Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
恶意软件防护中的自定义项
本节介绍在按需启动或通过调用恶意软件扫描时,如何自定义您的 Amazon EC2 实例或容器工作负载的扫描选项 GuardDuty。
常规设置
快照保留
GuardDuty 为您提供在 Amazon
账户中保留 EBS 卷快照的选项。默认情况下,快照保留设置处于关闭状态。只有在扫描开始之前开启此设置时,系统才会保留快照。
扫描启动后,根据您的 EBS 卷的快照 GuardDuty 生成副本 EBS 卷。扫描完成且账户中的快照保留设置已开启后,只有在发现恶意软件并生成 恶意软件防护查找类型 时,EBS 卷的快照才会保留。无论您是否开启了快照保留设置,当未检测到恶意软件时, GuardDuty 都会自动删除 EBS 卷的快照。
快照使用成本
在恶意软件扫描期间,在 GuardDuty 创建 Amazon EBS 卷的快照时,会产生与该步骤相关的使用成本。如果您为账户开启快照保留设置,则当系统发现恶意软件并保留快照时,将因此产生使用费用。有关快照成本及快照保留的信息,请参阅 Amazon EBS 定价。
选择您的首选访问方式以开启快照保留设置。
- Console
-
- API/CLI
-
运行UpdateMalwareScanSettings以更新快照保留设置的当前配置。
-
或者,当 GuardDuty 恶意软件防护生成发现结果时,您可以运行以下 Amazon CLI 命令自动保留快照。
请务必用您自己的有效 detectorId
替换 detector-id
。
-
要查找您的账户和当前地区detectorId
对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2
--ebs-snapshot-preservation "RETENTION_WITH_FINDING
"
-
如果要关闭快照保留,请将 RETENTION_WITH_FINDING
替换为 NO_RETENTION
。
使用用户定义的标签扫描选项
通过使用 GuardDuty启动的恶意软件扫描,您还可以指定标签,以便在扫描和威胁检测过程中包括或排除 Amazon EC2 实例和 Amazon EBS 卷。您可以通过编辑包含或排除标签列表中的标签来自定义每个 GuardDuty启动的恶意软件扫描。每个列表最多可以包含 50 个标签。
如果您还没有与 EC2 资源关联的用户定义标签,请参阅《Amazon EC2 Linux 实例用户指南》中的标记您的 Amazon EC2 资源,或《Amazon EC2 Windows 实例用户指南》中的标记您的 Amazon EC2 资源。
将 EC2 实例排除在恶意软件扫描之外
如果您想在扫描过程中排除任何 Amazon EC2 实例或 Amazon EBS 卷,则可以将任何亚马逊 EC2 实例或 Amazon EBS 卷的GuardDutyExcluded
标签设置为,并且 GuardDuty 不会对其进行扫描。true
有关 GuardDutyExcluded
标签的更多信息,请参阅 恶意软件防护的服务相关角色权限。您也可以将 Amazon EC2 实例标签添加到排除列表中。如果您在标签排除列表中添加多个标签,则至少包含其中一个标签的任何 Amazon EC2 实例,都将被排除在恶意软件扫描过程之外。
选择您的首选访问方法,将与 Amazon EC2 实例关联的标签添加到排除列表中。
- Console
-
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/。
-
在导航窗格的保护计划下,选择恶意软件防护。
-
展开包含/排除标签部分。选择添加标签。
选择排除标签,然后选择确认。
-
指定要排除的标签 Key
和 Value
对。可以选择提供 Value
。添加所有标签后,选择保存。
标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 Linux 实例用户指南》中的标签限制,或《Amazon EC2 Windows 实例用户指南》中的标签限制。
如果未提供密钥的值,而且 EC2 实例使用指定的密钥进行标记,则无论标签的分配值如何,此 EC2 实例都将被排除在 GuardDuty启动的恶意软件扫描扫描过程之外。
- API/CLI
-
-
通过将 EC2 实例或容器工作负载排除在扫描过程之外,更新恶意软件扫描设置。
以下 Amazon CLI 示例命令将新标签添加到排除标签列表中。请务必用您自己的有效 detectorId
替换示例 detector-id
。
MapEquals
是 Key
/Value
对的列表。
要查找您的账户和当前地区detectorId
对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2
--scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue
", "Value": "TestValue
" }, {"Key":"TestKeyWithoutValue
"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING
"
标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 Linux 实例用户指南》中的标签限制,或《Amazon EC2 Windows 实例用户指南》中的标签限制。
将 EC2 实例包括在恶意软件扫描中
如果要扫描 EC2 实例,请将其标签添加到包含列表中。当您将标签添加到标签的包含列表时,系统将从恶意软件扫描中跳过不包含任何已添加标签的 EC2 实例。如果您向标签包含列表中添加多个标签,则至少包含其中一个标签的 EC2 实例会纳入恶意软件扫描范围。有时,系统在扫描过程中可能会跳过 EC2 实例。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因。
选择您的首选访问方法,将与 EC2 实例关联的标签添加到包含列表中。
- Console
-
-
打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/。
-
在导航窗格的保护计划下,选择恶意软件防护。
-
展开包含/排除标签部分。选择添加标签。
选择包含标签,然后选择确认。
-
选择添加新的包含标签,然后指定要包含的标签 Key
和 Value
对。可以选择提供 Value
。
添加完所有包含标签后,选择保存。
如果未提供密钥的值,并且 EC2 实例用指定的密钥进行标记,则无论该标签分配的值为何,该 EC2 实例都将被包含在恶意软件防护扫描过程中。
- API/CLI
-
-
通过将 EC2 实例或容器工作负载包含在扫描过程中,更新恶意软件扫描设置。
以下 Amazon CLI 示例命令将新标签添加到包含标签列表中。请务必用您自己的有效 detectorId
替换示例 detector-id
。将示例TestKey
和替换为TestValue
与您的 EC2 资源关联的标签的Key
和Value
对。
MapEquals
是 Key
/Value
对的列表。
要查找您的账户和当前地区detectorId
对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2
--scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue
", "Value": "TestValue
" }, {"Key":"TestKeyWithoutValue
"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING
"
标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 Linux 实例用户指南》中的标签限制,或《Amazon EC2 Windows 实例用户指南》中的标签限制。
检测到新标签最多可能需要 5 分钟。 GuardDuty
您可以随时选择包含标签或排除标签,但不能同时选择两者。如果要在标签之间切换,请在添加新标签时从下拉菜单中选择该标签,然后确认您的选择。此操作将清除您当前的所有标签。
全局 GuardDutyExcluded
标签
默认情况下,会使用 GuardDutyScanId
标签创建 EBS 卷的快照。请勿删除此标签,因为这样做会 GuardDuty阻止访问快照。恶意软件防护中的两种扫描类型,都不会扫描 GuardDutyExcluded
标签设置为 true
的 Amazon EC2 实例或 Amazon EBS 卷。如果对此类资源进行恶意软件防护扫描,则生成扫描 ID,但会因 EXCLUDED_BY_SCAN_SETTINGS
而跳过该扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因。