本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
隨需惡意軟體掃描可協助您偵測連接到 Amazon EC2 執行個體之 Amazon Elastic Block Store (Amazon EBS) 磁碟區的惡意軟體。不需要組態,您可以提供您要掃描的 Amazon EC2 執行個體的 Amazon Resource Name (ARN),以啟動隨需惡意軟體掃描。您可以透過 GuardDuty 主控台或 API 啟動隨需惡意軟體掃描。在啟動隨需惡意軟體掃描之前,您可以設定偏好的 快照保留 設定。下列案例可協助您識別何時使用 GuardDuty 的隨需惡意軟體掃描類型:
-
您想要偵測 Amazon EC2 執行個體中是否存在惡意軟體,而不啟用 GuardDuty 起始的惡意軟體掃描。
-
您已啟用 GuardDuty 起始的惡意軟體掃描,並自動調用掃描。遵循所產生之惡意軟體防護 for EC2 調查結果類型的建議補救措施後,如果您想要在相同資源上開始掃描,您可以在從先前的掃描開始時間經過 1 小時後開始隨需惡意軟體掃描。
隨需惡意軟體掃描不需要從上一次惡意軟體掃描開始經過 24 小時。在相同資源上啟動隨需惡意軟體掃描之前,應等候一小時。若要避免在同一 EC2 執行個體上重複惡意軟體掃描,請參閱重新掃描先前掃描的 Amazon EC2 執行個體。
注意
GuardDuty 的 30 天免費試用期不包含隨需惡意軟體掃描。使用費適用於每次惡意軟體掃描過程所掃描的 Amazon EBS 磁碟區總數。如需詳細資訊,請參閱 Amazon GuardDuty 定價
隨需惡意軟體掃描的運作方式
透過隨需惡意軟體掃描,即使 Amazon EC2 執行個體目前正在使用,您也可以啟動惡意軟體掃描請求。啟動隨需惡意軟體掃描後,GuardDuty 會建立連接至 Amazon EC2 執行個體的 Amazon EBS 磁碟區的快照,該執行個體提供 Amazon Resource Name (ARN) 進行掃描。接下來,GuardDuty 與 GuardDuty 服務帳戶共用這些快照。GuardDuty 會用來自 GuardDuty 服務帳戶中的快照建立加密複本 EBS 磁碟區。如需有關如何掃描 Amazon EBS 磁碟區的詳細資訊,請參閱GuardDuty 如何掃描 EBS 磁碟區以進行惡意軟體偵測。
注意
GuardDuty 會在您啟動隨需惡意軟體掃描point-in-time,建立已寫入 Amazon EBS 磁碟區的資料快照。
如果發現惡意軟體,且您已啟用快照保留設定,EBS 磁碟區的快照會自動保留在您的 AWS 帳戶中。隨需惡意軟體掃描會產生EC2 調查結果類型的惡意軟體防護。如果找不到惡意軟體,則無論快照保留設定為何,都會刪除 EBS 磁碟區的快照。
GuardDuty 使用全域標籤金鑰 GuardDutyExcluded,您可以將其新增至 Amazon EC2 資源,並將標籤值設定為 true。具有此標籤索引鍵和值對的此 Amazon EC2 資源將從惡意軟體掃描中排除。這兩種掃描類型 (GuardDuty 啟動的惡意軟體掃描和隨需惡意軟體掃描) 都支援全域標籤。如果您在 Amazon EC2 上啟動隨需惡意軟體掃描,將產生掃描 ID。不過,掃描將會略過並附上EXCLUDED_BY_SCAN_SETTINGS原因。如需詳細資訊,請參閱惡意軟體掃描期間略過資源的原因。
