亚马逊的恶意软件防护GuardDuty - Amazon GuardDuty
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊的恶意软件防护GuardDuty

恶意软件保护通过扫描连接到亚马逊弹性计算云 (Amazon EC2) 实例和容器工作负载的亚马逊弹性区块存储 (Amazon EBS) 卷来帮助您检测恶意软件的潜在存在。恶意软件保护提供扫描选项,您可以在扫描时决定是否要包含或排除特定的 Amazon EC2 实例和容器工作负载。它还提供了一个选项,可将附加到 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷的快照保留在您的中GuardDuty账户。只有在发现恶意软件并生成恶意软件保护结果时,才会保留快照。

恶意软件保护提供两种类型的扫描,用于检测您的 Amazon EC2 实例和容器工作负载中潜在的恶意活动——GuardDuty-启动恶意软件扫描和按需恶意软件扫描。下表显示了两种扫描类型之间的比较。

Factor

GuardDuty-启动恶意软件扫描

按需恶意软件扫描

如何调用扫描

启用后GuardDuty-随时启动恶意软件扫描GuardDuty生成一个调查结果,表明 Amazon EC2 实例或容器工作负载中可能存在恶意软件,GuardDuty自动对连接到您的可能受影响资源的 Amazon EBS 卷启动无代理恶意软件扫描。有关更多信息,请参阅GuardDuty-启动恶意软件扫描

您可以通过提供与您的 Amazon EC2 实例或容器工作负载关联的亚马逊资源名称 (ARN) 来启动按需恶意软件扫描。即使没有,您也可以启动按需恶意软件扫描GuardDuty查找结果是为您的资源生成的。有关更多信息,请参阅按需恶意软件扫描

需要配置

要使用GuardDuty-启动恶意软件扫描,您必须为您的帐户启用该扫描。有关更多信息,请参阅正在配置GuardDuty-启动恶意软件扫描

要使用按需恶意软件扫描,您的帐户必须GuardDuty已启用。无需进一步配置即可启动按需恶意软件扫描。

等待启动新扫描的时间

无论何时GuardDuty生成其中一个引发的调查结果GuardDuty-启动恶意软件扫描,自动恶意软件扫描每 24 小时启动一次。

自上次扫描开始时间起 1 小时后,您可以对同一资源启动按需恶意软件扫描。

30 天免费试用的可用性

如果你已启用GuardDuty-首次在您的账户中启动恶意软件扫描,您可以使用 30 天的免费试用期*

没有免费试用期*使用按需恶意软件扫描新的或现有的恶意软件GuardDuty账户。

扫描选项

配置完成后GuardDuty-启动恶意软件扫描,恶意软件保护还可以帮助您选择要扫描或跳过的资源。恶意软件防护不会对您选择排除在扫描范围之外的资源启动自动扫描。

按需恶意软件扫描支持全球GuardDutyExcluded标签。它不支持带有用户定义标签的扫描选项。有关更多信息,请参阅带有用户定义标签的扫描选项

*创建 EBS 卷快照和保留快照将产生使用成本。有关更多信息,请参阅快照保留

恶意软件保护是一项可选增强功能GuardDuty,其设计方式不会影响您的资源性能。有关恶意软件防护在其中的工作原理的信息GuardDuty,参见恶意软件防护中的功能。有关不同版本的恶意软件保护可用性的信息Amazon Web Services 区域,参见区域和终端节点

注意

GuardDuty恶意软件防护不支持 ECS Fargate。

恶意软件防护中支持的容量

以下列表描述了恶意软件保护中哪些未加密和加密的 Amazon EBS 卷支持扫描:

  • GuardDuty支持未加密和使用客户管理的密钥加密的卷。如果您的 Amazon EBS 卷是使用客户管理的密钥加密的,GuardDuty使用相同的密钥加密副本 EBS 卷。

  • 对于未加密的 EBS 卷,GuardDuty使用自己的密钥加密副本 EBS 卷。恶意软件保护支持扫描连接到您的 Amazon EC2 实例的 EBS 卷和位于您的实例中的容器工作负载Amazon账户。

  • 恶意软件保护不支持扫描使用加密的 EBS 卷默认Amazon 托管式密钥用于 EBS

    它也不支持使用以下方式扫描 Amazon EC2 实例productCode如同marketplace。如果对这样的 Amazon EC2 实例启动了恶意软件扫描,则会跳过扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因 中的 UNSUPPORTED_PRODUCT_CODE_TYPE

默认情况下,当CreateVolume调用 API 时加密设置为true但未指定 KMS 密钥 ID,创建的卷将使用默认Amazon KMSEBS 加密的密钥。但是,如果未明确提供加密密钥,则可以调用ModifyEbsDefaultKmsKeyId修改默认密钥。

通过使用以下方法之一,您可以更新 EBS 默认密钥 ID,该密钥 ID 将由选择通过不指定关联的 KMS 密钥 ID 进行加密的新创建的 EBS 卷使用。要修改 EBS 默认密钥 ID,请向您的 IAM 策略添加以下必要权限-ec2:modifyEbsDefaultKmsKeyId

修改亚马逊 EBS 卷的默认 KMS 密钥 ID

请执行下列操作之一:

  • 使用 API— 你可以使用ModifyEbsDefaultKmsKeyIdAPI。有关如何查看卷加密状态的更多信息,请参阅创建亚马逊 EBS 卷

  • 使用Amazon CLI命令— 以下示例修改了默认 KMS 密钥 ID,如果您不提供 KMS 密钥 ID,该密钥 ID 将加密 Amazon EBS 卷。确保将区域替换为Amazon Web Services 区域您的 KM 密钥 ID。

    aws ec2 modify-ebs-default-kms-key-id --region us-west-2 --kms-key-id AKIAIOSFODNN7EXAMPLE

    上面的命令将生成类似于以下输出的输出:

    { "KmsKeyId": "arn:aws:kms:us-west-2:444455556666:key/AKIAIOSFODNN7EXAMPLE" }

    有关更多信息,请参见modify-ebs-default-kms-key-id