CloudWatch Los registros de auditoría en GuardDuty Malware Protection for EC2 GuardDuty Protección contra malware para la retención de registros de EC2 Motivos para omitir un recurso

Descripción de CloudWatch los registros y los motivos por los que se omiten recursos durante el escaneo de EC2 con Malware Protection

GuardDuty Malware Protection for EC2 publica los eventos en su grupo de CloudWatch registros de Amazon/aws/guardduty/malware-scan-events. Para cada uno de los eventos relacionados con el análisis de malware, puede supervisar el estado y el resultado del análisis de los recursos afectados. Es posible que se hayan omitido determinados recursos de Amazon EC2 y volúmenes de Amazon EBS durante el análisis de Malware Protection for EC2.

CloudWatch Los registros de auditoría en GuardDuty Malware Protection for EC2

El grupo de registros/aws/guardduty/malware CloudWatch -scan-events admite tres tipos de eventos de análisis.

Nombre del evento de análisis de Malware Protection for EC2	Explicación
`EC2_SCAN_STARTED`	Se crea cuando una protección contra GuardDuty malware para EC2 inicia el proceso de escaneo de malware, por ejemplo, cuando se prepara para tomar una instantánea de un volumen de EBS.
`EC2_SCAN_COMPLETED`	Se crea cuando GuardDuty Malware Protection for EC2 escanea al menos uno de los volúmenes de EBS del recurso afectado. Este evento también incluye el valor de `snapshotId` que pertenece al volumen de EBS analizado. Una vez finalizado el análisis, el resultado será `CLEAN`, `THREATS_FOUND` o `NOT_SCANNED`.
`EC2_SCAN_SKIPPED`	Se crea cuando el escaneo de GuardDuty Malware Protection for EC2 omite todos los volúmenes de EBS del recurso afectado. Para identificar el motivo de la omisión, seleccione el evento correspondiente y consulte los detalles. Para obtener más información sobre los motivos de la omisión, consulte Motivos para omitir un recurso durante el análisis de malware a continuación.

nota

Si utilizas una AWS Organizations, los eventos de CloudWatch registro de las cuentas de los miembros de Organizations se publican tanto en la cuenta del administrador como en el grupo de registro de la cuenta de miembro.

Elige el método de acceso que prefieras para ver y consultar CloudWatch los eventos.

GuardDuty Protección contra malware para la retención de registros de EC2

El período de retención de registros predeterminado para el grupo de registros/aws/guardduty/malware-scan-events es de 90 días, tras los cuales los eventos de registro se eliminan automáticamente. Para cambiar la política de retención de registros de tu grupo de CloudWatch registros, consulta Cambiar la retención de datos de registro en CloudWatch los registros en la Guía del CloudWatch usuario de Amazon o PutRetentionPolicyen la Referencia de la CloudWatch API de Amazon.

Motivos para omitir un recurso durante el análisis de malware

En los eventos relacionados con el análisis de malware, es posible que se hayan omitido algunos recursos de EC2 y volúmenes de EBS durante el proceso de análisis. En la siguiente tabla se enumeran los motivos por los que GuardDuty Malware Protection for EC2 puede no analizar los recursos. Si procede, siga los pasos propuestos para resolver estos problemas y analice estos recursos la próxima vez que GuardDuty Malware Protection for EC2 inicie un análisis de malware. Los demás problemas se utilizan para informarle sobre el curso de los eventos y no son procesables.

Razones de omisión	Explicación	Pasos propuestos
`RESOURCE_NOT_FOUND`	La `resourceArn` información proporcionada para iniciar el análisis de malware bajo demanda no se encontró en su AWS entorno.	Valide el valor de `resourceArn` de la carga de trabajo de su instancia o contenedor de Amazon EC2 e inténtelo de nuevo.
`ACCOUNT_INELIGIBLE`	El ID de AWS cuenta desde el que intentó iniciar un análisis de malware bajo demanda no está activado GuardDuty.	Comprueba que GuardDuty esté activado para esta AWS cuenta. Cuando GuardDuty habilitas una nueva Región de AWS , la sincronización puede tardar hasta 20 minutos.
`UNSUPPORTED_KEY_ENCRYPTION`	GuardDuty Malware Protection for EC2 admite volúmenes cifrados y no cifrados con una clave gestionada por el cliente. No admite el análisis de volúmenes de EBS cifrados con el cifrado de Amazon EBS. Actualmente, existe una diferencia regional por la que no se aplica este motivo de omisión. Para obtener más información al respecto Regiones de AWS, consulte. Disponibilidad de características específicas por región	Sustituya la clave de cifrado por una clave administrada por el cliente. Para obtener más información sobre los tipos de cifrado GuardDuty compatibles, consulteVolúmenes de Amazon EBS compatibles con el análisis de malware.
`EXCLUDED_BY_SCAN_SETTINGS`	La instancia de EC2 o el volumen de EBS se excluyó durante el análisis de malware. Hay dos posibilidades: la etiqueta se agregó a la lista de inclusión, pero el recurso no está asociado a esta etiqueta, la etiqueta se agregó a la lista de exclusión y el recurso está asociado a esta etiqueta o la etiqueta `GuardDutyExcluded` está establecida en `true` para este recurso.	Actualice las opciones de análisis o las etiquetas asociadas a su recurso de Amazon EC2. Para obtener más información, consulte Opciones de análisis con etiquetas definidas por el usuario.
`UNSUPPORTED_VOLUME_SIZE`	El volumen es mayor que 2048 GB.	No se puede procesar.
`NO_VOLUMES_ATTACHED`	GuardDuty Malware Protection for EC2 encontró la instancia en su cuenta, pero no se adjuntó ningún volumen de EBS a esta instancia para continuar con el escaneo.	No se puede procesar.
`UNABLE_TO_SCAN`	Se trata de un error de servicio interno.	No se puede procesar.
`SNAPSHOT_NOT_FOUND`	No se encontraron las instantáneas creadas a partir de los volúmenes de EBS y compartidas con la cuenta de servicio, y GuardDuty Malware Protection for EC2 no pudo continuar con el escaneo.	Asegúrese de que CloudTrail las instantáneas no se hayan eliminado de forma intencionada.
`SNAPSHOT_QUOTA_REACHED`	Ha alcanzado el volumen máximo permitido de instantáneas para cada región. Esto impide no solo retener, sino también crear nuevas instantáneas.	Puede eliminar las instantáneas antiguas o solicitar un aumento de cuota. Puede ver el límite predeterminado de instantáneas por región y consultar cómo solicitar un aumento de cuota en el apartado Service quotas en la Guía de referencia general de AWS .
`MAX_NUMBER_OF_ATTACHED_VOLUMES_REACHED`	Se adjuntaron más de 11 volúmenes de EBS a una instancia EC2. GuardDuty Malware Protection for EC2 escaneó los primeros 11 volúmenes de EBS y los obtuvo ordenándolos alfabéticamente. `deviceName`	No se puede procesar.
`UNSUPPORTED_PRODUCT_CODE_TYPE`	GuardDuty puede escanear la mayoría de las instancias con as. `productCode` `marketplace` Es posible que algunas instancias del mercado no sean aptas para el escaneo. GuardDuty omitirá esas instancias y registrará el motivo como`UNSUPPORTED_PRODUCT_CODE_TYPE`. Esta compatibilidad varía en AWS GovCloud (US) y en las regiones de China. Para obtener más información, consulte Disponibilidad de características específicas por región. Para obtener más información, consulte Pagado AMIs en la Guía del usuario de Amazon EC2. Para obtener más información sobre `productCode`, consulte ProductCode en la Referencia de la API de Amazon EC2.	No se puede procesar.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Procesando los hallazgos con EventBridge

Informar de un resultado falso positivo en un análisis de EC2 malware