Descripción de CloudWatch los registros y los motivos por los que se omiten recursos durante el análisis de Malware Protection EC2 - Amazon GuardDuty
CloudWatch Los registros de auditoría en GuardDuty Malware Protection para EC2GuardDuty Protección contra malware para la retención de EC2 registrosMotivos para omitir un recurso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción de CloudWatch los registros y los motivos por los que se omiten recursos durante el análisis de Malware Protection EC2

GuardDuty Malware Protection for EC2 publica eventos en su grupo de CloudWatch registro de Amazon/aws/guardduty/malware-scan-events. Para cada uno de los eventos relacionados con el análisis de malware, puede supervisar el estado y el resultado del análisis de los recursos afectados. Es posible que algunos EC2 recursos y EBS volúmenes de Amazon se hayan omitido durante el análisis de Malware Protection for EC2 Scan.

CloudWatch Los registros de auditoría en GuardDuty Malware Protection para EC2

El grupo de registros/aws/guardduty/malware-scan-events admite tres tipos de eventos CloudWatch de análisis.

Protección contra malware para el nombre del evento de escaneo EC2 Explicación

EC2_SCAN_STARTED

EC2Se crea cuando una protección contra GuardDuty malware para inicia el proceso de análisis de malware, por ejemplo, cuando se prepara para tomar una instantánea de un EBS volumen.

EC2_SCAN_COMPLETED

Se crea cuando GuardDuty Malware Protection for EC2 Scan finaliza el análisis de al menos uno de los EBS volúmenes del recurso afectado. Este evento también incluye snapshotId lo que pertenece al EBS volumen escaneado. Una vez finalizado el análisis, el resultado será CLEAN, THREATS_FOUND o NOT_SCANNED.

EC2_SCAN_SKIPPED

Se crea cuando GuardDuty Malware Protection for EC2 Scan omite todos los EBS volúmenes del recurso afectado. Para identificar el motivo de la omisión, seleccione el evento correspondiente y consulte los detalles. Para obtener más información sobre los motivos de la omisión, consulte Motivos para omitir un recurso durante el análisis de malware a continuación.

nota

Si utilizas una AWS Organizations, los eventos de CloudWatch registro de las cuentas de los miembros de Organizations se publican tanto en la cuenta del administrador como en el grupo de registro de la cuenta de miembro.

Elige tu método de acceso preferido para ver y consultar CloudWatch los eventos.

Console

  1. Inicie sesión en AWS Management Console y abra la CloudWatch consola en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, en Registros, seleccione Grupos de registros. Seleccione el grupo de registros/aws/guardduty/malware-scan-events para ver los eventos de análisis de los que está interesado GuardDuty Malware Protection. EC2

    Para ejecutar una consulta, elija Información de registros.

    Para obtener información sobre cómo ejecutar una consulta, consulte Análisis de datos de registro con CloudWatch Logs Insights en la Guía del CloudWatch usuario de Amazon.

  3. Elija ID de análisis para supervisar los detalles del recurso afectado y los resultados de malware. Por ejemplo, puede ejecutar la siguiente consulta para filtrar los eventos del CloudWatch registro mediantescanId. Asegúrese de usar su propia versión válida scan-id.

    fields @timestamp, @message, scanRequestDetails.scanId as scanId
| filter scanId like "77a6f6115da4bd95f4e4ca398492bcc0"
| sort @timestamp asc
API/CLI

  • Para trabajar con grupos de registros, consulte Buscar entradas de registro mediante AWS CLI la Guía del CloudWatch usuario de Amazon.

    Elija el grupo de registros/aws/guardduty/malware-scan-events para ver los eventos de escaneo para los que está interesado GuardDuty Malware Protection. EC2

  • Para ver y filtrar los eventos del registro, consulte GetLogEvents y FilterLogEvents, respectivamente, en Amazon CloudWatch API Reference.

GuardDuty Protección contra malware para la retención de EC2 registros

El período de retención de registros predeterminado para el grupo de registros/aws/guardduty/malware-scan-events es de 90 días, tras los cuales los eventos de registro se eliminan automáticamente. Para cambiar la política de retención de registros de tu grupo de CloudWatch registros, consulta Cambiar la retención de datos de registro en CloudWatch los registros en la Guía del CloudWatch usuario de Amazon, o PutRetentionPolicyen Amazon CloudWatch API Reference.

Motivos para omitir un recurso durante el análisis de malware

En los eventos relacionados con el análisis de malware, es posible que se hayan omitido ciertos EC2 recursos y EBS volúmenes durante el proceso de escaneo. En la siguiente tabla se enumeran los motivos por los que GuardDuty Malware Protection for EC2 puede no analizar los recursos. Si procede, siga los pasos propuestos para resolver estos problemas y analice estos recursos la próxima vez que GuardDuty Malware Protection EC2 inicie un análisis de software malicioso. Los demás problemas se utilizan para informarle sobre el curso de los eventos y no son procesables.

Razones de omisión Explicación Pasos propuestos

RESOURCE_NOT_FOUND

La resourceArn información proporcionada para iniciar el análisis de malware bajo demanda no se encontró en su AWS entorno.

resourceArnValide la carga de trabajo de su EC2 instancia o contenedor de Amazon e inténtelo de nuevo.

ACCOUNT_INELIGIBLE

El ID de AWS cuenta desde el que intentó iniciar un análisis de software malicioso bajo demanda no está activado GuardDuty.

Comprueba que GuardDuty esté activado para esta AWS cuenta.

Si activas GuardDuty una nueva Región de AWS , la sincronización puede tardar hasta 20 minutos.

UNSUPPORTED_KEY_ENCRYPTION

GuardDuty La protección contra malware EC2 es compatible con volúmenes cifrados o sin cifrar con una clave gestionada por el cliente. No admite el escaneo de EBS volúmenes cifrados mediante el EBScifrado de Amazon.

Actualmente, existe una diferencia regional en la que este motivo de omisión no es aplicable. Para obtener más información al respecto Regiones de AWS, consulteDisponibilidad de características específicas por región.

Sustituya la clave de cifrado por una clave administrada por el cliente. Para obtener más información sobre los tipos de cifrado GuardDuty compatibles, consulteEBSVolúmenes de Amazon compatibles para el escaneo de malware.

EXCLUDED_BY_SCAN_SETTINGS

La EC2 instancia o el EBS volumen se excluyeron durante el análisis de malware. Hay dos posibilidades: la etiqueta se agregó a la lista de inclusión, pero el recurso no está asociado a esta etiqueta, la etiqueta se agregó a la lista de exclusión y el recurso está asociado a esta etiqueta o la etiqueta GuardDutyExcluded está establecida en true para este recurso.

Actualiza tus opciones de escaneo o las etiquetas asociadas a tu EC2 recurso de Amazon. Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.

UNSUPPORTED_VOLUME_SIZE

El volumen es superior a 2048 GB.

No se puede procesar.

NO_VOLUMES_ATTACHED

GuardDuty Malware Protection for EC2 encontró la instancia en su cuenta, pero no se adjuntó ningún EBS volumen a esta instancia para continuar con el escaneo.

No se puede procesar.

UNABLE_TO_SCAN

Se trata de un error de servicio interno.

No se puede procesar.

SNAPSHOT_NOT_FOUND

No se encontraron las instantáneas creadas a partir de los EBS volúmenes y compartidas con la cuenta de servicio y GuardDuty Malware Protection for no EC2 pudo continuar con el escaneo.

Asegúrese CloudTrail de que las instantáneas no se hayan eliminado de forma intencionada.

SNAPSHOT_QUOTA_REACHED

Ha alcanzado el volumen máximo permitido de instantáneas para cada región. Esto impide no solo retener, sino también crear nuevas instantáneas.

Puede eliminar las instantáneas antiguas o solicitar un aumento de cuota. Puede ver el límite predeterminado de instantáneas por región y consultar cómo solicitar un aumento de cuota en el apartado Service quotas en la Guía de referencia general de AWS .

MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED

Se adjuntaron más de 11 EBS volúmenes a una EC2 instancia. GuardDuty La protección contra malware EC2 escaneó los primeros 11 EBS volúmenes, que se obtuvo ordenándolos deviceName alfabéticamente.

No se puede procesar.

UNSUPPORTED_PRODUCT_CODE_TYPE

GuardDuty no admite el escaneo de instancias con productCode como. marketplace Para obtener más información, consulta Paid AMIs in the Amazon EC2 User Guide.

Para obtener información al respectoproductCode, consulte ProductCodeen Amazon EC2 API Reference.

No se puede procesar.