GuardDuty-启动的恶意软件扫描 - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty-启动的恶意软件扫描

启用 GuardDuty启动的恶意软件扫描后,每当 GuardDuty 检测到表明您的 Amazon EC2 实例或容器工作负载中可能存在恶意软件的恶意活动并 GuardDuty 生成时调用 GuardDuty启动的恶意软件扫描的发现,都会 GuardDuty 自动在附加到可能受影响的 Amazon EC2 实例或容器工作负载上的 Amazon Elastic Block Store 卷上启动无代理扫描,以检测是否存在恶意软件。使用扫描选项,您可以添加包含标签(与要扫描的资源相关联),也可以添加排除标签(与在扫描过程中要跳过的资源相关联)。自动扫描启动将始终考虑您的扫描选项。您也可以选择开启快照保留设置,以便仅在 EC2 恶意软件防护检测到存在恶意软件时才保留 EBS 卷的快照。有关更多信息,请参阅 EC2 恶意软件防护中的自定义设置

对于 GuardDuty 生成发现结果的每个 Amazon EC2 实例和容器工作负载,系统会每 24 小时调用一次自动 GuardDuty启动的恶意软件扫描。有关如何扫描附加到 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷的信息,请参阅 EC2 恶意软件防护中的功能

下图描述了 GuardDuty启动的恶意软件扫描的工作原理。

要对您的 EC2 容器和 EBS 卷启动自动扫描,只需单击一下即可打开 GuardDuty启动的恶意软件扫描。扫描离线进行,对性能没有影响。与其他 GuardDuty 发现类似,您可以通过与 Security Hub 和 Detective 集成来查看与恶意软件相关的发现。 EventBridge

当发现恶意软件时, GuardDuty 就会生成适用于 EC2 查找类型的恶意软件防护。如果 GuardDuty 未生成表明同一资源上有恶意软件的发现,则不会调用任何 GuardDuty启动的恶意软件扫描。您也可以在同一资源上启动按需恶意软件扫描。有关更多信息,请参阅 按需恶意软件扫描