Surveillance de l'état des scans et des résultats de la protection contre les logiciels malveillants pour Backup - Amazon GuardDuty

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillance de l'état des scans et des résultats de la protection contre les logiciels malveillants pour Backup

Après le lancement d'une analyse des logiciels malveillants, GuardDuty fournit quelques mécanismes grâce auxquels vous pouvez surveiller l'état et le résultat d'une analyse. Le tableau suivant fournit certaines des valeurs associées aux analyses de programmes malveillants.

Catégorie Valeurs potentielles

État de l'analyse

RUNNING, COMPLETED, COMPLETED_WITH_ISSUES, FAILED ou SKIPPED

Catégorie de numérisation

FULL_SCAN ou INCREMENTAL_SCAN

Type d'analyse

GUARDDUTY_INITIATED, ON_DEMAND ou BACKUP_INITIATED

État des résultats du scan

NO_THREATS_FOUND ou THREATS_FOUND

*Notez que l'état des résultats du scan peut ne pas être présent si le scan n'est pas terminé. L'état des résultats du scan de THREATS_FOUND indique que la présence d'un GuardDuty logiciel malveillant a été détectée.

Pour les points de restauration S3, COMPLETED_WITH_ISSUES indique que certains fichiers ont été ignorés ou ont échoué. Pour les AMI, COMPLETED_WITH_ISSUES indique qu'au moins un instantané n'a pas pu être numérisé. Voir ci-dessous la liste des raisons ignorées.

Les scans peuvent également être ignorés pour diverses raisons. Le tableau ci-dessous explique les raisons pour lesquelles les scans peuvent être ignorés :

Motif du scan ignoré Raison

ACCÈS REFUSÉ

Le rôle du client ne dispose pas des autorisations requises pour que le service effectue l'analyse

RESSOURCE_INTROUVABLE

La ressource qui tente d'être scannée n'existe pas dans le compte ou a été supprimée lors de la numérisation

SNAPSHOT_SIZE_LIMIT_EXCEEDED

La taille de l'instantané est supérieure à celle actuellement prise en charge par GuardDuty

INCRÉMENTAL_AUCUNE DIFFÉRENCE

Les ressources spécifiées dans la demande d'analyse incrémentielle n'ont aucune différence

RESSOURCE_INDISPONIBLE

La ressource n'est pas dans l'état attendu. Si l'analyse est incrémentielle, le point de restauration de base n'est pas à l'état DISPONIBLE ou TERMINÉ

RESSOURCES_INDÉPENDANTES

Pour les analyses incrémentielles, la ressource de base et la ressource actuelle ne proviennent pas de la même lignée

LA RESSOURCE DE BASE N'EST PAS SCANNÉE

Pour les analyses incrémentielles, la ressource de base n'a pas été scannée précédemment ou aucune analyse terminée n'a été trouvée

BASE CRÉÉE APRÈS LA CIBLE

Pour les analyses incrémentielles, la date de création de la ressource de base est supérieure à la date de création de la ressource actuelle

UNSUPPORTED_FOR_INCREMENTAL

Le type de ressource demandé ne prend pas en charge l'analyse incrémentielle

UNSUPPORTED_AMI

Les AMI publiques, les AMI ne disposant que d'un stockage éphémère et les AMI non disponibles ne sont pas éligibles à la numérisation

SNAPSHOT NON PRIS EN CHARGE

Les instantanés stockés à froid ne sont pas éligibles à la numérisation

UNSUPPORTED_COMPOSITE_RP

La numérisation n'est pas prise en charge pour les types de ressources composites

TYPE_CODE_DE PRODUIT NON PRIS EN CHARGE

La ressource demandée contient un code produit Amazon Marketplace qui ne prend pas en charge la numérisation

AMI_SNAPSHOT_LIMIT_EXCEEDED

Les AMI ne prennent pas en charge l'analyse de plus de 40 instantanés

AUCUN VOLUME N'A ÉTÉ TROUVÉ

Aucun mappage de périphérique de bloc Ebs n'a été trouvé pour la ressource demandée

RESSOURCES_INDÉPENDANTES

Pour les analyses incrémentielles, l'arn de la ressource de base est différent de l'arn de la ressource attendue

Les résultats du scan ont une période de conservation de 90 jours. Choisissez votre méthode d'accès préférée pour suivre l'état de votre analyse des logiciels malveillants.

Surveillance des scans à l'aide de la console

  1. Ouvrez la GuardDuty console à l'adresse https://console.aws.amazon.com/guardduty/.

  2. Dans le panneau de navigation, choisissez Analyses des logiciels malveillants.

  3. Vous pouvez filtrer les analyses de programmes malveillants à l'aide des propriétés suivantes disponibles dans la barre de recherche du filtre.

    • ID de scan — Identifiant unique associé à l'analyse des programmes malveillants.

    • ID de compte : compte sur lequel l'analyse des logiciels malveillants a été lancée.

    • ARN de ressource : nom de ressource Amazon (ARN) associé à la ressource Amazon associée au scan.

    • Type de ressource : type de ressource associé à l'analyse, tel que EC2 Instance, EBS Snapshot | EC2 AMI, EBS Recovery Point, EC2 Recovery Point ou S3 Recovery Point.

    • État : état de l'analyse, tel que En cours, ignoré, terminé, terminé avec des problèmes ou échec.

    • Type de scan : indique s'il s'agit d'un scan anti-malware à la demande, lancé à l'origine d'une sauvegarde ou GuardDuty initié par une sauvegarde.

Surveillance des scans à l'aide de l'API/CLI

  • Vous pouvez invoquer ListMalwareScans pour filtrer les analyses de programmes malveillants par RESOURCE_ARN SCAN_IDACCOUNT_ID,SCAN_TYPE GUARDDUTY_FINDING_ID,,SCAN_STATUS,RESOURCE_TYPE, etSCAN_START_TIME. Vous pouvez également appeler GetMalwareScan pour récupérer des métadonnées plus détaillées d'une analyse en fournissant un identifiant de numérisation en entrée. Les critères de GUARDDUTY_FINDING_ID filtrage sont disponibles lorsque le SCAN_TYPE est GuardDuty lancé.

  • Vous pouvez modifier l'exemple filter-criteria dans la commande ci-dessous et filtrer un CriterionKey par un. Les options pour CriterionKey sont Resource_ARNSCAN_ID,ACCOUNT_ID,SCAN_TYPE, GUARDDUTY_FINDING_IDSCAN_STATUS,RESOURCE_TYPE, etSCAN_START_TIME. Vous pouvez modifier le max-results (jusqu'à 50) et lesort-criteria. Le AttributeName champ est obligatoire pour sort-criteria et doit être défini surscanStartTime. Dans l'exemple suivant, les valeurs indiquées red sont des espaces réservés. Remplacez-les par les valeurs correspondant à votre compte. Si vous utilisez le même CriterionKey que ci-dessous pour ListMalwareScans, assurez-vous de remplacer l'exemple EqualsValue par celui par lequel resource-type vous souhaitez filtrer.

    aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
    aws guardduty get-malware-scan --scan-id abc123

  • La réponse à la commande ci-dessus pour ListMalwareScans renverra jusqu'à 25 scans avec quelques détails sur les ressources affectées. La réponse à la commande ci-dessus pour GetMalwareScan renverra un scan unique avec des métadonnées détaillées sur le scan.

Surveillance des scans à l'aide EventBridge

Amazon EventBridge est un service de bus d'événements sans serveur qui permet de connecter facilement vos applications à des données provenant de diverses sources. EventBridge fournit un flux de données en temps réel à partir de vos propres applications, applications Software-as-a-Service (SaaS) et services Amazon et achemine ces données vers des cibles telles que Lambda. Cela vous permet de surveiller les événements qui se produisent dans les services et de créer des architectures basées sur les événements. Pour plus d'informations, consultez le guide de EventBridge l'utilisateur Amazon.

GuardDuty publie EventBridge des notifications sur le bus d'événements par défaut une fois que l'état du scan est déterminé. Vous pouvez configurer des EventBridge règles dans votre compte pour envoyer des événements à d'autres services intégrés à Amazon EventBridge. La EventBridge tarification standard s'appliquera. Pour plus d'informations, consultez les EventBridge tarifs Amazon.

La plupart des valeurs indiquées ci-dessous sont des espaces réservés pour l'exemple et varient en fonction du scan.

Événements liés aux résultats du scan des programmes malveillants

Valeurs de type de détail potentielles pour Backup :

  • « Résultat de l'analyse instantanée EBS GuardDuty Malware Protection »

  • « Résultat de l'analyse de l' EC2 AMI de protection contre les GuardDuty programmes malveillants »

  • « Résultat du scan de GuardDuty Malware Protection S3 Recovery Point »

  • « Résultat de l'analyse EBS Recovery Point contre les GuardDuty malwares »

  • « Résultat de l'analyse de GuardDuty Malware Protection EC2 Recovery Point »

Exemple de modèle d'événement :

{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

Exemple de schéma de notification pour le scan des EC2 AMI sans détection de menaces :

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}
Afficher plusAfficher moins

Exemple de schéma de notification pour le scan des EC2 AMI en cas de détection de menaces :

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}
Afficher plusAfficher moins

Exemple de schéma de notification pour un scan EC2 AMI ignoré :

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}
Afficher plusAfficher moins