EC2 惡意軟體保護中的自訂 - Amazon GuardDuty
一般設定具有使用者定義標籤的掃描選項全域 GuardDutyExcluded 標籤

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

EC2 惡意軟體保護中的自訂

本節說明如何在呼叫惡意軟體掃描時 (隨需或透過啟動) 自訂 Amazon EC2 執行個體或容器工作負載的掃描選項 GuardDuty。

一般設定

快照保留

GuardDuty 為您提供在 AWS 帳戶中保留 EBS 磁碟區快照的選項。依預設,快照保留設定為關閉。只有在掃描開始前開啟此設定時,才會保留快照。

掃描開始時, GuardDuty 會根據 EBS 磁碟區的快照產生複本 EBS 磁碟區。掃描完成且帳戶中的快照保留設定已開啟後,只有在找到惡意軟體並產生 EC2 尋找類型的惡意軟體防護 時,EBS 磁碟區的快照才會保留。無論您是否開啟快照保留設定,當未偵測到惡意程式碼時,都 GuardDuty 會自動刪除 EBS 磁碟區的快照。

快照使用費

在惡意軟體掃描期間, GuardDuty 建立 Amazon EBS 磁碟區的快照時,此步驟會產生相關的使用費用。如果您開啟帳戶的快照保留設定,當發現惡意軟體並保留快照時,將會產生相同的使用費。如需有關快照成本及保留的相關資訊,請參閱 Amazon EBS 定價

選擇您偏好的存取方式,以便開啟快照保留設定。

Console

  1. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

  2. 在瀏覽窗格的 [保護方案] 下,選擇 [EC2 的惡意程式碼保護]。

  3. 選擇主控台底部的一般設定。若要保留快照,請開啟快照保留

API/CLI

  1. 執行UpdateMalwareScanSettings以更新快照保留設定的目前組態。

  2. 或者,您可以執行下列 AWS CLI 命令,以便在 EC2 的 GuardDuty 惡意程式碼防護產生發現項目時自動保留快照。

    確保使用您自己的有效 detectorId 取代 detector-id

  3. 要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  4. 如果您想要關閉快照保留功能,請使用 NO_RETENTION 取代 RETENTION_WITH_FINDING

具有使用者定義標籤的掃描選項

透過使用 GuardDuty啟動的惡意軟體掃描,您也可以指定標籤,在掃描和威脅偵測程序中包含或排除 Amazon EC2 執行個體和 Amazon EBS 磁碟區。您可以透過編輯包含或排除標籤清單中的標籤來自訂每個 GuardDuty起始的惡意程式碼掃描。每個清單最多可包含 50 個標籤。

如果您還沒有與 EC2 資源相關聯的使用者定義標籤,請參閱 Amazon EC2 使用者指南中的標記您的 Amazon EC2源,或在 Amazon EC2 使用者指南中標記您的 Amazon EC2 資源。

注意

隨需惡意軟體掃描不支援具有使用者定義標籤的掃描選項 支援 全域 GuardDutyExcluded 標籤

在惡意軟體掃描中排除 EC2 執行個體

如果您想要在掃描過程中排除任何 Amazon EC2 執行個體或 Amazon EBS 磁碟區,可以將任何 Amazon EC2 執行個體或 Amazon EBS 磁碟區的GuardDutyExcluded標籤設定true為,而 GuardDuty 不會進行掃描。如需有關 GuardDutyExcluded 標籤的詳細資訊,請參閱適用於 EC2 惡意軟體防護的服務連結角色許可。您也可以將 Amazon EC2 執行個體標籤新增至排除清單。如果您在排除標籤清單中新增多個標籤,則包含其中至少一個標籤的任何 Amazon EC2 執行個體都將從惡意軟體掃描過程中排除。

選擇您偏好的存取方法,以便將與 Amazon EC2 執行個體關聯的標籤新增至排除清單。

Console

  1. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

  2. 在瀏覽窗格的 [保護方案] 下,選擇 [EC2 的惡意程式碼保護]。

  3. 展開包含/排除標籤區段。選擇 Add tags (新增標籤)

  4. 選擇排除標籤,然後選擇確認

  5. 指定您要排除的標籤 KeyValue 對。可選擇性提供 Value。新增所有標籤後,請選擇儲存

    重要

    標籤金鑰與值皆區分大小寫。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的標籤限制Amazon EC2 使用者指南中的標籤限制。

    如果未提供金鑰的值,且 EC2 執行個體已標記指定的金鑰,則無論標籤的指派值為何,此 EC2 執行個體都會從 GuardDuty啟動的惡意程式碼掃描程序中排除。

API/CLI

  • 透過從掃描過程中排除 EC2 執行個體或容器工作負載,以更新惡意軟體掃描設定。

    下列 AWS CLI 範例指令會將新標籤新增至例外標籤清單。確保使用您自己的有效 detectorId 取代範例 detector-id

    MapEqualsKey/Value 對的清單。

    要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    重要

    標籤金鑰與值皆區分大小寫。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的標籤限制Amazon EC2 使用者指南中的標籤限制。

在惡意軟體掃描中包含 EC2 執行個體

如果要掃描 EC2 執行個體,請將其標籤新增至包含清單。當您將標籤新增至包含標籤清單時,惡意軟體掃描會略過不包含任何新增標籤的 EC2 執行個體。如果您在包含標籤清單中新增多個標籤,則惡意軟體掃描中會包含至少包含其中一個標籤的 EC2 執行個體。有時,在掃描過程中可能會略過 EC2 執行個體。如需詳細資訊,請參閱 惡意軟體掃描期間略過資源的原因

選擇您偏好的存取方法,以便將與 EC2 執行個體關聯的標籤新增至包含清單。

Console

  1. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

  2. 在瀏覽窗格的 [保護方案] 下,選擇 [EC2 的惡意程式碼保護]。

  3. 展開包含/排除標籤區段。選擇 Add tags (新增標籤)

  4. 選擇包含標籤,然後選擇確認

  5. 選擇新增包含標籤,然後指定您要包含的標籤的 KeyValue 對。可選擇性提供 Value

    新增所有包含標籤之後,請選擇儲存

    如果未提供金鑰的值,EC2 執行個體標記有指定金鑰,則無論標籤的指派值為何,EC2 執行個體都會包含在 EC2 掃描程序的惡意程式碼保護中。

API/CLI

  • 更新惡意軟體掃描設定,以在掃描過程中包含 EC2 執行個體或容器工作負載。

    下列 AWS CLI 範例指令會將新標籤新增至包含標籤清單。確保使用您自己的有效 detectorId 取代範例 detector-id。將範例以TestKeyTestValue與 EC2 資源關聯的標籤KeyValue配對取代。

    MapEqualsKey/Value 對的清單。

    要查找您detectorId的帳戶和當前區域的,請參閱 https://console.aws.amazon.com/guardduty/ 控制台中的 「設置」 頁面,或運行 ListDetectorsAPI

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    重要

    標籤金鑰與值皆區分大小寫。如需詳細資訊,請參閱 Amazon EC2 使用者指南中的標籤限制Amazon EC2 使用者指南中的標籤限制。
注意

偵測新標籤最多可能需 GuardDuty 要 5 分鐘的時間。

您可以隨時選擇包含標籤排除標籤,但不能同時選擇兩者。如果您想要在標籤之間切換,請在新增標籤時從下拉式選單中選擇該標籤,然後確認您的選擇。此動作會清除所有目前的標籤。

全域 GuardDutyExcluded 標籤

依預設,EBS 磁碟區的快照會以 GuardDutyScanId 標籤建立。請勿移除此標籤,因為這樣做會導致 GuardDuty無法存取快照。適用於 EC2 的惡意程式碼保護中的兩種掃描類型均不會掃描GuardDutyExcluded標籤設定為的 Amazon EC2 執行個體或 Amazon EBS 磁碟區。true如果在此類資源上針對 EC2 掃描進行惡意軟體保護,則會產生掃描 ID,但會略過掃描並有EXCLUDED_BY_SCAN_SETTINGS原因。如需詳細資訊,請參閱 惡意軟體掃描期間略過資源的原因