本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# GuardDuty EC2 恶意软件防护
EC2 恶意软件防护通过扫描挂载到 Amazon Elastic Compute Cloud(Amazon EC2)实例以及在 Amazon EC2 上运行的容器工作负载的 [Amazon Elastic Block Store(Amazon EBS)卷](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/AmazonEBS.html),来帮助检测可能存在的恶意软件。EC2 恶意软件防护提供了多种扫描选项,您可以决定在扫描时要包含还是排除特定的 Amazon EC2 实例。它还提供了在您的 GuardDuty 账户中保留附加到 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷快照的选项。只有在发现恶意软件并生成 EC2 恶意软件防护调查发现时,才会保留快照。
EC2 恶意软件防护的设计确保了不会影响资源的性能。有关 EC2 恶意软件防护在内部的工作原理的信息 GuardDuty,请参阅[如何 GuardDuty 扫描 EBS 卷以进行恶意软件检测](guardduty_malware_protection-ebs-volume-data.md)。有关不同版本中适用于 EC2 的恶意软件防护可用性的信息 Amazon Web Services 区域,请参阅[区域和端点](guardduty_regions.md)。
**注意**
EC2 恶意软件防护**支持**在 Amazon EKS 自动模式的托管实例上进行恶意软件扫描。有关更多信息,请参阅 [Guardduty 中对托管实例的支持](https://docs.amazonaws.cn/guardduty/latest/ug/guardduty_managed-instances.html)。
EC2 恶意软件防护**不支持**对在 Amazon EKS 或 Amazon ECS 上运行 Amazon Fargate 的工作负载进行恶意软件扫描。
有关这些 Amazon EKS 功能的更多信息,请参阅《Amazon EKS 用户指南》****中的[什么是 Amazon EKS?](https://docs.amazonaws.cn/eks/latest/userguide/what-is-eks.html)
**Topics**
+ [比较 GuardDuty启动的恶意软件扫描和按需恶意软件扫描](#compare-guardduty-initiated-on-demand-malware-scans)
+ [如何 GuardDuty 扫描 EBS 卷以进行恶意软件检测](guardduty_malware_protection-ebs-volume-data.md)
+ [支持的 EBS 卷](gdu-malpro-supported-volumes.md)
+ [设置快照保留期和 EC2 扫描覆盖范围](malware-protection-customizations.md)
+ [GuardDuty-启动的恶意软件扫描](gdu-initiated-malware-scan.md)
+ [按需恶意软件扫描](on-demand-malware-scan.md)
+ [监控恶意软件扫描状态和结果](malware-protection-scans.md)
+ [GuardDuty 服务账号](gdu-service-account-region-list.md)
+ [EC2 恶意软件防护的配额](malware-protection-limitations.md)
## 比较 GuardDuty启动的恶意软件扫描和按需恶意软件扫描
EC2 恶意软件保护提供两种类型的扫描,用于检测您的 Amazon EC2 实例和容器工作负载中的潜在恶意活动: GuardDuty启动的恶意软件扫描和按需恶意软件扫描。下表展示这两种扫描类型的比较情况。
| 因素 | GuardDuty-启动的恶意软件扫描 | 按需恶意软件扫描 |
| --- | --- | --- |
| 如何调用扫描 | 启用 GuardDuty启动的恶意软件扫描后,每当 GuardDuty 生成发现 Amazon EC2 实例或容器工作负载中可能存在恶意软件时,都会 GuardDuty 自动对附加到可能受影响的资源的 Amazon EBS 卷启动无代理恶意软件扫描。有关更多信息,请参阅 [GuardDuty-启动的恶意软件扫描](gdu-initiated-malware-scan.md)。 | 您可以通过提供 Amazon EC2 实例的 Amazon 资源名称(ARN),来启动按需恶意软件扫描。即使您的资源未生成任何 GuardDuty 结果,您也可以启动按需恶意软件扫描。有关更多信息,请参阅 [按需扫描恶意软件 GuardDuty](on-demand-malware-scan.md)。 |
| 需要配置 | 要使用 GuardDuty启动的恶意软件扫描,必须为自己的帐户启用该功能。要使用 Amazon Organizations 或基于邀请的方法管理多个账户,请参阅[在多 GuardDuty账户环境中启用启动的恶意软件扫描](configure-malware-protection-guardduty-initiated-multi-account.md)。要在自己的账户中启用 GuardDuty启动的恶意软件扫描,请参阅[为独立 GuardDuty账户启用启动的恶意软件扫描](configure-malware-protection-single-account.md)。 | 您的账户必须已 GuardDuty 启用。要使用按需恶意软件扫描,无需在功能级别进行配置。 |
| 等待以发起新的扫描 | 每当 GuardDuty 生成其中一个[调用 GuardDuty启动的恶意软件扫描的发现](gd-findings-initiate-malware-protection-scan.md),恶意软件扫描仅每 24 小时自动启动一次。 | 距离上一次扫描开始时间 1 小时后,您可以随时对同一资源启动按需恶意软件扫描。 |
| 30 天免费试用期的可用性*[1](#malware-protection-ec2-ebs-cost-note)* | 当您在账户中首次启用 GuardDuty启动的恶意软件扫描时,可以使用 30 天的免费试用期。 有关更多信息,请参阅 [30 天免费试用 GuardDuty启动的恶意软件扫描](malware-protection-ec2-guardduty-30-day-free-trial.md)。 | 针对新账户或现有 GuardDuty账户的按需恶意软件扫描没有免费试用期。 |
| 扫描选项*[2](#malware-protection-ec2-gdu-excluded-tag-note)* | 配置 GuardDuty启动的恶意软件扫描后,EC2 恶意软件防护提供了使用标签扫描或跳过特定 Amazon EC2 资源的选项。EC2 恶意软件防护不会对您选择排除在扫描范围之外的资源启动自动扫描。有关更多信息,请参阅 [使用用户定义的标签扫描选项](malware-protection-customizations.md#mp-scan-options)。 | 由于您提供了资源 ARN 来手动启动按需恶意软件扫描,因此不适用使用[使用用户定义的标签扫描选项](malware-protection-customizations.md#mp-scan-options)。 |
1 创建 EBS 卷快照和保留快照将产生使用成本。有关配置账户以保留快照的更多信息,请参阅[快照保留](malware-protection-customizations.md#mp-snapshots-retention)。
2 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描都支持使用全局标签将 Amazon EC2 资源排除在恶意软件扫描之外。有关更多信息,请参阅 [全局 `GuardDutyExcluded` 标签](malware-protection-customizations.md#mp-scan-options-gdu-excluded-tag)。