Monitoraggio degli stati e dei risultati delle scansioni in Malware Protection for Backup - Amazon GuardDuty

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitoraggio degli stati e dei risultati delle scansioni in Malware Protection for Backup

Dopo l'avvio di una scansione antimalware, GuardDuty fornisce alcuni meccanismi attraverso i quali è possibile monitorare lo stato e il risultato di una scansione. La tabella seguente fornisce alcuni dei valori associati alle scansioni antimalware.

Categoria Valori potenziali

Stato della scansione

RUNNING, COMPLETED, COMPLETED_WITH_ISSUES, FAILED oppure SKIPPED

Categoria di scansione

FULL_SCAN o INCREMENTAL_SCAN

Tipo di scansione

GUARDDUTY_INITIATED, ON_DEMAND o BACKUP_INITIATED

Stato dei risultati della scansione

NO_THREATS_FOUND o THREATS_FOUND

*Si noti che lo stato del risultato della scansione potrebbe non essere presente se la scansione non è stata completata. Lo stato del risultato della scansione di THREATS_FOUND indica che è stata GuardDuty rilevata la presenza di malware.

Per i punti di ripristino S3, COMPLETED_WITH_ISSUES indica che alcuni file sono stati ignorati o non sono riusciti. Per gli AMI, COMPLETED_WITH_ISSUES indica che non è stato possibile scansionare almeno 1 istantanea. Di seguito è riportato l'elenco dei motivi ignorati.

Le scansioni possono anche essere ignorate per vari motivi. La tabella seguente spiega i motivi per cui le scansioni possono essere ignorate:

Motivo della scansione ignorata Motivo

ACCESS_NEGATO

Customer Role non dispone delle autorizzazioni necessarie per consentire al servizio di eseguire la scansione

RESOURCE_NOT_FOUND

La risorsa che sta tentando di scansionare non esiste nell'account o è stata eliminata durante la scansione

SNAPSHOT_SIZE_LIMIT_EXCEEDED

La dimensione dell'istantanea è maggiore di quella attualmente supportata da GuardDuty

INCREMENTAL_NESSUNA_DIFFERENZA

Le risorse specificate nella richiesta di scansione incrementale non hanno differenze

RESOURCE_AVAILABLE

Risorsa non nello stato previsto. Se la scansione è incrementale, il punto di ripristino di base non è nello stato DISPONIBILE o COMPLETATO

RISORSE_NON CORRELATE

Per le scansioni incrementali: la risorsa di base e quella corrente non provengono dalla stessa discendenza

BASE_RESOURCE_NOT_SCANNED

Per le scansioni incrementali: la risorsa di base non è stata analizzata in precedenza o non è stata trovata alcuna scansione completata

BASE_CREATED_AFTER_TARGET

Per le scansioni incrementali, la data di creazione della risorsa di base è maggiore della data di creazione della risorsa corrente

UNSUPPORTED_FOR_INCREMENTAL

Il tipo di risorsa richiesto non supporta la scansione incrementale

UNSUPPORTED_AMI

Le AMI pubbliche, le AMI con solo storage temporaneo e le AMI che non sono in uno stato disponibile non sono idonee alla scansione

UNSUPPORTED_SNAPSHOT

Le istantanee di conservazione a freddo non sono idonee per la scansione

UNSUPPORTED_COMPOSITE_RP

La scansione non è supportata per i tipi di risorse composite

UNSUPPORTED_PRODUCT_CODE_TYPE

La risorsa richiesta contiene un codice prodotto Amazon Marketplace che non supporta la scansione

AMI_SNAPSHOT_LIMIT_EXCEEDED

Le AMI non supportano la scansione di più di 40 istantanee

NO_EBS_VOLUMES_FOUND

Nessuna mappatura dei dispositivi a blocchi Ebs trovata per la risorsa richiesta

RISORSE_NON CORRELATE

Per le scansioni incrementali, l'arn della risorsa di base è diverso dall'arn della risorsa prevista

I risultati della scansione hanno un periodo di conservazione di 90 giorni. Scegli il metodo di accesso che preferisci per monitorare lo stato della scansione malware.

Monitoraggio delle scansioni tramite la console

  1. Apri la GuardDuty console all'indirizzohttps://console.aws.amazon.com/guardduty/.

  2. Nel riquadro di navigazione, scegli Scansioni malware.

  3. Puoi filtrare le scansioni antimalware in base alle seguenti proprietà disponibili nella barra di ricerca dei filtri.

    • Scan ID: identificatore univoco associato alla scansione antimalware.

    • ID account: account in cui è stata avviata la scansione antimalware.

    • ARN della risorsa: Amazon Resource Name (ARN) associato alla risorsa Amazon associata alla scansione.

    • Tipo di risorsa: il tipo di risorsa associata alla scansione, EC2 ad esempio Instance, EBS Snapshot | EC2 AMI, EBS Recovery Point, Recovery Point o S3 EC2 Recovery Point.

    • Stato: lo stato della scansione, ad esempio In esecuzione, Ignorata, Completata, Completata con problemi o Non riuscita.

    • Tipo di scansione: indica se si tratta di una scansione GuardDuty antimalware su richiesta, avviata o avviata da backup.

Monitoraggio delle scansioni tramite l'API/CLI

  • È possibile richiamare ListMalwareScans per filtrare le scansioni antimalware conRESOURCE_ARN,,,,SCAN_ID, ACCOUNT_ID e. SCAN_TYPE GUARDDUTY_FINDING_ID SCAN_STATUS RESOURCE_TYPE SCAN_START_TIME Puoi anche richiamare GetMalwareScan per recuperare metadati più dettagliati di una scansione fornendo uno scan-id come input. I criteri di GUARDDUTY_FINDING_ID filtro sono disponibili quando viene avviato il. SCAN_TYPE GuardDuty

  • È possibile modificare l'esempio filter-criteria nel comando seguente e filtrare in base CriterionKey a uno alla volta. Le opzioni per CriterionKey sono Resource_ARNSCAN_ID,ACCOUNT_ID,SCAN_TYPE, GUARDDUTY_FINDING_IDSCAN_STATUS,RESOURCE_TYPE, eSCAN_START_TIME. È possibile modificare max-results (fino a 50) esort-criteria. Il AttributeName campo è obbligatorio per sort-criteria e deve essere impostato suscanStartTime. Nell'esempio seguente, i valori in red sono segnaposto. Sostituiscili con i valori appropriati per il tuo account. Se usi lo stesso di CriterionKey seguito per ListMalwareScans, assicurati di sostituire l'esempio EqualsValue con quello in base al quale resource-type desideri filtrare.

    aws guardduty list-malware-scans --max-results 25 --sort-criteria '{"AttributeName": "scanStartTime", "OrderBy": "DESC"}' --filter-criteria '{"FilterCriterion":[{"CriterionKey":"RESOURCE_TYPE", "FilterCondition":{"EqualsValue":"EBS_SNAPSHOT"}}] }'
    aws guardduty get-malware-scan --scan-id abc123

  • La risposta al comando precedente ListMalwareScans restituirà fino a 25 scansioni con alcuni dettagli sulle risorse interessate. La risposta al comando precedente GetMalwareScan restituirà una singola scansione con metadati dettagliati sulla scansione.

Monitoraggio delle scansioni utilizzando EventBridge

Amazon EventBridge è un servizio di bus eventi senza server che semplifica la connessione delle applicazioni con dati provenienti da una varietà di fonti. EventBridge fornisce un flusso di dati in tempo reale dalle tue applicazioni, applicazioni Software-as-a-Service (SaaS) e servizi Amazon e indirizza tali dati verso destinazioni come Lambda. In questo modo puoi monitorare gli eventi che si verificano nei servizi e creare architetture basate su eventi. Per ulteriori informazioni, consulta la Amazon EventBridge User Guide.

GuardDuty pubblica EventBridge le notifiche sul bus degli eventi predefinito una volta determinato lo stato della scansione. Puoi configurare EventBridge regole nel tuo account per inviare eventi ad altri servizi integrati con Amazon EventBridge. Verranno applicati EventBridge i prezzi standard. Per ulteriori informazioni, consulta i EventBridge prezzi di Amazon.

Molti dei valori mostrati di seguito sono segnaposto per l'esempio e variano a seconda della scansione.

Eventi relativi ai risultati della scansione di malware

Potenziali valori del tipo di dettaglio per Backup:

  • «Risultato della scansione istantanea EBS di protezione da GuardDuty malware»

  • «Risultato della scansione EC2 AMI di protezione da GuardDuty malware»

  • «Risultato della scansione del punto di ripristino di GuardDuty Malware Protection S3"

  • «Risultato della scansione del punto di ripristino EBS GuardDuty Malware Protection»

  • «Risultato della scansione del punto EC2 di ripristino di GuardDuty Malware Protection»

Esempio di modello di evento:

{
      "detail-type": ["GuardDuty Malware Protection EC2 AMI Scan Result"],
      "source": ["aws.guardduty"]
}

Schema di notifica di esempio per la scansione EC2 AMI senza minacce rilevate:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "NO_THREATS_FOUND",
            "uniqueThreatCount": null
        }
    }
}
Mostra piùMostra meno

Schema di notifica di esempio per la scansione EC2 AMI con minacce rilevate:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "COMPLETED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": null,
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
        "scanResultDetails": {
            "scanResultStatus": "THREATS_FOUND",
            "uniqueThreatCount": 1,
            "threats": {
                "name": "EICAR-Test-File (not a virus)",
                "source": "AMAZON",
                "count": 2,
                "itemDetails": [{
                    "resourceArn": "arn:aws:ec2:us-east-1:1111222233334444:snapshot/snap-abcdef01234567890",
                    "hash": "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855",
                    "itemPath": "/eicar.txt",
                    "additionalInfo": {
                        "versionId": null,
                        "deviceName": "/dev/sdf"
                    }
                }]
            }
        }
    }
}
Mostra piùMostra meno

Schema di notifica di esempio per la scansione EC2 AMI ignorata:

{
    "version": "0",
    "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333",
    "detail-type": "GuardDuty Malware Protection EC2 AMI Scan Result",
    "source": "aws.guardduty",
    "account": "1111222233334444",
    "time": "2025-11-01T00:00:00Z",
    "region": "us-east-1",
    "resources": ["arn:aws:ec2:us-east-1:1111222233334444:image/ami-1234567890abcdef0"],
    "detail": {
        "schemaVersion": "1.0",
        "scanStatus": "SKIPPED",
        "resourceType": "EC2_AMI",
        "scanId": "d41d8cd98f00b204e9800998ecf8427e",
        "scanStatusReason": "UNSUPPORTED_AMI",
        "scanType": "ON_DEMAND",
        "triggerType": "GUARDDUTY",
        "scanCategory": "FULL_SCAN",
        "scanStartTime": 1234567890123,
        "scanCompleteTime": 2345678901234,
       "scanResultDetails": {
            "uniqueThreatCount": null,
            "threats": null
        }
    }
}
Mostra piùMostra meno