Protección contra malware de GuardDuty para EC2 - Amazon GuardDuty

Protección contra malware de GuardDuty para EC2

La protección contra malware para EC2 ayuda a detectar la posible presencia de malware mediante el análisis de los volúmenes de Amazon Elastic Block Store (Amazon EBS) que se asocian a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y a las cargas de trabajo de contenedores que se ejecutan en Amazon EC2. La protección contra malware para EC2 ofrece opciones de análisis en las que puede decidir si desea incluir o excluir instancias específicas de Amazon EC2 en el momento del análisis. También ofrece la opción de retener las instantáneas de los volúmenes de Amazon EBS adjuntos a las instancias o cargas de trabajo de contenedores de Amazon EC2 en sus cuentas de GuardDuty. Las instantáneas se retienen solo cuando se encuentra malware y se generan resultados de la protección contra malware para EC2.

La protección contra malware para EC2 se diseñó de forma que no afecte al rendimiento de los recursos. Para obtener información sobre cómo funciona la protección contra malware para EC2 en GuardDuty, consulte Volumen de Elastic Block Storage (EBS). Para obtener información sobre la disponibilidad de la protección contra malware para EC2 en diferentes Regiones de AWS, consulte Regiones y puntos de conexión.

Nota

La protección contra malware de GuardDuty para EC2 no es compatible con Fargate, Amazon EKS ni con Amazon ECS.

La protección contra malware para EC2 ofrece dos tipos de análisis para detectar posibles actividades maliciosas en las instancias y cargas de trabajo de contenedores de Amazon EC2: el análisis de malware iniciado por GuardDuty y el análisis de malware bajo demanda. En la siguiente tabla, se muestra la comparación entre ambos tipos de análisis.

Factor

Análisis de malware iniciado por GuardDuty

Análisis de malware bajo demanda

Cómo se invoca el análisis

Tras activar el análisis de malware iniciado por GuardDuty, siempre que GuardDuty arroje un resultado que indique la posible presencia de malware en una instancia o carga de trabajo de un contenedor de Amazon EC2, GuardDuty inicia automáticamente un análisis de malware sin agente en los volúmenes de Amazon EBS adjuntos al recurso potencialmente afectado. Para obtener más información, consulte Análisis de malware iniciado por GuardDuty.

Para iniciar un análisis de malware bajo demanda, puede proporcionar el nombre de recurso de Amazon (ARN) de la instancia de Amazon EC2. Puede iniciar un análisis de malware bajo demanda incluso cuando GuardDuty no devuelva un resultado respecto a su recurso. Para obtener más información, consulte Análisis de malware bajo demanda en GuardDuty.

Se necesita configuración

Para utilizar el análisis de malware iniciado por GuardDuty, debe habilitarlo en su cuenta. Para administrar varias cuentas mediante AWS Organizations o el método basado en invitaciones, consulte Habilitar el análisis de malware iniciado por GuardDuty en entornos de varias cuentas. Para habilitar el análisis de malware iniciado por GuardDuty en una cuenta propia, consulte Habilitar el análisis de malware iniciado por GuardDuty para una cuenta independiente.

La cuenta debe tener GuardDuty habilitado. Para utilizar el análisis de malware bajo demanda, no se requiere ninguna configuración a nivel de característica.

Tiempo de espera para iniciar un nuevo análisis

Cada vez que GuardDuty genera uno de los Resultados que invocan un análisis de malware iniciado por GuardDuty, se inicia automáticamente un análisis de malware solo una vez cada 24 horas.

Puede iniciar un análisis de malware bajo demanda en el mismo recurso en cualquier momento después de 1 hora tras la hora de inicio del análisis anterior.

Disponibilidad del periodo de prueba gratuito de 30 días 1

Al habilitar el análisis de malware iniciado por GuardDuty por primera vez en la cuenta, puede utilizar un periodo de prueba gratuito de 30 días.

Para obtener más información sobre el análisis de malware iniciado por GuardDuty, consulte Prueba gratuita de 30 días en el análisis de malware iniciado por GuardDuty.

No se ofrece un período de prueba gratuito para el análisis de malware bajo demanda en cuentas nuevas o existentes de GuardDuty.

Opciones de análisis2

Tras configurar el análisis de malware iniciado por GuardDuty, la protección contra malware para EC2 permite incluir o excluir recursos específicos de Amazon EC2 mediante etiquetas. La Protección contra malware para EC2 no iniciará un análisis automático de los recursos que decida excluir de este. Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.

Dado que usted proporciona el ARN del recurso para iniciar manualmente un análisis de malware bajo demanda, el uso de Opciones de análisis con etiquetas definidas por el usuario no resulta aplicable.

1*Incurrirá en costos de uso al crear y retener las instantáneas de los volúmenes de EBS. Para obtener más información sobre cómo configurar la cuenta para retener instantáneas, consulte Retención de instantáneas.

2 Tanto el análisis de malware iniciado por GuardDuty como el análisis bajo demanda permiten utilizar una etiqueta global para excluir recursos de Amazon EC2 de los análisis de malware. Para obtener más información, consulte Etiqueta GuardDutyExcluded global.

Volumen de Elastic Block Storage (EBS)

En esta sección, se explica cómo la protección contra malware para EC2, que incluye tanto el análisis de malware iniciado por GuardDuty como el análisis de malware bajo demanda, analiza los volúmenes de Amazon EBS asociados a las instancias y cargas de trabajo de contenedores de Amazon EC2. Antes de continuar, tenga en cuenta las siguientes personalizaciones:

  • Opciones de análisis: la Protección contra malware para EC2 ofrece la posibilidad de especificar etiquetas para incluir o excluir las instancias de Amazon EC2 y los volúmenes de Amazon EBS del proceso de análisis. Solo el análisis de malware iniciado por GuardDuty admite opciones de análisis con etiquetas definidas por el usuario. Tanto el análisis de malware iniciado por GuardDuty como el análisis de malware bajo demanda admiten la etiqueta global GuardDutyExcluded. Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.

  • Retención de instantáneas: la protección contra malware para EC2 ofrece una opción para retener las instantáneas de los volúmenes de Amazon EBS en la cuenta de AWS. Esta opción está desactivada de forma predeterminada. Puede optar por la retención de instantáneas tanto para los análisis de malware iniciados por GuardDuty como para los análisis bajo demanda. Para obtener más información, consulte Retención de instantáneas.

Si GuardDuty genera uno o más Resultados que invocan un análisis de malware iniciado por GuardDuty, será motivo para que GuardDuty inicie un análisis de malware. Si las opciones de análisis no excluyen esta instancia, GuardDuty iniciará el análisis.

Para iniciar un análisis de malware bajo demanda en los volúmenes de Amazon EBS asociados a una instancia de Amazon EC2, proporcione el nombre de recurso de Amazon (ARN) de la instancia de Amazon EC2.

Como respuesta al inicio de un análisis de malware bajo demanda o un análisis automático iniciado por GuardDuty, este servicio crea instantáneas de los volúmenes de EBS relevantes asociados con el recurso potencialmente afectado y las comparte con la Cuentas de servicio de GuardDuty. Cuando GuardDuty crea instantáneas de los volúmenes de EBS, agrega una etiqueta predeterminada llamada GuardDutyScanId. Esta etiqueta ayuda a GuardDuty a acceder a la instantánea. Asegúrese de no quitar esta etiqueta. A partir de estas instantáneas, GuardDuty crea una réplica cifrada del volumen de EBS en la cuenta de servicio.

Para obtener información sobre la metodología de detección de malware de GuardDuty y los motores de análisis que utiliza, consulte Motor de análisis de detección de malware de GuardDuty.

Una vez finalizado el análisis, GuardDuty elimina las réplicas cifradas y las instantáneas de los volúmenes de EBS. Si se encuentra malware y ha activado la configuración de conservación de instantáneas, las instantáneas de sus volúmenes de EBS no se eliminarán y se retendrán automáticamente en su cuenta de AWS. Si no se encuentra ningún malware, las instantáneas de sus volúmenes de EBS no se retendrán, independientemente de la configuración de retención de instantáneas. La configuración de retención de instantáneas está desactivada de manera predeterminada. Para obtener información sobre los costos de las instantáneas y su retención, consulte Precios de Amazon EBS.

GuardDuty retendrá cada de réplica de volumen de EBS en la cuenta de servicio durante un máximo de 55 horas. Si se produce una interrupción del servicio o un error con la réplica de un volumen de EBS y su análisis de malware, GuardDuty retendrá dicho volumen de EBS durante un máximo de siete días. El periodo prolongado de retención del volumen sirve para clasificar y solucionar la interrupción o el error. La protección contra malware de GuardDuty para EC2 eliminará las réplicas de los volúmenes de EBS de la cuenta de servicio una vez que se solucione la interrupción o el error, o una vez que haya transcurrido el periodo de retención prolongado.