Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

恶意软件防护中的自定义

常规设置

快照保留

GuardDuty 为您提供了在Amazon账户中保留 EBS 卷快照的选项。默认情况下，快照保留设置是关闭的。

扫描开始时，根据您的 EBS 卷的快照 GuardDuty 生成副本 EBS 卷。扫描完成并开启快照保留设置后，只有在恶意软件保护扫描在副本 EBS 卷中检测到恶意软件时，才会保留 EBS 卷的快照。当未检测到恶意软件时，无论快照保留设置如何，都会 GuardDuty 自动删除 EBS 卷的快照。有关快照成本及其保留期的信息，请参阅 Amazon EBS 定价。

选择您的访问方式以开启快照保留设置。

Console

1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

2. 在导航窗格的 “设置” 下，选择 “恶意软件防护”。

3. 在控制台底部选择 “常规设置”。要保留快照，请启用 “快照保留”。

API

1. 运行以下Amazon CLI命令以在 GuardDuty 恶意软件保护生成发现结果时自动保留快照。

   确保将探测器ID替换为自己的有效IDdetectorId。

2. 你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId，也可以使用 ListDetectorsAPI。

   aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

3. 如果要关闭快照保留功能，请RETENTION_WITH_FINDING替换为NO_RETENTION。

扫描选项

GuardDuty 恶意软件防护允许您指定标签，在扫描和威胁检测过程中包括或排除 Amazon EC2 实例和 EBS 卷。您可以通过编辑包含或排除标签列表中的标签来自定义每种恶意软件扫描。每个列表最多可以包含 50 个标签。

如果您还没有与 EC2 资源关联的标签，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中标记您的 Amazon EC2 资源或在 Windows 实例的 Amazon EC2 用户指南中标记您的 Amazon EC2 资源。

将 EC2 实例排除在恶意软件扫描之外

如果您想在扫描过程中排除任何 EC2 实例或 EBS 卷，则可以将任何 EC2 实例或 EBS 卷的GuardDutyExcluded标签设置为，但 GuardDuty 不会对其进行扫描。true有关GuardDutyExcluded标签的更多信息，请参阅 GuardDuty 恶意软件保护的服务权限，用于防护。您也可以将 EC2 实例标签添加到排除列表中。如果您向排除标签列表添加多个标签，则任何至少包含其中一个标签的 EC2 实例都将从恶意软件扫描中排除。选择您的访问方法，将与 EC2 实例关联的标签添加到排除列表中。

Console

1. 通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。

2. 在导航窗格的 “设置” 下，选择 “恶意软件防护”。

3. 选择 “常规设置” 旁边的 “扫描选项”。从本节右侧的下拉菜单中选择 Sublice (使用排除标签)。

4. 选择添加新的排除标签，然后指定要排除的标签Key和Value配对。可以选择提供Value.

   重要

   标签键和值区分大小写。有关更多信息，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的标签限制或适用于 Windows 实例的 Amazon EC2 用户指南中的标签限制。

   如果未提供密钥的值并且使用指定密钥标记了 EC2 实例，则无论标签的分配值如何，此 EC2 实例都将排除在恶意软件保护扫描流程之外。

API

• 更新恶意软件扫描设置，将 EC2 实例或容器工作负载排除在扫描过程之外。

  以下Amazon CLI示例命令将新标签添加到排除标签列表中。确保将示例 d etector-id 替换为你自己的有效值detectorId。

  MapEquals是Key/Value对的列表。

  你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId，也可以使用 ListDetectorsAPI。

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Exclude": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  重要

  标签键和值区分大小写。有关更多信息，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的标签限制或适用于 Windows 实例的 Amazon EC2 用户指南中的标签限制。

在恶意软件扫描中包含 EC2 实例

如果您想扫描 EC2 实例，请将其标签添加到包含列表中。当您向包含标签列表添加标签时，不包含任何已添加标签的 EC2 实例将从恶意软件扫描中跳过。如果您向包含标签列表添加多个标签，则恶意软件扫描中将包含至少一个这些标签的 EC2 实例。有时，在扫描过程中可能会跳过 EC2 实例。有关更多信息，请参阅恶意软件扫描期间跳过资源的原因：

选择您的访问方法，将与 EC2 实例关联的标签添加到包含列表中。

Console

1. 登录 https://console.aws.amazon.com/guardduty/ 控制台。

2. 在导航窗格的 “设置” 下，选择 “恶意软件防护”。

3. 选择 “常规设置” 旁边的 “扫描选项”。从本节右侧的下拉菜单中选择 Sublice (使用内含标签)。

4. 选择 “添加新的包含标签”，然后指定要包含的标签Key和Value配对。可以选择提供Value.

   重要

   标签键和值区分大小写。有关更多信息，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的标签限制或适用于 Windows 实例的 Amazon EC2 用户指南中的标签限制。

   如果未提供密钥的值并使用指定密钥标记 EC2 实例，则无论标签的分配值如何，EC2 实例都将包含在恶意软件保护扫描过程中。

API

• 更新恶意软件扫描设置，在扫描过程中包含 EC2 实例或容器工作负载。

  以下Amazon CLI示例命令将新标签添加到包含标签列表中。确保将示例 d etector-id 替换为你自己的有效值detectorId。将示例TestKey和替换为TestValueKey与您的 EC2 资源关联的标签的和Value对。

  MapEquals是Key/Value对的列表。

  你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId，也可以使用 ListDetectorsAPI。

  aws guardduty update-malware-scan-settings --detector-id 60b8777933648562554d637e0e4bb3b2 --scan-resource-criteria '{"Include": {"EC2_INSTANCE_TAG" : {"MapEquals": [{ "Key": "TestKeyWithValue", "Value": "TestValue" }, {"Key":"TestKeyWithoutValue"} ]}}}' --ebs-snapshot-preservation "RETENTION_WITH_FINDING"

  重要

  标签键和值区分大小写。有关更多信息，请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的标签限制或适用于 Windows 实例的 Amazon EC2 用户指南中的标签限制。

您可以随时选择包含标签或排除标签，但不能同时选择两者。如果您想在标签之间切换，请从本部分右侧的下拉菜单中选择该标签，然后确认您的选择。此操作将清除您当前的所有标签。