本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
按需扫描恶意软件 GuardDuty
按需恶意软件扫描可帮助您检测附加到您的亚马逊实例的亚马逊 Elastic Block Store (Amazon EBS) 卷上是否存在恶意软件。 EC2 无需配置,您就可以通过提供要扫描的亚马逊 EC2 实例的亚马逊资源名称 (ARN) 来启动按需恶意软件扫描。您可以通过 GuardDuty 控制台或 API 启动按需恶意软件扫描。在启动按需恶意软件扫描之前,您可以设置首选 快照保留 设置。以下场景可以帮助您确定何时使用按需恶意软件扫描类型 GuardDuty:
-
您想在不启用 GuardDuty启动的恶意软件扫描的情况下检测您的 Amazon EC2 实例中是否存在恶意软件。
-
您已启用 GuardDuty启动的恶意软件扫描,并且扫描已自动调用。按照针对 EC2 查找类型生成的恶意软件保护的建议补救措施后,如果要在同一资源上开始扫描,则可以在距离上次扫描开始时间 1 小时后开始按需恶意软件扫描。
在上次启动恶意软件扫描后,无需等待 24 小时即可启动按需恶意软件扫描。应在一小时后对同一资源启动按需恶意软件扫描。要避免在同一 EC2 实例上重复恶意软件扫描,请参阅重新扫描之前扫描的 Amazon 实例 EC2。
注意
30 天免费试用期内不包括按需恶意软件扫描。 GuardDuty按照每次进行恶意软件扫描时扫描的 Amazon EBS 卷总量,收取使用费用。有关更多信息,请参阅 Amazon GuardDuty 定价
按需恶意软件扫描工作原理
通过按需恶意软件扫描,即使您的 Amazon EC2 实例当前正在使用中,您也可以启动恶意软件扫描请求。启动按需恶意软件扫描后, GuardDuty 会创建附加到亚马逊实例的 Amazon EBS 卷的快照,该 EC2 实例的亚马逊资源名称 (ARN) 是为扫描提供的。接下来,与 GuardDuty 共享这些快照GuardDuty 服务账号。 GuardDuty 根据 GuardDuty 服务账户中的这些快照创建加密副本 EBS 卷。有关如何扫描 Amazon EBS 卷的更多信息,请参阅 如何 GuardDuty 扫描 EBS 卷以进行恶意软件检测。
注意
GuardDuty 创建在您开始按需恶意软件扫描 point-in-time时已写入 Amazon EBS 卷的数据的快照。
如果系统发现恶意软件并且您已开启快照保留设置,则 EBS 卷的快照会自动保留在您的 Amazon Web Services 账户中。按需恶意软件扫描生成 用于 EC2 查找类型的恶意软件防护。如果未发现恶意软件,则无论快照保留设置如何,EBS 卷的快照都会被删除。
GuardDuty 使用全局标签密钥GuardDutyExcluded,您可以将其添加到您的 Amazon EC2 资源中,并将标签值设置为true。具有此标签键和值对的此 Amazon EC2 资源将被排除在恶意软件扫描之外。两种扫描类型(GuardDuty启动的恶意软件扫描和按需恶意软件扫描)都支持全局标记。如果您在 Amazon 上启动按需恶意软件扫描 EC2,则会生成扫描 ID。但是,将因 EXCLUDED_BY_SCAN_SETTINGS 而跳过扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因。