本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置快照保留和EC2扫描覆盖范围
本节介绍如何为您的 Amazon EC2 实例自定义恶意软件扫描选项。这些自定义设置既适用于按需恶意软件扫描,也适用于由 GuardDuty发起的恶意软件扫描。您可执行以下操作:
-
启用快照保留-如果在扫描前启用,则 GuardDuty 会保留 GuardDuty 检测为恶意的 Amazon EBS 快照。
-
选择要扫描的亚马逊EC2实例-使用标签在恶意软件扫描中包含或排除特定的亚马逊EC2实例。
快照保留
GuardDuty 为您提供在 Amazon 账户中保留EBS卷快照的选项。默认情况下,快照保留设置处于关闭状态。只有在扫描开始之前开启此设置时,系统才会保留快照。
扫描启动后,根据EBS卷的快照 GuardDuty 生成副本EBS卷。扫描完成并且您账户中的快照保留设置已开启后,只有在发现并EC2 恶意软件防护调查发现类型生成恶意软件时,才会保留EBS卷的快照。如果未发现任何恶意软件,则无论您的快照设置如何,都会 GuardDuty 自动删除EBS卷的快照,除非已对创建的EBS快照启用了 Amazon 快照锁定。
快照使用成本
在恶意软件扫描期间,在 GuardDuty 创建 Amazon EBS 卷的快照时,会产生与该步骤相关的使用成本。如果您为账户开启快照保留设置,则当系统发现恶意软件并保留快照时,将因此产生使用费用。有关快照成本及其保留的信息,请参阅 Amazon EBS 定价
作为委托 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是通过邀请方式管理的,则这些账户可以自行进行此更改。有关更多信息,请参阅 管理员账户和成员账户的关系。
选择您的首选访问方式以开启快照保留设置。
使用用户定义的标签扫描选项
通过使用 GuardDuty启动的恶意软件扫描,您还可以指定标签,以便在扫描和威胁检测过程中包括或排除亚马逊EC2实例和亚马逊EBS卷。您可以通过编辑包含或排除标签列表中的标签来自定义每个 GuardDuty启动的恶意软件扫描。每个列表最多可以包含 50 个标签。
如果您还没有与EC2资源关联的用户定义标签,请参阅亚马逊EC2用户指南中的为亚马逊EC2资源添加标签。
注意
按需恶意软件扫描不支持带有用户定义标签的扫描选项,而是支持 全局 GuardDutyExcluded 标签。
将EC2实例排除在恶意软件扫描之外
如果您想在扫描过程中排除任何亚马逊EC2实例或亚马逊EBS卷,则可以将任何亚马逊EC2实例或亚马逊EBS卷true
的GuardDutyExcluded
标签设置为,并且 GuardDuty 不会对其进行扫描。有关 GuardDutyExcluded
标签的更多信息,请参阅 EC2 恶意软件防护的服务相关角色权限。您也可以将 Amazon EC2 实例标签添加到排除列表中。如果您在排除标签列表中添加多个标签,则任何至少包含其中一个标签的 Amazon EC2 实例都将被排除在恶意软件扫描过程之外。
作为委托 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是通过邀请方式管理的,则这些账户可以自行进行此更改。有关更多信息,请参阅 管理员账户和成员账户的关系。
选择您的首选访问方法,将与 Amazon EC2 实例关联的标签添加到排除列表中。
在恶意软件扫描中包含EC2实例
如果要扫描EC2实例,请将其标签添加到包含列表中。当您将标签添加到包含标签列表时,不包含任何已添加标签的EC2实例将从恶意软件扫描中跳过。如果您向包含标签列表中添加多个标签,则恶意软件扫描中将包含至少包含其中一个标签的EC2实例。有时,由于其他原因,可能会在扫描过程中跳过EC2实例。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因。
作为委托 GuardDuty 管理员账户,只有您才能代表组织成员账户进行此更新。但是,如果成员账户是通过邀请方式管理的,则这些账户可以自行进行此更改。有关更多信息,请参阅 管理员账户和成员账户的关系。
选择您的首选访问方法,将与EC2实例关联的标签添加到包含列表中。
注意
检测到新标签最多可能需要 5 分钟。 GuardDuty
您可以随时选择包含标签或排除标签,但不能同时选择两者。如果要在标签之间切换,请在添加新标签时从下拉菜单中选择该标签,然后确认您的选择。此操作将清除您当前的所有标签。
全局 GuardDutyExcluded
标签
GuardDuty 使用全局标签密钥GuardDutyExcluded
,您可以将其添加到您的 Amazon EC2 资源中,并将标签值设置为true
。具有此标签键和值对的此 Amazon EC2 资源将被排除在恶意软件扫描之外。两种扫描类型(GuardDuty启动的恶意软件扫描和按需恶意软件扫描)都支持全局标记。如果您在 Amazon 上启动按需恶意软件扫描EC2,则会生成扫描 ID。但是,将因 EXCLUDED_BY_SCAN_SETTINGS
而跳过扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因。