Supervisión de los estados de los escaneos y de los resultados en Malware Protection for Backup - Amazon GuardDuty

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Supervisión de los estados de los escaneos y de los resultados en Malware Protection for Backup

Tras iniciar un análisis de malware, GuardDuty proporciona algunos mecanismos mediante los que puede supervisar el estado y el resultado del análisis. En la siguiente tabla se muestran algunos de los valores asociados a los escaneos de malware.

Categoría Valores potenciales de

Estado del análisis

RUNNING COMPLETED COMPLETED_WITH_ISSUES, FAILED o SKIPPED

Categoría de escaneo

FULL_SCAN o INCREMENTAL_SCAN

Tipo de análisis

GUARDDUTY_INITIATED, ON_DEMAND o BACKUP_INITIATED

Estado del resultado del escaneo

NO_THREATS_FOUND o THREATS_FOUND

*Tenga en cuenta que es posible que el estado del resultado del escaneo no esté presente si el escaneo no se completó. El estado del resultado del análisis de THREATS_FOUND indica que se ha GuardDuty detectado la presencia de malware.

En el caso de los puntos de recuperación de S3, COMPLETED_WITH_ISSUES indica que algunos archivos se omitieron o fallaron. En el caso de las AMI, COMPLETED_WITH_ISSUES indica que no se ha podido escanear al menos una instantánea. Consulte a continuación la lista de motivos omitidos.

Los escaneos también se pueden omitir por varios motivos. En la siguiente tabla se explican los motivos por los que se pueden omitir los escaneos:

Motivo del escaneo omitido Motivo

ACCESS_DENIED

El rol del cliente no tiene los permisos necesarios para que el servicio realice el escaneo

RESOURCE_NOT_FOUND

El recurso que se intenta escanear no existe en la cuenta o se eliminó durante el escaneo

SNAPSHOT_SIZE_LIMIT_EXCEEDED

El tamaño de la instantánea es superior al que admite actualmente GuardDuty

INCREMENTAL_NO_DIFFERENCE

Los recursos especificados en la solicitud de escaneo incremental no tienen ninguna diferencia

RESOURCE_UNAVAILABLE

El recurso no está en el estado esperado. Si el escaneo es incremental, el punto de recuperación base no está en el estado DISPONIBLE o COMPLETADO

RECURSOS NO RELACIONADOS

En el caso de los escaneos incrementales, el recurso base y el actual no son del mismo linaje

BASE_RESOURCE_NOT_SCAN

En el caso de los escaneos incrementales, el recurso base no se escaneó previamente o no se encontró ningún escaneo completo

BASE_CREATED_AFTER_TARGET

En el caso de los escaneos incrementales, la fecha de creación del recurso base es superior a la fecha de creación del recurso actual

UNSUPPORTED_FOR_INCREMENTAL

El tipo de recurso solicitado no admite el análisis incremental

UNSUPPORTED_AMI

Las AMI públicas, las AMI con solo almacenamiento efímero y las AMI que no estén en un estado disponible no son aptas para el escaneo

UNSUPPORTED_SNAPSHOT

Las instantáneas almacenadas en frío no son aptas para el escaneo

UNSUPPORTED_COMPOSITE_RP

El escaneo no es compatible con los tipos de recursos compuestos

UNSUPPORTED_PRODUCT_CODE_TYPE

El recurso solicitado contiene un código de producto de Amazon Marketplace que no admite el escaneo

AMI_SNAPSHOT_LIMIT_EXCEEDED

Las AMI no admiten el escaneo de más de 40 instantáneas

NO_EBS_VOLUMES_FOUND

No se encontraron mapeos de dispositivos de bloques de Ebs para el recurso solicitado

UNRELATED_RESOURCES

En el caso de los escaneos incrementales, el arn del recurso base es diferente del arn del recurso esperado

Los resultados del escaneo tienen un período de retención de 90 días. Elija el método de acceso que prefiera para realizar un seguimiento del estado de su análisis de malware.

Supervisión de los escaneos mediante la consola

  1. Abra la GuardDuty consola en https://console.aws.amazon.com/guardduty/.

  2. En el panel de navegación, elija Análisis de malware.

  3. Puede filtrar los análisis de malware según las siguientes Propiedades disponibles en la barra de criterios de filtro.

    • ID de escaneo: identificador único asociado al escaneo de malware.

    • ID de cuenta: cuenta en la que se inició el análisis de malware.

    • ARN de recurso: nombre de recurso de Amazon (ARN) asociado al recurso de Amazon asociado al escaneo.

    • Tipo de recurso: el tipo de recurso asociado al escaneo, como EC2 instancia, EBS Snapshot | EC2 AMI, EBS Recovery Point, EC2 Recovery Point o S3 Recovery Point.

    • Estado: el estado del escaneo, como en ejecución, omitido, completado, completado con problemas o fallido.

    • Tipo de análisis: indica si se trata de un análisis de malware bajo demanda, GuardDuty iniciado o iniciado por una copia de seguridad.

Supervisión de escaneos mediante la API/CLI

  • Puede invocarlo ListMalwareScans para filtrar los escaneos de malware porRESOURCE_ARN,SCAN_ID,ACCOUNT_ID, SCAN_TYPE GUARDDUTY_FINDING_IDSCAN_STATUS, RESOURCE_TYPE y. SCAN_START_TIME También puede invocarlo GetMalwareScan para recuperar metadatos más detallados de un escaneo proporcionando un identificador de escaneo como entrada. Los criterios GUARDDUTY_FINDING_ID de filtrado están disponibles cuando se inicia elSCAN_TYPE. GuardDuty

  • Puede cambiar filter-criteria el ejemplo del comando siguiente y filtrar de uno CriterionKey en uno. Las opciones para CriterionKey son Resource_ARNSCAN_ID,ACCOUNT_ID,SCAN_TYPE, GUARDDUTY_FINDING_IDSCAN_STATUS,RESOURCE_TYPE, ySCAN_START_TIME. Puede cambiar el max-results (hasta 50) y elsort-criteria. El AttributeName campo es obligatorio sort-criteria y debe estar configurado enscanStartTime. En el ejemplo siguiente, los valores de red son marcadores de posición. Sustitúyalos por los valores adecuados para la cuenta. Si usa los CriterionKey mismos que se muestran a continuación ListMalwareScans, asegúrese de reemplazar el ejemplo EqualsValue por el resource-type que desee filtrar.

    aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
    aws guardduty get-malware-scan --scan-id abc123

  • La respuesta al comando anterior ListMalwareScans devolverá hasta 25 escaneos con algunos detalles sobre los recursos afectados. La respuesta al comando for anterior GetMalwareScan devolverá un solo escaneo con metadatos detallados sobre el escaneo.

Supervisar escaneos mediante EventBridge

Amazon EventBridge es un servicio de bus de eventos sin servidor que facilita la conexión de sus aplicaciones con datos de diversas fuentes. EventBridge ofrece un flujo de datos en tiempo real desde sus propias aplicaciones, aplicaciones Software-as-a-Service (SaaS) y servicios de Amazon, y dirige esos datos a destinos como Lambda. Esto le permite monitorear los eventos que ocurren en los servicios y crear arquitecturas basadas en eventos. Para obtener más información, consulta la Guía del EventBridge usuario de Amazon.

GuardDuty publica EventBridge las notificaciones en el bus de eventos predeterminado una vez que se determina el estado del escaneo. Puedes configurar EventBridge reglas en tu cuenta para enviar eventos a otros servicios integrados con Amazon EventBridge. Se aplicará el EventBridge precio estándar. Para obtener más información, consulta los EventBridge precios de Amazon.

Muchos de los valores que se muestran a continuación son marcadores de posición para el ejemplo y variarán en función del escaneo.

Eventos de resultados del análisis de malware

Posibles valores de tipo de detalle para Backup:

  • «Resultado del escaneo instantáneo de EBS para protección contra GuardDuty malware»

  • «Resultado del escaneo de EC2 AMI de protección contra GuardDuty malware»

  • «Resultado del escaneo del punto de recuperación S3 de GuardDuty Malware Protection»

  • «Resultado del escaneo del punto de recuperación de EBS con protección contra GuardDuty malware»

  • «Resultado del escaneo del punto EC2 de recuperación de protección contra GuardDuty malware»

Ejemplo de patrón de eventos:

{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

Ejemplo de esquema de notificación para el análisis de EC2 AMI sin encontrar amenazas:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}
Mostrar másMostrar menos

Ejemplo de esquema de notificación para el análisis de EC2 AMI con amenazas encontradas:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}
Mostrar másMostrar menos

Ejemplo de esquema de notificación para el escaneo de EC2 AMI omitido:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}
Mostrar másMostrar menos