Personalizaciones en la Protección contra malware para EC2 - Amazon GuardDuty

Personalizaciones en la Protección contra malware para EC2

En esta sección, se describen los pasos para personalizar las opciones de análisis para sus instancias o cargas de trabajo de contenedores de Amazon EC2 cuando se invoca un análisis de malware, ya sea iniciado bajo demanda o a través de GuardDuty.

Retención de instantáneas

GuardDuty le ofrece la opción de retener las instantáneas de sus volúmenes de EBS en su cuenta de AWS. La configuración de retención de instantáneas está desactivada de manera predeterminada. Las instantáneas solo se retendrán si ha activado esta configuración antes de que se inicie el análisis.

Cuando se inicia el análisis, GuardDuty genera las réplicas de los volúmenes de EBS en función de las instantáneas de sus volúmenes de EBS. Cuando se complete el análisis y se haya activado la configuración de conservación de instantáneas en su cuenta, las instantáneas de sus volúmenes de EBS solo se retendrán cuando se detecte malware y se genere Tipos de resultados de la protección contra malware para EC2. Ya sea que haya activado o no la configuración de retención de instantáneas, cuando no se detecta ningún malware, GuardDuty elimina automáticamente las instantáneas de sus volúmenes de EBS.

Costo de uso de instantáneas

Durante el análisis de malware, a medida que GuardDuty crea las instantáneas de los volúmenes de Amazon EBS, este paso conlleva un costo de uso. Si activa la configuración de retención de instantáneas en su cuenta, cuando se detecte malware y se conserven las instantáneas, incurrirá en costos de uso por el mismo. Para obtener información sobre el costo de las instantáneas y su retención, consulte Precios de Amazon EBS.

Como cuenta de administrador delegado de GuardDuty, solo puede realizar esta actualización en nombre de las cuentas de miembro de la organización. Sin embargo, si una cuenta de miembro se administra mediante el método de invitación, esta podrá realizar este cambio por su cuenta. Para obtener más información, consulte Relaciones entre la cuenta de administrador y la cuenta de miembro.

Elija su método de acceso preferido para activar la configuración de retención de instantáneas.

Console
  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, en Planes de protección, elija Protección contra malware para EC2.

  3. Elija Configuración general en la sección inferior de la consola. Para retener las instantáneas, active Retención de instantáneas.

API/CLI

Ejecute UpdateMalwareScanSettings para actualizar la configuración actual de retención de instantáneas.

Como alternativa, puede ejecutar el siguiente comando de la AWS CLI para retener automáticamente las instantáneas cuando la protección contra malware de GuardDuty para EC2 genere resultados.

Asegúrese de sustituir el detector-id por su propio detectorId válido.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

Si desea desactivar la retención de instantáneas, sustituya RETENTION_WITH_FINDING por NO_RETENTION.

Opciones de análisis con etiquetas definidas por el usuario

Al utilizar el análisis de malware iniciado por GuardDuty, también puede especificar etiquetas para incluir o excluir las instancias de Amazon EC2 y los volúmenes de Amazon EBS del proceso de análisis y detección de amenazas. Para personalizar cada análisis de malware iniciado por GuardDuty, puede editar las etiquetas de la lista de etiquetas de inclusión o exclusión. Cada lista puede incluir hasta 50 etiquetas.

Si aún no tiene etiquetas definidas por el usuario asociadas a los recursos de EC2, consulte Etiquetar los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2 o Etiquetar los recursos de Amazon EC2 en la Guía del usuario de Amazon EC2.

nota

El análisis de malware bajo demanda no admite opciones de análisis con etiquetas definidas por el usuario. Es compatible con Etiqueta GuardDutyExcluded global.

Exclusión de las instancias de EC2 del análisis de malware

Si desea excluir cualquier instancia de Amazon EC2 o volumen de Amazon EBS durante el proceso de análisis, puede configurar la etiqueta GuardDutyExcluded como true para cualquier instancia de Amazon EC2 o volumen de Amazon EBS y GuardDuty no lo analizará. Para obtener más información acerca de las etiquetas de GuardDutyExcluded, consulte Permisos de rol vinculado al servicio para la protección contra malware para EC2. También puede agregar una etiqueta de instancia de Amazon EC2 a una lista de exclusión. Si agrega varias etiquetas a la lista de exclusión de etiquetas, cualquier instancia de Amazon EC2 que contenga al menos una de estas etiquetas se excluirá del proceso de análisis de malware.

Como cuenta de administrador delegado de GuardDuty, solo puede realizar esta actualización en nombre de las cuentas de miembro de la organización. Sin embargo, si una cuenta de miembro se administra mediante el método de invitación, esta podrá realizar este cambio por su cuenta. Para obtener más información, consulte Relaciones entre la cuenta de administrador y la cuenta de miembro.

Elija el método de acceso que prefiera para agregar una etiqueta asociada a una instancia de Amazon EC2 a una lista de exclusión.

Console
  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, en Planes de protección, elija Protección contra malware para EC2.

  3. Amplíe la sección Etiquetas de inclusión/exclusión. Elija Add tags (Añadir etiquetas).

  4. Elija Etiquetas de exclusión y, a continuación, elija Confirmar.

  5. Especifique el par Key-Value de la etiqueta que desee excluir. Es opcional proporcionar el Value. Después de agregar todas las etiquetas, elija Guardar.

    importante

    Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte Restricciones de etiquetas en la Guía del usuario de Amazon EC2 o Restricciones de etiquetas en la Guía del usuario de Amazon EC2.

    Si no se proporciona un valor para una clave y la instancia de EC2 está etiquetada con la clave especificada, esta instancia de EC2 se excluirá del proceso de análisis de malware iniciado por GuardDuty, independientemente del valor asignado a la etiqueta.

API/CLI

Para ejecutar UpdateMalwareScanSettings, excluya una instancia de EC2 o una carga de trabajo de contenedor del proceso de análisis.

El siguiente comando de ejemplo de la AWS CLI agrega una nueva etiqueta a la lista de exclusión de etiquetas. Sustituya el detector-id del ejemplo por su propio detectorId válido.

MapEquals es una lista de pares Key-Value.

Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
importante

Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte Restricciones de etiquetas en la Guía del usuario de Amazon EC2 o Restricciones de etiquetas en la Guía del usuario de Amazon EC2.

Inclusión de las instancias de EC2 en el análisis de malware

Si desea analizar una instancia de EC2, agregue su etiqueta a la lista de inclusión. Al agregar una etiqueta a una lista de inclusión de etiquetas, las instancias de EC2 que no contengan ninguna de las etiquetas agregadas se omiten del análisis de malware. Si agrega varias etiquetas a la lista de inclusión de etiquetas, se incluirá en el análisis de malware una instancia de EC2 que contenga al menos una de esas etiquetas. A veces, es posible que se omita una instancia de EC2 durante el proceso de análisis por otros motivos. Para obtener más información, consulte Motivos para omitir un recurso durante el análisis de malware.

Como cuenta de administrador delegado de GuardDuty, solo puede realizar esta actualización en nombre de las cuentas de miembro de la organización. Sin embargo, si una cuenta de miembro se administra mediante el método de invitación, esta podrá realizar este cambio por su cuenta. Para obtener más información, consulte Relaciones entre la cuenta de administrador y la cuenta de miembro.

Elija el método de acceso que prefiera para agregar una etiqueta asociada a una instancia de EC2 a una lista de inclusión.

Console
  1. Abra la consola de GuardDuty en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, en Planes de protección, elija Protección contra malware para EC2.

  3. Amplíe la sección Etiquetas de inclusión/exclusión. Elija Add tags (Añadir etiquetas).

  4. Elija Etiquetas de inclusión y, a continuación, elija Confirmar.

  5. Elija Agregar nueva etiqueta de inclusión y especifique el par de Key y Value de la etiqueta que desee incluir. Es opcional proporcionar el Value.

    Una vez que haya agregado todas las etiquetas de inclusión, elija Guardar.

    Si no se proporciona un valor para una clave y se etiqueta una instancia de EC2 con la clave especificada, la instancia de EC2 se incluirá en el proceso de análisis de protección contra malware para EC2, independientemente del valor asignado a la etiqueta.

API/CLI
  • Ejecute UpdateMalwareScanSettings para incluir una instancia de EC2 o una carga de trabajo de contenedor en el proceso de análisis.

    El siguiente comando de ejemplo de la AWS CLI agrega una nueva etiqueta a la lista de inclusión de etiquetas. Asegúrese de sustituir el detector-id de ejemplo por su propio detectorId válido. Sustituya la TestKey y el TestValue de ejemplo por el par Key de y Value de la etiqueta asociada a su recurso de EC2.

    MapEquals es una lista de pares Key-Value.

    Para encontrar el detectorId correspondiente a la cuenta y la región actual, consulte la página de Configuración en la consola https://console.aws.amazon.com/guardduty/ o ejecute la API ListDetectors.

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    importante

    Las claves y los valores de las etiquetas distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte Restricciones de etiquetas en la Guía del usuario de Amazon EC2 o Restricciones de etiquetas en la Guía del usuario de Amazon EC2.

nota

GuardDuty puede tardar hasta cinco minutos en detectar una etiqueta nueva.

En cualquier momento, puede elegir entre etiquetas de inclusión o etiquetas de exclusión, pero no ambas. Si quiere cambiar de una etiqueta a otra, selecciónela en el menú desplegable cuando agregue nuevas etiquetas y confirme su selección. Esta acción borra todas las etiquetas actuales.

Etiqueta GuardDutyExcluded global

GuardDuty utiliza una clave de etiqueta global, GuardDutyExcluded, que puede agregar a los recursos de Amazon EC2 y establecer el valor de la etiqueta en true. Este recurso de Amazon EC2 que tiene este par de clave y valor de etiqueta se excluirá del análisis de malware. Ambos tipos de análisis (análisis de malware iniciado por GuardDuty y análisis de malware bajo demanda) admiten las etiquetas globales. Si inicia un análisis de malware bajo demanda en Amazon EC2, se generará un ID de análisis. Sin embargo, se omitirá el análisis con un motivo EXCLUDED_BY_SCAN_SETTINGS. Para obtener más información, consulte Motivos para omitir un recurso durante el análisis de malware.