Überwachen von Scanstatus und Ergebnissen in Malware Protection for Backup - Amazon GuardDuty

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachen von Scanstatus und Ergebnissen in Malware Protection for Backup

GuardDuty Stellt nach der Initiierung eines Malware-Scans einige Mechanismen zur Verfügung, mit denen Sie den Status und das Ergebnis eines Scans überwachen können. Die folgende Tabelle enthält einige der Werte, die mit Malware-Scans verknüpft sind.

Kategorie Mögliche Werte

Scan-Status

RUNNING, COMPLETED, COMPLETED_WITH_ISSUES, FAILED oder SKIPPED

Kategorie scannen

FULL_SCAN oder INCREMENTAL_SCAN

Scan-Typ

GUARDDUTY_INITIATED, ON_DEMAND oder BACKUP_INITIATED

Status der Scanergebnisse

NO_THREATS_FOUND oder THREATS_FOUND

*Beachten Sie, dass der Status der Scanergebnisse möglicherweise nicht angezeigt wird, wenn der Scan nicht abgeschlossen wurde. Der Status der Suchergebnisse von THREATS_FOUND gibt an, dass das Vorhandensein von Malware GuardDuty erkannt wurde.

Scans können aus verschiedenen Gründen auch übersprungen werden. In der folgenden Tabelle werden die Gründe erklärt, warum Scans übersprungen werden können:

Grund für den übersprungenen Scan Grund

ZUGRIFF VERWEIGERT

Customer Role verfügt nicht über die erforderlichen Berechtigungen, die der Service benötigt, um den Scan durchzuführen

RESOURCE_NOT_FOUND

Die Ressource, die gescannt werden soll, ist im Konto nicht vorhanden oder wurde beim Scannen gelöscht

SNAPSHOT_SIZE_LIMIT_EXCEEDED

Die Snapshot-Größe ist größer als derzeit unterstützt von GuardDuty

INCREMENTAL_NO_DIFFERENCE

Die in der Anfrage für den inkrementellen Scan angegebenen Ressourcen haben keinen Unterschied

RESOURCE_UNAVAILABLE

Die Ressource befindet sich nicht im erwarteten Zustand. Wenn der Scan inkrementell ist, befindet sich der Basiswiederherstellungspunkt nicht im Status VERFÜGBAR oder ABGESCHLOSSEN

UNRELATED_RESOURCES

Bei inkrementellen Scans stammen die Basisressource und die aktuelle Ressource nicht aus derselben Herkunft

BASE_RESOURCE_NOT_SCANNED

Bei inkrementellen Scans — die Basisressource wurde zuvor nicht gescannt oder es wurde kein abgeschlossener Scan gefunden

BASE_CREATED_AFTER_TARGET

Bei inkrementellen Scans liegt das Erstellungsdatum der Basisressource über dem Erstellungsdatum der aktuellen Ressource

UNSUPPORTED_FOR_INCREMENTAL

Der angeforderte Ressourcentyp unterstützt kein inkrementelles Scannen

UNSUPPORTED_AMI

Öffentliche AMIs, AMIs mit nur flüchtigem Speicher und AMIs, die sich nicht in einem verfügbaren Zustand befinden, sind nicht für das Scannen geeignet

UNSUPPORTED_SNAPSHOT

Cold Storage-Snapshots können nicht gescannt werden

UNSUPPORTED_COMPOSITE_RP

Das Scannen wird für zusammengesetzte Ressourcentypen nicht unterstützt

UNSUPPORTED_PRODUCT_CODE_TYPE

Die angeforderte Ressource enthält einen Amazon Marketplace-Produktcode, der das Scannen nicht unterstützt

AMI_SNAPSHOT_LIMIT_EXCEEDED

AMIs unterstützen nicht das Scannen von mehr als 40 Snapshots

NO_EBS_VOLUMES_FOUND

Für die angeforderte Ressource wurden keine Ebs-Blockgerätezuordnungen gefunden

UNRELATED_RESOURCES

Bei inkrementellen Scans unterscheidet sich der Arn der Basisressource vom Arn der erwarteten Ressource

Die Scanergebnisse haben eine Aufbewahrungsfrist von 90 Tagen. Wählen Sie Ihre bevorzugte Zugriffsmethode, um den Status Ihres Malware-Scans zu verfolgen.

Überwachen von Scans mithilfe der Konsole

  1. Öffnen Sie die GuardDuty Konsole unter https://console.aws.amazon.com/guardduty/.

  2. Wählen Sie im Navigationsbereich Malware-Scans.

  3. Sie können die Malware-Scans anhand der folgenden Eigenschaften filtern, die in der Filtersuchleiste verfügbar sind.

    • Scan-ID – Unique identifier associated with the malware scan.
    • Konto-ID – Account where the malware scan initiated.
    • ARN-Ressourcen – Amazon Resource Name (ARN) associated with the Amazon resource associated with the scan.
    • Ressourcentyp – The type of resource associated with the scan, such as EC2 Instance, EBS Snapshot | EC2 AMI, EBS Recovery Point, EC2 Recovery Point, or S3 Recovery Point.
    • Status – The scan status of the scan, such as Running, Skipped, Completed, Completed with Issues, or Failed.
    • Typ des Scans – Indicates whether this was an On-demand, GuardDuty-initiated, or Backup-Initiated malware scan.

Überwachung von Scans mithilfe der API/CLI

  • You can invoke ListMalwareScans to filter malware scans by RESOURCE_ARN, SCAN-ID, ACCOUNT_ID, SCANTYP GUARDDUTY_FINDING_ID, STATUS SCANNEN, RESSOURCENTYP, and STARTZEIT DES SCANS. You may also invoke GetMalwareScan to retrieve more detailed metadata of a scan by providing a scan-id as input. The GUARDDUTY_FINDING_ID filter criteria is available when the SCANTYP is GuardDuty initiated.
  • You may change the example Filterkriterien in the command below, and can filter on the basis of one CriterionKey at a time. The options for CriterionKey are Resource_ARN, SCAN-ID, ACCOUNT_ID, SCAN-TYP, GUARDDUTY_FINDING_ID, STATUS DES SCANNENS, RESSOURCENTYP, and STARTZEIT DES SCANS. You can change the maximale Anzahl von Ergebnissen (up to 50) and the Sortierkriterien. The AttributeName field is mandatory for Sortierkriterien and must be set to scanStartTime. In the following example, the values in red are placeholders. Replace them with the values appropriate for your account. If you use the same CriterionKey as below for ListMalwareScans, ensure to replace the example EqualsValue with the Ressourcentyp you want to filter by. 
    aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
    aws guardduty get-malware-scan --scan-id abc123
  • The response for the above command for ListMalwareScans will return up to 25 scans with some details about the affected resource(s). The response for the above command for GetMalwareScan will return a single scan with detailed metadata about the scan.

Überwachung von Scans mit EventBridge

Amazon EventBridge ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden. EventBridge liefert einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen, Software-as-a-Service (SaaS-) Anwendungen und Amazon-Diensten und leitet diese Daten an Ziele wie Lambda weiter. Auf diese Weise können Sie Ereignisse überwachen, die in Services auftreten, und ereignisgesteuerte Architekturen erstellen. Weitere Informationen finden Sie im EventBridge Amazon-Benutzerhandbuch.

GuardDuty veröffentlicht EventBridge Benachrichtigungen im Standard-Event-Bus, sobald ein Scan-Status ermittelt wurde. Sie können in Ihrem Konto EventBridge Regeln einrichten, um Ereignisse an andere in Amazon integrierte Dienste zu senden EventBridge. Es gelten die EventBridge Standardpreise. Weitere Informationen finden Sie unter EventBridge Amazon-Preise.

Viele der unten aufgeführten Werte sind Platzhalter für das Beispiel und variieren je nach Scan.

Ergebnisse und Ereignisse des Malware-Scans

Mögliche Detailtypwerte für Backup:

  • “GuardDuty Malware Protection EBS Snapshot Scan Result”
  • “GuardDuty Malware Protection EC2 AMI Scan Result”
  • “GuardDuty Malware Protection S3 Recovery Point Scan Result”
  • “GuardDuty Malware Protection EBS Recovery Point Scan Result”
  • “GuardDuty Malware Protection EC2 Recovery Point Scan Result”

Beispiel für ein Ereignismuster:

{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

Beispiel für ein Benachrichtigungsschema für einen EC2 AMI-Scan ohne gefundene Bedrohungen:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}
Mehr anzeigenWeniger anzeigen

Beispiel für ein Benachrichtigungsschema für einen EC2 AMI-Scan mit gefundenen Bedrohungen:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}
Mehr anzeigenWeniger anzeigen

Beispiel für ein Benachrichtigungsschema für einen übersprungenen EC2 AMI-Scan:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}
Mehr anzeigenWeniger anzeigen