本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
GuardDuty— 启动的恶意软件扫描
启用 GuardDuty启动的恶意软件扫描后,每次 GuardDuty 生成调用 GuardDuty启动的恶意软件扫描的调查发现时,都将在挂载到可能受影响的 Amazon Elastic Block Store(Amazon EBS)卷上启动一次无代理恶意软件扫描。 EC2在扫描启动之前,您必须为账户做好任何自定义准备。使用扫描选项时,您可以添加包含标签(与要扫描的资源相关),也可以添加排除标签(与在扫描过程中要跳过的资源相关)。自动扫描启动将始终考虑您的扫描选项。 GuardDuty 还支持使用全局GuardDutyExcluded:true标签键值对。当您将此全局标签添加到某个 Amazon EC2 资源时, GuardDuty将会启动扫描,然后跳过该资源。您也可以选择开启快照保留设置,来为可能检测到恶意软件的 EBS 卷保留快照。有关扫描选项、全局排除标签和快照设置的更多信息,请参阅设置快照保留和 EC2 扫描覆盖范围。
当为同一 Amazon EC2 资源 GuardDuty 生成多个调查发现时, GuardDuty 则仅在上一次恶意软件扫描完成 24 小时后才能够 GuardDuty启动扫描。有关如何扫描附加到 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷的信息,请参阅如何 GuardDuty 扫描 EBS 卷以检测恶意软件。
下图描述了 GuardDuty启动的恶意软件扫描的工作原理。
有关不同中 GuardDuty 恶意软件检测方法及其使用的扫描引擎的信息,请参阅GuardDuty 恶意软件检测扫描引擎。
当发现恶意软件时, GuardDuty 会生成用于 EC2 查找类型的恶意软件防护。如果 GuardDuty 未生成表明同一资源上有恶意软件的调查发现,则不会调用 GuardDuty启动的恶意软件扫描。您也可以在同一资源上启动按需恶意软件扫描。有关更多信息,请参阅 按需恶意软件扫描 GuardDuty。