Configuration de la conservation des instantanés et de la couverture de numérisation EC2 - Amazon GuardDuty
Conservation des instantanésOptions d'analyse avec balises définies par l'utilisateurBalise GuardDutyExcluded globale

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de la conservation des instantanés et de la couverture de numérisation EC2

Cette section explique comment personnaliser les options d'analyse des programmes malveillants pour vos instances Amazon EC2. Ces personnalisations s'appliquent à la fois à l'analyse des programmes malveillants à la demande et à celles initiées par GuardDuty. Vous pouvez effectuer les opérations suivantes :

  • Activer la conservation des instantanés : lorsque cette option est activée avant une analyse, GuardDuty l'instantané Amazon EBS GuardDuty détecté comme malveillant est conservé.

  • Choisissez les instances Amazon EC2 à scanner : utilisez des balises pour inclure ou exclure des instances Amazon EC2 spécifiques des analyses de programmes malveillants.

Conservation des instantanés

GuardDuty vous offre la possibilité de conserver les instantanés de vos volumes EBS dans votre AWS compte. Par défaut, le paramètre de conservation des instantanés est désactivé. Les instantanés ne seront conservés que si ce paramètre est activé avant le début de l'analyse.

Au début de l'analyse, GuardDuty génère les volumes EBS répliqués en fonction des instantanés de vos volumes EBS. Une fois l'analyse terminée et le paramètre de conservation des instantanés activé dans votre compte, les instantanés de vos volumes EBS ne seront conservés que lorsqu'un logiciel malveillant est détecté et que la Protection contre les programmes malveillants pour les types de détection EC2 est générée. Lorsqu'aucun logiciel malveillant n'est détecté, quels que soient les paramètres de vos instantanés, il supprime GuardDuty automatiquement les instantanés de vos volumes EBS, sauf si le verrouillage des instantanés Amazon EBS a été activé sur les instantanés créés.

Coût d'utilisation des instantanés

Lors de l'analyse des programmes malveillants, lors de la GuardDuty création des instantanés de vos volumes Amazon EBS, un coût d'utilisation est associé à cette étape. Si vous activez le paramètre de conservation des instantanés pour votre compte, lorsqu'un logiciel malveillant est détecté et que les instantanés sont conservés, vous devrez payer des frais d'utilisation. Pour plus d'informations sur le coût des instantanés et leur conservation, consultez la tarification d'Amazon EBS.

En tant que compte d' GuardDuty administrateur délégué, vous êtes le seul à pouvoir effectuer cette mise à jour au nom des comptes des membres de l'organisation. Toutefois, si le compte d'un membre est géré par la méthode d'invitation, il peut effectuer lui-même cette modification. Pour de plus amples informations, veuillez consulter Relations entre le compte administrateur et le compte membre.

Choisissez votre méthode d'accès préférée pour activer le paramètre de conservation des instantanés.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, sous Plans de protection, sélectionnez Malware Protection for EC2.

  3. Choisissez Paramètres généraux dans la partie inférieure de la console. Pour conserver les instantanés, activez Conservation des instantanés.

API/CLI

Exécutez UpdateMalwareScanSettingspour mettre à jour la configuration actuelle pour le paramètre de conservation des instantanés.

Vous pouvez également exécuter la AWS CLI commande suivante pour conserver automatiquement les instantanés lorsque GuardDuty Malware Protection for EC2 génère des résultats.

Assurez-vous de le remplacer par le vôtre detector-id en cours de validitédetectorId.

detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

Si vous souhaitez désactiver la conservation des instantanés, remplacez RETENTION_WITH_FINDING par NO_RETENTION.

Options d'analyse avec balises définies par l'utilisateur

En utilisant le scan GuardDuty anti-malware initié, vous pouvez également spécifier des balises afin d'inclure ou d'exclure les instances Amazon EC2 et les volumes Amazon EBS du processus d'analyse et de détection des menaces. Vous pouvez personnaliser chaque analyse de programmes malveillants GuardDuty lancée en modifiant les balises dans la liste des balises d'inclusion ou d'exclusion. Chaque liste peut inclure jusqu'à 50 balises.

Si vous n'avez pas encore de balises définies par l'utilisateur associées à vos ressources EC2, consultez la section Marquer vos ressources Amazon EC2 dans le guide de l'utilisateur Amazon EC2.

Note

L'analyse des logiciels malveillants à la demande ne prend pas en charge les options d'analyse avec des balises définies par l'utilisateur. Elle prend en charge Balise GuardDutyExcluded globale.

Pour exclure les instances EC2 de l'analyse des logiciels malveillants

Si vous souhaitez exclure une instance Amazon EC2 ou un volume Amazon EBS pendant le processus de numérisation, vous pouvez définir la GuardDutyExcluded balise sur n'importe quelle instance Amazon EC2 ou volume Amazon EBS, GuardDuty et vous ne le scannez pas. true Pour de plus amples informations sur la balise GuardDutyExcluded, veuillez consulter Autorisations de rôle liées à un service pour Malware Protection for EC2. Vous pouvez également ajouter une balise d'instance Amazon EC2 à une liste d'exclusion. Si vous ajoutez plusieurs balises à la liste des balises d'exclusion, toute instance Amazon EC2 contenant au moins une de ces balises sera exclue du processus d'analyse des logiciels malveillants.

En tant que compte d' GuardDuty administrateur délégué, vous êtes le seul à pouvoir effectuer cette mise à jour au nom des comptes des membres de l'organisation. Toutefois, si le compte d'un membre est géré par la méthode d'invitation, il peut effectuer lui-même cette modification. Pour de plus amples informations, veuillez consulter Relations entre le compte administrateur et le compte membre.

Choisissez votre méthode d'accès préférée pour ajouter une balise associée à une instance Amazon EC2 à une liste d'exclusion.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, sous Plans de protection, sélectionnez Malware Protection for EC2.

  3. Développez la section Identifications d'inclusion/d'exclusion. Sélectionnez Add Tags (Ajouter des balises).

  4. Choisissez Balises d'exclusion, puis Confirmer.

  5. Spécifiez la paire Key et Value de la balise que vous souhaitez exclure. Il est facultatif de fournir la Value. Après avoir ajouté toutes les balises, choisissez Enregistrer.

    Important

    Les clés et valeurs d’étiquette sont sensibles à la casse. Pour plus d'informations, consultez la section Restrictions relatives aux balises dans le guide de l'utilisateur Amazon EC2.

    Si aucune valeur n'est fournie pour une clé et que l'instance EC2 est étiquetée avec la clé spécifiée, cette instance EC2 sera exclue du processus d'analyse des programmes malveillants GuardDuty lancé par l'instance, quelle que soit la valeur attribuée à la balise.

API/CLI

Exécuté UpdateMalwareScanSettingsen excluant une instance EC2 ou une charge de travail de conteneur du processus d'analyse.

L' AWS CLI exemple de commande suivant ajoute une nouvelle balise à la liste des balises d'exclusion. Remplacez l'exemple de detector-id par votre propre detectorId valide.

MapEquals est une liste de paires Key/Value.

detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
Important

Les clés et valeurs d’étiquette sont sensibles à la casse. Pour plus d'informations, consultez la section Restrictions relatives aux balises dans le guide de l'utilisateur Amazon EC2.

Pour inclure des instances EC2 dans l'analyse des logiciels malveillants

Si vous souhaitez analyser une instance EC2, ajoutez sa balise à la liste d'inclusion. Lorsque vous ajoutez une balise à une liste de balises d'inclusion, une instance EC2 qui ne contient aucune des balises ajoutées est ignorée de l'analyse des logiciels malveillants. Si vous ajoutez plusieurs balises à la liste des balises d'inclusion, une instance EC2 contenant au moins une de ces balises est incluse dans l'analyse des logiciels malveillants. Parfois, une instance EC2 peut être ignorée pendant le processus de numérisation pour d'autres raisons. Pour de plus amples informations, veuillez consulter Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants.

En tant que compte d' GuardDuty administrateur délégué, vous êtes le seul à pouvoir effectuer cette mise à jour au nom des comptes des membres de l'organisation. Toutefois, si le compte d'un membre est géré par la méthode d'invitation, il peut effectuer lui-même cette modification. Pour de plus amples informations, veuillez consulter Relations entre le compte administrateur et le compte membre.

Choisissez votre méthode d'accès préférée pour ajouter une balise associée à une instance EC2 à une liste d'inclusion.

Console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le volet de navigation, sous Plans de protection, sélectionnez Malware Protection for EC2.

  3. Développez la section Identifications d'inclusion/d'exclusion. Sélectionnez Add Tags (Ajouter des balises).

  4. Sélectionnez Identifications d'inclusion, puis Confirmer.

  5. Choisissez Ajouter une nouvelle identification d'inclusion et spécifiez la paire Key et Value de la balise que vous souhaitez inclure. Il est facultatif de fournir la Value.

    Après avoir ajouté toutes les balises d'inclusion, choisissez Enregistrer.

    Si aucune valeur n'est fournie pour une clé, une instance EC2 est étiquetée avec la clé spécifiée, l'instance EC2 sera incluse dans le processus d'analyse Malware Protection for EC2, quelle que soit la valeur attribuée à la balise.

API/CLI

  • Exécutez UpdateMalwareScanSettingspour inclure une instance EC2 ou une charge de travail de conteneur dans le processus d'analyse.

    L' AWS CLI exemple de commande suivant ajoute une nouvelle balise à la liste des balises d'inclusion. Assurez-vous de remplacer l'exemple detector-id par votre propre exemple validedetectorId. Remplacez l'exemple TestValue par TestKey la Value paire Key et de la balise associée à votre ressource EC2.

    MapEquals est une liste de paires Key/Value.

    detectorIdPour trouver les paramètres correspondant à votre compte et à votre région actuelle, consultez la page Paramètres de la https://console.aws.amazon.com/guardduty/console ou exécutez l'ListDetectorsAPI.

    aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"
    Important

    Les clés et valeurs d’étiquette sont sensibles à la casse. Pour plus d'informations, consultez la section Restrictions relatives aux balises dans le guide de l'utilisateur Amazon EC2.
Note

La détection d'un nouveau tag peut prendre jusqu' GuardDuty à 5 minutes.

À tout moment, vous pouvez choisir Balises d'inclusion ou Balises d'exclusion, mais pas les deux. Si vous souhaitez passer d'une balise à l'autre, choisissez cette balise dans le menu déroulant lorsque vous ajoutez de nouvelles balises, puis confirmez votre sélection. Cette action efface toutes vos balises actuelles.

Balise GuardDutyExcluded globale

GuardDuty utilise une clé de balise globaleGuardDutyExcluded, que vous pouvez ajouter à vos ressources Amazon EC2 et définir la valeur de balise sur. true Cette ressource Amazon EC2 qui possède cette paire clé-valeur de balise sera exclue de l'analyse des programmes malveillants. Les deux types d'analyse (analyse des programmes malveillants GuardDuty initiée et analyse des programmes malveillants à la demande) prennent en charge le tag global. Si vous lancez une analyse des programmes malveillants à la demande sur un Amazon EC2, un ID de scan sera généré. Cependant, le scan sera ignoré EXCLUDED_BY_SCAN_SETTINGS pour une raison. Pour de plus amples informations, veuillez consulter Motifs de l'omission des ressources lors de l'analyse des logiciels malveillants.