开始按需恶意软件扫描 GuardDuty - Amazon GuardDuty

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

开始按需恶意软件扫描 GuardDuty

本节列出了启动按需恶意软件扫描之前的先决条件,以及首次开始对资源进行扫描的步骤。

作为 GuardDuty 管理员帐户,您可以代表账户中设置了以下先决条件的活跃成员账户启动按需恶意软件扫描。独立账户和中的活跃成员账户 GuardDuty 也可以为自己的 Amazon EC2 实例启动按需恶意软件扫描。

先决条件

在开始按需恶意软件扫描之前,您的帐户必须满足以下先决条件:

  • GuardDuty 必须在要开始按需恶意软件扫描的 AWS 区域 位置中启用。

  • 确保AWS 托管策略:AmazonGuardDutyFullAccess已附加到IAM用户或IAM角色。您将需要与IAM用户或IAM角色关联的访问密钥和私有密钥。

  • 作为委托 GuardDuty 管理员帐户,您可以选择代表活跃的成员帐户启动按需恶意软件扫描。

  • 在开始按需恶意软件扫描之前,请确保在过去 1 小时内没有对同一资源启动扫描;否则,扫描将被删除重复数据。有关更多信息,请参阅 重新扫描之前扫描的 Amazon 实例 EC2

  • 如果您是没有 Amazon 实例的会员账户恶意软件防护的服务相关角色权限 EC2,则对属于您账户的 Amazon EC2 实例启动按需恶意软件扫描将自动SLR为其创建恶意软件防护EC2。

重要

恶意软件扫描仍在进行EC2时,请确保没有人删除恶意软件防护的SLR权限。这种恶意软件扫描可以按 GuardDuty 需启动,也可以按需启动。删除SLR会使扫描无法成功完成,从而无法提供明确的扫描结果。

开始按需恶意软件扫描

您可以通过 GuardDuty 控制台或使用在您的帐户中启动按需恶意软件扫描 AWS CLI。您需要提供要开始扫描的 EC2 Amazon Amazon 资源名称 (ARN)。下一节的控制台和API/AWS CLI 说明中都提供了详细的步骤。

选择您的首选访问方法以启动按需恶意软件扫描。

Console
  1. 打开 GuardDuty 控制台,网址为https://console.aws.amazon.com/guardduty/

  2. 使用以下选项之一开始扫描:

    1. 使用以下EC2页面的恶意软件防护

      1. 在导航窗格的 “保护计划” 下,选择 “恶意软件防护” EC2。

      2. 在 “恶意软件防护 EC2” 页面上,提供您要开始扫描的 Amazon EC2 实例 ARN 1

    2. 使用恶意软件扫描页面:

      1. 在导航窗格中,选择恶意软件扫描

      2. 选择 “开始按需扫描”,然后提供要开始扫描的 Amazon EC2 实例 ARN 1

      3. 如果是重新扫描,请在恶意软件扫描页面上选择一个 Amazon EC2 实例 ID。

        展开开始按需扫描下拉列表,并选择重新扫描所选实例

  3. 使用任一方法成功启动扫描后,将生成扫描 ID。您可以使用此扫描 ID 来跟踪扫描进度。有关更多信息,请参阅 监控恶意软件扫描状态和结果

API/CLI

接受您要启动按需恶意软件扫描的 Amazon EC2 实例 1 的调用StartMalwareScanresourceArn

aws guardduty start-malware-scan --resource-arn "arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f"

成功启动扫描后,StartMalwareScan返回scanId。调用DescribeMalwareScans监控已启动扫描的进度。

1 有关您的亚马逊EC2实例格式的信息ARN,请参阅亚马逊资源名称 (ARN)。对于亚马逊EC2实例,您可以使用以下示例ARN格式,替换分区、区域、 AWS 账户 ID 和亚马逊EC2实例 ID 的值。有关您的实例 ID 长度的信息,请参阅资源IDs

arn:aws:ec2:us-east-1:555555555555:instance/i-b188560f

AWS Organizations 服务控制策略-拒绝访问

使用中的服务控制策略 (SCPs) AWS Organizations,委派的 GuardDuty 管理员账户可以限制权限并拒绝诸如对账户拥有的 Amazon EC2 实例启动按需恶意软件扫描之类的操作。

作为 GuardDuty 会员账户,当您开始对您的 Amazon EC2 实例进行按需恶意软件扫描时,您可能会收到错误消息。您可以与管理账户建立联系,以了解SCP为何为您的成员账户设置了。有关更多信息,请参阅SCP对权限的影响