设置快照保留期和 EC2 扫描覆盖范围 - Amazon GuardDuty
快照保留使用用户定义的标签扫描选项全局 GuardDutyExcluded 标签
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

设置快照保留期和 EC2 扫描覆盖范围

本部分介绍如何为 Amazon EC2 实例自定义恶意软件扫描选项。这些自定义设置既适用于按需恶意软件扫描,也适用于由 GuardDuty 启动的恶意软件扫描。您可执行以下操作:

  • 启用快照保留 – 如果在扫描前启用,GuardDuty 会保留 GuardDuty 检测为恶意的 Amazon EBS 快照。

  • 选择要扫描的 Amazon EC2 实例 – 使用标签从恶意软件扫描中包含或排除特定的 Amazon EC2 实例。

快照保留

GuardDuty 为您提供了在 Amazon 账户中保留 EBS 卷快照的选项。默认情况下,快照保留设置处于关闭状态。只有在扫描开始之前开启此设置时,系统才会保留快照。

扫描启动时,GuardDuty 会根据 EBS 卷的快照生成副本 EBS 卷。扫描完成且账户中的快照保留设置已开启后,只有在发现恶意软件并生成 EC2 恶意软件防护调查发现类型 时,EBS 卷的快照才会保留。如果未发现恶意软件,那么无论快照设置如何,GuardDuty 都会自动删除 EBS 卷的快照,除非对创建的快照启用了 Amazon EBS 快照锁定

快照使用成本

在恶意软件扫描期间,当 GuardDuty 创建您 Amazon EBS 卷的快照时,此步骤会产生使用成本。如果您为账户开启快照保留设置,则当系统发现恶意软件并保留快照时,将因此产生使用费用。有关快照成本及快照保留的信息,请参阅 Amazon EBS 定价

作为委派 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是通过邀请方式管理的,则这些账户可以自行进行此更改。有关更多信息,请参阅 管理员账户和成员账户的关系

选择您的首选访问方式以开启快照保留设置。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 在导航窗格的防护计划下,选择 EC2 恶意软件防护

  3. 在控制台底部选择常规设置。如要保留快照,请开启快照保留

API/CLI

运行 UpdateMalwareScanSettings 来更新快照保留设置的当前配置。

您也可以运行以下 Amazon CLI 命令,以便在 GuardDuty EC2 恶意软件防护生成调查发现时自动保留快照。

请务必用您自己的有效 detectorId 替换 detector-id

要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

如果要关闭快照保留,请将 RETENTION_WITH_FINDING 替换为 NO_RETENTION

使用用户定义的标签扫描选项

通过使用 GuardDuty 启动的恶意软件扫描,在扫描和威胁检测过程中,您还可以指定标签,以包括或排除 Amazon EC2 实例和 Amazon EBS 卷。您可以通过编辑包含或排除列表中的标签,来自定义 GuardDuty 启动的每个 GuardDuty 恶意软件扫描。每个列表最多可以包含 50 个标签。

如果您还没有与 EC2 资源关联的用户定义标签,请参阅《Amazon EC2 用户指南》中的标记 Amazon EC2 资源

注意

按需恶意软件扫描不支持带有用户定义标签的扫描选项,而是支持 全局 GuardDutyExcluded 标签

将 EC2 实例排除在恶意软件扫描之外

如果您想在扫描过程中排除任何 Amazon EC2 实例或 Amazon EBS 卷,则可以将任何 Amazon EC2 实例或 Amazon EBS 卷的 GuardDutyExcluded 标签设置为 true,然后 GuardDuty 便不会对其进行扫描。有关 GuardDutyExcluded 标签的更多信息,请参阅 EC2 恶意软件防护的服务相关角色权限。您也可以将 Amazon EC2 实例标签添加到排除列表中。如果您在标签排除列表中添加多个标签,则至少包含其中一个标签的任何 Amazon EC2 实例,都将被排除在恶意软件扫描过程之外。

作为委派 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是通过邀请方式管理的,则这些账户可以自行进行此更改。有关更多信息,请参阅 管理员账户和成员账户的关系

选择您的首选访问方法,将与 Amazon EC2 实例关联的标签添加到排除列表中。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 在导航窗格的防护计划下,选择 EC2 恶意软件防护

  3. 展开包含/排除标签部分。选择添加标签

  4. 选择排除标签,然后选择确认

  5. 指定要排除的标签 KeyValue 对。可以选择提供 Value。添加所有标签后,选择保存

    重要

    标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 用户指南》中的标签限制

    如果未提供密钥的值,并且 EC2 实例用指定的密钥进行标记,则无论该标签分配的值为何,该 EC2 实例都将被排除在 GuardDuty 启动的恶意软件扫描过程之外。

API/CLI

通过在扫描过程中排除 EC2 实例或容器工作负载排除来运行 UpdateMalwareScanSettings

以下 Amazon CLI 示例命令将新标签添加到标签排除列表中。将示例 detector-id 替换为您自己的有效 detectorId

MapEqualsKey/Value 对的列表。

要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
重要

标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 用户指南》中的标签限制

将 EC2 实例包括在恶意软件扫描中

如果要扫描 EC2 实例,请将其标签添加到包含列表中。当您将标签添加到标签的包含列表时,系统将从恶意软件扫描中跳过不包含任何已添加标签的 EC2 实例。如果您向标签包含列表中添加多个标签,则至少包含其中一个标签的 EC2 实例会纳入恶意软件扫描范围。有时,在扫描过程中可能因其他原因而跳过某个 EC2 实例。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因

作为委派 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是通过邀请方式管理的,则这些账户可以自行进行此更改。有关更多信息,请参阅 管理员账户和成员账户的关系

选择您的首选访问方法,将与 EC2 实例关联的标签添加到包含列表中。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 在导航窗格的防护计划下,选择 EC2 恶意软件防护

  3. 展开包含/排除标签部分。选择添加标签

  4. 选择包含标签,然后选择确认

  5. 选择添加新的包含标签,然后指定要包含的标签 KeyValue 对。可以选择提供 Value

    添加完所有包含标签后,选择保存

    如果未提供密钥的值,并且使用指定键标记了某个 EC2 实例,则无论该标签分配的值为何,该 EC2 实例都将被包含在 EC2 恶意软件防护扫描过程中。

API/CLI

  • 通过在扫描过程中包含 EC2 实例或容器工作负载排除来运行 UpdateMalwareScanSettings

    以下 Amazon CLI 示例命令将新标签添加到标签包含列表中。请务必用您自己的有效 detectorId 替换示例 detector-id。将示例 TestKeyTestValue,替换为与您的 EC2 资源关联标签的 KeyValue 对。

    MapEqualsKey/Value 对的列表。

    要查找您账户和当前区域的 detectorId,请查看 https://console.aws.amazon.com/guardduty/ 控制台中的设置页面,或者运行 ListDetectors API。

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    重要

    标签键和值区分大小写。有关更多信息,请参阅《Amazon EC2 用户指南》中的标签限制
注意

GuardDuty 检测到新标签最多可能需要 5 分钟。

您可以随时选择包含标签排除标签,但不能同时选择两者。如果要在标签之间切换,请在添加新标签时从下拉菜单中选择该标签,然后确认您的选择。此操作将清除您当前的所有标签。

全局 GuardDutyExcluded 标签

GuardDuty 使用全局标签键 GuardDutyExcluded,您可以将其添加到 Amazon EC2 资源中,并将标签值设置为 true。具有此标签键值对的 Amazon EC2 资源将被排除在恶意软件扫描范围之外。这两种扫描类型(由 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描)都支持此全局标签。如果您在 Amazon EC2 上启动按需恶意软件扫描,则会生成一个扫描 ID。但是,将因 EXCLUDED_BY_SCAN_SETTINGS 而跳过扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因