本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
GuardDuty-启动的恶意软件扫描
启用 GuardDuty启动的恶意软件扫描后,每当 GuardDuty 检测到表明您的 Amazon EC2 实例或容器工作负载中可能存在恶意软件的恶意活动并 GuardDuty 生成时调用 GuardDuty启动的恶意软件扫描的发现,都会 GuardDuty 自动在附加到可能受影响的 Amazon EC2 实例或容器工作负载上的 Amazon Elastic Block Store 卷上启动无代理扫描,以检测是否存在恶意软件。使用扫描选项,您可以添加包含标签(与要扫描的资源相关联),也可以添加排除标签(与在扫描过程中要跳过的资源相关联)。自动扫描启动将始终考虑您的扫描选项。您也可以选择开启快照保留设置,以便仅在 EC2 恶意软件防护检测到存在恶意软件时才保留 EBS 卷的快照。有关更多信息,请参阅 EC2 恶意软件防护中的自定义设置。
对于 GuardDuty 生成发现结果的每个 Amazon EC2 实例和容器工作负载,系统会每 24 小时调用一次自动 GuardDuty启动的恶意软件扫描。有关如何扫描附加到 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷的信息,请参阅 EC2 恶意软件防护中的功能。
下图描述了 GuardDuty启动的恶意软件扫描的工作原理。
![要对您的 EC2 容器和 EBS 卷启动自动扫描,只需单击一下即可打开 GuardDuty启动的恶意软件扫描。扫描离线进行,对性能没有影响。与其他 GuardDuty 发现类似,您可以通过与 Security Hub 和 Detective 集成来查看与恶意软件相关的发现。 EventBridge](images/malwareprotection-diagram.png)
当发现恶意软件时, GuardDuty 就会生成适用于 EC2 查找类型的恶意软件防护。如果 GuardDuty 未生成表明同一资源上有恶意软件的发现,则不会调用任何 GuardDuty启动的恶意软件扫描。您也可以在同一资源上启动按需恶意软件扫描。有关更多信息,请参阅 按需恶意软件扫描。