本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
按需恶意软件扫描 GuardDuty
按需恶意软件扫描可帮助您检测附加到 Amazon Elastic Block Store(Amazon EBS)卷中是否存在恶意软件。 EC2 无需配置,只需通过提供要扫描的 Amazon EC2 实例的 Amazon 资源名称(ARN),就可以启动按需恶意软件扫描。您可以通过 GuardDuty 控制台或 API 启动按需恶意软件扫描。在启动按需恶意软件扫描之前,您可以设置首选 快照保留 设置。以下场景可以帮助您确定在使用按需恶意软件扫描类型时,何时使用按需恶意软件扫描类型 GuardDuty:
-
您想在不启用由 GuardDuty启动的恶意软件扫描的情况下,检测您的 Amazon EC2 实例中是否存在恶意软件。
-
您已启用 GuardDuty由启动的恶意软件扫描,并且扫描已自动调用。在对生成的恶意软件防护执行建议的补救措施后,如果要对同一资源启动扫描,在距离上一次扫描开始时间 1 小时后,就可以启动按需恶意软件扫描。 EC2
在上次启动恶意软件扫描后,无需等待 24 小时即可启动按需恶意软件扫描。应在一小时后对同一资源启动按需恶意软件扫描。要避免在同一个 EC2 实例上重复执行恶意软件扫描,请参阅重新扫描之前已扫描的 Amazon 实例 EC2。
注意
30 天免费试用期中不包括按需恶意软件扫描。 GuardDuty按照每次进行恶意软件扫描时扫描的 Amazon EBS 卷总量,收取使用费用。有关更多信息,请参阅 Amazon GuardDuty 定价
按需恶意软件扫描工作原理
即使 Amazon EC2 实例正在使用中,您也可以通过按需恶意软件扫描,为该实例启动恶意软件扫描请求。启动按需恶意软件扫描后, GuardDuty 创建附加到 Amazon 资源名称(ARN)以供扫描的 Amazon EBS 卷的快照。 EC2 接下来,与 GuardDuty 共享这些快照GuardDuty 服务账号。 GuardDuty 根据 GuardDuty 服务账户中的这些快照创建加密的副本 EBS 卷。有关如何扫描 Amazon EBS 卷的更多信息,请参阅 如何 GuardDuty 扫描 EBS 卷以检测恶意软件。
注意
GuardDuty 创建在启动按需恶意软件扫描 point-in-time时已写入 Amazon EBS 卷的数据创建快照。
如果系统发现恶意软件并且您已开启快照保留设置,则 EBS 卷的快照会自动保留在您的 Amazon Web Services 账户中。按需恶意软件扫描生成 用于 EC2 查找类型的恶意软件防护。如果未发现恶意软件,则无论快照保留设置如何,EBS 卷的快照都会被删除。
GuardDuty 使用全局标签密钥GuardDutyExcluded,您可以将其添加到您的 Amazon EC2 资源中,并将标签值设置为true。具有此标签键值对的 Amazon EC2 资源将被排除在恶意软件扫描范围之外。这两种扫描类型(GuardDuty启动的恶意软件扫描和按需恶意软件扫描)都支持此全局标签。如果您在 Amazon 上启动按需恶意软件扫描 EC2,则会生成一个扫描 ID。但是,将因 EXCLUDED_BY_SCAN_SETTINGS 而跳过扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因。