CloudWatch Journaux d'audit dans GuardDuty Malware Protection pour EC2 GuardDuty Protection contre les logiciels malveillants pour la conservation des EC2 journaux Motifs de l'omission des ressources

Comprendre CloudWatch les journaux et les raisons pour lesquelles des ressources sont ignorées lors de l'analyse de la protection contre les EC2 programmes malveillants

GuardDuty Protection contre les programmes malveillants pour EC2 publier des événements sur votre groupe de CloudWatch journaux Amazon/aws/guardduty/malware-scan-events. Pour chacun des événements liés à l'analyse des programmes malveillants, vous pouvez surveiller l'état et le résultat de l'analyse de vos ressources concernées. Certaines EC2 ressources Amazon et certains EBS volumes Amazon ont peut-être été ignorés lors de l'EC2analyse de la protection contre les programmes malveillants.

CloudWatch Journaux d'audit dans GuardDuty Malware Protection pour EC2

Trois types d'événements de scan sont pris en charge dans le groupe de journaux/aws/guardduty/malware-scan-events CloudWatch .

Protection contre les programmes malveillants pour le nom de l'événement de EC2 scan	Explication
`EC2_SCAN_STARTED`	Créé lorsqu'une protection contre les GuardDuty programmes malveillants EC2 lance le processus d'analyse des programmes malveillants, par exemple en préparant la prise d'un instantané d'un EBS volume.
`EC2_SCAN_COMPLETED`	Créé lorsque la protection contre les GuardDuty programmes malveillants pour l'EC2analyse est terminée pour au moins un des EBS volumes de la ressource affectée. Cet événement inclut également le volume `snapshotId` qui appartient au EBS volume numérisé. Une fois l'analyse terminée, son résultat de l'analyse sera `CLEAN`, `THREATS_FOUND` ou `NOT_SCANNED`.
`EC2_SCAN_SKIPPED`	Créé lorsque GuardDuty Malware Protection for EC2 Scan ignore tous les EBS volumes de la ressource affectée. Pour identifier le motif de l'omission, sélectionnez l'événement correspondant et consultez les détails. Pour plus d'informations sur les motifs de l'omission, veuillez consulter Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants ci-dessous.

Note

Si vous utilisez un AWS Organizations, CloudWatch les événements enregistrés depuis les comptes des membres dans Organizations sont publiés à la fois dans le compte administrateur et dans le groupe de journaux du compte membre.

Choisissez votre méthode d'accès préférée pour consulter et interroger CloudWatch les événements.

GuardDuty Protection contre les logiciels malveillants pour la conservation des EC2 journaux

La période de conservation des journaux par défaut pour le groupe de journaux/aws/guardduty/malware-scan-events est de 90 jours, après quoi les événements du journal sont automatiquement supprimés. Pour modifier la politique de conservation des journaux de votre groupe de CloudWatch journaux, consultez la section Modifier la conservation des données CloudWatch des journaux dans le guide de CloudWatch l'utilisateur Amazon, ou PutRetentionPolicydans le Amazon CloudWatch API Reference.

Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants

Lors des événements liés à l'analyse des programmes malveillants, certaines EC2 ressources et certains EBS volumes peuvent avoir été ignorés pendant le processus d'analyse. Le tableau suivant répertorie les raisons pour lesquelles GuardDuty Malware Protection for EC2 peut ne pas analyser les ressources. Le cas échéant, suivez les étapes proposées pour résoudre ces problèmes et analysez ces ressources la prochaine fois que GuardDuty Malware Protection for lancera EC2 une analyse des programmes malveillants. Les autres problèmes sont utilisés pour vous informer sur le cours des événements et ne sont pas exploitables.

Motifs de l'omission	Explication	Étapes proposées
`RESOURCE_NOT_FOUND`	Le code `resourceArn` fourni pour lancer l'analyse des programmes malveillants à la demande n'a pas été trouvé dans votre AWS environnement.	Validez la charge `resourceArn` de travail de votre EC2 instance Amazon ou de votre conteneur, puis réessayez.
`ACCOUNT_INELIGIBLE`	L'identifiant du AWS compte à partir duquel vous avez essayé de lancer une analyse des programmes malveillants à la demande n'est pas activé GuardDuty.	Vérifiez que GuardDuty c'est activé pour ce AWS compte. Lorsque vous GuardDuty en activez une nouvelle Région AWS , la synchronisation peut prendre jusqu'à 20 minutes.
`UNSUPPORTED_KEY_ENCRYPTION`	GuardDuty Malware Protection for EC2 prend en charge les volumes à la fois non chiffrés et chiffrés à l'aide d'une clé gérée par le client. Il ne prend pas en charge les EBS volumes de numérisation chiffrés à l'aide du EBSchiffrement Amazon. À l'heure actuelle, il existe une différence régionale selon laquelle cette raison d'omission ne s'applique pas. Pour plus d'informations à ce sujet Régions AWS, consultezDisponibilité des fonctionnalités propres à la région.	Remplacez votre clé de chiffrement par une clé gérée par le client. Pour plus d'informations sur les types de chiffrement pris GuardDuty en charge, consultezEBSVolumes Amazon pris en charge pour l'analyse des programmes malveillants.
`EXCLUDED_BY_SCAN_SETTINGS`	L'EC2instance ou le EBS volume a été exclu lors de l'analyse des programmes malveillants. Il existe deux possibilités : soit la balise a été ajoutée à la liste d'inclusion, mais la ressource n'est pas associée à cette balise, soit la balise a été ajoutée à la liste d'exclusion et la ressource est associée à cette balise, soit la balise `GuardDutyExcluded` est définie sur `true` pour cette ressource.	Mettez à jour vos options de numérisation ou les balises associées à votre EC2 ressource Amazon. Pour de plus amples informations, veuillez consulter Options d'analyse avec balises définies par l'utilisateur.
`UNSUPPORTED_VOLUME_SIZE`	Le volume est supérieur à 2 048 Go.	Non exploitable.
`NO_VOLUMES_ATTACHED`	GuardDuty Malware Protection for EC2 a détecté l'instance dans votre compte, mais aucun EBS volume n'a été attaché à cette instance pour procéder à l'analyse.	Non exploitable.
`UNABLE_TO_SCAN`	Il s'agit d'une erreur de service interne.	Non exploitable.
`SNAPSHOT_NOT_FOUND`	Les instantanés créés à partir des EBS volumes et partagés avec le compte de service sont introuvables, et GuardDuty Malware Protection for EC2 n'a pas pu poursuivre l'analyse.	Vérifiez que CloudTrail les instantanés n'ont pas été supprimés intentionnellement.
`SNAPSHOT_QUOTA_REACHED`	Vous avez atteint le volume maximum autorisé d'instantanés pour chaque région. Cela empêche non seulement de retenir, mais également de créer d'autres instantanés.	Vous pouvez soit supprimer les anciens instantanés, soit demander une augmentation du quota. Vous pouvez consulter la limite par défaut pour les instantanés par région et la procédure à suivre pour demander une augmentation de quota sous Service Quotas dans le Guide de référence général AWS .
`MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED`	Plus de 11 EBS volumes ont été attachés à une EC2 instance. GuardDuty Protection contre les programmes malveillants pour les 11 premiers EBS volumes EC2 analysés, obtenue en les triant par `deviceName` ordre alphabétique.	Non exploitable.
`UNSUPPORTED_PRODUCT_CODE_TYPE`	GuardDuty ne prend pas en charge l'analyse des instances avec `productCode` as`marketplace`. Pour plus d'informations, consultez Paid AMIs dans le guide de EC2 l'utilisateur Amazon. Pour plus d'informations sur`productCode`, voir ProductCodedans le Amazon EC2 API Reference.	Non exploitable.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Automatiser les réponses grâce aux événements CloudWatch

Signaler un résultat d'analyse des EC2 programmes malveillants faussement positif