GuardDuty でのオンデマンドマルウェアスキャン - Amazon GuardDuty

GuardDuty でのオンデマンドマルウェアスキャン

オンデマンドのマルウェアスキャンは、Amazon EC2 インスタンスにアタッチされた Amazon Elastic Block Store (Amazon EBS) ボリュームでマルウェアの存在を検出するのに役立ちます。設定は不要で、スキャンする Amazon EC2 インスタンスの Amazon リソースネーム (ARN) を指定することで、オンデマンドマルウェアスキャンを開始できます。GuardDuty コンソールまたは API を使用してオンデマンドマルウェアスキャンを開始できます。オンデマンドのマルウェアスキャンを開始する前に、希望する スナップショットの保持 設定をセットできます。以下のシナリオは、GuardDuty でオンデマンドのマルウェアスキャンのスキャンタイプを使用するタイミングを判断するのに役立ちます。

  • GuardDuty 実行型マルウェアスキャンを有効にせず、Amazon EC2 インスタンス内のマルウェアの存在を検出したいとします。

  • GuardDuty 実行型マルウェアスキャンを有効にし、スキャンが自動的に起動されました。生成された Malware Protection for EC2 の検出結果タイプに応じた推奨修復方法を実行した後、同じリソースにスキャンを開始する場合、前回のスキャン開始時刻から 1 時間経過した後にオンデマンドマルウェアスキャンを開始できます。

    オンデマンドマルウェアスキャンは、前回のマルウェアスキャンが開始された時刻から 24 時間経過する必要はありません。同じリソースでオンデマンドのマルウェアスキャンを開始する前に 1 時間経過している必要があります。同じ EC2 インスタンスでマルウェアスキャンの重複を避けるには、「以前にスキャンした Amazon EC2 インスタンスの再スキャン」を参照してください。

注記

オンデマンドのマルウェアスキャンは、GuardDuty の 30 日間の無料トライアル期間には含まれていません。使用コストは、マルウェアスキャンごとにスキャンされた Amazon EBS ボリュームの合計に適用されます。詳細については、「Amazon GuardDuty 料金設定」を参照してください。Amazon EBS ボリュームのスナップショットおよびその保持にかかるコストについては、「Amazon EBS 料金設定」を参照してください。

オンデマンドのマルウェアスキャンの仕組み

オンデマンドマルウェアスキャンでは、Amazon EC2 インスタンスが現在使用中であっても、そのインスタンスに対するマルウェアスキャンリクエストを開始できます。オンデマンドマルウェアスキャンを開始すると、GuardDuty はスキャン用に Amazon リソースネーム (ARN) が提供された Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームのスナップショットを作成します。次に、GuardDuty はこれらのスナップショットを GuardDuty サービスアカウント と共有します。GuardDuty は、GuardDuty サービスアカウントでそれらのスナップショットで暗号化された EBS ボリュームのレプリカを作成します。Amazon EBS ボリュームがスキャンされる方法の詳細については、「Elastic Block Storage (EBS) ボリューム」を参照してください。

注記

GuardDuty は、オンデマンドマルウェアスキャンを開始した時点で Amazon EBS ボリュームに既に書き込まれているデータのスナップショットを作成します。

マルウェアが見つかってスナップショットの保持設定を有効にしている場合、EBS ボリュームのスナップショットは自動的に AWS アカウント で保持されます。オンデマンドのマルウェアスキャンは Malware Protection for EC2 の検出結果のタイプ を生成します。マルウェアが見つからなければ、スナップショットの保持設定とは関係なく、EBS ボリュームのスナップショットは削除されます。

GuardDuty は、Amazon EC2 リソースに追加し、タグ値を true に設定できるグローバルタグキー GuardDutyExcluded を使用します。このタグキーと値のペアを持つこの Amazon EC2 リソースは、マルウェアスキャンから除外されます。どちらのスキャンタイプ (GuardDuty 実行型マルウェアスキャンおよびオンデマンドマルウェアスキャン) もグローバルタグをサポートしています。Amazon EC2 でオンデマンドマルウェアスキャンを開始すると、スキャン ID が生成されます。ただし、スキャンは EXCLUDED_BY_SCAN_SETTINGS によりスキップされます。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。