スナップショットの保持ユーザー定義タグ付きのスキャンオプショングローバル GuardDutyExcluded タグ

Malware Protection のカスタマイズ EC2

このセクションでは、マルウェアスキャンが呼び出されたときに Amazon EC2インスタンスまたはコンテナワークロードのスキャンオプションをカスタマイズする方法を、オンデマンドで開始するか、を介して説明します GuardDuty。

スナップショットの保持

GuardDuty には、EBSボリュームのスナップショットを AWS アカウント内に保持するオプションがあります。デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットは、スキャン開始前にこの設定をオンにしている場合にのみ保持されます。

スキャンが開始されると、はEBSボリュームのスナップショットに基づいてレプリカEBSボリューム GuardDuty を生成します。スキャンが完了し、アカウントのスナップショット保持設定が既にオンになっていると、マルウェアが発見されてEC2 検出結果タイプのマルウェア保護生成された場合にのみ、EBSボリュームのスナップショットが保持されます。スナップショットの保持設定をオンにしたかどうかにかかわらず、マルウェアが検出されない場合、はEBSボリュームのスナップショット GuardDuty を自動的に削除します。

スナップショットの使用コスト

マルウェアスキャン中、は Amazon EBSボリュームのスナップショット GuardDuty を作成するため、このステップには使用コストがかかります。アカウントのスナップショット保持設定を有効にした場合、マルウェアが検出されてスナップショットが保持されたとき、同様な内容で使用コストが発生します。スナップショットのコストとその保持については、「Amazon のEBS料金」を参照してください。

委任 GuardDuty 管理者アカウントとして、組織メンバーアカウントに代わってこの更新を行うことができるのはユーザーのみです。ただし、メンバーアカウントが招待方法で管理されている場合、メンバーアカウントは自分でこの変更を行うことができます。詳細については、「管理者アカウントとメンバーアカウントの関係」を参照してください。

任意のアクセス方法を選択して、スナップショットの保存設定を有効にします。

ユーザー定義タグ付きのスキャンオプション

GuardDuty開始されたマルウェアスキャンを使用すると、スキャンと脅威検出プロセスに Amazon EC2インスタンスと Amazon EBSボリュームを含めるか除外するかのタグを指定することもできます。包含タグリストまたは除外タグリストのタグを編集することで、 GuardDuty開始された各マルウェアスキャンをカスタマイズできます。各リストには、最大 50 個のタグを含めることができます。

EC2 リソースにユーザー定義タグがまだ関連付けられていない場合は、「Amazon ユーザーガイド」の「Amazon EC2リソースにタグを付ける」または「Amazon EC2 ユーザーガイド」の「Amazon EC2リソースにタグを付ける」を参照してください。 EC2

注記

オンデマンドのマルウェアスキャンは、ユーザー定義タグ付けされたスキャンオプションをサポートしません。グローバル GuardDutyExcluded タグをサポートします。

マルウェアスキャンからEC2インスタンスを除外するには

スキャンプロセス中に Amazon EC2インスタンスまたは Amazon EBSボリュームを除外する場合は、Amazon EC2インスタンスまたは Amazon EBSボリュームtrueのGuardDutyExcludedタグをに設定でき、 GuardDuty はスキャンしません。GuardDutyExcluded タグの詳細については、「Malware Protection のサービスにリンクされたロールのアクセス許可 EC2」を参照してください。Amazon EC2インスタンスタグを除外リストに追加することもできます。除外タグリストに複数のタグを追加すると、これらのタグの少なくとも 1 つを含む Amazon EC2インスタンスはマルウェアスキャンプロセスから除外されます。

Amazon EC2インスタンスに関連付けられたタグを除外リストに追加する優先アクセス方法を選択します。

Console

で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。
ナビゲーションペインの「保護プラン」で、「 のマルウェア保護EC2」を選択します。
[包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。
[除外タグ] を選択したら [確認] を選択します。
除外するタグの Key および Value ペアを指定します。Value を指定するかどうかは任意です。すべてのタグを追加したら、[保存] を選択します。

重要
タグのキーと値は大文字と小文字が区別されます。詳細については、「Amazon EC2 ユーザーガイド」のhttps://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions「タグ制限」または「Amazon EC2 ユーザーガイド」の「タグ制限」を参照してください。

キーの値が指定されておらず、EC2インスタンスに指定されたキーがタグ付けされている場合、このEC2インスタンスは、タグに割り当てられた値に関係なく、 GuardDutyが開始したマルウェアスキャンプロセスから除外されます。

API/CLI

スキャンプロセスからEC2インスタンスまたはコンテナワークロードを除外UpdateMalwareScanSettingsして実行します。

次のコマンド AWS CLI 例では、除外タグリストに新しいタグを追加します。例を置き換える detector-id 独自の有効なを使用しますdetectorId。

MapEquals は Key/Value ペアの一覧です。

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.


aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

重要

タグのキーと値は大文字と小文字が区別されます。詳細については、「Amazon EC2ユーザーガイド」のhttps://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions「タグ制限」または「Amazon EC2 ユーザーガイド」の「タグ制限」を参照してください。

マルウェアスキャンにEC2インスタンスを含めるには

EC2 インスタンスをスキャンする場合は、そのタグを包含リストに追加します。包含タグリストにタグを追加すると、追加されたタグを含まないEC2インスタンスがマルウェアスキャンからスキップされます。包含タグリストに複数のタグを追加すると、それらのタグの少なくとも 1 つを含むEC2インスタンスがマルウェアスキャンに含まれます。場合によっては、他の理由でスキャンプロセス中にEC2インスタンスがスキップされることがあります。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。

任意のアクセス方法を選択して、EC2インスタンスに関連付けられたタグを包含リストに追加します。

Console

で GuardDuty コンソールを開きますhttps://console.aws.amazon.com/guardduty/。
ナビゲーションペインの「保護プラン」で、「 のマルウェア保護EC2」を選択します。
[包含/除外タグ] セクションを展開します。[Add tags (タグの追加)] を選択します。
[包含タグ] を選択したら [確認] を選択します。
[Add new inclusion tag] (新しい包含タグを追加) を選択し、除外するタグの Key と Value ペアを指定します。Value を指定するかどうかは任意です。

すべての包含タグを追加したら、[保存] を選択します。

キーの値が指定されていない場合、タグに割り当てられた値に関係なく、EC2インスタンスに指定されたキーがタグ付けされます。EC2インスタンスは Malware Protection for EC2 scanning プロセスに含まれます。

API/CLI

を実行して、スキャンプロセスにEC2インスタンスまたはコンテナワークロードUpdateMalwareScanSettingsを含めます。

次のコマンド AWS CLI 例では、包含タグリストに新しいタグを追加します。例を置き換える detector-id 独自の有効なを使用しますdetectorId。例を置き換える TestKey また、TestValue EC2 リソースに関連付けられたタグの Keyと Valueのペア。

MapEquals は Key/Value ペアの一覧です。

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/コンソールの設定ページを参照するか、 ListDetectors API.
```
aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
```
重要
タグのキーと値は大文字と小文字が区別されます。詳細については、「Amazon EC2ユーザーガイド」のhttps://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#tag-restrictions「タグの制限」または「Amazon EC2 ユーザーガイド」の「タグの制限」を参照してください。

注記

が新しいタグを検出する GuardDuty までに最大 5 分かかる場合があります。

ユーザーはいつでも [Inclusion tags] (包含タグ) または [Exclusion tags] (除外タグ) のどちらかを選択できますが、両方を選択することはできません。タグを切り替える場合、新しいタグを追加する際にドロップダウンメニューからそのタグを選択し、選択したものを [確認] します。このアクションにより、現在のタグがすべてクリアされます。

グローバル `GuardDutyExcluded` タグ

GuardDuty は、Amazon EC2リソースに追加しGuardDutyExcluded、タグ値をに設定できるグローバルタグキーを使用しますtrue。このタグキーと値のペアを持つこの Amazon EC2リソースは、マルウェアスキャンから除外されます。どちらのスキャンタイプ (GuardDuty開始マルウェアスキャンとオンデマンドマルウェアスキャン) もグローバルタグをサポートしています。Amazon でオンデマンドのマルウェアスキャンを開始するとEC2、スキャン ID が生成されます。ただし、スキャンはEXCLUDED_BY_SCAN_SETTINGS理由とともにスキップされます。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サポートされているEBSボリューム

GuardDuty- 開始されたマルウェアスキャン