GuardDuty Malware Protection for EC2
Malware Protection for EC2 は、Amazon EC2 で実行されている Amazon Elastic Compute Cloud (Amazon EC2) インスタンスおよびコンテナワークロードにアタッチされた Amazon Elastic Block Store (Amazon EBS) ボリュームをスキャンすることで、マルウェアの潜在的な存在を検出することに役立ちます。Malware Protection for EC2 は、スキャン時に特定の Amazon EC2 インスタンスを含めるか除外するかを決定できるスキャンオプションを提供します。Amazon EC2 インスタンスまたはコンテナワークロードにアタッチされた Amazon EBS ボリュームのスナップショットを GuardDuty アカウントに保持するオプションも提供します。スナップショットは、マルウェアが検出されて Malware Protection for EC2 の検出結果が生成された場合にのみ保持されます。
Malware Protection for EC2 リソースのパフォーマンスに影響を与えないように設計されています。GuardDuty 内で Malware Protection for EC2 が機能する仕組みについては、「Elastic Block Storage (EBS) ボリューム」を参照してください。さまざまな AWS リージョン の Malware Protection for EC2 の可用性については、「リージョンとエンドポイント」を参照してください。
注記
GuardDuty Malware Protection for EC2 は Amazon EKS または Amazon ECS での Fargate をサポートしていません。
Malware Protection for EC2 は、Amazon EC2 インスタンスおよびコンテナワークロード内の潜在的に悪意のあるアクティビティを検出するために、GuardDuty 実行型マルウェアスキャンおよびオンデマンドマルウェアスキャンという 2 つのタイプのスキャンを提供します。次の表は、両方のスキャンタイプの比較を示しています。
Factor |
GuardDuty 実行型マルウェアスキャン |
オンデマンドのマルウェアスキャン |
---|---|---|
スキャンの起動方法 |
GuardDuty 実行型マルウェアスキャンを有効にすると、GuardDuty が Amazon EC2 インスタンスまたはコンテナワークロードにマルウェアの潜在的な存在を示す検出結果を生成するたびに、GuardDuty が影響を受けた可能性のあるリソースにアタッチされた Amazon EBS ボリュームにエージェントレスマルウェアスキャンを自動的に開始します。詳細については、「GuardDuty 実行型マルウェアスキャン」を参照してください。 |
Amazon EC2 インスタンスの Amazon リソースネーム (ARN) を指定すると、オンデマンドマルウェアスキャンを開始できます。リソースに GuardDuty の検出結果が生成されない場合でも、オンデマンドのマルウェアスキャンを開始できます。詳細については、「GuardDuty でのオンデマンドマルウェアスキャン」を参照してください。 |
設定が必要です |
GuardDuty 実行型マルウェアスキャンを使用するには、アカウントで有効にする必要があります。AWS Organizations または招待ベースのメソッドを使用して複数のアカウントを管理するには、「マルチアカウント環境での GuardDuty 実行型マルウェアスキャンの有効化」を参照してください。自分のアカウントで GuardDuty 実行型マルウェアスキャンを有効にするには、「スタンドアロンアカウントでの GuardDuty 実行型マルウェアスキャンの有効化」を参照してください。 |
アカウントで GuardDuty が有効になっている必要があります。オンデマンドマルウェアスキャンを使用するには、機能レベルでの設定は必要ありません。 |
新しいスキャンを開始するまでの待ち時間 |
GuardDuty がいずれかの GuardDuty 実行型マルウェアスキャンを起動する検出結果 を生成するたびに、24 時間に 1 回だけマルウェアスキャンが自動的に開始されます。 |
前回のスキャンの開始時刻から 1 時間後であれば、いつでも同じリソースに対してオンデマンドマルウェアスキャンを開始できます。 |
30 日間の無料トライアル期間の利用可能性 1 |
アカウントで初めて GuardDuty 実行型マルウェアスキャンを有効にする場合、30 日間の無料トライアル期間を使用できます。 GuardDuty 実行型マルウェアスキャンの詳細については、「GuardDuty 実行型マルウェアスキャンの 30 日間の無料トライアル」を参照してください。 |
新規または既存の GuardDuty アカウントのオンデマンドマルウェアスキャンには、無料トライアル期間はありません。 |
スキャンオプション2 |
GuardDuty 実行型マルウェアスキャンを設定した後、Malware Protection for EC2 では、タグを使用して特定の Amazon EC2 リソースをスキャンまたはスキップするオプションが提供されます。Malware Protection for EC2 は、スキャンから除外するように選択したリソースに対して自動スキャンを開始しません。詳細については、「ユーザー定義タグ付きのスキャンオプション」を参照してください。 |
オンデマンドマルウェアスキャンを手動で開始するためのリソース ARN を指定するため、「ユーザー定義タグ付きのスキャンオプション」の使用は適用できません。 |
1EBS ボリュームスナップショットの作成およびスナップショットの保持には使用料が発生します。スナップショットを保持するようにアカウントを設定する方法の詳細については、「スナップショットの保持」を参照してください。
2 GuardDuty 実行型マルウェアスキャンと、グローバルタグを使用したオンデマンドマルウェアスキャンのサポートの両方により、Amazon EC2 リソースがマルウェアスキャンから除外されます。詳細については、「グローバル GuardDutyExcluded タグ」を参照してください。
Elastic Block Storage (EBS) ボリューム
このセクションでは、GuardDuty 実行型マルウェアスキャンおよびオンデマンドマルウェアスキャンの両方を含め、Malware Protection for EC2 が Amazon EC2 インスタンスおよびコンテナワークロードに関連付けされた Amazon EBS ボリュームをスキャンする方法について説明します。先に進む前に、次のカスタマイズを検討してください。
-
スキャンオプション - Malware Protection for EC2 では、Amazon EC2 インスタンスおよび Amazon EBS ボリュームをスキャンプロセスに含めるまたは除外するタグを指定できます。GuardDuty 実行型マルウェアスキャンのみが、ユーザー定義タグ付けされたスキャンオプションをサポートしています。GuardDuty 実行型マルウェアスキャンおよびオンデマンドのマルウェアスキャンの両方はグローバル
GuardDutyExcluded
タグをサポートしています。詳細については、「ユーザー定義タグ付きのスキャンオプション」を参照してください。 -
スナップショット保持 - Malware Protection for EC2 は、Amazon EBS ボリュームのスナップショットを AWS アカウントで保持するオプションを提供します。デフォルトでは、このオプションは無効になっています。GuardDuty によるマルウェアスキャンとオンデマンドのマルウェアスキャンの両方でスナップショット保持を選択できます。詳細については、「スナップショットの保持」を参照してください。
GuardDuty が 1 つ以上の「GuardDuty 実行型マルウェアスキャンを起動する検出結果」を生成すると、このアクティビティが GuardDuty がマルウェアスキャンを開始する理由になります。スキャンオプションがこのインスタンスを除外しない場合、GuardDuty はスキャンを開始します。
Amazon EC2 インスタンスに関連付けされた Amazon EBS ボリュームにオンデマンドのマルウェアスキャンを開始するには、Amazon EC2 インスタンスの Amazon リソースネーム (ARN) を指定します。
オンデマンドマルウェアスキャンまたは GuardDuty 実行型自動マルウェアスキャンが開始された場合の応答として、GuardDuty は影響を受けた可能性のあるリソースにアタッチされた関連する EBS ボリュームのスナップショットを作成し、「GuardDuty サービスアカウント」と共有します。GuardDuty が EBS ボリュームのスナップショットを作成すると、GuardDutyScanId
というデフォルトのタグが追加されます。このタグは、GuardDuty がスナップショットにアクセスするのに役立ちます。このタグは削除しないでください。GuardDuty は、それらのスナップショットを元に、サービスアカウントで暗号化された EBS ボリュームのレプリカを作成します。
GuardDuty マルウェア検出方法と使用するスキャンエンジンの詳細については、「GuardDuty マルウェア検出のスキャンエンジン」を参照してください。
スキャンが完了すると、GuardDuty は暗号化された EBS ボリュームのレプリカと EBS ボリュームのスナップショットを削除します。マルウェアが見つかってスナップショットの保持設定を有効にする場合、EBS ボリュームのスナップショットは削除されず、自動的に AWS アカウントで保持されます。マルウェアが見つからないとき、スナップショットの保持設定とは関係なく、EBS ボリュームのスナップショットは保持されません。デフォルトでは、スナップショットの保持設定はオフになっています。スナップショットとその保持にかかるコストについては、「Amazon EBS の料金
GuardDuty は、各レプリカ EBS ボリュームをサービスアカウントに最大 55 時間保持します。サービスの停止、またはレプリカ EBS ボリュームとそのマルウェアスキャンでの障害が発生した場合、GuardDuty はそのような EBS ボリュームを 7 日間以下の期間にわたって保持します。ボリューム保持期間が延長されている間に、サービスの停止または障害のトリアージと対処をしてください。GuardDuty Malware Protection for EC2 は、停止または障害に対処した後、または延長された保持期間が経過すると、サービスアカウントから EBS ボリュームのレプリカを削除します。