Amazon GuardDuty の Malware Protection
Malware Protection は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスおよびコンテナワークロードにアタッチされた Amazon Elastic Block Store (Amazon EBS) ボリュームをスキャンすることで、マルウェアの潜在的な存在を検出することに役立ちます。Malware Protection は、スキャン時に特定の Amazon EC2 インスタンスおよびコンテナワークロードを含めるか除外するかを決定できるスキャンオプションを提供します。Amazon EC2 インスタンスまたはコンテナワークロードにアタッチされた Amazon EBS ボリュームのスナップショットを GuardDuty アカウントに保持するオプションも提供します。スナップショットは、マルウェアが検出されて Malware Protection の検出結果が生成された場合にのみ保持されます。
Malware Protection は、Amazon EC2 インスタンスおよびコンテナワークロードの潜在的に悪意のあるアクティビティを検出する 2 タイプのスキャンを提供し、GuardDuty 実行型マルウェアスキャンおよびオンデマンドのマルウェアスキャンが用意されています。次の表は、両方のスキャンタイプの比較を示しています。
Factor |
GuardDuty 実行型マルウェアスキャン |
オンデマンドのマルウェアスキャン |
|---|---|---|
スキャンの起動方法 |
GuardDuty 実行型マルウェアスキャンを有効にすると、GuardDuty が Amazon EC2 インスタンスまたはコンテナワークロードにマルウェアの潜在的な存在を示す検出結果を生成するたびに、GuardDuty が影響を受けた可能性のあるリソースにアタッチされた Amazon EBS ボリュームにエージェントレスマルウェアスキャンを自動的に開始します。詳細については、「GuardDuty 実行型マルウェアスキャン」を参照してください。 |
Amazon EC2 インスタンスまたはコンテナワークロードに関連付けされた Amazon リソースネーム (ARN) を指定することで、オンデマンドのマルウェアスキャンを開始できます。リソースに GuardDuty の検出結果が生成されない場合でも、オンデマンドのマルウェアスキャンを開始できます。詳細については、「オンデマンドのマルウェアスキャン」を参照してください。 |
設定が必要です |
GuardDuty 実行型マルウェアスキャンを使用するには、アカウントで有効にする必要があります。詳細については、「GuardDuty 実行型マルウェアスキャンの設定」を参照してください。 |
オンデマンドのマルウェアスキャンを使用するには、アカウントで GuardDuty が有効になっている必要があります。オンデマンドのマルウェアスキャンを開始するために、これ以上の設定は必要ありません。 |
新しいスキャンを開始するまでの待ち時間 |
GuardDuty が GuardDuty 実行型マルウェアスキャンを起動する検出結果 のいずれかを生成するたびに、自動マルウェアスキャンが 24 時間に 1 回開始されます。 |
前回のスキャンの開始時刻から 1 時間後に、同じリソースにオンデマンドのマルウェアスキャンを開始できます。 |
30 日間の無料トライアル期間の利用可能性 |
アカウントで初めて GuardDuty 実行型マルウェアスキャンを有効にした場合、30 日間の無料トライアル期間を利用できます*。 |
新規または既存の GuardDuty アカウントのオンデマンドのマルウェアスキャンには、無料トライアル期間* はありません。 |
スキャンオプション |
GuardDuty 実行型マルウェアスキャンを設定すると、Malware Protection はスキャンまたはスキップするリソースを選択することにも役立ちます。Malware Protection は、スキャンから除外するように選択したリソースに対して自動スキャンを開始しません。 |
オンデマンドのマルウェアスキャンはグローバル |
*EBS ボリュームスナップショットの作成およびスナップショットの保持には使用料が発生します。詳細については、「スナップショットの保持」を参照してください。
Malware Protection は GuardDuty を強化するオプションであり、リソースのパフォーマンスに影響を与えないように設計されています。GuardDuty 内で Malware Protection が機能する仕組みについては、「Malware Protection の機能」を参照してください。さまざまな AWS リージョン の Malware Protection の可用性については、「リージョンとエンドポイント」を参照してください。
注記
GuardDuty Malware Protection は ECS Fargate をサポートしていません。
Malware Protection でサポートされるボリューム
次のリストは、非暗号化または暗号化された Amazon EBS ボリュームのうち、Malware Protection 内でスキャンをサポートしているかを示しています。
-
GuardDuty は、暗号化されていないボリュームと、カスタマーマネージドキーで暗号化されたボリュームの両方をサポートします。Amazon EBS ボリュームが顧客管理キーで暗号化されている場合、GuardDuty は同じキーを使用して EBS ボリュームのレプリカを暗号化します。
-
暗号化されていない EBS ボリュームの場合、GuardDuty は独自のキーを使用して EBS ボリュームのレプリカを暗号化します。Malware Protection は、AWS アカウントにある Amazon EC2 インスタンスおよびコンテナワークロードにアタッチされた EBS ボリュームのスキャンをサポートします。
-
Malware Protection は、EBS 用デフォルト AWS マネージドキー で暗号化された EBS ボリュームのスキャンをサポートしていません。
marketplaceとしてproductCodeを使用した Amazon EC2 インスタンスのスキャンもサポートされていません。そのような Amazon EC2 インスタンスに対してマルウェアスキャンが開始された場合、スキャンはスキップされます。詳細については、「」のUNSUPPORTED_PRODUCT_CODE_TYPEを参照してください。
デフォルトでは、暗号化を true に設定して CreateVolume API を起動しても、KMS キー ID が指定されていない場合、作成されたボリュームはEBS 暗号化用デフォルト AWS KMS キーで暗号化されます。ただし、暗号化キーが明示的に指定されていないとき、ModifyEbsDefaultKmsKeyId を起動してデフォルトキーを変更できます。
次のいずれかの方法を使用することで、関連付けされた KMS キー ID を指定せずに暗号化されるように選択した新しく作成された EBS ボリュームが使用する EBS デフォルトキー ID を更新できます。EBS デフォルトキー ID を変更するには、次の必要な許可を IAM ポリシーに追加します - ec2:modifyEbsDefaultKmsKeyId。
Amazon EBS ボリュームのデフォルト KMS キー ID を変更するには
以下のいずれかを実行します。
-
API の使用 - ModifyEbsDefaultKmsKeyId API を使用できます。ボリュームの暗号化ステータスを表示する方法の詳細については、「Amazon EBS ボリュームの作成」を参照してください。
AWS CLI コマンドの使用 - 次の例では、KMS キー ID を指定しない場合に Amazon EBS ボリュームを暗号化するデフォルト KMS キー ID を変更します。必ずリージョンを KMS キー ID の AWS リージョン に置き換えてください。
aws ec2 modify-ebs-default-kms-key-id --regionus-west-2--kms-key-idAKIAIOSFODNN7EXAMPLE上記のコマンドは、次の出力と同様な出力を生成します。
{ "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }詳細については、「modify-ebs-default-kms-key-id
」を参照してください。
