GuardDuty Proteção contra malware para EC2 - Amazon GuardDuty
Volume do Elastic Block Storage (EBS)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

GuardDuty Proteção contra malware para EC2

O Malware Protection for EC2 ajuda você a detectar a possível presença de malware examinando os volumes do Amazon Elastic Block Store (AmazonEBS) que estão conectados às instâncias do Amazon Elastic Compute Cloud (AmazonEC2) e às cargas de trabalho de contêineres em execução na Amazon. EC2 O Malware Protection for EC2 fornece opções de verificação nas quais você pode decidir se deseja incluir ou excluir EC2 instâncias específicas da Amazon no momento da verificação. Ele também oferece a opção de reter os instantâneos dos EBS volumes da Amazon anexados às EC2 instâncias da Amazon ou às cargas de trabalho de contêineres em suas GuardDuty contas. Os instantâneos são retidos somente quando o malware é encontrado e a Proteção contra Malware para EC2 descobertas é gerada.

O Malware Protection EC2 for foi projetado de forma que não afete o desempenho de seus recursos. Para obter informações sobre como o Malware Protection for EC2 funciona GuardDuty internamente, consulteVolume do Elastic Block Storage (EBS). Para obter informações sobre a disponibilidade da Proteção contra Malware EC2 em diferentes Regiões da AWS, consulteRegiões e endpoints.

Observação

GuardDuty O Malware Protection for EC2 não é compatível com o Fargate nem com a Amazon nem com a EKS Amazon. ECS

O Malware Protection for EC2 oferece dois tipos de escaneamento para detectar atividades potencialmente maliciosas em suas EC2 instâncias e cargas de trabalho de contêineres da Amazon: escaneamento de GuardDuty malware iniciado e escaneamento de malware sob demanda. A tabela a seguir mostra a comparação entre os dois tipos de verificação.

Factor

GuardDuty- verificação de malware iniciada

Verificação de malware sob demanda

Como a verificação é invocada

Depois de ativar a verificação de GuardDuty malware iniciada, sempre que GuardDuty gerar uma descoberta que indique a presença potencial de malware em uma EC2 instância da Amazon ou em uma carga de trabalho de contêiner, inicia GuardDuty automaticamente uma verificação de malware sem agente nos EBS volumes da Amazon anexados ao seu recurso potencialmente afetado. Para obter mais informações, consulte GuardDuty- verificação de malware iniciada.

Você pode iniciar uma verificação de malware sob demanda fornecendo o Amazon Resource Name (ARN) da sua instância AmazonEC2. Você pode iniciar uma verificação de malware sob demanda mesmo quando nenhuma GuardDuty descoberta for gerada para seu recurso. Para obter mais informações, consulte Análise de malware sob demanda em GuardDuty.

Configuração necessária

Para usar a verificação GuardDuty de malware iniciada, você deve habilitá-la para sua conta. Para gerenciar várias contas usando AWS Organizations nosso método baseado em convite, consulteHabilitando a verificação GuardDuty de malware iniciada em ambientes com várias contas. Para ativar a verificação GuardDuty de malware iniciada em sua própria conta, consulteAtivando a verificação de malware GuardDuty iniciada para uma conta independente.

Sua conta deve estar GuardDuty ativada. Para usar a verificação de malware sob demanda, não há necessidade de configuração no nível do recurso.

Tempo de espera para iniciar uma nova verificação

Sempre que GuardDuty gera um delesDescobertas que invocam uma verificação GuardDuty de malware iniciada, uma verificação de malware é iniciada automaticamente apenas uma vez a cada 24 horas.

Você pode iniciar uma verificação de malware sob demanda no mesmo recurso a qualquer momento após 1 hora a partir da hora de início da verificação anterior.

Disponibilidade do período de teste gratuito de 30 dias 1

Ao ativar a verificação de GuardDuty malware iniciada pela primeira vez em sua conta, você pode usar um período de teste gratuito de 30 dias.

Para obter mais informações sobre a verificação GuardDuty de malware iniciada, consulteTeste gratuito de 30 dias na verificação de GuardDuty malware iniciada.

Não há período de teste gratuito com a verificação de malware sob demanda para GuardDuty contas novas ou existentes.

Opções de digitalização 2

Depois de configurar a verificação de GuardDuty malware iniciada, o Malware Protection for EC2 oferece a opção de verificar ou ignorar EC2 recursos específicos da Amazon usando tags. O Malware Protection for não EC2 iniciará uma verificação automática dos recursos que você optar por excluir da verificação. Para obter mais informações, consulte Opções de verificação com tags definidas pelo usuário.

Como você fornece o recurso ARN para iniciar manualmente uma verificação de malware sob demanda, o uso não Opções de verificação com tags definidas pelo usuário é aplicável.

1 Você incorrerá em custos de uso para criar instantâneos de EBS volume e reter instantâneos. Para obter mais informações sobre como configurar sua conta para reter instantâneos, consulte. Retenção de snapshots

2 Tanto o escaneamento de GuardDuty malware iniciado quanto o escaneamento de malware sob demanda oferecem suporte ao uso de uma tag global para excluir EC2 recursos da Amazon dos escaneamentos de malware. Para obter mais informações, consulte Tag GuardDutyExcluded global.

Volume do Elastic Block Storage (EBS)

Esta seção explica como o Malware Protection forEC2, incluindo a verificação de GuardDuty malware iniciada e a verificação de malware sob demanda, verifica os EBS volumes da Amazon associados às suas EC2 instâncias e cargas de trabalho de contêineres da Amazon. Antes de continuar, considere as seguintes personalizações:

  • Opções de verificação — O Malware Protection for EC2 oferece a capacidade de especificar tags para incluir ou excluir EC2 instâncias da Amazon e EBS volumes da Amazon do processo de verificação. Somente a verificação GuardDuty de malware iniciada oferece suporte às opções de verificação com tags definidas pelo usuário. Tanto a verificação GuardDuty de malware iniciada quanto a verificação de malware sob demanda oferecem suporte à tag globalGuardDutyExcluded. Para obter mais informações, consulte Opções de verificação com tags definidas pelo usuário.

  • Retenção de instantâneos — O Malware Protection for EC2 oferece uma opção para reter os instantâneos dos EBS volumes da Amazon em sua AWS conta. Esta opção está desabilitada por padrão. Você pode optar pela retenção de instantâneos para escaneamentos de malware GuardDuty iniciados e sob demanda. Para obter mais informações, consulte Retenção de snapshots.

Quando GuardDuty gera uma ou maisDescobertas que invocam uma verificação GuardDuty de malware iniciada, essa atividade será um motivo GuardDuty para iniciar uma verificação de malware. Se suas opções de escaneamento não excluírem essa instância, então GuardDuty iniciará o escaneamento.

Para iniciar uma verificação de malware sob demanda nos EBS volumes da Amazon associados a uma EC2 instância da Amazon, forneça o Amazon Resource Name (ARN) da instância da AmazonEC2.

Como resposta ao início de uma verificação de malware sob demanda ou GuardDuty de uma verificação automática de malware, GuardDuty cria instantâneos dos EBS volumes relevantes anexados ao recurso potencialmente afetado e os compartilha com o. GuardDuty conta de serviço Ao GuardDuty criar um instantâneo de seus EBS volumes, ele adiciona uma tag padrão chamadaGuardDutyScanId. Essa tag ajuda GuardDuty a acessar o instantâneo. Certifique-se de não remover essa tag. A partir desses instantâneos, GuardDuty cria um EBS volume de réplica criptografado na conta de serviço.

Para obter informações sobre a metodologia de detecção de GuardDuty malware e os mecanismos de verificação que ela usa, consulteGuardDuty mecanismo de verificação de detecção de malware.

Depois que a verificação for concluída, GuardDuty excluirá os volumes de réplica criptografados e EBS os instantâneos dos seus volumes. EBS Se um malware for encontrado e você tiver ativado a configuração de retenção de instantâneos, os instantâneos dos seus EBS volumes não serão excluídos e serão automaticamente retidos em sua conta. AWS Quando nenhum malware for encontrado, os instantâneos de seus EBS volumes não serão retidos, independentemente da configuração de retenção de instantâneos. Como padrão, a configuração de retenção de snapshots permanece desabilitada. Para obter informações sobre os custos dos instantâneos e sua retenção, consulte os EBSpreços da Amazon.

GuardDuty reterá cada EBS volume de réplica na conta de serviço por até 55 horas. Se houver uma interrupção do serviço ou falha com um EBS volume de réplica e sua verificação de malware, esse EBS volume GuardDuty será retido por no máximo sete dias. O período estendido de retenção de volume serve para fazer a triagem e resolver a interrupção ou falha. GuardDuty O Malware Protection for EC2 excluirá os EBS volumes de réplica da conta de serviço após a interrupção ou falha ser resolvida, ou quando o período de retenção estendido expirar.