翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
スナップショット保持と EC2 スキャンカバレッジを設定する
このセクションでは、Amazon EC2 インスタンスのマルウェアスキャンオプションをカスタマイズする方法について説明します。これらのカスタマイズは、オンデマンドマルウェアスキャンと GuardDuty によって開始されたマルウェアスキャンの両方に適用されます。以下の操作を行うことができます。
-
スナップショット保持を有効にする – スキャン前に有効にすると、GuardDuty は GuardDuty が悪意のあるものとして検出した Amazon EBS スナップショットを保持します。
-
スキャンする Amazon EC2 インスタンスを選択する – タグを使用して、マルウェアスキャンに特定の Amazon EC2 インスタンスを含めるか除外します。
スナップショットの保持
GuardDuty は、 AWS アカウントで EBS ボリュームのスナップショットを保持するオプションを提供します。デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットは、スキャン開始前にこの設定をオンにしている場合にのみ保持されます。
スキャンが開始されると、GuardDuty は EBS ボリュームのスナップショットに基づいて EBS ボリュームのレプリカを生成します。スキャンが完了して、アカウントのスナップショットの保持設定が既にオンになっている場合、マルウェアが見つかって Malware Protection for EC2 の検出結果のタイプ が生成された場合に限り、EBS ボリュームのスナップショットが保持されます。マルウェアが見つからない場合、スナップショットの設定に関係なく、作成されたスナップショットで Amazon EBS スナップショットロックが有効になっていない限り、GuardDuty は EBS ボリュームのスナップショットを自動的に削除します。 https://docs.aws.amazon.com/ebs/latest/userguide/lock-snapshot.html
スナップショットの使用コスト
マルウェアスキャン中に GuardDuty が Amazon EBS ボリュームのスナップショットを作成するため、このステップに関連した使用コストが発生します。アカウントのスナップショット保持設定を有効にした場合、マルウェアが検出されてスナップショットが保持されたとき、同様な内容で使用コストが発生します。スナップショットおよびその保持にかかるコストについては、「Amazon EBS 料金
組織メンバーアカウントに代わってこの更新を行うことができるのは、委任 GuardDuty 管理者アカウントのみです。ただし、メンバーアカウントが招待方法によって管理されている場合、メンバーアカウントは自分でこの変更を行うことができます。詳細については、「管理者アカウントとメンバーアカウントの関係」を参照してください。
任意のアクセス方法を選択して、スナップショットの保存設定を有効にします。
ユーザー定義タグ付きのスキャンオプション
GuardDuty 実行型マルウェアスキャンを使用することで、スキャンおよび脅威検出プロセスから Amazon EC2 インスタンスおよび Amazon EBS ボリュームを含めるまたは除外するタグも指定できます。包含タグリストまたは除外タグリストのタグを編集することで、GuardDuty 実行型マルウェアスキャンをそれぞれカスタマイズできます。各リストには、最大 50 個のタグを含めることができます。
EC2 リソースに関連付けられたユーザー定義タグがまだない場合は、Amazon EC2 ユーザーガイド」の「Amazon EC2 リソースのタグ付け」を参照してください。 Amazon EC2
注記
オンデマンドのマルウェアスキャンは、ユーザー定義タグ付けされたスキャンオプションをサポートしません。グローバル GuardDutyExcluded タグ をサポートします。
EC2 インスタンスをマルウェアウェアスキャンから除外する方法
スキャンプロセス中に Amazon EC2 インスタンスまたは Amazon EBS ボリュームを除外する場合、任意の Amazon EC2 インスタンスまたは Amazon EBS ボリュームに GuardDutyExcluded
タグを true
に設定すると、GuardDuty はスキャンを実行しません。GuardDutyExcluded
タグの詳細については、「Malware Protection for EC2 のためのサービスにリンクされたロールの許可」を参照してください。Amazon EC2 インスタンスタグを除外リストに追加することもできます。複数のタグを除外タグリストに追加する場合、これらのタグを少なくとも 1 つ含む Amazon EC2 インスタンスがマルウェアスキャンのプロセスから除外されます。
組織メンバーアカウントに代わってこの更新を行うことができるのは、委任 GuardDuty 管理者アカウントのみです。ただし、メンバーアカウントが招待方法によって管理されている場合、メンバーアカウントは自分でこの変更を行うことができます。詳細については、「管理者アカウントとメンバーアカウントの関係」を参照してください。
任意のアクセス方法を選択して、Amazon EC2 インスタンスに関連付けされたタグを除外リストに追加します。
EC2 インスタンスをマルウェアスキャンに含めるには
EC2 インスタンスをスキャンする場合は、そのタグを包含リストに追加します。包含タグのリストにタグを追加すると、追加されたタグを含まない EC2 インスタンスは、マルウェアスキャン時にスキップされます。複数のタグを包含タグのリストに追加した場合、これらのタグを 1 つでも含む EC2 インスタンスには、マルウェアスキャンが実施されます。場合によっては、他の理由により、スキャンプロセス中に EC2 インスタンスがスキップされることがあります。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。
組織メンバーアカウントに代わってこの更新を行うことができるのは、委任 GuardDuty 管理者アカウントのみです。ただし、メンバーアカウントが招待方法によって管理されている場合、メンバーアカウントは自分でこの変更を行うことができます。詳細については、「管理者アカウントとメンバーアカウントの関係」を参照してください。
任意のアクセス方法を選択して、EC2 インスタンスに関連付けられているタグを包含リストに追加します。
注記
GuardDuty が新しいタグを検出するまでに、最長で 5 分かかることがあります。
ユーザーはいつでも [Inclusion tags] (包含タグ) または [Exclusion tags] (除外タグ) のどちらかを選択できますが、両方を選択することはできません。タグを切り替える場合、新しいタグを追加する際にドロップダウンメニューからそのタグを選択し、選択したものを [確認] します。このアクションにより、現在のタグがすべてクリアされます。
グローバル GuardDutyExcluded
タグ
GuardDuty は、Amazon EC2 リソースに追加し、タグ値を true
に設定できるグローバルタグキー GuardDutyExcluded
を使用します。このタグキーと値のペアを持つこの Amazon EC2 リソースは、マルウェアスキャンから除外されます。どちらのスキャンタイプ (GuardDuty 実行型マルウェアスキャンおよびオンデマンドマルウェアスキャン) もグローバルタグをサポートしています。Amazon EC2 でオンデマンドマルウェアスキャンを開始すると、スキャン ID が生成されます。ただし、スキャンは EXCLUDED_BY_SCAN_SETTINGS
によりスキップされます。詳細については、「マルウェアスキャン中にリソースをスキップする理由」を参照してください。