GuardDuty Protección contra malware para EC2

Malware Protection for le EC2 ayuda a detectar la posible presencia de malware escaneando los volúmenes de Amazon Elastic Block Store (AmazonEBS) adjuntos a las instancias de Amazon Elastic Compute Cloud (AmazonEC2) y a las cargas de trabajo de contenedores que se ejecutan en AmazonEC2. Malware Protection for EC2 ofrece opciones de análisis en las que puedes decidir si deseas incluir o excluir EC2 instancias específicas de Amazon en el momento del escaneo. También ofrece la opción de conservar en sus cuentas las instantáneas de los EBS volúmenes de Amazon adjuntos a las EC2 instancias de Amazon o a las cargas de trabajo de los contenedores. GuardDuty Las instantáneas se conservan solo cuando se detecta malware y se genera la protección contra malware en caso de detectarloEC2.

Malware Protection for EC2 está diseñada de forma que no afecte al rendimiento de sus recursos. Para obtener información sobre cómo EC2 funciona Malware Protection for en GuardDuty interiores, consulteVolumen de Elastic Block Storage (EBS). Para obtener información sobre la disponibilidad de Malware Protection para EC2 diferentes Regiones de AWS versiones, consulteRegiones y puntos de conexión.

Nota

GuardDuty Malware Protection for EC2 no es compatible con Fargate ni con Amazon ni con EKS Amazon. ECS

Malware Protection for EC2 ofrece dos tipos de análisis para detectar actividades potencialmente maliciosas en sus EC2 instancias de Amazon y cargas de trabajo de contenedores: análisis GuardDuty de malware iniciado y análisis de malware bajo demanda. En la siguiente tabla, se muestra la comparación entre ambos tipos de análisis.

Factor	GuardDuty-análisis de malware iniciado	Análisis de malware bajo demanda
Cómo se invoca el análisis	Tras activar el análisis GuardDuty de malware iniciado, cada vez que GuardDuty se detecte la posible presencia de malware en una EC2 instancia de Amazon o en la carga de trabajo de un contenedor, GuardDuty se iniciará automáticamente un análisis de malware sin agente en los EBS volúmenes de Amazon adjuntos al recurso potencialmente afectado. Para obtener más información, consulte GuardDuty-análisis de malware iniciado.	Puedes iniciar un análisis de malware bajo demanda proporcionando el nombre del recurso de Amazon (ARN) de tu EC2 instancia de Amazon. Puede iniciar un análisis de malware bajo demanda incluso cuando no se haya GuardDuty encontrado nada relacionado con su recurso. Para obtener más información, consulte Escanea malware bajo demanda en GuardDuty.
Se necesita configuración	Para utilizar el análisis GuardDuty de malware iniciado por correo electrónico, debe habilitarlo en su cuenta. Para administrar varias cuentas mediante AWS Organizations un método basado en invitaciones, consulteHabilitar el escaneo GuardDuty de malware iniciado en entornos con varias cuentas. Para activar el análisis GuardDuty de software malicioso iniciado en su propia cuenta, consulteHabilitar el análisis GuardDuty de malware iniciado desde cero para una cuenta independiente.	Tu cuenta debe estar GuardDuty habilitada. Para utilizar el análisis de malware bajo demanda, no es necesaria ninguna configuración a nivel de función.
Tiempo de espera para iniciar un nuevo análisis	Cada vez que se GuardDuty genera uno de ellosHallazgos que invocan un análisis GuardDuty de malware iniciado, el análisis de malware se inicia automáticamente solo una vez cada 24 horas.	Puede iniciar un análisis de malware bajo demanda en el mismo recurso en cualquier momento después de 1 hora desde la hora de inicio del análisis anterior.
Disponibilidad del período de prueba gratuito de 30 días ¹	Cuando actives la GuardDuty detección de malware iniciada por primera vez en tu cuenta, podrás utilizar un período de prueba gratuito de 30 días. Para obtener más información sobre el análisis GuardDuty de software malicioso iniciado, consulte. Prueba gratuita de 30 días del análisis de malware GuardDuty iniciado	No existe un período de prueba gratuito para el análisis de malware bajo demanda para GuardDuty cuentas nuevas o existentes.
Opciones de escaneo ²	Tras configurar el análisis GuardDuty de malware iniciado, Malware Protection for EC2 ofrece la opción de analizar u omitir EC2 recursos específicos de Amazon mediante etiquetas. Malware Protection for no EC2 iniciará un análisis automático de los recursos que decidas excluir del análisis. Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.	Como proporciona el recurso ARN para iniciar manualmente un análisis de malware bajo demanda, no Opciones de análisis con etiquetas definidas por el usuario es aplicable su uso.

¹ Se incurrirá en costes de uso para crear instantáneas de EBS volúmenes y conservar las instantáneas. Para obtener más información sobre cómo configurar su cuenta para conservar las instantáneas, consulte. Retención de instantáneas

² Tanto el análisis GuardDuty de malware iniciado como el análisis de malware bajo demanda admiten el uso de una etiqueta global para excluir EC2 los recursos de Amazon de los análisis de malware. Para obtener más información, consulte Etiqueta GuardDutyExcluded global.

Volumen de Elastic Block Storage (EBS)

En esta sección se explica cómo Malware Protection forEC2, que incluye tanto el análisis de malware GuardDuty iniciado como el análisis de malware bajo demanda, analiza los EBS volúmenes de Amazon asociados a sus EC2 instancias de Amazon y cargas de trabajo de contenedores. Antes de continuar, tenga en cuenta las siguientes personalizaciones:

Opciones de escaneo: Malware Protection for EC2 ofrece la posibilidad de especificar etiquetas para incluir o excluir las EC2 instancias de Amazon y EBS los volúmenes de Amazon del proceso de escaneo. Solo el escaneo GuardDuty de malware iniciado admite opciones de escaneo con etiquetas definidas por el usuario. Tanto el análisis GuardDuty de malware iniciado como el análisis de malware bajo demanda admiten la etiqueta global. GuardDutyExcluded Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.
Retención de instantáneas: Malware Protection for EC2 ofrece una opción para conservar las instantáneas de sus EBS volúmenes de Amazon en su AWS cuenta. Esta opción está desactivada de forma predeterminada. Puede optar por conservar las instantáneas tanto para los escaneos de malware GuardDuty iniciados como para los que se encuentren bajo demanda. Para obtener más información, consulte Retención de instantáneas.

Cuando se GuardDuty genere una o másHallazgos que invocan un análisis GuardDuty de malware iniciado, esta actividad será motivo GuardDuty para iniciar un análisis de malware. Si sus opciones de escaneo no excluyen esta instancia, entonces GuardDuty iniciará el escaneo.

Para iniciar un análisis de malware bajo demanda en los EBS volúmenes de Amazon asociados a una EC2 instancia de Amazon, proporciona el nombre de recurso de Amazon (ARN) de la EC2 instancia de Amazon.

Como respuesta al inicio de un análisis de malware bajo demanda o un análisis GuardDuty de malware iniciado automáticamente, GuardDuty crea instantáneas de los EBS volúmenes relevantes adjuntos al recurso potencialmente afectado y las comparte con el. GuardDuty cuenta de servicio Cuando GuardDuty crea una instantánea de sus EBS volúmenes, añade una etiqueta predeterminada llamada. GuardDutyScanId Esta etiqueta ayuda GuardDuty a acceder a la instantánea. Asegúrese de no eliminar esta etiqueta. A partir de estas instantáneas, GuardDuty crea un EBS volumen de réplica cifrado en la cuenta de servicio.

Para obtener información sobre la metodología de detección de GuardDuty malware y los motores de análisis que utiliza, consulteGuardDuty motor de escaneo de detección de malware.

Una vez finalizado el escaneo, GuardDuty elimina los EBS volúmenes de réplica cifrados y las instantáneas de los volúmenes. EBS Si encuentra malware y ha activado la configuración de retención de instantáneas, las instantáneas de los EBS volúmenes no se eliminarán y se conservarán automáticamente en su cuenta. AWS Si no se encuentra ningún malware, las instantáneas de sus EBS volúmenes no se conservarán, independientemente de la configuración de retención de instantáneas. La configuración de retención de instantáneas está desactivada de manera predeterminada. Para obtener información sobre los costes de las instantáneas y su retención, consulta los EBSprecios de Amazon.

GuardDuty conservará cada EBS volumen de réplicas en la cuenta de servicio durante un máximo de 55 horas. Si se produce una interrupción del servicio o un fallo en un EBS volumen de réplica y su análisis de malware, GuardDuty retendrá dicho EBS volumen durante un máximo de siete días. El período prolongado de retención del volumen sirve para clasificar y solucionar la interrupción o el fallo. GuardDuty Malware Protection for EC2 eliminará los EBS volúmenes de réplica de la cuenta de servicio una vez que se solucione la interrupción o el fallo, o una vez transcurrido el período de retención prolongado.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Limpiar los recursos de los agentes de seguridad

EBSVolúmenes compatibles