GuardDuty-启动的恶意软件扫描

启用 GuardDuty启动的恶意软件扫描后，无论何时 GuardDuty 生成调用 GuardDuty启动的恶意软件扫描的发现，都将在附加到可能受影响的亚马逊EC2资源的 Amazon Elastic Block Store (AmazonEBS) 卷上启动无代理恶意软件扫描。在扫描启动之前，您必须为账户做好任何自定义准备。使用扫描选项时，您可以添加包含标签（与要扫描的资源相关），也可以添加排除标签（与在扫描过程中要跳过的资源相关）。自动扫描启动将始终考虑您的扫描选项。 GuardDuty 还支持全局GuardDutyExcluded:true标签键:值对。当您将此全局标签添加到 Amazon EC2 资源时， GuardDuty将启动扫描，然后跳过扫描。您也可以选择开启快照保留设置，以保留可能检测到恶意软件的EBS卷的快照。有关扫描选项、全局排除标签和快照设置的更多信息，请参阅设置快照保留和EC2扫描覆盖范围。

当为同一 Amazon EC2 资源 GuardDuty 生成多个发现结果时， GuardDuty 只有在上次启动恶意软件扫描后 24 小时后才能 GuardDuty启动扫描。有关如何扫描附加到您的 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷的信息，请参阅如何 GuardDuty 扫描EBS卷以检测到恶意软件。

下图描述了 GuardDuty启动的恶意软件扫描的工作原理。

有关 GuardDuty 恶意软件检测方法及其使用的扫描引擎的信息，请参阅GuardDuty 恶意软件检测扫描引擎。

当发现恶意软件时， GuardDuty 就会生成EC2 恶意软件防护调查发现类型。如果 GuardDuty 未生成表明同一资源上有恶意软件的发现，则不会调用任何 GuardDuty启动的恶意软件扫描。您也可以在同一资源上启动按需恶意软件扫描。有关更多信息，请参阅 按需扫描恶意软件 GuardDuty。