隨需惡意軟體掃描

隨需惡意軟體掃描可協助您偵測連接到 Amazon 執行個體的 Amazon 彈性區塊存放區 (AmazonEBS) 磁碟區上是否存在惡意軟EC2體。無需設定，您可以透過提供要掃描之 Amazon 執行個體的 Amazon 資源名稱 (ARN) 來啟動隨選惡意軟EC2體掃描。您可以透過 GuardDuty 主控台或啟動指定惡意程式碼掃描API。在啟動隨需惡意軟體掃描之前，您可以設定偏好的 快照保留 設定。下列案例可協助您識別何時搭配使用隨選惡意程式碼掃描類型 GuardDuty：

• 您想要偵測 Amazon EC2 執行個體中是否存在惡意軟體，而不需啟用啟 GuardDuty動的惡意軟體掃描。

• 您已啟用啟 GuardDuty動的惡意程式碼掃描，而且已自動啟動掃描。遵循針對所產生的「尋EC2找類型之惡意程式碼防護」所建議的補救措施後，如果您想要在相同資源上起始掃描，則可以在從上一個掃描開始時間過去 1 小時後啟動隨選惡意軟體掃描。

  使用隨需惡意軟體掃描不需要在上一次惡意軟體掃描啟動之後等待 24 小時。在相同資源上啟動隨需惡意軟體掃描之前，應等候一小時。若要避免在同一個EC2執行個體上重複惡意程式碼掃描，請參閱重新掃描相同的 Amazon EC2 實例。

注意

隨選惡意軟體掃描不包含在使用的 30 天免費試用期內 GuardDuty。使用費用適用於針對每次惡意軟EBS體掃描掃描的 Amazon 總量。如需詳細資訊，請參閱 Amazon GuardDuty 定價。如需建立 Amazon EBS 磁碟區快照及其保留成本的相關資訊，請參閱 Amazon EBS 定價。

隨需惡意軟體掃描的運作方式

使用隨選惡意軟體掃描，您可以針對 Amazon EC2 執行個體啟動惡意軟體掃描請求，即使該執行個體目前正在使用中。啟動隨選惡意軟體掃描後， GuardDuty 建立連接到 Amazon EC2 執行個EBS體 (其 Amazon 資源名稱 (ARN) 用於掃描的 Amazon 執行個體的快照。接下來， GuardDuty 將這些快照與GuardDuty 服務帳戶. GuardDuty 從 GuardDuty 服務帳戶中的那些快照建立加密的複本EBS磁碟區。如需如何掃描 Amazon EBS 磁碟區的詳細資訊，請參閱彈性區塊儲存 (EBS) 磁碟區。

注意

GuardDuty 當您啟動隨選惡意軟體掃描 point-in-time 時，會建立已寫入 Amazon EBS 磁碟區的資料快照。

如果發現惡意軟體且您已啟用快照保留設定，EBS磁碟區的快照會自動保留在您的 AWS 帳戶. 隨需惡意軟體掃描會產生EC2 尋找類型的惡意軟體防護。如果找不到惡意程式碼，則無論快照保留設定為何，都會刪除EBS磁碟區的快照。

根據預設，EBS磁碟區的快照會以GuardDutyScanId標籤建立。請勿移除此標籤，因為這樣做會導致 GuardDuty無法存取快照。惡意軟體防護中的兩種掃描類型均EC2不會掃描GuardDutyExcluded標籤設定為的 Amazon EC2 執行個體或 Amazon EBS 磁碟區true。如果對此類資源進行EC2掃描的惡意軟件保護，則將生成掃描 ID，但掃描將由於EXCLUDED_BY_SCAN_SETTINGS原因而跳過。如需詳細資訊，請參閱 惡意軟體掃描期間略過資源的原因。

AWS Organizations 服務控制策略 — 拒絕訪問

使用中的服務控制政策 (SCPs) AWS Organizations，委派的 GuardDuty 管理員帳戶可以限制許可和拒絕動作，例如針對您的帳戶擁有的 Amazon EC2 執行個體啟動隨選惡意軟體掃描。

身為 GuardDuty 會員帳戶，當您為 Amazon EC2 執行個體啟動隨選惡意軟體掃描時，可能會收到錯誤訊息。您可以與管理帳戶連接，以了解為什麼要SCP為您的會員帳戶設置。如需詳細資訊，請參閱對權限的SCP影響。