本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
按需恶意软件扫描
按需恶意软件扫描可帮助您检测附加到 Amazon EC2 实例的 Amazon Elastic Block Store(Amazon EBS)卷中是否存在恶意软件。无需配置,只需通过提供要扫描的 Amazon EC2 实例的 Amazon 资源名称(ARN),就可以启动按需恶意软件扫描。您可以通过 GuardDuty 控制台或 API 启动按需恶意软件扫描。在启动按需恶意软件扫描之前,您可以设置首选 快照保留 设置。以下场景可以帮助您确定何时使用按需恶意软件扫描类型 GuardDuty:
您想在不启用 GuardDuty启动的恶意软件扫描的情况下检测您的 Amazon EC2 实例中是否存在恶意软件。
您已经启用了 GuardDuty启动的恶意软件扫描,并且自动调用了扫描。在对生成的恶意软件防护调查发现类型执行建议的补救措施后,如果要对同一资源启动扫描,在距离上一次扫描开始时间 1 小时后,则可以启动按需恶意软件扫描。
在上次启动恶意软件扫描后,无需等待 24 小时再启动按需恶意软件扫描。应在一小时后对同一资源启动按需恶意软件扫描。要避免在同一 EC2 实例上重复执行恶意软件扫描,请参阅 重新扫描同一 Amazon EC2 实例。
注意
30 天免费试用期内不包括按需恶意软件扫描。 GuardDuty按照每次进行恶意软件扫描时扫描的 Amazon EBS 卷总量,收取使用费用。有关更多信息,请参阅 Amazon GuardDuty 定价
按需恶意软件扫描工作原理
即使您的 Amazon EC2 实例正在使用中,您也可以通过按需恶意软件扫描,为该实例发起恶意软件扫描请求。启动按需恶意软件扫描后, GuardDuty 会创建附加到为扫描提供亚马逊资源名称 (ARN) 的 Amazon EC2 实例的 Amazon EBS 卷的快照。接下来,与 GuardDuty 共享这些快照GuardDuty 服务账号。 GuardDuty 根据 GuardDuty 服务账户中的这些快照创建加密副本 EBS 卷。有关如何扫描 Amazon EBS 卷的更多信息,请参阅 弹性块存储(EBS)卷。
注意
GuardDuty 创建启动按需恶意软件扫描 point-in-time 时已写入 Amazon EBS 卷的数据的快照。
如果系统发现恶意软件并且您已开启快照保留设置,则 EBS 卷的快照会自动保留在您的 Amazon Web Services 账户中。按需恶意软件扫描生成 恶意软件防护查找类型。如果未发现恶意软件,则无论快照保留设置如何,EBS 卷的快照都会被删除。
默认情况下,会使用 GuardDutyScanId 标签创建 EBS 卷的快照。请勿删除此标签,因为这样做会 GuardDuty阻止访问快照。恶意软件防护中的两种扫描类型,都不会扫描 GuardDutyExcluded 标签设置为 true 的 Amazon EC2 实例或 Amazon EBS 卷。如果对此类资源进行恶意软件防护扫描,则生成扫描 ID,但会因 EXCLUDED_BY_SCAN_SETTINGS 而跳过该扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因。
Amazon Organizations 服务控制策略-拒绝访问
使用中的服务控制策略 (SCP) Amazon Organizations,委派的 GuardDuty 管理员账户可以限制权限并拒绝诸如对您的账户拥有的 Amazon EC2 实例启动按需恶意软件扫描之类的操作。
作为 GuardDuty 成员账户,当您为 Amazon EC2 实例启动按需恶意软件扫描时,您可能会收到错误消息。您可以连接管理账户,了解为何系统为您的成员账户设置 SCP。有关更多信息,请参阅 SCP 对权限的影响。