EC2 惡意軟體防護中的功能

Elastic Block Storage (EBS) 磁碟區

本節說明 EC2 的惡意軟體防護 (包括 GuardDuty啟動的惡意軟體掃描和隨選惡意軟體掃描) 如何掃描與 Amazon EC2 執行個體和容器工作負載關聯的 Amazon EBS 磁碟區。繼續前，請考慮下列自訂內容：

• 掃描選項 — 適用於 EC2 的惡意程式碼保護提供了指定標籤的功能，以便在掃描程序中包含或排除 Amazon EC2 執行個體和 Amazon EBS 磁碟區。只有 GuardDuty開始的惡意程式碼掃描支援含使用者定義標籤的掃描 GuardDuty啟動的惡意程式碼掃描和指定惡意軟體掃描都支援全域GuardDutyExcluded標籤。如需詳細資訊，請參閱 具有使用者定義標籤的掃描選項。

• 快照保留 — 適用於 EC2 的惡意軟體保護提供了一個選項，可讓您在 AWS 帳戶中保留 Amazon EBS 磁碟區的快照。根據預設，此選項為關閉。您可以選擇保留 GuardDuty 已啟動和隨選惡意軟體掃描的快照保留。如需詳細資訊，請參閱 快照保留。

當 GuardDuty 產生指示 Amazon EC2 執行個體或容器工作負載中可能存在惡意軟體的 GuardDuty 發現，且您已在 EC2 的惡意程式碼保護中啟用啟動的掃描類型時，系統可能會根據您的掃描選項叫用啟 GuardDuty動的惡意軟體掃描。

若要在與 Amazon EC2 執行個體關聯的 Amazon EBS 磁碟區上啟動隨需惡意軟體掃描，請提供 Amazon EC2 執行個體的 Amazon Resource Name (ARN)。

作為對隨選惡意軟體掃描的回應或自動 GuardDuty啟動的惡意軟體掃描， GuardDuty 建立連接至潛在受影響資源的相關 EBS 磁碟區的快照，並將其與. GuardDuty 服務帳戶 從這些快照集中，在服務帳戶中 GuardDuty 建立加密複本 EBS 磁碟區。

掃描完成後， GuardDuty 刪除 EBS 磁碟區的加密複本和 EBS 磁碟區的快照。如果發現惡意軟體且您已開啟快照保留設定，EBS 磁碟區的快照不會遭到刪除，而且會自動保留在您的 AWS 帳戶中。找不到惡意軟體時，無論快照保留設定為何，EBS 磁碟區的快照都不會保留。依預設，快照保留設定為關閉。如需快照成本及保留的相關資訊，請參閱 Amazon EBS 定價。

GuardDuty 將服務帳戶中的每個複本 EBS 磁碟區保留最多 55 小時。如果 EBS 磁碟區複本及其惡意軟體掃描發生服務中斷或故障， GuardDuty 將保留此類 EBS 磁碟區不超過七天。延長的磁碟區保留期是分類和解決中斷或故障。 GuardDuty EC2 的惡意軟體保護會在解決中斷或故障解決後或延長保留期過後，從服務帳戶中刪除複本 EBS 磁碟區。