GuardDuty EC2 恶意软件防护
EC2 恶意软件防护通过扫描挂载到 Amazon Elastic Compute Cloud(Amazon EC2)实例以及在 Amazon EC2 上运行的容器工作负载的 Amazon Elastic Block Store(Amazon EBS)卷,来帮助检测可能存在的恶意软件。EC2 恶意软件防护提供了多种扫描选项,您可以决定在扫描时要包含还是排除特定的 Amazon EC2 实例。恶意软件防护还提供可在您的 GuardDuty 账户中保留 Amazon EBS 卷快照的选项,该卷附加在 Amazon EC2 实例或容器工作负载中。只有在发现恶意软件并生成 EC2 恶意软件防护调查发现时,才会保留快照。
EC2 恶意软件防护的设计确保了不会影响资源的性能。有关 GuardDuty 中 EC2 恶意软件防护的工作原理的信息,请参阅 弹性块存储(EBS)卷。有关不同 AWS 区域中 EC2 恶意软件防护可用性的信息,请参阅区域和端点。
备注
GuardDuty EC2 恶意软件防护不支持使用 Amazon EKS 或 Amazon ECS 的 Fargate。
EC2 恶意软件防护通过以下两种扫描类型来检测 Amazon EC2 实例和容器工作负载中可能有恶意的活动:由 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描。下表展示这两种扫描类型的比较情况。
因素 |
GuardDuty 启动的恶意软件扫描 |
按需恶意软件扫描 |
---|---|---|
如何调用扫描 |
在您启用 GuardDuty 启动的恶意软件扫描后,每当 GuardDuty 生成调查发现,并且在调查发现中表明 Amazon EC2 实例或容器工作负载中可能存在恶意软件时,GuardDuty 都会自动对附加到可能受影响资源的 Amazon EBS 卷,启动无代理恶意软件扫描。有关更多信息,请参阅 GuardDuty 启动的恶意软件扫描。 |
您可以通过提供 Amazon EC2 实例的 Amazon 资源名称(ARN),来启动按需恶意软件扫描。即使您的资源未生成 GuardDuty 调查发现,您也可以启动按需恶意软件扫描。有关更多信息,请参阅 Guarduty 中的按需恶意软件扫描。 |
需要配置 |
要使用 GuardDuty 启动的恶意软件扫描,必须为自己的账户启用该扫描。要使用 AWS Organizations 或基于邀请的方法管理多个账户,请参阅在多账户环境中启用由 GuardDuty 启动的恶意软件扫描。要在您自己的账户中启用由 GuardDuty 启动的恶意软件扫描,请参阅为独立账户启用由 GuardDuty 启动的恶意软件扫描。 |
您的账户必须已经启用 GuardDuty。要使用按需恶意软件扫描,无需在功能级别进行配置。 |
等待以发起新的扫描 |
每当 GuardDuty 生成一个调用 GuardDuty 启动的恶意软件扫描的调查发现时,就会每隔 24 小时自动启动一次恶意软件扫描。 |
距离上一次扫描开始时间 1 小时后,您可以随时对同一资源启动按需恶意软件扫描。 |
30 天免费试用期的可用性1 |
在账户中首次启用由 GuardDuty 启动的恶意软件扫描时,您可以享有 30 天的免费试用期。 有关启用由 GuardDuty 启动的恶意软件扫描的信息,请参阅 由 GuardDuty 启动的恶意软件扫描的 30 天免费使用期。 |
针对新的或现有的 GuardDuty 账户进行按需恶意软件扫描没有免费试用期。 |
扫描选项2 |
在配置由 GuardDuty 启动的恶意软件扫描后,EC2 恶意软件防护提供了使用标签扫描或跳过特定 Amazon EC2 资源的选项。EC2 恶意软件防护不会对您选择排除在扫描范围之外的资源启动自动扫描。有关更多信息,请参阅 使用用户定义的标签扫描选项。 |
由于您提供了资源 ARN 来手动启动按需恶意软件扫描,因此不适用使用使用用户定义的标签扫描选项。 |
1 创建 EBS 卷快照和保留快照将产生使用成本。有关配置账户以保留快照的更多信息,请参阅快照保留。
2 由 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描都支持使用全局标签将 Amazon EC2 资源从恶意软件扫描范围中排除。有关更多信息,请参阅 全局 GuardDutyExcluded 标签。
弹性块存储(EBS)卷
本节介绍 EC2 恶意软件防护(包括由 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描)如何扫描与 Amazon EC2 实例和容器工作负载关联的 Amazon EBS 卷。在继续之前,请考虑以下自定义项:
-
扫描选项:EC2 恶意软件防护提供了通过指定标签,从而在扫描过程中包含或排除 Amazon EC2 实例和 Amazon EBS 卷的功能。只有 GuardDuty 启动的恶意软件扫描支持带有用户定义标签的扫描选项。GuardDuty 启动的恶意软件扫描和按需恶意软件扫描都支持全局
GuardDutyExcluded
标签。有关更多信息,请参阅 使用用户定义的标签扫描选项。 -
快照保留:EC2 恶意软件防护提供了在 AWS 账户中保留 Amazon EBS 卷快照的选项。默认情况下,此选项处于关闭状态。您可以为 GuardDuty 启动的恶意软件扫描和按需恶意软件扫描选择使用快照保留。有关更多信息,请参阅 快照保留。
当 GuardDuty 生成一个或多个调用 GuardDuty 启动的恶意软件扫描的调查发现时,该活动将成为 GuardDuty 启动恶意软件扫描的原因。如果您的扫描选项未排除该实例,则 GuardDuty 将启动扫描。
要在与 Amazon EC2 实例关联的 Amazon EBS 卷上启动按需恶意软件扫描,请提供 Amazon EC2 实例的 Amazon 资源名称(ARN)。
按需恶意软件扫描或由 GuardDuty 自动启动的恶意软件扫描开始后,GuardDuty 会为挂载到可能受影响资源的相关 EBS 卷创建快照,并与 GuardDuty 服务账号共享,从而进行响应。当 GuardDuty 创建 EBS 卷的快照时,将会添加一个名为 GuardDutyScanId
的默认标签。此标签有助于 GuardDuty 访问快照。切勿移除此标签。根据这些快照,GuardDuty 在服务账户中创建一个加密的副本 EBS 卷。
有关 GuardDuty 恶意软件检测方法及其使用的扫描引擎的信息,请参阅 GuardDuty 恶意软件检测扫描引擎。
扫描完成后,GuardDuty 会删除加密副本 EBS 卷和 EBS 卷的快照。如果发现恶意软件并且您已开启快照保留设置,则不会删除 EBS 卷的快照,而是会自动保留在您的 AWS 账户中。如果未发现任何恶意软件,则无论快照保留设置如何,系统都不会保留您 EBS 卷的快照。默认情况下,快照保留设置处于关闭状态。有关快照成本及快照保留的信息,请参阅 Amazon EBS 定价
GuardDuty 将在服务账户中最多保留每个副本 EBS 卷 55 小时。如果服务中断,或者副本 EBS 卷及其恶意软件扫描出现故障,GuardDuty 对此类 EBS 卷的保留时间将不超过七天。延长卷保留期是为了对中断或故障进行分类并解决。在解决中断或故障后,或延长保留期届满后,GuardDuty EC2 恶意软件防护将从服务账户中删除副本 EBS 卷。