的惡意軟體保護中的自訂 EC2 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

的惡意軟體保護中的自訂 EC2

本節說明如何在叫用惡意軟體掃描時自訂 Amazon EC2執行個體或容器工作負載的掃描選項,無論是隨需啟動或透過 啟動 GuardDuty。

快照保留

GuardDuty 可讓您選擇在 AWS 帳戶中保留EBS磁碟區的快照。依預設,快照保留設定為關閉。只有在掃描開始前開啟此設定時,才會保留快照。

開始掃描時, 會根據磁碟EBS區的快照 GuardDuty 產生複本EBS磁碟區。掃描完成且帳戶中的快照保留設定已開啟後,只有在找到惡意軟體並EC2 調查結果類型的惡意軟體防護產生時,才會保留EBS磁碟區的快照。無論您是否已開啟快照保留設定,在未偵測到惡意軟體時, 都會 GuardDuty 自動刪除磁碟EBS區的快照。

快照使用費

在惡意軟體掃描期間,由於 GuardDuty 會建立 Amazon EBS磁碟區的快照,因此此步驟會產生相關的使用成本。如果您開啟帳戶的快照保留設定,當發現惡意軟體並保留快照時,將會產生相同的使用費。如需有關快照成本及其保留的資訊,請參閱 Amazon EBS定價

身為委派的 GuardDuty 管理員帳戶,只有您可以代表組織成員帳戶進行此更新。但是,如果成員帳戶是由邀請方法 管理,他們可以自行進行此變更。如需詳細資訊,請參閱管理員帳戶和成員帳戶關係

選擇您偏好的存取方式,以便開啟快照保留設定。

Console
  1. 在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中的保護計畫 下,選擇 的惡意軟體保護EC2

  3. 選擇主控台底部的一般設定。若要保留快照,請開啟快照保留

API/CLI

執行 UpdateMalwareScanSettings 以更新快照保留設定的目前組態。

或者,您可以執行下列 AWS CLI 命令,以便在 GuardDuty 惡意軟體防護EC2產生調查結果時自動保留快照。

請務必取代 detector-id 使用您自己的有效 detectorId

若要尋找detectorId您帳戶和目前區域的 ,請參閱https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

如果您想要關閉快照保留功能,請使用 NO_RETENTION 取代 RETENTION_WITH_FINDING

具有使用者定義標籤的掃描選項

透過使用 GuardDuty啟動的惡意軟體掃描,您也可以指定標籤,以包含或排除掃描和威脅偵測程序中的 Amazon EC2執行個體和 Amazon EBS磁碟區。您可以在包含或排除標籤清單中編輯標籤,自訂每個 GuardDuty啟動的惡意軟體掃描。每個清單最多可包含 50 個標籤。

如果您還沒有與EC2資源相關聯的使用者定義標籤,請參閱 Amazon 使用者指南中的標記您的 Amazon EC2 資源,或 Amazon EC2使用者指南 中的標記您的 Amazon EC2 資源 EC2

注意

隨需惡意軟體掃描不支援具有使用者定義標籤的掃描選項 支援 全域 GuardDutyExcluded 標籤

從惡意軟體掃描中排除EC2執行個體

如果您想要在掃描程序期間排除任何 Amazon EC2執行個體或 Amazon EBS磁碟區,您可以將任何 true Amazon EC2執行個體或 Amazon 磁碟EBS區的GuardDutyExcluded標籤設定為 ,而且 GuardDuty 不會掃描它。如需有關 GuardDutyExcluded 標籤的詳細資訊,請參閱的惡意軟體防護的服務連結角色許可 EC2。您也可以將 Amazon EC2執行個體標籤新增至排除清單。如果您將多個標籤新增至排除標籤清單,則惡意軟體掃描程序將排除包含至少其中一個這些標籤的任何 Amazon EC2執行個體。

身為委派的 GuardDuty 管理員帳戶,只有您可以代表組織成員帳戶進行此更新。不過,如果成員帳戶是由邀請方法 管理,他們可以自行進行此變更。如需詳細資訊,請參閱管理員帳戶和成員帳戶關係

選擇您偏好的存取方法,將與 Amazon EC2執行個體相關聯的標籤新增至排除清單。

Console
  1. 在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中的保護計劃 下,選擇 的惡意軟體保護EC2

  3. 展開包含/排除標籤區段。選擇 Add tags (新增標籤)

  4. 選擇排除標籤,然後選擇確認

  5. 指定您要排除的標籤 KeyValue 對。可選擇性提供 Value。新增所有標籤後,請選擇儲存

    重要

    標籤金鑰與值皆區分大小寫。如需詳細資訊,請參閱 Amazon EC2使用者指南中的標籤限制Amazon EC2使用者指南 中的標籤限制

    如果未提供金鑰的值,且EC2執行個體使用指定的金鑰標記,則無論標籤的指派值為何,此EC2執行個體都會從 GuardDuty啟動的惡意軟體掃描程序排除。

API/CLI

從掃描程序UpdateMalwareScanSettings排除EC2執行個體或容器工作負載來執行。

下列 AWS CLI 範例命令會將新標籤新增至排除標籤清單。取代範例 detector-id 使用您自己的有效 detectorId

MapEqualsKey/Value 對的清單。

若要尋找detectorId您帳戶和目前區域的 ,請參閱https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
重要

標籤金鑰與值皆區分大小寫。如需詳細資訊,請參閱 Amazon EC2使用者指南中的標籤限制Amazon EC2使用者指南 中的標籤限制

在惡意軟體掃描中包含EC2執行個體

如果您想要掃描EC2執行個體,請將其標籤新增至包含清單。當您將標籤新增至包含標籤清單時,不包含任何新增標籤的EC2執行個體會從惡意軟體掃描中略過。如果您將多個標籤新增至包含標籤清單,惡意軟體掃描中會包含至少包含其中一個標籤的EC2執行個體。有時候,EC2執行個體可能會在掃描過程中因為其他原因略過。如需詳細資訊,請參閱惡意軟體掃描期間略過資源的原因

身為委派的 GuardDuty 管理員帳戶,只有您可以代表組織成員帳戶進行此更新。不過,如果成員帳戶是由邀請方法 管理,他們可以自行進行此變更。如需詳細資訊,請參閱管理員帳戶和成員帳戶關係

選擇您偏好的存取方法,將與EC2執行個體相關聯的標籤新增至包含清單。

Console
  1. 在 開啟 GuardDuty 主控台https://console.aws.amazon.com/guardduty/

  2. 在導覽窗格中的保護計劃 下,選擇 的惡意軟體保護EC2

  3. 展開包含/排除標籤區段。選擇 Add tags (新增標籤)

  4. 選擇包含標籤,然後選擇確認

  5. 選擇新增包含標籤,然後指定您要包含的標籤的 KeyValue 對。可選擇性提供 Value

    新增所有包含標籤之後,請選擇儲存

    如果未提供索引鍵的值,則無論標籤的指派值為何,EC2執行個體EC2都會以指定的索引鍵標記,包含在惡意軟體防護掃描EC2程序中。

API/CLI
  • 執行 UpdateMalwareScanSettings 以在掃描程序中包含EC2執行個體或容器工作負載。

    下列 AWS CLI 範例命令會將新標籤新增至包含標籤清單。確保您取代了範例 detector-id 使用您自己的有效 detectorId。取代範例 TestKey 以及 TestValue 與EC2資源相關聯的標籤KeyValue對。

    MapEqualsKey/Value 對的清單。

    若要尋找detectorId您帳戶和目前區域的 ,請參閱https://console.aws.amazon.com/guardduty/主控台中的設定頁面,或執行 ListDetectors API.

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    重要

    標籤金鑰與值皆區分大小寫。如需詳細資訊,請參閱 Amazon EC2使用者指南中的標籤限制Amazon EC2使用者指南 中的標籤限制

注意

GuardDuty 偵測新標籤最多可能需要 5 分鐘的時間。

您可以隨時選擇包含標籤排除標籤,但不能同時選擇兩者。如果您想要在標籤之間切換,請在新增標籤時從下拉式選單中選擇該標籤,然後確認您的選擇。此動作會清除所有目前的標籤。

全域 GuardDutyExcluded 標籤

GuardDuty 使用全域標籤金鑰 GuardDutyExcluded,您可以將該金鑰新增至 Amazon EC2 資源並將標籤值設定為 true。此具有此標籤索引鍵和值對的 Amazon EC2 資源將從惡意軟體掃描中排除。掃描類型 GuardDuty(啟動的惡意軟體掃描和隨需惡意軟體掃描) 都支援全域標籤。如果您在 Amazon 上啟動隨需惡意軟體掃描EC2,將產生掃描 ID。不過,掃描會略過並附上EXCLUDED_BY_SCAN_SETTINGS原因。如需詳細資訊,請參閱惡意軟體掃描期間略過資源的原因