Auditar los registros de CloudWatch en la protección contra malware para EC2 de GuardDuty Retención de registros de la protección contra malware para EC2 de GuardDuty Motivos para omitir un recurso

Comprender los registros de CloudWatch y las razones por las que se omiten recursos durante el análisis de protección contra malware para EC2

La protección contra malware para EC2 de GuardDuty publica los eventos en el grupo de registros de Amazon CloudWatch /aws/guardduty/malware-scan-events. Para cada uno de los eventos relacionados con el análisis de malware, puede supervisar el estado y el resultado del análisis de los recursos afectados. Es posible que se hayan omitido determinados recursos de Amazon EC2 y volúmenes de Amazon EBS durante el análisis de la protección contra malware para EC2.

Auditar los registros de CloudWatch en la protección contra malware para EC2 de GuardDuty

Hay tres tipos de eventos de análisis admitidos en el grupo de registros de CloudWatch /aws/guardduty/malware-scan-events.

Nombre del evento de análisis de la protección contra malware para EC2	Explicación
`EC2_SCAN_STARTED`	Se crea cuando la protección contra malware para EC2 de GuardDuty inicia el proceso de análisis de malware, como cuando se prepara para tomar una instantánea de un volumen de EBS.
`EC2_SCAN_COMPLETED`	Se crea cuando se completa el análisis de la protección contra malware para EC2 de GuardDuty para al menos uno de los volúmenes de EBS del recurso impactado. Este evento también incluye el valor de `snapshotId` que pertenece al volumen de EBS analizado. Una vez finalizado el análisis, el resultado será `CLEAN`, `THREATS_FOUND` o `NOT_SCANNED`.
`EC2_SCAN_SKIPPED`	Se crea cuando el análisis de protección contra malware para EC2 de GuardDuty omite todos los volúmenes de EBS del recurso impactado. Para identificar el motivo de la omisión, seleccione el evento correspondiente y consulte los detalles. Para obtener más información sobre los motivos de la omisión, consulte Motivos para omitir un recurso durante el análisis de malware a continuación.

nota

Si utiliza una AWS Organizations, los eventos de registro de CloudWatch de las cuentas de miembro en Organizations se publican en el grupo de registro de las cuentas de administrador y de miembro.

Elija el método de acceso que prefiera para ver y consultar los eventos de CloudWatch.

Retención de registros de la protección contra malware para EC2 de GuardDuty

El periodo de retención de registros predeterminado para el grupo de registros /aws/guardduty/malware-scan-events es de 90 días y, una vez transcurrido, los eventos de registro se eliminan automáticamente. Para cambiar la política de retención de registros del grupo de registros de CloudWatch, consulte Cambiar la retención de datos de registro en Registros de CloudWatch en la Guía del usuario de Amazon CloudWatch o PutRetentionPolicy en la Referencia de la API de Amazon CloudWatch.

Motivos para omitir un recurso durante el análisis de malware

En los eventos relacionados con el análisis de malware, es posible que se hayan omitido algunos recursos de EC2 y volúmenes de EBS durante el proceso de análisis. En la siguiente tabla se enumeran los motivos por los cuales la protección contra malware para EC2 de GuardDuty puede no analizar los recursos. Si procede, siga los pasos propuestos para resolver estos problemas y analice estos recursos la próxima vez que la protección contra malware para EC de GuardDuty inicie un análisis de malware. Los demás problemas se utilizan para informarle sobre el curso de los eventos y no son procesables.

Razones de omisión	Explicación	Pasos propuestos
`RESOURCE_NOT_FOUND`	El valor de `resourceArn` proporcionado para iniciar el análisis de malware bajo demanda no se encontró en su entorno de AWS.	Valide el valor de `resourceArn` de la carga de trabajo de su instancia o contenedor de Amazon EC2 e inténtelo de nuevo.
`ACCOUNT_INELIGIBLE`	El ID de la cuenta de AWS desde el que intentó iniciar un análisis de malware bajo demanda no tiene habilitado GuardDuty.	Compruebe que GuardDuty esté habilitado para esta cuenta de AWS. Al habilitar GuardDuty en una Región de AWS nueva, la sincronización puede tardar hasta 20 minutos.
`UNSUPPORTED_KEY_ENCRYPTION`	La protección contra malware para EC2 de GuardDuty admite volúmenes tanto cifrados como sin cifrar con una clave administrada por el cliente. No admite el análisis de volúmenes de EBS cifrados con el cifrado de Amazon EBS. Actualmente, existe una diferencia regional por la que no se aplica este motivo de omisión. Para obtener más información sobre estas Regiones de AWS, consulte Disponibilidad de características específicas por región.	Sustituya la clave de cifrado por una clave administrada por el cliente. Para obtener más información sobre los tipos de cifrado que admite GuardDuty, consulte Volúmenes de Amazon EBS compatibles con el análisis de malware.
`EXCLUDED_BY_SCAN_SETTINGS`	La instancia de EC2 o el volumen de EBS se excluyó durante el análisis de malware. Hay dos posibilidades: la etiqueta se agregó a la lista de inclusión, pero el recurso no está asociado a esta etiqueta, la etiqueta se agregó a la lista de exclusión y el recurso está asociado a esta etiqueta o la etiqueta `GuardDutyExcluded` está establecida en `true` para este recurso.	Actualice las opciones de análisis o las etiquetas asociadas a su recurso de Amazon EC2. Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.
`UNSUPPORTED_VOLUME_SIZE`	El volumen es mayor que 2048 GB.	No se puede procesar.
`NO_VOLUMES_ATTACHED`	La protección contra malware para EC2 de GuardDuty encontró la instancia en la cuenta, pero no había ningún volumen de EBS asociado a esta instancia para continuar con el análisis.	No se puede procesar.
`UNABLE_TO_SCAN`	Se trata de un error de servicio interno.	No se puede procesar.
`SNAPSHOT_NOT_FOUND`	No se encontraron las instantáneas creadas a partir de los volúmenes de EBS y compartidas con la cuenta de servicio, por lo que la protección contra malware para EC2 de GuardDuty no pudo continuar con el análisis.	Compruebe CloudTrail para asegurarse de que las instantáneas no se hayan eliminado de forma intencionada.
`SNAPSHOT_QUOTA_REACHED`	Ha alcanzado el volumen máximo permitido de instantáneas para cada región. Esto impide no solo retener, sino también crear nuevas instantáneas.	Puede eliminar las instantáneas antiguas o solicitar un aumento de cuota. Puede ver el límite predeterminado de instantáneas por región y consultar cómo solicitar un aumento de cuota en el apartado Service quotas en la Guía de referencia general de AWS.
`MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED`	Se adjuntaron más de 11 volúmenes de EBS a una instancia de EC2. La protección contra malware para EC2 de GuardDuty analizó los primeros 11 volúmenes de EBS, que se obtuvieron al ordenar `deviceName` alfabéticamente.	No se puede procesar.
`UNSUPPORTED_PRODUCT_CODE_TYPE`	GuardDuty no admite el análisis de instancias con `productCode` como `marketplace`. Para obtener más información, consulte AMI pagadas en la Guía del usuario de Amazon EC2. Para obtener más información sobre `productCode`, consulte ProductCode en la Referencia de la API de Amazon EC2.	No se puede procesar.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Automatizar las respuestas con Events CloudWatch

Reportar un falso positivo en el producto del análisis de malware de EC2