GuardDuty-發起的惡意軟件掃 - Amazon GuardDuty

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

GuardDuty-發起的惡意軟件掃

啟用啟動的惡意軟體掃描後,每當 GuardDuty 偵測到指出 Amazon EC2 執行個體或容器工作負載中潛在存在惡意軟體的惡意活動並 GuardDuty 產生時呼叫 GuardDuty起始惡意軟體掃描的發現項目,都會在附加至潛在影響的 Amazon Amazon EC2 執行個體或容器工作負載的 Elastic Block Store (Amazon EBS) 磁碟區上 GuardDuty 自動啟動無代理程式掃描,以偵測是否存在惡意軟體。 GuardDuty使用掃描選項,您可以新增與要掃描的資源相關聯的包含標籤,或新增與要從掃描程序略過的資源相關聯的排除標籤。自動掃描啟動始終會考慮您的掃描選項。您也可以選擇開啟快照保留設定,只有在 EC2 的惡意程式碼保護偵測到惡意程式碼存在時,才保留 EBS 磁碟區的快照。如需詳細資訊,請參閱 EC2 惡意軟體保護中的自訂

對於 GuardDuty 產生發現結果的每個 Amazon EC2 執行個體和容器工作負載,每 24 小時會叫用一次自動 GuardDuty啟動的惡意軟體掃描。如需有關如何掃描連接至 Amazon EC2 執行個體或容器工作負載的 Amazon EBS 磁碟區的詳細資訊,請參閱EC2 惡意軟體防護中的功能

下圖說明啟動的惡意程式碼 GuardDuty掃描的運作方式。

若要在 EC2 容器和 EBS 磁碟區上啟動自動掃描,只要按一下即可開啟 GuardDuty啟動的惡意軟體掃描。掃描會離線進行,不會影響效能。與其他 GuardDuty 發現項目類似,您可以透過整合 Security Hub、和 Detective, EventBridge來檢閱與惡意軟體相關的發現項目。

當發現惡意軟件時, GuardDuty 生成EC2 尋找類型的惡意軟體防護。如果 GuardDuty 沒有在同一資源上產生指示惡意軟件的發現,則不會調用 GuardDuty啟動的惡意軟件掃描。您也可以在相同的資源上啟動隨需惡意軟體掃描。如需詳細資訊,請參閱 隨需惡意軟體掃描