监控 GuardDuty 恶意软件防护中的扫描状态和结果 EC2 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

监控 GuardDuty 恶意软件防护中的扫描状态和结果 EC2

您可以监控每个 GuardDuty 恶意软件防护的扫描状态以进行EC2扫描。扫描状态的可能值为 CompletedRunningSkippedFailed

扫描完成后,将为状态Completed 的扫描填充扫描结果扫描结果的可能值为 CleanInfected。使用扫描类型,您可以识别恶意软件扫描是否为 GuardDuty initiatedOn demand

每次恶意软件扫描的扫描结果保留期为 90 天。选择您的首选访问方式来跟踪恶意软件扫描的状态。

Console
  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择恶意软件扫描

  3. 您可以通过筛选条件中提供的以下属性,来筛选恶意软件扫描。

    • 扫描 ID

    • 账户 ID

    • EC2实例 ARN

    • 扫描类型

    • 扫描状态

    有关用于筛选条件的属性的信息,请参阅 调查发现详细信息

API/CLI
  • 恶意软件扫描得出扫描结果后,您可以根据 EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME,来筛选恶意软件扫描。

    GuardDuty 启动时,GUARDDUTY_FINDING_ID筛选条件可用。SCAN_TYPE有关任何筛选条件的信息,请参阅 调查发现详细信息

  • 你可以改变这个例子 filter-criteria 在下面的命令中。目前,您可以一次根据一个 CriterionKey 进行筛选。CriterionKey 的选项为 EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME

    如果您使用CriterionKey如下所示的示例,请确保将示例EqualsValue替换为您自己的有效示例 Amazon scan-id.

    将示例 detector-id 替换为您自己的有效 detector-id。你可以改变 max-results (最多 50)和 sort-criteriaAttributeName是必填项,必须是scanStartTime

    aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'
  • 此命令的响应最多显示一个结果,其中包含有关受影响资源和恶意软件调查发现的详细信息(如果 Infected)。