Entendendo CloudWatch os registros e os motivos para ignorar recursos durante a verificação do Malware Protection for EC2

GuardDuty O Malware Protection for EC2 publica eventos em seu grupo de CloudWatch log da Amazon /aws/guardduty/. malware-scan-events Para cada um dos eventos relacionados à verificação de malware, é possível monitorar o status e o resultado da verificação dos recursos afetados. Alguns recursos do Amazon EC2 e volumes do Amazon EBS podem ter sido ignorados durante a verificação do Malware Protection for EC2.

CloudWatch Registros de auditoria na proteção contra GuardDuty malware para EC2

Há três tipos de eventos de escaneamento suportados no grupo de log malware-scan-events CloudWatch /aws/guardduty/.

Proteção contra malware para nome do evento de verificação do EC2	Explicação
EC2_SCAN_STARTED	Criado quando uma proteção contra GuardDuty malware para EC2 está iniciando o processo de verificação de malware, como a preparação para tirar um instantâneo de um volume do EBS.
EC2_SCAN_COMPLETED	Criado quando a verificação do GuardDuty Malware Protection for EC2 é concluída em pelo menos um dos volumes do EBS do recurso afetado. Esse evento também inclui o snapshotId pertencente ao volume do EBS verificado. Após a conclusão da verificação, o resultado da verificação será CLEAN, THREATS_FOUND ou NOT_SCANNED.
EC2_SCAN_SKIPPED	Criado quando o GuardDuty malware Protection for EC2 scan ignora todos os volumes do EBS do recurso afetado. Para identificar porque foram ignorados, selecione o evento correspondente e veja os detalhes. Para obter mais informações sobre os motivos para ignorar, veja Razões para ignorar o recurso durante a verificação de malware abaixo.

nota

Se você estiver usando um AWS Organizations, os eventos de CloudWatch registro das contas dos membros em Organizations serão publicados na conta do administrador e no grupo de registros da conta do membro.

Escolha seu método de acesso preferido para visualizar e consultar CloudWatch eventos.

Console

1. Faça login no AWS Management Console e abra o CloudWatch console em https://console.aws.amazon.com/cloudwatch/.

2. No painel de navegação, em Logs, escolha Grupos de logs. Escolha o grupo de malware-scan-events registros /aws/guardduty/ para visualizar os eventos de verificação do Malware Protection for EC2. GuardDuty

   Para executar uma consulta, escolha Log Insights.

   Para obter informações sobre como executar uma consulta, consulte Análise de dados de log com o CloudWatch Logs Insights no Guia CloudWatch do usuário da Amazon.

3. Escolha ID de verificação para monitorar os detalhes do recurso afetado e as descobertas do malware. Por exemplo, você pode executar a consulta a seguir para filtrar os eventos de CloudWatch log usandoscanId. Use seu próprio scan-id válido.

   fields @timestamp, @message, scanRequestDetails.scanId as scanId
   | filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
   | sort @timestamp asc

API/CLI

• Para trabalhar com grupos de registros, consulte Pesquisar entradas de registro usando o AWS CLI no Guia CloudWatch do usuário da Amazon.

  Escolha o grupo de malware-scan-events registros /aws/guardduty/ para visualizar os eventos de verificação do Malware Protection for EC2. GuardDuty

• Para visualizar e filtrar eventos de log, consulte GetLogEventse FilterLogEvents, respectivamente, na Amazon CloudWatch API Reference.

GuardDuty Proteção contra malware para retenção de registros do EC2

O período padrão de retenção de registros para o grupo de registros /aws/guardduty/ é de 90 dias, após os quais os eventos de malware-scan-events registro são excluídos automaticamente. Para alterar a política de retenção de registros para seu CloudWatch grupo de registros, consulte Alterar retenção de dados de log em CloudWatch Logs no Guia CloudWatch do usuário da Amazon ou PutRetentionPolicyna Referência de CloudWatch API da Amazon.

Razões para ignorar o recurso durante a verificação de malware

Nos eventos relacionados à verificação de malware, alguns recursos do EC2 e volumes do EBS podem ter sido ignorados durante o processo de verificação. A tabela a seguir lista os motivos pelos quais o GuardDuty Malware Protection for EC2 pode não verificar os recursos. Se aplicável, use as etapas propostas para resolver esses problemas e verifique esses recursos na próxima vez que o GuardDuty Malware Protection for EC2 iniciar uma verificação de malware. Os outros problemas são usados para informar você sobre o curso dos eventos e não são acionáveis.

Razões para ignorar	Explicação	Etapas propostas
RESOURCE_NOT_FOUND	O resourceArn fornecido para iniciar a verificação de malware sob demanda não foi encontrado em seu AWS ambiente.	Valide a resourceArn de sua instância do Amazon EC2 ou workload de contêiner e tente novamente.
ACCOUNT_INELIGIBLE	A ID da AWS conta a partir da qual você tentou iniciar uma verificação de malware sob demanda não foi ativada. GuardDuty	Verifique se GuardDuty está habilitado para essa AWS conta. Quando você ativa GuardDuty um novo Região da AWS , a sincronização pode levar até 20 minutos.
UNSUPPORTED_KEY_ENCRYPTION	GuardDuty O Malware Protection for EC2 suporta volumes não criptografados e criptografados com a chave gerenciada pelo cliente. Ele não suporta a verificação de volumes do EBS que são criptografados usando a criptografia do Amazon EBS. Atualmente, há uma diferença regional em que esse motivo de salto não é aplicável. Para obter mais informações sobre eles Regiões da AWS, consulteDisponibilidade de recursos específicos da região.	Substitua a chave de criptografia por uma chave gerenciada pelo cliente. Para obter mais informações sobre os tipos de criptografia GuardDuty compatíveis, consulteVolumes do Amazon EBS compatíveis para verificação de malware.
EXCLUDED_BY_SCAN_SETTINGS	Durante a verificação de malware, a instância do EC2 ou o volume do EBS foi excluído. Há três possibilidades: a tag foi adicionada à lista de inclusão, mas o recurso não está associado a essa tag; a tag foi adicionada à lista de exclusão e o recurso está associado a essa tag; ou a tag GuardDutyExcluded está definida como true para esse recurso.	Atualize suas opções de verificação ou as tags associadas ao seu recurso do Amazon EC2. Para ter mais informações, consulte Opções de verificação com tags definidas pelo usuário.
UNSUPPORTED_VOLUME_SIZE	O volume é maior que 2048 GB.	Não acionável.
NO_VOLUMES_ATTACHED	GuardDuty O Malware Protection for EC2 encontrou a instância em sua conta, mas nenhum volume do EBS foi anexado a essa instância para continuar com a verificação.	Não acionável.
UNABLE_TO_SCAN	É um erro de serviço interno.	Não acionável.
SNAPSHOT_NOT_FOUND	Os snapshots criados a partir dos volumes do EBS e compartilhados com a conta de serviço não foram encontrados, e o GuardDuty Malware Protection for EC2 não pôde continuar com a verificação.	Verifique CloudTrail se os instantâneos não foram removidos intencionalmente.
SNAPSHOT_QUOTA_REACHED	Você atingiu o volume máximo permitido para snapshots em cada região. Isso evita não apenas reter, mas também criar novos snapshots.	Você pode remover snapshots antigos ou solicitar o aumento da cota. Você pode ver o limite padrão para snapshots por região e como solicitar o aumento da cota em Cotas de serviço no Guia de referência geral da AWS .
MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED	Mais de 11 volumes do EBS foram anexados a uma instância do EC2. GuardDuty O Malware Protection for EC2 examinou os primeiros 11 volumes do EBS, obtidos por meio da classificação alfabética. deviceName	Não acionável.
UNSUPPORTED_PRODUCT_CODE_TYPE	GuardDuty não suporta a verificação de instâncias com productCode asmarketplace. Para obter mais informações, consulte AMIs pagas no Guia do usuário do Amazon EC2. Para obter mais informações, consulte productCodeAções de ProductCode na Referência de API do Amazon EC2.	Não acionável.