设置快照保留和 EC2 扫描覆盖范围 - Amazon GuardDuty
快照保留使用用户定义的标签扫描选项全局 GuardDutyExcluded 标签
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置快照保留和 EC2 扫描覆盖范围

本节介绍如何为您的 Amazon EC2 实例自定义恶意软件扫描选项。这些自定义设置既适用于按需恶意软件扫描,也适用于由 GuardDuty发起的恶意软件扫描。您可执行以下操作:

  • 启用快照保留-如果在扫描前启用,则 GuardDuty 会保留 GuardDuty 检测为恶意的 Amazon EBS 快照。

  • 选择要扫描的亚马逊 EC2 实例-使用标签在恶意软件扫描中包含或排除特定的亚马逊 EC2 实例。

快照保留

GuardDuty 为您提供在 Amazon 账户中保留 EBS 卷快照的选项。默认情况下,快照保留设置处于关闭状态。只有在扫描开始之前开启此设置时,系统才会保留快照。

扫描启动后,根据您的 EBS 卷的快照 GuardDuty 生成副本 EBS 卷。扫描完成且账户中的快照保留设置已开启后,只有在发现恶意软件并生成 用于 EC2 查找类型的恶意软件防护 时,EBS 卷的快照才会保留。如果未发现任何恶意软件,则无论您的快照设置如何,都会 GuardDuty 自动删除 EBS 卷的快照,除非已对创建的快照启用了 Amazon EBS 快照锁定

快照使用成本

在恶意软件扫描期间,在 GuardDuty 创建 Amazon EBS 卷的快照时,会产生与该步骤相关的使用成本。如果您为账户开启快照保留设置,则当系统发现恶意软件并保留快照时,将因此产生使用费用。有关快照成本及快照保留的信息,请参阅 Amazon EBS 定价

作为委托 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是通过邀请方式管理的,则这些账户可以自行进行此更改。有关更多信息,请参阅 管理员账户和成员账户的关系

选择您的首选访问方式以开启快照保留设置。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格的 “保护计划” 下,选择 “恶意软件防护” EC2。

  3. 在控制台底部选择常规设置。如要保留快照,请开启快照保留

API/CLI

运行UpdateMalwareScanSettings以更新快照保留设置的当前配置。

或者,当 GuardDuty 恶意软件防护 EC2 生成发现结果时,您可以运行以下 Amazon CLI 命令自动保留快照。

请务必detector-id用您自己的有效版本替换detectorId

要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectorsAPI。

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

如果要关闭快照保留,请将 RETENTION_WITH_FINDING 替换为 NO_RETENTION

使用用户定义的标签扫描选项

通过使用 GuardDuty启动的恶意软件扫描,您还可以指定在扫描和威胁检测过程中包含或排除亚马逊 EC2 实例和 Amazon EBS 卷的标签。您可以通过编辑包含或排除标签列表中的标签来自定义每个 GuardDuty启动的恶意软件扫描。每个列表最多可以包含 50 个标签。

如果您还没有与 EC2 资源关联的用户定义标签,请参阅亚马逊 EC2 用户指南中的为亚马逊 EC2资源添加标签。

注意

按需恶意软件扫描不支持带有用户定义标签的扫描选项,而是支持 全局 GuardDutyExcluded 标签

将 EC2 实例排除在恶意软件扫描之外

如果您想在扫描过程中排除任何亚马逊 EC2 实例或 Amazon EBS 卷,则可以将任何亚马逊 EC2实例或 Amazon EBS 卷的GuardDutyExcluded标签设置为,并且 GuardDuty 不会对其进行扫描。true有关 GuardDutyExcluded 标签的更多信息,请参阅 恶意软件防护的服务相关角色权限 EC2。您也可以将 Amazon EC2 实例标签添加到排除列表中。如果您在排除标签列表中添加多个标签,则任何至少包含其中一个标签的 Amazon EC2 实例都将被排除在恶意软件扫描过程之外。

作为委托 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是通过邀请方式管理的,则这些账户可以自行进行此更改。有关更多信息,请参阅 管理员账户和成员账户的关系

选择您的首选访问方法,将与 Amazon EC2 实例关联的标签添加到排除列表中。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格的 “保护计划” 下,选择 “恶意软件防护” EC2。

  3. 展开包含/排除标签部分。选择添加标签

  4. 选择排除标签,然后选择确认

  5. 指定要排除的标签 KeyValue 对。可以选择提供 Value。添加所有标签后,选择保存

    重要

    标签键和值区分大小写。有关更多信息,请参阅 Amazon EC2 用户指南中的标签限制

    如果未提供密钥的值并且 EC2 实例使用指定的密钥进行标记,则无论该标签的分配值如何,该 EC2 实例都将被排除在 GuardDuty启动的恶意软件扫描扫描过程之外。

API/CLI

UpdateMalwareScanSettings通过将 EC2 实例或容器工作负载排除在扫描过程之外来运行。

以下 Amazon CLI 示例命令将新标签添加到排除标签列表中。将示例 detector-id 替换为您自己的有效 detectorId

MapEqualsKey/Value 对的列表。

要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectorsAPI。

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
重要

标签键和值区分大小写。有关更多信息,请参阅 Amazon EC2 用户指南中的标签限制

在恶意软件扫描中包含 EC2 实例

如果要扫描 EC2 实例,请将其标签添加到包含列表中。当您将标签添加到包含标签列表时,不包含任何已添加标签的 EC2 实例将从恶意软件扫描中跳过。如果您向包含标签列表中添加多个标签,则恶意软件扫描中将包含至少包含其中一个标签的 EC2实例。有时,由于其他原因,可能会在扫描过程中跳过 EC2 实例。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因

作为委托 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是通过邀请方式管理的,则这些账户可以自行进行此更改。有关更多信息,请参阅 管理员账户和成员账户的关系

选择您的首选访问方法,将与 EC2 实例关联的标签添加到包含列表中。

Console

  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格的 “保护计划” 下,选择 “恶意软件防护” EC2。

  3. 展开包含/排除标签部分。选择添加标签

  4. 选择包含标签,然后选择确认

  5. 选择添加新的包含标签,然后指定要包含的标签 KeyValue 对。可以选择提供 Value

    添加完所有包含标签后,选择保存

    如果未提供密钥的值,则该 EC2 实例将使用指定的密钥进行标记,则无论该标签的分配值如何,该 EC2 实例都将包含在恶意软件防护中进行 EC2 扫描。

API/CLI

  • 运行UpdateMalwareScanSettings以在扫描过程中包含 EC2 实例或容器工作负载。

    以下 Amazon CLI 示例命令将新标签添加到包含标签列表中。请确保将示例detector-id替换为自己的有效示例detectorId。将示例TestKey和替换为TestValueKey与您的 EC2 资源关联的标签的和Value对。

    MapEqualsKey/Value 对的列表。

    要查找与您的账户和当前地区detectorId对应的,请参阅https://console.aws.amazon.com/guardduty/控制台中的设置页面,或者运行 ListDetectorsAPI。

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    重要

    标签键和值区分大小写。有关更多信息,请参阅 Amazon EC2 用户指南中的标签限制
注意

检测到新标签最多可能需要 5 分钟。 GuardDuty

您可以随时选择包含标签排除标签,但不能同时选择两者。如果要在标签之间切换,请在添加新标签时从下拉菜单中选择该标签,然后确认您的选择。此操作将清除您当前的所有标签。

全局 GuardDutyExcluded 标签

GuardDuty 使用全局标签密钥GuardDutyExcluded,您可以将其添加到您的 Amazon EC2 资源中,并将标签值设置为true。具有此标签键和值对的此 Amazon EC2 资源将被排除在恶意软件扫描之外。两种扫描类型(GuardDuty启动的恶意软件扫描和按需恶意软件扫描)都支持全局标记。如果您在 Amazon 上启动按需恶意软件扫描 EC2,则会生成扫描 ID。但是,将因 EXCLUDED_BY_SCAN_SETTINGS 而跳过扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因