恶意软件防护中的自定义项 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

恶意软件防护中的自定义项

本节介绍在按需启动或通过调用恶意软件扫描时,如何自定义您的 Amazon EC2 实例或容器工作负载的扫描选项 GuardDuty。

常规设置

快照保留

GuardDuty 为您提供在Amazon账户中保留 EBS 卷快照的选项。默认情况下,快照保留设置处于关闭状态。只有在扫描开始之前开启此设置时,系统才会保留快照。

扫描启动后,根据您的 EBS 卷的快照 GuardDuty 生成副本 EBS 卷。扫描完成且账户中的快照保留设置已开启后,只有在发现恶意软件并生成 恶意软件防护查找类型 时,EBS 卷的快照才会保留。无论您是否开启了快照保留设置,当未检测到恶意软件时, GuardDuty 都会自动删除 EBS 卷的快照。

快照使用成本

在恶意软件扫描期间,在 GuardDuty 创建 Amazon EBS 卷的快照时,会产生与该步骤相关的使用成本。如果您为账户开启快照保留设置,则当系统发现恶意软件并保留快照时,将因此产生使用费用。有关快照成本及快照保留的信息,请参阅 Amazon EBS 定价

选择您的首选访问方式以开启快照保留设置。

Console
  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

  2. 在导航窗格的保护计划下,选择恶意软件防护

  3. 在控制台底部选择常规设置。如要保留快照,请开启快照保留

API/CLI
  1. 运行UpdateMalwareScanSettings以更新快照保留设置的当前配置。

  2. 或者,当 GuardDuty 恶意软件防护生成发现结果时,您可以运行以下Amazon CLI命令自动保留快照。

    请务必用您自己的有效 detectorId 替换 detector-id

  3. 您可以在 https://console.aws.amazon.com/guardduty/ 控制台的设置页面上,找到自己当前区域的 detectorId

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
  4. 如果要关闭快照保留,请将 RETENTION_WITH_FINDING 替换为 NO_RETENTION

使用用户定义的标签扫描选项

通过使用 GuardDuty启动的恶意软件扫描,您还可以指定标签,以便在扫描和威胁检测过程中包括或排除 Amazon EC2 实例和 Amazon EBS 卷。您可以通过编辑包含或排除标签列表中的标签来自定义每个 GuardDuty启动的恶意软件扫描。每个列表最多可以包含 50 个标签。

如果您还没有与 EC2 资源关联的用户定义标签,请参阅《Amazon EC2 Linux 实例用户指南》中的标记您的 Amazon EC2 资源,或《Amazon EC2 Windows 实例用户指南》中的标记您的 Amazon EC2 资源

注意

按需恶意软件扫描不支持带有用户定义标签的扫描选项,而是支持 全局 GuardDutyExcluded 标签

将 EC2 实例排除在恶意软件扫描之外

如果您想在扫描过程中排除任何 Amazon EC2 实例或 Amazon EBS 卷,则可以将任何亚马逊 EC2 实例或 Amazon EBS 卷的GuardDutyExcluded标签设置为,并且 GuardDuty 不会对其进行扫描。true有关 GuardDutyExcluded 标签的更多信息,请参阅 恶意软件防护的服务相关角色权限。您也可以将 Amazon EC2 实例标签添加到排除列表中。如果您在标签排除列表中添加多个标签,则至少包含其中一个标签的任何 Amazon EC2 实例,都将被排除在恶意软件扫描过程之外。

选择您的首选访问方法,将与 Amazon EC2 实例关联的标签添加到排除列表中。

Console
  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

  2. 在导航窗格的保护计划下,选择恶意软件防护

  3. 展开包含/排除标签部分。选择添加标签

  4. 选择排除标签,然后选择确认

  5. 指定要排除的标签 KeyValue 对。可以选择提供 Value。添加所有标签后,选择保存

    重要

    标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 Linux 实例用户指南》中的标签限制,或《Amazon EC2 Windows 实例用户指南》中的标签限制

    如果未提供密钥的值,而且 EC2 实例使用指定的密钥进行标记,则无论标签的分配值如何,此 EC2 实例都将被排除在 GuardDuty启动的恶意软件扫描扫描过程之外。

API/CLI
  • 通过将 EC2 实例或容器工作负载排除在扫描过程之外,更新恶意软件扫描设置。

    以下 Amazon CLI 示例命令将新标签添加到标签排除列表中。请务必用您自己的有效 detectorId 替换示例 detector-id

    MapEqualsKey/Value 对的列表。

    您可以在 https://console.aws.amazon.com/guardduty/ 控制台的设置页面上,找到自己当前区域的 detectorId

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    重要

    标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 Linux 实例用户指南》中的标签限制,或《Amazon EC2 Windows 实例用户指南》中的标签限制

将 EC2 实例包括在恶意软件扫描中

如果要扫描 EC2 实例,请将其标签添加到包含列表中。当您将标签添加到标签的包含列表时,系统将从恶意软件扫描中跳过不包含任何已添加标签的 EC2 实例。如果您向标签包含列表中添加多个标签,则至少包含其中一个标签的 EC2 实例会纳入恶意软件扫描范围。有时,系统在扫描过程中可能会跳过 EC2 实例。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因

选择您的首选访问方法,将与 EC2 实例关联的标签添加到包含列表中。

Console
  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

  2. 在导航窗格的保护计划下,选择恶意软件防护

  3. 展开包含/排除标签部分。选择添加标签

  4. 选择包含标签,然后选择确认

  5. 选择添加新的包含标签,然后指定要包含的标签 KeyValue 对。可以选择提供 Value

    添加完所有包含标签后,选择保存

    如果未提供密钥的值,并且 EC2 实例用指定的密钥进行标记,则无论该标签分配的值为何,该 EC2 实例都将被包含在恶意软件防护扫描过程中。

API/CLI
  • 通过将 EC2 实例或容器工作负载包含在扫描过程中,更新恶意软件扫描设置。

    以下 Amazon CLI 示例命令将新标签添加到标签包含列表中。请务必用您自己的有效 detectorId 替换示例 detector-id。将示例TestKey和替换为TestValue与您的 EC2 资源关联的标签的KeyValue对。

    MapEqualsKey/Value 对的列表。

    您可以在 https://console.aws.amazon.com/guardduty/ 控制台的设置页面上,找到自己当前区域的 detectorId

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    重要

    标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 Linux 实例用户指南》中的标签限制,或《Amazon EC2 Windows 实例用户指南》中的标签限制

注意

检测到新标签最多可能需要 5 分钟。 GuardDuty

您可以随时选择包含标签排除标签,但不能同时选择两者。如果要在标签之间切换,请在添加新标签时从下拉菜单中选择该标签,然后确认您的选择。此操作将清除您当前的所有标签。

全局 GuardDutyExcluded 标签

默认情况下,会使用 GuardDutyScanId 标签创建 EBS 卷的快照。请勿删除此标签,因为这样做会 GuardDuty阻止访问快照。恶意软件防护中的两种扫描类型,都不会扫描 GuardDutyExcluded 标签设置为 true 的 Amazon EC2 实例或 Amazon EBS 卷。如果对此类资源进行恶意软件防护扫描,则生成扫描 ID,但会因 EXCLUDED_BY_SCAN_SETTINGS 而跳过该扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因