按需恶意软件扫描入门

作为 GuardDuty 管理员帐户，您可以代表账户中设置了以下先决条件的活跃成员账户启动按需恶意软件扫描。中的独立账户和活跃成员账户 GuardDuty 也可以为自己的 Amazon EC2 实例启动按需恶意软件扫描。

先决条件

• GuardDuty 必须在要启动按需恶意软件扫描的 AWS 区域 位置启用。

• 确保将 AWS 托管策略：AmazonGuardDutyFullAccess 附加到 IAM 用户或 IAM 角色。您需要与 IAM 用户或 IAM 角色关联的访问密钥和私有密钥。

• 作为委托 GuardDuty 管理员帐户，您可以选择代表活跃的成员帐户启动按需恶意软件扫描。

• 如果您是没有 Amazon EC2 实例的成员账户EC2 恶意软件防护的服务相关角色权限，则对属于您账户的 Amazon EC2 实例启动按需恶意软件扫描将自动创建 EC2 恶意软件防护的 SLR。

重要

确保当恶意软件扫描（无论是 GuardDuty启动的还是按需的）仍在进行时，没有人删除 EC2 恶意软件防护的 SLR 权限。若有人删除，会使扫描无法成功完成并无法提供明确的扫描结果。

在启动按需恶意软件扫描之前，请确保在过去 1 小时内没有对同一资源启动扫描，否则，扫描中的重复数据将被删除。有关更多信息，请参阅 重新扫描相同的资源。

启动按需恶意软件扫描

选择您启动按需恶意软件扫描的首选访问方法。

Console

1. 打开 GuardDuty 控制台，网址为 https://console.aws.amazon.com/guardduty/。

2. 使用以下选项之一启动扫描：

   1. 使用 EC2 恶意软件防护页面：

      1. 在导航窗格的 “保护计划” 下，选择 EC2 恶意软件防护。

      2. 在 EC2 恶意软件防护页面上，提供您要启动扫描的 Amazon EC2 实例 ARN ¹。

   2. 使用恶意软件扫描页面：

      1. 在导航窗格中，选择恶意软件扫描。

      2. 选择开始按需扫描，然后提供要启动的扫描的 Amazon EC2 实例 ARN¹。

      3. 如果是重新执行的扫描，请在恶意软件扫描页面上，选择一个 Amazon EC2 实例 ID。

         展开开始按需扫描下拉列表，并选择重新扫描所选实例。

3. 使用任一方法成功启动扫描后，系统将生成扫描 ID。您可以使用此扫描 ID 来跟踪扫描进度。有关更多信息，请参阅 监控恶意软件扫描状态和结果。

API/CLI

接受您要启动按需恶意软件扫描的 Amazon EC2 实例 ¹ 的调用StartMalwareScan。resourceArn

aws guardduty start-malware-scan --resource-arn "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"

成功启动扫描后，StartMalwareScan 会返回 scanId。调用DescribeMalwareScans监控已启动扫描的进度。

¹有关您的 Amazon EC2 实例 ARN 格式的信息，请参阅 Amazon 资源名称（ARN）。对于 Amazon EC2 实例，您可以通过替换分区、区域、 AWS 账户 ID 和 Amazon EC2 实例 ID 的值，来使用以下示例 ARN 格式。有关您的实例 ID 长度的信息，请参阅资源 ID。

arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f

重新扫描同一 Amazon EC2 实例

无论扫描是按需 GuardDuty启动还是按需扫描，您都可以在上一次恶意软件扫描开始后 1 小时后在同一 EC2 实例上启动新的按需恶意软件扫描。如果在上一次恶意软件扫描启动后 1 小时内，启动了新的恶意软件扫描，则您的请求将导致以下错误，并且系统不会为此请求生成扫描 ID。

A scan was initiated on this resource recently. You can request a scan on the same resource one hour after the previous scan start time.

有关如何对同一资源启动新扫描的信息，请参阅 启动按需恶意软件扫描。

要跟踪恶意软件扫描的状态，请参阅 在 EC2 GuardDuty 恶意软件防护中监控扫描状态和结果。