CloudWatch Los registros de auditoría en GuardDuty Malware Protection para EC2 GuardDuty Protección contra malware para la retención de EC2 registros Motivos para omitir un recurso

Descripción de CloudWatch los registros y los motivos por los que se omiten recursos durante el análisis de Malware Protection EC2

GuardDuty Malware Protection for EC2 publica eventos en su grupo de CloudWatch registro de Amazon/aws/guardduty/malware-scan-events. Para cada uno de los eventos relacionados con el análisis de malware, puede supervisar el estado y el resultado del análisis de los recursos afectados. Es posible que algunos EC2 recursos de Amazon y volúmenes de Amazon EBS se hayan omitido durante el análisis de Malware Protection for EC2 Scan.

CloudWatch Los registros de auditoría en GuardDuty Malware Protection para EC2

El grupo de registros/aws/guardduty/malware-scan-events admite tres tipos de eventos CloudWatch de análisis.

Protección contra malware para el nombre del evento de escaneo EC2	Explicación
`EC2_SCAN_STARTED`	EC2 Se crea cuando una protección contra GuardDuty malware para inicia el proceso de análisis de malware, por ejemplo, cuando se prepara para tomar una instantánea de un volumen de EBS.
`EC2_SCAN_COMPLETED`	Se crea cuando GuardDuty Malware Protection for EC2 escanea al menos uno de los volúmenes de EBS del recurso afectado. Este evento también incluye el valor de `snapshotId` que pertenece al volumen de EBS analizado. Una vez finalizado el análisis, el resultado será `CLEAN`, `THREATS_FOUND` o `NOT_SCANNED`.
`EC2_SCAN_SKIPPED`	Se crea cuando GuardDuty Malware Protection for EC2 Scan omite todos los volúmenes de EBS del recurso afectado. Para identificar el motivo de la omisión, seleccione el evento correspondiente y consulte los detalles. Para obtener más información sobre los motivos de la omisión, consulte Motivos para omitir un recurso durante el análisis de malware a continuación.

nota

Si utilizas una AWS Organizations, los eventos de CloudWatch registro de las cuentas de los miembros de Organizations se publican tanto en la cuenta del administrador como en el grupo de registro de la cuenta de miembro.

Elige el método de acceso que prefieras para ver y consultar CloudWatch los eventos.

GuardDuty Protección contra malware para la retención de EC2 registros

El período de retención de registros predeterminado para el grupo de registros/aws/guardduty/malware-scan-events es de 90 días, tras los cuales los eventos de registro se eliminan automáticamente. Para cambiar la política de retención de registros de tu grupo de CloudWatch registros, consulta Cambiar la retención de datos de registro en CloudWatch los registros en la Guía del CloudWatch usuario de Amazon, o PutRetentionPolicyen la referencia de la CloudWatch API de Amazon.

Motivos para omitir un recurso durante el análisis de malware

En los eventos relacionados con el análisis de software malicioso, es posible que se hayan omitido algunos EC2 recursos y volúmenes de EBS durante el proceso de análisis. En la siguiente tabla se enumeran los motivos por los que GuardDuty Malware Protection for no EC2 puede analizar los recursos. Si procede, siga los pasos propuestos para resolver estos problemas y analice estos recursos la próxima vez que GuardDuty Malware Protection EC2 inicie un análisis de software malicioso. Los demás problemas se utilizan para informarle sobre el curso de los eventos y no son procesables.

Razones de omisión	Explicación	Pasos propuestos
`RESOURCE_NOT_FOUND`	La `resourceArn` información proporcionada para iniciar el análisis de malware bajo demanda no se encontró en su AWS entorno.	`resourceArn`Valide la carga de trabajo de su EC2 instancia o contenedor de Amazon e inténtelo de nuevo.
`ACCOUNT_INELIGIBLE`	El ID de AWS cuenta desde el que intentó iniciar un análisis de software malicioso bajo demanda no está activado GuardDuty.	Comprueba que GuardDuty esté activado para esta AWS cuenta. Cuando GuardDuty habilitas una nueva Región de AWS , la sincronización puede tardar hasta 20 minutos.
`UNSUPPORTED_KEY_ENCRYPTION`	GuardDuty La protección contra malware EC2 es compatible con volúmenes cifrados o sin cifrar con una clave gestionada por el cliente. No admite el análisis de volúmenes de EBS cifrados con el cifrado de Amazon EBS. Actualmente, existe una diferencia regional por la que no se aplica este motivo de omisión. Para obtener más información al respecto Regiones de AWS, consulteDisponibilidad de características específicas por región.	Sustituya la clave de cifrado por una clave administrada por el cliente. Para obtener más información sobre los tipos de cifrado GuardDuty compatibles, consulteVolúmenes de Amazon EBS compatibles con el análisis de malware.
`EXCLUDED_BY_SCAN_SETTINGS`	La EC2 instancia o el volumen de EBS se excluyeron durante el análisis de malware. Hay dos posibilidades: la etiqueta se agregó a la lista de inclusión, pero el recurso no está asociado a esta etiqueta, la etiqueta se agregó a la lista de exclusión y el recurso está asociado a esta etiqueta o la etiqueta `GuardDutyExcluded` está establecida en `true` para este recurso.	Actualiza tus opciones de escaneo o las etiquetas asociadas a tu EC2 recurso de Amazon. Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.
`UNSUPPORTED_VOLUME_SIZE`	El volumen es mayor que 2048 GB.	No se puede procesar.
`NO_VOLUMES_ATTACHED`	GuardDuty Malware Protection for EC2 encontró la instancia en su cuenta, pero no se adjuntó ningún volumen de EBS a esta instancia para continuar con el escaneo.	No se puede procesar.
`UNABLE_TO_SCAN`	Se trata de un error de servicio interno.	No se puede procesar.
`SNAPSHOT_NOT_FOUND`	No se encontraron las instantáneas creadas a partir de los volúmenes de EBS y compartidas con la cuenta de servicio y GuardDuty Malware Protection for no EC2 pudo continuar con el escaneo.	Asegúrese CloudTrail de que las instantáneas no se hayan eliminado de forma intencionada.
`SNAPSHOT_QUOTA_REACHED`	Ha alcanzado el volumen máximo permitido de instantáneas para cada región. Esto impide no solo retener, sino también crear nuevas instantáneas.	Puede eliminar las instantáneas antiguas o solicitar un aumento de cuota. Puede ver el límite predeterminado de instantáneas por región y consultar cómo solicitar un aumento de cuota en el apartado Service quotas en la Guía de referencia general de AWS .
`MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED`	Se adjuntaron más de 11 volúmenes de EBS a una EC2 instancia. GuardDuty La protección contra malware EC2 escaneó los primeros 11 volúmenes de EBS, obtenidos ordenándolos alfabéticamente. `deviceName`	No se puede procesar.
`UNSUPPORTED_PRODUCT_CODE_TYPE`	GuardDuty no admite el escaneo de instancias con como. `productCode` `marketplace` Para obtener más información, consulta Paid AMIs in the Amazon EC2 User Guide. Para obtener más información al `productCode` respecto, consulte ProductCodeen la referencia de la EC2 API de Amazon.	No se puede procesar.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Automatizar las respuestas con Events CloudWatch

Informar de un resultado falso positivo en un análisis de EC2 malware