Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie die Aufbewahrung von Snapshots und die Scanabdeckung ein EC2
In diesem Abschnitt wird erklärt, wie Sie die Malware-Scanoptionen für Ihre EC2 Amazon-Instances anpassen können. Diese Anpassungen gelten sowohl für Malware-Scans auf Abruf als auch für solche, die von initiiert wurden GuardDuty. Sie haben die folgenden Möglichkeiten:
-
Snapshot-Aufbewahrung aktivieren — Wenn diese Option vor einem Scan aktiviert ist, GuardDuty wird der als bösartig GuardDuty erkannte Amazon EBS-Snapshot beibehalten.
-
Wählen Sie aus, welche EC2 Amazon-Instances gescannt werden sollen — Verwenden Sie Tags, um bestimmte EC2 Amazon-Instances von Malware-Scans ein- oder auszuschließen.
Snapshot-Beibehaltung
GuardDuty bietet Ihnen die Möglichkeit, die Snapshots Ihrer EBS-Volumes in Ihrem AWS Konto zu speichern. Standardmäßig ist die Aufbewahrungseinstellung für Snapshots deaktiviert. Die Snapshots werden nur beibehalten, wenn Sie diese Einstellung aktiviert haben, bevor der Scan gestartet wird.
Wenn der Scan gestartet wird, werden die Replikat-EBS-Volumes auf der Grundlage der Snapshots Ihrer EBS-Volumes GuardDuty generiert. Nachdem der Scan abgeschlossen ist und die Einstellung zur Aufbewahrung von Snapshots in Ihrem Konto bereits aktiviert wurde, werden die Snapshots Ihrer EBS-Volumes nur beibehalten, wenn Malware gefunden und Malware-Schutz zum EC2 Auffinden von Typen generiert wird. Wenn keine Malware gefunden wird, werden unabhängig von Ihren Snapshot-Einstellungen GuardDuty automatisch die Snapshots Ihrer EBS-Volumes gelöscht, es sei denn, Amazon EBS-Snapshot-Sperren wurde für die erstellten Snapshots aktiviert.
Nutzungskosten für Snapshots
Während des Malware-Scans, bei dem die Snapshots Ihrer Amazon EBS-Volumes GuardDuty erstellt werden, fallen mit diesem Schritt Nutzungskosten an. Wenn Sie die Einstellung zur Aufbewahrung von Snapshots für Ihr Konto aktivieren, fallen für Sie Nutzungskosten an, wenn Malware gefunden wird und die Snapshots beibehalten werden. Informationen zu den Kosten von Snapshots und deren Aufbewahrung finden Sie unter Amazon EBS-Preise.
Als delegiertes GuardDuty Administratorkonto können nur Sie diese Aktualisierung im Namen der Mitgliedskonten der Organisation vornehmen. Wenn ein Mitgliedskonto jedoch per Einladungsmethode verwaltet wird, kann es diese Änderung selbst vornehmen. Weitere Informationen finden Sie unter Beziehungen zwischen Administratorkonto und Mitgliedskonto.
Wählen Sie Ihre bevorzugte Zugriffsmethode, um die Aufbewahrungseinstellung für Snapshots zu aktivieren.
Scan-Optionen mit benutzerdefinierten Tags
Mithilfe des GuardDuty -initiierten Malware-Scans können Sie auch Tags angeben, um EC2 Amazon-Instances und Amazon EBS-Volumes vom Scan- und Bedrohungserkennungsprozess entweder ein- oder auszuschließen. Sie können jeden GuardDuty -initiierten Malware-Scan individuell anpassen, indem Sie die Tags entweder in der Liste der Inklusions- oder Ausschlusstags bearbeiten. Jede Liste kann bis zu 50 Tags enthalten.
Wenn Sie noch keine benutzerdefinierten Tags mit Ihren EC2 Ressourcen verknüpft haben, finden Sie weitere Informationen unter Taggen Sie Ihre EC2 Amazon-Ressourcen im EC2 Amazon-Benutzerhandbuch.
Anmerkung
Der Malware-Scan auf Abruf unterstützt keine Scan-Optionen mit benutzerdefinierten Tags. Er unterstützt Globales GuardDutyExcluded-Tag.
So schließen Sie EC2 Instances vom Malware-Scan aus
Wenn Sie eine EC2 Amazon-Instance oder ein Amazon EBS-Volume während des Scanvorgangs ausschließen möchten, können Sie das GuardDutyExcluded
Tag true
für jede EC2 Amazon-Instance oder jedes Amazon EBS-Volume auf setzen und es GuardDuty wird nicht gescannt. Weitere Informationen über das GuardDutyExcluded
-Tag finden Sie unter Mit dem Dienst verknüpfte Rollenberechtigungen für Malware Protection für EC2. Sie können auch ein EC2 Amazon-Instance-Tag zu einer Ausschlussliste hinzufügen. Wenn Sie der Liste der Ausschluss-Tags mehrere Tags hinzufügen, wird jede EC2 Amazon-Instance, die mindestens eines dieser Tags enthält, vom Malware-Scanvorgang ausgeschlossen.
Als delegiertes GuardDuty Administratorkonto können nur Sie diese Aktualisierung im Namen der Mitgliedskonten der Organisation vornehmen. Wenn ein Mitgliedskonto jedoch per Einladungsmethode verwaltet wird, kann es diese Änderung selbst vornehmen. Weitere Informationen finden Sie unter Beziehungen zwischen Administratorkonto und Mitgliedskonto.
Wählen Sie Ihre bevorzugte Zugriffsmethode, um ein mit einer EC2 Amazon-Instance verknüpftes Tag zu einer Ausschlussliste hinzuzufügen.
Um EC2 Instances in den Malware-Scan einzubeziehen
Wenn Sie eine EC2 Instanz scannen möchten, fügen Sie ihr Tag zur Aufnahmeliste hinzu. Wenn Sie ein Tag zu einer Liste mit Einschlusstags hinzufügen, wird eine EC2 Instanz, die keines der hinzugefügten Tags enthält, aus dem Malware-Scan übersprungen. Wenn Sie der Liste der Einschlusstags mehrere Tags hinzufügen, wird eine EC2 Instanz, die mindestens eines dieser Tags enthält, in den Malware-Scan aufgenommen. Manchmal kann es vorkommen, dass eine EC2 Instanz während des Scanvorgangs aus anderen Gründen übersprungen wird. Weitere Informationen finden Sie unter Gründe für das Überspringen von Ressourcen beim Malware-Scan.
Als delegiertes GuardDuty Administratorkonto können nur Sie diese Aktualisierung im Namen der Mitgliedskonten der Organisation vornehmen. Wenn ein Mitgliedskonto jedoch per Einladungsmethode verwaltet wird, kann es diese Änderung selbst vornehmen. Weitere Informationen finden Sie unter Beziehungen zwischen Administratorkonto und Mitgliedskonto.
Wählen Sie Ihre bevorzugte Zugriffsmethode, um ein mit einer EC2 Instanz verknüpftes Tag zu einer Aufnahmeliste hinzuzufügen.
Anmerkung
Es kann bis zu 5 Minuten dauern GuardDuty , bis ein neues Tag erkannt wird.
Sie können jederzeit entweder Einschluss-Tags oder Ausschluss-Tags wählen, aber nicht beides. Wenn Sie zwischen den Tags wechseln möchten, wählen Sie dieses Tag aus dem Drop-down-Menü aus, wenn Sie neue Tags hinzufügen, und Bestätigen Sie Ihre Auswahl. Diese Aktion löscht alle Ihre aktuellen Tags.
Globales GuardDutyExcluded
-Tag
GuardDuty verwendet einen globalen Tag-Schlüssel,GuardDutyExcluded
, den Sie zu Ihren EC2 Amazon-Ressourcen hinzufügen und auf den Tag-Wert setzen könnentrue
. Diese EC2 Amazon-Ressource, die dieses Tag-Schlüssel-Wert-Paar hat, wird vom Malware-Scan ausgeschlossen. Beide Scantypen (GuardDuty-initiierter Malware-Scan und On-Demand-Malware-Scan) unterstützen das globale Tag. Wenn Sie bei Amazon einen On-Demand-Malware-Scan starten EC2, wird eine Scan-ID generiert. Der Scan wird jedoch mit Angabe eines EXCLUDED_BY_SCAN_SETTINGS
Grundes übersprungen. Weitere Informationen finden Sie unter Gründe für das Überspringen von Ressourcen beim Malware-Scan.