在 EC2 GuardDuty 恶意软件防护中监控扫描状态和结果 - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 EC2 GuardDuty 恶意软件防护中监控扫描状态和结果

您可以监控 EC2 扫描的每个 GuardDuty 恶意软件防护的扫描状态。扫描状态的可能值为 CompletedRunningSkippedFailed

扫描完成后,将为状态Completed 的扫描填充扫描结果扫描结果的可能值为 CleanInfected。使用扫描类型,您可以识别恶意软件扫描是否为 GuardDuty initiatedOn demand

每次恶意软件扫描的扫描结果保留期为 90 天。选择您的首选访问方式来跟踪恶意软件扫描的状态。

Console

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择恶意软件扫描

  3. 您可以通过筛选条件中提供的以下属性,来筛选恶意软件扫描。

    • 扫描 ID

    • 账户 ID

    • EC2 实例 ARN

    • 扫描类型

    • 扫描状态

    有关用于筛选条件的属性的信息,请参阅 调查发现详细信息

API/CLI

  • 恶意软件扫描得出扫描结果后,您可以根据 EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME,来筛选恶意软件扫描。

    GuardDuty 启动时,GUARDDUTY_FINDING_ID筛选条件可用。SCAN_TYPE有关任何筛选条件的信息,请参阅 调查发现详细信息

  • 您可以在下面的命令中更改示例筛选条件。目前,您可以一次根据一个 CriterionKey 进行筛选。CriterionKey 的选项为 EC2_INSTANCE_ARNSCAN_IDACCOUNT_IDSCAN_TYPEGUARDDUTY_FINDING_IDSCAN_STATUSSCAN_START_TIME

    如果您使用与下面相同的 CriterionKey,请确保使用您自己的有效 Amazon 扫描 ID 替换示例 EqualsValue

    将示例 detector-id 替换为您自己的有效 detector-id。您可以更改最大结果(最多 50)和排序标准AttributeName 是必填项,必须为 scanStartTime

    aws guardduty describe-malware-scans --detector-id 60b8777933648562554d637e0e4bb3b2 --max-results 1 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"SCAN_ID", "FilterCondition":{"EqualsValue":"123456789012"}}] }'

  • 此命令的响应最多显示一个结果,其中包含有关受影响资源和恶意软件调查发现的详细信息(如果 Infected)。