本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
按需扫描恶意软件 GuardDuty
按需恶意软件扫描可帮助您检测附加到 Amazon EC2 实例的 Amazon Elastic Block Store(Amazon EBS)卷中是否存在恶意软件。无需配置,只需通过提供要扫描的 Amazon EC2 实例的 Amazon 资源名称(ARN),就可以启动按需恶意软件扫描。您可以通过 GuardDuty 控制台或 API 启动按需恶意软件扫描。在启动按需恶意软件扫描之前,您可以设置首选 快照保留 设置。以下场景可以帮助您确定何时使用按需恶意软件扫描类型 GuardDuty:
-
您想在不启用 GuardDuty启动的恶意软件扫描的情况下检测您的 Amazon EC2 实例中是否存在恶意软件。
-
您已经启用了 GuardDuty启动的恶意软件扫描,并且自动调用了扫描。在对生成的 EC2 恶意软件防护调查发现类型执行建议的补救措施后,如果要对同一资源启动扫描,在距离上一次扫描开始时间 1 小时后,就可以启动按需恶意软件扫描。
在上次启动恶意软件扫描后,无需等待 24 小时即可启动按需恶意软件扫描。应在一小时后对同一资源启动按需恶意软件扫描。要避免在同一 EC2 实例上重复执行恶意软件扫描,请参阅 重新扫描之前已扫描的 Amazon EC2 实例。
注意
30 天免费试用期内不包括按需恶意软件扫描。 GuardDuty按照每次进行恶意软件扫描时扫描的 Amazon EBS 卷总量,收取使用费用。有关更多信息,请参阅 Amazon GuardDuty 定价
按需恶意软件扫描工作原理
即使 Amazon EC2 实例正在使用中,您也可以通过按需恶意软件扫描,为该实例启动恶意软件扫描请求。启动按需恶意软件扫描后, GuardDuty 会创建附加到为扫描提供亚马逊资源名称 (ARN) 的 Amazon EC2 实例的 Amazon EBS 卷的快照。接下来,与 GuardDuty 共享这些快照GuardDuty 服务账号。 GuardDuty 根据 GuardDuty 服务账户中的这些快照创建加密副本 EBS 卷。有关如何扫描 Amazon EBS 卷的更多信息,请参阅 如何 GuardDuty 扫描 EBS 卷以进行恶意软件检测。
注意
GuardDuty 创建在您开始按需恶意软件扫描 point-in-time时已写入 Amazon EBS 卷的数据的快照。
如果系统发现恶意软件并且您已开启快照保留设置,则 EBS 卷的快照会自动保留在您的 Amazon Web Services 账户中。按需恶意软件扫描生成 EC2 恶意软件防护调查发现类型。如果未发现恶意软件,则无论快照保留设置如何,EBS 卷的快照都会被删除。
GuardDuty 使用全局标签密钥GuardDutyExcluded,您可以将其添加到您的 Amazon EC2 资源中,并将标签值设置为true。具有此标签键值对的 Amazon EC2 资源将被排除在恶意软件扫描范围之外。两种扫描类型(GuardDuty启动的恶意软件扫描和按需恶意软件扫描)都支持全局标记。如果您在 Amazon EC2 上启动按需恶意软件扫描,则会生成一个扫描 ID。但是,将因 EXCLUDED_BY_SCAN_SETTINGS 而跳过扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因。