スナップショット保持と EC2 スキャンカバレッジを設定する - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

スナップショット保持と EC2 スキャンカバレッジを設定する

このセクションでは、Amazon EC2 インスタンスのマルウェアスキャンオプションをカスタマイズする方法について説明します。これらのカスタマイズは、オンデマンドマルウェアスキャンと GuardDuty によって開始されたマルウェアスキャンの両方に適用されます。以下の操作を行うことができます。

  • スナップショット保持を有効にする – スキャン前に有効にすると、GuardDuty は GuardDuty が悪意のあるものとして検出した Amazon EBS スナップショットを保持します。

  • スキャンする Amazon EC2 インスタンスを選択する – タグを使用して、マルウェアスキャンに特定の Amazon EC2 インスタンスを含めるか除外します。

スナップショットの保持

GuardDuty は、 AWS アカウントで EBS ボリュームのスナップショットを保持するオプションを提供します。デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットは、スキャン開始前にこの設定をオンにしている場合にのみ保持されます。

スキャンが開始されると、GuardDuty は EBS ボリュームのスナップショットに基づいて EBS ボリュームのレプリカを生成します。スキャンが完了して、アカウントのスナップショットの保持設定が既にオンになっている場合、マルウェアが見つかって Malware Protection for EC2 の検出結果のタイプ が生成された場合に限り、EBS ボリュームのスナップショットが保持されます。マルウェアが見つからない場合、スナップショットの設定に関係なく、作成されたスナップショットで Amazon EBS スナップショットロックが有効になっていない限り、GuardDuty は EBS ボリュームのスナップショットを自動的に削除します。 https://docs.aws.amazon.com/ebs/latest/userguide/lock-snapshot.html

スナップショットの使用コスト

マルウェアスキャン中に GuardDuty が Amazon EBS ボリュームのスナップショットを作成するため、このステップに関連した使用コストが発生します。アカウントのスナップショット保持設定を有効にした場合、マルウェアが検出されてスナップショットが保持されたとき、同様な内容で使用コストが発生します。スナップショットおよびその保持にかかるコストについては、「Amazon EBS 料金」を参照してください。

組織メンバーアカウントに代わってこの更新を行うことができるのは、委任 GuardDuty 管理者アカウントのみです。ただし、メンバーアカウントが招待方法によって管理されている場合、メンバーアカウントは自分でこの変更を行うことができます。詳細については、「管理者アカウントとメンバーアカウントの関係」を参照してください。

任意のアクセス方法を選択して、スナップショットの保存設定を有効にします。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインの [保護プラン] で、[Malware Protection for EC2] を選択します。

  3. コンソールの下部のセクションで [General settings] (一般設定) を選択します。スナップショットを保持するには、[Snapshots retention] (スナップショットの保持) をオンにします。

API/CLI

UpdateMalwareScanSettings を実行して、スナップショット保持設定の現在の設定を更新します。

または、次の AWS CLI コマンドを実行して、GuardDuty Malware Protection for EC2 が検出結果を生成するときにスナップショットを自動的に保持することもできます。

必ず detector-id をご自身の有効な detectorId に置き換えてください。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

スナップショットの保持を無効にしたい場合は、RETENTION_WITH_FINDINGNO_RETENTION に置き換えます。

ユーザー定義タグ付きのスキャンオプション

GuardDuty 実行型マルウェアスキャンを使用することで、スキャンおよび脅威検出プロセスから Amazon EC2 インスタンスおよび Amazon EBS ボリュームを含めるまたは除外するタグも指定できます。包含タグリストまたは除外タグリストのタグを編集することで、GuardDuty 実行型マルウェアスキャンをそれぞれカスタマイズできます。各リストには、最大 50 個のタグを含めることができます。

EC2 リソースに関連付けられたユーザー定義タグがまだない場合は、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースのタグ付け」を参照してください。 Amazon EC2

注記

オンデマンドのマルウェアスキャンは、ユーザー定義タグ付けされたスキャンオプションをサポートしません。グローバル GuardDutyExcluded タグ をサポートします。

EC2 インスタンスをマルウェアウェアスキャンから除外する方法

スキャンプロセス中に Amazon EC2 インスタンスまたは Amazon EBS ボリュームを除外する場合、任意の Amazon EC2 インスタンスまたは Amazon EBS ボリュームに GuardDutyExcluded タグを true に設定すると、GuardDuty はスキャンを実行しません。GuardDutyExcluded タグの詳細については、「Malware Protection for EC2 のためのサービスにリンクされたロールの許可」を参照してください。Amazon EC2 インスタンスタグを除外リストに追加することもできます。複数のタグを除外タグリストに追加する場合、これらのタグを少なくとも 1 つ含む Amazon EC2 インスタンスがマルウェアスキャンのプロセスから除外されます。

組織メンバーアカウントに代わってこの更新を行うことができるのは、委任 GuardDuty 管理者アカウントのみです。ただし、メンバーアカウントが招待方法によって管理されている場合、メンバーアカウントは自分でこの変更を行うことができます。詳細については、「管理者アカウントとメンバーアカウントの関係」を参照してください。

任意のアクセス方法を選択して、Amazon EC2 インスタンスに関連付けされたタグを除外リストに追加します。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインの [保護プラン] で、[Malware Protection for EC2] を選択します。

  3. [包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。

  4. [除外タグ] を選択したら [確認] を選択します。

  5. 除外するタグの Key および Value ペアを指定します。Value を指定するかどうかは任意です。すべてのタグを追加したら、[保存] を選択します。

    重要

    タグのキーと値は大文字と小文字が区別されます。詳細については、Amazon EC2 ユーザーガイド」の「タグの制限」を参照してください。

    キーの値が指定されずに EC2 インスタンスが指定されたキーでタグ付けされている場合、タグに割り当てられた値とは関係なく、この EC2 インスタンスは GuardDuty 実行型マルウェアスキャンのスキャンプロセスから除外されます。

API/CLI

EC2 インスタンスまたはコンテナワークロードをスキャンプロセスから除外することによって、UpdateMalwareScanSettings を実行します。

次のコマンド AWS CLI 例では、除外タグリストに新しいタグを追加します。detector-id の例を、自分の有効な detectorId に置き換えてください。

MapEqualsKey/Value ペアの一覧です。

アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
重要

タグのキーと値は大文字と小文字が区別されます。詳細については、Amazon EC2 ユーザーガイド」の「タグの制限」を参照してください。

EC2 インスタンスをマルウェアスキャンに含めるには

EC2 インスタンスをスキャンする場合は、そのタグを包含リストに追加します。包含タグのリストにタグを追加すると、追加されたタグを含まない EC2 インスタンスは、マルウェアスキャン時にスキップされます。複数のタグを包含タグのリストに追加した場合、これらのタグを 1 つでも含む EC2 インスタンスには、マルウェアスキャンが実施されます。場合によっては、他の理由により、スキャンプロセス中に EC2 インスタンスがスキップされることがあります。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。

組織メンバーアカウントに代わってこの更新を行うことができるのは、委任 GuardDuty 管理者アカウントのみです。ただし、メンバーアカウントが招待方法によって管理されている場合、メンバーアカウントは自分でこの変更を行うことができます。詳細については、「管理者アカウントとメンバーアカウントの関係」を参照してください。

任意のアクセス方法を選択して、EC2 インスタンスに関連付けられているタグを包含リストに追加します。

Console
  1. https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

  2. ナビゲーションペインの [保護プラン] で、[Malware Protection for EC2] を選択します。

  3. [包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。

  4. [包含タグ] を選択したら [確認] を選択します。

  5. [Add new inclusion tag] (新しい包含タグを追加) を選択し、除外するタグの KeyValue ペアを指定します。Value を指定するかどうかは任意です。

    すべての包含タグを追加したら、[保存] を選択します。

    キーの値が指定されずに EC2 インスタンスが指定されたキーでタグ付けされている場合、タグに割り当てられた値とは関係なく、EC2 インスタンスは Malware Protection for EC2 のスキャンプロセスに含まれます。

API/CLI
  • UpdateMalwareScanSettings を実行して、スキャンプロセスに EC2 インスタンスまたはコンテナワークロードを含めます。

    次のコマンド AWS CLI 例では、包含タグリストに新しいタグを追加します。必ず detector-id の例をお使いの有効な detectorId に置き換えてください。TestKey および TestValue の例を EC2 リソースに関連付けされたタグの KeyValue ペアに置き換えます。

    MapEqualsKey/Value ペアの一覧です。

    アカウントと現在のリージョンの detectorId を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの [設定] ページを参照するか、ListDetectors API を実行します。

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    重要

    タグのキーと値は大文字と小文字が区別されます。詳細については、Amazon EC2 ユーザーガイド」の「タグの制限」を参照してください。

注記

GuardDuty が新しいタグを検出するまでに、最長で 5 分かかることがあります。

ユーザーはいつでも [Inclusion tags] (包含タグ) または [Exclusion tags] (除外タグ) のどちらかを選択できますが、両方を選択することはできません。タグを切り替える場合、新しいタグを追加する際にドロップダウンメニューからそのタグを選択し、選択したものを [確認] します。このアクションにより、現在のタグがすべてクリアされます。

グローバル GuardDutyExcluded タグ

GuardDuty は、Amazon EC2 リソースに追加し、タグ値を true に設定できるグローバルタグキー GuardDutyExcluded を使用します。このタグキーと値のペアを持つこの Amazon EC2 リソースは、マルウェアスキャンから除外されます。どちらのスキャンタイプ (GuardDuty 実行型マルウェアスキャンおよびオンデマンドマルウェアスキャン) もグローバルタグをサポートしています。Amazon EC2 でオンデマンドマルウェアスキャンを開始すると、スキャン ID が生成されます。ただし、スキャンは EXCLUDED_BY_SCAN_SETTINGS によりスキップされます。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。