惡意軟體防護的功能

Elastic Block Storage (EBS) 磁碟區

本節說明惡意軟體防護 (包括 GuardDuty啟動的惡意軟體掃描和隨選惡意軟體掃描) 如何掃描與 Amazon EC2 執行個體和容器工作負載關聯的 Amazon EBS 磁碟區。繼續前，請考慮下列自訂內容：

• 掃描選項：惡意軟體防護提供指定標籤的功能，以在掃描程序中包含或排除 Amazon EC2 執行個體和 Amazon EBS 磁碟區。只有 GuardDuty開始的惡意程式碼掃描支援含使用者定義標籤的掃描 GuardDuty啟動的惡意程式碼掃描和指定惡意軟體掃描都支援全域GuardDutyExcluded標籤。如需詳細資訊，請參閱 具有使用者定義標籤的掃描選項。

• 快照保留 — 惡意軟體防護可讓您選擇在 AWS 帳戶中保留 Amazon EBS 磁碟區的快照。根據預設，此選項為關閉。您可以選擇保留 GuardDuty 已啟動和隨選惡意軟體掃描的快照。如需詳細資訊，請參閱 快照保留。

當 GuardDuty 產生指示 Amazon EC2 執行個體或容器工作負載中可能存在惡意軟體的發現，且您已在惡意軟體防護中啟用 GuardDuty 初始掃描類型時，系統可能會根據您的掃描選項叫用 GuardDuty起始的惡意軟體掃描。

若要在與 Amazon EC2 執行個體關聯的 Amazon EBS 磁碟區上啟動隨需惡意軟體掃描，請提供 Amazon EC2 執行個體的 Amazon Resource Name (ARN)。

作為對隨選惡意軟體掃描的回應或自動 GuardDuty啟動的惡意軟體掃描， GuardDuty 建立連接至潛在受影響資源的相關 EBS 磁碟區的快照，並將其與. GuardDuty 服務帳戶 從這些快照集中，在服務帳戶中 GuardDuty 建立加密複本 EBS 磁碟區。

掃描完成後， GuardDuty 刪除 EBS 磁碟區的加密複本和 EBS 磁碟區的快照。如果發現惡意軟體且您已開啟快照保留設定，EBS 磁碟區的快照不會遭到刪除，而且會自動保留在您的 AWS 帳戶中。找不到惡意軟體時，無論快照保留設定為何，EBS 磁碟區的快照都不會保留。依預設，快照保留設定為關閉。如需快照成本及保留的相關資訊，請參閱 Amazon EBS 定價。

GuardDuty 將服務帳戶中的每個複本 EBS 磁碟區保留最多 55 小時。如果 EBS 磁碟區複本及其惡意軟體掃描發生服務中斷或故障， GuardDuty 將保留此類 EBS 磁碟區不超過七天。延長的磁碟區保留期是分類和解決中斷或故障。 GuardDuty 惡意程式碼防護會在解決中斷或故障解決後，或延長保留期限過後，從服務帳戶中刪除複本 EBS 磁碟區。