本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
監控 EC2 的 GuardDuty 惡意軟體防護中的掃描狀態和結果
您可以監控 EC2 掃描每個 GuardDuty 惡意軟體防護的掃描狀態。掃描狀態的可能值為 Completed
、Running
、Skipped
和 Failed
。
掃描完成後,系統會針對狀態為 Completed
的掃描填入掃描結果。掃描結果的可能值為 Clean
和 Infected
。使用掃描類型,您可以識別惡意軟體掃描是否為 GuardDuty initiated
或 On demand
。
每種惡意軟體掃描的掃描結果的保留期為 90 天。選擇您偏好的存取方式,以便追蹤惡意軟體掃描狀態。
- Console
-
-
請在以下位置開啟 GuardDuty 主控台。
https://console.aws.amazon.com/guardduty/ -
在導覽窗格中,選擇惡意軟體掃描。
-
您可以依據篩選條件中提供的下列屬性來篩選惡意軟體掃描。
-
掃描 ID
-
帳戶 ID
-
EC2 執行個體 ARN
-
掃描類型
-
掃描狀態
如需有關用於篩選條件的屬性的詳細資訊,請參閱調查結果詳細資訊。
-
-
- API/CLI
-
-
惡意軟體掃描有掃描結果後,您可以根據
EC2_INSTANCE_ARN
、SCAN_ID
、ACCOUNT_ID
、SCAN_TYPE
、GUARDDUTY_FINDING_ID
、SCAN_STATUS
和SCAN_START_TIME
篩選惡意軟體掃描。GuardDuty 啟動時,即可使用
GUARDDUTY_FINDING_ID
篩選條件。SCAN_TYPE
如需有關任何篩選條件的詳細資訊,請參閱調查結果詳細資訊。 -
您可以在下面的命令中更改示例
篩選條件
。目前,您可以一次篩選一個CriterionKey
。CriterionKey
的選項包括EC2_INSTANCE_ARN
、SCAN_ID
、ACCOUNT_ID
、SCAN_TYPE
、GUARDDUTY_FINDING_ID
、SCAN_STATUS
和SCAN_START_TIME
。如果您使用與下面相同的
CriterionKey
,請確保用您自己的有效 AWSscan-id
取代範例EqualsValue
。使用您自己的有效
取代範例detector-id
detector-id
。您可以更改最大結果
(最多 50 個) 和排序條件
。AttributeName
是必要選項,必須是scanStartTime
。aws guardduty describe-malware-scans --detector-id
60b8777933648562554d637e0e4bb3b2
--max-results1
--sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC
"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID
", "FilterCondition":{"EqualsValue":"123456789012
"}}] }' -
此命令的回應最多會顯示一個結果,其中包含有關受影響資源和惡意軟體調查結果的詳細資訊 (如果是
Infected
)。
-