监控 GuardDuty 恶意软件防护中的扫描状态和结果 EC2 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

监控 GuardDuty 恶意软件防护中的扫描状态和结果 EC2

您可以监控每个 GuardDuty 恶意软件防护的扫描状态以进行EC2扫描。扫描状态的可能值为 CompletedRunningSkippedFailed

扫描完成后,将为状态Completed 的扫描填充扫描结果扫描结果的可能值为 CleanInfected。使用扫描类型,您可以识别恶意软件扫描是否为 GuardDuty initiatedOn demand

每次恶意软件扫描的扫描结果保留期为 90 天。选择您的首选访问方式来跟踪恶意软件扫描的状态。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择恶意软件扫描

  3. 您可以通过筛选条件中提供的以下属性,来筛选恶意软件扫描。

    • 扫描 ID

    • 账户 ID

    • EC2实例 ARN

    • 扫描类型

    • 扫描状态

    有关用于筛选条件的属性的信息,请参阅 调查发现详细信息

API/CLI

  • 恶意软件扫描得出扫描结果后,您可以根据 EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME,来筛选恶意软件扫描。

    GuardDuty 启动时,GUARDDUTY_FINDING_ID筛选条件可用。SCAN_TYPE有关任何筛选条件的信息,请参阅 调查发现详细信息

  • 你可以改变这个例子 filter-criteria 在下面的命令中。目前,您可以一次根据一个 CriterionKey 进行筛选。CriterionKey 的选项为 EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME

    如果您使用CriterionKey如下所示的示例,请确保将示例EqualsValue替换为您自己的有效示例 AWS scan-id.

    将示例 detector-id 替换为您自己的有效 detector-id。你可以改变 max-results (最多 50)和 sort-criteriaAttributeName是必填项,必须是scanStartTime

    aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

  • 此命令的响应最多显示一个结果,其中包含有关受影响资源和恶意软件调查发现的详细信息(如果 Infected)。