本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
按需恶意软件扫描
按需恶意软件扫描可帮助您检测与您的亚马逊EC2实例关联的 Amazon Elastic Block Store (AmazonEBS) 卷上是否存在恶意软件。无需配置,您就可以通过提供要扫描的亚马逊EC2实例的 Amazon 资源名称 (ARN) 来启动按需恶意软件扫描。您可以通过 GuardDuty 控制台或启动按需恶意软件扫描API。在启动按需恶意软件扫描之前,您可以设置首选 快照保留 设置。以下场景可以帮助您确定何时使用按需恶意软件扫描类型 GuardDuty:
您想在不启用 GuardDuty启动的恶意软件扫描的情况下检测您的 Amazon EC2 实例中是否存在恶意软件。
您已启用 GuardDuty启动的恶意软件扫描,并且扫描已自动调用。按照针对EC2查找类型生成的恶意软件防护的建议补救措施后,如果要对同一资源启动扫描,则可以在距离上一次扫描开始时间后 1 小时后启动按需恶意软件扫描。
在上次启动恶意软件扫描后,无需等待 24 小时再启动按需恶意软件扫描。应在一小时后对同一资源启动按需恶意软件扫描。要避免在同一EC2实例上重复恶意软件扫描,请参阅重新扫描同一 Amazon 实例 EC2。
注意
30 天免费试用期内不包括按需恶意软件扫描。 GuardDuty使用费用适用于每次恶意软件扫描时扫描的 Amazon 总EBS量。有关更多信息,请参阅 Amazon GuardDuty 定价
按需恶意软件扫描工作原理
通过按需恶意软件扫描,即使您的 Amazon EC2 实例正在使用中,您也可以为其启动恶意软件扫描请求。启动按需恶意软件扫描后, GuardDuty 会创建附加到为扫描提供亚马逊资源名称 (ARN) 的亚马逊EC2实例的亚马逊EBS卷的快照。接下来,与 GuardDuty 共享这些快照GuardDuty 服务账号。 GuardDuty 使用 GuardDuty 服务帐户中的这些快照创建加密的副本EBS卷。有关如何扫描 Amazon EBS 卷的更多信息,请参阅弹性块存储 (EBS) 卷。
注意
GuardDuty 创建启动按需恶意软件扫描 point-in-time 时已写入 Amazon EBS 卷的数据的快照。
如果发现恶意软件并且您已启用快照保留设置,则您的EBS卷快照将自动保留在您的卷中 AWS 账户。 按需恶意软件扫描生成适用于 EC2 查找类型的恶意软件防护. 如果未发现恶意软件,则无论快照保留期设置如何,您的EBS卷快照都会被删除。
默认情况下,您的EBS卷快照是使用GuardDutyScanId
标签创建的。请勿删除此标签,因为这样做会 GuardDuty阻止访问快照。恶意软件防护中的两种扫描类型都EC2不会扫描GuardDutyExcluded
标签设置为的 Amazon EC2 实例或 Amazon EBS 卷true
。如果对此类资源EC2使用恶意软件防护进行扫描,则会生成扫描 ID,但会跳过扫描,并说明EXCLUDED_BY_SCAN_SETTINGS
原因。有关更多信息,请参阅 恶意软件扫描期间跳过资源的原因。
AWS Organizations 服务控制策略-拒绝访问
使用中的服务控制策略 (SCPs) AWS Organizations,委托的 GuardDuty 管理员账户可以限制权限并拒绝诸如针对您的账户拥有的 Amazon EC2 实例启动按需恶意软件扫描之类的操作。
作为 GuardDuty 会员账户,当您对您的 Amazon EC2 实例启动按需恶意软件扫描时,您可能会收到错误消息。您可以与管理账户建立联系,以了解SCP为何为您的成员账户设置了。有关更多信息,请参阅SCP对权限的影响。