本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
GuardDuty Amazon Backup 的恶意软件防护
主题
概述
备份恶意软件保护通过扫描 Amazon 受备份保护的资源(例如亚马逊 EBS 快照、Amazon EC2 和 Amazon S3 恢复点),帮助您检测备份数据中可能存在的恶意软件。 AMIs当 Amazon Backup 创建或更新受保护的备份资源时, GuardDuty 可以对该备份执行恶意软件扫描,以帮助识别潜在的恶意内容,然后再将其还原到您的环境中。
如何使用恶意软件保护进行 Backup
您可以在两种模式下使用此功能,具体取决于您的账户中 GuardDuty 是否启用了此功能:
-
在 GuardDuty 启用后使用 Backup 的恶意软件防护
在区域中 GuardDuty 启用后, Amazon Backup 会将恶意软件防护与 GuardDuty 发现工作流程集成在一起。除了 Amazon EventBridge 和 Amazon 之外,恶意软件扫描 GuardDuty 结果还会出现在搜索结果中 CloudWatch。
-
在不启用的情况下对 Backup 使用恶意软件防护 GuardDuty
您可以单独使用 Backup 恶意软件保护,无需启用完整 GuardDuty 服务。在此模式下,扫描结果仍可通过 EventBridge 和完全获得 CloudWatch。
单独使用 Backup 恶意软件防护的注意事项
在不启用该功能的情况下使用该功能时 GuardDuty:
备份计划配置完全在 B Amazon ackup 中管理。
GuardDuty 不提供对选择备份计划、存储库或资源类型的控制。所有启用、计划和策略配置都保留在 Amazon Backup 中。
GuardDuty 未生成调查结果。
发现需要检测器 ID,只有在启用时 GuardDuty 才会创建检测器 ID。独立使用恶意软件防护时,扫描结果仅通过 EventBridge 事件和 CloudWatch 指标显示。
您仍然可以从 GuardDuty 控制台启动按需扫描。
即使 GuardDuty 未启用, GuardDuty 控制台也提供了一个工作流程,用于启动按需恶意软件扫描,以查找支持的备份资源类型。这使客户无需全面 GuardDuty 服务即可使用熟悉的 GuardDuty 界面。
非GuardDuty 客户可以访问扫描启动工作流程。
无论账户中是否存在 GuardDuty 检测器,所有使用 Malware Protection for Backup 的客户都可以使用按需扫描入口点。
扫描行为和覆盖范围保持不变。
无论 GuardDuty 是否启用,该功能都会使用相同的恶意软件检测引擎扫描相同的 Amazon Backup 资源类型。唯一的区别是结果发布在哪里。
这种模式允许客户在不需要 GuardDuty更广泛的威胁检测功能的情况下对备份进行恶意软件扫描,同时仍然为启动和查看扫描操作提供了 GuardDuty基于可选的工作流程。
Backup 恶意软件防护的工作原理
Backup 恶意软件防护可以扫描以下受备份保护的 Amazon 资源:
Amazon EBS 快照
亚马逊 EC2 AMIs
亚马逊 S3 恢复点
在支持的区域使用 Backu Amazon p Vault Lock 锁定锁定(不可变)的保管库(EBS/EC2 恢复点)
增量扫描
Amazon Backup 可以捕获许多资源类型的增量更改。 GuardDuty 能够在创建或更新备份时仅扫描新的或更改的块或对象,从而提高性能并减少扫描开销,同时随着时间的推移实现全面覆盖。
按需扫描
您可以随时直接从 Backup 或控制台对任何支持的 Amazon 备份资源启动扫描。 GuardDuty 常见用例包括在还原之前验证备份,在发布新的威胁签名后重新检查较旧的数据,或者定期执行合规性扫描。
注意
只能为同一地区的备份资源启用 Backup 恶意软件防护。
GuardDuty 扫描备份的只读副本;它不修改备份内容。
扫描适用于标准文件库和锁定(不可变)文件库。