監控 EC2 的 GuardDuty 惡意軟體防護中的掃描狀態和結果 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

監控 EC2 的 GuardDuty 惡意軟體防護中的掃描狀態和結果

您可以監控 EC2 掃描每個 GuardDuty 惡意軟體防護的掃描狀態。掃描狀態的可能值為 CompletedRunningSkippedFailed

掃描完成後,系統會針對狀態Completed 的掃描填入掃描結果掃描結果的可能值為 CleanInfected。使用掃描類型,您可以識別惡意軟體掃描是否為 GuardDuty initiatedOn demand

每種惡意軟體掃描的掃描結果的保留期為 90 天。選擇您偏好的存取方式,以便追蹤惡意軟體掃描狀態。

Console

  1. 請在以下位置開啟 GuardDuty 主控台。 https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中,選擇惡意軟體掃描

  3. 您可以依據篩選條件中提供的下列屬性來篩選惡意軟體掃描。

    • 掃描 ID

    • 帳戶 ID

    • EC2 執行個體 ARN

    • 掃描類型

    • 掃描狀態

    如需有關用於篩選條件的屬性的詳細資訊,請參閱調查結果詳細資訊

API/CLI

  • 惡意軟體掃描有掃描結果後,您可以根據 EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME 篩選惡意軟體掃描。

    GuardDuty 啟動時,即可使用GUARDDUTY_FINDING_ID篩選條件。SCAN_TYPE如需有關任何篩選條件的詳細資訊,請參閱調查結果詳細資訊

  • 您可以在下面的命令中更改示例篩選條件。目前,您可以一次篩選一個 CriterionKeyCriterionKey 的選項包括 EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME

    如果您使用與下面相同的 CriterionKey,請確保用您自己的有效 AWS scan-id 取代範例 EqualsValue

    使用您自己的有效 detector-id 取代範例 detector-id。您可以更改最大結果 (最多 50 個) 和排序條件AttributeName 是必要選項,必須是 scanStartTime

    aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

  • 此命令的回應最多會顯示一個結果,其中包含有關受影響資源和惡意軟體調查結果的詳細資訊 (如果是 Infected)。