Personnalisations de la protection contre les programmes malveillants pour EC2 - Amazon GuardDuty
Conservation des instantanésOptions d'analyse avec balises définies par l'utilisateurBalise GuardDutyExcluded globale

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Personnalisations de la protection contre les programmes malveillants pour EC2

Cette section décrit comment vous pouvez personnaliser les options d'analyse pour vos EC2 instances Amazon ou vos charges de travail de conteneur lorsqu'une analyse de malware est invoquée, qu'elle soit lancée à la demande ou via GuardDuty.

Conservation des instantanés

GuardDuty vous offre la possibilité de conserver les instantanés de vos EBS volumes dans votre AWS compte. Par défaut, le paramètre de conservation des instantanés est désactivé. Les instantanés ne seront conservés que si ce paramètre est activé avant le début de l'analyse.

Au début de l'analyse, GuardDuty génère les EBS volumes de réplication en fonction des instantanés de vos EBS volumes. Une fois que l'analyse est terminée et que le paramètre de conservation des instantanés est déjà activé dans votre compte, les instantanés de vos EBS volumes ne sont conservés que lorsqu'un logiciel malveillant est détecté et généréProtection contre les logiciels malveillants pour EC2 détecter les types. Que vous ayez activé ou non le paramètre de conservation des instantanés, lorsqu'aucun logiciel malveillant n'est détecté, les instantanés de vos volumes GuardDuty sont automatiquement supprimés. EBS

Coût d'utilisation des instantanés

Lors de l'analyse des logiciels malveillants, lors de la GuardDuty création des instantanés de vos EBS volumes Amazon, un coût d'utilisation est associé à cette étape. Si vous activez le paramètre de conservation des instantanés pour votre compte, lorsqu'un logiciel malveillant est détecté et que les instantanés sont conservés, vous devrez payer des frais d'utilisation. Pour plus d'informations sur le coût des instantanés et leur conservation, consultez les EBStarifs Amazon.

En tant que compte d' GuardDuty administrateur délégué, vous êtes le seul à pouvoir effectuer cette mise à jour au nom des comptes des membres de l'organisation. Toutefois, si le compte d'un membre est géré par la méthode d'invitation, il peut effectuer lui-même cette modification. Pour de plus amples informations, veuillez consulter Relations entre le compte administrateur et le compte membre.

Choisissez votre méthode d'accès préférée pour activer le paramètre de conservation des instantanés.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, sous Plans de protection, sélectionnez Protection contre les programmes malveillants pour EC2.

  3. Choisissez Paramètres généraux dans la partie inférieure de la console. Pour conserver les instantanés, activez Conservation des instantanés.

API/CLI

Exécutez UpdateMalwareScanSettingspour mettre à jour la configuration actuelle pour le paramètre de conservation des instantanés.

Vous pouvez également exécuter la AWS CLI commande suivante pour conserver automatiquement les instantanés lorsque GuardDuty Malware Protection for EC2 génère des résultats.

Assurez-vous de remplacer le detector-id avec votre propre code validedetectorId.

Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

Si vous souhaitez désactiver la conservation des instantanés, remplacez RETENTION_WITH_FINDING par NO_RETENTION.

Options d'analyse avec balises définies par l'utilisateur

En utilisant l'analyse des programmes malveillants GuardDuty initiée par l'utilisateur, vous pouvez également spécifier des balises afin d'inclure ou d'exclure les EC2 instances Amazon et les EBS volumes Amazon du processus d'analyse et de détection des menaces. Vous pouvez personnaliser chaque analyse de programmes malveillants GuardDuty lancée en modifiant les balises dans la liste des balises d'inclusion ou d'exclusion. Chaque liste peut inclure jusqu'à 50 balises.

Si vous n'avez pas encore de balises définies par l'utilisateur associées à vos EC2 ressources, consultez la section Marquer vos EC2 ressources Amazon dans le guide de EC2 l'utilisateur Amazon ou baliser vos EC2 ressources Amazon dans le guide de l'EC2utilisateur Amazon.

Note

L'analyse des logiciels malveillants à la demande ne prend pas en charge les options d'analyse avec des balises définies par l'utilisateur. Elle prend en charge Balise GuardDutyExcluded globale.

Pour exclure les EC2 instances de l'analyse des programmes malveillants

Si vous souhaitez exclure une EC2 instance Amazon ou un EBS volume Amazon pendant le processus de numérisation, vous pouvez définir la GuardDutyExcluded balise sur n'importe quelle EC2 instance ou EBS volume Amazon, et vous GuardDuty ne le scannez pas. true Pour de plus amples informations sur la balise GuardDutyExcluded, veuillez consulter Autorisations de rôle liées à un service pour Malware Protection pour EC2. Vous pouvez également ajouter une balise d'EC2instance Amazon à une liste d'exclusion. Si vous ajoutez plusieurs balises à la liste des balises d'exclusion, toute EC2 instance Amazon contenant au moins l'une de ces balises sera exclue du processus d'analyse des programmes malveillants.

En tant que compte d' GuardDuty administrateur délégué, vous êtes le seul à pouvoir effectuer cette mise à jour au nom des comptes des membres de l'organisation. Toutefois, si le compte d'un membre est géré par la méthode d'invitation, il peut effectuer lui-même cette modification. Pour de plus amples informations, veuillez consulter Relations entre le compte administrateur et le compte membre.

Choisissez votre méthode d'accès préférée pour ajouter une balise associée à une EC2 instance Amazon à une liste d'exclusion.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, sous Plans de protection, sélectionnez Protection contre les programmes malveillants pour EC2.

  3. Développez la section Identifications d'inclusion/d'exclusion. Sélectionnez Add Tags (Ajouter des balises).

  4. Choisissez Balises d'exclusion, puis Confirmer.

  5. Spécifiez la paire Key et Value de la balise que vous souhaitez exclure. Il est facultatif de fournir la Value. Après avoir ajouté toutes les balises, choisissez Enregistrer.

    Important

    Les clés et valeurs d’étiquette sont sensibles à la casse. Pour plus d'informations, consultez la section Restrictions relatives aux balises dans le guide de EC2 l'utilisateur Amazon ou Restrictions relatives aux balises dans le guide de EC2 l'utilisateur Amazon.

    Si aucune valeur n'est fournie pour une clé et que l'EC2instance est étiquetée avec la clé spécifiée, cette EC2 instance sera exclue du processus d'analyse des programmes malveillants GuardDuty lancé par l'instance, quelle que soit la valeur attribuée à la balise.

API/CLI

Exécuté UpdateMalwareScanSettingsen excluant une EC2 instance ou une charge de travail de conteneur du processus d'analyse.

L' AWS CLI exemple de commande suivant ajoute une nouvelle balise à la liste des balises d'exclusion. Remplacez l'exemple detector-id avec votre propre code validedetectorId.

MapEquals est une liste de paires Key/Value.

Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
Important

Les clés et valeurs d’étiquette sont sensibles à la casse. Pour plus d'informations, consultez la section Restrictions relatives aux balises dans le guide de EC2 l'utilisateur Amazon ou Restrictions relatives aux balises dans le guide de EC2 l'utilisateur Amazon.

Pour inclure des EC2 instances dans l'analyse des programmes malveillants

Si vous souhaitez scanner une EC2 instance, ajoutez sa balise à la liste d'inclusion. Lorsque vous ajoutez une balise à une liste de balises d'inclusion, une EC2 instance qui ne contient aucune des balises ajoutées est ignorée de l'analyse des programmes malveillants. Si vous ajoutez plusieurs balises à la liste des balises d'inclusion, une EC2 instance contenant au moins une de ces balises est incluse dans l'analyse des programmes malveillants. Parfois, une EC2 instance peut être ignorée pendant le processus de numérisation pour d'autres raisons. Pour de plus amples informations, veuillez consulter Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants.

En tant que compte d' GuardDuty administrateur délégué, vous êtes le seul à pouvoir effectuer cette mise à jour au nom des comptes des membres de l'organisation. Toutefois, si le compte d'un membre est géré par la méthode d'invitation, il peut effectuer lui-même cette modification. Pour de plus amples informations, veuillez consulter Relations entre le compte administrateur et le compte membre.

Choisissez votre méthode d'accès préférée pour ajouter une balise associée à une EC2 instance à une liste d'inclusion.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, sous Plans de protection, sélectionnez Protection contre les programmes malveillants pour EC2.

  3. Développez la section Identifications d'inclusion/d'exclusion. Sélectionnez Add Tags (Ajouter des balises).

  4. Sélectionnez Identifications d'inclusion, puis Confirmer.

  5. Choisissez Ajouter une nouvelle identification d'inclusion et spécifiez la paire Key et Value de la balise que vous souhaitez inclure. Il est facultatif de fournir la Value.

    Après avoir ajouté toutes les balises d'inclusion, choisissez Enregistrer.

    Si aucune valeur n'est fournie pour une clé, une EC2 instance est étiquetée avec la clé spécifiée, l'EC2instance sera incluse dans le processus d'EC2analyse de la protection contre les programmes malveillants, quelle que soit la valeur attribuée à la balise.

API/CLI

  • Exécutez UpdateMalwareScanSettingspour inclure une EC2 instance ou une charge de travail de conteneur dans le processus d'analyse.

    L' AWS CLI exemple de commande suivant ajoute une nouvelle balise à la liste des balises d'inclusion. Assurez-vous de remplacer l'exemple detector-id avec votre propre code validedetectorId. Remplacez l'exemple TestKey and TestValue avec la Value paire Key et de la balise associée à votre EC2 ressource.

    MapEquals est une liste de paires Key/Value.

    Pour trouver les paramètres detectorId correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez le ListDetectors API.

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    Important

    Les clés et valeurs d’étiquette sont sensibles à la casse. Pour plus d'informations, consultez la section Restrictions relatives aux balises dans le guide de EC2 l'utilisateur Amazon ou Restrictions relatives aux balises dans le guide de EC2 l'utilisateur Amazon.
Note

La détection d'un nouveau tag peut prendre jusqu' GuardDuty à 5 minutes.

À tout moment, vous pouvez choisir Balises d'inclusion ou Balises d'exclusion, mais pas les deux. Si vous souhaitez passer d'une balise à l'autre, choisissez cette balise dans le menu déroulant lorsque vous ajoutez de nouvelles balises, puis confirmez votre sélection. Cette action efface toutes vos balises actuelles.

Balise GuardDutyExcluded globale

GuardDuty utilise une clé de balise globaleGuardDutyExcluded, que vous pouvez ajouter à vos EC2 ressources Amazon et définir la valeur de balise surtrue. Cette EC2 ressource Amazon qui possède cette paire clé/valeur de balise sera exclue de l'analyse des programmes malveillants. Les deux types d'analyse (analyse des programmes malveillants GuardDuty initiée et analyse des programmes malveillants à la demande) prennent en charge le tag global. Si vous lancez une analyse des programmes malveillants à la demande sur un AmazonEC2, un identifiant de scan sera généré. Cependant, le scan sera ignoré EXCLUDED_BY_SCAN_SETTINGS pour une raison. Pour de plus amples informations, veuillez consulter Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants.