンが開始されると、EBS ボリュームのスナップショットに基づいてレプリカ EBS GuardDuty ボリュームが生成されます。スキャンが完了して、アカウントのスナップショットの保持設定が既にオンになっている場合、マルウェアが見つかって Malware Protection の検出結果のタイプ が生成された場合に限り、EBS ボリュームのスナップショットが保持されます。スナップショット保持設定をオンにしているかどうかに関係なく、マルウェアが検出されない場合、EBS GuardDuty ボリュームのスナップショットは自動的に削除されます。

スナップショットの使用コスト

マルウェアのスキャン中、Amazon EBS GuardDuty ボリュームのスナップショットを作成する場合、このステップには使用コストがかかります。アカウントのスナップショット保持設定を有効にした場合、マルウェアが検出されてスナップショットが保持されたとき、同様な内容で使用コストが発生します。スナップショットおよびその保持にかかるコストについては、「Amazon EBS 料金」を参照してください。

任意のアクセス方法を選択して、スナップショットの保存設定を有効にします。

Console

1. https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。

2. ナビゲーションペインの [保護プラン] で、[Malware Protection] を選択します。

3. コンソールの下部のセクションで [General settings] (一般設定) を選択します。スナップショットを保持するには、[Snapshots retention] (スナップショットの保持) をオンにします。

API/CLI

1. UpdateMalwareScanSettingsを実行して、スナップショット保持設定の現在の構成を更新します。

2. または、 AWS CLI 次のコマンドを実行して、 GuardDuty Malware Protection が結果を生成したときにスナップショットを自動的に保持することもできます。

   必ず detector-id をご自身の有効な detectorId に置き換えてください。

3. アカウントと現在の地域に合ったものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId

   aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

4. スナップショットの保持を無効にしたい場合は、RETENTION_WITH_FINDING を NO_RETENTION に置き換えます。

ユーザー定義タグ付きのスキャンオプション

GuardDuty-initiated malware scan を使用すると、Amazon EC2 インスタンスと Amazon EBS ボリュームをスキャンおよび脅威検出プロセスに含めたり除外したりするタグを指定することもできます。 GuardDuty包含タグリストまたは除外タグリストのタグを編集することで、各不正プログラム検索をカスタマイズできます。各リストには、最大 50 個のタグを含めることができます。

EC2 リソースにまだユーザー定義タグが関連付けされていない場合、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースのタグ付け」または「Windows インスタンス用 Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースのタグ付け」を参照してください。

注記

オンデマンドのマルウェアスキャンは、ユーザー定義タグ付けされたスキャンオプションをサポートしません。グローバル GuardDutyExcluded タグ をサポートします。

EC2 インスタンスをマルウェアウェアスキャンから除外する方法

スキャン処理中に Amazon EC2 インスタンスまたは Amazon EBS ボリュームを除外したい場合は、任意の Amazon EC2 インスタンスまたは Amazon EBS GuardDutyExcluded true ボリュームにタグを設定できますが、 GuardDuty スキャンは行われません。GuardDutyExcluded タグの詳細については、「Malware Protection のためのサービスにリンクされたロールの許可」を参照してください。Amazon EC2 インスタンスタグを除外リストに追加することもできます。複数のタグを除外タグリストに追加する場合、これらのタグを少なくとも 1 つ含む Amazon EC2 インスタンスがマルウェアスキャンのプロセスから除外されます。

任意のアクセス方法を選択して、Amazon EC2 インスタンスに関連付けされたタグを除外リストに追加します。

Console

1. https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。

2. ナビゲーションペインの [保護プラン] で、[Malware Protection] を選択します。

3. [包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。

4. [除外タグ] を選択したら [確認] を選択します。

5. 除外するタグの Key および Value ペアを指定します。Value を指定するかどうかは任意です。すべてのタグを追加したら、[保存] を選択します。

   重要

   タグのキーと値は大文字と小文字が区別されます。詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」または「Windows インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」を参照してください。

   キーの値が指定されておらず、EC2 インスタンスに指定されたキーがタグ付けされている場合、この EC2 インスタンスは、タグに割り当てられた値に関係なく、 GuardDuty開始された不正プログラムスキャンのスキャンプロセスから除外されます。

API/CLI

• EC2 インスタンスまたはコンテナワークロードをスキャンプロセスから除外することによって、マルウェアスキャン設定を更新します。

  AWS CLI 以下のコマンド例は、除外タグリストに新しいタグを追加します。必ず detector-id の例を、ご自身の有効な detectorId に置き換えてください。

  MapEquals は Key/Value ペアの一覧です。

  アカウントと現在の地域に合ったものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  重要

  タグのキーと値は大文字と小文字が区別されます。詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」または「Windows インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」を参照してください。

EC2 インスタンスをマルウェアスキャンに含めるには

EC2 インスタンスをスキャンする場合は、そのタグを包含リストに追加します。包含タグのリストにタグを追加すると、追加されたタグを含まない EC2 インスタンスは、マルウェアスキャン時にスキップされます。複数のタグを包含タグのリストに追加した場合、これらのタグを 1 つでも含む EC2 インスタンスには、マルウェアスキャンが実施されます。場合によっては、スキャンプロセス中に EC2 インスタンスがスキップされることがあります。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。

任意のアクセス方法を選択して、EC2 インスタンスに関連付けられているタグを包含リストに追加します。

Console

1. https://console.aws.amazon.com/guardduty/ GuardDuty でコンソールを開きます。

2. ナビゲーションペインの [保護プラン] で、[Malware Protection] を選択します。

3. [包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。

4. [包含タグ] を選択したら [確認] を選択します。

5. [Add new inclusion tag] (新しい包含タグを追加) を選択し、除外するタグの Key と Value ペアを指定します。Value を指定するかどうかは任意です。

   すべての包含タグを追加したら、[保存] を選択します。

   キーの値が指定されずに EC2 インスタンスが指定されたキーでタグ付けされている場合、タグに割り当てられた値とは関係なく、EC2 インスタンスは Malware Protection のスキャンプロセスに含まれます。

API/CLI

• マルウェアスキャン設定を更新して、スキャンプロセスに EC2 インスタンスまたはコンテナワークロードを含めます。

  AWS CLI 以下のコマンド例は、インクルージョンタグリストに新しいタグを追加します。必ず detector-id の例をお使いの有効な detectorId に置き換えてください。例の TestKeyand TestValueを EC2 リソースに関連するタグの Key and Value ペアに置き換えます。

  MapEquals は Key/Value ペアの一覧です。

  お使いのアカウントと現在のリージョンに合ったものを見つけるには、https://console.aws.amazon.com/guardduty/ コンソールの「設定」ページを参照してください。detectorId

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  重要

  タグのキーと値は大文字と小文字が区別されます。詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」または「Windows インスタンス用 Amazon EC2 ユーザーガイド」の「タグの制限」を参照してください。

注記

新しいタグが検出されるまでに最大 5 GuardDuty 分かかることがあります。

ユーザーはいつでも [Inclusion tags] (包含タグ) または [Exclusion tags] (除外タグ) のどちらかを選択できますが、両方を選択することはできません。タグを切り替える場合、新しいタグを追加する際にドロップダウンメニューからそのタグを選択し、選択したものを [確認] します。このアクションにより、現在のタグがすべてクリアされます。

グローバル GuardDutyExcluded タグ

デフォルトでは、EBS ボリュームのスナップショットは GuardDutyScanId タグ付きで作成されます。このタグは削除しないでください。 GuardDuty削除するとスナップショットにアクセスできなくなります。Malware Protection のスキャンタイプはどちらも、GuardDutyExcluded タグが true に設定されている Amazon EC2 インスタンスまたは Amazon EBS ボリュームをスキャンしません。Malware Protection がこのようなリソースをスキャンする場合、スキャン ID が生成されますが、EXCLUDED_BY_SCAN_SETTINGS の理由でスキャンはスキップされます。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。