本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
按需扫描恶意软件 GuardDuty
按需恶意软件扫描可帮助您检测与您的亚马逊EC2实例关联的 Amazon Elastic Block Store (AmazonEBS) 卷上是否存在恶意软件。无需配置,您就可以通过提供要扫描的亚马逊EC2实例的 Amazon 资源名称 (ARN) 来启动按需恶意软件扫描。您可以通过 GuardDuty 控制台或启动按需恶意软件扫描API。在启动按需恶意软件扫描之前,您可以设置首选 快照保留 设置。以下场景可以帮助您确定何时使用按需恶意软件扫描类型 GuardDuty:
-
您想在不启用 GuardDuty启动的恶意软件扫描的情况下检测您的 Amazon EC2 实例中是否存在恶意软件。
-
您已启用 GuardDuty启动的恶意软件扫描,并且扫描已自动调用。按照针对EC2查找类型生成的恶意软件保护的建议补救措施后,如果要在同一资源上开始扫描,则可以在距离上次扫描开始时间 1 小时后开始按需恶意软件扫描。
在上次启动恶意软件扫描后,无需等待 24 小时即可启动按需恶意软件扫描。应在一小时后对同一资源启动按需恶意软件扫描。要避免在同一EC2实例上重复恶意软件扫描,请参阅重新扫描之前扫描的 Amazon 实例 EC2。
注意
30 天免费试用期内不包括按需恶意软件扫描。 GuardDuty使用费用适用于每次恶意软件扫描时扫描的 Amazon 总EBS量。有关更多信息,请参阅 Amazon GuardDuty 定价
按需恶意软件扫描工作原理
通过按需恶意软件扫描,即使您的 Amazon EC2 实例当前正在使用中,您也可以启动恶意软件扫描请求。启动按需恶意软件扫描后, GuardDuty 会创建附加到亚马逊实例的亚马逊EBS卷的快照,该EC2实例的亚马逊资源名称 (ARN) 是为扫描提供的。接下来,与 GuardDuty 共享这些快照GuardDuty 服务账号。 GuardDuty 使用 GuardDuty 服务帐户中的这些快照创建加密的副本EBS卷。有关如何扫描 Amazon EBS 卷的更多信息,请参阅弹性块存储 (EBS) 卷。
注意
GuardDuty 创建在您开始按需恶意软件扫描 point-in-time时已写入 Amazon EBS 卷的数据的快照。
如果发现恶意软件并且您已启用快照保留设置,则您的EBS卷快照将自动保留在您的中 AWS 账户。按需恶意软件扫描生成 EC2 恶意软件防护调查发现类型。如果未发现恶意软件,则无论快照保留期设置如何,您的EBS卷快照都会被删除。
GuardDuty 使用全局标签密钥GuardDutyExcluded,您可以将其添加到您的 Amazon EC2 资源中,并将标签值设置为true。具有此标签键和值对的此 Amazon EC2 资源将被排除在恶意软件扫描之外。两种扫描类型(GuardDuty启动的恶意软件扫描和按需恶意软件扫描)都支持全局标记。如果您在 Amazon 上启动按需恶意软件扫描EC2,则会生成扫描 ID。但是,将因 EXCLUDED_BY_SCAN_SETTINGS 而跳过扫描。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因。
