本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用 GuardDuty启动的恶意软件扫描后,无论何时 GuardDuty 生成调用 GuardDuty启动的恶意软件扫描的发现,都将在附加到可能受影响的亚马逊资源的亚马逊弹性区块存储 (Amazon EBS) Elastic Block Store 卷上启动无代理恶意软件扫描。 EC2在扫描启动之前,您必须为账户做好任何自定义准备。使用扫描选项时,您可以添加包含标签(与要扫描的资源相关),也可以添加排除标签(与在扫描过程中要跳过的资源相关)。自动扫描启动将始终考虑您的扫描选项。 GuardDuty 还支持全局GuardDutyExcluded:true标签键:值对。当您将此全局标签添加到 Amazon EC2 资源时, GuardDuty将启动扫描,然后跳过扫描。您也可以选择开启快照保留设置,来为可能检测到恶意软件的 EBS 卷保留快照。有关扫描选项、全局排除标签和快照设置的更多信息,请参阅设置快照保留和 EC2 扫描覆盖范围。
当为同一 Amazon EC2 资源 GuardDuty 生成多个发现结果时, GuardDuty 只有在上次启动恶意软件扫描后 24 小时后才能 GuardDuty启动扫描。有关如何扫描附加到您的 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷的信息,请参阅如何 GuardDuty 扫描 EBS 卷以进行恶意软件检测。
下图描述了 GuardDuty启动的恶意软件扫描的工作原理。
有关 GuardDuty 恶意软件检测方法及其使用的扫描引擎的信息,请参阅GuardDuty 恶意软件检测扫描引擎。
当发现恶意软件时, GuardDuty 就会生成用于 EC2 查找类型的恶意软件防护。如果 GuardDuty 未生成表明同一资源上有恶意软件的发现,则不会调用任何 GuardDuty启动的恶意软件扫描。您也可以在同一资源上启动按需恶意软件扫描。有关更多信息,请参阅 按需扫描恶意软件 GuardDuty。
