在 EC2 恶意软件防护中监控扫描状态和结果 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 EC2 恶意软件防护中监控扫描状态和结果

在 Amazon EC2 实例上启动恶意软件扫描后,GuardDuty 会自动提供状态和结果字段。您可以通过转换来监控状态,并查看是否检测到恶意软件。下表提供了与恶意软件扫描相关的可能值。

类别 潜在值

扫描状态

Running CompletedSkipped、或 Failed

扫描结果*

Clean 或者Infected

扫描类型

GuardDuty initiated 或者On demand

*只有当扫描状态变为 Completed 时,才会填充扫描结果。扫描结果 Infected 表明 GuardDuty 检测到恶意软件的存在。

每次恶意软件扫描的扫描结果保留期为 90 天。选择您的首选访问方式来跟踪恶意软件扫描的状态。

Console

  1. 通过以下网址打开 GuardDuty 控制台:https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择 EC2 恶意软件扫描

  3. 您可以通过筛选条件搜索栏中提供的以下属性筛选恶意软件扫描。

    • 扫描 ID:与 EC2 恶意软件扫描相关的唯一标识符。

    • 账户 ID:启动恶意软件扫描的 Amazon Web Services 账户 ID。

    • EC2 实例 ARN:与扫描关联的 Amazon EC2 实例关联的 Amazon 资源名称(ARN)。

    • 扫描状态:EBS 卷的扫描状态,例如正在运行已跳过已完成

    • 扫描类型:表示这是按需恶意软件扫描还是 GuardDuty 启动的恶意软件扫描。

API/CLI

  • 恶意软件扫描得出扫描结果后,您可以根据 EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME,使用 DescribeMalwareScans 来筛恶意软件扫描。

    SCAN_TYPE 通过 GuardDuty 启动时,GUARDDUTY_FINDING_ID 筛选条件可用。

  • 您可以在下面的命令中更改示例筛选条件。目前,您可以一次根据一个 CriterionKey 进行筛选。CriterionKey 的选项为 EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME

    您可以更改最大结果(最多 50)和排序标准AttributeName 是必填项,必须为 scanStartTime

    在以下示例中,红色的值为占位符。将其替换为适合您账户的值。例如,将示例 detector-id 60b8777933648562554d637e0e4bb3b2 替换为您自己的有效 detector-id。如果您使用与下面相同的 CriterionKey,请确保使用您自己的有效 Amazon 扫描 ID 替换示例 EqualsValue

    aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

  • 此命令的响应最多显示一个结果,其中包含有关受影响资源和恶意软件调查发现的详细信息(如果 Infected)。