Configuration de la conservation des instantanés et de la couverture de EC2 numérisation - Amazon GuardDuty
Conservation des instantanésOptions d'analyse avec balises définies par l'utilisateurBalise GuardDutyExcluded globale

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la conservation des instantanés et de la couverture de EC2 numérisation

Cette section explique comment personnaliser les options d'analyse des programmes malveillants pour vos EC2 instances Amazon. Ces personnalisations s'appliquent à la fois à l'analyse des programmes malveillants à la demande et à celles initiées par GuardDuty. Vous pouvez effectuer les actions suivantes :

  • Activer la conservation des instantanés : lorsque cette option est activée avant une analyse, l'EBSinstantané Amazon GuardDuty détecté comme malveillant GuardDuty sera conservé.

  • Choisissez les EC2 instances Amazon à scanner : utilisez des balises pour inclure ou exclure des EC2 instances Amazon spécifiques des analyses de programmes malveillants.

Conservation des instantanés

GuardDuty vous offre la possibilité de conserver les instantanés de vos EBS volumes dans votre AWS compte. Par défaut, le paramètre de conservation des instantanés est désactivé. Les instantanés ne seront conservés que si ce paramètre est activé avant le début de l'analyse.

Au début de l'analyse, GuardDuty génère les EBS volumes de réplication en fonction des instantanés de vos EBS volumes. Une fois que l'analyse est terminée et que le paramètre de conservation des instantanés est déjà activé dans votre compte, les instantanés de vos EBS volumes ne sont conservés que lorsqu'un logiciel malveillant est détecté et généréProtection contre les logiciels malveillants pour EC2 détecter les types. Lorsqu'aucun logiciel malveillant n'est détecté, quels que soient les paramètres de vos instantanés, il supprime GuardDuty automatiquement les instantanés de vos EBS volumes, sauf si le verrouillage des EBS instantanés Amazon a été activé sur les instantanés créés.

Coût d'utilisation des instantanés

Lors de l'analyse des logiciels malveillants, lors de la GuardDuty création des instantanés de vos EBS volumes Amazon, un coût d'utilisation est associé à cette étape. Si vous activez le paramètre de conservation des instantanés pour votre compte, lorsqu'un logiciel malveillant est détecté et que les instantanés sont conservés, vous devrez payer des frais d'utilisation. Pour plus d'informations sur le coût des instantanés et leur conservation, consultez les EBStarifs Amazon.

En tant que compte d' GuardDuty administrateur délégué, vous êtes le seul à pouvoir effectuer cette mise à jour au nom des comptes des membres de l'organisation. Toutefois, si le compte d'un membre est géré par la méthode d'invitation, il peut effectuer lui-même cette modification. Pour de plus amples informations, veuillez consulter Relations entre le compte administrateur et le compte membre.

Choisissez votre méthode d'accès préférée pour activer le paramètre de conservation des instantanés.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, sous Plans de protection, sélectionnez Protection contre les programmes malveillants pour EC2.

  3. Choisissez Paramètres généraux dans la partie inférieure de la console. Pour conserver les instantanés, activez Conservation des instantanés.

API/CLI

Exécutez UpdateMalwareScanSettingspour mettre à jour la configuration actuelle pour le paramètre de conservation des instantanés.

Vous pouvez également exécuter la AWS CLI commande suivante pour conserver automatiquement les instantanés lorsque GuardDuty Malware Protection for EC2 génère des résultats.

Assurez-vous de le remplacer par le vôtre detector-id en cours de validitédetectorId.

Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

Si vous souhaitez désactiver la conservation des instantanés, remplacez RETENTION_WITH_FINDING par NO_RETENTION.

Options d'analyse avec balises définies par l'utilisateur

En utilisant l'analyse des programmes malveillants GuardDuty initiée par l'utilisateur, vous pouvez également spécifier des balises afin d'inclure ou d'exclure les EC2 instances Amazon et les EBS volumes Amazon du processus d'analyse et de détection des menaces. Vous pouvez personnaliser chaque analyse de programmes malveillants GuardDuty lancée en modifiant les balises dans la liste des balises d'inclusion ou d'exclusion. Chaque liste peut inclure jusqu'à 50 balises.

Si vous n'avez pas encore de balises définies par l'utilisateur associées à vos EC2 ressources, consultez la section Marquer vos EC2 ressources Amazon dans le guide de l'EC2utilisateur Amazon.

Note

L'analyse des logiciels malveillants à la demande ne prend pas en charge les options d'analyse avec des balises définies par l'utilisateur. Elle prend en charge Balise GuardDutyExcluded globale.

Pour exclure les EC2 instances de l'analyse des programmes malveillants

Si vous souhaitez exclure une EC2 instance Amazon ou un EBS volume Amazon pendant le processus de numérisation, vous pouvez définir la GuardDutyExcluded balise sur n'importe quelle EC2 instance ou EBS volume Amazon, et vous GuardDuty ne le scannez pas. true Pour de plus amples informations sur la balise GuardDutyExcluded, veuillez consulter Autorisations de rôle liées à un service pour Malware Protection pour EC2. Vous pouvez également ajouter une balise d'EC2instance Amazon à une liste d'exclusion. Si vous ajoutez plusieurs balises à la liste des balises d'exclusion, toute EC2 instance Amazon contenant au moins l'une de ces balises sera exclue du processus d'analyse des programmes malveillants.

En tant que compte d' GuardDuty administrateur délégué, vous êtes le seul à pouvoir effectuer cette mise à jour au nom des comptes des membres de l'organisation. Toutefois, si le compte d'un membre est géré par la méthode d'invitation, il peut effectuer lui-même cette modification. Pour de plus amples informations, veuillez consulter Relations entre le compte administrateur et le compte membre.

Choisissez votre méthode d'accès préférée pour ajouter une balise associée à une EC2 instance Amazon à une liste d'exclusion.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, sous Plans de protection, sélectionnez Protection contre les programmes malveillants pour EC2.

  3. Développez la section Identifications d'inclusion/d'exclusion. Sélectionnez Add Tags (Ajouter des balises).

  4. Choisissez Balises d'exclusion, puis Confirmer.

  5. Spécifiez la paire Key et Value de la balise que vous souhaitez exclure. Il est facultatif de fournir la Value. Après avoir ajouté toutes les balises, choisissez Enregistrer.

    Important

    Les clés et valeurs d’étiquette sont sensibles à la casse. Pour plus d'informations, consultez la section Restrictions relatives aux balises dans le guide de EC2 l'utilisateur Amazon.

    Si aucune valeur n'est fournie pour une clé et que l'EC2instance est étiquetée avec la clé spécifiée, cette EC2 instance sera exclue du processus d'analyse des programmes malveillants GuardDuty lancé par l'instance, quelle que soit la valeur attribuée à la balise.

API/CLI

Exécuté UpdateMalwareScanSettingsen excluant une EC2 instance ou une charge de travail de conteneur du processus d'analyse.

L' AWS CLI exemple de commande suivant ajoute une nouvelle balise à la liste des balises d'exclusion. Remplacez l'exemple de detector-id par votre propre detectorId valide.

MapEquals est une liste de paires Key/Value.

Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
Important

Les clés et valeurs d’étiquette sont sensibles à la casse. Pour plus d'informations, consultez la section Restrictions relatives aux balises dans le guide de EC2 l'utilisateur Amazon.

Pour inclure des EC2 instances dans l'analyse des programmes malveillants

Si vous souhaitez scanner une EC2 instance, ajoutez sa balise à la liste d'inclusion. Lorsque vous ajoutez une balise à une liste de balises d'inclusion, une EC2 instance qui ne contient aucune des balises ajoutées est ignorée de l'analyse des programmes malveillants. Si vous ajoutez plusieurs balises à la liste des balises d'inclusion, une EC2 instance contenant au moins une de ces balises est incluse dans l'analyse des programmes malveillants. Parfois, une EC2 instance peut être ignorée pendant le processus de numérisation pour d'autres raisons. Pour de plus amples informations, veuillez consulter Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants.

En tant que compte d' GuardDuty administrateur délégué, vous êtes le seul à pouvoir effectuer cette mise à jour au nom des comptes des membres de l'organisation. Toutefois, si le compte d'un membre est géré par la méthode d'invitation, il peut effectuer lui-même cette modification. Pour de plus amples informations, veuillez consulter Relations entre le compte administrateur et le compte membre.

Choisissez votre méthode d'accès préférée pour ajouter une balise associée à une EC2 instance à une liste d'inclusion.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, sous Plans de protection, sélectionnez Protection contre les programmes malveillants pour EC2.

  3. Développez la section Identifications d'inclusion/d'exclusion. Sélectionnez Add Tags (Ajouter des balises).

  4. Sélectionnez Identifications d'inclusion, puis Confirmer.

  5. Choisissez Ajouter une nouvelle identification d'inclusion et spécifiez la paire Key et Value de la balise que vous souhaitez inclure. Il est facultatif de fournir la Value.

    Après avoir ajouté toutes les balises d'inclusion, choisissez Enregistrer.

    Si aucune valeur n'est fournie pour une clé, une EC2 instance est étiquetée avec la clé spécifiée, l'EC2instance sera incluse dans le processus d'EC2analyse de la protection contre les programmes malveillants, quelle que soit la valeur attribuée à la balise.

API/CLI

  • Exécutez UpdateMalwareScanSettingspour inclure une EC2 instance ou une charge de travail de conteneur dans le processus d'analyse.

    L' AWS CLI exemple de commande suivant ajoute une nouvelle balise à la liste des balises d'inclusion. Assurez-vous de remplacer l'exemple detector-id par votre propre exemple validedetectorId. Remplacez l'exemple TestValue par TestKey la Value paire Key et de la balise associée à votre EC2 ressource.

    MapEquals est une liste de paires Key/Value.

    Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    Important

    Les clés et valeurs d’étiquette sont sensibles à la casse. Pour plus d'informations, consultez la section Restrictions relatives aux balises dans le guide de EC2 l'utilisateur Amazon.
Note

La détection d'un nouveau tag peut prendre jusqu' GuardDuty à 5 minutes.

À tout moment, vous pouvez choisir Balises d'inclusion ou Balises d'exclusion, mais pas les deux. Si vous souhaitez passer d'une balise à l'autre, choisissez cette balise dans le menu déroulant lorsque vous ajoutez de nouvelles balises, puis confirmez votre sélection. Cette action efface toutes vos balises actuelles.

Balise GuardDutyExcluded globale

GuardDuty utilise une clé de balise globaleGuardDutyExcluded, que vous pouvez ajouter à vos EC2 ressources Amazon et définir la valeur de balise surtrue. Cette EC2 ressource Amazon qui possède cette paire clé/valeur de balise sera exclue de l'analyse des programmes malveillants. Les deux types d'analyse (analyse des programmes malveillants GuardDuty initiée et analyse des programmes malveillants à la demande) prennent en charge le tag global. Si vous lancez une analyse des programmes malveillants à la demande sur un AmazonEC2, un identifiant de scan sera généré. Cependant, le scan sera ignoré EXCLUDED_BY_SCAN_SETTINGS pour une raison. Pour de plus amples informations, veuillez consulter Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants.