View a markdown version of this page

Wie funktioniert Malware Protection for Backup? - Amazon GuardDuty
-ÜbersichtFür das Scannen ist eine IAM-Rolle erforderlichStatus und Ergebnis des Ressourcenscans werden überprüftÜberprüfung der generierten Ergebnisse

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie funktioniert Malware Protection for Backup?

In diesem Abschnitt werden die Komponenten von Malware Protection for Backup beschrieben, wie es funktioniert und wie Sie den Status und das Ergebnis des Malware-Scans überprüfen können.

-Übersicht

Malware Protection for Backup ist eine Funktion, mit der Sie das Vorhandensein von Malware auf EBS-Snapshots, EC2-Images (AMI) und Wiederherstellungspunkten der Ressourcentypen EBS, EC2 und S3 erkennen können. Sie können einen On-Demand-Malware-Scan entweder über die GuardDuty Konsole oder die API starten, indem Sie eine IAM-Rolle übergeben, die die für den Scan erforderlichen Berechtigungen sowie je nach Scan-Kategorie ein oder zwei Ressourcen-ARNs bereitstellt. Es sind zwei Scan-Kategorien möglich: vollständige Scans und inkrementelle Scans.

Vollständiger Scan und Inkrementeller Scan

Bei einem vollständigen Scan akzeptiert die API einen Ressourcen-ARN und scannt alle Dateien innerhalb dieser Ressource. Ein inkrementeller Scan verwendet dagegen zwei Ressourcen-ARNs, die beide zu derselben Ressource gehören, und scannt die geänderten Dateien zwischen ihnen. Nehmen wir als Beispiel an, wir erstellen einen Snapshot eines EBS-Volumes. Nennen wir es Snapshot-1. Wenn für diesen Snapshot ein vollständiger Scan durchgeführt wird, werden alle in diesem Snapshot enthaltenen Dateien GuardDuty gescannt. Gehen wir nun davon aus, dass einige Dateien demselben Volume hinzugefügt wurden und ein neuer Snapshot erstellt wird. Nennen wir es Snapshot-2. Da sich nur wenige Dateien zwischen Snapshot-1 und Snapshot-2 geändert haben, kann man mit den Ressourcen-ARNs dieser beiden Snapshots einen inkrementellen Scan auslösen. In diesem Fall wird Snapshot-2 als Ressource und Snapshot-1 als Ressource bezeichnet. target base Sie werden sehen, dass diese Terminologie im Rest des Dokuments verwendet wird. Bei diesem inkrementellen Scan werden die geänderten Dateien zwischen Snapshot-1 und Snapshot-2 gescannt.

Suche nach Point-in-Time-Recovery Schadsoftware (PITR)

Wenn diese Option im AWS Backup aktiviert ist, erfolgt die Malware-Suche nach fortlaufenden Backups oder PITR entsprechend der im Backup-Plan konfigurierten Häufigkeit. Dies wird vom AWS Backup-Dienst orchestriert. Führt beispielsweise GuardDuty den ersten Scan von t0 nach t2, den nächsten Scan von t2 nach t4, den nachfolgenden Scan von t4 nach t6 usw. aus. Jeder dieser Scans generiert eine Scan-ID, die mithilfe der GetMalwareScan API abgefragt werden kann, um den Status und das Ergebnis des Scans für diesen Zeitraum abzurufen.

Alternativ können Sie auch die gesamte PITR-Ressource von der GuardDuty Konsole aus oder mithilfe der GuardDuty StartMalwareScan API bei Bedarf scannen, indem Sie einen Endzeitstempel übergeben. Dadurch wird sichergestellt, dass die gesamte Ressource vom Anfang bis zum Endzeitstempel GuardDuty gescannt wird.

Anmerkung

  • Sie können keine teilweisen oder inkrementellen Scans auf PITR von aus auslösen. GuardDuty

  • Der für einen Scan auf Anforderung übergebene Endzeitstempel darf nicht älter als (aktuelle Uhrzeit — 15 Minuten) sein.

Zuvor infizierte Dateien im Rahmen eines inkrementellen Scans erneut scannen

Im Rahmen eines inkrementellen Scans GuardDuty werden auch die zuvor infizierten Dateien aus dem Basis-Scan bis zu 365 Tage lang erneut gescannt.

Voraussetzungen für einen inkrementellen Scan

Die folgenden Voraussetzungen müssen erfüllt sein, GuardDuty um einen inkrementellen Scan durchführen zu können. Wenn eine dieser Anforderungen nicht erfüllt ist, GuardDuty wird der Scan übersprungen.

  • Die Basisressource muss innerhalb der letzten 365 Tage gescannt werden und das Scanergebnis muss den Wert COMPLETED oder habenCOMPLETED_WITH_ISSUES.

  • Das Erstellungsdatum der Basisressource muss vor dem der Zielressource liegen.

  • Bei Snapshots müssen die Basis- und Zielressourcen denselben Verschlüsselungstyp haben.

  • Die Basis- und Zielressourcen müssen aus derselben Herkunft stammen.

    • Für einen EBS-Snapshot und einen EBS-Wiederherstellungspunkt bedeutet dies, dass sie entweder von demselben Volume oder von Kopien desselben Volumes stammen, ohne dass sich der Verschlüsselungstyp ändert.

    • Für einen S3-Wiederherstellungspunkt müssen die Basis- und Zielressourcen-ARNs aus demselben zugrunde liegenden S3-Bucket erstellt werden.

    • Bei AMIs werden Snapshot-Paare zwischen dem Basis- und dem Ziel-AMI verglichen, um Snapshots für einen inkrementellen Scan zu identifizieren. Jedes Snapshot-Paar muss die oben genannten Bedingungen erfüllen. Jeder Snapshot innerhalb des Ziel-AMI, für den kein entsprechender Snapshot im Basis-AMI vorhanden ist, wird übersprungen.

Re-scanning zuvor gescannte Backup-Ressourcen

Sie können einen neuen On-Demand-Malware-Scan für dieselbe Ressource starten, wenn der vorherige Malware-Scan 10 Minuten nach dem Startzeitpunkt des vorherigen Malware-Scans beginnt. Wenn der neue Malware-Scan innerhalb von 10 Minuten nach dem Start des vorherigen Malware-Scans gestartet wird, führt Ihre Anfrage zu dem folgenden Fehler, und es wird keine Scan-ID für diese Anfrage generiert. Die Schritte zum erneuten Scannen der Instanz sind dieselben wie beim ersten Starten eines On-Demand-Malware-Scans.

Für das Scannen ist eine IAM-Rolle erforderlich

Sie müssen eine IAM-Rolle übergeben, um einen vollständigen oder inkrementellen Scan zu starten. Diese Rolle bietet die für die Ausführung der Scanvorgänge erforderlichen Berechtigungen. GuardDuty Malware-Schutz für Backup: IAM-Rollenberechtigungenstellt die genaue Liste der erforderlichen Berechtigungen zusammen mit der entsprechenden Vertrauensrichtlinie bereit, die für die Durchführung des Scans erforderlich ist.

Status und Ergebnis des Ressourcenscans werden überprüft

GuardDuty veröffentlicht das Scanergebnis-Ereignis im EventBridge Amazon-Standardereignisbus. GuardDuty verwendet mindestens eine einmalige Zustellung, was bedeutet, dass Sie möglicherweise mehrere Scanergebnisse für dasselbe Objekt erhalten. Wir empfehlen, Ihre Anwendungen so zu gestalten, dass doppelte Ergebnisse verarbeitet werden. Für jedes gescannte Objekt wird Ihnen nur einmal eine Rechnung gestellt.

Weitere Informationen finden Sie unter Überwachen von Scanstatus und Ergebnissen in Malware Protection for Backup.

Überprüfung der generierten Ergebnisse

Die Überprüfung der Ergebnisse hängt davon ab, ob Sie Malware Protection for Backup mit verwenden oder nicht GuardDuty. Betrachten Sie folgende Szenarien:

Verwenden von Malware Protection for Backup, wenn Sie den GuardDuty Dienst aktiviert haben (Detector-ID)

Wenn der Malware-Scan eine potenziell schädliche Datei in einer gescannten Backup-Ressource entdeckt, GuardDuty wird ein entsprechender Befund generiert. Sie können sich die Details des Befundes ansehen und die empfohlenen Schritte anwenden, um das Ergebnis möglicherweise zu beheben. Basierend auf der Häufigkeit Ihrer Exportergebnisse wird das generierte Ergebnis in einen S3-Bucket und einen EventBridge Amazon-Event-Bus exportiert.

Informationen zu dem Findetyp, der generiert werden würde, Malware-Schutz für Backup-Suchtypen finden Sie unter Suchtypen für Malware Protection for Backup.

Verwendung von Malware Protection for Backup als eigenständige Funktion (keine Detektor-ID)

GuardDuty kann keine Ergebnisse generieren, da keine zugehörige Detektor-ID vorhanden ist. Um den Scanstatus für Ihre Backup-Ressource zu ermitteln, können Sie sich das Scanergebnis ansehen, das GuardDuty automatisch in Ihrem Standard-Event-Bus veröffentlicht wird.

Informationen zum Scanstatus und zum Ergebnis finden Sie unterÜberwachen von Scanstatus und Ergebnissen in Malware Protection for Backup.

Anmerkung

Wenn Sie auch Malware Protection for S3 verwenden, besteht die Möglichkeit, dass Ihre S3-Datei zuvor als NO_THREATS_FOUND markiert wurde und dennoch dieselbe Datei in der Bedrohungsliste für den Backup Recovery Point auftaucht, zu dem das Objekt gehört. Dies liegt daran, dass der Dienst seine Malware-Signaturen häufig aktualisiert, wodurch sich möglicherweise der Status der Datei geändert hat. Bitte beachten Sie, dass in solchen Fällen GuardDuty nicht zurückgegriffen und das Tag auf der Datei im ursprünglichen S3-Bucket aktualisiert wird. Die einzige Möglichkeit, ein aktualisiertes Tag auf die Datei anzuwenden, besteht darin, das Objekt erneut in den Bucket hochzuladen oder die On-Demand-Scanfunktion für S3 zu verwenden.