GuardDuty 的惡意軟體防護 EC2 - Amazon GuardDuty
Elastic Block Storage (EBS) 磁碟區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty 的惡意軟體防護 EC2

適用於 的惡意軟體防護EC2可協助您掃描連接至 Amazon Elastic Compute Cloud (AmazonEBS) 執行個體的 Amazon Elastic Block Store (Amazon ) 磁碟區,以及在 Amazon 上執行的容器工作負載,以偵測潛在的惡意軟體存在EC2。 EC2的惡意軟體防護EC2提供掃描選項,您可以在掃描時決定是否要包含或排除特定 Amazon EC2執行個體。它還提供在 GuardDuty 帳戶中保留連接到 Amazon EC2執行個體或容器工作負載的 Amazon EBS磁碟區的快照的選項。只有在找到惡意軟體並產生問題EC2清單的惡意軟體防護時,快照才會保留。

的惡意軟體防護EC2設計方式不會影響資源的效能。如需 惡意軟體防護如何在 內EC2運作的詳細資訊 GuardDuty,請參閱 Elastic Block Storage (EBS) 磁碟區。如需不同 EC2中惡意軟體防護可用性的詳細資訊 AWS 區域,請參閱 區域與端點

備註

的惡意軟體防護EC2支援 Amazon EKS Auto Mode 受管執行個體的惡意軟體掃描。

的惡意軟體防護EC2不支援對使用 Amazon EKS或 Amazon 執行的 AWS Fargate 工作負載進行惡意軟體掃描ECS。

如需這些 Amazon EKS功能的相關資訊,請參閱《Amazon 使用者指南》中的什麼是 AmazonEKSEKS?。

的惡意軟體防護EC2提供兩種類型的掃描,以偵測 Amazon EC2執行個體和容器工作負載中潛在的惡意活動 – GuardDuty啟動的惡意軟體掃描和隨需惡意軟體掃描。下表顯示了兩種掃描類型之間的比較。

Factor

GuardDuty啟動的惡意軟體掃描

隨需惡意軟體掃描

如何調用掃描

在您啟用 GuardDuty啟動的惡意軟體掃描之後,每當 GuardDuty 產生指出 Amazon EC2執行個體或容器工作負載中可能存在惡意軟體的調查結果時, GuardDuty 會自動在連接到潛在受影響資源的 Amazon EBS磁碟區上啟動無代理程式惡意軟體掃描。如需詳細資訊,請參閱GuardDuty啟動的惡意軟體掃描

您可以透過提供 Amazon EC2執行個體的 Amazon Resource Name (ARN) 來啟動隨需惡意軟體掃描。即使資源沒有產生 GuardDuty 問題清單,您也可以啟動隨需惡意軟體掃描。如需詳細資訊,請參閱中的隨需惡意軟體掃描 GuardDuty

需要的配置

若要使用 GuardDuty啟動的惡意軟體掃描,您必須為您的帳戶啟用它。若要使用以 AWS Organizations 邀請為基礎的方法管理多個帳戶,請參閱 在多帳戶環境中啟用 GuardDuty啟動的惡意軟體掃描。若要在您自己的帳戶中啟用 GuardDuty啟動的惡意軟體掃描,請參閱 啟用獨立帳戶的 GuardDuty起始惡意軟體掃描

您的帳戶必須 GuardDuty 已啟用。若要使用隨需惡意軟體掃描,功能層級不需要組態。

等待時間初始化新掃描

每當 GuardDuty 產生其中一個 時叫用 GuardDuty起始惡意軟體掃描的調查結果,惡意軟體掃描只會每 24 小時自動啟動一次。

自上一次掃描的開始時間算起 1 小時後,您可以隨時在相同的資源上啟動隨需惡意軟體掃描。

30 天免費試用期的可用性 1

當您第一次在帳戶中啟用 GuardDuty啟動的惡意軟體掃描時,您可以使用 30 天的免費試用期。

如需 GuardDuty啟動惡意軟體掃描的詳細資訊,請參閱 GuardDuty啟動惡意軟體掃描的 30 天免費試用

新帳戶或現有 GuardDuty帳戶的隨需惡意軟體掃描沒有免費試用期。

掃描選項2

設定 GuardDuty啟動惡意軟體掃描之後, 的惡意軟體防護EC2會提供選項,讓您使用標籤掃描或略過特定 Amazon EC2 資源。的惡意軟體防護EC2不會在您選擇排除掃描的資源上啟動自動掃描。如需詳細資訊,請參閱具有使用者定義標籤的掃描選項

由於您提供手動ARN啟動隨需惡意軟體掃描的資源,因此使用 具有使用者定義標籤的掃描選項 不適用。

1 建立EBS磁碟區快照和保留快照會產生使用成本。如需設定您的帳戶以保留快照的詳細資訊,請參閱 快照保留

2 GuardDuty啟動的惡意軟體掃描和隨需惡意軟體掃描支援,使用全域標籤將 Amazon EC2 資源排除在惡意軟體掃描之外。如需詳細資訊,請參閱全域 GuardDutyExcluded 標籤

Elastic Block Storage (EBS) 磁碟區

本節說明惡意軟體防護如何掃描與您的 Amazon EC2執行個體和容器工作負載相關聯的 Amazon EBS磁碟區EC2,包括 GuardDuty啟動的惡意軟體掃描和隨需惡意軟體掃描。繼續前,請考慮下列自訂內容:

  • 掃描選項 – 的惡意軟體防護EC2提供指定標籤的功能,以包含或排除掃描程序中的 Amazon EC2執行個體和 Amazon EBS磁碟區。只有 GuardDuty啟動的惡意軟體掃描支援具有使用者定義標籤的掃描選項。 GuardDuty啟動的惡意軟體掃描和隨需惡意軟體掃描都支援全域GuardDutyExcluded標籤。如需詳細資訊,請參閱具有使用者定義標籤的掃描選項

  • 快照保留 – 適用於 的惡意軟體防護EC2提供選項,可讓您在 AWS 帳戶中保留 Amazon EBS磁碟區的快照。根據預設,此選項為關閉。您可以選擇加入以保留已 GuardDuty 啟動和隨需惡意軟體掃描的快照。如需詳細資訊,請參閱快照保留

當 GuardDuty 產生一或多個 時叫用 GuardDuty起始惡意軟體掃描的調查結果,此活動將成為 GuardDuty 啟動惡意軟體掃描的原因。如果您的掃描選項未排除此執行個體,則 GuardDuty 會啟動掃描。

若要在與 Amazon EC2執行個體相關聯的 Amazon EBS磁碟區上啟動隨需惡意軟體掃描,請提供 Amazon EC2執行個體的 Amazon Resource Name (ARN)。

為了回應啟動隨需惡意軟體掃描或自動 GuardDuty啟動的惡意軟體掃描, GuardDuty 會建立連接到潛在受影響資源的相關EBS磁碟區的快照,並與 共用GuardDuty 服務帳戶。當 GuardDuty 建立磁碟EBS區的快照時,它會新增名為 的預設標籤GuardDutyScanId。此標籤有助於 GuardDuty 存取快照。請確定您未移除此標籤。從這些快照中,在服務帳戶中 GuardDuty 建立加密的複本EBS磁碟區。

如需有關 GuardDuty 惡意軟體偵測方法及其使用的掃描引擎的資訊,請參閱 GuardDuty 惡意軟體偵測掃描引擎

掃描完成後, 會 GuardDuty 刪除加密的複本EBS磁碟區和EBS磁碟區的快照。如果找到惡意軟體,且您已開啟快照保留設定,則不會刪除EBS磁碟區的快照,並自動保留在您的 AWS 帳戶中。當找不到惡意軟體時,無論快照保留設定為何,都不會保留EBS磁碟區的快照。依預設,快照保留設定為關閉。如需快照成本及其保留的相關資訊,請參閱 Amazon EBS定價

GuardDuty 會將服務帳戶中的每個複本EBS磁碟區保留最多 55 小時。如果發生服務中斷,或複本EBS磁碟區及其惡意軟體掃描失敗, GuardDuty 會將此類磁碟EBS區保留不超過七天。延長的磁碟區保留期是分類和解決中斷或故障。 GuardDuty 的惡意軟體防護EC2會在中斷或故障解決後,或延長的保留期結束後,從服務帳戶刪除複本EBS磁碟區。