Amazon 中的恶意软件防护 GuardDuty

通过扫描附加到 Amazon Elastic Compute Cloud（Amazon EC2）实例和容器工作负载的 Amazon Elastic Block Store（Amazon EBS）卷，恶意软件防护可帮助检测潜在的恶意软件。恶意软件防护提供扫描选项，您可以在扫描时决定要包含还是排除特定的 Amazon EC2 实例和容器工作负载。它还提供了在您的 GuardDuty 账户中保留附加到 Amazon EC2 实例或容器工作负载的 Amazon EBS 卷快照的选项。只有在发现恶意软件并生成恶意软件防护调查发现时，才会保留快照。

恶意软件保护提供两种类型的扫描，用于检测您的 Amazon EC2 实例和容器工作负载中的潜在恶意活动： GuardDuty启动的恶意软件扫描和按需恶意软件扫描。下表展示这两种扫描类型的比较情况。

因素	GuardDuty-启动的恶意软件扫描	按需恶意软件扫描
如何调用扫描	启用 GuardDuty启动的恶意软件扫描后，每当 GuardDuty 生成发现 Amazon EC2 实例或容器工作负载中可能存在恶意软件时，都会 GuardDuty 自动对附加到可能受影响的资源的 Amazon EBS 卷启动无代理恶意软件扫描。有关更多信息，请参阅 GuardDuty-启动的恶意软件扫描。	您可以通过提供与您的 Amazon EC2 实例或容器工作负载关联的 Amazon 资源名称（ARN），来启动按需恶意软件扫描。即使您的资源未生成任何 GuardDuty 发现结果，您也可以启动按需恶意软件扫描。有关更多信息，请参阅 按需恶意软件扫描。
需要配置	要使用 GuardDuty启动的恶意软件扫描，必须为自己的帐户启用该功能。有关更多信息，请参阅 配置 GuardDuty启动的恶意软件扫描。	您的账户必须已 GuardDuty 启用。要使用按需恶意软件扫描，无需在功能级别进行配置。
等待以发起新的扫描	每当 GuardDuty 生成其中一个调用 GuardDuty启动的恶意软件扫描的发现，恶意软件扫描仅每 24 小时自动启动一次。	在上一次扫描开始后 1 小时后，您可以随时对同一资源启动按需恶意软件扫描。
30 天免费试用期的可用性	当您在账户中首次启用 GuardDuty启动的恶意软件扫描时，可以使用 30 天的免费试用期*。	针对新账户或现有 GuardDuty 账户的按需恶意软件扫描没有免费试用期 *。
扫描选项	配置 GuardDuty启动的恶意软件扫描后，恶意软件防护还可以帮助您选择要扫描或跳过的资源。恶意软件防护不会对您选择排除在扫描范围之外的资源启动自动扫描。	按需恶意软件扫描支持全局标记 —GuardDutyExcluded. 使用用户定义的标签扫描选项不适用于按需恶意软件扫描，因为您需要手动提供资源 ARN。

*创建 EBS 卷快照和保留快照将产生使用费用。有关配置账户以保留快照的更多信息，请参阅快照保留。

恶意软件防护是一项可选增强功能，其设计方式不会影响您的资源性能。 GuardDuty有关恶意软件防护在内部的工作原理的信息 GuardDuty，请参阅恶意软件防护功能。有关不同版本中恶意软件防护可用性的信息 AWS 区域，请参阅区域和端点。

注意

GuardDuty 恶意软件防护不支持搭载 Amazon EKS 或 Amazon ECS 的 Fargate。