GuardDuty啟動的惡意軟體掃描

啟用 GuardDuty啟動的惡意軟體掃描後，每當 GuardDuty 產生 時調用 GuardDuty啟動惡意軟體掃描的調查結果，Amazon Elastic Block Store (AmazonEBS) 磁碟區上的無代理程式惡意軟體掃描會啟動，而此磁碟區會連接至可能受影響的 Amazon EC2 資源。開始掃描之前，您必須準備您的帳戶以進行任何自訂。使用掃描選項，您可以新增與您要掃描之資源相關聯的包含標籤，或新增與您要從掃描程序略過之資源相關聯的排除標籤。自動掃描啟動一律會考慮您的掃描選項。 GuardDuty 也支援全域 GuardDutyExcluded：true 標籤鍵：值對。當您將此全域標籤新增至 Amazon EC2 資源時， GuardDuty會啟動掃描，然後略過該掃描。您也可以選擇開啟快照保留設定，以保留可能偵測到惡意軟體之EBS磁碟區的快照。如需掃描選項、全域排除標籤和快照設定的詳細資訊，請參閱設定快照保留和EC2掃描涵蓋範圍。

當 GuardDuty 產生相同 Amazon EC2 資源的多個調查結果時， 只有在上次啟動的 GuardDuty惡意軟體掃描經過 24 小時後 GuardDuty 才能啟動掃描。如需如何掃描連接至 Amazon EC2執行個體或容器工作負載的 Amazon EBS磁碟區的詳細資訊，請參閱 如何 GuardDuty 掃描EBS磁碟區以進行惡意軟體偵測。

下圖說明 GuardDuty啟動惡意軟體掃描的運作方式。

如需有關 GuardDuty 惡意軟體偵測方法及其使用的掃描引擎的資訊，請參閱 GuardDuty 惡意軟體偵測掃描引擎。

找到惡意軟體時， GuardDuty 會產生 EC2 調查結果類型的惡意軟體防護。如果 GuardDuty 未在相同資源上產生指示惡意軟體的調查結果，則不會叫用啟動 GuardDuty的惡意軟體掃描。您也可以在相同的資源上啟動隨需惡意軟體掃描。如需詳細資訊，請參閱中的隨需惡意軟體掃描 GuardDuty。