Guarduty 中的按需恶意软件扫描
按需恶意软件扫描可帮助您检测附加到 Amazon EC2 实例的 Amazon Elastic Block Store(Amazon EBS)卷中是否存在恶意软件。无需配置,只需通过提供要扫描的 Amazon EC2 实例的 Amazon 资源名称(ARN),就可以启动按需恶意软件扫描。您可以通过 GuardDuty 控制台或 API 启动按需恶意软件扫描。在启动按需恶意软件扫描之前,您可以设置首选 快照保留 设置。以下场景可以帮助您确定在使用 GuardDuty 时,何时使用按需恶意软件扫描类型:
-
您想在不启用 GuardDuty 启动的恶意软件扫描的情况下,检测您的 Amazon EC2 实例中是否存在恶意软件。
-
您已启用 GuardDuty 启动的恶意软件扫描,并且扫描已自动调用。在对生成的 EC2 恶意软件防护调查发现类型执行建议的补救措施后,如果要对同一资源启动扫描,在距离上一次扫描开始时间 1 小时后,就可以启动按需恶意软件扫描。
在上次启动恶意软件扫描后,无需等待 24 小时即可启动按需恶意软件扫描。应在一小时后对同一资源启动按需恶意软件扫描。要避免在同一 EC2 实例上重复执行恶意软件扫描,请参阅 重新扫描之前已扫描的 Amazon EC2 实例。
注意
GuardDuty 的 30 天免费试用期中不包括按需恶意软件扫描。按照每次进行恶意软件扫描时扫描的 Amazon EBS 卷总量,收取使用费用。有关更多信息,请参阅 Amazon GuardDuty 定价
按需恶意软件扫描工作原理
即使 Amazon EC2 实例正在使用中,您也可以通过按需恶意软件扫描,为该实例启动恶意软件扫描请求。启动按需恶意软件扫描后,的,对于提供了 Amazon 资源名称(ARN)以供扫描的 Amazon EC2 实例,GuardDuty 会为挂载该实例的 Amazon EBS 卷创建快照。接下来,GuardDuty 将与 GuardDuty 服务账号 共享这些快照。根据这些快照,GuardDuty 会在 GuardDuty 服务账户中,创建一个加密的副本 EBS 卷。有关如何扫描 Amazon EBS 卷的更多信息,请参阅 GuardDuty 如何扫描 EBS 卷以检测恶意软件。
注意
GuardDuty 会为在启动按需恶意软件扫描时已写入 Amazon EBS 卷的数据创建快照。
如果系统发现恶意软件并且您已开启快照保留设置,则 EBS 卷的快照会自动保留在您的 Amazon Web Services 账户 中。按需恶意软件扫描生成 EC2 恶意软件防护调查发现类型。如果未发现恶意软件,则无论快照保留设置如何,EBS 卷的快照都会被删除。
GuardDuty 使用全局标签键 GuardDutyExcluded,您可以将其添加到 Amazon EC2 资源中,并将标签值设置为 true。具有此标签键值对的 Amazon EC2 资源将被排除在恶意软件扫描范围之外。这两种扫描类型(由 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描)都支持此全局标签。如果您在 Amazon EC2 上启动按需恶意软件扫描,则会生成一个扫描 ID。但是,将因 EXCLUDED_BY_SCAN_SETTINGS 而跳过扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因。